REGOLAMENTO UE

Data breach e modelli preventivi di gestione delle non conformità: strategie di compliance

Gestire consapevolmente un data breach costituisce un indubbio vantaggio per le organizzazioni che, nell’affrontare uno dei momenti più critici e delicati del trattamento, la violazione della sicurezza dei dati personali, devono dimostrare di conoscere e saper applicare i principi di accountability e privacy by default

27 Dic 2019
S
Daniele Santucci

Privacy Officer, consulente privacy e auditor, Delegato Provinciale Federprivacy

Le violazioni di dati (data breach) devono essere individuate, affrontate e – ove necessario – segnalate all’autorità e agli interessati. Questo processo richiede un considerevole impegno da parte delle organizzazioni sia sul piano operativo che decisionale.

A fronte di possibili e significative conseguenze per il titolare del trattamento, in termini di danno economico e reputazionale, le prassi da seguire impongono una lucida consapevolezza nella scelta delle azioni necessarie a contenere il rischio.

Non di meno, le violazioni devono essere prevenute: questa capacità si inserisce in un contesto ben più ampio di compliance, di cui la gestione del data breach rappresenta l’apice, il banco di prova della buona organizzazione e degli sforzi di conformità a tutela dei dati personali compiuti dai titolari e dai responsabili.

In più occasioni la questione del data breach è stata affrontata sotto il profilo operativo, metodologico e sul piano delle conseguenze per gli interessati e i titolari, incluse, per questi ultimi, quelle sanzionatorie[1]. Ad esempio, si è molto discusso in merito alle modalità di classificazione delle violazioni (analizzando metodi di valutazione noti, come quello dell’ENISA[2], o altri modelli proprietari), si è parlato delle fasi da seguire in caso di incidente, o ancora riguardo le procedure formali di comunicazione della violazione al Garante mediante il modello di notifica.

In queste righe si cercherà di proporre una lettura dell’argomento connessa alle opportunità offerte da una corretta e consapevole gestione delle violazioni, a partire dalle fasi di prevenzione e di pianificazione che dovrebbero essere parte di ogni buon sistema di gestione e controllo dei dati personali.

Non ci si soffermerà sulle conseguenze sugli interessati, questione ben argomentata nei considerando del GDPR[3] e dalle linee guida WP2050 dell’EDPB[4], preferendo altresì un approccio orientato agli aspetti di governance dei dati.

Innanzitutto, va osservato come le prassi di corretta e consapevole gestione del data breach racchiudano in sé molti principi chiave ricorrenti nel GDPR, nelle raccomandazioni dell’EDPB e nelle indicazioni del Garante Privacy. Vediamo quali.

Gestione delle violazioni e accountability

Il concetto di accountability è stato ampiamente affrontato e dibattuto nella corposa letteratura e nei commentari che hanno seguito l’emanazione del Regolamento e delle successive norme nazionali di raccordo[5].

WHITEPAPER
Perché impostare una strategia di manutenzione dei server?
Datacenter
Sicurezza

L’impianto normativo di matrice europea chiede alle organizzazioni, in modo piuttosto innovativo, di partecipare attivamente all’applicazione dei principi stabiliti dal Regolamento[6]. Ciò a partire dalla responsabilità, connessa all’esercizio pubblico e imprenditoriale, di dare senso compiuto alla norma in seno all’organizzazione e di saper mettere in atto, documentandolo, un adeguato complesso di misure di sicurezza finalizzato a rispettare il Regolamento ed a proteggere i dati personali.

La gestione delle violazioni rappresenta un’importante occasione di confronto con questo fondamentale principio di responsabilizzazione. Questo è vero tanto nella fase preliminare di pianificazione del sistema di gestione dei dati personali – che deve necessariamente prevedere l’eventualità del data breach – quanto nelle fasi di gestione della violazione dal momento del suo verificarsi fino alla notifica e definitiva chiusura. In questi momenti sono messe a dura prova le capacità valutative del titolare, la scelta delle misure di sicurezza nonché la loro efficacia e flessibilità in risposta all’incidente.

L’obiettivo, e la sfida, in un’ottica di gestione sistemica “by default” della protezione dei dati, è quello di trasformare la violazione, e la sua gestione preventiva, in una concreta opportunità di miglioramento per l’intera organizzazione.

Prepararsi alla violazione: predisporre la procedura

L’articolo 33 del GDPR, come anche sottolineato dal Garante[7], impone che tutte le violazioni debbano essere documentate, a prescindere dalla necessità di notifica.

Questa attività può essere condotta avvalendosi dei più disparati strumenti, da individuare anche in relazione alla complessità dell’organizzazione (dai semplici fogli di calcolo fino alle più evolute applicazioni software), ma richiede, preliminarmente, che l’organizzazione dimostri capacità di:

  • identificare tempestivamente la violazione (competenza e consapevolezza del personale);
  • accertarsi che la violazione sia subito comunicata alle funzioni competenti (comunicazione tempestiva);
  • valutare l’entità della violazione (criterio e metodologia di valutazione definiti);
  • valutare il rischio connesso alla violazione (valutazione dei rischi rispetto al trattamento oggetto di violazione);
  • documentare la violazione (aggiornamento del registro delle violazioni);
  • conoscere le azioni necessarie ad affrontare la violazione (contrasto e mitigazione degli effetti);
  • intraprendere le eventuali azioni di notifica alle autorità o agli interessati.

L’insieme di queste competenze rientra innanzitutto nelle buone prassi della pianificazione anticipata dei processi.

Diventa essenziale disporre una procedura documentata e condivisa in grado di individuare i compiti e le responsabilità, stabilire le priorità ed i criteri di valutazione e dettare le fasi di gestione della violazione. La procedura, così come l’eventuale notifica, deve essere parte del complessivo piano di gestione degli incidenti adottato dall’organizzazione, che può trarre immediato vantaggio dall’integrazione con le eventuali procedure di disaster recovery già esistenti o con i processi di gestione delle non conformità propri di altri sistemi di gestione (es qualità, sicurezza delle informazioni ecc.).

La procedura dovrà contenere almeno:

  • l’elenco dei soggetti referenti e responsabili della gestione delle violazioni a cui segnalare immediatamente l’evento (meglio se è identificato un referente per le violazioni);
  • il riferimento/link ai documenti o schede da compilare per la registrazione e segnalazione delle violazioni;
  • la descrizione delle fasi di gestione della violazione (meglio se sostenute da un diagramma di flusso);
  • le istruzioni su come contenere e porre rimedio all’incidente (avvalendosi di una tabella operativa di casi noti o esemplificativi);
  • il riferimento ai criteri di valutazione della gravità delle violazioni;
  • le modalità di notifica all’autorità e/o agli interessati;
  • il riferimento/link al registro delle violazioni e relative istruzioni di compilazione.

Se necessario, per snellire i documenti e migliorarne l’accessibilità, la procedura potrà essere articolata in Istruzioni Operative sintetiche e di immediata reperibilità (ad esempio nell’intranet o in cartelle condivise) con indicazioni pertinenti al ruolo o alla competenza.

Va ricordato che la procedura, come l’insieme dei documenti del sistema di gestione privacy, è uno strumento sostanziale di compliance ad uso dell’organizzazione del titolare o del responsabile. È uno dei tanti utensili della “cassetta degli attrezzi” della protezione dei dati e deve essere pratico, utile e migliorabile. In quanto tale è incompatibile con ogni sistema documentale troppo formale, rigido e burocratico.

Data breach e modelli preventivi: la consapevolezza

Saper identificare una violazione è una competenza che deve essere condivisa a tutti i livelli dell’organizzazione e costituisce la prima verifica sul campo di un buon sistema “privacy by default”.

Quello della consapevolezza è un argomento ampiamente affrontato dal WP250, che fin da subito mette in chiaro quanto sia importante riconoscere e rilevare tempestivamente la violazione [8]. Ma la scarsa formazione del personale impegnato nel trattamento potrebbe rappresentare un insidioso ostacolo.

Gli operatori, autorizzati o designati al trattamento[9], anche se hanno ricevuto le adeguate “istruzioni” previste dall’art 32 del GDPR, non sempre potrebbero saper riconoscere il presentarsi di una minaccia, soprattutto se di nuovo tipo o particolarmente insidiosa, come le raffinate tecniche di social engineering, studiate per tentare di indurre in errore il destinatario dell’attacco.

Oppure potrebbero sottostimarla pericolosamente, ritenendone inutile la segnalazione o addirittura tacerla, circostanza che può verificarsi in relazione alle condizioni del rapporto lavorativo.

Ciò esporrebbe il titolare ad un duplice rischio: non essere in grado di agire subito, incrementando la portata delle conseguenze negative su di sé e sugli interessati e non essere in grado fornire motivazioni soddisfacenti nel giustificare il ritardo della notifica (il modello di notifica prevede espressamente di indicare tali motivazioni).

Pertanto, una adeguata attività di formazione e sensibilizzazione sull’argomento dovrebbe includere almeno:

  • la definizione di data breach (sempre bene tenerla presente, racchiude tutti i rischi connessi al trattamento);
  • una serie di esempi e casi pratici di possibili violazioni aggiornati e pertinenti alla realtà organizzativa ed alla mansione svolta (tenendo presente che l’origine, la natura e le conseguenze del data breach possono essere molto diverse a seconda che si operi in un ambito pubblico, produttivo, sanitario o legato ai servizi digitali o dell’informazione. A sua volta si rileveranno le differenze in relazione all’area di appartenenza, es. marketing, Risorse Umane, IT ecc.);
  • un quadro delle conseguenze delle violazioni per gli interessati e per l’organizzazione, richiamando i concetti di rischio connesso al trattamento, la probabilità di accadimento delle minacce in relazione alle vulnerabilità, i principi di riservatezza, integrità e disponibilità);
  • l’importanza di una tempestiva rilevazione della violazione;
  • la reperibilità e le modalità di utilizzo degli strumenti di segnalazione (moduli di Non Conformità, schede di violazione ecc.);
  • le misure di sicurezza e le procedure adottate per contenere i rischi o le conseguenze della violazione;
  • i vantaggi della buona comunicazione e della condivisione delle informazioni in un contesto lavorativo sereno e aperto.

Oltre alla collaborazione delle persone, per i trattamenti informatizzati e gestiti in forma centralizzata sarà necessario dotarsi di strumenti in grado di rilevare immediatamente eventuali difformità o attività sospette e renderne disponibili le informazioni essenziali.

Ad esempio, utilizzando i log prodotti dai dispositivi di sicurezza delle reti (es firewall, Intrusion Detection/Prevention Systems ecc.), dai sistemi di autenticazione ed accesso alle risorse o applicativi (es Primary Domain Controller, sistemi Single sign-on ecc.) o ancora dai sistemi di backup (es. controlli della consistenza ed integrità dei dati): i log dovranno essere leggibili, disponibili e facilmente interpretabili (senza dover necessariamente ricorrere, almeno per le attività di controllo ordinario, ad interventi di specialisti esterni).

E magari collegati a sistemi di “allarme” che, sulla base di regole preimpostate, possano inviare notifiche in caso di attività sospette (es messaggi di segnalazione in caso di reiterati tentativi di accesso o intrusione, log-in in orari extra lavorativi, errori di backup ecc.).

Data breach e modelli preventivi: i responsabili del trattamento

Nella filiera del trattamento i responsabili, spesso coinvolti in processi chiave in virtù di una crescente tendenza all’esternalizzazione dei servizi, svolgono un ruolo particolarmente delicato sotto il profilo della gestione delle violazioni.

L’articolo 28 del Regolamento – anche una volta superate le annose questioni sull’identificazione del Responsabile[10] – non lascia spazio ad interpretazioni: “il responsabile del trattamento assiste il titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36”, includendo quindi le prescrizioni dell’art. 33 e 34 riferiti alla gestione delle violazioni.

Sulla questione della tempestività torna anche il Garante: “Il responsabile del trattamento che viene a conoscenza di una eventuale violazione è tenuto a informare tempestivamente il titolare in modo che possa attivarsi”.

L’obbligo normativo, in quanto tale, è parte integrante dei compiti del responsabile del trattamento e non sarà necessario ripeterlo negli accordi stipulati ai sensi dell’art 28 del Regolamento.

Più importanti, per soddisfare appieno la necessità di rilevazione tempestiva delle violazioni, sono le istruzioni sulle modalità di rilevazione e comunicazione della violazione al titolare, anche avvalendosi di strumenti di registrazione e segnalazione condivisi, tali da consentire un rapido avvio delle valutazioni circa l’entità e le probabilità del rischio.

Va ricordato che il responsabile deve limitarsi a stabilire se si è verificata una violazione dei dati e provvedere a notificarla al titolare del trattamento nel momento in cui ne viene a conoscenza, senza soffermarsi nelle valutazioni di probabilità di rischio, che spettano invece al titolare (WP250).

Nel caso del ricorso a fornitori “forti” (es provider di servizi digitali e applicazioni web) dove la negoziazione delle istruzioni può risultare più complicata, sarà necessario leggere bene gli accordi ex art 28, molto spesso già parte integrante dei contratti di servizio, per verificare le modalità di rilevazione e segnalazione delle violazioni adottate dal responsabile (e magari offerte come parte del servizio stesso) che, previa accorta valutazione, potranno essere integrate nel sistema di gestione del titolare.

Monitoraggio e miglioramento della procedura

La protezione dei dati personali, per sodisfare i termini di efficienza richiesti dalle norme, deve essere di tipo proattivo e affidata a sistemi di trarttamento “resilienti”, ovvero in grado – sulla base di azioni automatizzate o meno – di rispondere attivamente alla minaccia, adeguandosi ad essa ed al suo mutare, nell’obiettivo del continuo rafforzamento delle difese.

Questi termini, proattività e resilienza, sono piuttosto noti – fin quando non abusati – in ogni contesto di protezione attiva dei dati e delle informazioni.

Hanno altresì ragione di essere chiamati in causa in questo contesto perché nessuna adeguata risposta alla violazione può prescindere da una procedura di gestione del data breach adeguatamente pianificata e verificata secondo i criteri della proattività e della resilienza.

Nella stesura della procedura, e nel modello generale di gestione dei dati personali di cui è parte, occorre infatti attuare un approccio ricorsivo di controllo e miglioramento continuo, in grado di consentire all’organizzazione di verificare costantemente l’efficacia e l’efficienza della procedura di gestione delle violazioni evidenziandone i limiti e le criticità.

I risultati della verifica, particolarmente preziosi perché raccolti sul campo in occasione di un evento concreto, seppur critico, potranno essere sottoposti alla direzione ed alle funzioni responsabili (DPO, Responsabile IT, Responsabili di funzione coinvolti) così da adeguare, in risposta attiva all’evento, le prassi operative, l’analisi dei rischi, le misure di sicurezza, le eventuali valutazioni d’impatto ed i sistemi di trattamento.

Nel corso della violazione, ad esempio, potrebbero essere rilevate debolezze nelle modalità di rilevazione dell’evento a causa di personale non adeguatamente formato sui rischi connessi al trattamento o sulle tipologie e gravità delle violazioni.

Potrebbero risultare indisponibili, inefficienti o non comunicanti (es. tramite log) i sistemi di sicurezza informatica, oppure non essere adeguatamente protetti da accessi indesiderati gli archivi e le aree sensibili. Anche l’ambiente di lavoro, di per sé, potrebbe disincentivare la segnalazione di errori per reticenza o timore di ripercussioni professionali.

Ancora, il modello di valutazione delle probabilità del rischio potrebbe risultare inadeguato, imponendo al titolare di orientarsi verso la scelta di altri criteri.

Infine, ove se ne presentino le condizioni, le stesse indicazioni fornite dall’autorità, sollecitata dalla notifica della violazione ed in conformità all’atteso approccio collaborativo tra titolari e autorità di controllo[11], potrebbero costituire una fonte di miglioramento delle strategie di protezione dei dati, rendendo più efficiente il meccanismo di gestione delle violazioni e evitando il ripetersi delle circostanze che hanno portato al data breach (ciò ovviamente se l’esito del confronto con l’autorità non conduca ad un definitivo divieto di proseguire il trattamento).

I risultati di queste valutazioni partecipano al miglioramento del sistema di trattamento nel momento in cui l’organizzazione è in grado di restituirli al tavolo della pianificazione, traendo profitto dai pareri di tutti coloro che vi siedono, DPO, consulenti, Responsabili IT eccetera.

La gestione del data breach ed il registro delle violazioni, lungi dal rappresentare un ulteriore appesantimento burocratico, diventano strumento e occasione di verifica interna delle procedure e dei sistemi di trattamento nonché motivo dell’aggiornamento dell’analisi dei rischi e della revisione delle valutazioni di impatto.

La violazione diviene opportunità di “resilienza” per tutta l’organizzazione, una sorta di audit approfondito che mette alla prova non soltanto le scelte di protezione dei dati ma anche l’attitudine – a tutti i livelli, incluse le parti interessate esterne ed i responsabili del trattamento – al confronto con situazioni particolarmente stressanti.

In questi termini la gestione delle violazioni e la tenuta dei registri rappresentano un elemento di accountability di assoluto rilievo, poiché inducono ad una costante valutazione realistica delle circostanze che potrebbero condurre, o hanno condotto, al data breach e consentono al titolare di migliorare la sicurezza del trattamento e dimostrare su base responsabile e documentata la capacità di risposta dell’intera organizzazione.

Prove di evacuazione

Un buon sistema di sicurezza deve essere testato periodicamente con simulazioni di incidente. In ambiti piuttosto eterogenei i sistemi di sicurezza sono sottoposti a numerose prove del genere: le persone e le cose sono protetti dai danni alla salute ed al patrimonio (incendio, allagamento, eventi sismici e meteorologici, minacce intenzionali ecc.) da sistemi messi alla prova con esercitazioni pratiche e riproduzioni della minaccia.

Le reti e i sistemi di sicurezza e di gestione delle informazioni digitali sono testati mediante penetration test, vulnerability assessment stress testing, debugging ecc., per individuare nuove vulnerabilità a fronte della incessante evoluzione delle cyber minacce[12].

Allo stesso modo si può trarre beneficio dalla simulazione di un data breach per verificare l’efficienza delle procedure di gestione e la resilienza dei sistemi di prevenzione e risposta all’incidente (ricordando che il principio attiene alla capacità dei sistemi di reagire alle sollecitazioni negative, migliorandosi di conseguenza).

Oltre che a contribuire attivamente al rispetto di un requisito di legge (“mettere in atto una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento”, art 32, paragrafo 1, lettera d) del GDPR), la simulazione rappresenta un’occasione preziosa per imparare a gestire situazioni stressanti, dove mantenere la lucidità può costituire un vantaggio significativo.

Queste “prove di evacuazione” possono essere programmate nel corso degli audit periodici, a partire da test ed interviste da sottoporre al personale ed alle funzioni chiave, come quelle IT, Marketing o HR, intorno alle quali più frequentemente, soprattutto nelle PMI, si snodano le criticità privacy.

Potrebbero essere condotte simulazioni in forma di “gioco delle parti”, in occasione delle attività di formazione oppure durante le attività lavorative, sotto la supervisione del DPO o delle funzioni responsabili. Fino ad arrivare, ove necessario o per realtà maggiormente delicate o strutturate (es. organizzazioni di servizi sanitari, socio-assistenziali, bancari e finanziari, assicurativi, digitali e di informazione ad accesso pubblico ecc.) a vere e proprie simulazioni di data breach.

In ogni caso i risultati saranno preziosi e potranno confluire nelle attività di aggiornamento della procedura e piano di miglioramento complessivo delle misure di sicurezza. La simulazione inoltre costituirebbe una sorta di addestramento alla gestione, anche psicologica, della crisi.

Conclusioni

Nella gestione delle violazioni la formazione, le procedure ed i registri, opportunamente inseriti in un contesto di compliance guidato da un modello organizzativo efficiente e flessibile, spingono a consolidare una cultura della sicurezza informatica ancora latitante in molte realtà pubbliche ed imprenditoriali, tra cui PMI e micro imprese, non di meno oggetto di attacchi informatici (ad esempio ransomware e simili).

Pensare alla concreta possibilità di un data breach fin dalle fasi pianificazione del sistema di gestione privacy costituisce una significativa opportunità di miglioramento delle strategie di protezione dei dati.

NOTE

  1. L’’argomento è stato spesso affrontato anche in questa testata: sono numerosi i contenuti classificati con il TAG “data breach”.
  2. ENISA: metodi di valutazione del data breach.
  3. Considerando 75 e 85 del GDPR
  4. GRUPPO DI LAVORO ARTICOLO 29 PER LA PROTEZIONE DEI DATI, Linee guida sulla notifica delle violazioni dei dati personali ai sensi del regolamento (UE) 2016/679, WP250rev.01
  5. Su tutti la specifica sezione della Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali.
  6. Art 5 paragrafo 2 del GDPR.
  7. Pagina informativa del Garante Privacy sul data breach.
  8. Linee guida sulla notifica delle violazioni dei dati personali ai sensi del regolamento (UE) 2016/679, WP250rev.01, GRUPPO DI LAVORO ARTICOLO 29 PER LA PROTEZIONE DEI DATI, Introduzione
  9. Art. 2-quaterdecies del Dlgs 196/2003 novellato
  10. Ad esempio, la “Risposta a un quesito relativo al ruolo del consulente del lavoro dopo la piena applicazione del Regolamento (UE) 679/2016” del Garante, seppur specifica, fornisce sulla quesitone preziosi spunti di riflessione di carattere generale
  11. “avvertimenti” e “ammonimenti” previsti dall’art. 58, paragrafo 2, del GDPR
  12. I bollettini tecnici specializzati sono aggiornati di continuo. Per citarne solo alcuni: CERT nazionale, ENISA, CLUSIT.

WHITEPAPER
Migrare l'ERP nel cloud pubblico: scopri la strada verso una maggiore sicurezza
Cloud
ERP
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
Salute digitale
Formazione
Analisi
Sostenibilità
PA
Sostemibilità
Sicurezza
Digital Economy
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr