Cybersecurity Predittiva

Dal Cyber Fragility Index all’Early Warning Europeo

CFI, NCFI ed ECFI come strumenti di governance predittiva della cybersicurezza.

Pubblicato da Elia Lombardo · 18 giugno 2026 · Ricerca indipendente, APS Logic®, Silent Convergence Window ©, APS-CYBER

La cybersicurezza continua a essere spesso raccontata attraverso il linguaggio dell’evento: un attacco subito, una vulnerabilità sfruttata, una notifica di incidente, un sistema compromesso, un servizio interrotto, una crisi da contenere.

Questo linguaggio è necessario, ma arriva quasi sempre tardi.

Quando l’incidente è visibile, qualcosa è già accaduto. Quando la notifica viene trasmessa, la condizione critica si è già manifestata. Quando la risposta viene attivata, la crisi è già entrata nella sua fase operativa.

Il punto centrale della Cybersecurity Predittiva è diverso: non attendere soltanto l’evento, ma leggere le condizioni che lo precedono.

È dentro questa prospettiva che, con il Dr. Ciro Di Leva, ingegnere dell’informazione e PMP®, abbiamo pubblicato su Zenodo due contributi dedicati alla misurazione della fragilità cyber:

il Cyber Fragility Index, CFI;
il National Cyber Fragility Index e lo European Cyber Fragility Index, NCFI / ECFI.

Il primo contributo riguarda la singola organizzazione. Il secondo estende il ragionamento alla scala nazionale ed europea.

Possiamo misurare la fragilità di un sistema prima che quella fragilità diventi crisi?

Il limite degli indicatori tradizionali

La cybersicurezza dispone già di molti indicatori: numero di vulnerabilità note, patch rate, alert SIEM, MTTD, MTTR, incidenti rilevati, phishing rate, esposizione della superficie d’attacco, livelli di compliance.

Questi indicatori sono utili. Spesso sono indispensabili per il lavoro tecnico quotidiano. Ma non sempre rispondono alla domanda più importante per chi deve governare un’organizzazione:

Stiamo convergendo verso una crisi?

Un board, un amministratore delegato, un direttore generale o un vertice istituzionale non può essere sommerso da decine di metriche tecniche. Ha bisogno di una sintesi. Non perché il dettaglio tecnico non sia importante, ma perché la governance richiede un altro livello di lettura.

Un sistema può avere molte vulnerabilità e rimanere ancora stabile. Oppure può avere poche vulnerabilità visibili, ma trovarsi in una condizione di fragilità crescente, perché sta perdendo resilienza, accumulando pressione, entrando in finestre di vulnerabilità o mostrando difficoltà nel tornare alla stabilità dopo perturbazioni.

La domanda non è soltanto: quanto siamo vulnerabili?

La domanda più profonda è: quanto siamo vicini a una condizione di instabilità sistemica?

Il Cyber Fragility Index

Il Cyber Fragility Index nasce per rispondere a questa domanda.

Il CFI non misura semplicemente quante vulnerabilità abbia un’organizzazione. Non è un altro indicatore tecnico da aggiungere a una dashboard già affollata. È uno strumento di sintesi per la governance.

Il suo scopo è tradurre in un numero, in una fascia e in una traiettoria la distanza di un’organizzazione da una condizione di instabilità.

La formula proposta nel paper è:

CFI = 25 · SCW + 30 · P + 25 · (1 − R) + 20 · Vfreq

dove:

SCW indica la percentuale di asset critici attualmente in Silent Convergence Window;
P rappresenta la pressione sistemica media ponderata;
R rappresenta la resilienza del sistema, cioè la capacità di ritorno alla stabilità;
Vfreq misura la frequenza normalizzata delle finestre di vulnerabilità in un determinato intervallo temporale.

Il valore risultante viene espresso su scala 0–100 e può essere associato a fasce operative.

Ma il punto decisivo non è il numero isolato.

Il punto decisivo è la traiettoria.

Un CFI pari a 55 può avere due significati completamente diversi. Se ieri era 70, il sistema sta migliorando. Se ieri era 35, il sistema sta peggiorando.

La governance predittiva non governa un numero statico. Governa una direzione.

Dall’evento alla condizione

Il CFI si colloca dentro una linea di ricerca più ampia.

APS Logic® nasce per leggere i sistemi complessi non soltanto attraverso gli eventi visibili, ma attraverso le condizioni che li precedono.

La Silent Convergence Window © descrive quella fase silenziosa in cui un sistema non è ancora collassato, non ha ancora prodotto un evento visibile, ma sta perdendo progressivamente capacità di ritorno alla stabilità.

APS-CYBER applica questa logica alla sicurezza informatica.

Il CFI la traduce in linguaggio di governance.

Non si prevede l’attacco.

Si misura la condizione che rende più probabile una crisi.

Perché il CFI parla al board

Un analista cyber ha bisogno di metriche operative granulari: asset, log, alert, pressione, anomalie, finestre di vulnerabilità, correlazioni e segnali tecnici.

Un CISO deve tradurre tutto questo in priorità, azioni, risorse, tempi e responsabilità.

Un board ha bisogno di una sintesi ancora diversa: deve capire se l’organizzazione sta migliorando o peggiorando, se la fragilità è sotto controllo, se il rischio sta accumulandosi, se occorre intervenire prima che si apra una crisi.

Il CFI non sostituisce le metriche tecniche. Le rende governabili.

Dal CFI al NCFI

Il secondo passaggio riguarda la scala.

Se possiamo misurare la fragilità cyber di una singola organizzazione, possiamo osservare anche la fragilità cyber di un intero Paese?

Il National Cyber Fragility Index nasce da questa domanda.

L’idea è aggregare, in forma standardizzata, gli indici di fragilità delle organizzazioni essenziali e importanti di un sistema nazionale, in particolare nei settori critici:

sanità;
energia;
trasporti;
telecomunicazioni;
finanza;
pubblica amministrazione;
acqua;
servizi digitali strategici.

Il NCFI non dovrebbe servire a costruire classifiche punitive o a individuare soggetti da sanzionare.

Questa sarebbe una distorsione del modello.

Il suo valore è predittivo, non punitivo.

Serve a osservare se un settore, una filiera o un insieme di infrastrutture strategiche stia convergendo verso una condizione di fragilità crescente.

Un’autorità nazionale potrebbe non vedere ancora incidenti significativi. Potrebbe non ricevere ancora notifiche di crisi. Potrebbe non osservare ancora danni conclamati.

Ma potrebbe vedere una traiettoria.

E una traiettoria, se letta in tempo, permette prevenzione.

La distinzione tra CFI-Local e CFI-National

Uno dei punti più delicati riguarda la comparabilità.

Ogni organizzazione può avere esigenze diverse. Un ospedale, una banca, una società energetica e una pubblica amministrazione non hanno la stessa esposizione, la stessa architettura, gli stessi vincoli e la stessa criticità sistemica.

Per questo, a livello interno, il CFI può essere calibrato secondo il profilo dell’organizzazione.

Ma quando l’indicatore viene utilizzato a livello nazionale, la calibrazione individuale diventa un problema. Se ogni organizzazione calcola il CFI in modo diverso, i valori non sono confrontabili.

Da qui nasce la distinzione tra:

CFI-Local, usato dall’organizzazione per la propria governance interna;
CFI-National, standardizzato secondo criteri definiti dall’autorità competente, per consentire aggregazione e comparabilità.

Questa distinzione è decisiva.

Il CFI-Local serve all’organizzazione. Il CFI-National serve al sistema Paese.

Non si sostituiscono. Si completano.

Lo European Cyber Fragility Index

Il passaggio successivo è europeo.

Se un’autorità nazionale può aggregare gli indicatori delle organizzazioni strategiche e costruire un NCFI, allora un soggetto europeo potrebbe aggregare i NCFI degli Stati membri e costruire uno European Cyber Fragility Index.

L’ECFI avrebbe una funzione diversa da quella del singolo CFI e del NCFI nazionale.

Non servirebbe a misurare la fragilità di un’azienda. Non servirebbe soltanto a misurare la fragilità di uno Stato.

Servirebbe a osservare la condizione dinamica del cyberspazio europeo.

Se più Stati membri mostrano contemporaneamente segnali di fragilità crescente nello stesso settore, ad esempio energia, telecomunicazioni o trasporti, il problema non è più soltanto aziendale o nazionale.

Diventa sistemico.

Diventa europeo.

Un sistema di early warning cyber

Il modello CFI → NCFI → ECFI può essere interpretato come una possibile architettura di early warning cyber.

Livello 1 — Organizzazione: il CFI misura la fragilità cyber della singola organizzazione.

Livello 2 — Stato membro: il NCFI aggrega valori standardizzati e osserva la fragilità del sistema nazionale.

Livello 3 — Unione Europea: l’ECFI aggrega i NCFI nazionali e legge la fragilità cyber europea.

Il flusso non deve essere pensato come un sistema repressivo o sanzionatorio, ma come un’infrastruttura conoscitiva.

Il modello corretto non è quello della classifica.

È quello della protezione civile.

Quando un territorio entra in una condizione meteorologica critica, nessuno sanziona una regione perché piove. Si misurano le condizioni. Si osservano le traiettorie. Si emettono allerte. Si preparano risorse. Si riduce l’esposizione. Si anticipano gli effetti.

Lo stesso principio può essere applicato alla cybersicurezza.

Non si prevede il singolo fulmine. Si misurano le condizioni che rendono probabile la tempesta.

Dalla compliance alla previsione

Uno dei problemi della governance cyber contemporanea è la tendenza a confondere la conformità con la sicurezza.

La compliance è necessaria. Ma non basta.

Un’organizzazione può essere conforme e fragile. Un settore può rispettare obblighi formali e mostrare comunque segnali di instabilità. Un sistema nazionale può ricevere poche notifiche e trovarsi ugualmente in una traiettoria di rischio crescente.

Il NCFI e l’ECFI non dovrebbero essere strumenti di compliance.

Dovrebbero essere strumenti di osservazione predittiva.

Il loro valore non consiste nel dire chi ha rispettato una regola e chi no.

Consiste nel permettere a un decisore di vedere prima dove la fragilità sta crescendo.

La gerarchia concettuale

CFI, NCFI ed ECFI non sono indici isolati.

Si collocano dentro una progressione precisa:

APS Logic®;
lettura delle condizioni pre-critiche;
previsione della perdita di stabilità;
APS-CYBER;
CFI, NCFI ed ECFI come strumenti di governance predittiva.

Questa gerarchia non è un dettaglio teorico.

È ciò che consente di distinguere questi indici da una semplice metrica statistica.

Il punto non è contare incidenti. Il punto non è sommare vulnerabilità. Il punto non è colorare una dashboard.

Il punto è leggere la fragilità come traiettoria di un sistema complesso.

Un sistema non diventa fragile nel momento in cui si rompe. Spesso lo diventa prima. In silenzio.

Una diversa idea di sicurezza

La frase che sintetizza questa linea di ricerca è semplice:

La sicurezza non è uno stato da raggiungere, ma una proprietà da mantenere.

Se la sicurezza è una proprietà da mantenere, allora non può essere osservata soltanto dopo il fallimento.

Deve essere misurata durante il suo progressivo indebolimento.

È qui che il concetto di fragilità diventa centrale.

Un sistema fragile non è necessariamente un sistema già violato. È un sistema che sta perdendo capacità di assorbire perturbazioni. È un sistema che può sembrare ancora funzionante, ma che ha meno margine di ritorno alla stabilità. È un sistema nel quale un evento anche minore può produrre effetti superiori a quelli attesi.

La fragilità è il terreno su cui la crisi diventa possibile.

Misurarla significa spostare la cybersicurezza verso una dimensione più matura: non solo protezione, non solo risposta, ma prevenzione predittiva.

Conclusioni

Il Cyber Fragility Index propone una sintesi per la governance della singola organizzazione.

Il National Cyber Fragility Index estende questa logica al sistema Paese.

Lo European Cyber Fragility Index la porta alla scala europea.

Il passaggio non è soltanto quantitativo. Non si tratta semplicemente di sommare più dati.

È un cambio di paradigma.

La cybersicurezza non viene osservata solo come insieme di eventi, incidenti, vulnerabilità e obblighi di compliance, ma come stato dinamico di sistemi complessi che possono avvicinarsi progressivamente a condizioni di instabilità.

Il CFI permette a un’organizzazione di capire se la propria fragilità sta aumentando.

Il NCFI potrebbe permettere a un’autorità nazionale di capire se un settore critico sta convergendo verso instabilità.

L’ECFI potrebbe permettere a livello europeo di osservare fragilità sistemiche e interdipendenze prima che diventino crisi continentali.

Non si tratta di prevedere il singolo attacco.

Si tratta di misurare le condizioni che rendono una crisi più probabile.

Ed è proprio questa la direzione della Cybersecurity Predittiva:

passare dagli eventi alle condizioni;
dalla reazione alla traiettoria;
dalla notifica dell’incidente alla misura della fragilità;
dalla sicurezza come adempimento alla sicurezza come proprietà dinamica da mantenere.

Pubblicazioni di riferimento

Ciro Di Leva, Elia Lombardo, Cyber Fragility Index (CFI): A Composite Indicator for Predictive Cybersecurity Governance, Zenodo, 2026. DOI: 10.5281/zenodo.20651344.

Ciro Di Leva, Elia Lombardo, National and European Cyber Fragility Index (NCFI / ECFI): From National Predictive Surveillance to a European Early Warning System, Zenodo, 2026. DOI: 10.5281/zenodo.20665603.

Le opinioni espresse sono personali e non riflettono necessariamente posizioni ufficiali delle amministrazioni di appartenenza degli autori. APS Logic®, Silent Convergence Window® e XLAW® sono proprietà intellettuale di Elia Lombardo e sono soggetti a tutela legale.

← Torna al blog