IL PROVVEDIMENTO

La multa a UniCredit ci ricorda che anche il responsabile del trattamento risponde del data breach

Il Garante privacy torna a sanzionare, questa volta con una multa da 2,8milioni di euro, Unicredit per il data breach del 2018 a danno di migliaia di correntisti e non più tali. Ma la novità risiede nel multare anche la società incaricata di effettuare i test di sicurezza, per 800mila euro. Vediamo i risvolti

Pubblicato il 08 Mar 2024

Chiara Ponti

Avvocato, Privacy Specialist & Legal Compliance e nuove tecnologie – Giornalista

UniCredit sanzione data breach

Il Garante irroga una sanzione milionaria per un data breach a UniCredit, ma non solo al noto istituto di credito; commina, infatti, un’altra multa (con un ulteriore provvedimento, comunque connesso) benché inferiore comunque importante, alla società informatica incaricata di effettuare i testi di sicurezza.

In pratica, titolare e responsabile del trattamento sono chiamati a rispondere e a pagare profumatamente. Vediamo i risvolti.

Data breach Unicredit, un provvedimento che pesa

Il provvedimento in questione non si colloca tanto tra le novità per l’importo irrogato (2,8milioni di euro), ma perché contestualmente irroga altra sanzione (800mila euro) alla società incaricata di effettuare i test di sicurezza, con provvedimento immediatamente successivo.

Quindi, titolare e responsabile del trattamento sanzionati in un caso di data breach. Il principio di diritto è comune: l’adozione cioè di “… tutte le necessarie misure tecnico-organizzative e di sicurezza per evitare che i dati dei propri clienti possano essere sottratti illecitamente”.

La vicenda e il data breach del 2018: la sequenza dei fatti

La vicenda trae origine da un episodio, avvenuto nel 2018, di data breach subito dalla banca Unicredit, che vedeva coinvolti migliaia di clienti ed ex clienti.

Tale violazione veniva doverosamente notificata al Garante. Si era trattato di un attacco informatico massivo, perpetrato da cybercriminali, al portale di mobile banking.

A causa di ciò, si legge in sintesi nella nota, “circa 778mila clienti ed ex clienti e, per oltre 6.800 dei clienti attaccati, sono risultate vittime di un pesante data breach”.

Tale attacco aveva determinato “l’acquisizione illecita di nome, cognome, codice fiscale e codice identificativo” nonché “l’individuazione del PIN di accesso al portale”. Insomma, le chiavi del regno di qualunque utente.

Nella fattispecie concretamente erano “disponibili nella risposta HTTP fornita dai sistemi della banca al browser di chiunque provasse ad accedere, anche senza riuscirvi, al portale di mobile banking”.

L’istruttoria e il suo esito, nei confronti della banca

Nel corso dell’attività istruttoria complessa e articolata, il Garante ha rilevato diverse violazioni in materia di privacy. In particolare, l’Autorità ha accertato che “la banca non avesse adottato misure tecniche e di sicurezza in grado di contrastare efficacemente eventuali attacchi informatici e di impedire ai propri clienti di utilizzare PIN deboli (come ad es. quelli composti da sequenze di numeri o coincidenti con la data di nascita)”.

Più nel dettaglio, apprendiamo che verso la fine di ottobre 2018, UniCredit notificava al Garante detta violazione, causata da un pesante attacco informatico al sistema di on-line banking per il canale web mobile.

La Banca, per contro, si difendeva affermando che “i primi tentativi di accesso indebito erano stati effettuati nel periodo compreso tra l’11 e il 20 ottobre 2018 e che l’attacco informatico si era realizzato massivamente il 21 ottobre 2018” nell’immediatezza della notifica.

Nel merito, come ancora si legge testualmente nel provvedimento, “la violazione ha interessato “731.519 REB code, dei quali […] 6.859 sono quelli bloccati dalla banca perché era stata individuata la password”, precisando poi verso la metà di novembre 2018, che “l’attacco, proveniente da rete anonimizzata (TOR), avente lo scopo di mascherare il reale indirizzo IP dell’attaccante, aveva l’obiettivo di enumerare una serie di clienti utilizzando una password fissa”.

A livello operativo, si difende la banca, dimostrando che era stato “implementato un blocco quantitativo delle connessioni” oltre “una soglia critica per intervallo temporale definito ed un meccanismo informatico (captcha) finalizzato all’identificazione umana dell’utente che esegue la richiesta di Login, con lo scopo di bloccare connessioni automatiche o script informatici”; rappresentano poi che era “in corso l’implementazione di un meccanismo per forzare l’utilizzo di password complesse da parte degli utenti”.

All’esito dell’istruttoria a carico della banca, il Garante ha rilevato che:

  1. “rispetto alla c.d. condizione applicativa che rendeva disponibili all’interno della risposta HTTP (HyperText Transfer Protocol), anche in caso di tentativi di autenticazione non riusciti, alcuni dati personali (nome, cognome, codice fiscale, NDG) di clienti ed ex‐clienti di UniCredit che pertanto erano suscettibili di essere liberamente consultati e acquisiti da chiunque” (cfr. par. 2, punto 1), costituisce violazione alla disciplina in materia di protezione dati personali. In altri termini, “la mancata adozione, da parte della banca, di misure tecniche in grado di limitare l’accesso ai dati personali al solo personale autorizzato o allo stesso interessato, ha determinato la possibilità che i dati personali fossero liberamente accessibili da parte di chiunque”. Vale a dire che chiunque tentasse, anche senza concretamente riuscirvi, riusciva comunque a superare la procedura di autenticazione informatica;
  2. circa la mancata adozione, nell’ambito della procedura di autenticazione informatica degli utenti del Portale di mobile banking, di un meccanismo in grado di contrastare efficacemente attacchi di tipo brute force condotti mediante l’utilizzo dei c.d. bot (programmi informatici che accedono ai siti web attraverso lo stesso canale utilizzato dagli utenti umani simulandone l’operatività), l’Autorità rileva testualmente che “il sistema di autenticazione informatica […] prevedeva l’utilizzo di credenziali di autenticazione costituite solamente da un User ID e da un PIN.

Da ciò si evince che Unicredit non avesse adottato alcuna misura tecnica che impedisse agli utenti di utilizzare PIN semplici, come ad esempio, quelli composti da “ripetizioni o sequenze di numeri oppure coincidenti con la data di nascita o con lo User ID”.

L’istruttoria e il suo esito, nei confronti della società informatica

Contestualmente o quasi, si è svolta anche l’istruttoria nei confronti della società informatica NTT Data, azienda leader nel settore informatico, la quale nel maggio del 2019, ha precisato come e quando sono avvenute “le attività di Penetration Test e di Vulnerability Assessment”.

NTT Data si è resa subito disponibile a presentare “copia dei report tecnici contenenti gli esiti delle citate attività di vulnerability assessment e penetration testing (sia nella versione bozza che in quella definitiva)” nei quali erano illustrate una decina di vulnerabilità rilevate da una società altra, di cui due sono risultate con gravità di livello elevato (high).

NTT Data dichiarava poi di essere “venuta a conoscenza della vulnerabilità “User Data disclosure” in data 19 ottobre 2018 con l’invio della bozza di report da parte della società terza, evidenziando come “tipicamente le potenziali vulnerabilità di un sistema sono rilevate nel corso delle attività di Penetration Test” e che soprattutto “tale rilevazione, tuttavia, richiede, ai fini di una valutazione del rischio della stessa e, quindi, di una tempestiva comunicazione al cliente, l’esecuzione di una ulteriore attività di analisi (eliminazione di falsi positivi) e classificazione (high, medium and low) e remediation suggerite”, senza sapere anche dell’avvenuto data breach.

Le linee difensive

In sintesi, riportiamo ora quelle che sono state le linee difensive.

La difesa di Unicredit

La banca convinta di aver adottato tutte le misure di sicurezza adeguate e in linea con gli standard di mercato al fine di contrastare in maniera efficace attacchi di tipo brute force nell’ambito della procedura di autenticazione informatica degli utenti del Portale.

Senza scendere ulteriormente nel dettaglio, specialmente tecnico cui si rinvia, qui preme rilevare come la banca abbia dichiarato che “nell’immediatezza dell’attacco e anche nei giorni successivi, UniCredit ha rappresentato di aver messo in atto misure di sicurezza e misure aggiuntive ampiamente idonee a ulteriormente mitigare il rischio per la protezione dei dati personali causato dal data breach” come:

  1. la messa a disposizione di un vademecum per la gestione sicura delle credenziali di accesso;
  2. la implementazione di un “blocco quantitativo delle connessioni oltre soglia critica e un CAPTCHA”, quale misura temporanea ulteriore in vista della implementazione della two factors authentication;
  3. l’adozione di un meccanismo volto a forzare l’utilizzo di password complesse in fase di sign-in, su tutta la rete clienti;
  4. comunicare, a seguito della richiesta del Garante, a tutti gli Interessati “la violazione dei dati personali, includendo adeguate indicazioni di sicurezza per la gestione delle credenziali, anche su altri siti”.

Per ulteriori dettagli si rinvia alla lettura integrale del provvedimento.

La difesa di NTT Data

La difesa della nota società informatica la si ricava dall’altro e successivo provvedimento nel quale, al riguardo, leggiamo che NTT Data:

  1. non aveva, né avrebbe potuto avere, alcuna conoscenza del data breach (e dei precedenti tentativi di terzi di accedere ai sistemi) di UniCredit”;
  2. non poteva, né avrebbe potuto, comunicare il data breach a UniCredit.

L’unica circostanza di cui essa aveva contezza consisteva “in una vulnerabilità ai sistemi di UniCredit […] tempestivamente comunicata”, ribadendo tuttavia che:

“a) nessun danno si è realizzato in conseguenza dell’attività posta in essere dalla società;

b) i fatti si sono verificati in un periodo particolarmente impegnativo che ha determinato la necessità di ricorrere a un soggetto terzo, peraltro in una fase di prima applicazione del GDPR;

c) la società si è mostrata collaborativa nei confronti dell’Autorità, fornendo ogni elemento utile ai fini della ricostruzione dell’incidente;

d) l’eventuale applicazione di una sanzione pecuniaria e soprattutto la pubblicazione del provvedimento sarebbe fortemente lesiva degli interessi della società e vanificherebbe ogni sforzo posto in essere finora, in termini di compliance, laddove tale aspetto è un elemento di concorrenza tra i soggetti operanti nel settore”.

L’obiettivo, dichiara la società in questione, risiede sempre nell’intento di “innalzare il livello di compliance […] tra le altre, il privacy dashboard”, che consente alla società di monitorare in costante gli aspetti privacy anche “al fine di individuare aree di miglioramento in conformità al principio di accountability” da un lato, e dall’altro di “predisporre dei report periodici sul livello di compliance privacy, da condividere con il top management”.

Aggiornamento del 9 marzo 2024

La posizione ufficiale di NTT Data

Riceviamo e pubblichiamo la seguente nota stampa.

“In riferimento a quanto pubblicato in questi giorni dalla vostra testata in merito alla decisione del Garante riguardo i fatti avvenuti nel 2018, NTT DATA Italia dichiara che non poteva in alcun modo rilevare o essere a conoscenza di una violazione di dati personali sui sistemi del cliente, considerato che i servizi di monitoraggio delle infrastrutture di sicurezza e di rilevazione dei tentativi di attacco informatico (Threat Detection) così come quelli di gestione degli incidenti informatici (Incident Handling) non rientravano tra le attività alla stessa affidate.

NTT DATA Italia, a seguito di un’approfondita analisi del provvedimento emanato dall’Autorità, ha deciso di impugnare la decisione dinanzi al Tribunale competente. NTT DATA Italia è fermamente impegnata a garantire il rispetto di elevati standard di conformità agli obblighi in materia di protezione dei dati personali, essenziali per la fiducia che clienti, fornitori e partner ripongono nell’azienda.”

L’opinione del Garante privacy

L’Autorità ritiene invece che le considerazioni svolte dalla banca “…più che comprovare l’adeguatezza delle misure tecniche adottate dall’istituto, dimostrino una sottovalutazione dei rischi connessi alla fornitura di servizi di online banking” sfoggiando il documento della “Sicurezza cibernetica: il contributo della Banca d’Italia e dell’Ivass”, per evidenziare come “… gli attacchi al sistema finanziario sono condotti con metodi molto semplici, come il furto di credenziali di accesso ai conti mediante il phishing, o il denial of service [indisponibilità del sito web], che, sovraccaricando i server con milioni di richieste simultanee di dati, rende inutilizzabili i servizi bancari erogati via rete”.

Del resto, la difesa del sistema finanziario è assai complessa, come afferma il Garante, essendo un “settore altamente digitalizzato, interconnesso a livello globale, attaccabile attraverso possibili comportamenti imprudenti”.

Quanto poi alla mancata adozione di un meccanismo atto a contrastare in modo efficace attacchi di tipo cd brute force condotti mediante l’utilizzo dei c.d. bot (programmi informatici che accedono ai siti web attraverso lo stesso canale utilizzato dagli utenti umani simulandone l’operatività), ecco che l’Autorità rileva come “il sistema di autenticazione informatica all’epoca si prestava a essere oggetto di attacchi di tipo brute force, ossia attacchi informatici che hanno l’obiettivo di individuare credenziali di autenticazione informatica valide per l’accesso a un determinato sistema o servizio online”.

Per giungere alla conclusione, in questo caso, che “un’adeguata valutazione dei rischi presentati dai trattamenti effettuati nell’ambito del Portale di mobile banking avrebbe consentito a Unicredit di analizzare correttamente le caratteristiche del sistema di autenticazione informatica, di individuare le debolezze suscettibili di compromettere la sicurezza del trattamento e, conseguentemente, di adottare misure per gestire e mitigare i rischi connessi a tali debolezze, incluse quelle di difesa proattiva da attacchi informatici di reverse brute force”.

Le misure di sicurezza adottate dalla Banca e suggerite dalla società ICT

Nel 2019 la Banca ha fornito poi ulteriori elementi, spiegando come avveniva materialmente il processo, e in particolare:

  1. login protetto da username e password consegnati separatamente al cliente in filiale;
  2. blocco account dopo l’inserimento di tre password errate;
  3. blocco di credenziali individuate in data leak online da parte dei […] servizi di intelligence/antifrode;
  4. possibilità per il cliente di aderire ad un servizio via sms (SMS premium) di notifica di attività quali gli accessi online, le variazioni di Pin e di dati personali effettuati da Banca via internet;
  5. protezione delle transazioni e delle attività sensibili (es. modifica dati personali) attraverso la richiesta di un ulteriore One Time Password (OTP);
  6. analisi comportamentale e monitoraggio delle transazioni per individuare frodi a scapito dei clienti;
  7. esecuzione di VA/PT periodici sull’infrastruttura e l’applicazione di internet/banking;
  8. web application firewall (WAF) a protezione di eventuali attacchi web (es. sql injection)”.

Ancora, all’interno del secondo provvedimento n. 66 dell’8 febbraio 2024 [doc. web n. 9991064] nei confronti di NTT Data, il Garante argomenta bene sulla “dinamica” del responsabile del trattamento.

Ancora, circa “l’integrità e la confidenzialità dei dati” il Garante, nel decider se comminare o meno una sanzione, tiene conto anche del fatto che nell’esecuzione dei VA e PT è venuto a conoscenza, “per un arco temporale estremamente limitato (1-12 ottobre 2018), di meri dati identificativi (nome, cognome e codice fiscale) e che gli stessi, in applicazione dei principi di minimizzazione, finalità e limitazione della conservazione sono stati tempestivamente cancellati dai sistemi”.

Poiché la società informatica non è mai stata, prima di ora, sanzionata in materia, scrive il Garante “è indubbiamente un chiaro indice del buon (se non, addirittura, ottimo) livello di compliance raggiunto dalla società […]” spesso auditata con la conseguenza che “un’eventuale sanzione per la violazione dell’art. 28, comma 2 GDPR (norma che disciplina il rapporto tra responsabile e titolare e, quindi, tra NTT Data e i propri clienti)” avrebbe come conseguenza un danno reputazionale (ovvero “la perdita della fiducia dei clienti e, quindi, la perdita di incarichi”) “di gravità, francamente, sproporzionata rispetto alla lievità della violazione contestata” un danno anche all’immagina incalcolabile.

Le sanzioni e i profili di imputabilità e responsabilità

Nel definire l’importo della sanzione alla banca di 2,8 milioni di euro, il Garante ha considerato l’elevato numero dei soggetti coinvolti dalla violazione dei dati personali, la gravità della stessa e la capacità economica della banca.

A differenza della società informatica alla quale ha irrogato una multa di 800mila euro, tenendo conto i principi di effettività, proporzionalità e dissuasività (art. 83, par. 1, del Regolamento) ai quali il Garante deve necessariamente attenersi nella determinazione dell’ammontare di una sanzione, come noto.

A valle di ciò, è stata dichiarata l’illiceità del trattamento.

Da ultimo, c’è un passaggio decisamente significativo che l’esimio Collega nonchè membro del Collegio, argomenta laddove parla di una “responsabilità generale” in capo al titolare del trattamento specie nei riguardi di quelli direttamente posti in essere o che altri abbiano effettuato per suo conto, omettendo tuttavia nel caso di specie di “verificare, in relazione alla natura, al contesto, alle finalità e ai rischi dei trattamenti realizzati nell’ambito del Portale di home banking, l’effettiva conformità degli stessi ai principi di integrità e riservatezza di cui all’art. 5, par. 1, lett. f), del Regolamento e degli obblighi in materia di sicurezza del trattamento di cui all’art. 32, par. 1 e 2, del Regolamento” Passaggio cruciale.

Data breach UniCredit, sanzioni a distanza di anni

Ancora una considerazione. Ben dopo un quinquennio dall’occorso, il Garante sanziona per una violazione dei dati (art. 33). Poteva farlo?

Dunque, partiamo dalle basi. Il diritto alla protezione dei dati di carattere personale rientra tra i diritti fondamentali dell’Unione Europea, secondo la Carta di Nizza, all’art. 8.

Alla Carta di Nizza in virtù dell’art. 10 della nostra Costituzione ci dobbiamo conformare e quindi anche per lo Stato italiano il diritto alla protezione dei dati personali è un diritto fondamentale il quale, in quanto tale, non è soggetto a prescrizione. Per capirci, chi subisce un furto non perderà mai il diritto di proprietà su quella “cosa” che gli è stata sottratta, ma il reato di furto trascorso un certo tempo (sette anni e mezzo) si prescriverà.

Ciò che si prescrive quindi è il fatto che cagiona, come in questo caso, la violazione di dati che, ricordiamo, deve essere reale e non potenziale. In altri termini, non è possibile sanzionare un rischio di data breach.

Più in generale, il data breach può/deve essere notificato soltanto dal titolare del trattamento nei modi e termini previsti dall’art. 33 GDPR. Il responsabile del trattamento dal canto suo, in questi casi, sarà tenuto a fornire la dovuta collaborazione con tempestive comunicazioni al titolare, in nome e per conto del quale, tratta i dati personali. Ne consegue che il responsabile risponde direttamente per ragioni di accountability.

Da ultimo, per completezza, sulla prescrizione delle sanzioni amministrative emesse dal Garante non entra in gioco l’art. 28 della L. 689/81 a mente della quale le somme dovute a titolo di sanzioni amministrative vanno riscosse nel termine fisso di cinque anni (5) dal giorno in cui è stata commessa la violazione, salvo gli atti interruttivi avvenuti nel mentre, in quanto è appena il caso di ricordare che l’Autorità si è autoregolamentata (come la Consob). Per ulteriori dettagli in merito, si rimanda ai relativi Regolamenti interni al riguardo.

Data breach UniCredit, cosa impariamo

Concludiamo con un auspicio. Purtroppo, non è il primo data breach che vede coinvolto il noto colosso bancario. Ricordiamo quell’altro per il quale, il precedente Collegio aveva irrogato la sanzione per la violazione, quella volta, di dati che concernevano 762 mila clienti Unicredit nel 2016-2017.

Tra i motivi, c’erano stati diversi errori di sicurezza, tra cui la mancata gestione degli accessi secondo il criterio del privilegio minimo necessario.

Ma, a distanza di sette anni, si opina che le consapevolezze e quanto da queste deriva, siano nel frattempo aumentate, anche alla luce dell’avanzamento delle nuove ed emergenti tecnologie in atto. Non a caso infatti UniCredit ha già dichiarato, come si può leggere anche qui, che “… impugnerà la decisione dinanzi il Tribunale compente”.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Who's Who

Argomenti

Canali

Speciale PNRR

Tutti
Incentivi
Salute digitale
Formazione
Analisi
Sostenibilità
PA
Sostemibilità
Sicurezza
Digital Economy
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati

  • GUIDA NORMATIVA

    Data breach dell'ASL 1 Abruzzo: cosa devono fare interessati, enti colpiti e cittadini

    08 Giu 2023

    di Marina Mirabella

    Condividi

  • Giornata mondiale

    Data protection day: le migliori pratiche per tutelare i dati personali e in azienda

    28 Gen 2024

    di Mirella Castigli

    Condividi

  • GUIDA NORMATIVA

    Data breach da incendi e calamità naturali: valutazioni e adempimenti privacy

    13 Lug 2023

    di Alessandra Biondi

    Condividi

  • IL PROVVEDIMENTO

    Errata qualificazione dei ruoli privacy: cosa impariamo dalla maxi-sanzione ad Autostrade per l’Italia

    21 Lug 2023

    di Tommaso Maria Ruocco

    Condividi

Prossimo

Data breach dell'ASL 1 Abruzzo: cosa devono fare interessati, enti colpiti e cittadini

Articolo 1 di 5