NORME PRIVACY

Personal data breach: spunti pratici e implicazioni operative per affrontarlo al meglio

La gestione di un personal data breach è, e sarà sempre di più in futuro, un tema che le organizzazioni devono saper gestire nel rispetto dei termini prescritti dalla normativa. Per capire come muoversi nel concreto, possiamo oggi rileggere passati orientamenti e basarci sui primi casi gestiti anche dal nostro Garante Privacy

Pubblicato il 31 Lug 2019

S
Luca Spongano

Data Protection Specialist at Technology Advisory Team - VEM Sistemi

A fronte dei primi casi gestiti di violazioni dei dati personali (personal data breach) sotto la piena applicabilità del Regolamento (UE) 2016/679 (RGPD o GDPR), è possibile non solo rinvenire importanti risvolti pratici, ma anche esaminare con mente più preparata e consapevole quanto in passato emanato al riguardo dal Garante Privacy (ad esempio nel Provvedimento del 2013 riferito ai fornitori di servizi di comunicazione elettronica accessibili al pubblico) e dal Working Party Art.29 (WP29, ora sostituito dal Comitato Europeo per la Protezione dei dati, CEPD o EDPB) nel Parere del marzo 2014 prima ancora delle importanti e ben note Linee Guida emendate ed adottate nell’aprile 2018.

Le riflessioni che seguono vogliono, inoltre, soffermarsi sui primi provvedimenti emanati dal Garante Privacy nei confronti di titolari che abbiano subito e gestito violazioni di dati personali e, al contempo, fornire alcuni spunti pratici e di riflessione sulla base di esperienze dirette sul campo.

Riattualizzare i provvedimenti emanati dal Garante Privacy

In via generale si può affermare che i provvedimenti emanati dal nostro Garante rappresentino, se letti con mente attenta, una fonte di indicazione di azioni pratiche da cui trarre preziosi suggerimenti e un “faro” da seguire anche in ragione dell’ormai nota estensione generalizzata, a qualunque tipologia di azienda, degli obblighi degli artt. 33 e 34 del GDPR in materia di data breach.

WHITEPAPER
Cyber Risk : la guida per gestire il rischio in banca
Sicurezza
Cybersecurity

Pare interessante soffermarsi, ai fini del tema in discussione, su quanto emanato nel Provvedimento del 2013 nei confronti di fornitori di servizi di comunicazione elettronica accessibili al pubblico. Al paragrafo 4.1. tra i requisiti da rispettare già veniva espressamente richiamata la necessità (per i citati soggetti) di svolgere attività di analisi dei rischi e di ottemperare agli obblighi di cui all´art. 32 del Codice Privacy (nella versione antecedente le modifiche apportate dal D.lgs. 101/18) al fine di determinare misure tecniche e organizzative adeguate al rischio esistente, a seguito anche di una preliminare ricognizione dell´insieme dei dati personali trattati e dei rischi ai quali gli stessi potevano andare incontro.

Al di là dell’insolita, e fortunata, coincidenza numerica tra l’art. 32 del Codice (ante novellatura apportata dal D.lgs. 101/18) e l’art. 32 Sicurezza del trattamento del GDPR, troviamo oggi un’interessante sovrapposizione anche a livello sostanziale laddove il citato articolo del GDPR prescrive ai titolari del trattamento di tenere conto dei rischi di varia probabilità e gravità per i diritti e le libertà delle persone e di individuare di misure tecniche e organizzative tali da garantire un livello di sicurezza adeguato al rischio.

Il Garante Privacy indicava in precedenza ai soli fornitori di servizi di comunicazione elettronica la necessità di identificare e attribuire valori di rischio ai differenti dati personali/trattamenti, mentre oggi tale disposizione deve essere applicata da parte di Titolari del trattamento di qualunque categoria merceologica.

È di primaria importanza, infatti, che le organizzazioni calcolino il livello di rischio esistente per ogni trattamento mappato nel registro delle attività di trattamento (redatto ai sensi dell’art. 30 del GDPR) e indichino tale livello all’interno del registro stesso.

L’individuazione del livello di rischioesercizio che oggi deve sempre prendere a parametro i diritti e le libertà degli interessati e non eventuali rischi di non conformità, sanzionatori o di reputation dell’azienda – è attività, come indicava il Garante nel 2013, grazie alla quale decidere non solo quali misure adottare per garantire un´idonea protezione dei dati trattati, ma anche se effettuare la comunicazione alle persone interessate in caso di violazione.

Tale preliminare ricognizione era già ai tempi ritenuta condizione necessaria al fine di predisporre misure di sicurezza volte sia a prevenire i possibili eventi avversi, sia a intervenire nel momento in cui gli stessi si sarebbero – nonostante le misure adottate – verificati ugualmente.

Oggi, utilizzando le fondamentali indicazioni del WP29/EDPB, va in ogni caso osservato che un’analisi del rischio svolta a seguito di una avvenuta violazione sui dati esamina il rischio in una prospettiva diversa rispetto ad un’analisi del rischio privacy svolta conformemente all’art. 32 del GDPR ed a quanto indicato al collegato Considerando 83.

Quest’ultima, infatti, dovrebbe concentrarsi:

  • in primaria parte sui rischi “intrinseci” al trattamento dei dati svolto così come pianificato guardando cioè alla sua natura, oggetto, contesto e finalità;
  • sulla valutazione circa la probabilità che si verifichi una violazione sulla base delle effettive misure di sicurezza implementate e delle relative vulnerabilità.

Nel caso di una violazione effettiva, l’evento si è già verificato, quindi l’attenzione del titolare e la sua analisi si dovrebbero invece concentrare primariamente sul rischio risultante dall’impatto di tale specifica violazione sulle persone fisiche.

Le aziende dovrebbero, oggi, già disporre di un’analisi iniziale del rischio potenziale che potrebbe derivare da una eventuale violazione (analisi svolta, come detto, per il rispetto dell’art. 32 del GDPR).

Tuttavia, tale analisi (come anche espressamente indicato dal WP29/EDPB nelle Linee Guida del 2018) essendo asettica/neutra rispetto alle circostanze specifiche e concrete di un’effettiva violazione, dovrebbe in ogni caso essere sempre seguita da una valutazione aggiuntiva che tenga conto delle precise circostanze occorse a valle della violazione stessa.

Piano di risposta alle violazioni e nella valutazione dei rischi: effetti secondari

Essendo trascorso più di un anno dalla piena applicabilità del GDPR, in caso di data breach deve risultare chiaro e definito all’interno delle organizzazioni quali funzioni aziendali vadano coinvolte e quali i passi da seguire, per evitare di lasciare il campo a pericolose improvvisazioni e non riuscire a rispettare le tempistiche imposte dalla normativa.

Anche in questo caso il Provvedimento del 2013 già tracciava questa direzione quando affermava che la gestione delle violazioni di dati personali, qualora verificatesi, non potesse essere affidata ad un´attività estemporanea.

È necessario, quindi, istituire piani preventivi di gestione della violazione, condivisi in maniera trasversale (cross) a livello aziendale (con coinvolgimento del Board, IT, CRM, Legal, Comunicazione, Data Protection Officer quando presente) per garantire reazioni rapide ed efficaci.

Si ricorda quindi l’importanza per i titolari di dotarsi di un procedura, condivisa con tutte le funzioni aziendali interessate, che definisca chiaramente “chi fa cosa” e possa quindi fungere da punto di riferimento ed agevolare un piano di risposta in tempo reale. La procedura (ed il relativo flusso operativo) di gestione meriterebbe una trattazione a parte, ci limitiamo a dire che questa dovrebbe, tra gli altri, occuparsi di definire chiaramente:

  • il team interno deputato alla ricezione delle segnalazioni di eventi/incidenti di sicurezza ed allo svolgimento di un’analisi preliminare per determinare se quanto occorso sia realmente configurabile come una violazione ai sensi dell’art. 4 (12) del GDPR;
  • il team che deve procedere, documentandola adeguatamente, ad una alla valutazione del rischio per i diritti e le libertà dei soggetti interessati. Un utile strumento per tale valutazione può essere individuato nella metodologia elaborata dall’ENISA, disponibile qui. Il team deve essere sufficientemente “skillato” e messo nelle condizioni di avere tutte le informazioni necessarie per stimare gli effetti pregiudizievoli e considerare eventuali fattori addizionali (ad esempio, le caratteristiche particolari del titolare del trattamento, la facilità di identificazione delle persone fisiche, se il data breach abbia coinvolto soggetti “vulnerabili” come minori o dipendenti e/o dati su larga scala ecc.);
  • in caso di violazioni nel contesto di trattamenti transfrontalieri (come definiti dal GDPR), quale sia l’Autorità di Controllo capofila a cui indirizzare le notifiche (come supporto nell’attività di identificazione dell’Autorità capofila, risulta utile utilizzare l’Annex 1 alle Linee-guida del 2017 elaborate dal WP29/CEPD);
  • la funzione organizzativa deputata alla notifica all’Autorità di Controllo ed all’integrazione/follow-up della stessa (seguendo l’approccio sancito dal WP29/EDPB, ben apprezzato dal Garante Privacy, della cosiddetta notifica per fasi, prassi già conosciuta in quanto esistente in forza degli obblighi di cui alla direttiva 2002/58/CE e del Regolamento 611/2013);
  • la funzione organizzativa deputata alla comunicazione della violazione agli interessati in caso di “rischio elevato” (in questo senso dovrebbero essere previamente individuati anche i criteri da utilizzare per identificare le modalità/canali di contatto più appropriati per veicolare la comunicazione);
  • la funzione deputata alla compilazione del registro delle violazioni al fine di documentare qualsiasi Violazione dei dati personali occorsa, le conseguenze e i provvedimenti adottati per rimediare, tenendo traccia di tutte le fasi in cui l’evento è stato gestito, dalla sua scoperta fino alla sua risoluzione/conclusione, rendendo disponibile il tutto all’Autorità di Controllo in caso di verifiche;
  • la funzione deputata all’analisi (post-mortem) degli incidenti per evidenziare vulnerabilità nelle difese e indicare soluzioni tecnologiche e/o di processo più idonee.

Con riferimento alla comunicazione dell’avvenuta violazione alle persone interessate nel caso di livello di rischioelevato”, è condizione necessaria prendere in considerazione tutte le possibili conseguenze e i potenziali effetti negativi che potrebbero occorrere ai soggetti coinvolti.

A tale fine si devono tenere in considerazione, fra gli altri, quelli che già nel 2014 il WP29 definiva come effetti “secondari” (secondary adverse effects).

Usiamo di seguito questo Provvedimento del 30 aprile 2019 del Garante Privacy per fare un esempio concreto.

L’acquisizione da parte di terzi di credenziali di autenticazione per l’accesso ad un servizio (nel caso di specie, la casella di posta elettronica), è da ritenere fonte di potenziale pregiudizio per la persona interessata in considerazione non solo del possibile accesso, di tali terzi, al servizio in questione, ma anche ad altri servizi on-line utilizzati dalla medesima persona (questo in ragione dell’elevata probabilità che le credenziali violate siano le medesime utilizzate dall’interessato per accedere ai propri diversi account).

In questo caso, quindi, la violazione comporterebbe come naturale effetto negativo secondario una violazione della riservatezza in relazione agli altri account utilizzati dall’utente. Pertanto, la comunicazione diretta agli interessati, oltre ad essere richiesta ai sensi dell’art. 34 del GDPR, dovrà contenere anche le informazioni relative ai possibili effetti negativi sugli altri account e, conseguentemente, la raccomandazione ai diretti interessati di utilizzare password differenti per ogni servizio e di rinnovare le password di tutti gli account per il cui accesso è stata utilizzata la (medesima) password compromessa.

Quindi, all’atto pratico, ai fini della decisione di effettuare o meno una comunicazione ai sensi dell’art. 34 del GDPR, il titolare deve adottare un approccio sistemico, ad ampio spettro (si potrebbe dire a 360 gradi) che tenga in dovuto conto tutti i possibili effetti negativi.

Questo, estremizzando, significa che devono essere considerati anche i potenziali rischi derivanti da un’eventuale scelta di non effettuare una comunicazione ai diretti interessati, atteso che anche una mancata comunicazione potrebbe divenire essa stessa fonte di effetti collaterali e danni verso gli interessati.

Questi ultimi, infatti, venendo privati della loro piena autodeterminazione informativa e della possibilità di essere messi nella condizione di conoscere e valutare i rischi cui potrebbero andare incontro, non sarebbero messi nelle condizioni di poter scongiurare eventi avversi tramite un proprio intervento attivo.

Partendo dalla fondamentale ed indispensabile premessa che ogni violazione presenta proprie specificità e che, quindi, non possono essere individuate a priori prassi e comportamenti perfettamente replicabili, si ritiene in ogni caso suggeribile all’interno delle notificazioni effettuate all’Autorità (ex art. 33 del GDPR) fornire anche indicazione delle informazioni che (si è certi) non siano stato oggetto di violazione.

Ad esempio, nel caso in cui una violazione non abbia compromesso la parte di informazioni riconducibili alle credenziali riservate di autenticazione (cioè la password), apparirebbe ragionevole darne positivo conto nel contenuto della notifica, nella parte dedicata alle probabili conseguenze da descriversi ai sensi dell’art. 33(3) lett.c del GDPR.

Questo aspetto si rivela utile anche al fine di supportare, sulla base di un preciso percorso logico svolto, l’eventuale valutazione adoperata dall’azienda di non ricadere nell’ipotesi di comunicazione ai sensi dell’art.34 del RGPD.

Non sottovalutare gli interessati di cui trattiamo i dati

Le fonti di segnalazione di eventi legati a una possibile violazione di dati personali possono essere le più svariate: il personale dipendente della propria organizzazione, soggetti terzi (quali media, giornalisti che abbiano a loro volta ricevuto notizia da altri soggetti, ad esempio ad opera di bug bounty platforms) o, ancora, l’Autorità di Controllo.

Tra queste, non si dimentichino anche le persone fisiche (ad esempio: clienti, prospect) che possono rivelarsi i primi soggetti “segnalatori” (verso il titolare) di un’eventuale violazione sui propri dati o su dati di altre persone fisiche.

È il caso, ad esempio, di utenti/clienti che segnalino al titolare di avere potuto consultare dati riferiti ad altri utenti/clienti accedendo ad aree riservate messe a disposizione degli stessi (per una chiara mancanza di adeguate misure tecniche ed organizzative).

È importante, quindi, non sottovalutare le segnalazioni e/o eventuali reclami che possano giungere alle funzioni aziendali adibite alla supervisione dei canali di contatto, quali: il servizio clienti, il servizio addetto alla supervisione dei quesisti inoltrati tramite contact forms disponibili sui siti del titolare o nelle relative pagine social (ad esempio: Facebook, Twitter ecc.) o i soggetti addetti alla ricezione delle richieste per l’esercizio dei dritti ex art.15-22 del GDPR.

Interventi di sensibilizzazione degli operatori aziendali a ciò adibiti, possono rivelarsi cruciali nella tempestiva gestione delle eventuali violazioni segnalate. È a tal fine basilare verificare la conoscenza di questi soggetti delle modalità di “escalation” interna e dei canali da utilizzare per segnalare un incidente al team preposto alle successive indagini.

Comprendere tempestivamente la potenziale portata del contenuto di una segnalazione può avere rilevanti benefici nell’iniziare altrettanto tempestivamente le indagini preliminari (per stabilire appieno la natura della possibile violazione, raccogliere prove e altri dettagli pertinenti e comprendere, con ragionevole certezza, se e in che misura i dati siano stati violati o meno).

Questa attività, nella maggior parte dei casi, dovrebbe essere completata subito dopo l’allerta iniziale e richiedere più tempo soltanto in casi eccezionali (il WP29/EDPB ci indica, in ogni caso, che durante il periodo di indagine l’azienda non può essere ancora considerata “a conoscenza” della violazione).

Misure tecniche e organizzative: l’importanza dei Vulnerability Assessment

Il WP29/EDPB (già nel Parere del 2014 e nelle Linee Guida del 2018) suggerisce l’implementazione, a titolo di miglior prassi, di talune misure di sicurezza di tipo tecnico ed organizzativo. In ogni caso, è guardando a casi concreti di cui agli ultimi provvedimenti del Garante Privacy che possiamo trarre ulteriori indicazioni pratiche in tal senso.

Allo scopo di contribuire ad assicurare un livello costantemente adeguato di protezione dei dati personali – e in piena applicabilità dell’individuazione delle misure a protezione dei dati sin dalla fase di progettazione dei sistemi informativi con cui si realizzano i trattamenti (cosiddetto approccio basato sulla “Data protection by design”) – è opportuno implementare, ciclicamente ed in occasione di evoluzioni o modifiche, misure specifiche per individuare e correggere eventuali vulnerabilità dell’intero impianto infrastrutturale e applicativo.

Di estrema importanza sono, come ricordato dal Garante Privacy nel Provvedimento del 21 Dicembre 2017 ed in quello del 4 aprile 2019, le attività di Vulnerability Assessment (VA) che vengono quindi riproposte in piena sovrapposizione alle best practice in ambito information security (si veda, ad esempio, il control n. 12.6.1 per la gestione delle vulnerabilità tecniche dell’Annex A dello standard ISO/IEC 27001 e il punto di controllo 12.6.1 dello standard ISO/IEC 27002).

Si ricorda, infine, l’opportunità di richiedere la previsione di VA anche ai propri fornitori, in particolare a quelli di sviluppo software, all’interno dell’accordo (o specifico allegato) sottoscritto ai sensi dell’art.28 del GDPR, chiedendone una loro estensione ed applicazione anche a tutti i soggetti coinvolti nella “catena di fornitura” (cioè gli eventuali sub-responsabili del trattamento).

WHITEPAPER
Perché impostare una strategia di manutenzione dei server?
Datacenter
Sicurezza
@RIPRODUZIONE RISERVATA

Valuta questo articolo

La tua opinione è importante per noi!

Speciale PNRR

Tutti
Incentivi
Salute digitale
Formazione
Analisi
Sostenibilità
PA
Sostemibilità
Sicurezza
Digital Economy
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr