L'APPROFONDIMENTO

Social engineering e human hacking: le fasi dell’attacco

Le metodologie di social engineering e human hacking sono solo parzialmente arginabili con tecniche di security “tradizionali”. Ecco un possibile approccio multidisciplinare, tecnico e umanistico, che consenta di gestire al meglio le variabili di un attacco di ingegneria sociale

29 Mag 2019
S
Manuela Sforza

Cyber Security Analyst

Gli attacchi di social engineering e human hacking risultano pericolosi perché non tecnici. Indipendentemente dalle misure di sicurezza multilivello implementate su un certo perimetro organizzativo, è sempre possibile prendere di mira (e sfruttare efficacemente) alcune “tare” presenti nella natura umana: la fiducia negli altri e la reciprocità, la dissonanza cognitiva, l’ignoranza o la mancanza di conoscenza, l’istinto gregario (e il disagio nel contravvenire ad un ordine), l’utilitarismo.

I target più comuni risultano pertanto essere gli operatori posti ai “confini” del perimetro organizzativo, come receptionist e personale di help desk, clienti e fornitori dell’organizzazione, ma anche i profili con un accesso privilegiato, come gli amministratori di sistema, il supporto tecnico e via dicendo.

Una volta aperto il varco con tecniche di social engineering e human hacking, è possibile veicolare un qualsiasi vettore malevolo, generando impatti negativi generalizzati: perdite economiche, danni reputazionali, incapacità di garantire le proprietà CIA (Confidentiality, Integrity, Availability) del dato come informazione, potenziale perdita di continuità operativa, conseguenze sui diritti e le libertà delle persone.

Social engineering e human hacking: variabili intervenienti

Le variabili utili per determinare il grado di esposizione di un’organizzazione alla minaccia dell’ingegneria sociale potrebbero essere schematizzate (senza pretesa di esaustività) nelle seguenti:

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy
  • la dimensione dell’organizzazione: l’eventuale presenza di diverse unità operative collegate in una qualche fase di processo, aumenta la probabilità, per l’attaccante, di intromettersi nei flussi di comunicazione e di coordinamento;
  • la presenza/assenza di policy documentate e di controlli organizzativi: lasciare un processo operativo alla discrezionalità dell’operatore umano aumenta il potenziale distruttivo di un attacco riuscito;
  • un accesso al patrimonio informativo non regolato dal punto di vista tecnico e sistemistico: se il profilo di accesso della risorsa umana agli asset informativi aziendali non risulta minimizzato, cioè ispirato al principio del minimo privilegio, l’eventuale violazione avrà un impatto generalizzato e non circoscritto;
  • la mancanza di sessioni/training di formazione: se il vertice organizzativo non fornisce alla risorsa umana gli strumenti per riconoscere i pattern di attacco e per rispondere di conseguenza, la probabilità di occorrenza della minaccia aumenta;
  • la mancanza di sensibilità e di consapevolezza del vertice aziendale: spesso l’organizzazione si limita ad implementare misure tecniche di sicurezza e a dare istruzioni “in negativo” su azioni da non fare, senza considerare che gli asset di trattamento non sono solo meccanico-informatici ma anche umani, le cui strategie cognitive, che collegano ragionamento e comportamento, pensiero e azione, sono caratterizzate da una relazione non-lineare.

Social engineering e human hacking: schemi di classificazione

In un articolo del 2014 pubblicato sul Journal of Information Security and Application, Hobel, Weippl e Huber propongono una tassonomia degli attacchi di social engineering basata su tre variabili. La prima è rappresentata dal canale utilizzato (Channel) per compiere l’attacco. Questo potrebbe essere:

  1. e-mail (il Rapporto Clusit 2018 rileva un aumento delle mail di phishing e reverse social engineering del 34,21 % tra il 2016 e il 2017);
  2. chat e canali di messaggeria istantanea, utilizzati spesso e con facilità da profili fake, accuratamente costruiti nella fase di pretext e costruzione dello scenario;
  3. telefono, mezzo che, pur mantenendo la distanza (facilitando il camuffamento) dalla vittima, è in grado di approssimarsi maggiormente all’interazione fisica;
  4. social network, uno spazio veramente privilegiato per gli attaccanti: all’interno delle piattaforme social è possibile non solo accedere con facilità alle più svariate informazioni, anche dettagliate e in certi casi riservate, spontaneamente condivise dagli utenti, ma anche conoscere quali sono i collegamenti della vittima e, semplicemente osservando i commenti e l’interazione, dedurne il grado di affinità e di confidenzialità. È possibile quindi scegliere un profilo da emulare, costruirne uno fake identico e, attraverso il secondo, perpetrare l’attacco, senza passare per la fase di costruzione della relazione.
  5. servizi cloud: l’attaccante potrebbe simulare l’offerta di un servizio in cloud e rilasciare all’interno della risorsa, incautamente acquistata dalla vittima, un agente malevolo. Oppure potrebbe impersonificare un provider legittimo per gli stessi fini illeciti;
  6. siti e piattaforme web: caricare lo script malevolo su un sito web ed agganciare la vittima nel momento in cui atterra su quella particolare URL, è un classico metodo di delivery del vettore di attacco. Il sito potrebbe essere reale, esso stesso oggetto di defacement (compromissione), oppure potrebbe essere un sito clonato, apparentemente identico a quello legittimo, che in realtà comunica con un backend (server) di proprietà del criminale.

La seconda variabile utilizzata per la tassonomia proposta dagli autori citati è l’operatore (operator). È possibile infatti distinguere gli attacchi condotti da un soggetto:

  1. umano: le vittime adescabili sono quantitativamente circoscritte ma solitamente l’attacco, condotto da una persona ben addestrata, risulta essere più raffinato, efficace e, di conseguenza, dannoso;
  2. automatizzato (software). Esistono dei tool, ad esempio il SET (Social Engineering Toolkit) che vengono utilizzati per perpetrare attacchi di phishing su larga scala. L’attacco è meno raffinato, contiene alcune intrinseche “pecche” (ad esempio nella grammatica) che ne rendono più facile la detection ma, proprio come la grossolana rete usata dai pescatori (da cui il nome), conta sulla ragionevole probabilità statistica di un certo numero di successi, visto la larga scala dell’esca lanciata e rappresenta pertanto, sui grandi numeri, una minaccia di tutto rispetto;

La terza variabile considerata dagli autori è la tipologia dell’attacco (type). Si distinguono infatti attacchi:

  1. fisici, basati cioè sulla presenza e il contatto fisico dell’attaccante;
  2. tecnici, perpetrati attraverso Internet e il cyberspace;
  3. sociali, basati sulle dinamiche euristiche alla base dell’interazione umana analizzate precedentemente;
  4. socio-tecnici, i più pericolosi, che combinano il potenziale destabilizzante della conoscenza delle tecniche di persuasione con le skill informatiche sufficienti per camuffarsi con efficacia, sfruttando i confini sfumati del cyberspace.

Più nel dettaglio, l’ultima variabile di classificazione proposta dagli autori potrebbe essere raffinata[1] distinguendo gli attacchi:

  • human based: basati sul contatto diretto:
  1. Impersonation
  2. Reverse Social Engineering
  3. Tailgaiting
  4. Vishing
  5. Dumpster Diving
  6. Eavesdropping
  7. Shoulder Surfing
  8. Piggybacking
  • computer-based: perpetrati attraverso skill tecniche e strumenti informatici:
  1. Phishing
  2. Popup
  3. Spam
  4. Messaggeria Istantanea
  • mobile based: perpetrati attraverso tecnologie mobile:
  1. app malevole
  2. false applicazioni antivirus
  3. clonazione di app legittime
  4. smishing (SMS phishing)

Identificazione delle fasi dell’attacco

Sempre a scopo analitico e descrittivo è possibile identificare, nelle dinamiche sottostanti ad un attacco di social engineering, una sequenza di fasi tendenzialmente regolari.

Information gathering

È lo step preliminare di acquisizione delle informazioni: il primo passo di un attacco è quello di tentare di conoscere quei dettagli che possano rendere una storia credibile, gli interessi condivisi, i tipi di contenuti scambiati dalle varie unità organizzative o con i partners commerciali, in modo da inserirsi in qualche modo nei flussi operativi.

Tali informazioni possono essere acquisite sia localmente (osservando, spiando da lontano, frugando nella spazzatura) sia da remoto, sfruttando le enormi potenzialità della rete e i contenuti (omni)presenti su Internet.

Un’importante fonte sorgente è il sito Web dell’azienda. Esso verrà probabilmente sottoposto ad un raffinato check (in parte manuale, in parte automatizzato), volto ad individuare informazioni di interesse, indirizzi, telefoni, nomi di persona, link, PDF o file Excel condivisi o nominati e via dicendo.

Anche i commenti al codice del sito (cioè contenuti appositamente “taggati” dallo sviluppatore per istruire l’interprete del codice ad ignorarli) non vengono tralasciati: spesso infatti contengono informazioni importanti sulla versione del software utilizzata, sul nome dello sviluppatore e sull’azienda partner che ha realizzato il sito.

Un altro canale preferenziale di acquisizione delle informazioni è quello relativo ai social network: oltre ai tool da riga di comando, in grado di individuare dati di impiegati nelle varie organizzazioni iscritti ai social (ad esempio LinkedIn), l’attaccante può liberamente accedere ai dati sulle preferenze, sugli interessi, sulle amicizie, se le impostazioni di privacy della vittima lo consentono.

Tutte queste informazioni, che in sé stesse sembrerebbero poco utili, se incrociate con quelle ottenute in maniera automatizzata (con tool come Maltego), consentono considerazioni aggiuntive molto potenti, in grado di discriminare, ad esempio, tra una relazione solo professionale e una relazione di amicizia, per poi scegliere l’una o l’altra a seconda dello scenario più utile per l’attaccante.

Una volta acquisito il footprint (l’impronta) dell’organizzazione scelta come vittima, l’attaccante si preoccupa di mappare gli eventuali fornitori di servizi, che potrebbero essere sfruttati nella fase di creazione dello scenario.

Con tool come Maltego, ad esempio, è possibile conoscere l’IP del Web server, il suo owner (proprietario), cioè la compagnia hosting provider, nonché i link alle organizzazioni in qualche modo coinvolte nei flussi operativi della vittima contenuti nei domini e nei sottodomini del sito.

Il social engineer ripeterà così sui fornitori tutta l’analisi sopra descritta, per ottenere una fotografia della realtà scansionata il più possibile accurata; a catena, il quadro di relazioni (e di informazioni) davanti ai suoi occhi sarà sempre più organico e accurato.

La costruzione del pretext

È la fase creativa, in cui l’attaccante utilizza le informazioni organiche acquisite durante lo step precedente, allo scopo di costruire uno scenario credibile, una falsa ambientazione, in grado di stimolare all’azione la vittima, sfruttando a regola d’arte le tare, le semplificazioni, le scorciatoie cognitive tipiche dell’essere umano.

Incrociando, ad esempio, le informazioni acquisite dai social e dall’analisi dei commenti al codice del sito, potrebbe scoprire che lo sviluppatore è anche amico di un impiegato; incrociando quelle sui file condivisi ottenute tramite Maltego e quelle sugli interessi di LinkedIn, potrebbe individuare, come un contenuto rilevante per le tre entità, l’organizzazione, l’impiegato, lo sviluppatore, la normativa sulla sicurezza aziendale.

Potrebbe decidere, quindi, di confezionare un trojan, camuffato da PDF, contenente una metodologia di sviluppo di codice sicuro; di impersonificare lo sviluppatore ed inviare una mail all’impiegato con l’allegato; nel testo della mail, con tono empatico, l’attaccante-sviluppatore suggerirà al suo amico di leggere il PDF perché sarebbe vantaggioso per il suo capo fare una formazione ai fornitori sul contenuto dell’articolo.

La costruzione del vettore di attacco

Rappresenta la fase in cui viene confezionato il mezzo scelto per procurare le informazioni.

Tale mezzo dipende infatti dal contesto: può essere una conversazione, fisica o telefonica, attraverso cui l’attaccante manipola la vittima che detiene le informazioni e le ottiene direttamente, oppure un oggetto, un contenuto, appositamente confezionato per apparire «innocuo» e legittimo (ad esempio un trojan, una mail, un link ecc.).

Il concetto importante su cui soffermarsi è quello della simulazione. L’attaccante agisce attivamente per far sembrare il vettore malevolo in tutto e per tutto appartenente ad una sfera legittima riconducibile alla quotidianità della vittima, non in grado di generare in essa un alert che attiverebbe difese razionali.

L’instaurazione della relazione

È il momento in cui l’attaccante prende contatto con la vittima e cerca di conquistare la sua fiducia.

Questa fase può essere più o meno lunga, a seconda della strategia scelta per la delivery del vettore malevolo.

La creazione della relationship è particolarmente importante negli scenari di reverse social engineering, in cui l’attaccante crea appositamente la situazione emergenziale e si propone come deus ex machina in grado di risolverla mentre, nei casi di impersonificazione di qualcuno con cui si abbia già una relazione, può essere ragionevolmente saltata, visto che si “cavalca” quella preesistente.

Con riferimento alle tecniche di persuasione analizzate nei paragrafi precedenti inoltre, la relazione può essere di qualsiasi tipo: di amicizia/empatia, professionale/di ruolo (sfruttante la variabile dipendenza/autorità) e via dicendo, a seconda dello scenario costruito.

L’exploit

È il momento in cui viene effettivamente rilasciato il vettore di attacco. Certo, può esserci un periodo finestra, una latenza, tra il momento di delivering (ad esempio l’invio della mail) e l’azione effettiva di attivazione del vettore (il doppio clic della vittima sul PDF e l’esecuzione del codice malevolo).

Tuttavia, più le fasi precedenti di acquisizione delle informazioni, costruzione dello scenario e instaurazione della relazione sono state accurate, più i due momenti tendono a coincidere e l’attacco di social engineering può dirsi andato a buon fine.

In caso contrario, se per qualche motivo la vittima è messa in grado, con opportune tecniche e contromisure, di porre in atto un’euristica alternativa, l’exploit vero e proprio non viene finalizzato e l’attacco si ferma alla (sotto)fase di delivering.

La fase di post-exploitation

Se il vettore di attacco (ad esempio una backdoor o uno spyware) lo richiede o lo consente, può esserci un’ulteriore fase successiva al vero e proprio exploit in cui:

  • l’attaccante ha accesso attivo alla macchina della vittima e può eseguire comandi da remoto, con gli stessi privilegi assegnati alla macchina stessa;
  • l’attaccante riceve passivamente (in genere via mail) le informazioni che rappresentano il suo obiettivo (ad esempio, tutte le password digitare dalla vittima sulla tastiera del computer).

Conclusioni

Da quanto visto finora emerge chiaramente la complessità «antropologica» delle dimensioni che rendono efficace un attacco di social engineering e human hacking.

La manipolazione umana, caratteristica della fattispecie, sfrutta conoscenze multidisciplinari, dalla psicologia cognitiva all’antropologia, dalla psicologia sociale alla sociologia dei gruppi, dalla gnoseologia della conoscenza all’informatica.

E di fronte al carattere umano e non meccanico dei target, sembra potersi affermare che non esistono misure di sicurezza tecniche valide in assoluto; l’unica contromisura realmente efficace, afferente alla dimensione organizzativa, coinvolge la formazione delle risorse umane, il tentativo di fornire loro gli strumenti per riconoscere un pattern di attacco e per rispondervi con un’euristica alternativa, non prevedibile dal criminale e, pertanto, consona agli obiettivi dell’organizzazione.

Infine, un’ultima riflessione che attiene alla materia in tema di trattamento dei dati personali e all’approccio basato sul rischio, architrave del quadro regolamentare europeo: in primo luogo, con riferimento al processo di analisi del rischio, le tecniche di social engineering, da un lato possono essere utilizzate insieme ai tradizionali vettori di attacco.

Dall’altro ne possono rappresentare una valida alternativa: interpretando l’evento di attacco in una chiave di lettura economico-materialistica, davanti ad un perimetro sicuro tecnicamente, che costerebbe al criminale un certo impiego di tempo e di risorse, l’ingegneria sociale potrebbe configurarsi ai suoi occhi come più conveniente.

In secondo luogo, le metodologie di social engineering e human hacking sono solo parzialmente arginabili con tecniche di security “tradizionali”: occorre, come si è visto, un approccio multidisciplinare, quella doppia competenza, umanistica e tecnica, su cui si fonda e si sostanzia il nuovo quadro normativo sulla protezione dei dati personali.

  1. Matt Walker, CEH Certified Ethical Hacker All-in-One Exam Guide, McGraw-Hill Education, Quarta edizione
WHITEPAPER
Certificazioni GDPR: tutti i vantaggi per le organizzazioni che vi aderiscono
Legal
Privacy
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr