SOLUZIONI DI SICUREZZA

Tecniche di hardening delle applicazioni Web: session management e controllo degli accessi

Le applicazioni Web si innestano in uno spazio cyber, dematerializzato, incontrollabile e intrinsecamente esposto a malintenzionati: è dunque necessario introdurre metodologie e tecniche di rafforzamento del session management e del controllo degli accessi per impedire eventuali usi illeciti delle web app

07 Lug 2020
S
Manuela Sforza

Cyber Security Analyst

Nella moderna società digitale, le applicazioni e i siti web costituiscono la nuova “appendice” dell’individuo, lo strumento attraverso il quale egli realizza ogni azione e interazione quotidiana: per questo motivo, due tra le più importanti strategie di hardening (rafforzamento) delle applicazioni web riguardano la gestione della sessione (session management) tra la piattaforma e l’utente e il conseguente controllo degli accessi.

Tecniche di hardening delle applicazioni Web: il contesto tecnologico

Le piattaforme online sono frequentate con sempre maggiore fiducia da parte degli utenti e dei consumatori, le funzionalità si espandono, coprono ogni aspetto della vita sociale, contatti, bisogni, urgenze, soddisfano ogni tipo di necessità; ad uno sguardo sociologico attento, tuttavia, non può sfuggire un dettaglio importante e sostanziale: le applicazioni web si innestano in uno spazio cyber, dematerializzato, invisibile, incontrollabile e intrinsecamente esposto a malintenzionati.

WHITEPAPER
GUIDA PRATICA contro il Phishing: scopri come tutelare la tua azienda!
CIO
Cybersecurity

La presa d’atto dell’evoluzione dell’ecosistema sociale, dall’interazione faccia a faccia alla cyber società, comporta quindi la messa in campo di metodologie e tecniche di rafforzamento (hardening) dei siti e delle web application, al fine di realizzare una barriera robusta tra l’utilizzo lecito della piattaforma e qualsiasi altro uso improprio o illecito.

I siti web comunicano attraverso il protocollo HTTP che si basa su una logica di tipo request-response: il client dell’utente (browser) chiede una risorsa dell’applicazione e il server risponde nel modo opportuno, concedendo l’accesso alla risorsa o meno, a seconda delle caratteristiche del client.

Il punto cruciale è che il protocollo HTTP è stateless, cioè senza memoria, dunque tecnicamente le varie richieste dell’utente pervengono al backend come “monadi” singole, non integrabili in un contesto organico che consenta al server il riconoscimento dell’identità del client stesso.

Questa caratteristica, che poteva essere “tollerata” nell’era “arcaica” del web, in cui le pagine statiche non facevano altro che mettere a disposizione contenuti testuali, è inadeguata al giorno d’oggi, quando e nella misura in cui le applicazioni consentono funzionalità avanzate, dinamiche, multimediali, in cui prevale la dimensione della personalizzazione, del mantenimento di uno “storico” del comportamento di navigazione e, non ultima, la necessità di monitoraggio dei log anche ai fini probatori.

Tecniche di hardening delle applicazioni Web: il session management

Il meccanismo della sessione consiste quindi nel creare un gruppo unitario di interazioni tra il client e il server, in un certo intervallo temporale di riferimento, all’interno del quale siano valide le scelte, le preferenze, i comportamenti (tracciati dall’applicazione attraverso variabili) espresse dall’utente e non sia necessario ripeterle.

Da un punto di vista rilevante per la cyber security, la sessione è lo “scope”, l’ambito di validità dei parametri sottoposti al server dal client, dunque una corretta politica di gestione della sessione, il cosiddetto session management, è un requisito da cui non si può prescindere, specie se l’accesso ai dati del sito richiede autenticazione.

Ad un livello generale e prima di prendere in considerazione le modalità tecniche di gestione della sessione, il tipico errore che viene commesso è di estendere l’intervallo temporale di validità della sessione in maniera non necessaria e incontrollata: in assenza di una decisione esplicita di logout, se l’utente utilizza il browser per accedere ad altri siti, l’account dell’utente diventa vulnerabile, durante tutto questo intervallo di tempo non necessario, ad attacchi Cross Site Request Forgery, che sfruttano proprio la “fiducia” che il server ripone sui parametri (manipolati dall’attaccante) e dunque su quanto gli viene proposto da un client che, dal suo punto di vista, risulta dotato di sessione valida.

Le vulnerabilità del session management

Più nel dettaglio, le vulnerabilità connesse al session management sono sostanzialmente classificabili in due grandi categorie:

  1. la debolezza nella generazione dei token di sessione, spesso veicolati attraverso cookie;
  2. la debolezza dei meccanismi di mantenimento della sicurezza di questi token (pensiamoli come delle stringhe), durante il loro ciclo di vita.

Con riguardo al primo punto, non è raro imbattersi in token che sono generati semplicemente trasformando, codificando, o mescolando parametri trasmessi dal client durante il login e dunque, una volta individuato il tipo di “camuffamento” implementato dalla logica applicativa, facilmente individuabili e riproducibili con attacchi brute force, ad esempio:

  • lo username
  • l’ID numerico dell’utente
  • nome e cognome dell’utente proprietario dell’account
  • l’indirizzo mail
  • il timestamp del login
  • la pagina richiesta

In questo modo, un token apparentemente sicuro:

dXNlcj1tYW51ZWxhO3VybD0vYWRtaW4vdG9vbHMvdXBsb2FkcztkYXRlPXRvZGF5

decodificato in base64, potrebbe rivelare le seguenti informazioni:

user=manuela;url=/admin/tools/uploads;date=today

utilissime per un attaccante che voglia sniffare un token di una sessione, magari privilegiata, con un semplice attacco brute force automatizzato.

Una volta individuato il cookie di sessione e sostituito il token, sarà possibile sostituirsi all’utente legittimo ed operare con le funzionalità back end previste per quel profilo utente.

Spesso poi gli amministratori godono di funzionalità di upload e di esecuzione di script direttamente sul server: il passo dall’hacking dell’applicazione alla shell su server e poi all’escalation dei privilegi può essere un gioco da ragazzi.

Un’altra vulnerabilità connessa ai meccanismi di generazione dei token riguarda la loro prevedibilità: se nell’algoritmo di “assemblaggio” della stringa si utilizzano funzioni random standard e conosciute, oppure sequenze di caratteri sottoposte a particolari pattern, disponibili in librerie dei comuni linguaggi di programmazione, regolarità e dipendenze correlate agli intervalli temporali, la sicurezza della sessione sarà seriamente esposta ad attacchi automatizzati finalizzati al riconoscimento e all’identificazione di questi schemi standard.

Se il sistema implementa tecniche di cifratura o di hashing della stringa ottenuta, sarà inoltre necessario ricorrere ad algoritmi robusti, considerando che un hash MD5 su una stringa di 47 caratteri è invertibile nel giro di qualche secondo.

Con riferimento invece alla seconda categoria di vulnerabilità, cioè la debolezza nella gestione del ciclo di vita del token, un grande errore è quello di pensare che trasmettere il token “in chiaro” sia tollerabile, qualora si abbia cifratura del canale di trasmissione (TLS e HTTPS). In effetti, è possibile intercettare i token anche in presenza di canale di trasmissione criptato se:

  • il sito mantiene alcune pagine (la home, ad esempio, prima del login e quelle ritenute erroneamente meno “sensibili”) in HTTP;
  • se il cookie HTTP che trasmette il token non ha l’attributo “secure”, che previene la trasmissione su connessioni con criptate;
  • se il token di sessione viene generato prima del form di login in HTTPS (quindi del cookie di autenticazione) e la home è in HTTP;
  • se il token è registrato in file di log, a qualsiasi livello: browser, server, proxy;
  • se il token viene replicato sul campo Referer dell’header HTTP.

Applicazioni Web e session management: le sessioni multiple

Un’altra fonte di criticità emerge quando la logica dell’applicazione consente la coesistenza di sessioni multiple dello stesso utente: in presenza di un desiderabile meccanismo di tracciatura e monitoraggio di eventi anomali sul back end, questo comportamento facilita enormemente la vita dell’eventuale attaccante che può impadronirsi di una delle sessioni senza essere rilevato dai sistemi antintrusione.

Correlata alla precedente è la vulnerabilità legata all’utilizzo di token di sessione statici, uniti alla funzione “Ricordami”: se il token che identifica il client non cambia e viene memorizzato in cookie persistenti all’interno del browser dell’utente si aumenta considerevolmente il perimetro di rischio perché la superficie di attacco si estende al dispositivo client, al browser e agli altri siti visitati.

Conclusioni

Concludendo la rassegna sulle principali criticità dei meccanismi di gestione della sessione, la sicurezza dell’intera infrastruttura dipende da pochi necessari accorgimenti:

  1. utilizzare algoritmi forti di generazione dei token, che costruiscano la stringa utilizzando un certo grado “di entropia” e parametri non usuali (ad esempio numeri pseudo-random uniti a liste di dati in ordine non sequenziale, combinati con timestamp in millisecondi);
  2. circoscrivere l’intervallo temporale di validità della sessione al minimo indispensabile e generare nuovi token davanti a richiese di accesso a risorse sensibili (la cosiddetta politica del “per page token”);
  3. prestare la massima attenzione alla sicurezza di tutto il ciclo di vita del token analizzando nel dettaglio la risposta dell’applicazione ad ogni specifica funzionalità prevista, anche sottoponendo input non prevedibili (fuzzing) per isolare eventuali comportamenti anomali da cui derivi esfiltrazione non voluta del token di sessione;
  4. evitare l’utilizzo di token statici, non consentire la funzione “Ricordami” e prevedere un pulsante di logout sempre visibile;
  5. evitare sessioni multiple;
  6. effettuare test di vulnerabilità sull’applicazione, specie con riguardo alla minacci del Cross Site Scripting (e al CSRF).

WHITEPAPER
CYBERSECURITY: le migliori strategie per la tutela e la continuità dei servizi IT
Sicurezza
Cybersecurity
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
Salute digitale
Formazione
Analisi
Sostenibilità
PA
Sostemibilità
Sicurezza
Digital Economy
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr