Governance tecnologica e sicurezza: serve una visione integrata per le imprese e la PA

Governance tecnologica e sicurezza: serve una visione integrata per le imprese e la PA. Intervista VIP a Alessio Tola

Le strategie europee – basti considerare il Digital Compass, la Digital Decade, l’AI Act, fino alla rinnovata cornice che regola lo sviluppo della cyber security – stanno ridefinendo i ritmi di sviluppo dell’innovazione, con cui bisogna fare i conti se vogliamo garantire una tutela e un progresso dei diritti fondamentali in un orizzonte di sostenibilità.

Le politiche nazionali, attraverso il Codice dell’Amministrazione Digitale, il Piano Triennale ICT e il PNRR, stanno proiettando il Paese verso un modello di governance datadriven, interoperabile, finalizzato alla creazione di un sistema integrato, efficiente e sicuro, in grado di produrre valore pubblico misurabile. Senza competenze adeguate – non solo tecniche, ma anche manageriali, etiche e progettuali nessuna transizione digitale potrà mai realizzarsi in modo compiuto.

Ne abbiamo parlato con il prof. Alessio Tola, professore ordinario di analisi e valutazione delle tecnologie dell’Università degli studi di Sassari.

Professor Tola, qualità dei processi, analisi e valutazione delle tecnologie sono il suo lavoro di ricerca quotidiano. Stiamo, molto a fatica, acquisendo una consapevolezza: la trasformazione digitale non è solo a un fatto tecnico, ma un cambiamento strutturale che ridefinisce i modelli organizzativi, le culture professionali e gli asset relazionali. Qual è il suo pensiero in merito?

Dopo i primi facili e superficiali entusiasmi che hanno connotato il primo sviluppo di quella che si definiva “società dell’informazione”, abbiamo compreso che la tecnologia non è più soltanto un insieme di strumenti operativi: rappresenta una vera e propria infrastruttura strategica che abilita modelli organizzativi, processi decisionali e servizi essenziali. Senza un sistema di governance chiaro – fatto di regole, ruoli, responsabilità e metriche di controllo – l’innovazione rischia, perciò, di trasformarsi in mera strumentazione tecnica, non contribuendo a risolvere le problematiche strutturali e organizzative per cui deve essere impiegata.

Quale deve essere il modello per una governance integrata della sicurezza dello spazio cibernetico?

Nelle imprese, un superficiale sfruttamento delle potenzialità tecnologiche si traduce in una perdita secca di competitività; nella pubblica amministrazione significa non riuscire a garantire servizi affidabili, inclusivi e sicuri per i cittadini. cittadini. Teniamo conto che un modello di governance tecnologica efficace si fonda su cinque pilastri fondamentali:

1. Visione strategica chiara: ogni organizzazione deve definire quale valore la tecnologia deve creare.
2. Coerenza delle architetture tecnologiche: infrastrutture, dati e sicurezza devono essere integrati.
3. Accountability: è essenziale che ruoli come CIO, CTO e Responsabile della Transizione Digitale siano chiaramente definiti.
4. Processi di valutazione: devono includere assessment di impatto, analisi dei rischi, costi/benefici e sostenibilità.
5. Monitoraggio continuo: con sistemi di audit capaci di misurare performance, maturità e aderenza alle normative.

Imprese private e PA presentano analogie nel modo di approcciarsi alla sicurezza?

Vi sono certo differenze, ma anche notevoli punti di convergenza. La PA gestisce dati pubblici e servizi essenziali, con impatti sociali potenzialmente elevati in caso di incidente; le imprese, invece, si concentrano sui rischi economici e reputazionali. In entrambi i casi è necessario adottare un modello di security by design, che comprenda analisi preventiva dei rischi, applicazione di standard internazionali – come ISO/IEC 27001 e 27701 – gestione dei dati conforme al GDPR e sistemi di monitoraggio in tempo reale.

L’IA è entrata ormai a “gamba tesa” in qualsiasi ragionamento sulle connotazioni della “Quarta rivoluzione”. Cosa possiamo aggiungere in merito?

L’intelligenza artificiale introduce opportunità e rischi inediti nei modelli di governance e sicurezza. Da un lato consente l’automazione dei processi, l’analisi predittiva e un supporto decisionale più avanzato; dall’altro può generare bias, opacità, vulnerabilità nelle pipeline dei dati e una crescente dipendenza da piattaforme esterne. Credo che normative come l’AI Act europeo richiedano valutazioni d’impatto, classificazione del rischio e trasparenza. Diventa necessario integrare l’AI nei framework di controllo, istituire figure come l’AI Risk Officer e adottare modelli ibridi uomomacchina, in cui la supervisione umana rimanga imprescindibile.

Il lavoro sulle competenze e sulla formazione non ha mai fine. Stiamo facendo quello che serve per camminare al passo con i tempi di innovazione e implementazione di reti e sistemi?

Sono tre le grandi aree disciplinari che bisogna presidiare: competenze tecniche, come cybersecurity, data management e architetture cloud; competenze organizzativo-gestionali, come project management e change management; e competenze etiche e regolatorie, legate a privacy, responsabilità e trasparenza algoritmica. Guardando un po’ più avanti, ai prossimi cinque anni, emergono alcune priorità condivise tra imprese e pubblica amministrazione, a cominciare dal considerare la sicurezza un investimento strategico, cui si aggiunge la necessità di garantire la sovranità dei dati e delle piattaforme e la promozione di una trasformazione digitale responsabile, fatta di valutazioni d’impatto, audit algoritmici e solide strutture di governance.

Autore: Massimiliano Cannata