{"id":72349,"date":"2025-08-27T14:43:15","date_gmt":"2025-08-27T14:43:15","guid":{"rendered":"https:\/\/www.europesays.com\/it\/72349\/"},"modified":"2025-08-27T14:43:15","modified_gmt":"2025-08-27T14:43:15","slug":"il-vademecum-per-i-dipendenti-pubblici-e-privati","status":"publish","type":"post","link":"https:\/\/www.europesays.com\/it\/72349\/","title":{"rendered":"il vademecum per i dipendenti pubblici (e privati)"},"content":{"rendered":"

La trasformazione digitale della Pubblica Amministrazione, accelerata negli ultimi anni da processi di digitalizzazione e dall\u2019adozione di piattaforme abilitanti (SPID, pagoPA, ANPR), ha reso sempre pi\u00f9 centrale il tema della sicurezza informatica. L\u2019Agenzia per la Cybersicurezza Nazionale (ACN), con la pubblicazione del recente Vademecum \u201cBuone pratiche di cybersecurity di base per i dipendenti delle PP.AA.\u201d<\/strong>\u00a0(testo in calce<\/strong>), fornisce uno strumento operativo che si inserisce nel solco di una strategia pi\u00f9 ampia di protezione del patrimonio informativo pubblico.<\/p>\n

L\u2019importanza di questo documento non risiede tanto nella sua apparente semplicit\u00e0, quanto nel ribadire un concetto chiave: la sicurezza non \u00e8 solo tecnologia, ma soprattutto cultura organizzativa e responsabilit\u00e0 individuale.<\/p>\n\n\"Sicurezza<\/a>Sicurezza informatica<\/strong>, Micozzi Francesco Paolo, Ed. CEDAM. Obblighi e responsabilit\u00e0 dopo il recepimento della NIS2 e la L. 90\/2024.
Scopri i dettagli dell’opera<\/strong><\/a><\/td>\n<\/tr>\n

1. Il contesto normativo<\/strong><\/p>\n

Il vademecum si colloca all\u2019interno di un quadro giuridico multilivello. Sul piano europeo, la Direttiva (UE) 2022\/2555 (NIS 2), recentemente recepita in Italia, rafforza gli obblighi di gestione del rischio cibernetico e responsabilizza i vertici delle organizzazioni pubbliche. Sul versante nazionale, il Decreto legislativo n. 82\/2005 (Codice dell\u2019amministrazione digitale \u2013 CAD) e le Linee guida AgID definiscono requisiti minimi di sicurezza e misure organizzative, in linea con quanto gi\u00e0 previsto dall\u2019art. 32 del Regolamento (UE) 2016\/679 (GDPR) in tema di protezione dei dati personali.<\/p>\n

ACN, con documenti come la Strategia nazionale di cybersicurezza 2022-2026 e le recenti relazioni annuali al Parlamento, ha pi\u00f9 volte sottolineato come gli incidenti cyber che colpiscono le PP.AA. derivino in oltre il 50% dei casi da errori umani. In questo senso, il vademecum non rappresenta un\u2019innovazione isolata, ma un tassello coerente di una strategia di lungo periodo.<\/p>\n

2. Il fattore umano come vulnerabilit\u00e0 (e risorsa)<\/strong><\/p>\n

Uno degli aspetti pi\u00f9 rilevanti del vademecum \u00e8 l\u2019attenzione al fattore umano. Le statistiche dicono che il punto pi\u00f9 debole di un sistema informatico \u201csi trova tra la tastiera e la sedia\u201d ma pu\u00f2 essere \u201cil primo ed il pi\u00f9 importante punto di difesa\u201d.<\/p>\n

Il GDPR, nel richiedere misure tecniche e organizzative adeguate, richiama implicitamente la necessit\u00e0 di formare e sensibilizzare gli operatori. Analogamente, le Linee guida AgID sulla formazione del personale e le raccomandazioni ACN sui programmi di security awareness ribadiscono che senza comportamenti corretti \u2013 uso di password robuste, attenzione al phishing<\/a><\/strong>, segnalazione tempestiva di anomalie \u2013 nessuna infrastruttura tecnologica pu\u00f2 dirsi sicura.<\/p>\n

3. Le dodici regole di base: dal vademecum al sistema di compliance<\/strong><\/p>\n

Le \u201c12 buone pratiche\u201d individuate da ACN nel vademecum, vanno lette non come meri suggerimenti operativi, ma come obblighi funzionali a garantire accountability<\/a><\/strong> e conformit\u00e0 normativa che hanno come conseguenza anche una inevitabile ricaduta positiva sulla gestione dei dispositivi informatici personali.<\/p>\n

La prima raccomandazione \u00e8 quella di attivare sempre l\u2019autenticazione a pi\u00f9 fattori (MFA) che \u00e8 oggi considerata una misura tecnica di base, prevista anche nelle Misure minime AgID (M1.1.3). Dal punto di vista giuridico, la sua omissione pu\u00f2 essere valutata come mancata adozione di misure adeguate ai sensi dell\u2019art. 32 GDPR.<\/p>\n

A questa si associa una politica delle password che prevede di creare password robuste, uniche per ogni account, diverse per ciascun servizio ed anche per lavoro e vita privata.<\/p>\n

Se ci si allontana dal posto di lavoro \u00e8 bene bloccare sempre il dispositivo. La protezione della postazione di lavoro rientra tra le misure organizzative di sicurezza (cfr. Allegato B, Misure minime AgID). \u00c8 spesso sottovalutata, ma soprattutto quando il terminale si trova in luoghi aperti al pubblico pu\u00f2 esporre l\u2019organizzazione a violazioni di dati sensibili o giudiziari (art. 9 e 10 GDPR<\/a><\/strong>).<\/p>\n

Sebbene l\u2019aggiornamento dei sistemi aziendali sia gestito dall\u2019Amministratore di sistema, occorre prestare particolare attenzione anche ai sistemi personali quando attraverso di essi si accede ai gestionali o alla posta elettronica aziendale. Per gli stessi motivi ACN ribadisce il divieto di installare solo software autorizzato dalla PA.<\/p>\n

Chiavette USB e dispositivi esterni sono veicoli frequenti di malware injection. Le Linee guida AgID sulla sicurezza ICT ne raccomandano l\u2019uso controllato, prevedendo whitelist di dispositivi. Il mancato rispetto pu\u00f2 compromettere intere reti, con rischi di interruzione di pubblico servizio. Sul punto potrebbe essere utile andare oltre adottando una politica di \u201ctolleranza zero\u201d che preveda la chiusura delle porte usb, cos\u00ec da minimizzare il rischio di introdurre malware malevolo, avendo cura per\u00f2 di indicare soluzioni di scambio file di grandi dimensioni approvate dall\u2019azienda.<\/p>\n

Segue una serie di suggerimenti che fanno perno sul fattore umano e sul livello di consapevolezza e familiarit\u00e0 con politiche di cybersecurity<\/a><\/strong>.<\/p>\n

Innanzitutto occorre non fidarsi mai di email urgenti o sospette. Il phishing resta il principale vettore di attacco. L\u2019ENISA e ACN hanno pi\u00f9 volte ribadito la necessit\u00e0 di phishing simulation campaigns per formare il personale. Da tenere presente anche le conseguenze di un attacco riuscito con conseguenti violazioni massive di dati, ai sensi degli artt. 33 e 34 GDPR<\/a><\/strong>. Per gli stessi motivi occorre segnalare subito lo smarrimento di dispositivi informatici. Farlo tempestivamente permette di attivare misure di contenimento. Si tratta di un obbligo organizzativo che richiama direttamente la ristrettezza dei termini per la notifica imposta dall\u2019art. 33 GDPR (72 ore dalla scoperta del data breach).<\/p>\n

Fuori dall\u2019ufficio o dalla propria abitazione occorre evitare di connettersi a Wi-Fi pubbliche non protette, in quanto possono rappresentare un rischio di attacco man-in-the-middle. L\u2019uso di VPN, consigliato anche da ACN, ne riduce l\u2019esposizione. Questa misura \u00e8 coerente con le prescrizioni di risk management della NIS 2.<\/p>\n

Occorre tenere presente, inoltre, la necessit\u00e0 di segnalare subito ogni anomalia, anche se sospetta. Ci\u00f2 consente di intervenire in fretta per arginare eventuali attacchi in corso. L\u2019early detection \u00e8 un principio chiave della strategia di cybersicurezza. <\/p>\n

Usare la email istituzionale solo per attivit\u00e0 lavorative evita esposizioni indebite e rischi di tracciamento. Un uso improprio dell\u2019email istituzionale pu\u00f2 determinare responsabilit\u00e0 disciplinari e, in caso di incidente, accountability in capo all\u2019amministrazione. <\/p>\n

Occorrere regolamentare l\u2019uso degli strumenti informatici attraverso un documento che, oltre a stabilire le regole di utilizzo della posta elettronica chiarisca anche le regole per l\u2019utilizzo dell\u2019intelligenza artificiale sul posto di lavoro.<\/p>\n

ACN, infatti, richiama l\u2019attenzione sull\u2019uso improprio di LLM e chatbot che raccolgono dati per l\u2019autoapprendimento. Inserire dati riservati in tali sistemi equivale, di fatto, a una comunicazione a terzi senza base giuridica, in violazione degli artt. 6 e 9 GDPR<\/a><\/strong>. Inoltre, l\u2019EDPB (Comunicazione 2023 su ChatGPT) ha sottolineato il rischio di data leakage e perdita di controllo sui dati immessi. Ne discende un obbligo di informazione e di formazione da parte del datore di lavoro nei confronti dei dipendenti<\/p>\n

4. Responsabilit\u00e0 organizzative e implicazioni per i DPO<\/strong><\/p>\n

Il vademecum, pur rivolgendosi a tutti i dipendenti pubblici, ha conseguenze dirette anche sul ruolo dei vertici amministrativi e dei responsabili della protezione dei dati (DPO). La mancata osservanza delle buone pratiche pu\u00f2 comportare non solo rischi reputazionali e operativi, ma anche sanzioni amministrative (art. 83 GDPR<\/a><\/strong>) e responsabilit\u00e0 erariale in caso di danno erariale derivante da violazioni o interruzioni di pubblico servizio.<\/p>\n

Diventa quindi essenziale che le PP.AA. non si limitino a diffondere il documento, ma lo integrino in piani formativi periodici, procedure disciplinari e audit interni di conformit\u00e0.<\/p>\n

5. Conclusioni<\/strong><\/p>\n

Il vademecum di ACN conferma un approccio pragmatico: fornire regole semplici e concrete per rafforzare la resilienza della Pubblica Amministrazione. Tuttavia, la sua reale efficacia dipender\u00e0 dalla capacit\u00e0 degli enti di trasformare tali regole in prassi consolidate, parte integrante della cultura organizzativa.<\/p>\n

Per i professionisti del settore \u2013 giuristi, DPO, responsabili ICT \u2013 il documento costituisce un\u2019occasione per riflettere sul rapporto tra cybersecurity, protezione dei dati personali e compliance normativa. <\/p>\n

Sar\u00e0 importante, infatti, non tanto adottare tecnologie avanzate, quanto sensibilizzare i dipendenti a comportamenti consapevoli e alla capacit\u00e0 di prevenire il rischio cibernetico.<\/p>\n

\"one<\/a><\/p>\n


\n
\n ACN, Vademecum: “Buone pratiche di cybersecurity di base per i dipendenti delle PP.AA.”
\n \n <\/p>\n","protected":false},"excerpt":{"rendered":"La trasformazione digitale della Pubblica Amministrazione, accelerata negli ultimi anni da processi di digitalizzazione e dall\u2019adozione di piattaforme…\n","protected":false},"author":3,"featured_media":27028,"comment_status":"","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[172],"tags":[178,177,1537,90,89],"class_list":{"0":"post-72349","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-affari","8":"tag-affari","9":"tag-business","10":"tag-it","11":"tag-italia","12":"tag-italy"},"share_on_mastodon":{"url":"","error":""},"_links":{"self":[{"href":"https:\/\/www.europesays.com\/it\/wp-json\/wp\/v2\/posts\/72349","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.europesays.com\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.europesays.com\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/it\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/it\/wp-json\/wp\/v2\/comments?post=72349"}],"version-history":[{"count":0,"href":"https:\/\/www.europesays.com\/it\/wp-json\/wp\/v2\/posts\/72349\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/it\/wp-json\/wp\/v2\/media\/27028"}],"wp:attachment":[{"href":"https:\/\/www.europesays.com\/it\/wp-json\/wp\/v2\/media?parent=72349"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.europesays.com\/it\/wp-json\/wp\/v2\/categories?post=72349"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.europesays.com\/it\/wp-json\/wp\/v2\/tags?post=72349"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}