Per Juhan Lepassaar, direttore esecutivo di ENISA, l’Agenzia dell’UE per la cybersicurezza: “Senza un cambio di passo deciso, strategico e finanziario, l’UE rischia di restare indietro in uno dei domini più critici per la propria sicurezza, economia e sovranità digitale”.

L’Unione europea sta perdendo la partita della cybersicurezza. Non per mancanza di consapevolezza, ma per ritardi strutturali, investimenti insufficienti e un modello che non regge più il confronto con la velocità delle minacce. A lanciare l’allarme è Juhan Lepassaar, direttore esecutivo di ENISA, l’Agenzia dell’UE per la cybersicurezza, che parla senza mezzi termini di una sconfitta in corso.

In una lunga intervista a POLITICO Lepassaar ha spiegato che “non stiamo recuperando terreno, stiamo perdendo questa partita e la stiamo perdendo in modo massiccio”. Inoltre ha aggiunto che “non serve solo un potenziamento. Serve un ripensamento”.

L’Europa è costantemente sotto attacco

Negli ultimi anni l’Europa è stata colpita da una serie di attacchi informatici ad alto impatto: aeroporti bloccati, ospedali paralizzati, interferenze nei processi elettorali. Solo di recente un tentativo di sabotaggio della rete elettrica polacca è stato attribuito a Mosca, mentre la Bundesbank tedesca ha ammesso di subire oltre 5mila attacchi informatici al minuto. Numeri che restituiscono la dimensione di una pressione costante e crescente.

Il contesto geopolitico rende il quadro ancora più critico. La guerra ai confini orientali dell’UE, la crescente influenza tecnologica della Cina e un rapporto sempre più complesso con gli Stati Uniti stanno spingendo Bruxelles e gli Stati membri a ripensare le proprie priorità in termini di sicurezza e autonomia strategica. Ma, avverte Lepassaar, investire nella difesa tradizionale senza rafforzare seriamente la cybersicurezza crea una pericolosa falla.

L’ENISA sotto organico

La Commissione europea ha appena proposto una revisione del Cybersecurity Act che prevede un rafforzamento di ENISA, con l’assunzione di 118 nuovi addetti e maggiori risorse operative. Oggi l’agenzia conta circa 150 dipendenti, un numero che il suo direttore giudica del tutto insufficiente. Il confronto con altre agenzie europee è impietoso: Europol supera i 1.400 addetti, Frontex i 2.500. “Non serve solo un upgrade, serve un ripensamento profondo”, ha spiegato Lepassaar, sottolineando che raddoppiare la capacità sarebbe appena il minimo indispensabile.

Il problema non è solo quantitativo, ma strutturale. L’UE, secondo ENISA, è in ritardo da anni sugli investimenti cyber e dovrebbe costruire una vera infrastruttura di cybersicurezza a livello europeo. Il salto richiesto è evidente guardando all’evoluzione delle minacce: nel 2019 le vulnerabilità software registrate a livello globale erano circa 17.000, nel 2025 hanno superato quota 41.000. Ancora più preoccupante è la velocità di sfruttamento: se sei anni fa gli attaccanti impiegavano in media due mesi per utilizzare una falla, oggi basta un giorno.

Lepassar: “Sicurezza fisica e cyberspazio devono avere le stesse responsabilità”

Anche l’AI gioca un ruolo chiave in questa accelerazione, riducendo drasticamente i tempi di attacco. Per Lepassaar, l’Europa deve assumersi nel cyberspazio le stesse responsabilità che sta iniziando a prendersi sul piano della sicurezza fisica. Oggi startup e PMI europee beneficiano di un ecosistema di sicurezza globale che poggia in larga parte su strutture statunitensi come MITRE e CISA.

Proprio per ridurre questa dipendenza, ENISA ha avviato un proprio database europeo delle vulnerabilità e ha assunto un ruolo tecnico sempre più centrale nell’infrastruttura globale della cybersicurezza. Un passo importante, ma ancora insufficiente. La gestione e la catalogazione delle vulnerabilità, un ambito poco visibile ma cruciale, è stata per anni appannaggio quasi esclusivo di organizzazioni USA. “Ne abbiamo beneficiato gratuitamente”, osserva Lepassaar, “ora è il momento che l’Europa faccia la sua parte”, ha concluso.