Rende (24.3.2026) – “Capire le complessità e anticipare il futuro”, è il titolo della lezione tenuta da Roberto Setola, professore ordinario e direttore del Master universitario di secondo livello in Homeland Security presso l’Università Campus Bio-Medico di Roma, al Master in Intelligence dell’Università della Calabria, diretto da Mario Caligiuri.
Setola ha delineato un’analisi profonda sulla protezione delle infrastrutture critiche nazionali, evidenziando come la sicurezza di tali asset richieda oggi un radicale cambio di paradigma, passando dalla mera protezione fisica alla resilienza sistemica. In apertura di lezione, Setola ha subito precisato che, sebbene il tema delle infrastrutture critiche sia oggi di grande attualità, le strategie per la loro protezione non rappresentano una novità assoluta, ricordando come già nell’antichità, ad esempio durante gli assedi romani, la distruzione di acquedotti o l’avvelenamento dei pozzi fossero tattiche belliche consolidate per indebolire la resistenza nemica. Entrando nel merito normativo, il professore ha individuato il punto di partenza moderno nella PDD 63 del 1996 emanata dal Presidente Clinton, documento in cui era già chiara la natura variegata di tali asset, definiti come sistemi sia fisici che virtuali la cui compromissione avrebbe impatti debilitanti sulla sicurezza, l’economia e la salute pubblica.
Il docente ha poi dedicato un’ampia parte della lezione a chiarire la distinzione tra obiettivo sensibile e infrastruttura critica, spiegando che un obiettivo viene definito sensibile in base al suo valore intrinseco o simbolico, come un monumento o una personalità dello Stato, richiedendo una protezione di tipo riduzionistico focalizzata sul singolo elemento per contrastare azioni dolose. Al contrario, un’infrastruttura è considerata critica esclusivamente per la sua funzione sistemica e la capacità di erogare servizi essenziali alla popolazione; qui l’approccio cambia in una visione olistica e All-Hazard, dove l’obiettivo non è proteggere il “traliccio” in quanto tale, ma la continuità del servizio, come dimostrato dal caso del sabotaggio alla stazione di Firenze Rovezzano che ha paralizzato l’intera rete ad alta velocità italiana per la sua valenza di nodo sistemico. Analizzando le ragioni tecniche della complessità, Setola ha sottolineato come la dispersione territoriale di asset quali, per esempio, i circa 20.000 km di ferrovie o i 40.000 km di linee Terna renda impossibile un pattugliamento capillare, aggravato da una stratificazione tecnologica che porta a fenomeni di non-graceful degradation, dove il sistema crolla improvvisamente sotto minimi eventi aggiuntivi. Richiamando la teoria degli incidenti normali di Charles Perrow, Setola ha spiegato come nei sistemi complessi esista sempre una sequenza di eventi capace di eludere le protezioni, rendendo l’evento catastrofico statisticamente inevitabile e imponendo di spostare l’attenzione dalla prevenzione della probabilità alla gestione delle conseguenze. Il paradigma gestionale è mutato drasticamente rispetto agli anni ’90: dagli operatori monopolisti verticalmente integrati si è passati a un sistema frammentato in soggetti interdipendenti, trasformando la struttura da un “albero” prevedibile a un “grafo” complesso con loop che si autoalimentano, come evidenziato nel blackout italiano del 2003, dove l’interruzione elettrica ha paralizzato le telecomunicazioni impedendo fisicamente il ripristino del sistema stesso.
Sul fronte delle minacce esterne, il professore ha illustrato l’impatto del cambiamento climatico che genera eventi Natech e la minaccia geopolitica legata all’apertura della Rotta Artica, che rischia di marginalizzare il ruolo dell’Italia nel Mediterraneo. Setola ha inoltre analizzato le minacce ibride e la dimensione cognitiva, dove l’uso dei social media e della disinformazione viene impiegato per alterare la percezione pubblica e bloccare opere strategiche, come avvenuto per il gasdotto TAP. Passando all’analisi del quadro normativo, Setola ha ripercorso l’evoluzione della disciplina, culminata nel pacchetto sicurezza dell’Unione Europea del 2022 che include le direttive CER, NIS2 e il regolamento DORA. Questo processo di hard law ha generato una distinzione procedurale tra i due domini: il perimetro fisico della direttiva CER si basa su liste di soggetti critici individuate direttamente dallo Stato attraverso specifici criteri e soglie, mentre il dominio cyber della NIS2 è fondato su parametri oggettivi, legati alla dimensione aziendale e ai codici ATECO, che impongono un meccanismo di auto-dichiarazione da parte degli operatori. In Italia, tale architettura ha portato a una centralizzazione della responsabilità politica in capo al Presidente del Consiglio dei Ministri, garantendo un’unità di visione strategica precedentemente assente.
Scientificamente, questa separazione riflette il contrasto tra Information Technology (IT) e Operational Technology (OT). Se nell’IT vige il Best Effort, i sistemi OT esigono prestazioni Hard Real Time e disponibilità assoluta, poiché ritardi di pochi millisecondi in reazioni chimiche o nucleari risultano inammissibili per le leggi della fisica che governano questi processi. L’interconnessione tra questi mondi è stata esemplificata attraverso casi di studio: il docente ha citato l’attacco alla Colonial Pipeline, dove un’incursione malevola alla rete IT è riuscito a paralizzare fisicamente il più grande oleodotto statunitense, e il malware Stuxnet, che ha dimostrato come l’uso di comandi digitali legittimi possa portare oltre 1000 centrifughe nucleari a operare in condizioni estreme fino alla distruzione fisica. A questi si aggiunge il Progetto Aurora, prova tangibile della capacità di frantumare un generatore da 27 tonnellate via rete. La resilienza impone oggi modelli organizzativi rigidi e background check del personale per ruoli sistemici gestiti direttamente dai Ministeri, anteponendo la sicurezza nazionale alla privacy individuale. Infine, la gestione della supply chain richiede di valutare gli impatti a cascata sull’intero grafo infrastrutturale, superando la visione del singolo business per abbracciare quella del sistema-paese.
In chiusura, il Professor Setola ha illustrato l’ulteriore passaggio critico delle minacce cyber, citando l’attacco distribuito del 29 dicembre 2025 avvenuto in Polonia contro impianti rinnovabili operato da AI agent capaci di colpire simultaneamente numerosi piccoli soggetti per scatenare blackout sistemici. L’intelligenza artificiale, agendo come moltiplicatore di potenza, ha accelerato le capacità offensive a velocità non umane, rendendo inefficace la reazione di un operatore fisico. La riflessione finale del docente ha dunque tratteggiato la trasformazione della sicurezza in una sfida tra algoritmi, dove l’uomo è chiamato a un nuovo ruolo strategico: non più semplice operatore di prima linea, ma istruttore consapevole dei sistemi di difesa. In questo scenario, l’intelligenza umana mantiene la sua centralità nel definire le logiche di protezione che l’AI dovrà poi eseguire autonomamente per contrastare minacce che si muovono a velocità non umane. Delegare l’autonomia decisionale alla macchina emerge così come una prospettiva necessaria per preservare la resilienza nazionale, ponendo l’addestramento tecnico delle difese automatizzate come il passaggio determinante per la sopravvivenza dei servizi essenziali in un futuro sempre più complesso.
- Tags: intelligence, Mario caligiuri, Rende, Roberto Setola
