Come si pu\u00f2 comprendere dalla Relazione annuale al Parlamento 2024 dell\u2019ACN<\/strong> (Agenzia Cybersicurezza Nazionale), in tale anno sono stati rilevati 756 attacchi informatici<\/strong> mirati alle Pubbliche Amministrazioni, e il successo di pi\u00f9 del 50% di questi \u00e8 stato causato da errori umani<\/strong>. Inoltre, \u00e8 stato riscontrato che negli ultimi anni c\u2019\u00e8 stato un incremento di attacchi informatici che mirano alle Pubbliche Amministrazioni. Parliamo del 20% degli attacchi: quindi no, ad oggi, non c\u2019\u00e8 la conoscenza necessaria.<\/p>\n\n\n\n <\/p>\n\n\n\n Il problema pi\u00f9 grande \u00e8 quando, per colpa nostra, vengono coinvolte altre persone: si pensi alle scuole, agli ospedali, ai Comuni\u2026 Basta un solo dispositivo compromesso e possono essere rubate centinaia di cartelle cliniche, pagelle, carte d\u2019identit\u00e0. Ma ricordiamoci che non esiste solo il furto, esiste anche il ricatto.<\/p>\n\n\n\n Quando in maniera inconsapevole tramite messaggi di posta elettronica o utilizzo di dispositivi USB esterni apriamo le porte a infezioni malevoli che bloccano tutte le informazioni all\u2019interno del nostro dispositivo richiedendoci poi una somma di denaro per riavere i nostri dati, inconsciamente pensiamo che basta aprire il portafoglio, ecco, qui ci si sbaglia di grosso.<\/p>\n\n\n\n Non si tratta di casi rari: basti pensare all\u2019attacco ransomware del 23 ottobre 2023, che ha colpito l\u2019Azienda Ospedaliera Universitaria Integrata di Verona (https:\/\/www.cybersecurity360.it\/news\/in-ospedale-solo-per-urgenze-laoui-di-verona-sotto-attacco-hacker-per-ora-nessuna-rivendicazione\/). In quell\u2019occasione, l\u2019intera struttura \u00e8 rimasta bloccata per ore, causando disagi enormi.<\/p>\n\n\n\n Ma ci\u00f2 che dovrebbe preoccupare ancora di pi\u00f9 \u00e8 la reale motivazione dietro questi attacchi mirati alle PA: non si tratta solo di un’interruzione dei servizi, bens\u00ec di un vero e proprio traffico di dati.<\/p>\n\n\n\n Una volta sottratti, i dati non restano pi\u00f9 sotto il nostro controllo: vengono venduti nel dark web al miglior offerente. E non si tratta di cifre irrisorie: una singola cartella clinica pu\u00f2 raggiungere un valore di mercato di circa 2.000 dollari. Un prezzo altissimo, non solo in termini economici, ma soprattutto in termini di responsabilit\u00e0, sicurezza e dignit\u00e0 delle persone coinvolte<\/p>\n\n\n\n Sussiste un\u2019altra piccola prevenzione che \u00e8 buona norma attuare e, soprattutto, molto ignorata che con un esempio, forse vi apparir\u00e0 pi\u00f9 chiara: il vostro capo vi ha telefonato, vi chiede di inviare una mail di cui vi siete dimenticati ma voi vi trovate fuori casa senza Internet\u2026 ed ecco che il primo pensiero \u00e8 quello di collegarvi alla rete Wi-Fi<\/strong> del primo bar che trovate.<\/p>\n\n\n\n ASSOLUTAMENTE NO:<\/strong> se si vuole preservare in maniera sicura il contenuto del nostro dispositivo, non si deve assolutamente accedere a reti pubblicamente aperte. E\u2019 possibile (e quindi non \u00e8 nulla la probabilit\u00e0) che un malintenzionato sia connesso alla stessa rete, e ci\u00f2 comporterebbe per lui un facile accesso ai nostri dati in quanto, se connesso alla stessa rete, pu\u00f2 riuscire ad entrare nel dispositivo collegato alla medesima.<\/p>\n\n\n\n L\u2019unica situazione che ci preserva dal pericolo sarebbe possedere sul nostro dispositivo una soluzione che ci permette di creare una rete virtuale protetta (VPN) al fine di far transitare in modalit\u00e0 sicura le informazioni destinate al nostro capo. In assenza di quest\u2019ultima, dovremmo attendere di trovarci in un posto con una rete sicura e fidata<\/strong>.<\/p>\n\n\n\n Purtroppo, siamo noi a concedere lo scacco matto all\u2019attaccante. Quindi, come indicato anche da ACN, comprendiamo che il punto pi\u00f9 debole di un sistema informatico si trova tra la tastiera e la sedia (vale lo stesso se si \u00e8 sul divano), ma pu\u00f2 essere anche il primo e pi\u00f9 importante punto di difesa.<\/p>\n\n\n\n Si pu\u00f2 imparare a non commettere errori che poi possono rivelarsi fatali che, comunque, non sono solo i rischi sopra citati. Di fatto, oltre al rischio di aprire le porte a soluzioni malevoli che comportino divulgazione\/blocco\/furto dei dati, sussiste anche un rischio legale che siamo certi di non voler conoscere. Dover essere inseguiti da una sanzione amministrativa per non aver attuato alcune semplici prassi non \u00e8 un\u2019esperienza da provare.<\/p>\n\n\n\n Buona condotta in caso di dubbi o errori commessi \u00e8 quella di fermarsi e consultare sempre i nostri responsabili o addetti alla sicurezza informatica pi\u00f9 vicini, in modo da intervenire tempestivamente mitigando gli effetti dannosi.<\/p>\n\n\n\n Supponiamo, per esempio, di aver dovuto svolgere un lavoro fuori sede e di aver avuto con noi un dispositivo portatile. Tornando in ufficio ci rendiamo conto di non avere pi\u00f9 il dispositivo con noi. Una situazione simile va sempre comunicata<\/strong>: ci sono ancora buone possibilit\u00e0 di poter porre rimedio alla situazione, o almeno in buona parte cercando di mitigare la perdita e possibile accesso alle informazioni contenute sui dispositivi smarriti.<\/p>\n\n\n\n Inoltre, se vogliamo richiamare principi morali, sarebbe anche di un gesto responsabile, valore che non dobbiamo abbandonare.<\/p>\n\n\n\n Bisogna considerare i nostri dati come se fossero ci\u00f2 che di pi\u00f9 prezioso abbiamo nella nostra dimora. Quello che teniamo nella nostra casa lo proteggiamo con una buona porta blindata, una buona serratura, magari anche con un cane da guardia e un impianto d\u2019allarme. Le stesse pratiche le dobbiamo attuare per la dimora dei nostri dati: la credenziale<\/strong> \u00e8 la nostra serratura. Pi\u00f9 \u00e8 sicura, pi\u00f9 proteggiamo ci\u00f2 che \u00e8 all\u2019interno \u00c8 infatti buona norma utilizzare password complesse e diverse l\u2019una dall\u2019altra, per ridurre il rischio che un eventuale furto di credenziali comprometta pi\u00f9 account contemporaneamente. A casa sicuramente abbiamo porte diverse con serrature e chiavi diverse. Ma non basta nemmeno questo: le password sono utili ma non sufficienti, bisogna quindi pensare e implementare altri sistemi di sicurezza.<\/p>\n\n\n\n Cos\u00ec come per la nostra casa non ci siamo fermati alla sola serratura ma ci siamo spinti verso le telecamere di sicurezza, abbiamo acquistato anche un cane da guardia\u2026 allo stesso modo, per una sola dimora di dati si possono implementare pi\u00f9 protezioni, attivando un sistema di doppia autentificazione con un codice supplementare (OTP) da aggiungere alla password che magari giunga su un canale diverso della mail, sms o adottare soluzioni di autentificazione appropriate offerte da vendor di mercato che prevedono autentificazione a multi fattore (MFA). Questo permetterebbe di irrobustire l\u2019accesso ai sistemi informatici e di conseguenza prevenire un potenziale attacco. Ora, immaginate che si tratti di un dispositivo connesso all\u2019intero sistema informatico di un ipotetico ospedale: la sua compromissione non sarebbe solo irreversibile, ma metterebbe anche a rischio documenti sensibili dei pazienti.<\/p>\n\n\n\n Si tratterebbe di dati di cui avremmo dovuto essere responsabili. Allo stesso tempo la compromissione di tali dati potrebbe metterebbe a rischio la vita dei pazienti.<\/p>\n\n\n\n Una disattenzione di questo tipo non compromette solo chi la compie, ma coinvolge anche persone del tutto estranee, con gravi conseguenze etiche, legali e anche potenzialmente fisiche.<\/p>\n\n\n\n Questo \u00e8 ci\u00f2 che in termini informatici chiamiamo MFA<\/strong>.<\/p>\n<\/div>\n<\/div>\n\n\n\n Per rimanere all\u2019interno della stessa analogia, si pensi sempre alla porta di casa: sfido chiunque ad andare al panificio ed essere tranquillo avendo lasciato la porta di casa aperta. A volte bastano pochi secondi e il momento sbagliato.<\/p>\n\n\n\n Allo stesso modo non dobbiamo sentirci tranquilli nel lasciare il dispositivo della nostra postazione di lavoro incustodito, senza averlo prima bloccato.<\/p>\n\n\n\n Se ci si dovesse trovare nella situazione in cui, per i corridoi della nostra organizzazione, si aggira una persona non autorizzata, che potrebbe avere delle intenzioni poco raccomandabili, e con questa nostra dimenticanza potremmo avergli facilitato la strada per il suo obiettivo.<\/p>\n<\/div>\n\n\n\n Incombe per\u00f2 un altro nemico ai nostri giorni: l\u2019intelligenza artificiale. Purtroppo, siamo cos\u00ec accecati dalla sua formidabile potenza e utilit\u00e0 che dimentichiamo di pensare a quali danni potrebbe mai causare.<\/p>\n\n\n\n Nel momento in cui viene caricato un documento o un\u2019informazione sensibile<\/strong> su una piattaforma AI, \u00e8 l\u2019esatto analogo di lasciare il nostro telefonino nell\u2019autobus: abbiamo il 50% di possibilit\u00e0 di avere ancora tutti i dati personali integri e l\u2019altro 50% che siano finiti nelle mani sbagliate, avendo compromesso la totale integrit\u00e0 di tutto il suo contenuto. Ecco perch\u00e9, come citato anche dal Vademecum dell\u2019ACN, possibilmente si dovrebbe evitare di inserire dati e documenti sensibili nelle piattaforme AI.<\/p>\n<\/div>\n\n\n\n L\u2019intelligenza artificiale pu\u00f2 essere inoltre usata a vantaggio di un malintenzionato: non dobbiamo ignorare gli attacchi informatici che sfruttano quest\u2019ultima.<\/p>\n\n\n\n Prendiamo, ad esempio, un episodio accaduto nel marzo 2019 (https:\/\/gizmodo.com\/scammer-successfully-deepfaked-ceos-voice-to-fool-under-1837835066?utm_source=chatgpt.com): l\u2019amministratore delegato di un\u2019azienda energetica nel Regno Unito ha ricevuto tre telefonate in cui un truffatore impersonava il CEO della casa madre tedesca, chiedendo il trasferimento urgente di una somma di denaro.<\/p>\n\n\n\n Come \u00e8 stata riprodotta una voce tanto convincente, con un perfetto accento tedesco, e una motivazione altrettanto credibile per giustificare la richiesta? Appunto, con l\u2019AI. La prudenza non deve essere mai troppa. Non agiamo d\u2019impulso e non affrettiamoci nel prendere decisioni prima di aver fatto opportune e sempre necessarie verifiche.<\/p>\n\n\n\n Ma non \u00e8 finita qua: c\u2019\u00e8 anche la parte hardware. Una semplice pennetta USB pu\u00f2 essere fatale: finch\u00e9 non ne apriamo il contenuto, quest\u2019ultimo rimarr\u00e0 ignoto. Chi garantisce l\u2019assenza di un malware o di un virus che comprometter\u00e0 i nostri sistemi? Purtroppo, nessuno. Motivo per cui la scelta pi\u00f9 semplice \u00e8 non collegare<\/strong> se non si ha la certezza di ci\u00f2 che contiene.<\/p>\n\n\n\n Per lo stesso motivo, i dispositivi da utilizzare nel nostro ambiente di lavoro devono essere solo ed esclusivamente quelli che fanno parte della dotazione ufficiale. Quindi, comprendiamo bene che non parliamo solo di pennette USB, ma risulter\u00e0 efficace non connettere alcun dispositivo che sia al di fuori dall\u2019approvazione della nostra Organizzazione.<\/p>\n\n\n\n Questo ragionamento, per\u00f2, non vale solo per dispositivi esterni nel luogo di lavoro, ma deve essere considerato anche quanto gli stessi dispositivi di lavoro sono utilizzati all\u2019esterno dell\u2019organizzazione, in luoghi o locali estranei all\u2019organizzazione come bar, ristorante, mezzi di trasporto e quant\u2019altro. Non curarci della possibile compromissione di riservatezza fa esporre la nostra organizzazione e noi stessi a potenziali rischi di accesso non autorizzato.<\/p>\n\n\n\n Lo stesso dubbio applichiamolo anche quando decidiamo di scaricare un\u2019applicazione, un file, un allegato o anche cliccare su un link\u2026 Nessuno ci d\u00e0 la garanzia di cosa effettivamente possa contenere. Ecco perch\u00e9 rimarr\u00e0 sempre buona pratica assicurarci che la fonte sia affidabile. Se si vuole optare per una via ancor pi\u00f9 semplificata, chiediamo al nostro responsabile prima di condurre un\u2019azione della quale siamo poco certi. Se abbiamo il minimo dubbio, non rischiamo<\/strong>.<\/p>\n\n\n\n Proprio per comprendere le possibili conseguenze di un comportamento incauto, basti pensare all\u2019attacco avvenuto nel marzo 2025 ai danni dell\u2019Universit\u00e0 di Padova (https:\/\/cert-agid.gov.it\/news\/campagna-di-phishing-mirata-a-unipd-circa-200-credenziali-compromesse\/). In quell\u2019occasione \u00e8 stata messa in atto una sofisticata campagna di phishing mirata, in cui gli attaccanti hanno impersonato l\u2019ateneo tramite la creazione di pagine di login contraffatte, perfettamente identiche a quelle ufficiali.<\/p>\n\n\n\n L\u2019obiettivo era chiaro: sottrarre le credenziali di accesso. Una volta inserite su queste pagine false, le credenziali venivano immediatamente acquisite dai cybercriminali, consentendo loro di accedere liberamente agli account delle vittime. Il bilancio \u00e8 stato significativo: ben 190 account tra studenti e personale universitario sono stati compromessi.<\/p>\n\n\n\n Questo episodio evidenzia perch\u00e9 le Pubbliche Amministrazioni rappresentano un bersaglio privilegiato: il numero di utenti coinvolti \u00e8 elevato, la sensibilit\u00e0 delle informazioni gestite \u00e8 altissima e la probabilit\u00e0 che qualcuno cada nella trappola \u00e8 purtroppo molto concreta.<\/p>\n\n\n\n Altra cosa che non ci si deve dimenticare \u00e8 quello strumento che permette al nostro dispositivo hardware di funzionare e le applicazioni software di operare: il sistema operativo. Cos\u00ec come ci si prende cura della manutenzione della propria casa quando si decide di rinnovare il cappotto, la porta, il cancello\u2026 allo stesso modo anche un sistema operativo necessita di aggiornamenti. Possibilmente, non appena si presenta un nuovo aggiornamento disponibile, sarebbe buona norma occuparsene subito.<\/p>\n\n\n\n Allo stesso modo, cos\u00ec come per la nostra abitazione, nel momento in cui ci rendiamo conto che salta la luce troppo spesso, che la finestra non si chiude pi\u00f9\u2026 decidiamo di contattare subito chi di competenza per sistemare ci\u00f2 che non va. Adottare lo stesso medesimo comportamento per il nostro dispositivo \u00e8 ci\u00f2 che di pi\u00f9 giusto potremmo fare.<\/p>\n\n\n\n Se notiamo rallentamenti, file mancanti o in aggiunta che non rammentiamo, deve suonare come un campanello d\u2019allarme: avvisiamo il nostro responsabile, facciamoci assistere da qualcuno preparato in materia e comprendiamo la situazione.<\/p>\n\n\n Molto spesso non vengono presi in considerazione aspetti che possono risultare futili, ma nella realt\u00e0 possono rappresentare un impatto significativo.<\/p>\n\n\n\nANELLO DEBOLE<\/strong><\/h4>\n\n\n\n
PROTEZIONE DELL\u2019IDENTIT\u00c0 E DEGLI ACCESSI<\/strong><\/h4>\n\n\n\n
![\"\"](\"https:\/\/www.boxxapps.com\/wp-content\/uploads\/2025\/08\/Sicurezza-PA2.png\")
<\/figure>\n<\/div>\n\n\n\n![\"\"](\"https:\/\/www.boxxapps.com\/wp-content\/uploads\/2025\/08\/Sicurezza-PA3.png\")
<\/figure>\n<\/div>\n<\/div>\n\n\n\nAI – Artificial Intelligence<\/strong><\/h4>\n\n\n\n
![\"\"](\"https:\/\/www.boxxapps.com\/wp-content\/uploads\/2025\/08\/Sicurezza-PA4.jpg\")
<\/figure>\n<\/div>\n<\/div>\n\n\n\nDISPOSITIVO<\/strong><\/h4>\n\n\n\n
![\"\"](\"https:\/\/www.boxxapps.com\/wp-content\/uploads\/2025\/08\/Sicurezza-PA5.jpg\")
<\/figure>\n<\/div>\n\n\nCONCLUSIONE<\/strong><\/h4>\n\n\n\n