Intervista al Dott. Stefano Rossa. Cybersecurity e Istituzioni Democratiche. Un’indagine interdisciplinare: Diritto, Informatica e Organizzazione Aziendale

11 Aprile 2026
Redazione DIMT

In occasione della pubblicazione di Cybersecurity e Istituzioni Democratiche. Un’indagine interdisciplinare: Diritto, Informatica e Organizzazione Aziendale, a cura di Giovanni Bombelli e Stefano Rossa, fascicolo I, in Teoria e Critica della Regolazione Sociale, n. 2/2024, Mimesis, Milano, 2025, pp. 7-208 e Cybersecurity e Istituzioni Democratiche. Un’indagine interdisciplinare: Diritto, Informatica e Organizzazione Aziendale, a cura di Paolo Heritier e Stefano Rossa, fascicolo II, in Teoria e Critica della Regolazione Sociale, n. 1/2025, Mimesis, Milano, 2025, pp. 7-212 abbiamo intervistato il Dottor Stefano Rossa.

Stefano Rossa è Ricercatore t.d. in Tenure Track di Diritto amministrativo e Pubblico nell’Università degli Studi del Piemonte Orientale. Abilitato alle funzioni di Professore universitario di Seconda fascia, è stato responsabile scientifico del progetto “CybeR-GoPA – Cybersecurity Risk Governance in Public Administration” (cui al Bando Ricerca UPO 2022) in materia di diritto della cybersicurezza e attualmente è responsabile scientifico del progetto “CIMELIA – Contratti ecologIci e co-aMministrazione sostEnibile delLe rIsorse nAturali” (cui al Bando SSHINE UPO 2025) in materia di diritto dell’ambiente. Nella sua attività di ricerca ha svolto periodi di ricerca in Estonia, Irlanda, Germania e Argentina.

Il Dott. Stefano Rossa

Dottore, nella Sua prefazione alla curatela in due volumi “Cybersecurity e Istituzioni Democratiche. Un’indagine interdisciplinare: Diritto, Informatica e Organizzazione Aziendale” curata dal Lei e dai Proff. Giovanni Bombelli e Paolo Heritier, Lei fa riferimento alla c.d. società del rischio e cita il concetto di “rischio da ignoto tecnologico”: quanto è attuale questo concetto oggi?

La c.d. “Società del rischio” è una espressione che è stata coniata negli anni Ottanta da Ulrich Beck, nella sua famosa e omonima opera Risikogesellschaft (Suhrkamp Verlag, 1986), per indicare una società, come la nostra, in cui la principale fonte di pericolo non deriva più esclusivamente da minacce esterne, ma emerge come conseguenza intrinseca dello stesso progresso tecnologico perseguito a livello sociale per evolvere e prosperare. Una circostanza che ha condotto la dottrina a scrivere di “rischio da ignoto tecnologico” in quanto la scienza, integrandosi strettamente con i processi tecnico-produttivi, cessa di essere solamente uno strumento d’indagine per diventare essa stessa fonte di rischi, rimanendo però, al contempo, l’unico rimedio possibile per la loro mitigazione. Innanzi a questa complessità, l’intervento delle Istituzioni Pubbliche non è mirato – utopisticamente – a cancellare il rischio, ma a gestirlo (e distribuirlo) nel migliore dei modi avvalendosi, in particolare, di procedure di valutazione del rischio incentrate non tanto su regole prescrittive quanto, invece, su principi giuridici – su tutti quello di precauzione. Questa condizione di rischio da ignoto tecnologico assume una dimensione sovranazionale e intertemporale, travalicando i confini statali e ponendo sfide di complessa sintesi politica. E ciò è evidente nel settore della tutela ambientale e, in particolare, in quello del digitale, rendendo quanto mai attuale il concetto di “rischio da ignoto tecnologico”. E proprio nell’ambito del digitale, infatti, sia la disciplina dettata dal Regolamento europeo sull’Intelligenza Artificiale (Regolamento UE 2024/1689) sia quella in materia di cybersicurezza (fra cui il Cybersecurity Act, la Direttiva NIS2 e il Cyber Resilience Act) si basano fortemente su procedure di valutazione e gestione del rischio tecnologico. Da questo scenario emerge con chiarezza la necessità di affrontare questi problemi da una prospettiva interdisciplinare che unisca i saperi “tecnici” con quelli umanistici in grado di suggerire risposte sinergiche. Ed è proprio con questa convinzione che nascono i due volumi “Cybersecurity e Istituzioni Democratiche. Un’indagine interdisciplinare: Diritto, Informatica e Organizzazione Aziendale” curati insieme ai Proff. Giovanni Bombelli e Paolo Heritier, i quali raccolgono ventisei contributi e riflessioni di studiosi di diversa provenienza scientifica sul tema della cybersicurezza. Pubblicazione che è nata in seno al progetto “CybeR-GoPA – Cybersecurity Risk Governance in Public Administration” (cui al Bando Ricerca UPO 2022, finanziato con risorse Next Generation EU e Compagnia di San Paolo), che si concluderà il prossimo 31 marzo 2026, dedicato allo studio inter e multidisciplinare delle maggiori questioni in materia di cybersicurezza nel settore pubblico e che, per questa ragione, oltre al sottoscritto, coinvolge altri docenti dell’Università degli Studi del Piemonte Orientale afferenti a settori scientifici disciplinari differenti (i Proff. Roberto Candiotto, Lavinia Egidi, Bianca Gardella Tedeschi e Paolo Heritier).

Sappiamo ormai che la tecnologia non è più solo fattore di sviluppo ma anche fonte strutturale di rischi, a Suo avviso questo implica una riflessione sul rapporto tra progresso tecnico e tutela dei diritti?

Le sfide che le Istituzioni Pubbliche si trovano ad affrontare sono così complesse da richiedere un’attenta riflessione sugli strumenti giuridici di protezione dei diritti, e sull’effettività della tutela, in relazione al progresso tecnologico. Riflessioni che, però, sono da tempo già al centro dell’indagine scientifica e dell’azione di legislatori e giudici. Come Lei suggerisce, la scienza e la tecnica oggi assumono una funzione ambivalente di minaccia e rimedio che richiede una risposta adeguata: questo elemento è palese nell’ambito della tecnologia. Pensiamo, ad esempio, al menzionato Regolamento europeo sull’Intelligenza Artificiale che, basandosi sull’approccio the higher the risk, the stricter the rules, ha introdotto la Fundamental Rights Impact Assessment, vale a dire una valutazione dell’impatto che le tecnologie di IA hanno sui diritti fondamentali. Ma oltre al digitale, pensiamo altresì all’ambito della protezione ambientale, in cui l’ampliamento della tutela delle situazioni giuridiche soggettive è al centro del recente contenzioso strategico in materia di cambiamento climatico. Non è un caso, infatti, che le due transizioni, quella digitale e quella ambientale, costituiscono i due binari lungo i quali scorre il Next Generation EU, in quanto entrambe sono caratterizzate da un significativo legame con l’evoluzione della tecnica.

Con riferimento alle recenti normative europee sull’intelligenza artificiale e cybersicurezza, il modello regolatorio basato su classi di rischio può adeguatamente fronteggiare l’incertezza scientifica che Lei descrive, oppure mostrarne i limiti?

Al di là di alcuni aspetti critici di natura tecnico-giuridica che tralascerei in questa sede, il modello adottato dal Regolamento europeo sull’Intelligenza Artificiale rappresenta un significativo passo avanti, soprattutto in riferimento alle altre esperienze giuridiche extraeuropee. La difficoltà principale è quella di cercare di disciplinare con strumenti giuridici “lenti” un fenomeno – la tecnologia di IA – che è caratterizzato da una velocità di cambiamento esponenziale: l’approccio valutativo basato su classi di rischio (alto, minimo, inaccettabile) è il migliore fra gli strumenti giuridici a disposizione, seppure non il migliore in assoluto. D’altronde, anche in materia di cybersicurezza l’approccio della valutazione del rischio costituisce l’ossatura della sua disciplina giuridica. La stessa Direttiva NIS 2 (Direttiva UE 2022/2555) ha previsto alcuni importanti obblighi in capo ai soggetti essenziali e importanti, fra cui, oltre all’implementazione di misure di sicurezza e di standard cyber e alla notifica degli incidenti alle autorità competenti, emerge l’adozione di «misure tecniche, operative e organizzative» multirischio proporzionate allo specifico rischio cyber (cfr. art. 21 Direttiva NIS 2). In ogni caso, in entrambi i contesti soccorrono in aiuto anche altri principi guida, fra cui quello della sorveglianza umana. In fin dei conti, la consapevolezza dei rischi derivanti dall’uso degli strumenti tecnologici, specialmente quelli di IA, è fondamentale: ma a riguardo è imprescindibile un’azione pubblica di cultura del rischio digitale.

In proposito: nel contesto della cybersicurezza quanto è importante l’educazione al rischio cyber, in particolare in relazione al profilo della cyber resilienza?

Nell’ambito della cybersicurezza la percezione del rischio cyber è indispensabile: non è solamente necessario comprendere l’effettiva esistenza dei rischi (e di situazioni di rischio) ma è necessario riflettere sulla sua ineliminabilità. Occorre, cioè, adottare un approccio cyber-resiliente che metta in conto che l’incorrere in attacchi e incidenti non è una questione del se ma del quando; e per tale ragione è necessario predisporre tutte le misure idonee per impedire l’attacco o l’incidente e gestirne al meglio le conseguenze. Il che significa agire certamente sul versante organizzativo, dato che, come già Vittorio Bachelet mise in luce negli anni Sessanta (Profili giuridici della organizzazione amministrativa, Giuffrè, 1965), l’elemento dell’organizzazione interna, specie dell’Amministrazione Pubblica, gioca un ruolo essenziale nella tutela delle situazioni giuridiche soggettive. Ma significa altresì agire sul piano della formazione del personale, prevedendo investimenti di risorse finanziarie e umane (pensiamo, ad esempio, all’art. 8 della legge n. 90 del 2024 che ha introdotto in talune Pubbliche Amministrazioni la figura del referente per la cybersicurezza), le quali richiedono peraltro una formazione continua proprio in risposta al continuo cambiamento dello stato della tecnologia. E ciò in riferimento all’individuo sia inteso come lavoratore (pubblico e privato) sia come privato cittadino, dal momento che le azioni di ciascuno di noi hanno ripercussioni carambolesche nel cyberspazio in conseguenza delle caratteristiche intrinseche di quest’ultimo. Per tale ragione è centrale accrescere la cultura del cyber rischio, passando anche per l’educazione cyber. Ma a fronte del fatto che nella cybersicurezza – e più in generale nel settore del digitale – le criticità intersecano e interessano differenti ambiti, è più che mai necessario approcciare i problemi di cybersicurezza da plurimi e diversi punti d’osservazione, attingendo a conoscenze multi e interdisciplinari. E l’attività di educazione cyber non può che basarsi su questa prospettiva. I due volumi della curatela Cybersecurity e Istituzioni Democratiche, unitamente al progetto CybeR-GoPA, rappresentano un piccolo tentativo nella direzione della diffusione della cultura della cybersicurezza.

Intervista al Dott. Stefano Rossa. Cybersecurity e Istituzioni Democratiche. Un’indagine interdisciplinare: Diritto, Informatica e Organizzazione Aziendale

Redazione DIMT

Ultimi articoli

La Commissione Ue rivede le regole sugli aiuti di Stato al trasporto aereo: consultazione aperta fino a giugno

Von der Leyen rilancia la stretta europea sui social: “Proteggere l’infanzia digitale dalle logiche delle piattaforme”

La Corte Ue conferma l’equo compenso per gli editori: valida la normativa italiana, rafforzato il ruolo di Agcom

Il G7 adotta le linee guida SBOM per l’intelligenza artificiale: focus su trasparenza e sicurezza della supply chain

Prossimi eventi

XLII Coordinamento dei dottorati di ricerca in diritto privato

Milano e Roma si incontrano per una Sanità Pubblica più vicina ai cittadini – Il supporto del terzo settore – L’Impatto della Diagnostica per Immagini e dell’Intelligenza Artificiale

Genitorialità e generatività dopo le sentenze della Consulta

Condividi