Indice Show
La semplificazione concettuale, spesso, crea distorsioni pericolose. Qui una breve riflessione, alla luce dell’ultimo aggiornamento delle tassonomie degli incidenti ai sensi della L. 90/2024
Introduzione
Immaginate un grande ospedale colpito da un attacco ransomware. I sistemi di prenotazione sono bloccati, le cartelle cliniche digitali sono inaccessibili, le sale operatorie devono rinviare interventi programmati. I tecnici lavorano giorno e notte per ripristinare i servizi. I pazienti vengono dirottati verso altre strutture.
Ora, la domanda: si tratta di un problema di cybersecurity o di protezione dei dati personali?
La risposta istintiva di molti sarebbe: entrambe le cose. E in parte è corretta. Ma nasconde una confusione concettuale che, nella pratica quotidiana, genera approcci disallineati, governance inefficaci e compliance costruita su basi errate.
Perché il cuore del problema, in quello scenario, non è che qualcuno abbia letto le cartelle cliniche dei pazienti. Il cuore del problema è che un’infrastruttura critica è stata messa in ginocchio, che vite umane sono state messe a rischio, che la continuità di un servizio essenziale è stata interrotta. Questi sono temi di cybersecurity – e la cybersecurity, per quanto strettamente connessa alla protezione dei dati, segue una logica propria, con finalità, strumenti e obblighi normativi distinti.
Un provvedimento recente offre l’occasione giusta per fare chiarezza: la Determina del Direttore Generale dell’ACN del 9 febbraio 2026, pubblicata in Gazzetta Ufficiale n. 39 del 17 febbraio 2026, che adotta la nuova tassonomia degli incidenti rilevanti ai sensi dell’art. 1, comma 1, della Legge 28 giugno 2024, n. 90 (c.d. Legge sulla Cybersicurezza). Un dettaglio apparentemente tecnico di questa tassonomia offre, a ben vedere, uno spunto prezioso per chiarire la distinzione tra i due ambiti.
1. Il quadro normativo di riferimento
La Legge 90/2024, recante “Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici”, rappresenta il principale intervento del legislatore italiano in materia di cybersicurezza nazionale degli ultimi anni. Essa si rivolge a un ampio novero di soggetti pubblici e privati, tra cui pubbliche amministrazioni centrali, regioni, città metropolitane, comuni capoluogo e con popolazione superiore a 100.000 abitanti, aziende sanitarie locali, operatori del Perimetro di Sicurezza Nazionale Cibernetica (PSNC) e soggetti NIS.
Tra gli obblighi principali introdotti dalla Legge figura quello di notificare all’ACN determinati incidenti informatici entro tempistiche precise: una prima segnalazione entro 24 ore dal momento in cui il soggetto ne viene a conoscenza, e una notifica completa entro 72 ore.
La Determina ACN del 9 febbraio 2026 viene ad aggiornare e precisare – come previsto dalla Legge 23 settembre 2025, n. 132 in materia di intelligenza artificiale, che ha modificato l’art. 1, comma 1, della Legge 90/2024 – quali tipologie di incidenti debbano essere notificate, attraverso una tassonomia composta da tre categorie:
- IS-1: perdita di riservatezza, verso l’esterno, di dati digitali di proprietà del soggetto o sui quali esercita il controllo, anche parziale;
- IS-2: perdita di integrità, con impatto verso l’esterno, di dati di proprietà del soggetto o sui quali esercita il controllo, anche parziale;
- IS-3: violazione dei livelli di servizio attesi dei servizi e/o delle attività del soggetto, sulla base dei livelli di servizio atteso (SLA) stabiliti dal soggetto stesso.
2. Il dettaglio che fa la differenza: “dati digitali”, non “dati personali”
La tassonomia parla di perdita di riservatezza o integrità di dati digitali. Non di dati personali.
Si tratta di una scelta lessicale precisa e tutt’altro che casuale, che riflette la diversa natura e finalità della normativa in materia di cybersicurezza rispetto alla disciplina della protezione dei dati personali.
Il GDPR – e con esso il Codice Privacy italiano – nasce per tutelare le persone fisiche rispetto al trattamento dei loro dati personali. Il suo baricentro è l’individuo, i suoi diritti, la sua dignità. La violazione rilevante ai sensi del GDPR è il data breach, definito dall’art. 4, n. 12, come “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati“. Il fulcro è la compromissione di dati che riguardano persone fisiche identificate o identificabili.
La normativa di cybersicurezza, invece, nasce con una finalità diversa e più ampia: proteggere la sicurezza delle reti e dei sistemi informativi, la continuità dei servizi essenziali, la resilienza delle infrastrutture critiche e, in ultima analisi, la sovranità digitale di un Paese. Il suo baricentro non è l’individuo, ma il sistema. Un attacco informatico a una rete elettrica, a un sistema ospedaliero o a un’infrastruttura di trasporti è un incidente rilevante dal punto di vista della cybersicurezza indipendentemente dal fatto che siano stati compromessi dati personali: ciò che rileva è la compromissione della sicurezza e della continuità operativa del sistema.
Ecco perché la tassonomia NIS2 – e quella ora adottata ai sensi della Legge 90/2024, che vi è allineata – parla di dati digitali in senso lato: informazioni riservate, dati industriali, segreti commerciali, dati relativi a infrastrutture critiche, informazioni strategiche per la sicurezza nazionale. Tutti elementi che possono non avere nulla a che fare con i dati personali di persone fisiche, ma la cui compromissione può avere conseguenze gravissime per la sicurezza collettiva.
3. Il rapporto tra i due framework: un diagramma di Venn
La relazione tra cybersecurity e data protection può essere efficacemente rappresentata come un diagramma di Venn in cui il cerchio della data protection è contenuto – parzialmente – all’interno del cerchio più grande della cybersecurity. Resterebbero fuori i dati personali trattati mediante strumenti analogici (es. carta stampata).
L’intersezione esiste ed è significativa: quando un incidente informatico comporta la compromissione di dati personali, si è in presenza di un evento rilevante per entrambi i framework. In quel caso, il titolare del trattamento dovrà valutare sia gli obblighi di notifica ai sensi dell’art. 33 GDPR (notifica al Garante entro 72 ore), sia – se soggetto alla Legge 90/2024 e/o al decreto NIS – gli obblighi di notifica all’ACN.
Ma la parte del cerchio della cybersecurity che non si sovrappone con la data protection è ampia e rilevante: comprende tutti quegli incidenti che colpiscono dati digitali non personali, che degradano la disponibilità di servizi essenziali, che compromettono l’integrità di sistemi industriali o infrastrutture critiche. Per questi eventi, il GDPR semplicemente non si applica – o si applica solo marginalmente – mentre gli obblighi di cybersicurezza restano pienamente operativi.
Vale anche l’osservazione inversa: esistono attività di trattamento di dati personali che non transitano per sistemi digitali o che, pur essendo digitali, non rientrano nell’ambito di applicazione della normativa di cybersicurezza per ragioni soggettive.
4. Un ulteriore elemento di semplificazione: l’allineamento tra Legge 90/2024 e NIS2
Un aspetto pratico di rilievo introdotto dalla Determina ACN del 9 febbraio 2026 riguarda il coordinamento tra i due principali framework di cybersicurezza applicabili in Italia.
La tassonomia adottata ai sensi della Legge 90/2024 è stata deliberatamente allineata alle fattispecie di incidenti significativi di base previste dalla normativa di recepimento della Direttiva NIS2 (D.Lgs. 138/2024) per i soggetti importanti. La conseguenza pratica è rilevante: chi effettua una prenotifica e una notifica ai sensi dell’art. 25 del Decreto NIS adempie contestualmente anche all’obbligo di notifica previsto dalla Legge 90/2024. Un unico adempimento vale per entrambe le normative, con evidente beneficio in termini di semplificazione degli oneri per i soggetti interessati.
5. Le implicazioni pratiche: competenze e governance distinte
Tornando all’ospedale del nostro esempio iniziale: quando i sistemi vengono ripristinati e la crisi rientra, arriva il momento delle valutazioni. Chi deve fare cosa?
Il DPO dovrà verificare se nell’attacco siano stati compromessi dati personali di pazienti o dipendenti, e in caso affermativo valutare se notificare il data breach al Garante entro 72 ore ai sensi dell’art. 33 GDPR, nonché se informare direttamente gli interessati ai sensi dell’art. 34.
Il referente per la cybersicurezza – figura introdotta dalla Legge 90/2024 per le pubbliche amministrazioni – o il referente CSIRT – dovrà invece gestire la notifica al CSIRT Italia, in seno all’ACN, secondo la tassonomia IS-1/IS-2/IS-3, indipendentemente dalla natura dei dati coinvolti, e coordinare le misure di ripristino e rafforzamento dei sistemi.
I due processi sono paralleli, non alternativi. E richiedono competenze, responsabilità e interlocutori istituzionali diversi. Una governance efficace richiede che entrambe le prospettive siano presidiate da professionisti con competenze specifiche, e che i processi interni distinguano chiaramente tra gli obblighi derivanti dai due framework.
Conclusione
La pubblicazione della nuova tassonomia ACN è l’occasione giusta per ribadire un principio fondamentale: cybersecurity e data protection sono discipline distinte, con finalità, logiche e strumenti diversi. Si intersecano, si integrano, e in alcuni casi si sovrappongono. Ma non sono la stessa cosa.
Trattarle come tali significa costruire una strategia di compliance e di sicurezza su basi concettualmente errate – con il rischio concreto di presidiare bene un perimetro e trascurarne un altro altrettanto importante.
In un momento in cui il legislatore italiano ed europeo sta moltiplicando gli obblighi in entrambi gli ambiti, questa distinzione non è più un dettaglio per addetti ai lavori. È il punto di partenza per chiunque voglia affrontare seriamente il tema della sicurezza digitale.
