SI-CERT: 13 persone, 6.000 incidenti all'anno

SI-CERT: 13 persone, 6.000 incidenti all'anno

Il 3 giugno 2026, un'intervista pubblicata da Help Net Security ha reso pubblici i numeri di un caso unico nell'ecosistema europeo dei Computer Security Incident Response Team (CSIRT): il team nazionale sloveno SI-CERT, composto da circa 13 persone con obiettivo di arrivare a 15, gestisce circa 6.000 incidenti informatici all'anno. Il manager Gorazd Božič ha tracciato la fotografia di un'organizzazione evoluta da circa 300 casi annuali dieci-quindici anni fa, attraverso una struttura di triage a tre linee e una specializzazione crescente che ne fa un modello alternativo al SOC aziendale interno.

Da 300 a 6.000: la curva di crescita di tre decenni

La storia di SI-CERT inizia nel 1994, quando Gorazd Božič presentò la proposta originale all'ARNES, l'agenzia pubblica per la rete accademica e di ricerca slovena. Il centro divenne dipartimento di quella stessa agenzia pubblica e ha iniziato la cooperazione con le forze dell'ordine già nel 1998. Secondo quanto riferito da Božič, il volume di lavoro è cresciuto di un fattore venti: da circa 300 incidenti all'anno a circa 6.000. La crescita non è lineare ma esponenziale, riflettendo l'espansione della superficie d'attacco nazionale e l'aumento della consapevolezza segnalativa.

Il dato quantitativo assume rilevanza nel contesto europeo dei mandati NIS e NIS2, che impongono agli stati membri strutture di risposta agli incidenti. La Slovenia ha scelto di non replicare il modello di mega-SOC ma di mantenere un team ridotto, specializzato e integrato nella rete accademica. La fonte non specifica il budget annuale di SI-CERT né fornisce confronti diretti con altri CERT nazionali europei per dimensione del team rapportata al volume di incidenti.

La geometria del triage: tre linee per filtrare il rumore

Il nucleo tecnico dell'operatività di SI-CERT è la struttura di triage a tre linee. La prima linea gestisce i routine reports, la seconda gli serious incidents, la terza i phishing reports. Ogni caso viene classificato con la tassonomia ENISA, adattata con sottocategorie specifiche. Questo sistema permette di separare il volume dal valore: non tutti i 6.000 incidenti richiedono la stessa profondità di analisi, ma tutti devono essere categorizzati per trend e reporting istituzionale.

La specializzazione del team si è stratificata nel tempo. Oltre al triage operativo, SI-CERT mantiene competenze in malware analysis, digital forensics e threat intelligence. La fonte cita come caso concreto l'analisi del lato residential proxy di Anatsa, malware Android bancario. Questo tipo di lavoro non è scalabile con l'aggiunta di personale generico: richiede analisti con competenze tecniche specifiche che le singole aziende, specialmente di dimensioni medie, non possono giustificare economicamente come costo fisso.

"the center now records about 6,000 incidents a year, up from roughly 300 ten to fifteen years earlier"
— Gorazd Božič, manager SI-CERT

Il modello "servizio condiviso" e il confine con le aziende

Božič ha delineato una posizione chiara sul rapporto tra CERT nazionale e strutture di sicurezza aziendali. Il modello sloveno posiziona SI-CERT come fornitore di capacità che il singolo SOC interno non può mantenere: analisi malware approfondita, forensics avanzata, intelligence su minacce nazionali. Questo approccio riduce la duplicazione di costi e concentra l'expertise in un punto della rete nazionale, accessibile a tutte le organizzazioni che ne fanno richiesta.

La posizione istituzionale di SI-CERT è formalizzata dal finanziamento del Government Information Security Office, che la fonte primaria identifica come "competent national authority". La membership in FIRST (Forum of Incident Response and Security Teams), TF-CSIRT e l'accreditamento Trusted Introducer collocano il team nella rete di cooperazione internazionale dei CSIRT. Questi elementi confermano il mandato governativo ma non ne precisano i termini contrattuali o gli SLA con le organizzazioni assistite.

La fonte riporta una tensione ricorrente: il ruolo di SI-CERT viene "ancora frainteso come ispettorato o branca delle forze dell'ordine". Božič ha ribadito che la funzione è di supporto tecnico, non investigativa. Questa distinzione è operativa: il CERT non ha poteri coercitivi ma può aggregare dati su campagne di phishing o distribuzione di malware che le singole aziende tendono a gestire in silos.

Il limite dell'automazione: perché l'AI non risolve il triage

Nell'intervista, Božič ha espresso scetticismo sulla capacità dell'intelligenza artificiale di sostituire l'analista umano nel contesto SOC. La sua argomentazione è tecnica e non retorica: la comprensione del significato di un alert richiede conoscenza accumulata nel tempo, contesto organizzativo e capacità di correlare segnali eterogenei. L'automazione può filtrare il rumore ma non può ancora gestire la classificazione del significato.

Questa posizione ha conseguenze dirette sul modello di staffing. Se l'AI non comprime il fabbisogno di analisti qualificati, la crescita da 13 a 15 persone rappresenta un incremento marginale rispetto a un volume che potrebbe continuare a crescere. La fonte non fornisce stime sulla curva futura dei 6.000 incidenti annuali né indica se il team prevede ulteriori espansioni o modifiche alla struttura di triage.

Perché è importante

Il dossier non specifica la distribuzione percentuale dei 6.000 incidenti tra le tre linee di triage, né il tasso di risoluzione o il tempo medio di risposta. Non emergono dati sul numero esatto di casi cooperativi con le forze dell'ordine nel 2025, oltre alla menzione storica del 1998 come anno di inizio collaborazione. Il confronto diretto con altri CERT nazionali europei non è disponibile nelle fonti, quindi non è possibile posizionare la Slovenia in una graduatoria di efficienza.

La fonte non documenta misure correttive specifiche né raccomandazioni operative esplicite per le organizzazioni che interagiscono con SI-CERT. Il modello di "servizio condiviso" è descritto come pratica consolidata ma non come framework formalizzato con procedure di accesso standardizzate. Il budget annuale esatto resta non dichiarato, così come i criteri di prioritizzazione tra richieste da enti pubblici e privati.

Per le aziende e il settore pubblico, il caso sloveno dimostra che un team piccolo ma strutturato può gestire volume elevato attraverso triage specializzato e cooperazione pubblico-privato, pur con i limiti di scalabilità che un incremento di due persone su tredici non risolve in modo strutturale. Per i policy maker, la sfida restante è la sostenibilità del funding attraverso cicli elettorali, nonostante i mandati normativi NIS/NIS2. Per i professionisti, l'evoluzione da generalista a specializzato documentata da SI-CERT rappresenta un caso studio su come la maturità di un CERT si misuri sulla profondità dell'analisi più che sulla larghezza della copertura.

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti

• https://www.helpnetsecurity.com/2026/06/03/gorazd-bozic-si-cert-cyber-incident-response/
• https://krebsonsecurity.com/2026/04/scattered-spider-member-tylerb-pleads-guilty/
• https://www.welivesecurity.com/en/kids-online/children-selfies-online/
• https://www.securityweek.com/trump-signs-executive-order-that-invites-vetting-of-top-ai-models-for-national-security-risks/
• https://nvd.nist.gov/vuln/vulnerability-detail-pages
• https://www.cert.si/en/about-si-cert/
• https://www.helpnetsecurity.com/2026/04/07/online-crime-financial-losses-fbi-report/
• https://www.helpnetsecurity.com/2026/01/08/barracuda-phishing-kit-techniques/
• https://www.helpnetsecurity.com/2026/03/05/tycoon-2fa-phishing-platform-takedown-europol/