Cybersecurity nella PA: la guida dell'ACN per i dipendenti pubblici

lentepubblica.it

Ogni giorno, decine di enti pubblici italiani finiscono nel mirino di attacchi informatici: per questo motivo l’ACN ha fornito una guida con una serie di buone pratiche per la Cybersecurity nella PA rivolta ai dipendenti.

Si tratta di una questione rilevante poiché si fa riferimento non solo a un problema tecnologico, ma anche – e soprattutto – umano. La sicurezza digitale passa infatti dalle buone abitudini quotidiane di ogni dipendente.

In un mondo sempre più connesso, la Pubblica Amministrazione rappresenta decisamente uno dei bersagli preferiti dai criminali informatici. Secondo la Relazione annuale 2024 dell’Agenzia per la Cybersicurezza Nazionale (ACN), oltre il 50% degli incidenti informatici contro enti pubblici è stato causato da comportamenti errati o imprudenze dei singoli. Un clic sbagliato, una password debole o un allegato aperto senza attenzione possono bastare a compromettere l’intera operatività di un ufficio.

Una minaccia quotidiana, amplificata dai conflitti globali

Gli attacchi digitali non conoscono confini. Mentre le guerre rimangono localizzate geograficamente, le operazioni informatiche collegate a questi conflitti colpiscono ovunque. Dall’invasione russa dell’Ucraina alle tensioni in Medio Oriente, l’ondata di malware, ransomware e tentativi di intrusione ha raggiunto anche le infrastrutture pubbliche italiane, paralizzando servizi essenziali e mettendo a rischio dati riservati.

Ospedali, Comuni, università e fornitori di servizi digitali sistemici sono tra le vittime più frequenti. Tra i casi più gravi, si segnalano interruzioni nei servizi diagnostici (come TAC e risonanze), ritardi nei pagamenti istituzionali – incluse le tredicesime – e compromissioni che hanno bloccato attività amministrative e didattiche per giorni.

L’anello debole? L’essere umano. Ma può diventare il primo baluardo

Spesso si pensa che la sicurezza informatica dipenda solo dalla tecnologia. Ma i dati dimostrano che l’elemento umano resta il punto più vulnerabile. Tuttavia, lo stesso utente può trasformarsi nella prima linea di difesa. Per farlo, serve una nuova consapevolezza: non basta affidarsi a software aggiornati, firewall o sistemi avanzati. Occorre anche adottare comportamenti corretti, costanti e informati.

La protezione digitale si costruisce su tre livelli: una governance efficace, strumenti tecnologici adeguati e – soprattutto – abitudini responsabili.

Quando l’errore apre la porta all’attacco

Molti attacchi partono da un’email apparentemente innocua. Una finta comunicazione con un link contraffatto, un allegato dannoso aperto per sbaglio: in pochi minuti, un’intera rete può essere messa fuori uso. È già accaduto e può accadere di nuovo. Per questo è fondamentale adottare un approccio rigoroso e responsabile, non solo per proteggere l’infrastruttura, ma anche per tutelare la fiducia dei cittadini nei confronti delle istituzioni.

Le conseguenze possono essere gravi, non solo per i danni tecnici, ma anche per quelli reputazionali e legali. Ogni amministrazione è quindi chiamata ad agire tempestivamente, definendo regole chiare, controlli efficaci e un’adeguata formazione del personale.

12 regole pratiche per lavorare in sicurezza

Per aiutare i dipendenti pubblici a difendersi meglio, l’ACN propone dodici buone pratiche semplici da seguire, ma fondamentali:

1. Attiva sempre l’autenticazione a più fattori (MFA): un codice aggiuntivo, oltre alla password, può evitare accessi non autorizzati.

2. Crea password sicure e distinte: non usare la stessa chiave per lavoro e vita privata. Evita riferimenti ovvi come nomi o date.

3. Blocca il dispositivo quando ti allontani: anche pochi minuti bastano per compromettere i tuoi dati.

4. Aggiorna subito il sistema: ogni update risolve falle note agli hacker.

5. Installa solo software autorizzato: anche programmi “innocui” possono nascondere minacce.

6. Utilizza esclusivamente dispositivi approvati: chiavette USB o hard disk non ufficiali possono diffondere malware.

7. Diffida di email sospette: verifica sempre mittente e contenuto, soprattutto in caso di messaggi urgenti o inaspettati.

8. Segnala immediatamente la perdita di dispositivi: è un atto di responsabilità, non una colpa.

9. Evita reti Wi-Fi pubbliche non protette: meglio una connessione più lenta ma sicura, magari con una VPN.

10. Rileva e comunica ogni anomalia: anche un semplice rallentamento può indicare un’intrusione.

11. Usa l’email istituzionale solo per fini lavorativi: iscrizioni a newsletter o siti privati aumentano il rischio di attacchi.

12. Non condividere dati sensibili in chatbot o IA generativa: questi strumenti non sono ambienti sicuri, a meno che non siano forniti direttamente dall’Amministrazione.

L’intelligenza artificiale: risorsa e pericolo

Una delle minacce più insidiose arriva dall’uso improprio dei sistemi di intelligenza artificiale. Molti assistenti virtuali e chatbot raccolgono i dati immessi dagli utenti per addestrare i propri modelli. Documenti riservati copiati e incollati in questi strumenti possono finire per essere rielaborati e diffusi in modo incontrollato. Anche senza malizia, un errore del genere può compromettere informazioni sanitarie, legali o tecniche riservate.

La sicurezza inizia da ciascuno di noi

Difendere l’integrità dei dati pubblici non è un compito che spetta solo agli esperti IT. Ogni dipendente della Pubblica Amministrazione ha un ruolo attivo e decisivo. Adottare buone pratiche quotidiane, rispettare le regole e rimanere vigili è oggi più che mai un dovere civico. La sicurezza informatica non è solo questione di tecnologia, ma di cultura. E costruirla è una responsabilità condivisa.

Cybersecurity nella PA: la guida dell’ACN per i dipendenti pubblici

Qui il documento completo curato dall’ACN.

The post Cybersecurity nella PA: la guida dell'ACN per i dipendenti pubblici appeared first on lentepubblica.it.