INTERVENTI E OPINIONI AI-TECH-CYBER

AI e Microfinanza: Un’Alleanza Strategica per l’Impresa del Futuro

di Sergio Bellucci - Direttore Accademico del Dipartimento sull’Intelligenza Artificiale dell’University for Peace dell’ONU

ABSTRACT

L’Intelligenza Artificiale (IA) non è più una tecnologia futuribile, ma un vettore trasformativo concreto per il settore della microfinanza e per le micro, piccole e medie imprese (MPMI) che ne usufruiscono. Questo articolo esplora le opportunità operative offerte dall’IA, dall’automazione dei processi alla creazione di prodotti finanziari iper-personalizzati, passando per il potenziamento dei sistemi di antifrode. Parallelamente, si analizza il panorama normativo in evoluzione, sia a livello internazionale che nazionale, evidenziando come un approccio “by design” alla compliance e all’etica non sia un vincolo, ma un fattore abilitante per un’innovazione sostenibile e inclusiva. L’obiettivo è delineare una roadmap affinché gli attori del microcredito possano governare la transizione digitale, trasformando l’IA in uno strumento di rafforzamento della propria missione d’impatto.

Artificial Intelligence (AI) is no longer a future technology, but a concrete transformative vector for the microfinance sector and the micro, small, and medium enterprises (MSMEs) it serves. This article explores the operational opportunities offered by AI, from process automation to the creation of hyper-personalized financial products, and the enhancement of anti-fraud systems. Concurrently, it analyses the evolving regulatory landscape at both the international and national levels, highlighting how a “by design” approach to compliance and ethics is not a constraint but an enabling factor for sustainable and inclusive innovation. The goal is to outline a roadmap for microfinance actors to govern the digital transition, transforming AI into a tool for strengthening their impact mission.

Introduzione: Il Digitalismo e la Sfida Finanziaria

La transizione verso quello che io chiamo il Digitalismo – la formazione socioeconomica in cui dati e algoritmi diventano fattori produttivi primari – sta ridefinendo ogni settore delle attività umane. Dalla ricerca scientifica e tecnologica alla struttura della produzione per arrivare alle forme del lavoro e della creatività ogni settore viene ridisegnato con logiche completamente nuove. La microfinanza non fa eccezione. In questo nuovo contesto, l’accesso al credito e a servizi finanziari sofisticati non è solo una questione di inclusione o di “immagine” ma di sopravvivenza competitiva per le MPMI. L’Intelligenza Artificiale emerge come il vettore più potente per colmare questo divario, offrendo agli operatori della microfinanza gli strumenti per scalare il proprio impatto, ottimizzare i costi e servire in modo più efficace e preciso quella fascia di popolazione e di imprese tradizionalmente esclusa dai circuiti finanziari tradizionali.

Tuttavia, l’adozione dell’IA non è un processo neutro. È accompagnata da sfide regolatorie, rischi etici e la necessità di un ripensamento strategico. Questo articolo si propone di analizzare sia le opportunità operative che il quadro normativo in formazione, guidando gli operatori del settore in un percorso di adozione consapevole e di successo. Sullo sfondo di tale trasformazione tecnologica, inoltre, si staglia la grande trasformazione, abilitata dalle tecnologie Blockchain, delle valute digitali che, nel breve periodo, modificheranno le forme di scambio, riconciliazione e di pagamento dell’intero comparto finanziario. AI e Blockchain segneranno la qualità della nuova fase.

Le Applicazioni Pratiche: Come l’IA sta Già Trasformando la Microfinanza

L’IA non è una tecnologia monolitica, ma un insieme di strumenti che possono essere applicati a varie fasi della catena del valore della microfinanza.

La rivoluzione digitale, guidata dall’IA, sta dunque generando una nuova grammatica della microfinanza, dove la capacità di adattamento e di innovazione diventa il cuore pulsante della competitività. Le imprese che sapranno cogliere per prime queste opportunità saranno in grado di tracciare nuove rotte di sviluppo, favorendo non solo la crescita economica ma anche una maggiore inclusione sociale. In questo scenario, il proverbio “chi si ferma è perduto” risuona più che mai attuale, spronando il settore a non rimanere ancorato a modelli tradizionali ma ad abbracciare con coraggio la trasformazione digitale.

I dati parlano chiaro: il mercato globale dell’IA nei servizi finanziari è destinato a passare dagli 8,3 miliardi di dollari del 2019 a 130 miliardi di dollari previsti per il 2027, con oltre l’85% delle istituzioni finanziarie che già utilizza l’IA in qualche forma.

La tabella seguente sintetizza le principali applicazioni.

Il Quadro Normativo ed Etico: Navigare tra Opportunità e Responsabilità

L’entusiasmo per le potenzialità dell’IA deve essere bilanciato da un’attenzione rigorosa al quadro normativo in rapida evoluzione. I regolatori a livello globale stanno ponendo l’accento sulla trasparenza, la correttezza algoritmica e la protezione dei dati. Per un settore come la microfinanza, fondato sulla fiducia e su finalità sociali, integrare questi principi fin dalla progettazione (“ethics by design”) è imperativo.

Principi Chiave e Sviluppi Normativi:

Trasparenza e “Spiegabilità” (Explainability): Le decisioni creditizie basate su algoritmi non possono essere scatole nere. Negli USA, il Consumer Financial Protection Bureau (CFPB) ha chiarito che le normative che vietano la discriminazione creditizia si applicano a tutte le decisioni, indipendentemente dalla tecnologia utilizzata, e che gli istituti devono essere in grado di fornire “ragioni specifiche e accurate” per le decisioni avverse. Questo richiede lo sviluppo di modelli di IA interpretabili.
Lotta alla Discriminazione Algoritmica: Gli algoritmi, se addestrati su dati storici distorti, rischiano di perpetuare o addirittura amplificare discriminazioni esistenti. L’”AI Bill of Rights” statunitense, sebbene non vincolante, fornisce una chiara direzione di marcia, indicando tra i principi fondamentali le “protezioni dalla discriminazione algoritmica”. È quindi essenziale procedere ad audit regolari dei modelli per individuarne e mitigarne i bias.
Privacy e Sicurezza dei Dati: La capacità dell’IA di elaborare grandi moli di dati solleva naturali preoccupazioni per la privacy. L’aggiornamento delle regole di attuazione del Gramm-Leach-Bliley Act (GLBA) negli USA impone alle istituzioni finanziarie (incluse le fintech) di implementare misure di sicurezza prescrittive, come la crittografia e l’autenticazione multifattore. In Europa, il perimetro di riferimento rimane il GDPR.
Il quadro normativo europeo

Le norme europee su AI e finanza ruotano attorno a un “triangolo” regolatorio: AI Act, regole di vigilanza finanziaria (CRR/CRD, Solvency II, MiFID ecc.) e il blocco “digitale-fintech” (DORA, MiCA, AML, linee guida EBA).

Le regole dell’AI Act

L’AI Act introduce un regime basato sul rischio (inaccettabile, alto rischio, rischio limitato, minimo) che si applica anche ai servizi finanziari. I sistemi di AI usati per credit scoring, valutazione dell’affidabilità creditizia o gestione del rischio rientrano tra gli “high-risk systems”, con obblighi stringenti su governance, gestione del rischio, data quality, documentazione tecnica, logging, trasparenza e human oversight. Nel settore finanziario, l’AI Act si innesta sulle norme già esistenti: le autorità che oggi vigilano su banche, assicurazioni e mercati (EBA, ESMA, EIOPA, autorità nazionali) diventano anche supervisori AI per questi soggetti.

Le norme finanziarie settoriali e le AI

L’AI Act rinvia espressamente alle leggi UE che fissano requisiti prudenziali e di governance per banche e intermediari (es. CRR/CRD, MiFID II, PSD2, Solvency II), chiarendo che tali requisiti valgono anche per l’uso di sistemi di AI. L’EBA ha mappato le prescrizioni dell’AI Act (monitoraggio, incident reporting, logging, gestione del rischio modello) con gli obblighi già esistenti per le banche (risk management, controlli interni, ICAAP/SREP, ecc.), specie per il credito e il credit scoring. Implicazione pratica: un modello di AI per concessione del credito deve rispettare contemporaneamente gli standard del sistema di controllo interno bancario e quelli dell’AI Act (conformity assessment se high-risk, evidenze di explainability, audit trail).

Le norme “digital finance” (DORA, MiCA, AML, DeFi)

DORA (Digital Operational Resilience Act) impone requisiti molto stringenti su ICT risk management, test di resilienza, incident reporting e controllo dei critical third-party providers, rilevanti per infrastrutture AI usate nei servizi finanziari. MiCA disciplina emittenti di crypto-asset, ART e EMT, con linee guida EBA/ESMA che toccano anche l’uso di AI in ambiti come sorveglianza di mercato, gestione del rischio e compliance (es. AML, travel rule), soprattutto per piattaforme crypto e pagamenti. L’EBA sottolinea che chi adotta AI e machine learning in finanza deve anticipare la piena applicazione dell’AI Act, garantendo uso etico, spiegabile e conforme alle norme di tutela del consumatore, antiriciclaggio e stabilità finanziaria.

Focus specifico su banche e pagamenti

Per banche e payment institutions, EBA ha prodotto fact sheet e documenti di orientamento sull’impatto dell’AI Act, con particolare attenzione a: creditworthiness e credit scoring, AML/frode, gestione del rischio e modellistica interna. L’approccio è di “complementarità”: non si crea un nuovo strato autonomo di compliance, ma si integra l’AI Act nei framework già esistenti di governance, risk management, ICT e outsourcing

Raccomandazioni Pratiche per un’Adozione Consapevole dell’IA

Per integrare con successo l’IA nella propria strategia, gli operatori della microfinanza dovrebbero considerare i seguenti passi:

Valutare e “Auditare”: Condurre una revisione completa degli strumenti di IA in uso o pianificati, verificandone la conformità alle leggi applicabili e sottoponendoli a bias audit per prevenire la discriminazione.
Conoscere i Propri Dati: Mappare con precisione quali dati personali vengono raccolti, per quale scopo, come sono conservati e con chi sono condivisi. Questo è il fondamento per qualsiasi implementazione di IA compliant.
Proteggere e Comunicare: Implementare politiche di sicurezza dei dati robuste e assicurarsi di comunicare in modo trasparente ai clienti l’uso di strumenti di IA, ove richiesto dalla legge, e le proprie politiche sulla privacy.
Investire sul Capitale Umano: Formare il personale esistente per lavorare a fianco degli strumenti di IA e considerare l’assunzione di figure ibride che combinino competenze finanziarie, etiche e data science.
Adottare una Governance Etica: Istituire un comitato etico interno o ricorrere a comitati consultivi esterni per supervisionare lo sviluppo e l’implementazione dei progetti di IA, allineandoli alla missione sociale dell’organizzazione.

AI e AVATAR per il trasferimento di conoscenze: dalla sperimentazione universitaria alla realizzazione di modelli e tecnologie per l’impresa

di Emma Evangelista - Direttore Microfinanza

Il caso dell’Insubria coordinata da Davide TOSI

Entrare in università e relazionarsi con un’intelligenza artificiale che ti spiega il programma come fosse il tuo docente. È questa la novità che l’Università dell’Insubria ha realizzato grazie al team di ricerca e sviluppo guidato da Davide Tosi, docente di Sistemi di Elaborazione dell’Informazione e delegato della Rettrice all’Intelligenza Artificiale. Gli usi e gli abusi, i fallimenti e le potenzialità di strumenti che possono diventare un buon collega d’ufficio e che possono sostenere l’intelligenza umana coadiuvando le attività di previsione e controllo degli eventi anche nel settore industriale. Il professor Tosi, gemello reale dell’AI, racconta a Microfinanza la realtà e i progetti in campo per progettare il futuro.

Professore, lei è stato il primo avatar dell’università, creato con intelligenza artificiale che risponde alle domande degli studenti. Perché introdurre una novità del genere? Cosa comporta? E quanto è efficace?

Deriva da una necessità dei nostri studenti, di questa generazione di studenti e di ragazzi, che tendono ad essere molto timidi e quindi riducono al minimo il rapporto diretto con i docenti, utilizzano poco anche il tempo dei ricevimenti che noi mettiamo a disposizione nei nostri uffici. Allora abbiamo pensato di fornire uno strumento che fosse in parte “asettico”, perché ovviamente non c’è l’interazione con una persona, e allo stesso tempo colmi in parte le difficoltà degli studenti. Quindi gli studenti possono interfacciarsi con questo Human Digital Twin, che è una copia 100% virtuale, quasi identica a me, sia nella forma che nella voce sintetizzata, e nei contenuti degli insegnamenti che è in grado di erogare. Gli studenti possono interfacciarsi e chiedere chiarimenti su lezioni o comunque attività viste in aula.

Ovviamente questo è uno strumento, come ripeto sempre, di supporto, non deve essere uno strumento di sostituzione né del docente né delle attività che vengono fatte in aula, perché ovviamente in aula viene portata oltre all’umanità del docente e la parte esperienziale del docente, che un avatar digitale non può avere. Un’altra esperienza fatta dalla nostra Università è stata la realizzazione dell’avatar di Gabriele D’Annunzio sviluppato per la Fondazione del Vittoriale degli Italiani su impulso del professor Giordano Bruno Guerri.

Un’esperienza del genere potrebbe essere traslata all’interno di un’impresa per la risoluzione di quali tipi di problemi, o comunque in quale comparto lei vedrebbe meglio un’applicazione del genere?

Stanno nascendo soluzioni di questo tipo che vedono l’implementazione di quelli che si chiamano agenti intelligenti, che sono appunto degli avatar in grado di gestire dei sottoproblemi a livello aziendale, industriale. Un esperimento che abbiamo fatto, per esempio, è quello di cercare di creare un orchestratore di diversi agenti in grado di rispondere a delle domande specifiche. Per esempio, abbiamo un operaio che deve usare un muletto particolare, piuttosto che andarsi a leggere la documentazione di quel muletto e tutte le norme di sicurezza che deve applicare, interroga questo agente particolare e chiede come deve utilizzare il muletto in questione. Ogni agente è specializzato, per esempio, su un prodotto specifico, piuttosto che su un apparato aziendale specifico e l’orchestratore, una volta che riceve la domanda dall’impiegato, dall’operaio, o comunque dal dipendente, è in grado di smistare a questi agenti la domanda e ricevere la risposta più adeguata per chi ha fatto richiesta.

Questo è un applicativo che può essere usato nella parte di addestramento e formazione, ma lei quali altri impieghi dell’AI vedrebbe per l’impresa?

Ad oggi l’uso dell’intelligenza artificiale a livello aziendale in Italia è abbastanza povero. I dati Istat più recenti ci dicono che solo una piccola percentuale delle PMI ha provato a introdurre progetti di intelligenza artificiale e a portare avanti delle soluzioni, a integrare delle soluzioni di intelligenza artificiale. Questo è un po’ meno vero per le grandi imprese che invece nel 60% dei casi dicono già di utilizzare intelligenza artificiale, però a livello di piccole imprese, medie imprese, l’uso e l’integrazione dell’intelligenza artificiale è ancora veramente ridotto. Facciamo attenzione che l’intelligenza artificiale non è solo l’intelligenza artificiale generativa, quindi non è solo l’uso di chat GPT o copilot o comunque strumenti di chatbot equivalenti. L’intelligenza artificiale è anche tutta la parte di modelli predittivi, modelli di classificazione, di clustering, modelli di generazione dei contenuti, modelli per la classificazione delle immagini, quindi c’è tutto un mondo che potrebbe essere applicato alle nostre imprese per supportare i task di ogni giorno. Noi per esempio, come Università degli Studi dell’Insubria, abbiamo attivato un progetto di ricerca con l’ospedale di Niguarda e il Politecnico di Milano per creare un avatar di un medico che è in grado di interagire con pazienti che sono affetti da scompenso cardiaco: piuttosto che avere interviste una volta al mese col medico reale, hanno delle interviste settimanali con questo avatar che raccoglie l’andamento delle risposte dei pazienti. In base a un’analisi vocale che viene fatta sulle risposte si cerca di capire la condizione del paziente, se c’è un miglioramento, o un peggioramento.

Ci sono molti progetti innovativi e significativi che vedono l’utilizzo dell’intelligenza artificiale in contesti diversi, come per esempio quello sanitario, ma l’abbiamo applicata anche all’agricoltura per predire quella che è la qualità di prodotti vinicoli e di oli italiani, a partire da analisi chimico-fisiche, è possibile predire quella che potrebbe essere poi la percezione qualitativa dell’utente finale. Abbiamo applicato diversi anni fa alcuni modelli per predire l’andamento del covid per capire come dimensionare gli ospedali e le aree per le terapie intensive. Alcuni modelli possono essere applicati nell’ambito delle municipalità e delle smart cities, per esempio per predire traffico veicolare, gli spostamenti anche per i grandi eventi. Per le olimpiadi invernali Milano-Cortina, ci sono modelli per gestire la logistica dei visitatori in tempo reale per determinare gli spostamenti tra i vari siti delle gare. Quindi a livello di applicabilità gli scenari sono tantissimi e si spera che le aziende medio-piccole italiane inizino a capire le potenzialità che ci sono dietro questi strumenti.

Secondo lei i limiti quali sono in questo momento? Sono limiti di conoscenza, limiti di capacità, limiti economici?

È un insieme generale. Ci sono limiti di conoscenza e qui il nostro compito è formare, fare convegni dove si presentano soluzioni o comunque applicazioni dell’intelligenza artificiale, perché dal punto di vista economico creare degli strumenti di prova, proprio quelli che noi chiamiamo proof of concept, è molto economico. Il problema è che comunque le medie e piccole aziende italiane sono molto focalizzate sul loro day to day business, sul loro lavoro giornaliero, e pensare di affiancare un qualcosa di nuovo collaterale probabilmente è quello che limita un po’ l’applicabilità. Non devono essere necessariamente progetti grossi da milioni di euro, devono essere delle prove, delle sperimentazioni che poi possono magari portare a dei progetti più grandi, però bisogna iniziare a fare delle sperimentazioni.

I fondi europei, il PNRR, piuttosto che altre tipologie di fondi possono essere utili anche e soprattutto alle università per promuovere questa sperimentazione?

Sì, sicuramente fondi di questo tipo sono utili e sono necessari per le università e per i centri di ricerca, perché noi per fare ricerca e trasferimento tecnologico alle industrie abbiamo bisogno di questi finanziamenti, sono gli unici finanziamenti che abbiamo a disposizione per fare della ricerca, più ovviamente quelli ministeriali o quelli che magari arrivano da enti privati, però sono fondi necessari per poter fare ricerca, innovazione e per portarla poi all’industria.

Quali sono, oggi, i limiti dell’intelligenza artificiale e secondo lei qual è la naturale evoluzione che ci potrà permettere quel salto di qualità?

Al momento questi strumenti non sono ancora completamente affidabili, sappiamo che soffrono di quelle che si chiamano allucinazioni, sappiamo che spesso non sono precisi nelle risposte che danno, però dobbiamo anche considerare che questi sono strumenti a supporto di ciò che viene fatto, non bisogna mai pensare che questi strumenti debbano sostituirci nel nostro lavoro quotidiano. Stiamo cercando di sviluppare dei sistemi che si chiamano autoadattativi, noi li chiamiamo self-healing, ovvero capaci di auto modificarsi, adattarsi per risolvere i problemi delle allucinazioni, ovvero di quei contenuti che vengono inventati di sana pianta da questi large language model, quindi dagli strumenti come chat gpt eccetera, e lo stiamo facendo proprio per risolvere alcuni dei limiti grossi che hanno questi strumenti, però ripeto l’output deve essere sempre verificato. Secondo me è il momento di pensare a un’unione collettiva dell’intelligenza umana con quella digitale e artificiale di supporto e di scambio di conoscenza, perché alcune cose che fa l’intelligenza artificiale per esempio non siamo in grado di farle, quando dobbiamo guardare 100 miliardi di righe di un file che contiene infiniti dati, noi non sappiamo farlo. L’intelligenza artificiale lo sa fare e magari genera conoscenza da quest’analisi di questi dati molto grandi. Dobbiamo entrare in un’ottica dove abbiamo un’intelligenza di supporto ulteriore: un nuovo collega che ci sta di fianco e che ci può aiutare nelle attività di tutti i giorni, che non è il collega alla quale io devo scaricare il mio lavoro e faccio lavorare lui al posto mio, ma deve essere un collega con la quale io mi confronto, da cui posso avere spunti intelligenti, importanti, ma devo sempre stare attento a quello che mi dice.

Cosa pensa dell’AI-ACT?

Da una parte ritengo che sia giusto limitare l’applicabilità dell’intelligenza artificiale, dall’altra questa regolamentazione non deve frenare lo sviluppo, perché ripeto, a livello italiano l’applicabilità dell’intelligenza artificiale in azienda e nelle aziende italiane è molto bassa, a livello europeo siamo i fanalini di coda, figurarsi a livello mondiale dove abbiamo USA e Cina che vanno dieci volte alla velocità dell’Europa, quindi non dobbiamo introdurre delle regole che vanno a rallentare ulteriormente il processo di applicazione dell’intelligenza artificiale.

È necessario limitare anche l’etica?

La questione etica ha sempre una doppia visione, il problema che vedo io quando alcuni miei colleghi parlano di etica nell’uso dell’intelligenza artificiale o di un’intelligenza artificiale generale, mondiale, buona, mi fa un po’ sorridere perché noi non abbiamo una concezione comune di quello che è buono a livello mondiale, cioè quello che è buono per noi occidentali magari per il mondo orientale è cattivo o viceversa.

Uno perché quello che è etico per noi magari ripeto non è etico per qualcun altro, due perché magari noi applichiamo i nostri principi ci freniamo nello sviluppo di certe tecnologie ma dall’altra parte questo principio etico non ce l’hanno, vanno avanti a investire su quella tecnologia o su quello sviluppo e quindi anche lì il divario diventa sempre più ampio.

Cosa riserva il futuro?

Il salto vero che si può fare è iniziare a pensare a un uso del quantum computing anche per l’intelligenza artificiale. Stiamo parlando di cose futuristiche, ad oggi, ci sono delle prime implementazioni abbastanza semplici ma se vogliamo guardare al medio-lungo termine a livello di ricerca scientifica bisogna andare verso l’integrazione del quantum computing e dell’intelligenza artificiale.

Cybersecurity: resilienza cibernetica delle micro e piccole imprese e della PA, un nuovo paradigma siglato ACN ed ENM

di Claudio Verzola - Dipartimento IT Cyber Security – Ente Nazionale per il Microcredito

Abstract - The Memorandum of Understanding between the National Cybersecurity Agency and the National Microcredit Agency: A New Paradigm for Cyber Resilience of Micro and Small Enterprises and Public Administrations

This article examines the Memorandum of Understanding signed between the National Cybersecurity Agency (ACN) and the National Microcredit Agency (ENM), aimed at strengthening cyber resilience and digital readiness of Italian enterprises and public administrations. The analysis explores the MicroCyber European Digital Innovation Hub project, led by ENM, which provides cybersecurity services to micro and small enterprises in Southern Italy. The article contextualizes these initiatives within the current geopolitical scenario, marked by the 60% increase in hybrid attacks against critical infrastructures reported by NATO and Admiral Giuseppe Cavo Dragone’s statements on the need for a more proactive approach to cyber defense. Particular attention is devoted to the opportunities for young entrepreneurs in the cybersecurity sector, highlighting how microcredit can support business creation in a market with immediate demand, contributing to national security while fostering economic development.

1. INTRODUZIONE
La trasformazione digitale che caratterizza il contesto economico contemporaneo porta con sé opportunità di sviluppo significative ma anche rischi sempre più pervasivi, tra cui l’aumento esponenziale degli attacchi informatici. In questo scenario, le piccole e medie imprese italiane, che rappresentano oltre il 99% del tessuto imprenditoriale nazionale, risultano particolarmente esposte alle minacce cibernetiche, spesso a causa di risorse limitate e misure di sicurezza meno robuste rispetto alle grandi organizzazioni.
È in questo contesto che si inserisce il Protocollo d’Intesa recentemente firmato tra l’Agenzia per la Cybersicurezza Nazionale (ACN) e l’Ente Nazionale per il Microcredito (ENM)1, un accordo che inaugura un’azione coordinata volta al rafforzamento della resilienza cibernetica e della prontezza digitale delle imprese e delle Pubbliche Amministrazioni italiane. Tale intesa si affianca al progetto MicroCyber, l’European Digital Innovation Hub di cui l’ENM è capofila, consolidando il ruolo dell’Ente quale attore strategico nella diffusione della cultura della cybersicurezza. Il presente contributo si propone di analizzare questi sviluppi, inquadrandoli nel più ampio contesto normativo e geopolitico, anche alla luce delle recenti dichiarazioni dell’Ammiraglio Giuseppe Cavo Dragone sulla crescente minaccia degli attacchi ibridi.

2. IL QUADRO NORMATIVO DI RIFERIMENTO
Il Protocollo d’Intesa tra ACN ed ENM si colloca all’interno di un articolato quadro normativo che ha visto negli ultimi anni un significativo rafforzamento degli obblighi in materia di cybersicurezza. Sul piano nazionale, la legge 28 giugno 2024, n. 902 ha introdotto disposizioni stringenti in materia di rafforzamento della cybersicurezza nazionale e di reati informatici, prevedendo l’adozione di misure specifiche per le pubbliche amministrazioni e istituendo nuovi obblighi di notifica degli incidenti.
A livello europeo, il decreto legislativo 4 settembre 2024, n. 1383 ha recepito la direttiva (UE) 2022/2555, nota come direttiva NIS2, che amplia significativamente il perimetro dei soggetti obbligati e rafforza le misure di sicurezza richieste. Tale decreto prevede un ampio catalogo di obblighi relativi alla sicurezza della catena di approvvigionamento, alla manutenzione dei sistemi informativi e di rete, nonché alla sicurezza e all’affidabilità del personale.
La Strategia Nazionale di Cybersicurezza 2022-2026 completa il quadro di riferimento, individuando tre obiettivi fondamentali: la protezione degli asset strategici nazionali, la risposta a minacce e incidenti cibernetici, e lo sviluppo sicuro delle tecnologie digitali. Tale strategia riconosce nella formazione e nella sensibilizzazione elementi essenziali per innalzare i livelli di sicurezza e resilienza cibernetica del Paese.

3. IL PROTOCOLLO D’INTESA ACN-ENM: CONTENUTI E FINALITÀ
Attraverso il Protocollo d’Intesa, l’ACN e l’ENM si impegnano a realizzare attività congiunte di sensibilizzazione, eventi formativi, workshop tematici e seminari, dedicati a diversi destinatari: dagli operatori in servizi ausiliari non finanziari di assistenza e monitoraggio del microcredito, alle micro e piccole imprese, ai professionisti e lavoratori autonomi, fino alle pubbliche amministrazioni.
L’accordo prevede percorsi formativi differenziati e articolati in funzione del livello di maturità digitale e delle esigenze operative dei destinatari. Tale approccio modulare risponde all’esigenza di raggiungere con efficacia un pubblico estremamente eterogeneo, dalle microimprese artigiane alle amministrazioni locali, calibrando i contenuti formativi sulle specifiche necessità e competenze pregresse.
La scelta dell’ENM come partner istituzionale dell’ACN appare particolarmente significativa. L’Ente, infatti, opera a stretto contatto con le fasce più vulnerabili del tessuto imprenditoriale italiano, quelle che più difficilmente accedono ai canali tradizionali di formazione sulla cybersicurezza e che, contestualmente, risultano tra le più esposte agli attacchi informatici.

4. IL PROGETTO MICROCYBER: L’EUROPEAN DIGITAL INNOVATION HUB A GUIDA ENM
Il Protocollo d’Intesa con l’ACN si inserisce in una più ampia strategia dell’Ente Nazionale per il Microcredito nel campo della cybersicurezza, che trova la sua massima espressione nel progetto MicroCyber4. Si tratta di un European Digital Innovation Hub (EDIH) selezionato dalla Commissione Europea nell’ambito della call “DIGITAL-2021-EDIH-01” del programma Digital Europe, di cui l’ENM è capofila e coordinatore.
Il progetto, cofinanziato al 50% dalla Commissione Europea e al 50% dal Ministero delle Imprese e del Made in Italy, ha una durata iniziale di 36 mesi, estendibile per ulteriori 24 mesi al raggiungimento degli obiettivi prefissati. Il partenariato pubblico-privato che sostiene MicroCyber riunisce eccellenze del mondo accademico, della ricerca e della consulenza5, garantendo un’offerta di servizi completa e integrata.
MicroCyber ha come focus tecnologico lo sviluppo e la diffusione di competenze digitali innovative in materia di cybersecurity presso le micro e piccole imprese, i professionisti e le pubbliche amministrazioni locali delle sette regioni del Mezzogiorno d’Italia6. L’obiettivo è rendere il livello di digitalizzazione del target sicuro e compatibile con un ambiente economico profondamente trasformato dalle sfide tecnologiche contemporanee.
I servizi offerti da MicroCyber includono: la valutazione della maturità digitale attraverso il Digital Maturity Assessment Tool (DMAT); lo svolgimento di attività di Cyber Range, con simulazioni di scenari di attacco informatico; sessioni formative online e in presenza; mentoring personalizzato; e percorsi di “Test-before-Invest” che consentono alle imprese di sperimentare soluzioni di cybersecurity prima di procedere con investimenti strutturati.
La peculiarità di MicroCyber risiede nella capacità di coniugare consulenza tecnica e accompagnamento finanziario, grazie all’esperienza unica dell’ENM nel campo del microcredito e dell’imprenditorialità sociale. Il progetto può infatti promuovere strumenti quali il microcredito imprenditoriale, il supporto per la partecipazione a bandi pubblici, la connessione con investitori e l’accesso a strumenti finanziari innovativi come il crowdfunding.
Sul piano della cooperazione internazionale, MicroCyber ha già attivato collaborazioni e dinamiche di cross-fertilization con altri EDIH europei attivi nel campo della cybersecurity, attraverso la sottoscrizione di protocolli d’intesa con hub spagnoli, cechi e portoghesi. Tale dimensione transnazionale consente di condividere best practices e di costruire un ecosistema europeo di difesa condiviso.

5. LE MIGLIORI PRATICHE PER LA RESILIENZA CIBERNETICA DELLE PMI
Il Rapporto Cyber Index PMI 20247 fotografa una situazione di marcata immaturità delle PMI italiane nella gestione dei rischi cyber: con un punteggio medio di 52 su 100, ben al di sotto della soglia di sufficienza fissata a 60, emerge come solo il 15% delle imprese intervistate adotti un approccio strutturato alla cybersicurezza, mentre il 56% risulta poco consapevole o totalmente impreparato.
L’ACN ha pubblicato guide specifiche per i dirigenti delle PMI8 che individuano una serie di misure fondamentali per il rafforzamento della postura cyber. Tra le raccomandazioni principali si segnalano: l’adozione dell’autenticazione a più fattori (MFA) per l’accesso a tutti i sistemi aziendali; la gestione di backup adeguatamente protetti, con particolare attenzione alla loro separazione dalla rete principale; la cifratura dei dati sensibili; la limitazione dei privilegi utente secondo il principio del minimo privilegio e l’adozione di approcci Zero Trust; la selezione accurata di fornitori IT qualificati; e la nomina di un responsabile per la cybersicurezza.