Repubblica Digitale

Quando parliamo di nuove tecnologie emergenti, tendiamo a parlarne nel loro insieme. L'intelligenza artificiale (IA), l'Internet delle cose (IoT), l'apprendimento automatico, la robotica si mescolano in un'unica grande cacofonia digitale di termini che pochi di noi comprendono, a prescindere dalla complessità o dalla novità delle tecnologie stesse. Nonostante la cibersicurezza venga spesso fatta rientrare in questo insieme, è lungi dall'essere nuova (o emergente) e molto diversa per natura e funzione.

In effetti, possiamo pensare alla cibersicurezza come una tecnologia abilitante, che consente di compiere progressi in altre discipline, come l'IA, l'IoT e la robotica, in uno spazio online sicuro. E poiché queste tecnologie digitali si evolvono e sono sempre più adottate in tutti i settori, la cibersicurezza assume un'importanza sempre maggiore, così come aumenta la necessità di esperti qualificati in materia di cibersicurezza, dotati di conoscenze più specialistiche nel campo dell'informazione e delle tecnologie informatiche (ICT), in grado di garantire la sicurezza di cittadini, sistemi e imprese.

Con l'aumento della frequenza e della sofisticazione degli attacchi hacker e delle truffe informatiche, anche le competenze di un professionista della cibersicurezza stanno evolvendo e cambiando rapidamente. Ciò rende ancora più difficile il processo di istruzione e formazione dei professionisti della cibersicurezza e minaccia gli obiettivi del prossimo decennio digitale europeo. I sistemi di istruzione sono stati lenti nel rispondere alle realtà del mercato del lavoro e la carenza di esperti in materia di cibersicurezza, sia in Europa che nel mondo, aumenta di anno in anno. Solo in Europa la carenza di professionisti della cibersicurezza è di quasi 1 milione di persone (circa 883,000), mentre il numero di esperti informatici necessari a livello mondiale raggiungerà presto i 4 milioni. Il divario di genere nel settore della cibersicurezza è un altro aspetto che richiede un'attenzione urgente: come suggeriscono i dati più recenti e come vedremo più avanti, le donne rappresentano meno di un quarto dei professionisti della cibersicurezza in Europa; e sono numericamente inferiori anche per quanto riguarda le competenze ICT e la cibersicurezza nell'istruzione superiore. 

Introduzione

La cibersicurezza è un settore in costante crescita: non più una parola vuota, ma piuttosto una necessità sia per i cittadini che per le imprese. Oltre il 90 % delle famiglie (Eurostat, 2023) in Europa accedono a Internet spesso per vari motivi, per usufruire dei servizi bancari online o per altri acquisti, per utilizzare i servizi pubblici online o prenotare una vacanza. Poiché ciò comporta la condivisione di informazioni sensibili, la conservazione e il trattamento sicuro e protetto dei propri dati è una priorità per tutti e, a meno che non vengano applicati protocolli di buone pratiche in materia di cibersicurezza, le imprese, i governi e le persone rischiano fughe significative di informazioni di vario tipo con conseguenti danni finanziari e alla reputazione, furti di identità e uso improprio dei dati personali. La transizione digitale significa più dati, maggiori informazioni e più dispositivi connessi: da questo dipendono oggi i processi pubblici, sociali e aziendali fondamentali. Ciò li rende probabilmente bersaglio di attacchi informatici, che negli ultimi anni hanno aumentato la frequenza e il potenziale di causare danni tanto che il Forum economico mondiale ha definito la criminalità informatica un "rischio globale sostanziale" nella sua relazione sui rischi globali del 2021. E non è tutto. Gli attacchi informatici odierni sono più sofisticati e più difficili da individuare, in quanto hanno dovuto evolvere insieme alla transizione digitale. Con l'adozione accelerata di tecnologie con un elevato potenziale di trasformazione e impatto come l'intelligenza artificiale (IA) o l'Internet degli oggetti (IoT) in tutti i settori e paesi, il ruolo dei professionisti della cibersicurezza acquisice sempre maggior valore, consentendo ai nuovi processi di funzionare in modo agevole e sicuro. In Europa la domanda di competenze in materia di cibersicurezza è aumentata in media del 22 % nel solo 2021, con un aumento di oltre il 30 % in alcuni Stati membri dell'UE, come la Germania, la Polonia o la Romania. 

Il quadro è lo stesso a livello mondiale. Il numero di addetti informatici a livello mondiale ha raggiunto il massimo storico, con quasi 5 milioni di esperti nel settore delle competenze ICT specializzati in questo settore attualmente occupati. Nonostante questi progressi, vi è ancora una carenza di 3.4 milioni di ciberlavoratori a livello mondiale (ISC2, 2022). La domanda di professionisti della cibersicurezza mostra un forte aumento, in particolare durante il periodo successivo alla pandemia di COVID-19, come sottolineato dall' OCSE nel 2023: in uno studio, il numero di annunci di lavoro online in cerca di professionisti della cibersicurezza nel primo semestre del 2022 è stato 5 volte superiore a quello dell'inizio del 2012 e doppio rispetto alla fine del 2019. Alcune stime in Europa (EIT Digital 2021) suggeriscono che le imprese dell'UE cercano centinaia di migliaia di esperti di cibersicurezza, andando oltre la fornitura dell'attuale banca dati dei talenti con competenze in materia di cibersicurezza. Secondo l'edizione 2022 del DESI, l'indice digitale dell'economia e della società dell'UE, più della metà delle imprese dell'UE ha segnalato difficoltà a coprire i posti vacanti nel settore delle competenze ICT, un indice annuale che monitora i progressi digitali degli Stati membri dell'UE in settori chiave, tra cui le competenze. 

Il divario informatico: sfide future 

Una carenza imminente di esperti in materia di cibersicurezza: in Europa e nel resto del mondo 

L'Europa non dispone ancora di professionisti qualificati in materia di cibersicurezza in più di uno o due settori di competenza. Il divario informatico è costituito da diverse dimensioni, ciascuna delle quali rappresenta una sfida specifica.

​​​​​​Nel 2022 la carenza di professionisti della cibersicurezza nell'UE variava tra il 260,000 e il 500,000, mentre il fabbisogno di personale dell'UE nel settore della cibersicurezza era stimato a 883,000 professionisti. Vi è inoltre un marcato squilibrio di genere nell'attuale gruppo di professionisti della cibersicurezza: nel 2022 le donne rappresentavano solo il 20 % dei laureati in cibersicurezza e meno del 20 % di tutti gli specialisti in materie ICT erano donne. Analogamente, le donne sono sottorappresentate nelle discipline STEM (scienza, tecnologia, ingegneria e matematica) all'interno dell'istruzione superiore, rappresentando poco più del 30 % di tutti i laureati nel settore (relazione di monitoraggio del settore dell'istruzione e della formazione 2022). Le università europee hanno compiuto notevoli progressi nel far conoscere agli studenti la sicurezza delle ICT: il numero di programmi e studenti che studiano la cibersicurezza nell'istruzione superiore è in aumento. Secondo l' ENISA (2021), ciò significa che ci si potrebbe aspettare di raddoppiare il numero di laureati in cibersicurezza entro i prossimi due anni. 

Gli esperti si augurano che questa tendenza abbia un impatto sulla forza lavoro. Un settore cruciale in cui la cibersicurezza rimane poco sviluppata in Europa riguarda le competenze presenti nella forza lavoro, che nel corso degli anni è diventato un "problema ben documentato" (ENISA 2021). Su scala mondiale, l'immagine presenta analogie. Con oltre 3.12 milioni di posti di lavoro nel settore della cibersicurezza non coperti nel 2021, la carenza di talenti in tutto il mondo è una questione trasversale che interessa sia le persone che la forza lavoro, l'istruzione e gli esperti digitali. Per quanto riguarda l'istruzione superiore, sono necessari maggiori sforzi per attirare le persone verso gli studi di materie ICT in generale e verso la cibersicurezza in particolare. I dati Eurostat mostrano che solo il 3,8 % dei laureati nell'UE nel 2 018 ha conseguito una laurea in materie ICT (Eurostat, 2020). 

Ancora meno donne rispetto agli uomini nel ciberspazio

Anche l'equilibrio di genere rimane un problema: solo il 20 % delle studentesse in Europa si è iscritto a programmi di cibersicurezza nelle università (ENISA, 2021). Nonostante queste medie, alcuni Stati membri dell'UE hanno compiuto progressi significativi nel colmare il divario digitale di genere. È il caso della Grecia, dove la percentuale di donne laureate nel settore delle TIC è quasi raddoppiata tra il 2019 e il 2021, passando dall'8,6 % al 15,8 % (Forum economicomondiale, 2022. Relazione globale sul divario di genere). Un maggior numero di donne interessate all'istruzione e alle carriere in materia di cibersicurezza è fondamentale se vogliamo affrontare questo problema e la mancanza di diversità nel settore è palpabile. Idati di LinkedIn mostrano che, tra i 12 paesi dell'UE, le donne rappresentano solo il 17 % circa della forza lavoro nel settore informatico (questo rapporto è il più alto in Polonia, il 13 %, e il più basso in Italia, dove le donne si attestano al 25 %). Le donne rappresentano meno di un quarto (24 %) della forza lavoro globale nel settore della cibersicurezza (ISC2, 2022) e tale rapporto varia a seconda dell'età: rappresentano il 30 % dei professionisti informatici di età inferiore ai 30 anni, ma solo il 14 % dei lavoratori informatici di età superiore ai 60 anni. Sarà difficile raggiungere l'obiettivo dell'UE di 20 milioni di specialisti nel settore delle TIC entro il 2030 senza migliorare l'inclusione. Sulla base delle tendenze attuali, nel 2030 meno del 25 % degli specialisti in TIC sarà costituito da donne, in aumento rispetto al 19 % del 2021. In molti paesi la quota è effettivamente in calo (Sekmokas & ampVitaitė, 2021: 8). Mentre alcuni Stati membri dell'UE stanno avvicinandosi a un rapporto più equilibrato (le donne specializzate nel settore delle TIC in Germania hanno raggiunto i 2 milioni e quelli francesi superano i 1.5 milioni), sulla base delle tendenze attuali altri paesi sono destinati a rimanere indietro per quanto riguarda la diversificazione delle TIC. Gli studi segnalano le tendenze preoccupanti di un crescente divario di genere nelle TIC in paesi come Bulgaria, Estonia, Irlanda, Cipro o Cechia (Sekmokas & ampVitairte, 2021: 15). 

Missione impossibile? Formazione di esperti in materia di cibersicurezza 

Anche la formazione dei professionisti della cibersicurezza richiede tempo e sforzi: entrambi riguardano l'istruzione superiore, ma anche la formazione sul posto di lavoro, importante sia per il miglioramento delle competenze che per la riqualificazione.  Ciò vale anche per la formazione sul posto di lavoro: assicurarsi che i dipendenti ricevano una formazione sui più recenti approcci in materia di cibersicurezza e tutela della vita privata o assumere personale qualificato in materia di cibersicurezza possono richiedere un'impresa da 6 mesi a un anno (Symantec, 2019). E se parliamo di crescita personale e professionale, il quadro diventa ancora più complesso. Possono essere necessari anni per diventare un professionista qualificato in materia di cibersicurezza e un esperto nel settore, con la conoscenza e l'esperienza delle tendenze e degli sviluppi più recenti. In una recente indagine rivolta ai professionisti della cibersicurezza in tutto il mondo (ESG/ISSA, 2020), la maggior parte dei rispondenti ha stimato che occorrono da 3 a 5 anni per sviluppare una reale competenza in materia di cibersicurezza; altri hanno evidenziato una curva di apprendimento più ampia di 5 anni e più. 

La tecnologia continua a cambiare, per cui il personale dell'industria ha difficoltà a tenersi al passo e spesso richiede conoscenze specialistiche che richiedono tempo per svilupparsi. Secondo l'Agenzia dell'Unione europea per la cibersicurezza (ENISA, 2019), i fabbricanti e le altre organizzazioni che utilizzano soluzioni per l'industria 4.0 e l'IoT spesso non hanno tempo per formare adeguatamente il personale prima che le cose cambino, lasciandosi esposti a potenziali rischi. Inoltre, la formazione disponibile è inadeguata e/o costosa, il che la rende ancora meno fattibile per le PMI. 

La cibersicurezza (insieme all'IoT) è anche un settore in cui le università si sono dimostrate lenti nell'adattare i programmi di studio o nell'aggiornare i contenuti in modo da rispecchiare gli ultimi sviluppi tecnologici, secondo una relazione dell'EIT Digitale del 2021 che analizza l'offerta educativa per la cibersicurezza in Europa. In un'altra relazione dell'EIT Digital, che utilizza i dati di CyberHEAD, la più grande banca dati online per l'istruzione superiore nel settore ICT e della cibersicurezza, solo il 34 % dei programmi di laurea di primo livello e master nell'UE richiede un tirocinio, un aspetto che significa che molti studenti laureati abbandonano gli studi con un'esperienza pratica minima o nulla, spesso necessaria per garantire la prima occupazione nel settore. 

La ricerca dimostra che l'educazione alla cibersicurezza in Europa è in crescita, ma non in modo uniforme, e che permangono lacune che incidono sulla sua qualità (scarsa interazione con l'industria, mancanza di educatori in materia di cibersicurezza, mancanza di allineamento con le realtà del mercato del lavoro, ecc.) (Vishik &Heisel, 2015).  In base alla valutazione dei dati CyberHEAD, solo il 34 % dei programmi dell'UE prevede un tirocinio obbligatorio per gli studenti. Sebbene i tirocini possano essere difficili da istituire, la mancanza di opportunità di tirocinio può incidere negativamente sulle competenze dei diplomati e rendere più difficile il raggiungimento di un posto di lavoro in questo settore data la mancanza di esperienza lavorativa. 

Colmare il divario di competenze in materia di cibersicurezza

Creazione di quadri in materia di cibersicurezza e valutazione delle qualifiche

Sono stati istituiti e comunemente accettati diversi quadri, risorse e strumenti per rafforzare la competitività informatica dell'UE e consentire agli esperti di cibersicurezza di acquisire le competenze necessarie per eccellere in un mondo digitale in rapida evoluzione. Un esempio è il quadro europeo per le competenze in materia di cibersicurezza (ECFS), uno strumento pratico che aiuta a individuare i compiti, le competenze, le abilità e le conoscenze associati al lavoro quotidiano dei professionisti della cibersicurezza in Europa, colmando il divario tra i luoghi di lavoro informatici professionali e gli ambienti di apprendimento. L'obiettivo principale del quadro ECFS è creare un'intesa comune tra tutti gli attori dell'ecosistema della cibersicurezza (individui, datori di lavoro e fornitori di formazione) negli Stati membri dell'UE. Sostiene inoltre la progettazione di programmi di formazione in materia di cibersicurezza e facilita il riconoscimento delle competenze in materia di cibersicurezza. L'ECFS suddivide i ruoli di cibersicurezza in 12 profili, ciascuno dei quali valutato individualmente in parametri predefiniti (competenze, responsabilità, compiti, interdipendenze, ecc.). Possono essere utili anche altri quadri che classificano e tracciano le competenze ICT e digitali in generale e comprendono settori di competenza in materia di tutela della vita privata e sicurezza. Ad esempio, il quadro delle competenze digitali dell'UE (DigComp), ora nella sua edizione 2.2, comprende la conoscenza di aspetti relativi alla cibersicurezza quali la privacy o la condivisione di informazioni o dati personali. Il quadro europeo delle competenze elettroniche (e-CF) fornisce un linguaggio comune per le competenze, le abilità e i livelli di professionalità in tutta Europa. Le competenze nell'e-CF sono organizzate in base a 5 settori di attività nel settore delle TIC e relative al quadro europeo delle qualifiche (EQF). Con il regolamento europeo sulla cibersicurezza, l'Europa può ora beneficiare anche di un quadro di certificazione della cibersicurezza per prodotti e servizi e di un mandato rafforzato dell' ENISA, l'Agenzia dell'Unione europea per la cibersicurezza, istituita per la prima volta nel 2004. 

Ridurre il divario di competenze in materia di cibersicurezza in Europa: una fase alla volta 

Principali iniziative e azioni dell'UE per colmare il divario di competenze informatiche 

Insieme alla Commissione europea, l'ENISA coordina la campagna del mese europeo della cibersicurezza (ECSM), che promuova la cibersicurezza attraverso l'istruzione, la condivisione di buone pratiche e concorsi. La sfida europea per la cibersicurezza (European Cyber Security Challenge — CECA) è un altro concorso annuale che riunisce giovani talenti in materia di cibersicurezza provenienti da tutta Europa per testare le loro competenze in materia di sicurezza dei dati. 

I finanziamenti nell'ambito del programma Europa DIGITAL per il periodo 2023-2024 comprendono un programma di lavoro specifico incentrato sulla cibersicurezza, con una dotazione di 375 milioni di EUR per il periodo 2023-2024, al fine di rafforzare la resilienza collettiva dell'UE contro le minacce informatiche. Il ruolo dei poli dell'innovazione digitale dell'UE nella razionalizzazione dei finanziamenti nell'ambito di DIGITAL verso il settore della cibersicurezza promuoverà un'ulteriore innovazione per le PMI e il settore pubblico. Con il 2023, proclamato "Anno delle competenze" dalla presidente della Commissione europea Ursula Von der Leyen, la campagna dell'anno a livello dell'UE si concentra sul superamento delle carenze di competenze e sulla promozione degli investimenti nella formazione. Questi obiettivi sono anche priorità fondamentali integrate nel piano d'azione per l'istruzione digitale (2021-2027), la cui visione per il futuro dell'istruzione in Europa è al centro delle competenze digitali. 

Sostenere le imprese e le PMI 

Esiste una serie di meccanismi per sostenere le imprese, in particolare le piccole e medie imprese (PMI), a sfruttare al meglio la cibersicurezza e a garantire che il loro personale possa gestire i rischi online in modo competente e informato. Le PMI rappresentano la spina dorsale dell'economia europea (25 milioni, pari al 90 % delle imprese dell'UE). Con meno risorse, personale e conoscenze, le PMI hanno meno probabilità di investire nel mantenimento della sicurezza delle loro imprese e delle loro operazioni e hanno anche meno probabilità di formare il proprio personale. Diversi fattori influenzano la scarsa diffusione della cibersicurezza tra le PMI e incidono negativamente sulla formazione dei dipendenti. La scarsa consapevolezza del personale in materia di cibersicurezza e la mancanza di professionisti della cibersicurezza delle TIC per monitorare e guidare compiti difficili rappresentano una grande sfida per le PMI. Così come la mancanza di risorse finanziarie per l'assunzione di nuovi dipendenti e per la formazione degli attuali dipendenti e per lo scarso sostegno gestionale. Ciò significa che le informazioni commerciali sensibili e critiche in molte PMI non sono protette. È inoltre probabile che le PMI incontrino problemi al di fuori del loro controllo e siano più volatili per quanto riguarda i cambiamenti e le carenze nel mercato del lavoro (ENISA, 2019). Le organizzazioni spesso ritengono inoltre più sicure di quanto non lo siano in realtà, e le minacce informatiche sono sottovalutate sia a livello di dipendenti che di dirigenti. Nel 2 023 l' ENISA ha lanciato un nuovo strumento per aiutare le piccole e medie imprese (PMI) a diagnosticare, confrontare e migliorare il loro livello di maturità in materia di cibersicurezza e, in tal modo, a definire e affrontare i rischi informatici cui sono esposte. 

Colmare il divario di genere nel ciberspazio

Una serie di iniziative connesse al ciberspazio mira a colmare il divario di genere anche nel settore informatico. Women4Cyber è una piattaforma dell'UE che offre opportunità di creazione di network, programmi di tutoraggio e una serie di risorse volte a sostenere le donne nell'avvio (o nel tenersi al passo) di una carriera nel settore della cibersicurezza. La campagna annuale "Girls International Girls in ICT Day " sensibilizza le donne e le ragazze in merito alle carriere nel settore ICT, anche in materia di cibersicurezza sin dal suo avvio nel 2013. Affrontare il divario digitale di genere è anche uno degli obiettivi principali di ManagiDITH, il Master of Management Digital Transformation in the Health Sector (ManagiDiTH). Lanciato nel gennaio 2023, ManagiDITH intende raggiungere almeno il 50 % delle studentesse certificate alla fine dei due cicli del master. Il progetto Cyberwiser Light (Cyber Mentoring e Formazione per le donne in materia di cibersicurezza) si concentra sull'aumento della partecipazione femminile nel settore della cibersicurezza attraverso attività di formazione, tutoraggio e sviluppo di competenze. 

Tra le azioni che possono essere intraprese per affrontare le disparità di genere presenti nel panorama della cibersicurezza dell'UE, le strategie di successo comprendono l'individuazione di donne in posizioni chiave e importanti nel settore informatico e il colloquio con donne laureate nel settore della cibersicurezza e in materie ICT per testimonianze e attività di orientamento. L'offerta di borse di studio e di tutoraggio alle donne e alle ragazze è un altro approccio vincente, con un impatto comprovato sulla promozione dell'iscrizione delle donne all'istruzione in materia di cibersicurezza e nel mondo del lavoro. Diverse iniziative in Europa tentano di farlo esattamente. MolenGeek, un incubatore tecnologico innovativo e attore di miglioramento del livello delle competenze, basa le sue attività in un'area di Bruxelles caratterizzata da un elevato tasso di disoccupazione e popolata da persone provenienti da contesti socioeconomici bassi. Il progetto deve rompere una sorta di doppia stigmatizzazione: pregiudizi legati alle donne che lavorano nel settore ICT e, successivamente, pregiudizi nei confronti dei rifugiati e della loro integrazione. In partenariato con Microsoft, MolenGeek fornisce programmi di formazione in materia di cibersicurezza insieme a certificazioni del settore riconosciute, promuovendo l'occupazione per i gruppi emarginati e per quelli lasciati indietro dalla trasformazione digitale. Analogamente, l' Istituto Kosciuszko in Polonia offre un programma di formazione in materia di cibersicurezza per le donne polacche e le donne rifugiate ucraine. La ReDI School of Digital Integration fornisce alle donne rifugiate e svantaggiate competenze in materia di cibersicurezza e ICT.

Guardare al futuro per un futuro a prova di cibersicurezza 

Con ulteriori sinergie tra le diverse iniziative a vari livelli, le carenze in materia di cibersicurezza vengono colmate ogni giorno. Allo stesso tempo, le carenze imminenti indicano l'urgente necessità di un maggior numero di professionisti della cibersicurezza dotati delle competenze necessarie per sostenere la trasformazione digitale dell'economia e della società europee. I maggiori sforzi per incoraggiare un maggior numero di persone a entrare nel settore informatico e ICT in generale si sono dimostrati efficaci, ma sono ancora necessari ulteriori interventi a livello locale, regionale, nazionale e dell'UE. In Europa mancano circa 1 milione di esperti in materia di cibersicurezza e la carenza globale sembra altrettanto allarmante. La disparità di genere nel settore  ICT in generale, e in quello della cibersicurezza in particolare, è ancora un problema che deve essere risolto se l'Europa vuole raggiungere gli obiettivi del decennio digitale europeo, raggiungendo 20 milioni di esperti in ICT, con una conversione di genere in tutti i settori tecnologici. Le imprese, e in particolare le PMI, necessitano di sostegno e risorse supplementari per formare il proprio personale, in quanto hanno meno probabilità di intraprendere programmi di formazione  e una serie di iniziative a livello dell'UE mirano a fornire tale sostegno alle PMI, che si tratti di risorse didattiche aperte (OER), di rendere il software open source o di attività di tutoraggio e orientamento.