LA GUIDA COMPLETA

Truffe via mail, le tecniche: Business Email Compromise, Spoofing, Man in the Mail

La Business Email Compromise e lo Spoofing sono due delle truffe via e-mail più utilizzate per veicolare malware di ogni genere, tra cui i famigerati ransomware, con cui colpire organizzazioni di ogni dimensione e pubbliche amministrazioni. I consigli per non cadere nella trappola

Pubblicato il 02 Gen 2019

Giorgio Sbaraglia

Consulente aziendale Cyber Security, membro del Comitato Direttivo CLUSIT

L’e-mail è sicuramente il vettore più utilizzato dai pirati informatici per condurre campagne di attacco in grado di colpire un elevato numero di vittime in pochissimo tempo. Business Email Compromise (anche con la variante Man in the Mail) e Spoofing sono due delle truffe via e-mail più utilizzate per veicolare malware (tra cui i famigerati ransomware) e colpire organizzazioni di ogni dimensione e pubbliche amministrazioni.

Business E-mail Compromise: cos’è e che danni causa alle aziende

Per spiegare come funziona la truffa della Business E-mail Compromise (BEC) è utile raccontare un caso vero, accaduto a settembre 2017 e finito su tutti i giornali. Il direttore della delegazione della Confindustria presso l’Unione Europea a Bruxelles riceve un’e-mail dalla sua superiore: “Caro G., dovresti eseguire un bonifico di mezzo milione di euro (in realtà la cifra era leggermente inferiore, n.d.r.) su questo conto corrente. Non mi chiamare perché sono in giro con il presidente e non posso parlare”.

WHITEPAPER
La Top 5 delle minacce informatiche e come contrastarle
Sicurezza
Cybersecurity

Il funzionario della Confindustria a Bruxelles esegue il bonifico – cosa che non avrebbe dovuto fare – e circa cinquecentomila euro sono passati da un conto della Confindustria ad un conto estero di cui non si conosce l’intestatario. Soldi evaporati, scomparsi per sempre.

Come è stato possibile? Tutto è cominciato da una mail che era falsa, ma alla quale il funzionario ha purtroppo dato credito. E per questo è stato licenziato.

Il lettore potrebbe pensare: “è stato uno sprovveduto, come si può cascare in una truffa del genere?”.

E invece, anche se sembra incredibile, in tantissimi ci cascano.

È successo in Confindustria ma sono centinaia le aziende colpite ogni giorno da frodi finanziarie e milioni le mail contraffatte da cui partono ordini per spostare denaro in ogni parte del mondo.

È accaduto anche alla società calcistica Lazio, che a marzo 2018 ha pagato l’ultima rata per il giocatore De Vrij su un conto bancario diverso da quello indicato dal club olandese del Feyenoord di Rotterdam. E così due milioni di euro sono andati in fumo.

Un importante rapporto redatto dal Federal Bureau of Investigation (la ben nota FBI) del 4 maggio 2017 ci mostra i danni generati dalla BEC nel mondo.

Sono numeri impressionanti: tra ottobre 2013 e dicembre 2016 gli incidenti rilevati in USA e nel resto del mondo sono stati 40.203 ed il danno subito è pari a 5.302.890.448 di dollari (oltre 5 miliardi di dollari).

Secondo l’FBI, le truffe BEC sono state segnalate in oltre cento Paesi e hanno fatto registrare un notevole aumento, pari al 2.370%, delle perdite rilevate tra gennaio 2015 e dicembre 2016.

L’ultimo aggiornamento del Rapporto FBI sulla BEC è uscito il 12 luglio 2018: il totale delle perdite è salito all’astronomica cifra di 12.536.948.299 USD (nel periodo tra ottobre 2013 e maggio 2018). Confrontando i due rapporti scopriamo che in meno di un anno e mezzo (da dicembre 2016 a maggio 2018) sono stati persi per la BEC altri 7,2 miliardi di dollari, con un aumento del 2.200% tra il 2015 ed il 2017 ed un picco massimo nel settembre 2017 con oltre 18 milioni di dollari persi in un solo mese.

Ogni giorno, circa 400 aziende sono vittime di attacchi tramite BEC, che rappresentano un enorme fattore di rischio per le aziende. E nella maggior parte dei casi vengono presi di mira addetti all’interno dello staff finanziario dell’azienda.

Il funzionamento ha le caratteristiche di una truffa classica, dove la tecnologia è soltanto un mezzo nuovo per portare a termine raggiri vecchi.

In genere, i cyber attacchi che sfruttano le e-mail come vettore di minacce cibernetiche al loro interno contengono allegati con malware. Con le BEC, invece, non ci sono allegati, ma solo il corpo normale di un messaggio, nel quale l’attaccante cerca solo di rendersi credibile, “clonando” al meglio il mittente.

L’obiettivo è che la vittima riconosca il messaggio come veritiero, proveniente da una fonte certificata e autorevole. A quel punto, l’aggressore chiederà al suo bersaglio di compiere un gesto specifico, che sia un trasferimento di denaro o fornire l’accesso a informazioni riservate. Quest’ultimo non si insospettirà, perché il messaggio non contiene allegati (considerati pericolosi). Quindi probabilmente eseguirà la richiesta, soprattutto se operazioni simili (bonifici ecc.) avvengono già in azienda e con le stesse modalità.

Paradossalmente, in questi casi, le aziende con processi meno informatizzati e più “tradizionali” risultano meno vulnerabili.

Man in the Mail: così i pirati intercettano le e-mail delle vittime

Una delle principali varianti della BEC è la truffa conosciuta col nome di Man in the Mail (conosciuta anche come “Bogus Invoice Scheme” “Supplier Swindle” o “Invoice Modification Scheme”).

I delinquenti intercettano la posta elettronica di un’azienda e fanno in modo che i pagamenti finiscano sui loro conti correnti. Colpisce soprattutto aziende che fanno import/export, in quanto il conto su cui viene dirottato il pagamento si trova all’estero (preferibilmente in paesi molto lontani e generalmente extra-europei).

Le motivazioni sono chiare: in certi paesi le regole bancarie sono meno rigorose, oppure il criminale potrebbe avere qualche “appoggio” all’interno della banca. E soprattutto la vittima della truffa troverà complicato avventurarsi in cause legali in un paese estero e lontano, con costi alti ed esito incerto. Infatti nella maggior parte dei casi (ne abbiamo incontrati tanti…), si tende a lasciar perdere ed a rinunciare a qualsiasi azione risarcitoria, salvo nei casi in cui l’importo perso sia veramente considerevole.

Come funziona la truffa del Man in the Mail

Il malvivente viola la casella di posta, quella del mittente oppure quella del destinatario, mediante tecniche diverse, ma ugualmente efficaci: phishing, social engineering, furto delle credenziali o attacco brute force.

Studia quindi le comunicazioni dell’azienda, la carta intestata, le firme dei responsabili, lo stile della corrispondenza. Scopre i ruoli aziendali, individuando – per esempio – chi è preposto ad eseguire i pagamenti ai fornitori.

Poi si inserisce in conversazioni già in corso comunicando, alla persona giusta dell’azienda, coordinate bancarie diverse (le sue) su cui eseguire i pagamenti. Per fare questo usa appunto la tecnica dello “spoofing”, falsificando il mittente, oppure usando un indirizzo e-mail appena diverso, o – ancora – accedendo direttamente all’email violata.

In alcuni casi, avendo avuto accesso alla corrispondenza tra cliente e fornitore, riesce anche a richiamare numeri d’ordine o importi relativi a forniture realmente eseguite.

Il risultato è che l’azienda cliente (quella che deve pagare) si vede arrivare un messaggio con una fattura confezionata con la grafica uguale a quella vera (che l’hacker ha copiato), che indica di eseguire il pagamento su un conto diverso (non quello solito). E probabilmente lo eseguirà senza farsi troppe domande.

I numeri riportati nel citato Rapporto FBI ci fanno capire che questa truffa – se ben organizzata – ha ottime probabilità di successo.

Le varianti della Business Email Compromise

Oltre alla variante del Man in the Mail, la truffa della Business Email Compromise può essere sviluppata in altre diverse modalità:

  1. CEO Fraud” o “Business Executive Scam”: una richiesta di bonifico bancario viene inviata dall’account compromesso di un dirigente aziendale di alto livello (CEO o Chief Financial Officer) ad un dipendente all’interno dell’azienda che è in genere responsabile dell’elaborazione di tali richieste. È la variante di phishing definita anche “whaling”, perché punta al “pesce grosso”.
  2. Business Contacts through Compromised E-mail: un dipendente di un’azienda ha la sua e-mail personale violata. Questa e-mail personale può essere utilizzata per comunicazioni personali e aziendali. Le richieste di pagamenti di fatture a conti bancari controllati da frodi vengono inviate dall’e-mail personale di questo dipendente a più fornitori identificati dall’elenco dei suoi contatti.
  3. Business Executive and Attorney Impersonation: le vittime vengono contattate da truffatori che di solito si identificano come avvocati o rappresentanti di studi legali e sostengono di trattare questioni riservate o urgenti. Le vittime possono essere spinte dal truffatore ad agire rapidamente o segretamente nella gestione del trasferimento di fondi. Questo tipo di truffa BEC può verificarsi alla fine della giornata lavorativa o della settimana lavorativa ed essere programmata per coincidere con la chiusura delle attività delle istituzioni finanziarie internazionali.
  4. Data Theft (furto di dati): le richieste fraudolente vengono inviate utilizzando l’e-mail compromessa di un dirigente. I destinatari della richiesta sono figure dell’organizzazione aziendale che conoscono dati importanti, come Risorse umane, contabilità o auditing. Queste richieste in genere si verificano prima di una richiesta fraudolenta di bonifico bancario.

Come difendersi dalla Business E-mail Compromise

Esaminiamo ora come proteggerci da queste frequenti e temibili truffe.

Come sempre è importante avere la consapevolezza del rischio e non sottovalutarlo. Vediamo quindi quali sono gli accorgimenti da adottare:

  • usare credenziali di accesso alle mail robuste e sicure, quindi impostare una corretta gestione delle password;
  • non utilizzare in azienda indirizzi e-mail basati su webmail, perché sono più facilmente accessibili ed attaccabili;
  • leggere le mail con attenzione, soprattutto quelle che si riferiscono a pagamenti. Nel dubbio fare verifiche con mezzi diversi. È cioè molto importante non chiedere la conferma usando lo stesso indirizzo, perché ci risponderebbe il truffatore. Usare piuttosto il telefono, o contattare direttamente il mittente utilizzando l’indirizzo presente nella rubrica aziendale oppure un altro indirizzo e-mail, della cui credibilità siamo certi;
  • controllare bene il mittente delle e-mail: un dettaglio (anche solo una lettera!) potrebbe fare la differenza. Alcuni esempi di come è facile indurre in inganno con un indirizzo e-mail modificato ad arte: l’e-mail reale info@pippodomus.com potrebbe essere trasformata dal truffatore in: info@pippodornus.com. La sostituzione della lettera “m” con “rn” è difficilmente distinguibile a colpo d’occhio (e chi legge l’e-mail va sempre di fretta…). Oppure potrebbe essere modificata in info@pipp0domus.com sostituendo la lettera “o” con il numero “0”, pressoché identico. O anche: info@pippo-domus.com (un segno meno che passerà facilmente inosservato). E molte altre: l’inventiva degli attaccanti è illimitata;
  • e soprattutto: evitare di pensare “figurati se una cosa del genere può succedere a me”. Può succedere a chiunque, se non si è attenti e consapevoli.

In altre parole: come sempre è il fattore umano che può fare la differenza.

Cos’è e come funziona lo Spoofing

È una tecnica di attacco utilizzata per falsificare diverse informazioni, come ad esempio l’identità di un host (computer o server connesso in rete) o il mittente di un messaggio. Una volta che un attaccante riesce ad impersonare qualcun altro all’interno di una rete gli è possibile intercettare informazioni riservate, diffondere informazioni false e tendenziose o effettuare qualsiasi tipo di attacco. Risulta particolarmente efficace combinata a tecniche di social engineering per ottenere l’accesso ad informazioni “riservate” e credenziali degli utenti. Social media scammers (truffatori) o phishers possono usare questa tecnica ad esempio per convincere un utente a connettersi ad un server malevolo intercettando così le sue credenziali o ad eseguire azioni dannose.

Nonostante lo spam e lo spoofing siano ancor oggi una grave vulnerabilità della posta elettronica, non si ritiene praticabile una revisione radicale del protocollo SMTP, per via del gran numero di implementazioni di questo protocollo e soprattutto per la complessità ed il costo di una tale modifica.

La tecnica dello spoofing è molto efficace per realizzare attacchi di phishing e soprattutto di spear phishing, che sono diventati gli strumenti di attacco più diffusi, sia a livello privato che aziendale.

Proviamo a pensare cosa potrebbe succedere se riceviamo un’e-mail proveniente (in apparenza) da un collega, da un superiore o da un amico. Se questa e-mail è ben confezionata e resa credibile con riferimenti personali o aziendali, sarà abbastanza probabile che il destinatario (la “vittima” dell’attacco) caschi nel tranello ed apra l’allegato o clicchi sul link o esegua l’indicazione riportata nel messaggio. E, molto probabilmente, non sarà neppure stata bloccata dall’antispam, proprio perché costruita con cura.

Occorre fare una necessaria precisazione: nel caso in cui l’attaccante sia riuscito a ottenere la password della casella di posta, le e-mail di phishing vengono inviate dalla casella originale che è stata violata e non da un indirizzo fittizio. In questo caso si tratta di violazione della casella e non di e-mail Spoofing.

Questo caso è ancora più grave, perché significa che qualcuno sta usando la nostra casella a nostro nome e che, addirittura, potrebbe cambiare la password ed impedirci di accedere alla nostra casella. Siamo già nel caso del “furto di identità”.

Gli strumenti informatici per proteggersi dallo spoofing

Gli attacchi di phishing, soprattutto se mirati (spear phishing) sono difficili da prevenire e rilevare. Manca l’oggetto della minaccia cibernetica: un link malevolo, un malware e via dicendo. Quei segnali che i normali programmi antispam o antivirus sono in genere in grado di rilevare.

Inoltre, a causa della citata debolezza del protocollo SMTP ed al fatto che i principali client di posta elettronica mostrano solitamente solo il nome del mittente, è complicato per chi riceve i messaggi capire che si tratta di un inganno.

In realtà, le e-mail di spoofing lasciano sempre qualche traccia, ma per vedere l’indirizzo reale del mittente (o quanto meno il server da cui è partita) bisogna compiere alcune azioni, che l’utente medio non conosce e che solo chi ha una certa esperienza di cybersecurity riesce a mettere in pratica.

Quando si sospetta la ricezione di messaggi contraffatti, il modo migliore di verificarne la reale identità del mittente sarebbe quello di leggere le informazioni contenute nell’header dell’e-mail ricevuta. Oppure rivolgersi a qualcuno in grado di farlo.

Leggere l’header di un messaggio di posta elettronica

L’header contiene le intestazioni del messaggio stesso e d ha al suo interno le informazioni relative a tutta la storia dell’e-mail, dal momento in cui viene inviata all’accettazione da parte del server destinatario, oltre alle informazioni che riguardano l’autore del messaggio stesso.

Tutti i client che usiamo per la posta elettronica (ad esempio Outlook o Thunderbird) hanno l’opzione per visualizzare l’header di un’e-mail ricevuta. Il comando in genere si chiama “Mostra intestazioni”, o qualcosa di simile. Attivando il comando, potremo accedere alla parte “nascosta” dell’e-mail e vederne molti dettagli.

Per esempio: il campo “Received From” indica il server mittente, da cui è partito il messaggio (questa informazione potrebbe svelarci lo spoofing)

In realtà, saper leggere l’header di un’e-mail non è facile e non si può pretendere che lo faccia un normale utente, senza specifiche competenze IT.

In figura, dove è rappresentato proprio un header, ci rendiamo conto delle complessità di lettura:

Sapendo leggere l’header di un messaggio di posta elettronica, potremmo essere in grado di rilevare un attacco di tipo spoofing.

In questo esempio, nel campo “Received… from…” si potrebbe capire se il server di invio (nomedominio.ext) è quello corrispondente all’indirizzo del mittente (che potrebbe invece essere stato falsificato).

Sono estremamente utili, per superare queste difficoltà, i software antispam più avanzati e moderni, che implementano alcuni controlli, in pratica fanno in automatico quelle verifiche che l’utente medio – come detto – non sarebbe in grado di fare da solo.

Questi antispam riescono a prevenire lo Spoofing delle e-mail in entrata utilizzando tecnologie quali:

  • Sender Policy Framework (SPF): consente di verificare che una e-mail inviata da un dato dominio arrivi effettivamente da uno degli host abilitati dai gestori del dominio stesso.
  • DomainKeys Identified Mail (DKIM): permette ai gestori di un dominio di aggiungere una firma digitale tramite chiave privata ai messaggi di posta elettronica. DKIM aggiunge quindi un ulteriore strumento per verificare la corrispondenza tra mittente e relativo dominio di appartenenza. DKIM e SPF non sono due tecniche alternative ma piuttosto complementari.
  • Domain-based Message Authentication, Reporting and Conformance (DMARC): è un sistema di validazione dei messaggi di posta elettronica. Le caratteristiche di DMARC sono state definite nella RFC 7489 del marzo 2015.

In pratica, queste eseguono una serie di controlli di validazione dell’header dei messaggi di posta e sono in grado di scoprire eventuali anomalie.

Il consiglio è quindi quello di valutare l’adozione dei programmi antispam con queste funzionalità: sarà un saggio investimento, tenuto conto che è proprio dalla posta elettronica che arriva in azienda la maggior parte dei guai.

PEC e posta crittografata: per una mailbox più sicura

Per un’e-mail più sicura si possono usare strumenti più avanzati, rispetto all’antiquato ed insicuro protocollo SMTP:

  • la PEC (posta elettronica certificata);
  • la posta crittografata PGP (Pretty Good Privacy).

La PEC viene rilasciata all’utente dai gestori del servizio PEC, che devono essere accreditati presso un ente centrale, il CNIPA (Centro Nazionale per l’Informatica nella Pubblica Amministrazione). Il CNIPA attesta l’identità del gestore.

Come noto, ha valore legale e certifica che il messaggio è stato recapitato correttamente (come per una Raccomandata A/R). Inoltre garantisce l’autenticità e l’integrità dei dati, attraverso le firme digitali del gestore.

Ha però un importante “difetto”: è uno standard esclusivamente italiano (non c’è interoperabilità con paesi stranieri, almeno fino ad oggi).

PGP (Pretty Good Privacy): lo standard per le e-mail criptate

Esiste invece un sistema di posta crittografata che costituisce uno standard codificato a livello globale, la PGP (Pretty Good Privacy). È il software libero di crittografia e firma digitale più usato al mondo.

PGP è stato creato nel 1991 da Philip R. Zimmermann. Originariamente concepito come uno strumento per i diritti umani, da PGP è nato poi OpenPGP, che è uno standard Internet “open source” per l’interoperabilità dei messaggi protetti tramite crittografia asimmetrica (detta “a chiave pubblica”), basato sulla generazione di una coppia di chiavi, una “privata” ed una “pubblica” che non coincidono.

La crittografia asimmetrica (conosciuta anche come crittografia a coppia di chiavi, crittografia a chiave pubblica/privata o anche solo crittografia a chiave pubblica) fu introdotta nel 1976 da Whitfield Diffie e Martin Hellman, rispettivamente un matematico e un ingegnere della Stanford University. Per questo progetto, Diffie ed Hellman hanno vinto il premio Alan Turing 2015.

PGP risolve una debolezza insita nella crittografia simmetrica: il fatto che per cifrare e decodificare un messaggio occorre una chiave segreta in possesso sia del mittente che del destinatario. Ma queste due persone potrebbero trovarsi a notevole distanza tra di loro o addirittura non conoscersi affatto e pertanto, se non esiste un canale sicuro per scambiarsi i codici di cifratura, occorre avvalersi di canali (e-mail, chat, posta convenzionale) attraverso i quali la chiave potrebbe essere intercettata.

PGP, essendo un programma di “crittografia a chiave pubblica” si basa sulla generazione di una coppia di chiavi: una “segreta” (o “privata”) e l’altra “pubblica”. L’utente tiene al sicuro la propria chiave segreta mentre diffonde e rende disponibile la chiave pubblica.

Quando si parla di “chiave pubblica” si intende una chiave che viene resa pubblica a tutti: per esempio Apple pubblica la sua chiave PGP utile e necessaria per chiunque volesse inviare messaggi crittografati.

Lo stesso fanno molti altri siti importanti.

Spieghiamo il funzionamento di PGP usando il classico esempio di due ipotetici personaggi, Bob ed Alice, che si scambiano un messaggio via e-mail.

  1. Bob scrive il messaggio e lo cripta con la chiave pubblica di Alice (chiave che Alice ha precedentemente inviato a Bob);
  2. Alice riceve il messaggio criptato da Bob e lo decripta con la sua chiave privata.

In sintesi:

  • la chiave pubblica di un utente (Bob) codifica il messaggio e la propria chiave privata lo firma;
  • la chiave privata consente di decodificare il messaggio che è stato cifrato con la corrispondente chiave pubblica (di Alice);
  • la chiave privata (di Bob) consente di apporre al messaggio una “firma” che identifica univocamente il mittente.

In modo più elementare si può spiegare il funzionamento di PGP paragonando l’invio di un’e-mail crittografata alla spedizione di una lettera.

Schema semplificativo del funzionamento del programma di crittografia a chiave pubblica PGP.

La busta della lettera viene chiusa da Bob con il lucchetto che Alice ha fatto arrivare a Bob (il lucchetto rappresenta quindi la chiave pubblica di Alice). Il lucchetto può essere aperto solo con la chiave che possiede Alice (rappresenta la chiave privata di Alice, che non verrà mai messa in rete). Quindi l’apertura della busta può avvenire solo grazie al possesso di entrambe le chiavi, che sono differenti, ma collegate (perché generate dallo stesso algoritmo crittografico).

Il sistema PGP consente di risolvere le due debolezze tipiche delle e-mail tradizionali, di cui abbiamo parlato all’inizio dell’articolo, e che sono:

  • riservatezza del contenuto: il messaggio viene crittografato e reso illeggibile per un terzo che non possegga le chiavi;
  • autenticità del mittente: la chiave pubblica di Bob (che è stata precedentemente inviata ad Alice) potrà combaciare solo con la sua chiave privata. Questa funzione ci dà la certezza della provenienza del messaggio.

Il sistema descritto può sembrare complicato (ed in parte lo è), ma rispetto alla PEC ha il vantaggio di non richiedere la creazione di un indirizzo dedicato e quindi non ha alcun costo. In pratica, si invia il messaggio attraverso il consueto indirizzo di posta (ad esempio, Gmail). All’interno del messaggio ci sarà un allegato che è il messaggio crittografato PGP, creato con il programma PGP e che potrà essere letto dal destinatario solo con un altro client PGP.

Esiste un solo vincolo per utilizzare PGP: deve essere usato contemporaneamente da mittente e destinatario.

PGP è diventato un protocollo standard non proprietario, quindi sono stati creati nel corso degli anni molti software per utilizzarlo con i diversi sistemi operativi più diffusi. Nel sito ufficiale di OpenPGP sono indicati quali sono i software che utilizzano tale protocollo.

In alternativa si può consultare GnuPG, che è un software libero progettato per sostituire la suite crittografica PGP e che è completamente compatibile con gli standard OpenPGP.

Elenco qui i principali programmi per usare PGP con i diversi sistemi operativi (ne esistono molti altri):

A chi serve PGP?

Sicuramente l’e-mail “tradizionale” – mi piace definirla così – rimane uno strumento talmente semplice e famigliare che sarà difficile sostituirla integralmente con un sistema crittografato come PGP.

PGP non sarà l’e-mail per tutti ed in tutti i casi, ma vista l’importanza – sempre maggiore – dei dati che usiamo e che trasmettiamo, sarà bene valutare accuratamente l’uso di protocolli di criptazione, almeno per proteggere i nostri dati più delicati.

Concludiamo con le parole di Philip R. Zimmermann, nell’intervista che rilasciò nel 2015 a Wired: nessuno meglio di lui può farci capire l’importanza della crittografia per la sicurezza ed anche per la protezione dei diritti civili:

“Nelle aziende c’è la tendenza a enfatizzare cose come i firewall o i sistemi di detenzione delle intrusioni. Di certo c’è bisogno di tutto questo, ma è chiaro che queste cose possono essere violate o non sono sufficienti a garantire la protezione necessaria. Quello che serve è la crittografia, serve PGP per criptare le mail e lo stesso va fatto con tutti i tipi di documenti che vengono reputati importanti o sensibili”.

WHITEPAPER
Cloud pubblico: ecco la strada verso una maggiore sicurezza, scopri di più!
Cloud
ERP
@RIPRODUZIONE RISERVATA

Valuta questo articolo

La tua opinione è importante per noi!

Speciale PNRR

Tutti
Incentivi
Salute digitale
Formazione
Analisi
Sostenibilità
PA
Sostemibilità
Sicurezza
Digital Economy
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr