LA GUIDA PRATICA

Tecniche OWASP per la qualità del codice: cosa sono e chi deve applicarle, alla luce del GDPR

Le tecniche OWASP per la qualità del codice sono annoverate tra le best practice nell’ambito della prevenzione di vulnerabilità di sicurezza e, se applicati correttamente, possono ridurre di il rischio di data breach causati da incidenti informatici favoriti dalla scarsa qualità del codice di software e applicazioni. Ecco cosa sono e chi deve applicarle, anche nel rispetto del principio di privacy by design del GDPR

23 Mar 2020
B
Daniele Berardo

Argo Business Solutions Co-Founder & Digital Security Specialist

Anche il software e gli applicativi mediante i quali vengono trattati dati personali devono essere conformi ai principi di privacy by design: in questi casi, una delle “garanzie” che viene sovente individuata è l’effettuazione e la documentazione delle tecniche e dei cosiddetti controlli OWASP per la qualità del codice.

Tecniche OWASP per la qualità del codice e GDPR

A conferma di ciò è sufficiente un’attente lettura del GDPR. Il Regolamento UE 2016/679 relativo alla privacy e alla protezione dei dati personali, infatti, fra i vari adempimenti richiede alle organizzazioni rispettare il principio della “privacy by design” o di “protezione dei dati fin dalla progettazione”.

WHITEPAPER
Certificazioni GDPR: tutti i vantaggi per le organizzazioni che vi aderiscono
Legal
Privacy

Citando l’art. 25 comma 1 del GDPR: “Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati”.

In pratica, i titolari del trattamento non dovrebbero introdurre nuove operazioni di trattamento o lanciare sul mercato servizi se questi non risultano, fin dalla progettazione, conformi alle disposizioni in materia di privacy e data protection.

Per questo motivo, sempre più organizzazioni che esternalizzano la realizzazione di software o affidano a terzi trattamenti informatici di dati personali, richiedono ai loro fornitori e responsabili del trattamento adeguate garanzie sulla sicurezza degli applicativi come, appunto, quelle fornite dai controllo OWASP.

Anche l’AGID, l’Agenzia per l’Italia Digitale, al fine di rilasciare alle aziende le qualificazioni per SaaS (Software as a Service) e CSP (Cloud Service Provider), necessarie a offrire servizi informatici alle pubbliche amministrazioni, richiede agli attuali (o futuri) fornitori della PA di eseguire i controlli OWASP sul codice.

Da qui l’attenzione sempre crescente verso il framework OWASP e tutti i tool che stanno facendo il loro ingresso sul mercato per aiutare sviluppatori e manager nella verifica della stabilità e sicurezza dei software, oltre che diffondere una cultura che stenta a diventare un pilastro nella continua evoluzione dell’informatica.

Cos’è l’OWASP e qual è il suo scopo

L’Open Web Application Security Project è un progetto open-source nato nel 2001 con lo scopo di diffondere la cultura della qualità del codice nelle fasi di sviluppo di un software. Negli anni, la community OWASP ha prodotto articoli, metodologie, documenti e tool per supportare gli sviluppatori nella realizzazione di software e applicazioni sicure.

Recentemente, l’OWASP ha indicato le 10 principali minacce che possono comprometterne la sicurezza. Tra le più importanti compare la famiglia delle “code injection” (SQL Injection, LDAP injection o CRLF injection) ovvero quando l’attaccante tenta di forzare l’inserimento di stringhe di codice eseguibile all’interno dell’applicativo.

Tutti possono accedere al materiale messo a disposizione dal sito ufficiale. La Community OWASP ha redatto delle linee guida per lo sviluppo sicuro degli applicativi web, grazie alla collaborazione di moltissimi professionisti del settore.

I controlli OWASP sul codice sono annoverati tra le best practice riconosciute a livello internazionale nell’ambito della prevenzione di vulnerabilità di sicurezza e, se applicati correttamente, possono ridurre di considerevolmente il rischio di data breach (violazioni dei dati) causati da eventuali incidenti informatici favoriti dalla scarsa qualità del codice di software e applicazioni.

L’adozione dei controlli OWASP però, oltre a essere considerata una best practice facoltativa, in alcuni contesti sta progressivamente diventando un requisito obbligatorio. L’entrata in vigore del GDPR ha accelerato questo processo.

L’OWASP pubblica e aggiorna periodicamente una guida ai controlli sul codice dalla metà degli anni 2000. La guida è giunta alla versione 4 (pubblicata nel 2014), ma il gruppo di volontari, composto da decine di specialisti di programmazione e cybersecurity, sta lavorando alla versione 5 (è possibile trovare maggiori informazioni e seguire gli aggiornamenti all’indirizzo su GitHub).

Quali sono i principi dell’OWASP

Entriamo nel dettaglio cercando di analizzare tutti i principi che propone il framework OWASP. Partendo da quello che forse è il più banale ma più importante, ovvero che la sicurezza è un processo, complesso e costante nel tempo, e non un prodotto.

È sicuramente molto comodo sia per una questione di costi che per una semplificazione del processo, pensare che uno scanner di vulnerabilità e un firewall garantiscano una efficace e rapida protezione contro la quasi totalità delle vulnerabilità.

Così non è. Infatti, i software utilizzati per i vulnerability assessment sono soltanto il primo gradino di una scala che va percorsa in tutta la sua profondità per garantire livelli di sicurezza adeguati.

L’OWASP propone la sostituzione del vecchio concetto di correzione della singola vulnerabilità tramite patch, senza andare ad indagare approfonditamente la causa di quella vulnerabilità. La sicurezza viene analizzata ed integrata nel ciclo di vita del software (SDLC – Software Development Life Cycle) per evitare il propagarsi e ripetersi di vulnerabilità all’interno di un’applicazione.

Integrare l’analisi della sicurezza nell’SDLC ci collega ad un altro principio dell’OWASP e del buon senso, ovvero che scovare un bug all’inizio del ciclo di vita del software permette una soluzione più rapida e meno costosa lavorando ad un livello di complessità inferiore (test early and test often).

La domanda, a questo punto, nasce spontanea: se non esiste lo strumento universale per trovare le vulnerabilità, cosa si deve utilizzare?

Esistono moltissimi prodotti, commerciali e open source, che possono aiutare lo specialista ad automatizzare moltissime attività e velocizzarle. In questo contesto è importante capire esattamente cosa possono e non possono fare i singoli strumenti scelti per evitare che vengano utilizzati in modo errato o incompleto. È importante, utilizzando diversi software e strumenti, tenere traccia dei risultati e dei test effettuati per sviluppare delle metriche che permettano allo specialista di tracciare la tendenza al miglioramento della sicurezza dell’applicazione analizzata.

La metrica deve permettere allo specialista o al team coinvolto nelle analisi di verificare che il numero delle vulnerabilità scende proseguendo nelle analisi. Il progetto OWASP Metrics fornisce alcune metriche standard per supportare il processo di analisi senza arenarsi nel difficile compito di ricavare delle metriche personalizzate da zero.

Se le metriche aiuteranno a verificare il costante miglioramento della salute del software in tutto il ciclo di sviluppo, la documentazione dei risultati dei test passo per passo, permetterà di tenere traccia di tutte le verifiche effettuate e di condividere con tutti gli attori coinvolti nello sviluppo lo stato dell’arte delle verifiche di sicurezza.

Le tecniche OWASP per la qualità del codice: programma di test

L’obiettivo di questo articolo non è e non può essere sicuramente quello di entrare nel dettaglio degli 87 controlli indicati nella versione 4 della guida OWASP e che verranno ulteriormente incrementati con l’uscita della nuova versione.

Lo scopo è infatti è quello di fornire al lettore alcuni dettagli su cosa sia il framework OWASP, riportando una panoramica su quattro tecniche di test che possono essere utilizzate nella costruzione di un processo di verifica della qualità del codice.

  • Manual Inspections & Reviews. Le Manual Inspections & Reviews sono condotte utilizzando la documentazione a supporto del software o coinvolgendo direttamente gli sviluppatori e gli ideatori della struttura architetturale del software. La tecnica prevede la raccolta di informazioni su processi, servizi e tecnologie utilizzati, ai fini di quantificare la probabilità che emergano problemi di sicurezza ed effettuare i relativi controlli. Tale tecnica è importante per comprendere a fondo se le persone coinvolte nello sviluppo hanno compreso e implementato il processo di sicurezza durante la progettazione e lo sviluppo del software. Tra i vantaggi di questa tecnica si considera il fatto che non richieda un programma a supporto, può essere applicata a varie situazioni ed è particolarmente flessibile. Coinvolge tutto il team e si effettua tendenzialmente già all’inizio del ciclo di vita dello sviluppo del software con tutti i vantaggi che comporta l’approccio del “test early test often”, di cui abbiamo parlato in precedenza. Sicuramente alcuni dei punti deboli di tale tecnica sono dati dal fatto che l’implementazione richiede molto tempo, non sempre il materiale a supporto (manuali, commenti, schemi) è disponibile e l’inesperienza di chi conduce le verifiche può portare all’inefficacia delle stesse.
  • Modellazione delle minacce. La modellazione si pone come obiettivo quello di aiutare i progettisti a pensare quali possano essere le minacce che le loro applicazioni potrebbero dover affrontare. Può essere vista come una valutazione del rischio per le applicazioni. Il consiglio, anche in questo caso, è di sviluppare un modello di minacce ad inizio SDLC, seguendo preferibilmente l’approccio proposto dallo standard NIST 800-30 (National Institute of Standard and Technology) che prevede:
  1. la scomposizione dell’applicazione tramite verifica manuale del codice per comprendere il funzionamento del sistema e le sue sotto funzionalità;
  2. la definizione e classificazione delle risorse suddividendole in beni materiali e immateriali e classificandole per importanza aziendale;
  3. valutare tutte le potenziali vulnerabilità, tecniche, operative e gestionali;
  4. valutare le potenziali minacce mettendosi dal punto di vista del potenziale attaccante del sistema;
  5. creare una strategia di mitigazione del rischio, sviluppando controlli per attenuare le minacce ritenute realisticamente probabili dopo gli step di analisi precedenti.

La guida OWASP delinea la metodologia di modellazione delle minacce seguendo i passaggi del NIST e può essere utilizzata come modello di riferimento per testare le applicazioni informatiche.

  • Source Code Review. Per revisione del codice si intende il processo di verifica manuale del codice sorgente di un’applicazione alla ricerca dei problemi di sicurezza. Moltissime tipologie di vulnerabilità non possono essere riscontrate con gli altri metodi. Tutti gli specialisti in sicurezza informatica sono concordi nell’affermare che non vi è nessuna tecnica migliore del cercare di identificare direttamente nel codice sorgente le vulnerabilità. Tramite l’analisi del codice sorgente, il tester esamina ogni singola riga di codice del software e classifica con precisione ogni eventuale tipologia di vulnerabilità riscontrata. Esempi di vulnerabilità difficili da riscontrare con le altre tecniche, ma che possono essere individuate con la source code review sono ad esempio i problemi di concorrenza delle risorse, problemi sulla crittografia e problemi di controllo degli accessi; i trojan o gli easter egg, i malware o altre tipologie di codice dannoso. Sicuramente è una tecnica di analisi particolarmente completa e approfondita e veloce, che richiede però specialisti di sicurezza altamente qualificati entrando molto nello specifico della singola linea di codice sorgente.
  • Il penetration testing. Il penetration testing (o pentesting) di un applicativo è una tipologia di tecnica attiva attraverso la quale Il tester tenta di forzare l’accesso allo stesso, simulando un attacco da parte di un hacker (da qui il termine ethical hacker o white hacker) e mettendo il sistema sotto stress. Esistono due principali categorie di pentesting:
  1. Il whitebox test. Il tester dispone delle credenziali di un normale utente (quindi non credenziali da amministratore) e ha il compito di capire fino a dove un normale utente ha la possibilità accedere a sezioni dell’applicazione al di fuori dei permessi garantiti alla sua tipologia di utenza o sezioni non ad accesso pubblico;
  2. Il blackbox test. Il tester non è in possesso di alcuna informazione se non l’url dove è pubblicato l’applicativo. È a carico del tester riuscire ad accedere all’applicazione sfruttando tutte le tecniche possibili per acquisire anche le credenziali e forzare l’accesso (ad esempio con attacchi di tipo brute force). Le credenziali possono essere recuperate direttamente o con tecniche di social engineering, scam o phishing, inducendo in errore l’utente che fornirà direttamente a sua insaputa le credenziali all’attaccante.

Nello svolgimento dei pentest, il tester ha il compito di sfruttare tutte le falle che rendono vulnerabile la sicurezza dell’applicativo. Dal momento che gli applicativi vengono utilizzati in specifici ecosistemi (es. sistemi operativi) o si appoggiano a funzioni e risorse esterne (es. database o web server), il tester può utilizzare le sue conoscenze per sfruttare eventuali falle dei sistemi e dei servizi che dialogano con esso per effettuare un accesso fraudolento simulato.

Conclusioni

Per concludere, tutte le organizzazioni che si occupano di sviluppo software e applicativi non possono più prescindere dal conoscere e padroneggiare le tecniche e i controlli OWASP. In particolar modo, se le soluzioni software progettate da tali società sono poi vendute a grandi player o a pubbliche amministrazioni.

In ogni modo, parafrasando Eoin Keary, membro dell’OWASP Global Board, se anche le piccole realtà e gli sviluppatori freelance conoscessero e applicassero le tecniche OWASP, “il mondo sarebbe un luogo dove i software non sicuri sarebbero l’anomalia e non la norma”. E in un mondo del genere, i rischi di violazione dei dati (data breach) sarebbero notevolmente ridotti, con enormi benefici per i diritti e le libertà delle persone.

WHITEPAPER
Migrare l'ERP nel cloud pubblico: scopri la strada verso una maggiore sicurezza
Cloud
ERP
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
Salute digitale
Formazione
Analisi
Sostenibilità
PA
Sostemibilità
Sicurezza
Digital Economy
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr