Piano d'azione britannico per la sicurezza informatica 2026: cosa comporta per la verifica dell'identità

Il campanello d'allarme

Nel giro di un solo anno, gli incidenti informatici di rilevanza nazionale che hanno preso di mira il settore pubblico britannico sono più che raddoppiati, passando da 89 a 204. L' attacco a Synnovis ha bloccato le analisi del sangue negli ospedali di Londra, ha costretto alla cancellazione di oltre 10.000 appuntamenti e 1.700 interventi programmati e ha contribuito alla morte di un paziente. La Violazione subita dalla Legal Aid Agency ha compromesso dati personali sensibili. L' attacco ransomware alla British Library ha devastato una delle istituzioni culturali più importanti del Paese. Un aggiornamento del software CrowdStrike, non intenzionale, ha messo fuori uso migliaia di servizi nel giro di una notte.

Non si trattava di rischi astratti, bensì di fallimenti con conseguenze immediate per i cittadini. La stessa valutazione del governo britannico è sincera riguardo a ciò che è emerso: un approccio frammentario alla sicurezza informatica che necessitava di una riforma radicale e di un intervento immediato.

Cosa cambia effettivamente con il Piano per la sicurezza informatica del Regno Unito

Il governo britannico ha pubblicato il Piano d'azione governativo per la sicurezza informatica, sostenuto da un investimento centrale di 210 milioni di sterline. Sviluppato dal Dipartimento per la Scienza, l'Innovazione e la Tecnologia (DSIT), sostituisce un modello vagamente federato e basato su linee guida con un approccio molto più centralizzato e direttivo.

Al centro di tutto c'è una nuova Unità governativa per la sicurezza informatica (GCU) incaricata di definire gli standard, coordinare la gestione dei rischi e garantire progressi misurabili in tutti i dipartimenti. Il Rapporto sullo stato dell'amministrazione digitale aveva già espresso chiaramente la situazione: il rischio informatico per l’amministrazione pubblica è estremamente elevato, il 28% dell’infrastruttura digitale funziona con tecnologie obsolete e l’obiettivo di resilienza originariamente fissato per il 2030 non è più raggiungibile.

Il piano si articola in tre fasi:

• La Fase 1 (entro aprile 2027) getta le basi: istituzione della GCU, attuazione dei quadri di responsabilità e pubblicazione di un piano di risposta agli incidenti.
• La fase 2 (2027–2029) prevede l'ampliamento del modello attraverso processi decisionali basati sui dati e servizi di supporto centralizzati.
• La fase 3 (a partire dall'aprile 2029) si concentra sul miglioramento continuo e sulla garanzia proattiva della catena di approvvigionamento.

I dipartimenti e i loro fornitori dovranno ora dimostrare la conformità a quadri di garanzia strutturati – in particolare GovAssure e il NCSC Cyber Assessment Framework (CAF) – e adottare il principio principi .

Il ruolo della verifica dell'identità

La prefazione ministeriale dà il tono, inserendo la verifica dell'identità, insieme all'assistenza sanitaria e alle prestazioni sociali, tra le «infrastrutture fondamentali della vita moderna nel Regno Unito». Ma è ciò che accade nei capitoli operativi ad avere maggiore rilevanza per i fornitori di servizi di identificazione.

In primo luogo, il controllo dell'identità e degli accessi è un risultato fondamentale nell'ambito del Cyber Assessment Framework , lo standard in base al quale ogni dipartimento verrà ora valutato tramite GovAssure. Il principio B2 richiede ai dipartimenti di dimostrare che gli utenti che accedono ai servizi siano “adeguatamente verificati, autenticati e autorizzati”. Non c’è dubbio: si tratta di un requisito di garanzia misurabile con supervisione centrale.

In secondo luogo, il piano identifica esplicitamente l'autenticazione legacy come una vulnerabilità sistemica. L'infrastruttura legacy non riguarda solo i vecchi server: include anche le password, i token hardware e i metodi di verifica basati sulla conoscenza che ancora sono alla base di gran parte dell’infrastruttura di identità del governo. L’obbligo di sostituire i sistemi fragili si applica direttamente a questo caso.

In terzo luogo, il nuovo modello di responsabilità della catena di fornitura implica che i fornitori di identità al servizio del governo saranno sottoposti a un controllo sempre più rigoroso. I fornitori che erogano servizi su larga scala potrebbero essere designati come “strategici”, soggetti a partnership formali con la GCU e a requisiti di garanzia diretta.

L'effetto complessivo è notevole: il sistema di garanzia e approvvigionamento rende ora più difficile giustificare soluzioni di identificazione poco sicure e più facile sostenere la necessità di soluzioni moderne e resistente al phishing. Per i fornitori di identità, questo rappresenta un cambiamento più significativo di qualsiasi singola citazione in una prefazione.

Resilienza + Sicurezza: stare al passo con minacce in continua evoluzione

Il piano definisce costantemente il proprio obiettivo come «sicurezza informatica e resilienza», trattandole come due elementi di pari importanza. Tuttavia, l’enfasi posta sulla resilienza è evidente e rappresenta ciò che il piano stesso definisce «un cambiamento culturale e operativo nel modo in cui il governo concepisce la resilienza». In pratica, ciò significa che il governo non si limita più a chiedersi «riusciamo a fermare l’attacco?», ma si chiede anche «riusciamo a mantenere i servizi operativi e affidabili quando qualcosa va storto?».

Ciò ha implicazioni specifiche per quanto riguarda l'identità. Consideriamo due scenari:

• Il primo è l'interruzione del servizio. Incidenti non dolosi, come l'interruzione di CrowdStrike, vengono citati insieme agli attacchi ransomware e a quelli sferrati da Stati-nazione perché il risultato finale per i cittadini è lo stesso: i servizi smettono di funzionare e la fiducia viene minata. I sistemi di gestione delle identità che non sono in grado di dimostrare di disporre di un'architettura distribuita, di ridondanza e di un rapido ripristino rappresentano ormai un singolo punto di fallimento che il piano mira esplicitamente a colpire.
• Il secondo è la compromissione dell'identità. Sempre più spesso, gli attacchi prendono di mira la fiducia delle persone piuttosto che l’infrastruttura direttamente. Ad esempio, un responsabile finanziario potrebbe ricevere una videochiamata convincente che sembra provenire da un alto funzionario che richiede l’autorizzazione a un pagamento urgente. I controlli basati sulle conoscenze, il riconoscimento del chiamante e l’autenticazione tradizionale potrebbero tutti sembrare validi. Il fallimento in questo caso non è la sicurezza perimetrale: è l’incapacità di verificare che la persona dietro l’interazione sia realmente chi dice di essere. Si tratta di una lacuna di resilienza, non solo di sicurezza.

Per i team addetti agli appalti, ciò comporta una revisione dei criteri di valutazione. La domanda non è più semplicemente «è sicuro?», ma «cosa succede in caso di guasto — e possiamo comunque fidarci del nostro interlocutore?». I sistemi di gestione delle identità in grado di dimostrare un monitoraggio attivo delle minacce e un ripristino rapido saranno in una posizione migliore per soddisfare le aspettative del piano rispetto agli strumenti tradizionali che il piano identifica esplicitamente come vulnerabili.

Cosa non prevede il piano britannico per la sicurezza informatica

È bene avere le idee chiare sulla portata del progetto. Questo piano è del governo, per il governo. Non stabilisce direttamente nuovi requisiti per il settore privato o per le infrastrutture critiche nazionali: questo è compito del progetto di legge sulla sicurezza informatica e la resilienza, presentato in Parlamento lo stesso giorno. Il disegno di legge estende gli obblighi di resilienza ai fornitori che servono il governo nei settori dell’energia, dell’acqua, della sanità e dei data center, ma le sue piene implicazioni diventeranno chiare solo man mano che procederà l’iter legislativo.

Diversi osservatori del settore hanno inoltre messo in dubbio che 210 milioni di sterline siano sufficienti, vista la portata della sfida. La strategia del 2021 aveva stanziato 2,6 miliardi di sterline, e permangono ancora alcune criticità.

In pratica: cosa comporta per te il piano informatico del Regno Unito?

Nonostante queste riserve, la tendenza è inequivocabile — e non solo per gli enti governativi. Qualsiasi organizzazione che fa parte della catena di approvvigionamento del settore pubblico ne subirà le conseguenze. Si distinguono tre cambiamenti principali.

Gli standard centralizzati stanno trasformando il modello di acquisto. Un'unità governativa dedicata alla sicurezza informatica che definisca standard validi per l'intero governo crea le condizioni per servizi condivisi e per un'infrastruttura di identità basata sul principio "crea una volta, usa più volte". I giorni degli appalti frammentati, gestiti dipartimento per dipartimento, sono contati.

La documentazione di garanzia diventa un requisito imprescindibile per gli appalti. Il passaggio alla conformità con GovAssure e CAF implica che i team addetti agli appalti si aspetteranno sempre più spesso che i fornitori presentino una documentazione di garanzia precompilata che dimostri la conformità con standard di certificazione riconosciuti a livello internazionale. È opportuno tenerne conto sin dalle prime fasi di pianificazione, non solo in fase di stipula del contratto.

I tempi per la sostituzione dei sistemi legacy si stanno facendo sempre più stretti. Poiché i metodi di autenticazione vulnerabili sono stati esplicitamente identificati come vulnerabilità sistemiche, le organizzazioni che continuano a fare affidamento su password, token hardware o verifiche basate sulla conoscenza dovrebbero pianificare fin da ora le loro strategie di transizione, senza attendere l’entrata in vigore dei requisiti della Fase 2. La sostituzione dei sistemi legacy è ormai inevitabile, non solo consigliabile. I reparti che stanno sostituendo i metodi di autenticazione vulnerabili cercheranno sempre più partner in grado di accelerare le transizioni in modo sicuro, riducendo al contempo il rischio operativo. I sistemi di identità in grado di dimostrare resistenza al phishing, resilienza operativa e monitoraggio attivo delle minacce saranno più in linea con questi requisiti di migrazione.

Guardare avanti

Il Piano d'azione governativo per la sicurezza informatica fa ciò che le strategie precedenti non hanno fatto: integra la verifica dell'identità nel quadro di garanzia fondamentale del governo, collega le prestazioni informatiche alla resilienza piuttosto che alla semplice conformità e crea un meccanismo di applicazione centralizzato con una reale assunzione di responsabilità.

Il piano riflette un cambiamento più ampio nella visione del governo: la resilienza informatica non si misura più solo in base alla capacità di tenere lontani gli aggressori, ma anche alla capacità dei servizi critici di rimanere affidabili durante le interruzioni. In tale contesto, i sistemi di gestione delle identità diventano parte integrante dell'infrastruttura operativa, non più solo livelli di autenticazione.

Per chiunque stia pianificando il proprio prossimo ciclo di approvvigionamento — sia all'interno della pubblica amministrazione che nella sua catena di fornitura — la questione non è più se modernizzare l'autenticazione, ma quanto velocemente farlo.

L'impegno politico proseguirà, non da ultimo con l'avanzamento del disegno di legge sulla sicurezza informatica e la resilienza e con l'istituzione della stessa GCU. Seguiremo da vicino entrambi questi sviluppi.

Scopri il nostro ultimo rapporto Threat Intelligence 2026 per approfondire il panorama delle minacce in continua evoluzione, oppure contattaci per discutere di come la tua organizzazione possa allinearsi ai nuovi framework di garanzia.

Domande frequenti sul Piano per la sicurezza informatica del Regno Unito

D: Che cosa comporta il Piano d'azione informatico del Regno Unito per la verifica dell'identità?
R: Il piano definisce il controllo dell'identità e degli accessi come un risultato fondamentale in termini di sicurezza nell'ambito del Cyber Assessment Framework (CAF). I dipartimenti devono ora dimostrare che gli utenti siano «adeguatamente verificati, autenticati e autorizzati» attraverso le valutazioni GovAssure, mentre i metodi di autenticazione tradizionali, come password e token hardware, sono esplicitamente identificati come vulnerabilità sistemiche che richiedono la sostituzione.

D: Che cos’è GovAssure e in che modo riguarda i fornitori della pubblica amministrazione?
R: GovAssure è il quadro di riferimento per la sicurezza informatica del governo britannico, utilizzato per valutare i dipartimenti in base al Cyber Assessment Framework dell'NCSC. Ai sensi del Piano d'azione per la sicurezza informatica 2026, il 90% dei principali dipartimenti governativi dovrà garantire la conformità delle proprie catene di fornitura a questi standard entro la Fase 2 (2027-2029). I fornitori che offrono servizi di identità su larga scala potrebbero essere designati come "strategici", previa stipula di partnership formali con la Government Cyber Unit.