Buone pratiche di cybersecurity di base per i dipendenti della PA

Buone pratiche di cybersecurity di base per i dipendenti della PA

 

L’Agenzia per la Cybersicurezza Nazionale (ACN) ha lanciato un avvertimento chiaro pubblicando un vademecum “Buone pratiche di cybersecurity di base per i dipendenti delle PP.AA.” (https://www.acn.gov.it/portale/vademecum-dipendenti) destinato a tutti i dipendenti pubblici, perché la verità è scomoda: il punto più debole del nostro sistema di difesa non sono i software, ma i dipendenti‌.

Il momento è arrivato. Non c’è più spazio per l’ingenuità, né per la convinzione che “a me non succederà mai“.

 

Chi lavora nella Pubblica Amministrazione deve essere formato e istruito per diventare il primo, cruciale, baluardo contro un’onda d’urto che si sta abbattendo sulle nostre istituzioni digitali: quella degli attacchi informatici.

L’Agenzia per la Cybersicurezza Nazionale (ACN) ha lanciato un avvertimento chiaro pubblicando un vademecum “Buone pratiche di cybersecurity di base per i dipendenti delle PP.AA.” (https://www.acn.gov.it/portale/vademecum-dipendenti) destinato a tutti i dipendenti pubblici, perché la verità è scomoda: il punto più debole del nostro sistema di difesa non sono i software, ma i dipendenti.

L’errore umano, se non gestito, rischia di costarci carissimo.

Non parliamo solo di dati compromessi o di server che vanno in tilt. Parliamo di servizi essenziali per i cittadini che si fermano, di informazioni sensibili che finiscono nelle mani sbagliate, di fiducia nelle istituzioni che si sgretola.

Per troppo tempo la cybersecurity è stata vista come una questione per tecnici, un problema da delegare al settore informatico.

Questo approccio, lo dicono i numeri, è fallito. È tempo di cambiare mentalità. È tempo di trasformare la vulnerabilità del fattore umano in una risorsa strategica.

Ecco che la guida di ACN spiega come fare.

 

Gli attacchi informatici che colpiscono le nostre PA

ACN nel suo vademecum ci ricorda che gli attacchi alle pubbliche amministrazioni in Italia sono in costante aumento e rappresentano una percentuale significativa del totale degli attacchi subiti dal paese; ma la cosa più sconcertante è che questi attacchi fanno leva sulla distrazione o sulla scarsa consapevolezza dei dipendenti.

Il phishing non è solo una parola tecnica, è l’arma più usata. Quella mail che sembra provenire dal tuo capo, con un link “urgente” da cliccare. Quell’allegato apparentemente innocuo che promette di sbloccare un documento importante. Un clic sbagliato, un momento di fretta, ed ecco che le porte del sistema sono spalancate.

Ma non si tratta solo di phishing. L’elenco degli errori più comuni include:

  • Password deboli e riutilizzate: “123456” o la data di nascita sono ancora in uso su troppi account, anche in ambito professionale.
  • Mancata autenticazione a più fattori (MFA): Spesso vista come una seccatura, è in realtà uno dei metodi più efficaci per proteggere gli account anche se la password viene rubata.
  • Gestione superficiale dei dispositivi personali (BYOD – Bring Your Own Device): Usare il proprio smartphone o tablet per accedere a dati di lavoro senza le dovute protezioni trasforma un dispositivo personale in un potenziale cavallo di Troia.
  • Utilizzo inconsapevole dell’Intelligenza Artificiale Generativa: Incollare dati sensibili in una chat di ChatGPT o di altri strumenti simili può esporre informazioni riservate in modo irreversibile.

La scrivania, il computer, la casella di posta elettronica del personale pubblico non sono più un’isola sicura. Sono la frontiera. E se la frontiera cade, cade l’intera difesa.

 

Il Vademecum di ACN – 12 Buone pratiche per lavorare in sicurezza ogni giorno

Per fortuna, non siamo lasciati soli in questa battaglia.

L’ACN ha pubblicato un vademecum essenziale, una vera e propria guida pratica che, con un linguaggio chiaro e diretto, offre un set di dodici “buone pratiche” per rendere più consapevole ogni dipendente.

Non sono regole complicate, ma principi di buon senso digitale che, se applicati con rigore, possono fare la differenza tra un disastro e la sicurezza:

 

  1. Attiva sempre l’autenticazione a più fattori (MFA)
  2. Usa password robuste e diverse per lavoro e vita privata
  3. Blocca sempre il dispositivo quando ti allontani
  4. Aggiorna sempre il sistema senza rimandare
  5. Installa solo software autorizzato dalla P.A.
  6. Usa solo supporti e dispositivi autorizzati dalla P.A.
  7. Non fidarti mai di email urgenti o con link sospetti
  8. Se perdi un dispositivo avvisa subito il team di sicurezza
  9. Evita di connetterti a WI-FI pubbliche non protette
  10. Segnala subito ogni anomalia, anche se sembra piccola
  11. Usa la email di lavoro solo per attività istituzionali
  12. Non inserire mai dati sensibili nelle chat di intelligenza artificiali

La sicurezza però non è solo una lista di controlli da spuntare, ma una mentalità.

La vera trasformazione non sta nel vademecum, ma nel modo in cui ogni dipendente lo accoglie e lo fa proprio.

Ogni dipendente deve avere: consapevolezza e responsabilità per poter utilizzare la nuova tecnologia in modo sicuro.

Il personale delle pubbliche amministrazioni deve essere consapevole e responsabile della sicurezza dell’intera organizzazione.

Il vademecum che abbiamo analizzato non contiene solo dei consigli, ma un insieme di linee guida che servono a tutelare la P.A. e i cittadini, a proteggerli, a prevenire e ad agire in modo informato.

 

Il Futuro della sicurezza nella PA

Il vademecum ACN è quindi un punto di partenza eccellente, un fondamento solido su cui costruire ma non è la fine del percorso.

La cybersecurity è una corsa contro il tempo e l’innovazione, un campo in continua evoluzione. Guardando al futuro, la Pubblica Amministrazione deve puntare sulla formazione.

La formazione deve diventare un processo continuo, non un evento annuale obbligatorio da dimenticare subito dopo. Le minacce si evolvono, e così deve fare la nostra preparazione. La Pubblica Amministrazione deve investire massicciamente in programmi di formazione dinamici, che usino simulazioni di attacchi di phishing e casi di studio reali per mantenere alta l’attenzione e rendere la sicurezza un’abitudine, non un’eccezione. L’ACN, insieme ad altre fonti autorevoli come il CERT-PA, ha più volte ribadito l’importanza di un approccio strutturato e non improvvisato.

 

Non esitare a contattarci: iSimply, con i propri servizi e il team di esperti in cyber security, è a disposizione per supportare le organizzazioni a implementare un adeguato livello di sicurezza informatica che coinvolga tutti gli utenti rendendoli consapevoli dei rischi.

La piattaforma di formazione online Cyber Guru che mettiamo a disposizione dei nostri clienti è progettata per massimizzare l’efficacia dei processi di apprendimento e consolidare nel tempo la consapevolezza necessaria ad affrontare la continua evoluzione delle tecniche di attacco informatico, imparando a riconoscerle e disinnescarle.

 

Il Team Cyber Security di iSimply

 

 

Altre news

Tracking pixel nelle e-mail: cosa prevedono le Linee guida del Garante privacy e cosa fare entro il 29 ottobre 2026

arrow_forward

NIS2: ACN pubblica le modalità di categorizzazione di attività e servizi

arrow_forward

Intelligenza Artificiale: pubblicata la norma UNI 11621-8 sui profili professionali

arrow_forward

NIS2: nuove Determine ACN. Adempimenti nuovi soggetti e accesso alla piattaforma

arrow_forward

Videosorveglianza e sinistri stradali: accesso ai filmati e rischi per i Comuni

arrow_forward