Cybersicurezza e dati oltre il backup

La capacità di resistere, riprendersi e continuare a operare nonostante incidenti, attacchi informatici o disastri fisici è diventata uno degli asset più importanti per la pubblica amministrazione italiana. Si tratta di dotarsi di una strategia di “resilienza digitale”, come richiede non solo l’aumento degli attacchi informatici, ma il contesto regolatorio.

Questo approccio si realizza con un cambiamento culturale e organizzativo, che mette in risalto la collaborazione tra le diverse funzioni all’interno dell’ente: team IT, sicurezza e data governance devono dialogare e operare in modo sinergico per garantire protezione e recupero dei dati. Dal punto di vista tecnologico, invece, la base di questa visione è la data platform.

“Non basta pensare solo al backup dei dati: nel contesto della PA digitale, la protezione dei dati non può ridursi a una doppia copia”, evidenzia Di Benedetto di Veeam. “Oggi gli enti pubblici necessitano di una data platform ibrida, capace di garantire disponibilità, sicurezza, integrità e governance su ambienti fisici, virtuali, cloud e SaaS. È per esprimere questo concetto che abbiamo lanciato il nostro messaggio ‘Veeam is more – Veeam è molto di più. Questo ‘di più’ è rappresentato da una cyber resilience completa”. 

Come si costruisce la cyber-resilienza della PA

La cyber-resilienza si realizza garantendo che i dati siano non solo copiati, ma protetti, monitorati, resi immutabili e ricuperabili in modo sicuro e pronti per essere riutilizzati anche in scenari complessi di attacco o interruzione, unendo security e recovery.

Esiste anche un altro concetto importante, quello di libertà dei dati, ovveroflessibilità nella loro mobilità, integrazione ibrida, nessun lock-in proprietario – un requisito essenziale per le PA in ottica di condivisione e riuso delle soluzioni. 

In questo contesto il backup diventa un pilastro attivo della strategia di sicurezza, in cui la data protection è integrata con la strategia di difesa cyber – un approccio olistico favorito dalla convergenza delle normative di settore (NIS2, DORA, CER, la Legge del 28 giugno 2024, n. 90).

Per esempio, la direttiva CER sulle infrastrutture critiche mette l’accento sulla capacità delle organizzazioni di continuare a funzionare nonostante gli eventi avversi, di recuperare rapidamente e di adattarsi alle circostanze. Di qui gli obblighi prescritti, che devono permettere agli enti critici (diverse PA ricadono nel perimetro) di fronteggiare tempestivamente minacce e incidenti, mantenendo la continuità operativa.

Perché è così importante la cybersicurezza nella PA

Secondo il Rapporto Clusit 2025, nel 2024 il settore governativo è stato uno dei più colpiti dai cyber-attacchi, con un incremento del 19,3% rispetto all’anno precedente. Pubblica amministrazione locale e centrale emergono come i bersagli preferiti dai criminali informatici e degli attivisti politici anche nei più recenti rapporti del CSIRT Italia (Computer Security Incident Response Team),che riportano su base mensile i dati derivanti dalle attività operative dell’Agenzia per la Cybersicurezza Nazionale (ACN). Questi obblighi si traducono in misure concrete: valutazione proattiva del rischio, backup regolari, piani di emergenza, governance centralizzata e formazione del personale. 

Al tempo stesso, la PA è un attore chiave nella strategia di cybersicurezza nazionale, come sancito anche dalla Legge del 28 giugno 2024, n. 90, che ha rafforzato il ruolo dell’ACN. La pubblica amministrazione gestisce enormi quantità di dati sensibili (identità, sanità, finanze, giustizia e così via): renderla più resiliente, coordinata e preparata contro le minacce cyber significa proteggere le infrastrutture e i dati critici nazionali e garantire la continuità dei servizi pubblici e la fiducia dei cittadini.

Per questo è così importante che la PA evolva da un paradigma di difesa passiva (proteggere i dati) a uno più avanzato di resilienza attiva. È un concetto che implica non solo la prevenzione degli attacchi, ma anche la pianificazione di come reagire — isolare le risorse critiche, isolare copie di dati, testare il recovery — e la capacità di adattarsi e ripristinare i servizi rapidament. Adottare una piattaforma di resilienza digitale aiuta gli enti ad abbracciare questo approccio.

La data platform come investimento strategico

Con la data platform ibrida e resiliente, infatti, la PA può rafforzare la continuità operativa e ridurre il rischio di interruzioni dei servizi, in linea col proprio mandato intrinseco di servizio pubblico. Inoltre, può rispondere in modo efficace alle normative emergenti, non solo con adempimenti formali, ma con capacità reali di ripresa.

Ancora, con la data platform si abilita un’architettura ibrida coerente con le strategie di migrazione al cloud della PA (per esempio la Strategia Cloud Italia), mantenendo controllo, mobilità e governance, ottenendo flessibilità nella gestione dei dati (on-prem, cloud, ibrido), evitando vincoli a soluzioni monolitiche e abilitando il riuso. Infine, si promuove una cultura della collaborazione fra i team IT e cybersecurity, e questo aumenta l’efficacia complessiva grazie a una visione condivisa della resilienza.

“Il messaggio ‘Veeam is more – Veeam è molto di più’ disegna un futuro in cui la PA italiana non si limita a salvare i dati, ma li rende sicuri, governabili e pronti a essere ripristinati in tempi rapidi, anche dopo attacchi sofisticati”, afferma Di Benedetto. “Non è solo una promessa tecnologica: è una risposta concreta alle sfide della modernizzazione digitale delle amministrazioni pubbliche”.

Nei più recenti sondaggi di Veeam è emerso come molte PA non testino adeguatamente i processi di recovery o non integrino pienamente backup e cyber-difesa.  Questo gap può essere colmato proprio dalla visione della piattaforma unificata che abilita visibilità, governance e recupero intelligente.

“Proteggere il dato è prepararsi al futuro”, conclude Di Benedetto, “con una strategia dove la continuità del servizio, la fiducia dei cittadini e la governance dei dati sono al centro”.