L’intervento normativo riguarda un aspetto molto specifico, ma rilevante: viene ampliato l’elenco delle tipologie di incidenti “meno gravi” — quelli che, per intenderci, non bloccano un servizio critico ma devono comunque essere notificati al CSIRT Italia.
Con la pubblicazione in Gazzetta Ufficiale del DPCM 4 giugno 2025, n. 111, il Governo ha aggiornato formalmente il regolamento del Perimetro di sicurezza nazionale cibernetica, andando a modificare la Tabella 1 dell’Allegato A al DPCM n. 81/2021.
L’intervento normativo riguarda un aspetto molto specifico, ma rilevante: viene ampliato l’elenco delle tipologie di incidenti “meno gravi” — quelli che, per intenderci, non bloccano un servizio critico ma devono comunque essere notificati al CSIRT Italia.
Una sola aggiunta, ma significativa
L’unica novità sostanziale è l’introduzione di una nuova voce nella categoria “Azioni sugli obiettivi”: si tratta dell’“accesso non autorizzato o con abuso dei privilegi concessi”.
Questo tipo di incidente entra ora ufficialmente nella lista di quelli da notificare, anche se non provoca danni evidenti o immediati. È sufficiente che un soggetto — interno o esterno — acceda a sistemi o dati senza autorizzazione formale o superando i privilegi previsti, per far scattare l’obbligo di notifica.
Non si parla solo di attacchi esterni o compromissioni tecniche, ma anche di condotte interne scorrette, come l’uso di account privilegiati per scopi estranei alle mansioni o l’accesso a dati sensibili non pertinenti.
“In sostanza, a partire dal prossimo 16 agosto, qualora un soggetto pubblico o privato obbligato ad attuare la normativa del Perimetro di Sicurezza Nazionale Cibernetica (PSNC) abbia evidenza – anche sulla base di parametri quali-quantitativi – di un accesso non autorizzato o con abuso dei privilegi concessi dall’interno della rete ai dati digitali dei Beni ICT, sarà tenuto a notificare anche questa tipologia di incidente al CSIRT Italia, nel rispetto dei termini e delle modalità già previste dal DPCM n. 81/2021, ovvero entro 6 ore dall’avvenuta conoscenza dell’incidente”, commenta a Cybersecurty Italia Stefano Mele, Partner, Head of Cybersecurity & Space Law Department, Gianni & Origoni.
“Operativamente parlando, le aziende e le PA impattate devono provvedere quanto prima anzitutto a definire “i parametri quali-quantitativi” sulla base dei quali si potrà avere evidenza di un accesso non autorizzato o con abuso dei privilegi concessi dall’interno della rete ai dati digitali dei Beni ICT in Perimetro. Dovranno, di conseguenza, conclude Mele, modificare le politiche e procedure al fine di integrare tale fattispecie, implementando anche sugli strumenti di rilevamento ogni modifica tecnica necessaria per assicurare il tracciamento e l’eventuale notifica di tali nuovi eventi”.
Nessun altro cambiamento
La tabella è formalmente sostituita, ma rimane identica in tutte le altre sue voci. La struttura, le categorie, le descrizioni tecniche e gli obblighi di notifica non cambiano rispetto al DPCM 81/2021. Il sistema era già operativo da anni, così come gli obblighi per i soggetti inclusi nel perimetro.
Questo aggiornamento serve principalmente a formalizzare una casistica che di fatto già veniva monitorata, rafforzando la responsabilità in caso di abusi interni o gestione negligente degli accessi.
