Il vademecum

Data breach, dalla teoria alla pratica: i 18 casi dell’EDPB con analisi del rischio e obblighi

Approfondiamo punto per punto il contenuto delle Linee Guida 01/2021 dell’EDPB, il Garante privacy europeo, in cui l’autorità ha presentato diciotto casi concreti di data breach: un’analisi utile per capire sotto quali forme può avvenire la violazione dei dati

02 Apr 2021
S
Manuel Angelo Salvi

DPO GRC Team

L’Autorità Garante italiana ha prima riacceso l’attenzione sul tema del data breach inserendolo fra gli oggetti delle propria attività ispettiva e successivamente ha prodotto un piccolo tool online per svolgere un Self Assesstment e individuare le azioni da intraprendere a seguito di una violazione di dati personali. A gennaio 2021 l’EDPB, il Garante europeo, con le Linee Guida 01/2021 dal titolo “Examples regarding Data Breach Notification” ha ulteriormente portato alla ribalta il tema delle violazioni di dati.

Il documento con 18 esempi passa in rassegna le casistiche più comuni in cui ogni organizzazione possa imbattersi, definendo per ognuna il livello di rischio, classificandola per violazione e indicando gli obblighi di documentazione, notifica e/o comunicazione come da art. 33 del GDPR.

In questo articolo passeremo in rassegna i 18 esempi sintetizzandoli e soprattutto il punto di vista delle Autorità garanti e le loro aspettative qualora accada una violazione di dati personali.

Ransomware: i quattro esempi di EDPB

I primi quattro esempi portati dalle Linee guida 01/2021 riguardano il cyber crime e nello specifico il ransomware. Il ransomware è un software dannoso progettato per negare l’accesso ai dati della vittima attraverso la crittografia. La chiave di decriptazione è consegnata dall’attaccante malevole previo pagamento di un riscatto solitamente in criptovaluta.

WHITEPAPER
Customer Experience agile, PERSONALIZZATA e omnicanale: come passare al modello 4.0
CRM
Open Innovation

Caso 1: ransomware con corretto backup e senza esfiltrazione dei dati

Vittima: PMI manifatturiera

Il titolare adottava un ottimo sistema di crittografia e la chiave di crittografia non è stata violata durante l’attacco. Una società esterna effettua un’indagine sui log tracing in uscita dall’azienda (inclusa le e-mail) e conferma la non esfiltrazione dei dati.

I dati vengono ripristinati poche ore dopo l’attacco grazie a back up elettronici senza conseguenza sull’operatività aziendale.

Classificazione: violazione di disponibilità per poche ore.

Livello di rischio: basso

Solo obbligo documentale.

Data breach, come affrontarlo passo per passo: i consigli nelle linee guida EDPB

Caso 2: ransomware senza back up

Vittima: un’azienda agricola

Una società esterna effettua un’indagine sui log tracing in uscita dall’azienda (inclusa le e-mail) e conferma la non esfiltrazione dei dati. L’assenza di criptografia non garantisce comunque la certezza che non vi sia violazione della riservatezza, poiché i malware più sofisticati modificano i file di registro e rimuovono eventuali tracce d’esfiltrazione.

I dati personali interessati dalla violazione riguardano dipendenti e clienti, poche decine di individui in tutto. Nessuna categoria di dati particolari è stata coinvolta. Non vi era alcun backup elettronico e il ripristino è avvenuto manualmente da documentazione cartacea in 5 giorni lavorativi, comportando lievi ritardi nella consegna degli ordini. Il principale gap rispetto al caso 1 è l’assenza di un back up elettronico e la mancata protezione dei propri dati con crittografia.

Classificazione: violazione potenziale di riservatezza e disponibilità per 5 giorni.

Livello di rischio: alto

Obbligo documentale e di notifica al Garante.

Caso 3: ransomware con backup e senza esfiltrazione

Vittima: un ospedale

Una società esterna effettua un’indagine sui log tracing in uscita dall’azienda (inclusa le e-mail) e conferma la non esfiltrazione dei dati.

I dati personali interessati dalla violazione riguardano dipendenti e pazienti, nell’ordine delle migliaia di individui. Fra i dati violati vi sono dati particolari. La maggior parte dei dati è stata ripristinata in 2 giorni lavorativi e ha comportato notevoli ritardi nel trattamento dei pazienti con un intervento chirurgico annullato/posticipato e un abbassamento del livello di servizio per indisponibilità dei sistemi.

Classificazione: violazione potenziale di riservatezza e disponibilità per 2 giorni.

Livello di rischio: alto per elevata gravità dell’impatto e numero degli interessati coinvolti.

Obbligo documentale, di notifica al Garante e comunicazione agli interessati.

Caso 4: ransomware senza backup e con esfiltrazione

Vittima: un’azienda di trasporto pubblico.

L’indagine interna evidenzia che i dati sono stati esfiltrati.

I dati personali violati riguardano dipendenti e diverse migliaia di persone trasportate (es: acquisto di biglietti online). Oltre ai dati anagrafici, nella violazione sono coinvolti dati finanziari fra cui gli estremi delle carte di credito. Il backup elettronico è anch’esso colpito dal ransomware e crittografato dall’aggressore.

Classificazione: violazione di riservatezza e disponibilità.

Livello di rischio: alto.

Obbligo documentale, di notifica al Garante e comunicazione agli interessati per cautelarsi da danni materiali (es. bloccare le proprie carte di credito).

Esfiltrazione: due app e uno stuffing attack

Caso 5: esfiltrazione da un’app

Vittima: il sito web di un’agenzia di collocamento viene violato, attraverso lo sfruttamento di una vulnerabilità con SQL Injection.

L’attaccante ha avuto accesso a 1200 user-id/nickname (l’uso di una mail come user-id era sconsigliato) e password hashed con algoritmo robusto. Sebbene non siano stati coinvolti dati particolari, i dati contenevano informazioni considerevoli sfruttabili dall’attaccante (es: targeting con marketing, furto d’identità). Non è stata mantenuta una corretta igiene dell’ambiente IT attraverso l’aggiornamento continuo. Lo sviluppo non ha garantito alti standard di sicurezza come l’autentificazione forte, misure contro attacchi di forza bruta, tecniche di Escaping o Sanitizing. Non sono stati svolti audit periodici sulla sicurezza IT, valutazioni delle vulnerabilità e penetration test per rilevare in anticipo questi tipi di vulnerabilità e risolverli.

Classificazione: violazione di riservatezza e integrità.

Livello di rischio: alto.

Obbligo documentale, di notifica al Garante e comunicazione agli interessati per cautelarsi da danni materiali (es. bloccare le proprie carte di credito).

Caso 6: esfiltrazione da un’app

Vittima: sito web di cucina.

Il toolkit viene scoperto dopo un mese dall’installazione e permette all’attaccante di accedere ai dati caricati e archiviati sul webserver. Sono coinvolti 213 interessati.

Il titolare informa tutti gli utenti via e-mail invitandoli a cambiare password, soprattutto se la password era utilizzata anche per altri servizi. La comunicazione non era obbligatoria ma è stata sicuramente una corretta procedura di mitigazione. La violazione è stata in termini di riservatezza ma la modalità hashed di password e database comporta una sostanziale assenza di rischi per gli interessati. Non sono stati coinvolti dati particolari, né informazioni di contatto (es: indirizzi e-mail e numeri di telefono).

Classificazione: violazione di riservatezza.

Livello di rischio: basso.

Obbligo documentale.

Caso 7: stuffing attack

Vittima: Il sito web di una banca.

Attraverso script o tool l’attaccante prova ripetutamente le credenziali trafugate o acquisite nel dark web sperando che queste non siano state aggiornate. A causa di una vulnerabilità del sito web, l’aggressore ha avuto accesso a informazioni riguardanti 2.000 interessati (nome, cognome, sesso, data e luogo di nascita, codice fiscale, codici identificativi dell’utente), anche se la password utilizzata non era corretta o il conto corrente bancario non era più attivo. Secondo i controlli antifrode, nessuna transazione è stata eseguita dall’attaccante. Il centro operativo per la sicurezza della banca, allertato dall’elevato numero di richieste di accesso al sito web, ha disabilitato tempestivamente la possibilità di accedere al sito Web spegnendolo e forzando il ripristino della password degli account compromessi.

Classificazione: violazione di riservatezza.

Livello di rischio: alto con la possibilità del verificarsi di danni materiali (ad es. perdita finanziaria) e non materiali (ad es. furto di identità o frode)

Obbligo documentale, di notifica al Garante e comunicazione agli interessati per cautelarsi da danni materiali (es. bloccare le proprie carte di credito).

Human Factor: furto di dati dell’ex dipendente ed e-mail inviata per errore

Caso 8: esfiltrazione di data base clienti da ex dipendente

Vittima: azienda.

Durante il periodo di preavviso, il dipendente copia i dati aziendali dal database a cui è autorizzato ad accedere per svolgere il proprio lavoro. Mesi dopo aver lasciato il lavoro, utilizza i dati così acquisiti per contattare i clienti dell’azienda per proporre i servizi della nuova occupazione.

Classificazione: violazione di riservatezza.

Livello di rischio: medio. Sebbene l’unico obiettivo dell’ex dipendente sia fare direct marketing, il titolare non ha alcun tipo di rassicurazione sulle intenzioni del dipendente, pertanto non può valutare il rischio per gli interessati basso non essendo escluso un ulteriore e più grave abuso dei dati rubati.

Obbligo documentale e di notifica al Garante.

Caso 9: trasmissione accidentale di dati a una terza parte fidata

Vittima: assicurazione.

Un agente assicurativo riceve un file Excel via e-mail con i dati di due dozzine di clienti a cui non dovrebbe accedere. È vincolato dal segreto professionale ed è l’unico destinatario dell’e-mail. L’agente, come da Nomina, segnala senza indebito ritardo il breach e conferma la cancellazione dei dati in una dichiarazione scritta. Il Titolare ricevuta la segnalazione corregge il file (impostazioni di sicurezza e visualizzazione) e lo invia al ricevente corretto.

Classificazione: violazione di riservatezza.

Livello di rischio: basso.

Solo obbligo documentale.

Furto o perdita di tablet, notebook, documenti cartacei

Caso 10: furto di materiale criptato

Vittima: asilo nido.

Vengono rubati due tablet, crittografati e spenti.

I dati non erano sul dispositivo ma su un’app, protetta da password complessa, sempre accessibili per il Titolare. Da remoto il titolare procede a cancellare il contenuto del tablet.

Classificazione: violazione nessuna grazie agli accorgimenti del titolare.

Livello di rischio: basso.

Obbligo documentale.

Caso 11: furto di materiale non criptato

Vittima: società di servizi.

Il notebook di un dipendente viene rubato. Conteneva nomi, cognomi, sesso, indirizzi e date di nascita di oltre 100.000 clienti. L’accesso al disco rigido del notebook non era protetto da password. I dati personali sono stati ripristinati dai backup giornalieri.

Classificazione: violazione di riservatezza.

Livello di rischio: alto

Obbligo documentale, di notifica al Garante e comunicazione agli interessati per cautelarsi da danni materiali.

Caso 12: furto di documenti cartacei con dati particolari

Vittima: struttura di riabilitazione per tossicodipendenti.

Un registro cartaceo è stato rubato. Il registro conteneva dati sulla salute dei pazienti. I dati sono stati archiviati solo su carta e non è presente alcun backup. Il registro non era conservato in un cassetto o in una stanza chiusi a chiave, nessun regime di controllo degli accessi né altre misure di salvaguardia della documentazione cartacea erano in atto.

Classificazione: violazione di riservatezza, integrità e disponibilità.

Livello di rischio: alto.

Obbligo documentale, di notifica al Garante e comunicazione agli interessati per cautelarsi da danni materiali.

Invio di posta per errore: fattura, allegati, e-mail

Caso 13: invio di fattura alla persona sbagliata

Vittima: azienda di vendita al dettaglio.

Due ordini con bolle di accompagnamento vengono inviate erroneamente a destinatario sbagliato. Contenevano dati personali (nome, indirizzo, articolo acquistato).

Classificazione: violazione di riservatezza.

Livello di rischio: basso, non essendo un errore sistemico.

Obbligo documentale.

Caso 14: L’allegato è sbagliato

Vittima: Pubblica Amministrazione.

Per errore, viene allegato a una e-mail un documento contenente i dati di oltre 60.000 persone in cerca di lavoro (nome, indirizzo e-mail, indirizzo postale).

Classificazione: violazione di riservatezza.

Livello di alto, per l’elevato numero.

Obbligo documentale, di notifica al Garante e comunicazione agli interessati per cautelarsi da danni materiali.

Caso 15: dati particolari inviati per sbaglio

Vittima: ente di formazione.

L’elenco dei partecipanti a un corso che si svolge in un hotel per 5 giorni viene inviato per errore ai 15 partecipanti al corso invece che all’hotel.

L’elenco contiene nomi, indirizzi e-mail e preferenze alimentari dei 15 partecipanti, di cui 2 sono intolleranti al lattosio.

Classificazione: violazione di riservatezza.

Livello di rischio: basso in quanto la violazione non dovrebbe comportare alcun danno.

Obbligo documentale.

Caso 16: l’allegato è sbagliato

Vittima: assicurazione.

Per posta ordinaria viene inviata la rateizzazione della polizza auto, contenete nome e indirizzo del contraente, numero di immatricolazione del veicolo, tariffe assicurative, chilometraggio annuo approssimativo e data di nascita del contraente.

Classificazione: violazione di riservatezza.

Livello di rischio: basso essendo un caso isolato.

Obbligo documentale e di notifica al Garante.

Social engineering: 2 esempi

Caso 17: furto d’identità

Vittima: società di telecomunicazioni.

Il contact center riceve una telefonata da una persona, che si dichiara essere un cliente, e richiede la modifica dell’indirizzo di posta elettronica per le fatturazioni. L’operatore richiede la convalida dell’identità come da procedura chiedendo alcuni dati personali (dati fiscali e indirizzo di posta). Il mese successivo il legittimo cliente contatta l’azienda, chiedendo spiegazioni sul perché non abbia ricevuto la fatturazione al suo indirizzo e-mail e perché il contact center rifiuti le sue chiamate.

I dati di fatturazione forniscono informazioni sulla vita privata dell’interessato (ad es. abitudini, contatti), potrebbero portare a danni materiali (ad es. stalking, rischio per l’integrità fisica), frodi o attraverso le informazioni ottenute acquisirne altre violando ad esempio altre misure di autenticazione in altre situazioni.

Classificazione: violazione di riservatezza.

Livello di rischio: alto.

Obbligo documentale, di notifica al Garante e comunicazione agli interessati per cautelarsi da danni materiali.

Caso 18: e-mail esfiltrate

Vittima: ipermercato.

Dopo 3 mesi ci si rende conto che alcuni account di posta elettronica erano stati modificati.

Le modifiche introducevano regole tali per cui ogni e-mail contenente determinate espressioni (es. “fattura”, “pagamento”, “bonifico bancario”, “autenticazione carta di credito”, ” i dettagli del conto bancario”) fosse inoltrata a un indirizzo e-mail esterno.

L’aggressore, fingendosi un fornitore, dopo aver richiesto la modifica dei dettagli del conto bancario del fornitore, ha inviato diverse fatture false, con i nuovi dettagli di pagamento.

Classificazione: violazione di riservatezza.

Livello di rischio: alto.

Obbligo documentale, di notifica al Garante e comunicazione agli interessati per cautelarsi da danni materiali.

L’analisi del contesto

L’impressione che ho avuto leggendo il documento EDPB è che il metro di giudizio nel valutare i data breach, così come il punto di vista diverga anche di molto da quello di coloro che quotidianamente dovrebbero adempiervi. Vuoi per la giovinezza della norma, vuoi per la mancanza di piena consapevolezza della stessa, temo esistano troppi punti di vista in materia di data breach, quando l’unico punto di vista che realmente ha valore è quello dell’Autorità Garante, soprattutto se l’obiettivo è evitare di ricevere un provvedimento sanzionatorio.

Gli Imprenditori e il management privato sono sovente attenti prevalentemente alla continuità operativa e alla disponibilità del dato. Si cautelano soprattutto con cloud e backup. L’incendio di OVH e le Linee guida 01/2021 dimostrano che ciò non basta, poiché per il GDPR non basta certo garantire solo la disponibilità.

Inoltre, gli imprevisti sono sempre dietro l’angolo, vuoi per un evento imprevedibile o quasi (l’incendio della tua server farm) vuoi perché il cyber criminale ha criptato anche le coppie di back up. Le Pubbliche Amministrazioni spesso per carenza di fondi o mancanza di know how trascurano tutto ciò che sta sotto l’Art. 32 del GDPR sia essa infrastruttura tecnologica o Human factor. Le recenti sanzioni a diverse strutture sanitarie, INPS, Regione Lazio, MISE dimostrano che molto ancora c’è da fare.

Talvolta i colleghi DPO, vuoi per percorso formativo, vuoi per carenza di skills tecnico informatiche, in un mondo iper-digitalizzato quale è quello di oggi, non approfondiscono i reali flussi dei dati all’interno delle infrastrutture ITC e i rischi ivi connessi, limitandosi a rendere puntualmente adempiuta solo la sovrastruttura documentale e formale. Il Colonello Menegazzo del Nucleo Speciale Privacy della G.D.F., negli incontri pubblici ove partecipa, non perde occasione di ripetere che dopo 21 anni di privacy formale è giunta l’ora della Privacy sostanziale. Francesco Modafferi componente dell’Ufficio del Garante solo poco giorni fa in un incontro tenuto dall’Istituto Italiano Privacy, in un breve sfogo che a tratti mi è sembrato un manifesto del suo pensiero, ha detto “non se ne può più di DPO che fanno Informaticucce e Policy da scaffale”…. “io mi aspetto che in fase ispettiva accanto al DPO vi sia sempre l’AdS”.

L’importanza della collaborazione

Guido Scorza componente dell’Ufficio del Garante ha snocciolato recentemente gli inpietosi numeri relativi alle notifiche di data breach fatte al Garante. Nello stesso periodo in Germania le notifiche alle autorità preposte sono state prossime alle 100.000 mentre in Italia sono state poco più di 4.000.

La tendenza tutta italiana di non notificare nella speranza di farla franca e una generale mancanza di cultura sul tema sono probabilmente le principali motivazioni allo scarsissimo uso del vincolo di notificare al Garante.

Scorza ha sottolineato l’importanza in materia di Privacy di un approccio collaborativo sottolineando che l’assenza di una forbice stringente fra un minimo e un massimo per ogni infrazione, offre al Garante una discrezionalità massima e i fattori attenuanti potrebbero divenire straordinariamente importanti in termini di riduzione della sanzione di cui sono certi solo i massimali (20.000 di euro oppure il 4% del fatturato globale).

Conclusione

Per chiudere, un’attenta lettura non tanto di questo sintetico articolo ma della stessa linea guida è necessario così come affidarsi a figure professionali e qualificate.

È necessario ricordarsi sempre che la data protection poggia su tre diversi percorsi professionali distinti, raramente riscontrabili in un’unica persona, riconducibili all’ambito legale per gli aspetti formali e normativi, all’ambito organizzativo-gestionale per la ri-progettazione dei flussi informativi interni e il coinvolgimento del personale, all’ambito IT per la cyber-security.

WHITEPAPER
Come abilitare elevati standard di sicurezza, crittografia e monitoraggio dei dati?
Datacenter
Datacenter Infrastructure Management
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
Salute digitale
Formazione
Analisi
Sostenibilità
PA
Sostemibilità
Sicurezza
Digital Economy
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr