LA GUIDA COMPLETA

Insider risk: cosa sono, come riconoscerli e gestirli per mitigarli

La gestione del rischio inizia con la comprensione dei tipi di rischi che si riscontrano nei luoghi di lavoro attuali. Alcuni di questi sono basati su eventi esterni; altri, molto più insidiosi, sono gli insider risk che si determinano da attività svolte da utenti che possono essere monitorati, evitati o minimizzati

19 Apr 2021
L
Andrea Lorenzoni

Expert Cybersecurity Analyst, Forensics, Automotive & Training presso CyberFVG.it

È normale, oggi, parlare di vulnerabilità o di minacce che insistono sulla nostra realtà tecnologica, piccola o grande che sia, e ciò ha contribuito a rendere le reti aziendali molto più resilienti, almeno per ciò che riguarda il contesto delle vulnerabilità che possono insistere dall’esterno verso l’interno: motivo per il quale sempre più spesso le tecniche di intrusione prediligono un vettore interno che semplifichi le attività criminose, il che rende la gestione degli insider risk e delle minacce interne molto complessa perché predispone che il vettore abbia già a disposizione l’accesso ai dati che l’organizzazione deve proteggere.

Ci tengo a evidenziare che non sempre il problema viene determinato dal soggetto di sua volontà. Molti sono stati i casi di cronaca, oltre a quelli che ho seguito personalmente, che hanno rappresentato molte volte situazioni in cui la persona, o meglio il vettore in questo caso, è inconsapevole oppure viene costretto sotto ricatto o minaccia.

L’importante è non sottovalutare questo tipo di minacce poiché rappresentano una tendenza in crescita.

Altrettanto importante è comprenderle, comprenderne i meccanismi e attuare le politiche di prevenzione e mitigazione poiché, come vedremo in seguito, questo tipo di minacce non insiste solo nelle organizzazioni di grandi dimensioni ma tutti ne sono colpiti: dai professionisti, alle piccole-medie imprese e grosse multinazionali.

Gli insider risk: cosa sono e quanto possono essere dannosi

Allora, se prendiamo une delle tante definizioni possiamo affermare che gli insider risk (d’ora in poi solo “insider”) sono tutte quelle attività che, partendo dall’interno dell’azienda, causano in maniera volontaria o involontaria uno specifico danno.

17 novembre, milano
Spalanca le porte all’innovazione digitale! Partecipa a MADE IN DIGItaly

Possiamo largamente estendere questa definizione a dipendenti, ex-dipendenti, soci in affari, appaltatori, partners, fornitori e clienti. Chiunque disponga accesso ad informazioni privilegiate che costituiscono un toto o in parte la banca dati “core” di quella determinata organizzazione.

Le azioni che ne conseguono posso rivelare frodi, furti di informazioni commerciali o furti di identità, furti di proprietà intellettuale, sabotaggio di sistemi informatici e molto altro.

I vertici di un’organizzazione non possono sapere quale sia l’obiettivo di un insider: ma che si tratti di poisoning oppure di furto di dati industriali, l’attenzione dev’essere sempre ai massimi livelli.

In ogni caso, possiamo ipotizzare che la minaccia sia dannosa, cioè in malafede: le persone approfittano dei loro accessi per arrecare un danno o prelevare informazioni da “vendere” a un competitor. Possono essere semplicemente negligenti, quindi ignorando le politiche di sicurezza compiono azioni che possono ledere l’organizzazione e sono dei vettori (alcuni li definiscono “infiltratori”) che consapevolmente o meno forniscono le credenziali a soggetti esterni.

Nel 2019 l’istituto SANS pubblicò un rapporto sulle minacce avanzate rivelando che quelle interne rappresentano il vettore principale del 60% delle violazioni di dati.

Rilevare le minacce interne non è un compito facile per i team di sicurezza, in quanto l’insider ha già accesso legittimo alle informazioni e ai dati ed è quindi difficile distinguere tra la normale attività di un utente e quella che potenzialmente può essere dannosa. Di conseguenza, la violazione dei dati da parte di un insider è notevolmente più pericolosa (e costosa) di quelle causate da un aggressore esterno. E purtroppo questa tecnica sta vedendo una tendenza in crescita.

È realtà che molte organizzazioni criminali, che in genere operano su commissione, una volta studiata la vittima decidano di agire utilizzando come vettore un dipendente dell’azienda. Reperendo online i dati degli intestatari delle targhe delle vetture parcheggiate nell’area privata dell’azienda, si ottengono con pochi soldi le informazioni complete unitamente ad indirizzi privati delle abitazioni.

In pochi giorni e con poca fatica, la scoperta di una relazione extraconiugale potrebbe essere un motivo di ricatto per convincere, magari dietro a un’interessante remunerazione, a inserire una chiavetta USB sulla propria postazione. Ormai gli hacking tools su chiavetta si trovano in ogni parte di internet.

Se tutto questo ancora può apparire come fantascienza, vi porto un caso concreto.

Insider risk: l’esempio pratico

Vi parlo di una piccola azienda di produzione, una di quelle realtà tipiche del triveneto che, strutturate e gestite a livello famigliare, si danno da fare per sbarcare il lunario, con tutte le difficoltà che oggi il mercato pone a livello globale. Quindi la moglie è imprenditrice, il marito lavora come dipendente almeno per assicurare uno stipendio fisso al mese, figli a scuola e due dipendenti: uno in produzione e una in amministrazione.

Si “batte il ferro” e l’azienda riesce ad acquisire una commessa da un grosso committente che, se soddisfatto, moltiplicherà gli ordini consentendo un piccolo salto che, per una realtà come questa, è un grande risultato.

È ovvio considerare come la concorrenza sia sempre agguerritissima e uno dei competitor decide di agire con metodi che, sempre più spesso, vengono presi in considerazione.

Il competitor decide di ingaggiare un’organizzazione che individua i possibili punti deboli dell’azienda e decide di agire. Il marito, che spesso effettua trasferte per lavoro, si trova fuori città e dopo la giornata di lavoro decide, con i colleghi di uscire per un aperitivo. Nel locale conosce una donna che lo irretisce e finisce a letto con lei. Il tutto viene documentato dai complici che, ben presto, si mettono in contatto con la moglie inviandole alcune delle foto unitamente a una chiavetta USB contenente, secondo le indicazioni, tutto il materiale.

La chiavetta è stata inserita dalla donna nel suo PC aziendale in modo da consentirle di visionare il materiale nonché installare una reverse connection che ha garantito ai malintenzionati l’accesso dall’esterno.

Ciò permise, infine, di alterare i software di produzione: la merce prodotta viene respinta dal grosso committente come qualitativamente non conforme. Il tutto in un momento in cui la donna non era presente in azienda a monitorare, impegnata nel dramma familiare che stava vivendo a causa della rivelazione del tradimento del marito.

Qui abbiamo tra le atre cose social engineering, insiders e OSINT. Inutile dire che il committente di questa operazione è stato scoperto e il costo totale pagato all’organizzazione sembra essere di poche migliaia di euro. La presenza sul mercato di individui che, per mancanza di altri impieghi, si rendono disponibili ad essere ingaggiati come cyber criminali permette al mercato una vasta gamma di prezzi.

La classificazione degli insider risk

Di tutte le possibili classificazioni degli insider risk che si possono trovare, quella introdotta da Gartner è la più immediata per la contestualizzazione di una possibile minaccia.

Sebbene il termine minaccia interna sia stato in qualche modo cooptato per descrivere un comportamento strettamente dannoso, esiste uno spettro definito di minacce interne. Non tutti gli addetti ai lavori sono uguali e variano notevolmente in termini di motivazione, consapevolezza, livello di accesso e intenti.

Con ogni tipo di minaccia interna, ci sono diversi controlli tecnici e non tecnici che le organizzazioni possono adottare per rafforzare il rilevamento e la prevenzione. Gartner classifica le minacce interne in quattro categorie: pedone, stupido, collaboratore e lupo solitario.

Pedine

Le pedine sono dipendenti che vengono manipolati per eseguire attività dannose, spesso involontariamente, tramite spear phishing o ingegneria sociale. Che si tratti di un dipendente inconsapevole che scarica malware sulla propria workstation o di un utente che rivela le credenziali a una terza parte che finge di essere un dipendente dell’help desk, questo vettore è uno degli obiettivi più ampi per gli aggressori che cercano di causare danni all’organizzazione.

Un esempio ha coinvolto Ubiquiti Networks, vittima di un attacco di spear phishing in cui le e-mail dei dirigenti senior indirizzavano i dipendenti a trasferire 40 milioni di dollari sul conto bancario di una filiale. I dipendenti all’epoca non sapevano che le e-mail erano state falsificate e il conto bancario era controllato da truffatori.

Goof (Stupido)

I falsi non agiscono con intenti dannosi, ma intraprendono azioni deliberatamente e potenzialmente dannose. Gli imbroglioni sono utenti ignoranti o arroganti che credono di essere esentati dalle politiche di sicurezza, sia per comodità che per incompetenza.

Il novantacinque percento delle organizzazioni ha dipendenti che stanno attivamente cercando di aggirare i controlli di sicurezza e quasi il novanta percento degli incidenti interni sono causati da errori.

Un esempio di stupidità potrebbe essere un utente che archivia informazioni di identificazione personale non crittografate in un account di archiviazione cloud per un facile accesso sui propri dispositivi, pur sapendo che ciò è contrario ai criteri di sicurezza.

Collaboratore

I collaboratori sono utenti che collaborano con una terza parte, oppure concorrenti o stati-nazione, per utilizzare il loro accesso in un modo che intenzionalmente arrechi danno all’organizzazione. I collaboratori in genere utilizzano il loro accesso per rubare proprietà intellettuale e informazioni sui clienti o per interrompere le normali operazioni aziendali.

Un esempio di collaboratore è Greg Chung, un cittadino cinese ed ex dipendente della Boeing che ha accumulato documenti relativi al programma dello Space Shuttle per rispedirli in Cina. Lo spionaggio aziendale è diffuso anche con i collaboratori come nel caso di Uber e Waymo. Uber ha assunto un ingegnere Waymo che era in possesso di tecnologia per auto a guida autonoma riservata e proprietaria e presumibilmente l’ha utilizzata nel loro progetto di auto a guida autonoma.

Lupo solitario

I lupi solitari sono completamente indipendenti e agiscono in modo malizioso senza influenze o manipolazioni esterne.

I lupi solitari sono particolarmente pericolosi quando hanno livelli di privilegio elevati, come amministratori di sistema o amministratori di database.

Un classico esempio di lupo solitario è Edward Snowden, che ha utilizzato il suo accesso a sistemi classificati per far trapelare informazioni relative allo spionaggio informatico presso la NSA.

Combattere le minacce interne: un piano di rilevamento

Per rilevare efficacemente le minacce interne, le organizzazioni dovrebbero prima colmare le lacune di visibilità aggregando i dati di sicurezza in una soluzione di monitoraggio centralizzata, che si tratti di una piattaforma SIEM (Security Information and Event Management) o di una soluzione di analisi del comportamento di utenti ed entità (UEBA) autonoma.

Molti team iniziano con l’accesso, l’autenticazione e i registri delle modifiche dell’account, quindi ampliano l’ambito a fonti di dati aggiuntive come la rete privata virtuale (VPN) e i log degli endpoint man mano che i casi d’uso di minacce interne maturano.

Una volta centralizzate le informazioni, è possibile modellare il comportamento degli utenti e assegnare punteggi di rischio legati a specifici eventi rischiosi, come i cambiamenti geografici dell’utente o il download su un supporto rimovibile.

Con dati storici sufficienti, è possibile creare una linea di base del comportamento normale per ogni singolo utente. Questa linea di base indica il normale stato operativo di un utente o di una macchina in modo che le deviazioni in questa attività possano essere contrassegnate come anormali.

Le deviazioni dovrebbero essere monitorate non solo per un utente specifico, ma anche rispetto ad altri utenti nella stessa posizione, con lo stesso titolo o funzione lavorativa.

Le anomalie comportamentali aiutano i team di sicurezza a identificare quando un utente è diventato un insider malintenzionato o se le sue credenziali sono state compromesse da un aggressore esterno. L’assegnazione dei punteggi di rischio offre, inoltre, ai team del Security Operations Center (SOC) la possibilità di monitorare il rischio in tutta l’azienda, sia che si tratti di creare elenchi di controllo o di evidenziare i principali utenti a rischio nella propria organizzazione.

Adottando una visione incentrata sull’utente, i team di sicurezza possono individuare rapidamente l’attività delle minacce interne e gestire il rischio degli utenti da una posizione centralizzata invece di ricostruire manualmente punti dati disparati che singolarmente potrebbero non mostrare il quadro completo.

Insider risk: soluzioni di riparazione

Come abbiamo visto, gli account privilegiati rappresentano obiettivi di alto valore per gli addetti ai lavori. È importante che le organizzazioni adottino una soluzione di gestione degli accessi privilegiati (PAM) e inseriscano i dati sull’accesso agli account privilegiati da tale soluzione nel proprio SIEM.

L’analisi comportamentale dell’utente può rilevare cose come tentativi di accesso anormali o più tentativi di password non riusciti e generare un avviso, se appropriato, per la convalida dell’analista.

Una volta convalidato, è possibile creare un incidente di minaccia interna in un sistema SOAR (Security Orchestration, Automation and Response) integrato, in cui il playbook può specificare quale rimedio è necessario. Il potenziale rimedio potrebbe includere sfidare l’insider con MFA o revocare l’accesso, entrambe le cose possono essere eseguite automaticamente nella soluzione IAM.

Esistono diversi tipi di insider risk di cui le organizzazioni dovrebbero essere consapevoli e ciascuna presenta sintomi diversi da diagnosticare ai team di sicurezza.

Comprendendo le motivazioni degli aggressori, i team di sicurezza possono essere più proattivi nel loro approccio alla difesa dalle minacce interne.

WHITEPAPER
Una semplice guida pratica per imparare ad usare una Virtual Private Network
Software Defined Networking
Wide Area Network
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr