La cybersicurezza tra diritto e tecnologia: la sfida della governance nell’era quantistica

Negli ultimi anni, la cybersicurezza ha smesso di essere una questione puramente tecnica per trasformarsi in un tema centrale della governance contemporanea. Le infrastrutture digitali su cui si fondano le nostre società: dai sistemi finanziari ai servizi pubblici, fino alle comunicazioni diplomatiche, dipendono in modo crescente da meccanismi crittografici che garantiscono la riservatezza e l’integrità dei dati. Tuttavia, l’emergere di nuove tecnologie, in particolare il calcolo quantistico, sta mettendo in discussione le fondamenta stesse di questa architettura di sicurezza.

La crittografia, oggi, non è soltanto uno strumento di protezione: è un vero e proprio pilastro della governance digitale. Essa consente il funzionamento di processi essenziali come le transazioni economiche, l’identità digitale, i servizi amministrativi e persino i sistemi elettorali. In questo senso, la sicurezza crittografica non riguarda solo la protezione dei dati, ma la stabilità delle istituzioni e la fiducia nei sistemi digitali.

Dal rischio tecnologico al problema di governance

L’arrivo del quantum computing introduce un cambiamento radicale in questo equilibrio. I computer quantistici, sfruttando fenomeni come la sovrapposizione e l’entanglement, promettono di risolvere in tempi estremamente ridotti problemi matematici oggi considerati intrattabili per i computer classici. Tra questi vi sono proprio i problemi su cui si basano molti sistemi di crittografia attualmente in uso, come RSA o la crittografia a curve ellittiche.

Il rischio non è solo teorico. Anche in assenza di computer quantistici pienamente operativi, esiste già una minaccia concreta: la strategia del cosiddetto “harvest now, decrypt later”. Attori ostili possono intercettare e archiviare dati cifrati oggi, con l’obiettivo di decifrarli in futuro quando le tecnologie quantistiche saranno mature. Questo introduce una dimensione temporale completamente nuova nella cybersicurezza, rendendo inefficaci approcci puramente reattivi.

Di fronte a questo scenario, la transizione verso la crittografia post-quantistica (Post-Quantum Cryptography, PQC) non può essere interpretata come un semplice aggiornamento tecnologico. Si tratta, piuttosto, di una trasformazione sistemica che coinvolge strutture istituzionali, modelli organizzativi e meccanismi regolatori. In altre parole, è un problema di governance.

La governance multilivello della cybersicurezza

Uno degli elementi chiave per comprendere questa trasformazione è il concetto di governance multilivello. La cybersicurezza, infatti, non è gestita da un unico attore, ma emerge dall’interazione tra diversi livelli: globale, europeo e nazionale. Organismi internazionali, istituzioni dell’Unione Europea, agenzie nazionali e attori privati contribuiscono tutti alla definizione di standard, norme e pratiche operative.

A livello europeo, questa complessità si riflette in strumenti normativi come la direttiva NIS2, che rafforza gli obblighi di gestione del rischio per le entità essenziali e importanti, imponendo requisiti più stringenti in materia di sicurezza delle reti e dei sistemi informativi. Allo stesso tempo, accanto alla normativa vincolante, si sviluppa un insieme di strumenti di soft law (come raccomandazioni e linee guida) che orientano ma non determinano completamente l’azione degli Stati membri.

Questa combinazione di hard law e soft law genera un sistema ibrido, caratterizzato da aspettative regolatorie comuni ma anche da ampi margini di discrezionalità nazionale. Il risultato è una governance complessa, in cui il coordinamento tra livelli diversi diventa essenziale ma al tempo stesso difficile da realizzare.

Il problema dell’implementation gap

Uno degli aspetti più critici che emerge in questo contesto è il cosiddetto implementation gap, ossia il divario tra gli obiettivi normativi e la loro effettiva attuazione a livello operativo.

Le politiche europee e internazionali forniscono indirizzi strategici chiari, e gli standard tecnici per la crittografia post-quantistica sono già in fase avanzata di sviluppo. Tuttavia, ciò non significa che le organizzazioni siano pronte ad implementare questi cambiamenti. Al contrario, numerose evidenze mostrano che la transizione è ostacolata da vincoli pratici: sistemi legacy, complessità delle infrastrutture, mancanza di risorse e competenze, difficoltà di coordinamento interno.

Il problema, quindi, non è l’assenza di soluzioni tecniche, ma la difficoltà di tradurre le indicazioni di governance in pratiche concrete. In molti casi, la sicurezza rimane una priorità dichiarata a livello strategico, ma non si traduce in azioni strutturate all’interno delle organizzazioni.

Questa dinamica evidenzia un punto fondamentale: la cybersicurezza non dipende solo dalla qualità degli algoritmi, ma dalla capacità dei sistemi di governance di trasformare norme e standard in comportamenti operativi.

Il caso italiano: tra coordinamento e frammentazione

Il contesto italiano rappresenta un esempio significativo di queste dinamiche. Da un lato, l’Italia è formalmente allineata al quadro normativo europeo e partecipa attivamente ai meccanismi di coordinamento. Dall’altro, il sistema nazionale presenta una certa frammentazione istituzionale, con una pluralità di attori coinvolti nella governance della cybersicurezza.

Tra questi, l’Agenzia per la Cybersicurezza Nazionale (ACN) svolge un ruolo centrale nel coordinamento strategico e nella promozione di misure di sicurezza, inclusa l’adozione della crittografia post-quantistica. Accanto ad essa operano altre istituzioni rilevanti, come l’Agenzia per l’Italia Digitale (AgID), il Garante per la protezione dei dati personali e il Comitato interministeriale per la transizione digitale, ciascuno con competenze specifiche.

Questa pluralità di attori riflette la complessità del dominio, ma può anche generare problemi di coordinamento e sovrapposizione di competenze. In assenza di meccanismi efficaci di integrazione, il rischio è che le politiche rimangano disallineate e che l’implementazione proceda in modo disomogeneo.

Verso una governance anticipatoria

La sfida principale che emerge è quindi quella di sviluppare una governance anticipatoria, capace di agire prima che le vulnerabilità si materializzino pienamente. A differenza di altre minacce informatiche, il rischio quantistico impone di intervenire con largo anticipo, poiché i tempi necessari per la migrazione delle infrastrutture crittografiche sono lunghi e complessi.

Questo implica un cambiamento di paradigma: dalla gestione reattiva delle crisi alla pianificazione strategica di lungo periodo. Le organizzazioni devono essere in grado di mappare le proprie dipendenze crittografiche, pianificare la transizione e integrare i requisiti normativi nei processi decisionali. Allo stesso tempo, le istituzioni devono creare strumenti che facilitino questa traduzione tra livello normativo e operativo.

In questo senso, la cybersicurezza diventa un terreno di intersezione tra diritto, tecnologia e organizzazione, in cui il successo non dipende solo dall’innovazione tecnica, ma dalla capacità di coordinare attori, risorse e competenze.

Conclusione

La trasformazione in atto nel campo della cybersicurezza mostra chiaramente come le sfide tecnologiche contemporanee siano inseparabili dalle dinamiche di governance. La crittografia, da strumento tecnico, si è evoluta in un elemento strutturale della sicurezza internazionale e della stabilità istituzionale.

L’avvento del quantum computing non rappresenta solo una minaccia tecnologica, ma un test per la capacità dei sistemi di governance di adattarsi a un contesto in rapido cambiamento. Colmare il divario tra norme e implementazione, rafforzare il coordinamento multilivello e sviluppare approcci anticipatori saranno elementi decisivi per garantire la sicurezza delle infrastrutture digitali nel futuro.

In ultima analisi, la questione non è se le tecnologie saranno disponibili, ma se le istituzioni saranno pronte a governarle.