756 attacchi informatici solo nel 2024 contro le pubbliche amministrazioni italiane. Oltre il 50% originato da errori umani. Serve altro per capire che la sicurezza digitale non è più (solo) una questione tecnica, ma una responsabilità culturale?
Il nuovo Vademecum per la cybersecurity di base dell’Agenzia per la Cybersicurezza Nazionale (ACN) ce lo ricorda in modo chiaro: il primo anello della catena di difesa non è un firewall, ma una persona. Sì, proprio quella tra tastiera e sedia.
Un contesto fragile e iperconnesso
I conflitti geopolitici – dall’Ucraina al Medio Oriente – si propagano anche attraverso i bit. Gli attacchi hacker sono diventati armi non convenzionali, capaci di mettere in ginocchio ospedali, università, enti locali, persino sistemi di pagamento della PA (ricordate il blackout di dicembre 2023 sulle tredicesime?).
Il bersaglio? Spesso è il comportamento incauto di un singolo dipendente: una password troppo semplice, una chiavetta USB inserita senza autorizzazione, un allegato aperto con leggerezza.
Il triangolo della sicurezza: governance, tecnologia, comportamento
Il documento di ACN evidenzia che la protezione digitale si gioca su tre livelli intrecciati:
- Governance: politiche chiare, responsabilità definite, supervisione attiva;
- Tecnologie: sistemi aggiornati, infrastrutture resilienti, autenticazione multifattoriale;
- Comportamenti quotidiani: consapevolezza, attenzione, segnalazioni tempestive.
Ignorarne anche solo uno equivale a spalancare le porte agli attaccanti.
L’intelligenza artificiale: una nuova vulnerabilità
C’è un punto del vademecum che merita attenzione speciale. L’IA generativa – quella che scrive, conversa, simula – non dimentica mai. Caricare in un chatbot un documento riservato, anche solo per “farsi aiutare a riassumerlo”, può significare esporlo a futuri riutilizzi imprevisti.
Non è questione di allarmismo, ma di comprensione profonda: ogni frammento informativo inserito in sistemi non controllati può entrare in dataset di addestramento e diventare potenzialmente accessibile a terzi.
Le 12 regole d’oro per la PA
Il vademecum chiude con una lista operativa che ogni dipendente pubblico dovrebbe tenere stampata accanto al monitor (e impressa nella mente):
- Attiva sempre l’autenticazione a più fattori (MFA)
- Usa password robuste e distinte tra vita privata e lavoro
- Blocca il dispositivo quando ti allontani
- Aggiorna sempre i sistemi senza rimandare
- Installa solo software autorizzato
- Usa solo dispositivi approvati dalla PA
- Non fidarti di email con urgenze o link sospetti
- Segnala subito la perdita di un dispositivo
- Evita le Wi-Fi pubbliche senza protezione
- Segnala ogni anomalia, anche minima
- Usa l’email istituzionale solo per fini istituzionali
- Non inserire dati sensibili nelle chat di IA
Una cultura digitale condivisa
Oggi la sicurezza informatica non è più dominio esclusivo del CED o dell’ufficio tecnico. È una responsabilità condivisa, quotidiana, trasversale. Servono investimenti, certo. Ma servono anche percorsi formativi continui, ambienti regolati, e soprattutto una cultura digitale diffusa e consapevole.
Perché come ci ricorda la guida: non è l’attacco più sofisticato quello che ci mette in ginocchio, ma spesso il clic sbagliato di un operatore poco formato.
Vademecum_Cybersecurity di base