Come l’Europa sta reinventando la cybersecurity per le infrastrutture critiche

Le infrastrutture critiche europee sono sotto pressione. Reti energetiche, sistemi idrici, infrastrutture finanziarie, porti e reti di telecomunicazione sono sempre più interconnessi — e questa interdipendenza, se da un lato aumenta l’efficienza, dall’altro moltiplica i punti di vulnerabilità. Un attacco che colpisce un nodo può propagarsi lungo l’intera catena, con effetti difficili da contenere. Le organizzazioni che gestiscono infrastrutture critiche si trovano oggi a dover operare in ambienti sempre più esposti, dove le minacce evolvono più rapidamente della capacità di risposta dei modelli di sicurezza tradizionali, rendendo urgente il passaggio da un approccio reattivo ad uno proattivo e autonomo.

Sul piano normativo, la risposta europea è già arrivata: la Direttiva NIS2 (Network and Information Security, seconda versione), il Regolamento DORA (Digital Operational Resilience Act) per il settore finanziario ed il Cyber Resilience Act (CRA) definiscono oggi un quadro di obblighi che si applica a un numero di soggetti molto più ampio rispetto al passato. Ma la conformità normativa non basta. Servono strumenti capaci di anticipare le minacce, non solo di gestirle dopo che si sono verificate.

Questa è precisamente la sfida che VIGILANCE — Versatile Intelligent aGents for Interconnected Ledgers and Autonomous Next-gen Cybersecurity Ecosystems — si propone di affrontare.

VIGILANCE è un progetto europeo di ricerca e sviluppo, cofinanziato dall’Unione Europea nell’ambito del programma Digital Europe gestito dal Centro Europeo di Competenza per la Cybersecurity (ECCC). Con un budget totale di circa 8 milioni di euro, , il progetto riunisce 18 partner con expertise complementari, provenienti da otto paesi europei: Italia, Romania, Spagna, Germania, Grecia, Francia, Cipro e Paesi Bassi. GFT Italia ricopre il ruolo di coordinatore del progetto e guida le task tecniche dedicate all'Agentic AI applicata alla cybersecurity, mettendo a sistema una competenza consolidata nella trasformazione digitale dei settori finanziario e industriale. Dal reattivo al proattivo: l’architettura di VIGILANCE

Al centro di VIGILANCE si trova una piattaforma a cinque livelli, altamente innovativa, scalabile e integrata, costruita sui principi della Zero Trust Architecture (ZTA). Il modello Zero Trust opera sul presupposto che nessun utente, dispositivo o segmento di rete debba essere considerato automaticamente affidabile — nemmeno quelli interni al perimetro aziendale. Ogni richiesta di accesso deve essere continuamente verificata, indipendentemente dalla sua origine. Questo cambio di paradigma è particolarmente adatto agli ambienti di infrastruttura critica, dove sistemi legacy coesistono spesso con asset digitali moderni e dove la tradizionale nozione di perimetro sicuro è diventata sempre più difficile da definire.

L’architettura a cinque livelli è progettata per essere incrementale e interoperabile, consentendo alle organizzazioni di adottare la piattaforma progressivamente senza interrompere le operazioni esistenti. Ogni livello si costruisce sul precedente, abilitando complessivamente una governance della cybersecurity end-to-end in ambienti complessi e multi-organizzazione:

• Verifica continua e controllo degli accessi. Il livello fondamentale garantisce che ogni identità, dispositivo e connessione venga autenticata e autorizzata in tempo reale, eliminando la fiducia implicita dal modello di sicurezza.
• Rilevamento delle anomalie in tempo reale. Attraverso modelli avanzati di machine learning, questo livello monitora il comportamento della rete e i flussi di dati per identificare deviazioni rispetto alle baseline stabilite, abilitando la rilevazione precoce delle minacce prima che si producano danni.
• Valutazione adattiva del rischio e delle vulnerabilità. Invece di assessment periodici e isolati nel tempo, VIGILANCE offre una valutazione continua del rischio e una gestione dinamica delle vulnerabilità, capace di adattarsi ai cambiamenti del panorama delle minacce.
• Cyber Threat Intelligence (CTI) proattiva. I dati frammentati sulle minacce provenienti da fonti multiple vengono trasformati in intelligence condivisa e operativa, consentendo alle organizzazioni di anticipare e mitigare collettivamente le minacce emergenti prima che si aggravino.
• Risposta autonoma e orchestrazione. Il livello superiore consente alla piattaforma di coordinare autonomamente le azioni difensive su diversi domini amministrativi, riducendo i tempi di risposta e il carico operativo sui team di sicurezza.

Ciò che distingue VIGILANCE dalle soluzioni di cybersecurity convenzionali è l’integrazione deliberata di quattro domini tecnologici emergenti, ciascuno dei quali affronta una dimensione specifica della difesa informatica di nuova generazione.

• Adversarial AI. Gli hacker sfruttano in misura crescente tecniche generate dall’intelligenza artificiale — dall’ingegneria sociale basata su deepfake alla scansione automatizzata delle vulnerabilità — per eludere i sistemi di rilevamento. VIGILANCE impiega metodi di adversarial AI per mettere alla prova le proprie difese, simulando scenari di attacco per identificare e chiudere le vulnerabilità prima che gli avversari reali possano sfruttarle.
• GenAI. I modelli linguistici di grandi dimensioni e i sistemi generativi vengono utilizzati per automatizzare la sintesi e la contestualizzazione della threat intelligence, traducendo dati grezzi di sicurezza in insight leggibili e immediatamente operativi per analisti e stakeholder non tecnici. Questo riduce il carico cognitivo sugli operatori e accelera il processo decisionale in scenari ad alta pressione temporale.
• Blockchain. La tecnologia a distributed ledger viene impiegata per garantire l’integrità e la tracciabilità degli eventi di sicurezza, delle catene di audit e dell’intelligence condivisa sulle minacce tra i partner del consorzio. In ambienti multi-organizzazione — come le supply chain interconnesse — la blockchain fornisce un registro a prova di manomissione che nessun singolo attore può alterare unilateralmente, supportando sia la responsabilità che la conformità normativa.
• Quantum computing. Sebbene i computer quantistici capaci di violare gli standard crittografici attuali non rappresentino ancora una minaccia concreta nel breve periodo, la comunità crittografica ha raggiunto un ampio consenso sul fatto che la transizione verso algoritmi quantum-resistant debba iniziare adesso. VIGILANCE integra meccanismi di cifratura quantum-resistant e soluzioni PQC (Post-Quantum Cryptography), insieme a tecniche di Quantum Key Distribution (QKD), per garantire che la confidenzialità e l'integrità dei dati scambiati tra le organizzazioni rimangano protette anche di fronte all'evoluzione delle capacità di calcolo quantistico.

Le infrastrutture critiche non operano in isolamento. Ogni rete elettrica dipende da una complessa rete di produttori di apparecchiature, fornitori di software, appaltatori di manutenzione e provider di servizi digitali. Questa complessità delle supply chain viene sfruttata in misura sempre maggiore dagli hacker.

VIGILANCE affronta esplicitamente questa sfida estendendo il proprio perimetro di sicurezza oltre le singole organizzazioni, fino a coprire intere supply chain digitali. L’architettura multi-dominio della piattaforma consente di applicare policy di sicurezza e monitoraggio attraverso diversi confini amministrativi, garantendo che la postura di sicurezza di una supply chain venga valutata in modo olistico, anziché organizzazione per organizzazione. Questo approccio supporta direttamente i requisiti di gestione del rischio della supply chain introdotti dalla NIS2 e dal Cyber Resilience Act (CRA) dell’UE.

Una delle innovazioni concettuali chiave di VIGILANCE è l’impiego di un Agentic AI Mesh, ovvero una rete di agenti intelligenti e autonomi capaci di coordinare le operazioni di sicurezza in ambienti distribuiti senza un intervento umano costante. Nei Security Operations Center (SOC) tradizionali, gli analisti umani sono i principali decisori, supportati da strumenti che portano in superficie e prioritizzano gli alert. Sebbene questo modello abbia servito bene l’industria, il volume di eventi di sicurezza generati dai moderni ambienti digitali sta superando la capacità cognitiva umana.

L’agentic AI risponde a questo collo di bottiglia abilitando la piattaforma a classificare, investigare e rispondere autonomamente a una quota significativa degli incidenti di sicurezza, scalando solo quelli che richiedono il giudizio umano agli analisti senior. Questo non sostituisce il ruolo dell’essere umano: lo eleva. I professionisti della sicurezza possono concentrarsi sull’analisi strategica delle minacce e sulle decisioni di policy, mentre le operazioni difensive di routine vengono gestite alla velocità della macchina. Per gli operatori di infrastrutture critiche, dove un ritardo nella risposta a un’intrusione può avere conseguenze fisiche, questa capacità non è un lusso ma una necessità

VIGILANCE non è solo un progetto tecnico: è un contributo all’ambizione più ampia dell’Europa di raggiungere la sovranità tecnologica nel campo della cybersecurity. Il Centro Europeo di Competenza per la Cybersecurity, che finanzia il progetto, è stato istituito proprio per ridurre la dipendenza da fornitori di tecnologia non europei per le funzioni di sicurezza critiche e per costruire una base industriale capace di competere a livello globale.

Sviluppando una piattaforma interamente progettata, costruita e validata all’interno dell’ecosistema europeo — da aziende, centri di ricerca e operatori di infrastrutture europei — VIGILANCE sostiene direttamente questo obiettivo. L’utilizzo di standard aperti e un’architettura interoperabile garantiscono inoltre che la piattaforma possa integrarsi con il più ampio panorama di strumenti di cybersecurity europei, a supporto degli obiettivi di protezione cibernetica sovrana, intelligente e collaborativa definiti dal programma Digital Europe – ECCC nell'ambito del quale VIGILANCE è finanziato.

VIGILANCE si svilupperà nell’arco di 36 mesi, con i pilot deployment che avanzeranno in parallelo allo sviluppo della piattaforma. Al termine del progetto, il consorzio punta ad aver prodotto una piattaforma di cybersecurity pienamente operativa e pronta per la commercializzazione, validata in più settori di infrastrutture critiche e pronta per una più ampia adozione sul mercato.

La sfida di mettere in sicurezza le infrastrutture critiche europee non si risolve una volta per tutte. Il panorama delle minacce continuerà ad evolversi, e le tecnologie alla base sia degli attacchi che delle difese diventeranno sempre più sofisticate. Ciò che VIGILANCE dimostra, tuttavia, è che la comunità europea di ricerca e industria ha l’ambizione, le competenze e la capacità collaborativa per restare un passo avanti — e per farlo in modo coerente con i valori europei di apertura, sovranità e resilienza.

Per le organizzazioni che operano in settori regolamentati — dalla finanza all’energia, dai trasporti alle telecomunicazioni — le lezioni che emergeranno da VIGILANCE saranno direttamente applicabili. La cybersecurity non è più un centro di costo da minimizzare: è una capacità strategica da costruire, sostenere e migliorare continuamente. La domanda non è se investire in una difesa informatica proattiva e intelligente, ma con quale urgenza farlo in modo efficace.