LA GUIDA PRATICA

I rischi nell’analisi dei rischi: gli errori da evitare per rendere fruibile e ripetibile l’analisi effettuata

L’esecuzione di un’analisi dei rischi non è priva di incognite che possono minare la qualità del risultato finale. Ecco alcuni aspetti che è opportuno considerare per valutare con maggiore consapevolezza la quantificazione del rischio

15 Lug 2021
B
Giancarlo Butti

Internal Auditor - Esperto Privacy e Cyber Security

Che l’attività di analisi dei rischi abbia dei limiti è un fatto noto, tanto che sia l’ISO sia il NIST nei rispettivi standard ISO 31010 e NIST 800 30 R1 ne citano alcuni esempi[1].

In particolare, secondo la ISO 31010, l’analisi dei rischi è caratterizzata da una serie di incertezze, fra le quali:

  • le metodologie utilizzate;
  • l’incertezza sul fatto che gli eventi futuri saranno simili al quelli del passato;
  • la conoscenza imperfetta o incompleta delle minacce;
  • le vulnerabilità ancora da scoprire;
  • le dipendenze non riconosciute, che possono portare a impatti imprevisti.

Analogamente, il NIST 800 30 R1 evidenzia che un’analisi del rischio non è uno strumento preciso ed è condizionata da:

  • limiti delle metodologie, degli strumenti e delle tecniche di valutazione specifici impiegati;
  • soggettività, qualità e affidabilità dei dati utilizzati;
  • interpretazione dei risultati della valutazione;
  • capacità e competenze di quegli individui o gruppi che conducono le valutazioni.

Per tale motivo dovrebbero essere adeguatamente documentate:

  • le scelte effettuate;
  • la metodologia scelta;
  • il momento;
  • il perimetro di indagine;
  • la completezza;
  • l’accuratezza con cui si è svolta l’analisi dei rischi.

Il grado di incertezza nei risultati della valutazione del rischio, a causa di questi diversi motivi, può essere comunicato, ad esempio, esprimendo i risultati in modo qualitativo, fornendo intervalli di valori anziché singoli valori o utilizzando una rappresentazione grafica per aree in luogo che puntuale.

I rischi nell’analisi dei rischi: l’importanza della documentazione

Ma vediamo ora casi più specifici con una serie di esempi, tralasciando di entrare nel merito dell’improprio uso della terminologia che troppo spesso viene fatta e che porta a confondere termini come minaccia o rischio, considerandoli anche sinonimi (creando in tale modo ulteriori elementi di incertezza).

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy

Per la ISO 31000 il rischio è definito come “l’effetto dell’incertezza” sugli obiettivi aziendali. Questo effetto può essere sia positivo che negativo ed è rappresentato da un valore e cioè dal risultato di una formula che tradizionalmente si esprime come:

Rischio = Impatto x Probabilità

I parametri di probabilità, impatto, rischio possono essere espressi in termini:

  • qualitativi (alto, medio, basso);
  • semi – quantitativi (ad esempio alto=3, medio=2, basso=1);
  • quantitativi, ad esempio in valori monetari.

Appare allora evidente come non sia corretto utilizzare una formula matematica, che dovrebbe mettere in relazione numeri, se i numeri non ci sono.

Quindi, non è possibile moltiplicare valori espressi sotto forma qualitativa.

In questo caso, si deve ricorrere alle così dette mappe, come quella qui rappresentata, nella quale i cinque valori di impatto e di probabilità sono espressi in forma differenziata e più congrua e solo i valori del rischio sono espressi con termini che vanno da “Molto basso” a “Molto alto”.

Nel caso si utilizzino dei valori qualitativi o semi quantitativi è importante documentare a cosa corrispondono tali valori (a titolo di esempio di riporta una tabella tratta dalla già citata norma del NIST ed una tabella tratta dalla pubblicazione di ENISA – Deliverable: Information Package for SMEs).

Questo per diversi motivi; i vari attori coinvolti nel processo di analisi devono avere dei riferimenti comuni analogamente a coloro che ne analizzano i risultati; una generica espressione di Alto, Medio, Basso senza indicare a cosa corrispondono questi valori ovviamente ha poco senso.

Qualitative Values

Semi-Quantitative Values

Description

Very High

96-100

10

The adversary analyzes information obtained via reconnaissance and attacks to target persistently a specific organization, enterprise, program, mission or business function, focusing on specific high-value or mission-critical information, resources, supply flows, or functions; specific employees or positions; supporting infrastructure providers/suppliers; or partnering organizations.

High

80-95

8

The adversary analyzes information obtained via reconnaissance to target persistently a specific organization, enterprise, program, mission or business function, focusing on specific high-value or mission-critical information, resources, supply flows, or functions, specific employees supporting those functions, or key positions.

Moderate

21-79

5

The adversary analyzes publicly available information to target persistently specific high-value organizations (and key positions, such as Chief Information Officer), programs, or information.

Low

5-20

2

The adversary uses publicly available information to target a class of high-value organizations or information and seeks targets of opportunity within that class.

Very Low

0-4

0

The adversary may or may not target any specific organizations or classes of organizations.

Tabella: NIST 800 30 R1 – TABLE D-5: ASSESSMENT SCALE – CHARACTERISTICS OF ADVERSARY TARGETING.

È per tale motivo, inoltre, che è necessario documentare il motivo per cui si è data una certa valutazione dei parametri di probabilità ed impatto (oltre che indicare chi sono i soggetti coinvolti nell’analisi) e non limitarsi a esprimere il valore finale.

Purtroppo, è rarissimo trovare analisi del rischio adeguatamente documentate motivo per cui, come auditor, sono portato a credere che i valori riportati in un’analisi siano più frutto di qualche compromesso piuttosto la rappresentazione della realtà e che difficilmente un’analisi così fatta sia effettivamente ripetibile anche da chi l’ha eseguita la prima volta.

Anche nel caso di uso di valori numerici si corrono però dei rischi utilizzando la formula precedentemente indicata. Infatti, sarebbe più corretto dire genericamente che il rischio è una funzione di impatto e probabilità:

Rischio f(impatto, probabilità)

piuttosto che indicare la già citata formula:

Rischio = Impatto x probabilità

Infatti, l’operatore da utilizzare per mettere in relazione i due parametri non è sempre lo stesso, ma è legato alla scala con cui vengono espressi i valori di impatto e di probabilità.

L’uso dell’operatore moltiplicazione è infatti corretto nel caso in cui i valori siano espressi con una scala lineare, ma se questi sono espressi con una scala logaritmica, come accade molto frequentemente, l’operatore da utilizzare deve essere la somma.

Attenzione, quindi, perché i risultati in caso contrario sono poco attendibili e portano ad una distorsione dei valori del rischio.

Sempre in termini di comunicazione deve essere chiarito in fase di analisi se si sta effettuando un’analisi sul rischio intrinseco (o inerente) ovvero sul rischio in presenza di contromisure.

Al riguardo, va tuttavia considerato che la valutazione del rischio inerente è spesso viziata.

Ad esempio la valutazione di un parametro come la probabilità, se basata sui dati storici relativi agli incidenti occorsi, si riferisce nella maggior parte dei casi a situazioni che sono avvenute in presenza di contromisure; difficilmente infatti un’azienda anche in assenza di una formale analisi dei rischi non si è dotata delle più elementari misure di sicurezza.

Valutazione dell’impatto

Abbiamo parlato fino ad ora di impatto, ma questo termine non può essere generico.

A quale impatto ci si riferisce?

La valutazione dell’impatto può andare dal considerare il semplice valore dell’asset interessato dall’evento avverso, al costo del suo ripristino, alla valutazione di tutte le conseguenze direttamente di natura economica (mancato guadagno, perdita di clienti…) o legale, reputazionale, sanzionatorio… (e quindi, alla fine ancora di natura economica).

Se si parla genericamente di impatto è evidente che i soggetti coinvolti nella determinazione di tale valore potrebbero riferirsi a elementi non omogenei o limitare la loro valutazione ad uno degli elementi citati senza specificare a cosa si stanno riferendo.

Analogamente chi legge l’analisi non sarà in grado di capire a quale impatto si faccia riferimento e di conseguenza darà una sua interpretazione che potrebbe non corrispondere a quanto è stato in realtà valutato.

Un altro parametro da considerare in merito all’impatto è se la valutazione riguarda un valore medio o il caso peggiore. Anche in questo caso, una mancata formalizzazione può comportare una valutazione disuniforme da parte dei vari soggetti coinvolti ed una errata lettura dei risultati.

Area di

rischio

Alto

Medio

Basso

Legale e

regolamentare

L’organizzazione gestisce informazioni sulla clientela di natura sensibile e personale, fra cui aspetti sanitari e dati personali critici, come definiti dalla normativa comunitaria sulla tutela dei dati personali

L’organizzazione gestisce informazioni sulla clientela di natura personale, ma non sensibile così come definite dalla normativa comunitaria sulla tutela dei dati personali

L’organizzazione non gestisce dati personali diversi da quelli del personale dipendente dell’organizzazione stessa

Produttività

L’organizzazione occupa più di 100 lavoratori, che hanno la necessità quotidiana di accedere alle applicazioni ed ai servizi dell’impresa

L’organizzazione occupa più di 50 lavoratori, che hanno la necessità quotidiana di accedere alle applicazioni ed ai servizi dell’impresa

L’organizzazione occupa meno di 10 lavoratori, che hanno la necessità quotidiana di accedere alle applicazioni ed ai servizi

dell’impresa

Stabilità finanziaria

Le entrate annue dell’organizzazione sono superiori a 25 milioni di euro e/o le operazioni finanziarie con terzi o clienti avvengono nel quadro dell’attività imprenditoriale, come processo usuale

Le entrate annue dell’organizzazione sono inferiori a 25 milioni di euro

Le entrate annue

dell’organizzazione sono inferiori a

5 milioni di euro

Reputazione e fiducia della clientela

L’indisponibilità o la qualità del

servizio hanno un impatto diretto sull’attività

dell’organizzazione e/o più del

70% della clientela ha l’accesso on line ai prodotti ed ai servizi dell’impresa

L’indisponibilità o la qualità del servizio possono avere un impatto indiretto sull’attività dell’organizzazione e/o meno del 5% della clientela ha l’accesso on line ai prodotti ed ai servizi dell’impresa

L’indisponibilità o la qualità del servizio non possono incidere, né direttamente, né indirettamente, sull’attività dell’organizzazione, né determinare una perdita di entrate

Tabella: ENISA Deliverable: Information Package for SMEs – IMPATTI SU VARI ASSET.

Ma uno dei problemi più rilevanti nella valutazione dell’impatto, ignorato praticamente dalla totalità delle metodologie di analisi del rischio è la mancata formalizzazione del periodo di riferimento.

Infatti, a differenza della BIA (Business Impact Analysis) nella quale viene indicato quale sia il valore dell’IMPATTO a intervalli predefiniti dopo l’evento avverso che ha causato l’indisponibilità di un processo/servizio (ad esempio dopo 2, 4, 8 ore), nell’ambito dell’analisi dei rischi tale parametro non viene mai espresso, rendendo di fatto difficilmente comparabili le valutazioni effettuate da persone diverse.

Il problema si pone sia che si valuti un valore medio o che si valuti il caso peggiore; se non viene formalizzato un periodo di riferimento sarebbe corretto considerare impatti che possono manifestarsi anche dopo un lasso di tempo molto esteso.

Ad esempio, il mancato guadagno in seguito ad un incidente può essere valutato considerando il tempo di fermo di un sistema, che ovviamente è noto in una valutazione a posteriori (come l’analisi di un incidente), ma non può essere noto in sede di un’analisi dei rischi.

Ovviamente, tale valore potrebbe essere stimato, ma questo vorrebbe dire introdurre un ulteriore parametro aleatorio. E come mi comporto se l’incidente non ha provocato indisponibilità e quindi fermo dei sistemi? Ad esempio le conseguenze di una violazione della riservatezza dei dati potrebbero manifestarsi anche dopo molto tempo (motivo per cui non è nemmeno così semplice valutare le conseguenze di un incidente e decidere se è necessario notificarlo secondo una delle tante normative che lo richiedono, in particolare quando si hanno poche ore di tempo per valutare e decidere se notificare).

Quindi analisi del rischio, valutazione dell’impatto di un incidente, BIA, richiedono tutti la valutazione di un impatto, ma solo l’ultima definisce dei tempi precisi di riferimento.

Viceversa la valutazione di un incidente da qualche indicazione ragionevole, ma le metodologie di analisi dei rischi non danno alcuna indicazione in proposito.

Anche in questo caso vi è il concreto rischio di esprimere valori di impatto fra loro non coerenti, basati su periodi non omogenei da parte dei vari interlocutori.

Valutazione della probabilità

Il primo aspetto da considerare nella valutazione della probabilità è la necessità di specificare esattamente cosa si sta valutando.

Il NIST Special Publication 800-30 Rev 1 propone ad esempio una metodologia più articolata della tradizionale valutazione della probabilità.

Infatti

  • in primo luogo, viene valutata:
  1. nel caso di minaccia di tipo deliberato, la probabilità che eventi di minaccia siano messi in atto da parte di un attaccante;
  2. nel caso di minacce accidentali, la probabilità che eventi di minaccia si verifichino;
  • in secondo luogo, viene valutata la probabilità che gli eventi di minaccia, una volta messi in atto o verificatisi, comportino effettivamente degli impatti negativi sugli asset/processi dell’organizzazione;
  • infine, viene valutata la probabilità complessiva come una combinazione della due precedenti.

Tale combinazione fra probabilità di accadimento di un evento e probabilità che effettivamente tale evento comporti qualche effetto negativo, è presente anche in altre metodologie e appare molto più ragionevole rispetto alla tradizionale valutazione di una probabilità complessiva che sintetizzi i due valori.

Indipendentemente dalla metodologia, la valutazione della probabilità di accadimento di un evento non è semplice e può essere affrontata in modo diverso in funzione delle circostanze e degli eventi.

Ad esempio può essere basata sull’utilizzo di dati storici; tuttavia l’uso di tali dati nasconde delle insidie e pertanto è necessario valutare attentamente qual’è la profondità storica con cui utilizzare le informazioni di cui si dispone.

Questa infatti non è assoluta, ma va determinata per ogni singola tipologia di evento, considerando il contesto di riferimento.

Ad esempio, una serie di incidenti di sicurezza derivanti dal malfunzionamento di un apparato o dalla mancanza di contromisure, non possono essere presi in considerazione se nel frattempo l’apparato è stato sostituito ovvero se sono state implementate delle contromisure. È infatti cambiato lo scenario.

Non ha quindi senso definire a priori che si prenderanno in considerazione tutti gli eventi anomali registrati, né che si prenderanno in considerazione solo quelli degli ultimi 6 mesi.

Deve essere infatti, presa in considerazione, la serie storica di eventi che ha ancora valore, cioè che è applicabile ad un contesto (ad esempio un componente del sistema informativo) che non è variata rispetto alla serie storica utilizzata.

Errore di modello: eccessiva semplificazione

I componenti di un’analisi del rischio quali asset, probabilità, impatti e gli stessi rischi non sono fra loro indipendenti. Ad esempio: un asset è contenuto in un altro asset (i dati sono presenti su un disco fisso che è presente in un PC, che è all’interno di un edificio).

Un evento che impatta sull’edificio può avere conseguenze quindi sul pc e quindi sui dati.

Questo non vale per qualunque evento e quindi la valutazione delle conseguenze deve essere molto puntuale; analogamente vale per le contromisure. Alcune contromisure applicate all’edificio hanno effetto anche sugli oggetti che contiene. La valutazione delle relazioni quindi ha effetti sia sulla valutazione del rischio, ma anche sugli effetti delle contromisure, il cui costo può essere ripartito su più asset.

Per quanto attiene la probabilità, la correlazione si manifesta allorquando si presentano delle situazioni nelle quali:

  • sono coinvolte direttamente più minacce che riguardano lo stesso asset, ovvero l’asset e la contromisura che riguarda le minacce; ad esempio si rompe il disco fisso con relativa perdita di dati e il backup che era stato effettuato non funziona;
  • la stessa minaccia interessa più asset.

Ad esempio, la stessa minaccia potrebbe avere effetti sia sull’asset principale, sia sulla eventuale contromisura in essere. Ad esempio, se per contrastare la distruzione di un CED si è adottata come contromisura la realizzazione di un sito di Disaster recovery, è evidente che si deve evitare che il sito di DR sia coinvolto dallo stesso evento catastrofico che interessa il sito primario, ed è per tale motivo che i due siti devono essere molto distanti (decine di chilometri) fra di loro.

Errore di modello: eccessiva semplificazione, impatti

Anche gli impatti sono ovviamente correlati fra loro come già evidenziato in precedenza.

Nella tabella che segue sono elencati una serie di impatti suddivisi fra diretti, indiretti e consequenziali.

CORRELAZIONE FRA IMPATTI

Descrizione del bene

Edificio

Impatto diretto

Distruzione dell’edificio

Impatti indiretti

Inaccessibilità dei beni materiali ed immateriali presenti nell’edificio

Distruzione parziale o totale dei beni di qualunque tipo presenti nell’edificio

Eventuale morte o lesioni degli individui presenti nell’edificio

Interruzione della produzione

Impatti consequenziali

Perdita di clienti

Danno di immagine

Perdite economiche

Possibili contenziosi legali

Risarcimenti

L’analisi dei rischi e il GDPR

Un caso specifico riguarda il GDPR, come è stato già illustrato in diversi precedenti articoli:

Per cui mi limiterò a sintetizzare i vari punti.

GDPR: errata interpretazione della normativa

Confondere la DPIA con l’analisi del rischio.

La DPIA (art. 35) è richiesta al verificarsi di situazioni particolari.

Le analisi dei rischi previste dal GDPR (artt. 24, 25 e 32) sono sempre obbligatorie.

GDPR: errata metodologia

Per effettuare un’analisi dei rischi del GDPR, che riguarda i diritti e le libertà delle persone fisiche, non risulta conforme l’uso di metodologie previste, ad esempio, per l’analisi dei rischi ai sensi della 27001, che ha come oggetto la sicurezza delle informazioni. L’oggetto su cui verte la valutazione è diverso, la metodologia con cui valutare impatti e probabilità è diversa.

Non ha inoltre nessuna attinenza con quanto richiesto dal GDPR, ad esempio, una valutazione del rischio sanzionatorio o del rischio di risarcimento danni derivanti dal mancato rispetto della normativa.

Tale valutazione, che ovviamente può essere effettuata da un Titolare, riguarda i rischi in capo al Titolare, non i rischi sui diritti e libertà delle persone fisiche.

GDPR: errato perimetro

Utilizzare una metodologia corretta ma limitarsi a considerare i soli INTERESSATI.

L’oggetto tutelato sono infatti i diritti e le libertà delle persone fisiche (non degli INTERESSATI).

Limitarsi a considerare gli interessati (e non anche le persone a questi in qualche modo collegati e che possono subire a loro volta un danno, come ad esempio un familiare) falsa la percezione del reale rischio da considerare ed espone il Titolare ad un imprevisto maggior esborso in caso di risarcimento danni ai sensi dell’Articolo 82- Diritto al risarcimento e responsabilità.

Tale articolo infatti consente a CHIUNQUE abbia subito un danno materiale o immateriale causato da una violazione del GDPR di ottenere il risarcimento del danno dal Titolare del trattamento o dal Responsabile del trattamento.

GDPR: pensare che l’analisi dei rischi riguardi solo la sicurezza

Gli articolo 24 e 25 richiedono un’analisi del rischio, ma questa non riguarda la sicurezza, di cui tratta l’art. 32.

GDPR: pensare di eseguire la DPIA solo se è elevato il rischio in ambito sicurezza

L’articolo 35 prevede, infatti:

Articolo 35 – Valutazione d’impatto sulla protezione dei dati (C84, C89-C93, C95)

1. Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche.

Conclusioni

Dagli esempi riportati appare evidente quanto sia aleatoria il risultato di un’analisi dei rischi e quanti siano i fattori che possono comprometterne i risultati.

Attenzione, in particolare, a ritenere che metodologie che utilizzino valori numerici in luogo di valori qualitativi siano più precise.

Nessuna metodologia è esente da quanto sopra esposto, indipendentemente dal fatto che sia di tipo qualitativo, quantitativo, statistico: per tale motivo, è fondamentale documentare adeguatamente tutte le scelte che sono state effettuate al fine di rendere veramente fruibile e ripetibile l’analisi effettuata.

 

NOTE

  1. Alcune parti del testo e le immagini sono tratte dal libro: Governance del rischio – Dall’analisi al reporting e la sintesi per la Direzione, di Giancarlo Butti e Alberto Piamonte – ITER 2020.

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr