Articoli

di Claudio Verzola - Dipartimento IT Cyber Security – Ente Nazionale per il Microcredito

Abstract - The Memorandum of Understanding between the National Cybersecurity Agency and the National Microcredit Agency: A New Paradigm for Cyber Resilience of Micro and Small Enterprises and Public Administrations

This article examines the Memorandum of Understanding signed between the National Cybersecurity Agency (ACN) and the National Microcredit Agency (ENM), aimed at strengthening cyber resilience and digital readiness of Italian enterprises and public administrations. The analysis explores the MicroCyber European Digital Innovation Hub project, led by ENM, which provides cybersecurity services to micro and small enterprises in Southern Italy. The article contextualizes these initiatives within the current geopolitical scenario, marked by the 60% increase in hybrid attacks against critical infrastructures reported by NATO and Admiral Giuseppe Cavo Dragone’s statements on the need for a more proactive approach to cyber defense. Particular attention is devoted to the opportunities for young entrepreneurs in the cybersecurity sector, highlighting how microcredit can support business creation in a market with immediate demand, contributing to national security while fostering economic development.

1. INTRODUZIONE
La trasformazione digitale che caratterizza il contesto economico contemporaneo porta con sé opportunità di sviluppo significative ma anche rischi sempre più pervasivi, tra cui l’aumento esponenziale degli attacchi informatici. In questo scenario, le piccole e medie imprese italiane, che rappresentano oltre il 99% del tessuto imprenditoriale nazionale, risultano particolarmente esposte alle minacce cibernetiche, spesso a causa di risorse limitate e misure di sicurezza meno robuste rispetto alle grandi organizzazioni.
È in questo contesto che si inserisce il Protocollo d’Intesa recentemente firmato tra l’Agenzia per la Cybersicurezza Nazionale (ACN) e l’Ente Nazionale per il Microcredito (ENM)1, un accordo che inaugura un’azione coordinata volta al rafforzamento della resilienza cibernetica e della prontezza digitale delle imprese e delle Pubbliche Amministrazioni italiane. Tale intesa si affianca al progetto MicroCyber, l’European Digital Innovation Hub di cui l’ENM è capofila, consolidando il ruolo dell’Ente quale attore strategico nella diffusione della cultura della cybersicurezza. Il presente contributo si propone di analizzare questi sviluppi, inquadrandoli nel più ampio contesto normativo e geopolitico, anche alla luce delle recenti dichiarazioni dell’Ammiraglio Giuseppe Cavo Dragone sulla crescente minaccia degli attacchi ibridi.

2. IL QUADRO NORMATIVO DI RIFERIMENTO
Il Protocollo d’Intesa tra ACN ed ENM si colloca all’interno di un articolato quadro normativo che ha visto negli ultimi anni un significativo rafforzamento degli obblighi in materia di cybersicurezza. Sul piano nazionale, la legge 28 giugno 2024, n. 902 ha introdotto disposizioni stringenti in materia di rafforzamento della cybersicurezza nazionale e di reati informatici, prevedendo l’adozione di misure specifiche per le pubbliche amministrazioni e istituendo nuovi obblighi di notifica degli incidenti.
A livello europeo, il decreto legislativo 4 settembre 2024, n. 1383 ha recepito la direttiva (UE) 2022/2555, nota come direttiva NIS2, che amplia significativamente il perimetro dei soggetti obbligati e rafforza le misure di sicurezza richieste. Tale decreto prevede un ampio catalogo di obblighi relativi alla sicurezza della catena di approvvigionamento, alla manutenzione dei sistemi informativi e di rete, nonché alla sicurezza e all’affidabilità del personale.
La Strategia Nazionale di Cybersicurezza 2022-2026 completa il quadro di riferimento, individuando tre obiettivi fondamentali: la protezione degli asset strategici nazionali, la risposta a minacce e incidenti cibernetici, e lo sviluppo sicuro delle tecnologie digitali. Tale strategia riconosce nella formazione e nella sensibilizzazione elementi essenziali per innalzare i livelli di sicurezza e resilienza cibernetica del Paese.

3. IL PROTOCOLLO D’INTESA ACN-ENM: CONTENUTI E FINALITÀ
Attraverso il Protocollo d’Intesa, l’ACN e l’ENM si impegnano a realizzare attività congiunte di sensibilizzazione, eventi formativi, workshop tematici e seminari, dedicati a diversi destinatari: dagli operatori in servizi ausiliari non finanziari di assistenza e monitoraggio del microcredito, alle micro e piccole imprese, ai professionisti e lavoratori autonomi, fino alle pubbliche amministrazioni.
L’accordo prevede percorsi formativi differenziati e articolati in funzione del livello di maturità digitale e delle esigenze operative dei destinatari. Tale approccio modulare risponde all’esigenza di raggiungere con efficacia un pubblico estremamente eterogeneo, dalle microimprese artigiane alle amministrazioni locali, calibrando i contenuti formativi sulle specifiche necessità e competenze pregresse.
La scelta dell’ENM come partner istituzionale dell’ACN appare particolarmente significativa. L’Ente, infatti, opera a stretto contatto con le fasce più vulnerabili del tessuto imprenditoriale italiano, quelle che più difficilmente accedono ai canali tradizionali di formazione sulla cybersicurezza e che, contestualmente, risultano tra le più esposte agli attacchi informatici.

4. IL PROGETTO MICROCYBER: L’EUROPEAN DIGITAL INNOVATION HUB A GUIDA ENM
Il Protocollo d’Intesa con l’ACN si inserisce in una più ampia strategia dell’Ente Nazionale per il Microcredito nel campo della cybersicurezza, che trova la sua massima espressione nel progetto MicroCyber4. Si tratta di un European Digital Innovation Hub (EDIH) selezionato dalla Commissione Europea nell’ambito della call “DIGITAL-2021-EDIH-01” del programma Digital Europe, di cui l’ENM è capofila e coordinatore.
Il progetto, cofinanziato al 50% dalla Commissione Europea e al 50% dal Ministero delle Imprese e del Made in Italy, ha una durata iniziale di 36 mesi, estendibile per ulteriori 24 mesi al raggiungimento degli obiettivi prefissati. Il partenariato pubblico-privato che sostiene MicroCyber riunisce eccellenze del mondo accademico, della ricerca e della consulenza5, garantendo un’offerta di servizi completa e integrata.
MicroCyber ha come focus tecnologico lo sviluppo e la diffusione di competenze digitali innovative in materia di cybersecurity presso le micro e piccole imprese, i professionisti e le pubbliche amministrazioni locali delle sette regioni del Mezzogiorno d’Italia6. L’obiettivo è rendere il livello di digitalizzazione del target sicuro e compatibile con un ambiente economico profondamente trasformato dalle sfide tecnologiche contemporanee.
I servizi offerti da MicroCyber includono: la valutazione della maturità digitale attraverso il Digital Maturity Assessment Tool (DMAT); lo svolgimento di attività di Cyber Range, con simulazioni di scenari di attacco informatico; sessioni formative online e in presenza; mentoring personalizzato; e percorsi di “Test-before-Invest” che consentono alle imprese di sperimentare soluzioni di cybersecurity prima di procedere con investimenti strutturati.
La peculiarità di MicroCyber risiede nella capacità di coniugare consulenza tecnica e accompagnamento finanziario, grazie all’esperienza unica dell’ENM nel campo del microcredito e dell’imprenditorialità sociale. Il progetto può infatti promuovere strumenti quali il microcredito imprenditoriale, il supporto per la partecipazione a bandi pubblici, la connessione con investitori e l’accesso a strumenti finanziari innovativi come il crowdfunding.
Sul piano della cooperazione internazionale, MicroCyber ha già attivato collaborazioni e dinamiche di cross-fertilization con altri EDIH europei attivi nel campo della cybersecurity, attraverso la sottoscrizione di protocolli d’intesa con hub spagnoli, cechi e portoghesi. Tale dimensione transnazionale consente di condividere best practices e di costruire un ecosistema europeo di difesa condiviso.

5. LE MIGLIORI PRATICHE PER LA RESILIENZA CIBERNETICA DELLE PMI
Il Rapporto Cyber Index PMI 20247 fotografa una situazione di marcata immaturità delle PMI italiane nella gestione dei rischi cyber: con un punteggio medio di 52 su 100, ben al di sotto della soglia di sufficienza fissata a 60, emerge come solo il 15% delle imprese intervistate adotti un approccio strutturato alla cybersicurezza, mentre il 56% risulta poco consapevole o totalmente impreparato.
L’ACN ha pubblicato guide specifiche per i dirigenti delle PMI8 che individuano una serie di misure fondamentali per il rafforzamento della postura cyber. Tra le raccomandazioni principali si segnalano: l’adozione dell’autenticazione a più fattori (MFA) per l’accesso a tutti i sistemi aziendali; la gestione di backup adeguatamente protetti, con particolare attenzione alla loro separazione dalla rete principale; la cifratura dei dati sensibili; la limitazione dei privilegi utente secondo il principio del minimo privilegio e l’adozione di approcci Zero Trust; la selezione accurata di fornitori IT qualificati; e la nomina di un responsabile per la cybersicurezza.