alle 11:02
Cybersicurezza nella PA, dall’uso di password robuste alle email di lavoro utilizzate solo per attività istituzionali: le 12 regole per il dipendente pubblico. Attenti anche all’IA
“Buone pratiche di cybersecurity di base per i dipendenti delle PP.AA.” è il titolo del Vademecum approvato dal Consiglio dei Ministri, elaborato all’ACN, l’Agenzia per la cybersicurezza nazionale.
Il documento è stato anche pubblicato sul portale NoiPA, in quanto offre indicazioni chiare e operative per la protezione dei dati e dei servizi pubblici, partendo da un principio semplice: la sicurezza digitale non dipende solo dalla tecnologia, ma soprattutto dai comportamenti quotidiani delle persone.
Negli ultimi anni infatti circa il 20% degli attacchi subiti dall’Italia hanno riguardato le Pubbliche amministrazioni. Nel 2024 si sono verificati 756 eventi cyber ai danni delle istituzioni pubbliche nazionali, in sensibile raddoppio rispetto al 2023. Più del 50% degli eventi cyber sono partiti da errori umani.
Il Vademecum contiene 12 regole alle quali il dipendente pubblico deve attenersi per evitare rischi.
1. Attivare sempre l’autenticazione a più fattori (MFA)
È essenziale rendere disponibile e attivare sempre il secondo fattore di accesso, come un codice temporaneo inviato via app o SMS. Questa è una barriera semplice ma molto efficace contro gli accessi non autorizzati.
2. Usare password robuste e diverse per lavoro e vita privata
Non bisogna mai condividere le password con nessuno, evitare nomi, date di nascita o parole comuni. È importante creare password robuste e uniche per ogni account e non usare la stessa password per servizi personali e accessi dell’Amministrazione.
3. Bloccare sempre il dispositivo quando ci si allontana
Un PC sbloccato è una porta aperta sui dati. Anche pochi minuti lontano dalla scrivania possono compromettere la sicurezza. Bisogna sempre disconnettere l’utenza quando ci si allontana dalla postazione di lavoro.
4. Aggiornare sempre il sistema senza rimandare
Ogni aggiornamento corregge falle di sicurezza note agli attaccanti; un dispositivo non aggiornato è come una porta lasciata socchiusa. Quando richiesto, è fondamentale installare sempre gli aggiornamenti appena disponibili.
5. Installare solo software autorizzato dalla P.A.
Anche un programma apparentemente innocuo può nascondere malware. Non si devono scaricare software da siti non ufficiali o su iniziativa personale. Se serve un nuovo strumento, bisogna sempre chiedere l’autorizzazione.
6. Usare solo supporti e dispositivi autorizzati dalla propria P.A.
Chiavette USB, hard disk esterni o dispositivi personali non autorizzati possono infettare l’intera rete. Se non fanno parte della dotazione ufficiale, non devono essere usati per memorizzare o trasferire dati, poiché la sicurezza inizia da ciò che si collega.
7. Non fidarsi mai di email urgenti o con link sospetti
Molti attacchi iniziano con una email o un messaggio che sembrano legittimi. È cruciale controllare sempre l’identità reale del mittente, anche se ci si fida. In caso di dubbio, non si deve rischiare e segnalare subito al team di sicurezza.
8. Se si perde un dispositivo, avvisare subito il team di sicurezza
Un computer, un telefono o una chiavetta smarriti possono contenere dati riservati. Anche pochi minuti senza protezione possono bastare a causare una violazione. Segnalare immediatamente lo smarrimento è un gesto di responsabilità.
9. Evitare di connettersi a Wi-Fi pubbliche non protette
Le reti pubbliche (es. in bar, stazioni, hotel) possono essere usate per intercettare dati sensibili. Se si deve proprio collegarsi, è consigliabile attivare una VPN, preferibilmente fornita dall’Amministrazione, optando sempre per una connessione lenta ma protetta piuttosto che una veloce ma pericolosa.
10. Segnalare subito ogni anomalia, anche se sembra piccola
Un rallentamento, un accesso strano, un file che non si riconosce: potrebbe essere l’inizio di un attacco. Non bisogna mai ignorare un comportamento anomalo del proprio dispositivo. Segnalare subito può fare la differenza tra un rischio contenuto e un danno grave.
11. Usare l’email di lavoro solo per attività istituzionali
Non si deve iscrivere l’email istituzionale a newsletter, siti commerciali o gruppi privati. È importante evitare di usarla per registrarsi a servizi non autorizzati, poiché ogni iscrizione esterna espone l’Amministrazione a rischi di tracciamento, spam e attacchi mirati.
12. Non inserire mai dati sensibili nelle chat di intelligenza artificiale
Strumenti come chatbot, LLM o l’IA generativa in generale non sono ambienti protetti, a meno che non siano specificamente resi disponibili dalla P.A. Devono essere usati solo per attività generiche e MAI per contenuti sensibili, critici o che riguardano la sicurezza nazionale.