Negli ultimi anni molte amministrazioni hanno visto crescere in modo significativo l’utilizzo dei propri servizi digitali: portali per i cittadini, piattaforme di pagamento, sistemi di prenotazione, sportelli online, servizi cloud usati da uffici e partecipate.
Con l’aumento della dipendenza da questi strumenti è cresciuto anche l’interesse degli attaccanti, che colpiscono le infrastrutture pubbliche con campagne di Distributed Denial of Service, o DDoS. Un attacco DDoS non punta a rubare dati, ma a saturare risorse di rete e di calcolo fino a rendere irraggiungibili siti e applicazioni. Per cittadini, imprese e uffici il risultato è immediato: servizi online non disponibili, rallentamenti, interruzioni proprio nei momenti in cui servirebbero di più. Capire che cosa succede davvero durante un DDoS è il primo passo per impostare una strategia di difesa efficace.
Che cosa è un attacco DDoS e perché è un problema per la PA
Un attacco DDoS consiste nel generare da molteplici sorgenti distribuite su Internet una quantità anomala di traffico verso uno o più obiettivi, per esempio siti web, API, VPN, DNS o applicazioni critiche. Lo scopo è esaurire la banda disponibile, la capacità dei server o le risorse dei sistemi di protezione, fino a compromettere il funzionamento del servizio. Dal punto di vista dell’utente la percezione è semplice: il portale non si apre, la pagina carica lentamente, il servizio va in timeout. Per una pubblica amministrazione, però, l’impatto va molto oltre il disagio tecnico. Se si ferma un portale di pagamento, uno sportello online o una piattaforma di prenotazione, si fermano attività amministrative, procedure e servizi che cittadini e imprese considerano ormai essenziali.
Che cosa vede chi gestisce la rete durante un attacco
Per chi presidia la rete, un attacco DDoS non si presenta sempre come un singolo allarme evidente. Spesso il primo segnale è un aumento improvviso del traffico su alcune interfacce, con picchi che superano di molto i valori storici attesi per quella fascia oraria o per quello specifico servizio. Guardando più nel dettaglio, emergono elementi sospetti: un numero enorme di richieste verso gli stessi indirizzi IP o URL, connessioni aperte e chiuse in rapida sequenza, traffico proveniente da un numero molto elevato di sorgenti distribuite geograficamente. In alcuni casi si saturano le tabelle di sessione dei firewall, in altri si intasano i load balancer o i server applicativi, con effetti a catena anche sul traffico legittimo. Chi gestisce la rete vede quindi un’infrastruttura che sembra sotto pressione su più livelli contemporaneamente: banda, sicurezza, applicazioni, tempi di risposta. Distinguere rapidamente tra un picco fisiologico e un comportamento ostile diventa essenziale per evitare interventi tardivi o inefficaci.
Gli effetti sul territorio e sui servizi digitali
Quando un attacco DDoS colpisce un’infrastruttura pubblica, i primi a percepirlo sono gli utenti finali. Un cittadino che deve pagare una pratica, prenotare un appuntamento o accedere a un certificato trova un servizio non disponibile e spesso non ha strumenti per capire se si tratti di un guasto, di manutenzione o di un attacco. Per le imprese il problema può essere ancora più serio, soprattutto quando il disservizio coinvolge sportelli telematici, sistemi autorizzativi, procedure di pagamento o accessi a documentazione amministrativa. Sul lato interno, anche gli uffici possono subire rallentamenti se l’attacco impatta VPN, servizi condivisi o piattaforme usate dal personale. Inoltre, l’effetto non si esaurisce quando il traffico torna normale: pratiche arretrate, richieste accumulate e necessità di comunicazione con utenti e stakeholder possono continuare a pesare per ore o giorni. In questo senso, un DDoS è un problema tecnico che si trasforma rapidamente in un problema operativo e reputazionale.
Come si difende la città da un attacco DDoS
La difesa efficace contro i DDoS non si costruisce solo all’interno del data center o del perimetro IT dell’ente. Quando il traffico malevolo è già arrivato a saturare la connettività o i sistemi applicativi, il margine di intervento si riduce drasticamente. Per questo la protezione deve iniziare a livello di rete, con servizi di mitigazione capaci di intercettare il traffico anomalo prima che raggiunga il bersaglio. In pratica, il flusso sospetto viene deviato verso infrastrutture specializzate che lo analizzano, filtrano le componenti malevole e lasciano passare soltanto il traffico legittimo. Accanto alla mitigazione servono sistemi di monitoraggio continuo, in grado di confrontare il comportamento attuale del traffico con il profilo normale del servizio e di segnalare tempestivamente le anomalie. Dal lato applicativo aiutano anche misure di robustezza come caching, limitazione delle richieste, ridondanza e protezione degli accessi.
Il valore di una strategia integrata
Per una città, la difesa dai DDoS è più efficace quando è integrata nell’architettura complessiva dei servizi digitali. Questo significa non trattare la protezione come un componente separato, ma come parte della progettazione di portali, piattaforme, data center e collegamenti di rete. Un operatore di territorio che conosce topologia, servizi critici e priorità dell’ente può contribuire a definire soglie, procedure e percorsi di mitigazione coerenti con il contesto reale. Può inoltre garantire visibilità centralizzata sugli eventi che coinvolgono più sedi o più servizi, accelerando la risposta e la comunicazione tra i soggetti coinvolti. In questo modo la resilienza non dipende solo dalla reazione all’emergenza, ma dalla qualità del disegno infrastrutturale costruito in precedenza. Per cittadini e imprese significa una cosa molto semplice: servizi online più affidabili, anche quando qualcuno prova deliberatamente a renderli indisponibili.
