LA GUIDA PRATICA

Processo di protezione dei segreti aziendali, tra cyber security e GDPR: ecco come applicarlo

Al netto della normativa in tema di segreti aziendali, è utile che le organizzazioni seguano un processo strutturato per proteggere al meglio il proprio know how, sfruttando l’allineamento tra discipline differenti per ottenere una ottimale protezione dei segreti aziendali. Ecco come applicarlo

20 Feb 2020
M
Nadia Martini

Avvocato, Associate Partner - Rödl & Partner

M
Rosa Mosca

IP specialist - Rödl & Partner

S
Valeria Specchio

Junior Associate Rödl & Partner

Parlando di processo di protezione dei segreti aziendali è opportuno iniziare dalla conoscenza della normativa in materia.

La direttiva n. 943/2016 volta alla “protezione del know-how riservato e delle informazioni commerciali riservate (segreti commerciali) contro l’acquisizione, l’utilizzo e la divulgazione illeciti” è stata pubblicata nella Gazzetta dell’Unione Europea l’8 giugno 2016 ed è stata recepita in Italia con il Decreto Legislativo n. 63/ 2018 entrato in vigore a far data dallo scorso 22 giugno 2018.

Tale normativa nasce dalla necessità di introdurre uno strumento giuridico di tutela del segreto commerciale (o anche detto aziendale) efficace e comparabile in tutta l’Unione, senza il quale gli incentivi a intraprendere attività transfrontaliere innovative sul mercato interno risultano indeboliti e i segreti commerciali non sono in grado di mettere a frutto le loro potenzialità di motori della crescita economica e dell’occupazione.

La norma in commento impone ai destinatari della stessa, che vogliano proteggere i segreti aziendali e goderne della relativa tutela, l’obbligo dell’adozione di misure tecniche e organizzative adeguate a mantenere le informazioni e le esperienze tecnico-industriali segrete.

A livello nazionale, la tutela apprestata dal legislatore è contenuta nel Codice della proprietà industriale che all’art. 98, come novellato dal decreto di attuazione della Direttiva, indica che costituiscono oggetto di tutela i segreti commerciali, ossia le informazioni aziendali e le esperienze tecnico-industriali, comprese quelle commerciali (ad es. la lista di clienti, fornitori, prodotti ecc.), soggette al legittimo controllo del detentore, a condizione che tali informazioni abbiano i seguenti requisiti:

  • segretezza: nel senso che non siano nel loro insieme o nella precisa configurazione e combinazione dei loro elementi generalmente note o facilmente accessibili agli esperti ed agli operatori del settore;
  • valore economico: abbiano valore economico in quanto segrete ovvero siano suscettibili di sfruttamento ed utilizzo nell’ambito di un’attività economica con relativo vantaggio concorrenziale da parte del detentore degli stessi;
  • misure di sicurezza: le informazioni devono essere sottoposte, da parte delle persone al cui legittimo controllo sono soggette, a misure da ritenersi ragionevolmente adeguate a mantenerle segrete.

Tale ultimo aspetto è molto importante soprattutto alla luce della Direttiva che, all’art. 11, enuncia il principio secondo cui le autorità, competenti a giudicare della sussistenza o meno della violazione del segreto, devono valutare anche se il soggetto il cui diritto si ritiene violato abbia attuato le dovute misure per la tutela. In caso negativo, seppure un’informazione risultasse segreta, non sarebbe tutelabile a livello giudiziale.

È dunque necessario costruire una corretta protezione, dimostrabile e documentabile e verificabile caso per caso.

Ma come procedere concretamente alla tutela del know how aziendale e quali misure adottare?

Il processo di protezione dei segreti aziendali

La normativa non indica quali siano esattamente le azioni né le misure da adottare né come possano essere individuate.

La prassi supplisce però al gap normativo, mutuando il processo di protezione dei segreti aziendali da adottare da normative dettate per temi differenti ma assimilabili, ossia:

WHITEPAPER
GUIDA PRATICA contro il Phishing: scopri come tutelare la tua azienda!
CIO
Sicurezza
  • la normativa di cyber security, volta alla protezione di sistemi e reti: il 6 luglio 2016 è entrata in vigore la direttiva UE n. 1148/2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi, la cosiddetta NIS. L’8 maggio 2018 la direttiva è stata recepita in Italia con il D.lgs. n. 65/2018. Il comparto normativo di cyber sicurezza è stato poi completato dal Regolamento (EU) 2019/881 (il cosiddetto Cybersecurity Act);
  • la normativa in tema di trattamento di dati personali, volta alla protezione dei dati che permettano di identificare anche indirettamente una persona fisica: il Regolamento Privacy Europeo n. 679/2016, operativo dal 25 maggio 2018, recante misure adeguate in materia privacy (il cosiddetto GDPR).

Ambo le discipline prevedono che, al fine di individuare le misure tecniche e organizzative adeguate a proteggere sistemi e reti (nel caso di cyber security) e dati (nel caso di GDPR), ogni destinatario della normativa debba adottare un processo di adeguamento che preveda quanto meno i seguenti step:

  • l’assessment: è la fase volta ad effettuare un assessment di rischio e di impatto, ossia un’analisi concreta degli impatti e dei rischi della violazione, nonché del dettaglio delle misure esistenti a protezione;
  • la remediation: è la fase volta alla individuazione delle misure di rimedio necessarie a rafforzare la protezione;
  • il monitoraggio: è la fase volta a pianificare la implementazione ed il monitoraggio delle misure adottate a protezione.

Tale processo può ben essere applicato anche a tutela dei segreti aziendali.

Vediamo come.

L’assessment

Anzitutto, ogni soggetto che voglia tutelare le proprie informazioni industriali dovrà adottare un processo e fare un inventario di tutti i segreti aziendali che intenda proteggere e delle misure adottate a protezione, tenendo in conto lo stato dell’arte (avanzamento tecnologico), i costi di attuazione (delle misure di sicurezza), la natura, l’oggetto, il contesto e le finalità del trattamento dei dati, nonché il rischio di varia probabilità e gravità.

In particolare, nel valutare l’adeguato livello di sicurezza, si dovranno tenere in conto i rischi che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, dei segreti aziendali.

È quindi importante effettuare una specifica analisi del rischio dei segreti aziendali, al fine di garantire un livello di sicurezza adeguato al rischio.

La remediation: i principi

Completata la fase dell’assessment e così individuati i segreti, gli impatti e i rischi per la loro violazione, nonché le misure esistenti, ogni azienda sarà quindi in grado di effettuare la propria Gap Analysis in modo da identificare le misure ulteriori di rimedio necessarie a proteggere in concreto e meglio i segreti e pianificarne la relativa implementazione.

Tra le misure da adottare possono farsi rientrare, a detta della giurisprudenza in materia di segreti industriali, quelle:

  • endoaziendali: ossia strumenti di ostacolo “concreto” (mobili chiusi a chiave, badge, casseforti ecc.) e le misure volte a proteggere la documentazione digitale e le reti telematiche (password, chiavi di rete, firme digitali, algoritmi di cifratura ecc.);
  • esoaziendali: ossia le prassi concernenti i rapporti dell’azienda con soggetti esterni (fornitori, clienti, consulenti etc.) con cui la stessa condivida informazioni per natura segrete.

Ma in concreto le aziende quali misure possono implementare per garantire la sicurezza dei segreti aziendali?

La remediation: la pratica

Mancando una disciplina ad hoc, le misure possono essere mutuate in analogia dalla normativa Cybersecurity e dal GDPR sopra citati.

In particolare, i soggetti che debbono proteggere i propri segreti possono adottare misure adeguate al segreto in esame e precisamente possono essere considerate:

  • misure organizzative mutuate dalla Cybersecurity volte a garantire:
  1. la sicurezza fisica e dell’ambiente: disponibilità di una serie di misure volte a proteggere le reti e i sistemi informativi dai danni attraverso un risk-based global approach (es. in previsione di errori di sistema, gli errori umani, gli atti dolosi o i fenomeni naturali);
  2. la sicurezza delle forniture: definizione e il mantenimento di politiche adeguate al fine di assicurare l’accessibilità e, se del caso, la tracciabilità delle forniture critiche utilizzate nella prestazione dei servizi;
  3. i controlli dell’accesso alle reti e ai sistemi informativi: disponibilità di una serie di misure per assicurare un accesso fisico e logico alle reti e ai sistemi informativi (inclusa la sicurezza amministrativa di tali reti e sistemi) autorizzato e limitato sulla base di esigenze aziendali e di sicurezza;
  • misure organizzative mutuate dal GDPR volte a garantire:
  1. la regolazione dei flussi di risorse, anche a livello umano, mediante l’adozione di procedure interne e di un adeguato modello organizzativo;
  2. l’adozione di procedure di gestione dei rischi e di segnalazione degli incidenti;
  3. la formazione del personale.
  • misure tecniche mutuate dalla Cybersecurity e dal GDPR, tra cui:
  1. le misure di privacy by design, pseudo-anonimizzazione, patching, logging;
  2. le misure volte a garantire capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento (ovvero, anche la capacità del sistema di resistere e reagire);
  3. le procedure per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento;
  4. il controllo degli accessi alle postazioni PC, nonché ad altri terminali, mediante username e password per ogni singolo operatore che gestisca segreti industriali;
  5. la riservatezza delle username e password devono essere riservati, che non vanno scritti su carta e collocati a vista presso la postazione PC, sono personali e non cedibili a nessuno;
  6. la custodia della password che deve essere cambiata periodicamente, deve essere “complessa” e non va ceduta a nessuno;
  7. le soluzioni di crittografia per gli archivi elettronici;
  8. la replica delle stesse misure di sicurezza sui terminali mobili (smartphone, tablet ecc.).

Il monitoraggio

In ultimo, completata la fase della remediation, occorre pianificare il monitoraggio.

Le aziende dovranno quindi attribuire l’attività di verifica della efficienza e bontà delle misure adottate a protezione dei segreti, calendarizzarla e documentarla con appositi audit e check-list di dettaglio.

A tal fine, potrà essere utile anche in questo caso ispirarsi alle soluzioni di monitoring previste dalla normativa cyber security e dal GDPR, che prevedono che l’attività in commento debba essere regolata con procedure adeguate, attribuita a funzioni dedicate (comitati, funzione di compliance, OdV) e soggetta ad appositi audit periodici.

Considerazioni finali

In conclusione, appare evidente come le aziende abbiamo svariati strumenti per applicare un processo di protezione dei segreti aziendali.

In particolare, adeguate misure possono essere rinvenute nelle norme in tema cyber security e di dati personali, che insegnano – per il proprio ambito di competenza – un processo che le aziende possono usare non solo per proteggere reti, sistemi e dati, ma anche per proteggere al meglio il proprio know how.

Di conseguenza, le aziende – che già abbiano avviato o stiano avviando un processo di allineamento alle norme citate – possono con facilità far economia dell’investimento fatto e sfruttarlo anche per garantire la protezione più adeguata del know how aziendale.

O, in alternativa, le aziende che si approccino per la prima volta al tema possono adottare misure a tutela del know how aziendale e sfruttarle anche per la protezione di dati e sistemi.

Con relativo miglior uso degli investimenti economici fatti che verranno così sfruttati anche a favore di una maggiore protezione dell’asset immateriale del segreto aziendale.

WHITEPAPER
Previeni i difetti di sicurezza nelle applicazioni: la soluzione in 5 punti
Sicurezza
Software
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr