Un nuovo progetto MUSA, raccontato da Wired, che analizza lo stato della sicurezza informatica negli enti locali lombardi: infrastrutture solide, ma è il fattore umano a fare davvero la differenza.

La cybersecurity nella pubblica amministrazione è uno di quei temi “giganti” che intrecciano tecnologia, processi e competenze. E oggi torna al centro dell’attenzione grazie a un nuovo contributo su Wired, dedicato a un progetto di MUSA: Cybersecurity negli enti locali, è sempre il fattore umano a fare la differenza. Un messaggio chiaro: anche con infrastrutture più moderne e migrazioni al cloud, la sicurezza dipende ancora (molto) da comportamenti, consapevolezza e formazione.

Una ricerca strutturata, non un semplice sondaggio

L’indagine – conclusa nel 2024 – è stata coordinata da Danilo Bruschi, direttore del Dipartimento di Informatica dell’Università degli Studi di Milano, nell’ambito del Milan Economic Impact Evaluation Center (MEIEC), in collaborazione con AnciLab. L’obiettivo era fotografare lo stato della cybersecurity nei Comuni lombardi con un approccio rigoroso, capace di andare oltre le dichiarazioni di principio.

Tre fasi: ascolto, dati, verifica sul campo

Il lavoro si è sviluppato in modo progressivo e concreto:

  • Focus group preliminari con figure manageriali, amministrative e tecniche di circa 20 Comuni, per capire quali aspetti della cybersecurity fossero percepiti come più critici.
  • Questionario esteso a tutti i Comuni della Lombardia, con 206 enti rispondenti.
  • Validazione sul campo, decisiva: con il consenso degli enti sono stati condotti vulnerability assessment sui siti comunali e una simulazione di campagna phishing.

Questo impianto ha permesso di misurare non solo “cosa si dichiara”, ma anche “cosa accade” nella pratica quotidiana.

Il dato più importante: il fattore umano

Dalla ricerca emerge un punto centrale: la cybersecurity non è solo una questione di strumenti. Anche quando le infrastrutture sono adeguate, la differenza la fanno le persone: come riconoscono i rischi, come gestiscono credenziali e procedure, come reagiscono alle minacce più comuni (a partire dal phishing). In altre parole, la sicurezza diventa davvero efficace solo quando è integrata nelle abitudini di lavoro e nella cultura organizzativa.

La conclusione del report è netta e impegnativa: le priorità per chi decide dovrebbero essere tre – formazione, formazione e formazione. Non basta sensibilizzare: servono percorsi strutturati, continui, in grado di trasformare la consapevolezza in competenza operativa, a tutti i livelli dell’ente.

Questo nuovo spazio su Wired conferma la capacità di MUSA di produrre evidenze utili e concrete per accompagnare la trasformazione digitale della PA. Perché, quando si parla di resilienza digitale nei territori, la tecnologia è fondamentale – ma è la componente umana a determinare davvero la tenuta del sistema.