DATA PROTECTION

Violazioni, sottrazioni e perdita di dati: analisi delle cause con la tecnica dei “cinque perché”

Le aziende investono in strumenti informatici per mettersi al riparo dalle violazioni, per poi scoprire che il numero di violazioni nel corso degli anni non è diminuito: ciò accade perché spesso si affidano a tecniche di analisi della gestione del rischio non appropriate per identificare la “vera” causa del problema

17 Mar 2021
R
Paolo Rabaioli

Consulente privacy - Data Protection Officer

S
Claudio Solera

Privacy Specialist - Data Protection Officer

Secondo il recente report annuale pubblicato da Ponemon.org, nel corso del 2020 ben l’80% delle violazioni ha riguardato i dati identificativi delle persone. Ciascun record di database compromesso che conteneva dati personali identificativi è costato all’azienda vittima della violazione 150 dollari, e sono stati necessari 280 giorni per identificare e contenere una violazione dei dati.

Il settore sanitario risulta essere il più colpito registrando anche i costi più alti per risolvere le violazioni sui dati. Mediamente, i costi si aggirano sui 7,13 milioni di dollari per violazione con un incremento del 10,5% rispetto al 2019.

Altro dato importante di cui tenere conto riguarda il fattore umano che è una delle tre principali fonti di violazioni oltre alle cause organizzative e quelle strumentali.

Esistono metodologie e tecniche affidabili, tra cui la 5 Whys (la tecnica dei cinque perché), per eseguire una corretta Root Cause Analysis che può aiutare ad individuare appunto la “vera” causa principale della violazione e più in generale della non conformità.

Metodologia Root Cause Analisys e tecnica dei 5 Whys

La Root Cause Analysis o RCA è una metodologia molto efficace per aiutare le persone a trovare una risposta sulla causa “principale” per cui un problema si è verificato.

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati

Tale strumento ci garantisce di comprendere appieno come risolvere, compensare o imparare da eventuali problemi sottostanti all’interno della causa principale, detta causa radice.

Ciò in futuro ci aiuterà a prevenire sistematicamente l’accadimento di problemi.

All’interno di un’organizzazione, la risoluzione dei problemi, le indagini sui problemi e l’analisi delle cause principali sono collegati da tre domande fondamentali:

  1. Qual è il problema?
  2. Perché è successo?
  3. Che cosa sarà fatto per evitare che accada di nuovo?

La maggior parte delle organizzazioni usa erroneamente il termine “causa principale” per identificare una sola singola causa principale. Concentrarsi però solamente su una singola causa, come vedremo più avanti, può limitare il set di soluzioni, rischiando in questo modo l’esclusione di soluzioni valide. Proprio per questo motivo la Root Cause Analysis tiene conto delle seguenti 3 tipologie di cause:

  1. Cause fisiche: sono le cause tangibili, gli oggetti materiali che hanno fallito in un qualche modo.
  2. Cause umane: le persone hanno fatto qualcosa di sbagliato o non hanno fatto qualcosa di necessario. Le cause umane in genere portano a cause fisiche.
  3. Cause organizzative: si intende un sistema, un processo o una politica che le persone utilizzano per prendere decisioni o fare il proprio lavoro in modo errato. Ad esempio, la mancata definizione di compiti di manutenzione porta alla circostanza che nessuno è formalmente responsabile della manutenzione, ma, erroneamente, si presume che qualcuno comunque esegua l’intervento di manutenzione.

La tecnica dei cinque perché

Per ottenere una Root Cause Analisys efficace, tra le molte tecniche a disposizione quella che si presta di più allo scopo è senza dubbio la tecnica dei 5 Whys (o dei cinque perché). Questa tecnica è stata sviluppata da Sakichi Toyoda presso Toyota per determinare la causa principale, e la soluzione, a qualsiasi problema dato nel processo di produzione. La tecnica è stata successivamente presa in prestito da programmatori, amministratori di sistema e dirigenti.

La tecnica dei 5 Whys utilizza una serie di domande per raggiungere la causa principale di un problema. L’idea di base è che ogni volta che ci poniamo “perché”, la risposta diventa la base del prossimo “perché”.

È un semplice strumento utile per problemi in cui non si ha necessità di statistiche avanzate, quindi non necessariamente per problemi complessi.

Potrebbe essere necessario chiedersi “perché” più di cinque volte per risolvere il problema: il punto è quello di rimuovere i problemi a livello di superficie per arrivare alla causa principale; indagare per almeno cinque livelli è un’opportunità per ottenere un buon numero di informazioni, spunti e riferimenti.

Le premesse fondamentali per l’applicazione dell’indagine sono:

  • che esista la consapevolezza dell’importanza del ruolo e dell’indagine; è pertanto importante l’attività di formazione in tal senso, verso le risorse coinvolte;
  • che sia attivo un sistema di rilievo attraverso audit eseguiti con modalità differenti e condotti da vari soggetti aziendali, con o senza pianificazione;
  • disponibilità della segnalazione; non si può indagare su qualcosa che non è rilevato o riferito/riportato;
  • disponibilità di un canale di comunicazione, ecc.; è possibile ricorrere anche a report anonimi (predisporre sistemi di segnalazione riservati, come ad esempio la cassetta delle segnalazioni e dei suggerimenti).

Come condurre un’indagine per individuare la causa delle violazioni dati

Ecco uno schema che può agevolare nella conduzione dell’indagine attraverso sei step:

  • focalizzare l’attenzione sull’evento
  1. qualcosa è accaduto o poteva accadere;
  2. qualcosa è stato rilevato di anomalo/critico durante audit;
  3. qualcosa è stato rilevato di anomalo/critico durante normale presenza presso aree di lavoro;
  4. qualcosa di anomalo/critico è stato riferito (anche in forma anonima o tramite i canali di comunicazione).
  • per l’indagine:
  1. coinvolgere i soggetti che possono dare il maggior contributo e ricevere gli effetti positivi della sensibilizzazione;
  2. lavorare in squadra o in più soggetti per capire più velocemente cosa ha portato all’evento, quali soluzioni adottare ed eliminare eventuali pregiudizi;
  3. ricostruire l’intera catena che ha portato all’incidente/evento/oggetto di rilievo.
  • compilazione del report
  1. uno solo guida la formalizzazione utilizzando il modulo di rapporto per l’indagine dell’incidente.
  • analisi delle cause e identificazione delle azioni
  1. l’output dell’indagine consiste nell’identificazione delle cause ultime e nell’identificare gli input migliori per risolvere la criticità ed evitare che si verifichi ancora l’evento che ha determinato la necessità di indagine.
  • verificare l’efficacia dell’azione;
  • valutare eventuali benefici ottenuti.

Applicazione dei cinque perché alle principali cause di perdita di dati

Confrontando i dati della ricerca di Ponemon con i dati raccolti da altre organizzazioni come Verizon, Wombat’s e Netwrix emerge che:

  • il phishing;
  • l’accesso ai dispositivi aziendali a utenti “non autorizzati”;
  • la gestione debole delle password;
  • la cattiva gestione dei privilegi assegnati agli account;
  • l’Invio di e-mail ai destinatari sbagliati;

sono tra le cinque cause più diffuse che generano violazione, sottrazione e perdita dei dati.

Le aziende tendono a mitigare il rischio implementando soluzioni tecnologiche; ma siamo sicuri che questa sia la strada corretta? Se adottiamo una metodologia non appropriata, infatti, si potrebbe essere tentati, nell’etichettare questi eventi come cause di “origine materiale”, ma è proprio così come sembra a prima vista?

Applicazioni pratiche della tecnica dei cinque perché

Proviamo dunque di seguito ad analizzare cinque case study reali, che per ovvii motivi non sveleremo le identità aziendali, provando ad impiegare la tecnica dei cinque perché.

Il phishing

Il phishing è quando un truffatore invia e-mail maligne che sembrano provenire da una fonte attendibile al fine di indurre le vittime a rivelare informazioni personali. Il phishing rappresenta il 93% delle violazioni e l’e-mail è il vettore di attacco più comune.

Problema: il giorno 28 febbraio 2020 il team della sicurezza informatica dell’azienda ALFA s.r.l. identifica un attacco di phishing avvenuto tramite gli account postali. Sono stati violati gli accessi al database dei pazienti e sono stati sottratti dati sensibili e identificativi di 750 ospiti.

  • Primo perché: perché sono stati violati i dati di 750 pazienti? Perché il dipendente “Mario Xyz” ha ricevuto una e-mail di phishing che conteneva un avviso di scadenza password per il suo account aziendale.
  • Secondo perché: perché il dipendente “Mario Xyz” ha ricevuto una e-mail di phishing? Perché il sistema dei certificati SSL non è stato configurato correttamente dal reparto IT.
  • Terzo perché: perché il sistema dei certificati SSL non è stato configurato correttamente? La configurazione del sistema anti-phishing risale a tre anni fa e da allora non è più stato aggiornato.
  • Quarto perché: perché il sistema antipishing non è più stato aggiornato da tre anni? Perché la risorsa che si occupava dell’aggiornamento è andata in pensione e non è più stata rimpiazzata.
  • Quinto perché: perché non è stato nominato un nuovo responsabile o la responsabilità non è stata attribuita ad un’altra risorsa? Perché manca un processo dettagliato.

Azione di miglioramento: La Direzione per evitare che il problema si ripresentasse in futuro ha provveduto ad aggiornare la politica anti-pishing andando a ridefinire il processo assegnando ruoli e responsabilità nel team della sicurezza informatica. La Direzione ha inoltre deciso di eseguire periodicamente test di simulazione di phishing per verificare se la formazione è stata efficace e i dipendenti seguono le politiche di sicurezza delle informazioni, identificando gli utenti ad alto rischio che hanno maggiori probabilità di fare “clic” su collegamenti dannosi.

Accesso ai dispositivi aziendali a utenti “non autorizzati”

Il 55% dei dipendenti consente ad amici e parenti di accedere ai dispositivi forniti dal datore di lavoro a casa. Questo è un segno di scarsa consapevolezza della sicurezza informatica, poiché l’amico o il familiare possono accedere a dati sensibili delle organizzazioni o ai dati dei clienti oppure potrebbero scaricare ransomware o malware che potrebbe compromettere applicazioni cloud e storage aziendali.

Problema: il giorno 5 aprile 2020 il team di sicurezza informatica dell’azienda BETA S.r.l. rileva una eliminazione massiva di record dal database in Cloud da remoto da un account aziendale.

  • Primo perché: perché un account aziendale sta eseguendo un’eliminazione di record massiva? Il dipendente sta lavorando in “smart working” da casa dove ha lasciato il dispositivo incustodito; in sua assenza uno dei suoi 3 figli (il quale era venuto a conoscenza della password ad insaputa del genitore) consultando la e-mail ha inconsapevolmente scaricato un malware da un allegato.
  • Secondo perché: perché il dispositivo è stato lasciato incustodito? Perché il dipendente, pensando che in casa non ci fosse nessuno, si è recato nell’altra stanza per rispondere ad una telefonata di lavoro che si è protratta molto più a lungo del previsto.
  • Terzo perché: perché il dipendente non ha osservato il disciplinare sugli strumenti informatici riguardo agli accorgimenti da osservare quando si opera in modalità remota? Perché il disciplinare sugli strumenti informatici non contemplava gli accorgimenti sull’attività da remoto il dipendente non ha ricevuto adeguata informazione e formazione.
  • Quarto perché: perché il disciplinare sugli strumenti informatici non contempla la modalità sull’attività da remoto? Perché la necessità è emersa solo durante lo stato di emergenza dettato dalla pandemia di covid-19.

Azione di miglioramento: la Direzione al fine di evitare che questa problematica si potesse ripresentare in futuro ha deciso di aggiornare il disciplinare sugli strumenti informatici e ha deciso, per mitigare ulteriormente il rischio, di adottare un piano di sicurezza delle informazioni completo che tutti i dipendenti dovranno seguire, e incoraggiare i leader di squadra a far rispettare la disciplina della sicurezza informatica all’interno dei loro team. Assicurarsi che tutti i dispositivi siano protetti da password e, se possibile, utilizzare l’autenticazione a due fattori per tutti i dispositivi e le applicazioni aziendali.

Gestione debole delle password

Il riutilizzo della password è una pratica rischiosa, perché una volta che un account viene compromesso, l’hacker ottiene l’accesso a una più ampia varietà di risorse.

Altri rischi sono legati alla creazione e uso di password “deboli”, al mancato aggiornamento delle password, alle annotazioni delle password in prossimità del computer e alla condivisione delle password con altri utenti.

Problema: il giorno 16 giugno 2020 il team di sicurezza informatica dell’azienda GAMMA s.r.l. rileva una violazione dei dati presenti all’interno del cloud aziendale, all’interno del mail server e nell’area intranet relativamente ad un unico account aziendale.

  • Primo perché: perché gli account della posta, del cloud e della intranet sono stati violati? Durante un attacco hacker che ha coinvolto tutti gli account dei dipendenti solo i tre account di “Paolo Xyz” sono stati compromessi.
  • Secondo perché: perché solo gli account di “Paolo Xyz” sono stati compromessi? Perché “Paolo Xyz” ha utilizzato la password 12345678 per tutti gli account a cui aveva accesso (cloud, posta, intranet).
  • Terzo perché: perché il neoassunto “Paolo Xyz” ha usato una password debole riutilizzandola su tutti e tre gli account aziendali? Perché “Paolo Xyz” non si ricordava del fatto che non dovesse usare password deboli.
  • Quarto perché: perché “Paolo Xyz” non si ricordava del fatto che non dovesse usare password deboli? Perché non esiste un disciplinare sugli strumenti informatici esaustivo in merito alla gestione delle password e la formazione, che avviene oralmente, è affidata ai colleghi di ufficio di “Paolo Xyz”.

Azione di miglioramento: la Direzione procederà ad aggiornare il disciplinare degli strumenti informatici inserendo una politica della gestione delle password e pianificherà delle sessioni di formazione dedicate esclusivamente alla pratica dell’utilizzo delle password. Inoltre, la Direzione implementerà uno strumento di “scadenza password” che ricordi automaticamente agli utenti di modificare le password prima che scadano.

Cattiva gestione dei privilegi assegnati agli account

Anche i professionisti IT possono commettere errori, e tali errori spesso costano molto caro alle aziende. Gli account con privilegi elevati, come gli account di admin, sono potenti, ma i controlli di sicurezza per prevenire il loro abuso sono spesso inadeguati.

Se i professionisti IT non riescono ad aggiornare e proteggere le password degli account con privilegi, gli aggressori possono violarle più facilmente e ottenere l’accesso alla rete dell’organizzazione.

Problema: il giorno 6 maggio 2019 il team di sicurezza informatica dell’azienda DELTA s.r.l. rileva l’eliminazione degli account postali presenti sul mail server aziendale creati nell’ultimo anno, pertanto tutti i dipendenti hanno perso le e-mail.

  • Primo perché: perché sono state eliminate solo le caselle di posta recenti? Solo gli utenti che hanno privilegi di admin possono eliminare le caselle di posta dal server. L’azienda ha subito un attacco hacker durante il quale l’attaccante è riuscito ad individuare gli utenti admin ed a impossessarsi dei privilegi di accesso delle caselle create nell’ultimo anno.
  • Secondo perché: perché tutti gli account postali creati nell’ultimo anno avevano i diritti di admin? perché l’attribuzione dei privilegi delle caselle di posta in passato era affidata agli stagisti e nell’ultimo anno in loro assenza sono state create direttamente dal responsabile dell’ufficio informatico.
  • Terzo perché: perché l’attribuzione dei privilegi era affidata agli stagisti in passato? Perché è una tipica attività formativa ideale per gli stagisti. Da quando non ci sono più gli stagisti le caselle di posta vengono create con l’impostazione predefinita con i privilegi di admin.
  • Quarto perché: perché da quando non ci sono più gli stagisti le caselle vengono create con i privilegi di admin per impostazione predefinita? Perché in assenza di uno specifico processo, è una operazione che comporta molto dispendio di tempo, e le risorse in capo all’ufficio IT non riescono a gestirli per mancanza di tempo.

Azione di miglioramento: la Direzione in ottica del miglioramento continuo ha deciso di ridefinire l’intero processo riassegnando ruoli e responsabilità. La Direzione ha deciso di inserire come misura preventiva e necessaria l’implementazione del principio dei privilegi minimi per tutti gli account e i sistemi, ove possibile. Infine, la Direzione ha definito gli account amministrativi e dipendenti separati per il personale IT; gli account admin dovrebbero essere utilizzati solo per gestire parti specifiche dell’infrastruttura.

Invio di e-mail ai destinatari sbagliati

La mancata consegna è la quinta azione più frequente che provoca violazioni dei dati. È anche la violazione più complessa da mitigare; ci sono stati casi di alto profilo in cui un dipendente ha inviato un’e-mail contenente “dati sensibili” ai destinatari sbagliati. La mancata consegna rappresenta circa il 62% delle violazioni dei dati sugli errori umani nel settore sanitario.

Problema: il giorno 25 settembre 2020 il team interno della privacy dell’azienda EPSILON s.r.l. apre un’indagine sull’invio di una e-mail contenente dati sensibili ad un destinatario errato.

  • Primo perché: perché è stata inviata una e-mail al destinatario sbagliato? Perché l’indirizzo e-mail che è stato immesso nel sistema conteneva un errore di battitura.
  • Secondo perché: perché l’indirizzo e-mail è stato inserito con un errore di battitura? Perché durante la trascrizione dal modulo cartaceo a quello informatico è stata interpretata male una lettera.
  • Terzo perché: perché è necessaria la trascrizione da cartaceo a digitale? Il nominativo era un nuovo paziente la cui anagrafica doveva essere inserita a sistema.
  • Quarto perché: perché i nuovi pazienti compilano un modulo cartaceo per comunicare i loro dati anagrafici senza che siano verificati dal personale interno? Perché la fase di verifica non è contemplata nel processo.

Azione di miglioramento: questo errore è uno dei più difficili ed insidiosi da evitare; tuttavia, per mitigare i potenziali danni che questo rischio può comportare la Direzione ridefinirà il processo di acquisizione delle anagrafiche andando ad inserire la fase di “verifica” dei dati. Inoltre, la Direzione farà implementare delle finestre di warning a comparsa che invitano i mittenti a ricontrollare l’indirizzo e-mail quando inviano le e-mail. La Direzione implementerà infine anche una soluzione di prevenzione della perdita di dati (DLP) che monitora gli eventi che potrebbero portare alla perdita di informazioni e ad agire automaticamente, ad esempio impedendo agli utenti di inviare dati sensibili al di fuori della rete aziendale.

Conclusioni

Grazie all’impiego della tecnica dei “5 Whys” abbiamo visto nei case study precedenti come le “cause principali” delle violazioni sui dati siano da attribuire principalmente al fattore umano ed alle politiche di gestione più che al fattore tecnologico.

L’errore umano, la formazione non adeguata, politiche deboli e mancanza di procedure sono le vere “cause principali” che generano le principali violazioni sui dati. Il fattore tecnologico funge pertanto esclusivamente da supporto al fattore umano per mitigare il rischio.

Per raggiungere l’obiettivo, è necessario stabilire programmi di formazione efficaci per i dipendenti e politiche di gestione esaustive che devono essere comunicate in maniera convincente e soprattutto a “prova di errore” al personale preposto. A supporto, infine, le organizzazioni devono implementare tecnologie che consentano di proteggere i dati più sensibili, indipendentemente da dove risiedono.

WHITEPAPER
Certificazioni GDPR: tutti i vantaggi per le organizzazioni che vi aderiscono
Legal
Privacy
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr