LA GUIDA PRATICA

Quando il data breach non è un data breach: i segreti del lessico cyber per spiegare le vulnerabilità

Il termine data breach spesso viene usato in modo improprio: facciamo chiarezza per capire non solo sotto quali forme si presenti una violazione dei dati personali, ma anche per valutare in che casi è obbligatorio o necessario notificare l’accaduto

Pubblicato il 24 Ago 2021

P
Tiziana Pica

Avvocato - Studium Cives

Tra gli istituti che hanno fin da subito richiamato l’attenzione all’indomani della pubblicazione del GDPR c’è sicuramente quello del data breach: con questa espressione, che talvolta in modo inappropriato sentiamo invocare, il Legislatore comunitario ha inteso definire, letteralmente, la “violazione dei dati personali”.

Ma non sempre è corretto parlare di violazione del dato personale e dunque di data breach: non tutte le violazioni dei sistemi sono uguali, ma assumono rilevanze e impatti diversi mettendo il Titolare e il Responsabile del trattamento dinanzi a scenari, obblighi e soluzioni diverse tra loro.

La normativa di riferimento

L’art. 4, punto 12, del GDPR definisce la “violazione dei dati personali” come “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”. Ebbene, l’importanza di operare impegnandosi nel contenimento del rischio di violazioni dei dati personali deriva dal combinato di una serie di esigenze: 

WHITEPAPER
Cloud pubblico: ecco la strada verso una maggiore sicurezza, scopri di più!
Cloud
ERP
  • tutelare e preservare i dati personali e le persone fisiche ai quali appartengono da conseguenze dannose e pregiudizievoli quali conseguenza del “breach”;
  • trattare i dati personali nell’ambito di un’attività economica, amministrativa pubblica, imprenditoriale o sanitaria osservando quanto prescritto dall’art. 25 e 32 del GDPR, ovvero operando quale Titolare o Responsabile del trattamento nel rispetto del pilastro dell’accountability, applicando ed osservando misure tecniche e organizzative atte a garantire un livello di sicurezza adeguato al rischio di violazione dei dati stessi
  • scongiurare il verificarsi delle fattispecie di data breach che danno luogo all’obbligo di notificazione al Garante ed anche all’obbligo di notificazione agli interessati, con tutte le relative conseguenze anche dal punto di vista mediatico e reputazionale.

Che cos’è (davvero) la violazione del dato personale

La violazione dei dati personali di un individuo può assumere connotazioni assai diverse le une dalle altre. Come specifica il Considerando 85) del Regolamento UE n. 2016/679 la violazione dei dati personali può concretizzarsi nella “perdita del controllo dei dati personali” oppure nella limitazione dei diritti dell’interessato o ancora nella “discriminazione, furto o usurpazione d’identità, perdite finanziarie, decifratura non autorizzata della pseudonimizzazione, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale o qualsiasi altro danno economico o sociale significativo alla persona fisica interessata”.

A ben vedere il dato personale è esposto ad una moltitudine di eventi che traggono origine dalla mano dell’uomo, dalle combinazioni di meccanismi prettamente tecnologici fino agli eventi naturalistici.

La breccia non autorizzata

La prima accezione di data breach è ovviamente quella della “breccia”, non autorizzata, all’interno di un sistema, di una banca dati che impatta negativamente sul dato personale: l’intrusione forzata, artificiosa, non autorizzata in un’area riservata e/o contenente dati e informazioni qualificabili come dato personale è già di per sé quantomeno un tentativo di violazione del dato rilevanti ai sensi dell’art. 33 del GDPR. Corre così subito alla mente il caso scuola dell’hacker esterno che viola i sistemi di sicurezza entrando in un sistema per consultare, copiare, alterare o sottrarre una serie di dati ivi contenuti e trattati.

La perdita dei dati

Tuttavia, la violazione del dato può assumere forme tecnologicamente meno evolute, traducendosi nella mera perdita o distruzione dei dati personali contenuti in un plico o archivio cartaceo, in una cd-rom oppure una pen drive che vanno perduti o distrutti a seguito di un evento naturale, come un sisma o un’alluvione.

Il furto

Le possibili sfaccettature del data breach vanno oltre la sua prima accezione basilare per spingersi fino al furto di un dispositivo, l’invio di una comunicazione elettronica a un indirizzo errato, il salvataggio di dati personali o la loro duplicazione verso sistemi, apparecchiature e server esterni o l’evento accidentale o naturale, un incendio oppure un terremoto o un’alluvione, che repentinamente e in pochi minuti provocano la perdita o la distruzione di archivi fisici o digitali di un numero indefinito di dati personali.

I tre tipi di violazione secondo il gruppo Articolo 29

Inoltre, come ribadito dal Gruppo di Lavoro dell’Articolo 29, la violazione dei dati rilevante per il Regolamento può essere di tre tipi:

  • “violazione della riservatezza”, in caso di divulgazione dei dati personali o accesso agli stessi non autorizzati o accidentali;
  • “violazione dell’integrità”, in caso di modifica non autorizzata o accidentale dei dati personali
  • “violazione della disponibilità”, in caso di perdita, accesso o distruzione accidentali o non autorizzati di dati personali, fermo restando che, nei singoli casi concreti, una violazione può riguardare contemporaneamente la riservatezza, l’integrità e la disponibilità dei dati.

La perdita temporanea dei dati

Inoltre, può rilevare come data breach anche la perdita della disponibilità dei dati personali “temporanea”, poiché l’art. 32 del GDPR spiega che nell’attuare misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio, si dovrebbe prendere in considerazione, tra le altre cose, “la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento” e “la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico”.

Ne consegue che un incidente di sicurezza che arreca un’indisponibilità dei dati personali per un certo periodo di tempo costituisce sicuramente una violazione, in quanto la mancanza di accesso ai dati può avere un impatto significativo sui diritti e sulle libertà delle persone fisiche.

Come funziona la notifica della violazione dei dati 

L’art. 33 del Regolamento UE n. 2016/679 stabilisce in capo al Titolare del trattamento l’obbligo di notificare all’Autorità di Controllo la violazione dei dati personali entro il termine di 72 ore decorrente dal momento in cui ne ha preso conoscenza “a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche”. Il termine di notifica inizia a decorrere dal momento in cui, secondo il Gruppo di Lavoro dell’Articolo29, il Titolare del trattamento possa considerarsi ragionevolmente certo e consapevole del verificarsi di un incidente di sicurezza ed anche della susseguente compromissione dei dati personali.

Tuttavia, è doveroso ricordare che la notifica del data breach non è sempre obbligatoria: da un lato l’obbligo di darne tempestiva comunicazione formale all’Autorità Garante ricorre solo laddove la violazione abbia assunto delle caratteristiche tali da rappresentare un rischio probabile per i diritti e le libertà degli Interessati; dall’altro l’obbligo di notificarlo agli interessati sussiste solo qualora la violazione costituisca un rischio oggettivo elevato per i diritti e le libertà delle persone fisiche.

Assume pertanto un ruolo dirimente sia la privacy by design messa in atto dal Titolare, anche con l’ausilio dei soggetti designati autorizzati al trattamento e/o i Responsabili del trattamento, mediante l’adozione di misure tecniche e organizzative idonee a prevenire o almeno contenere il rischio di violazioni, sia la privacy by default, ovvero un attento e pronto intervento valutativo e operativo nella fase patologica immediatamente successiva al “breach”.

Questo perché, appunto, non tutti i breach sono uguali, non ogni accesso non autorizzato ai sistemi determina necessariamente uno o più degli eventi oggetto della definizione di “violazione del dato personale”. Il Titolare del trattamento, dunque, deve riuscire a compiere una serie di valutazioni e di indagini preliminari che gli permettano di comprendere a monte la sussistenza o meno dell’obbligo di notifica del data breach in un arco di tempo che gli permetta, ove l’obbligo sussista, di trasmettere entro le 72 ore a disposizione la relativa comunicazione al Garante Privacy competente.

Le regole

Al riguardo, il Working Party Art.29 ricorda che durante le attività delle prime valutazioni ed indagini finalizzate a comprendere se ci sia stata un’effettiva violazione dei dati e a inquadrarne il perimetro e la portata, necessarie per comprendere se ricorra l’obbligo di notifica, non si può parlare di “avvenuta conoscenza della violazione” e dunque il termine di 72 ore ancora non inizia a decorrere.

Appare evidente, che tra le misure tecniche e organizzative prescritte dall’art. 32 del Regolamento ci sia l’adozione da parte del Titolare del trattamento di procedure interne volte a rilevare una violazione e a gestirne la fase rimediale.

Ed è altrettanto logico che misure e meccanismi di segnalazione, intervento tempestivo e cooperazione siano alla base dei rapporti tra Aree e Dipartimenti interni alla struttura del Titolare del trattamento nonché nell’ambito dei rapporti con i Responsabili del trattamento, soprattutto ove uno o più trattamenti siano stati esternalizzati.

Proprio per questo la scelta dei cd. Responsabili esterni del trattamento e la loro nomina mediante un contratto che contenga le Istruzioni (art. 28, parag. 3 GDPR), deve essere ponderata e realizzata rifuggendo atti sterili puramente formali. Solo attraverso un’attenta pianificazione e consapevolezza di come e per quali finalità il Responsabile esterno tratta i dati, inserendo la previsione espressa del di lui obbligo di notificare al Titolare la violazione rilevata nei suoi sistemi (archivi, uffici, dispositivi, server, reti) entro un termine stringente, può contenersi il rischio di conseguenze nefaste per la riservatezza, disponibilità ed integrità dei dati personali, da un lato, e garantire al Titolare la possibilità concreta di gestire in modo efficiente e risolutivo la fase emergenziale del breach rispettando quanto stabilito dagli artt. 32, 33 e 34 del Regolamento UE n. 2016/679.

Data breach e PA

Seppure la violazione del dato possa assumere forme diverse, dalle altrettanto diverse conseguenze, nell’era in cui anche la burocrazia della Pubblica Amministrazione e i Processi civili, amministrativi e tributari, assumono corpi informatizzati, è indubbio che i casi più diffusi del breach corrano nei sistemi virtuali del mondo digitale. Dal 2019 i sistemi delle Istituzioni italiane ed europee, così come quelli di istituti bancari sono nel mirino degli autori di silenziosi attacchi informatici. In Italia i Comuni, le Camere di Commercio, l’AgID – l’Agenzia per l’Italia Digitale, l’Agenzia delle Entrate per la Riscossione, la Zecca dello Stato, l’ENAC, alcuni Ministeri, il C.O.N.I. sono stati interessati da una serie di intrusioni o di tentativi, più o meno blandi e indolori, di violazione dei dati.

L’allarme deriva non solo dal timore del furto, ovvero della sottrazione illecita, dei dati presenti nei sistemi hackerati, ma anche – e soprattutto – dal rischio che siano inseriti dei codici maligni e di backdoor poiché chiudere una falla nel CMS potrebbe anche essere immediato, ma assai più complesso e lungo, con rischio di ritardi irreparabili, è l’individuazione di una backdoor.

Tra le fattispecie più diffuse dei cd. attacchi informatici, ricordiamo:

  • i sabotaggi, ovvero gli attacchi che partono dall’interno della struttura del Titolare del trattamento ad opera di uno o più soggetti (es. collaboratori aziendali);
  • l’errore umano involontario di un collaboratore che favorisce l’ingresso dell’hacker;
  • gli Hacker “per passione”, ovvero i soggetti che danno sfoggio delle proprie abilità e “competenze” prodigandosi in tentativi che compromettano la sicurezza e rilevino la vulnerabilità di un sistema informatico;
  • Cyber criminali, soggetti che, dietro compenso, lanciano attacchi informatici;
  • Cyber attivisti, soggetti che lanciano attacchi informatici allo scopo di perseguire scopi sociali e/o politici;
  • Cyber terroristi, soggetti che lanciano attacchi per scopi simili agli attivisti, ma col fine ultimo di intimidire o danneggiare istituzioni pubbliche e governative.

Questa platea di attori, in modo più o meno consapevole o doloso, pone in essere condotte integranti le fattispecie di phishing, malware, malvertising, oscuramenti si siti istituzionali ecc. Ebbene, far fronte a tali episodi in realtà complesse e articolate in più uffici, stabilimenti, su più territori richiede maggiori risorse, tra cui il tempo, trattandosi di soggetti che in veste di Titolari o di Responsabili del trattamento dei dati hanno necessariamente delegato e sub appaltato ad altri alcuni trattamenti e dunque cospicui volumi di dati personali.

Se la falla si apre all’interno della rete della società fornitrice del servizio di hosting, essa deve immediatamente avviare interventi organizzativi, tecnici e di sicurezza che chiudano le “porte” violate e, parallelamente, avviare un’approfondita indagine che consenta l’individuazione delle falle, le loro cause, cosa non ha funzionato nella sicurezza e fino a dove l’intrusione esterna si sia spinta e con quali conseguenze sull’integrità e visibilità in chiaro del dato.

Questo insieme di analisi deve verificare se server, account di posta e dispositivi contenenti dati personali e categorie particolari di dati siano stati raggiunti ed anche penetrati dall’intruso rendendoli visibile e utilizzabili. Ed è qui che poggia il sottile confine tra l’obbligo del Titolare di notificare o meno la violazione all’Autorità di Controllo.

Cosa dice il GDPR

Il Regolamento UE n. 2016/679 ha fatto venire meno la figura della notifica preliminare al Garante del vecchio art. 37 del D.Lgs. n. 196/2003. Tuttavia, la corretta lettura dell’art. 33 del GDPR stabilisce che il Titolare del trattamento, una volta avuta la concreta conoscenza del data breach, deve rispettare il termine di sole 72 ore per la notifica al Garante: dunque, in tutti quei casi in cui siano fumose le fattezze specifiche della violazione e/o le sue vittime, l’obbligo di notifica è fatto salvo e si potrà trasmettere al Garante una pre notifica con la riserva di inviare nei giorni successivi integrazioni della denuncia. Così procedendo il termine di 72 ore sarà pienamente rispettato.

Qualora, invece, sia sì emersa una falla, una violazione nelle reti del Responsabile o di uno dei sub Responsabili, ma i loro interventi di indagine e di approfondimento non consentano ancora di individuare se ci sia stata o meno un’effettiva violazione dei dati, né di affermare che l’autore dell’accesso non autorizzato sia concretamente entrato in contatto ed abbia potuto visionare i dati personali contenuti e trattati nei sistemi violati, non può dirsi che il Titolare abbia avuto un’effettiva conoscenza del data breach e pertanto non scatta il countdown delle 72 ore per la notifica.

In tale ipotesi non solo non corre (ancora) l’obbligo di notifica al Garante, ma nemmeno quello di una sorta di notifica preliminare perché il Titolare non ha ancora avuto la conoscenza di una reale violazione dei dati, dai tratti ancora fumosi, ma tuttalpiù di una breccia, di un’intrusione nel sistema del fornitore al quale è stato esternalizzato un trattamento di alcuni dei dati trattati dal Titolare. Inoltre, qualora al termine del lavoro di indagine e monitoraggio nei giorni a seguire l’intrusione si evincerà che i dati non sono stati visibili ed estrapolabili all’autore del breach, ecco che l’incidente sarà registrato con tutte le sue specifiche tecniche nel registro dei trattamenti, ma non ci sarà l’obbligo di notifica al Garante non essendo stati compromessi i diritti e le libertà fondamentali degli Interessati poiché non c’è stata nessuna delle possibili forme di violazione del dato personale descritte all’art. 4, n. 12) del GDPR.

Alla notizia di una possibile intrusione nei sistemi IT che potrebbe aver determinato l’accesso abusivo ai dati personali diviene fondamentale un pronto e freddo gioco di squadra dei vari attori ed operatori coinvolti nel rapporto esternalizzato, tenendo lontano il timore (insensato) dello spauracchio dell’obbligo di notifica all’Autorità di controllo. Non ogni “spia rossa” accesa sul tallone di Achille dei sistemi provoca un’effettiva violazione dei dati, ma semmai potrebbe esserne la premessa. Pertanto, non tutti i campanelli di allarme di una breccia nel sistema della sicurezza dei dati determinano un obbligo di notifica al Garante, ma è fondamentale intervenire con rapide sinergie per definire se ricorra la conoscenza di un mero breach oppure di un data breach, così che solo in quest’ultimo caso, verificatane la portata, scatti l’obbligo di una notifica o di una notifica preliminare in caso di particolare complessità.

Conclusione

Tra le buone prassi di aziende e della PA, all’insegna di un risolutivo approccio privacy by design osservante le prescrizioni degli artt. 25 e 32 del GDPR, ricorre senza dubbio quella di una scelta ponderata dei soggetti delegati per i trattamenti esternalizzati coadiuvata da una nomina ex art. 28 GDPR proattiva, affinché il Responsabile del trattamento adempia le istruzioni impartite dal Titolare e utilizzi in modo consapevole il proprio registro dei trattamenti. Quest’ultimo, difatti, percepito per la sua rilevanza operativa e preventiva e non come un banale orpello formale standardizzato, permetterà alle aziende e agli enti pubblici di far tesoro degli attacchi esterni, via via sempre più sporadici, per rafforzare e meglio proteggere le reti dalle potenziali falle, facendo tesoro anche degli errori.

Del resto, sbagliando si impara, ma perseverare sarebbe diabolico. Ed è con questo monito che deve essere attuato il piano per il rafforzamento della sicurezza online in Italia soprattutto per il concreto potenziamento dei sistemi della PA che troppo spesso cadono e perseverano nei loro errori, senza trarne i dovuti insegnamenti proattivi, così tradendo la fiducia dei cittadini che li hanno resi custodi della sicurezza dei loro dati personali.

WHITEPAPER
La Top 5 delle minacce informatiche e come contrastarle
Sicurezza
Cybersecurity
@RIPRODUZIONE RISERVATA

Valuta questo articolo

La tua opinione è importante per noi!

Speciale PNRR

Tutti
Incentivi
Salute digitale
Formazione
Analisi
Sostenibilità
PA
Sostemibilità
Sicurezza
Digital Economy
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr