La trasformazione digitale della Pubblica Amministrazione, accelerata negli ultimi anni da processi di digitalizzazione e dall’adozione di piattaforme abilitanti (SPID, pagoPA, ANPR), ha reso sempre più centrale il tema della sicurezza informatica. L’Agenzia per la Cybersicurezza Nazionale (ACN), con la pubblicazione del recente Vademecum “Buone pratiche di cybersecurity di base per i dipendenti delle PP.AA.” (testo in calce), fornisce uno strumento operativo che si inserisce nel solco di una strategia più ampia di protezione del patrimonio informativo pubblico.
L’importanza di questo documento non risiede tanto nella sua apparente semplicità, quanto nel ribadire un concetto chiave: la sicurezza non è solo tecnologia, ma soprattutto cultura organizzativa e responsabilità individuale.
Sicurezza informatica, Micozzi Francesco Paolo, Ed. CEDAM. Obblighi e responsabilità dopo il recepimento della NIS2 e la L. 90/2024.Scopri i dettagli dell’opera
Il vademecum si colloca all’interno di un quadro giuridico multilivello. Sul piano europeo, la Direttiva (UE) 2022/2555 (NIS 2), recentemente recepita in Italia, rafforza gli obblighi di gestione del rischio cibernetico e responsabilizza i vertici delle organizzazioni pubbliche. Sul versante nazionale, il Decreto legislativo n. 82/2005 (Codice dell’amministrazione digitale – CAD) e le Linee guida AgID definiscono requisiti minimi di sicurezza e misure organizzative, in linea con quanto già previsto dall’art. 32 del Regolamento (UE) 2016/679 (GDPR) in tema di protezione dei dati personali.
ACN, con documenti come la Strategia nazionale di cybersicurezza 2022-2026 e le recenti relazioni annuali al Parlamento, ha più volte sottolineato come gli incidenti cyber che colpiscono le PP.AA. derivino in oltre il 50% dei casi da errori umani. In questo senso, il vademecum non rappresenta un’innovazione isolata, ma un tassello coerente di una strategia di lungo periodo.
2. Il fattore umano come vulnerabilità (e risorsa)
Uno degli aspetti più rilevanti del vademecum è l’attenzione al fattore umano. Le statistiche dicono che il punto più debole di un sistema informatico “si trova tra la tastiera e la sedia” ma può essere “il primo ed il più importante punto di difesa”.
Il GDPR, nel richiedere misure tecniche e organizzative adeguate, richiama implicitamente la necessità di formare e sensibilizzare gli operatori. Analogamente, le Linee guida AgID sulla formazione del personale e le raccomandazioni ACN sui programmi di security awareness ribadiscono che senza comportamenti corretti – uso di password robuste, attenzione al phishing, segnalazione tempestiva di anomalie – nessuna infrastruttura tecnologica può dirsi sicura.
3. Le dodici regole di base: dal vademecum al sistema di compliance
Le “12 buone pratiche” individuate da ACN nel vademecum, vanno lette non come meri suggerimenti operativi, ma come obblighi funzionali a garantire accountability e conformità normativa che hanno come conseguenza anche una inevitabile ricaduta positiva sulla gestione dei dispositivi informatici personali.
La prima raccomandazione è quella di attivare sempre l’autenticazione a più fattori (MFA) che è oggi considerata una misura tecnica di base, prevista anche nelle Misure minime AgID (M1.1.3). Dal punto di vista giuridico, la sua omissione può essere valutata come mancata adozione di misure adeguate ai sensi dell’art. 32 GDPR.
A questa si associa una politica delle password che prevede di creare password robuste, uniche per ogni account, diverse per ciascun servizio ed anche per lavoro e vita privata.
Se ci si allontana dal posto di lavoro è bene bloccare sempre il dispositivo. La protezione della postazione di lavoro rientra tra le misure organizzative di sicurezza (cfr. Allegato B, Misure minime AgID). È spesso sottovalutata, ma soprattutto quando il terminale si trova in luoghi aperti al pubblico può esporre l’organizzazione a violazioni di dati sensibili o giudiziari (art. 9 e 10 GDPR).
Sebbene l’aggiornamento dei sistemi aziendali sia gestito dall’Amministratore di sistema, occorre prestare particolare attenzione anche ai sistemi personali quando attraverso di essi si accede ai gestionali o alla posta elettronica aziendale. Per gli stessi motivi ACN ribadisce il divieto di installare solo software autorizzato dalla PA.
Chiavette USB e dispositivi esterni sono veicoli frequenti di malware injection. Le Linee guida AgID sulla sicurezza ICT ne raccomandano l’uso controllato, prevedendo whitelist di dispositivi. Il mancato rispetto può compromettere intere reti, con rischi di interruzione di pubblico servizio. Sul punto potrebbe essere utile andare oltre adottando una politica di “tolleranza zero” che preveda la chiusura delle porte usb, così da minimizzare il rischio di introdurre malware malevolo, avendo cura però di indicare soluzioni di scambio file di grandi dimensioni approvate dall’azienda.
Segue una serie di suggerimenti che fanno perno sul fattore umano e sul livello di consapevolezza e familiarità con politiche di cybersecurity.
Innanzitutto occorre non fidarsi mai di email urgenti o sospette. Il phishing resta il principale vettore di attacco. L’ENISA e ACN hanno più volte ribadito la necessità di phishing simulation campaigns per formare il personale. Da tenere presente anche le conseguenze di un attacco riuscito con conseguenti violazioni massive di dati, ai sensi degli artt. 33 e 34 GDPR. Per gli stessi motivi occorre segnalare subito lo smarrimento di dispositivi informatici. Farlo tempestivamente permette di attivare misure di contenimento. Si tratta di un obbligo organizzativo che richiama direttamente la ristrettezza dei termini per la notifica imposta dall’art. 33 GDPR (72 ore dalla scoperta del data breach).
Fuori dall’ufficio o dalla propria abitazione occorre evitare di connettersi a Wi-Fi pubbliche non protette, in quanto possono rappresentare un rischio di attacco man-in-the-middle. L’uso di VPN, consigliato anche da ACN, ne riduce l’esposizione. Questa misura è coerente con le prescrizioni di risk management della NIS 2.
Occorre tenere presente, inoltre, la necessità di segnalare subito ogni anomalia, anche se sospetta. Ciò consente di intervenire in fretta per arginare eventuali attacchi in corso. L’early detection è un principio chiave della strategia di cybersicurezza.
Usare la email istituzionale solo per attività lavorative evita esposizioni indebite e rischi di tracciamento. Un uso improprio dell’email istituzionale può determinare responsabilità disciplinari e, in caso di incidente, accountability in capo all’amministrazione.
Occorrere regolamentare l’uso degli strumenti informatici attraverso un documento che, oltre a stabilire le regole di utilizzo della posta elettronica chiarisca anche le regole per l’utilizzo dell’intelligenza artificiale sul posto di lavoro.
ACN, infatti, richiama l’attenzione sull’uso improprio di LLM e chatbot che raccolgono dati per l’autoapprendimento. Inserire dati riservati in tali sistemi equivale, di fatto, a una comunicazione a terzi senza base giuridica, in violazione degli artt. 6 e 9 GDPR. Inoltre, l’EDPB (Comunicazione 2023 su ChatGPT) ha sottolineato il rischio di data leakage e perdita di controllo sui dati immessi. Ne discende un obbligo di informazione e di formazione da parte del datore di lavoro nei confronti dei dipendenti
4. Responsabilità organizzative e implicazioni per i DPO
Il vademecum, pur rivolgendosi a tutti i dipendenti pubblici, ha conseguenze dirette anche sul ruolo dei vertici amministrativi e dei responsabili della protezione dei dati (DPO). La mancata osservanza delle buone pratiche può comportare non solo rischi reputazionali e operativi, ma anche sanzioni amministrative (art. 83 GDPR) e responsabilità erariale in caso di danno erariale derivante da violazioni o interruzioni di pubblico servizio.
Diventa quindi essenziale che le PP.AA. non si limitino a diffondere il documento, ma lo integrino in piani formativi periodici, procedure disciplinari e audit interni di conformità.
Il vademecum di ACN conferma un approccio pragmatico: fornire regole semplici e concrete per rafforzare la resilienza della Pubblica Amministrazione. Tuttavia, la sua reale efficacia dipenderà dalla capacità degli enti di trasformare tali regole in prassi consolidate, parte integrante della cultura organizzativa.
Per i professionisti del settore – giuristi, DPO, responsabili ICT – il documento costituisce un’occasione per riflettere sul rapporto tra cybersecurity, protezione dei dati personali e compliance normativa.
Sarà importante, infatti, non tanto adottare tecnologie avanzate, quanto sensibilizzare i dipendenti a comportamenti consapevoli e alla capacità di prevenire il rischio cibernetico.
ACN, Vademecum: “Buone pratiche di cybersecurity di base per i dipendenti delle PP.AA.”