Guide

Cyber security PA: vademecum essenziale

Buone pratiche di cyber security per dipendenti PA: regole quotidiane per difendere dati e servizi pubblici da minacce informatiche.

attacchi hacker

29 Ottobre 2025

Indice dei contenuti

  • Perché un vademecum di cyber security per la PA
  • Un contesto sempre più rischioso
  • Gli effetti concreti degli attacchi alle PA
  • L’anello debole (e forte) della catena: l’utente
  • Perché serve un approccio responsabile
  • La prima difesa: le credenziali
  • Le 12 regole del vademecum PA, spiegate bene
  • Allegati utili (da condividere con l’IT)
  • La sicurezza è un lavoro di squadra

Perché un vademecum di cyber security per la PA

Il mondo digitale offre grandi opportunità, ma porta con sé anche un crescente numero di minacce informatiche. Negli ultimi anni, gli attacchi hacker alle Pubbliche Amministrazioni sono aumentati in maniera esponenziale, compromettendo servizi fondamentali come la sanità, i pagamenti e i sistemi universitari. Basta un clic sbagliato, un allegato aperto per errore o una password debole per permettere a un criminale informatico di bloccare interi sistemi.

Per questo motivo l’Agenzia per la Cybersicurezza Nazionale (ACN) ha promosso un vademecum di buone pratiche di cyber security, pensato per tutti i dipendenti pubblici.

Non si tratta di un manuale tecnico riservato agli specialisti IT, ma di un insieme di regole pratiche e quotidiane che ogni dipendente può applicare per proteggere sé stesso, i cittadini e le istituzioni. La sicurezza digitale, infatti, non dipende solo dalle tecnologie ma soprattutto dal fattore umano.

Un contesto sempre più rischioso

Il panorama delle minacce è diventato complesso e globale. Secondo l’ultima relazione annuale dell’ACN, nel 2024 si sono registrati 2.756 eventi cyber contro la Pubblica Amministrazione, e oltre il 50% è partito da errori umani. Questo dato dimostra come la fragilità non sia solo nei sistemi, ma nei comportamenti quotidiani dei dipendenti.

A peggiorare la situazione contribuiscono le crisi geopolitiche internazionali: dalla guerra in Ucraina al conflitto in Medio Oriente, le operazioni militari hanno avuto una diretta conseguenza sul cyberspazio, con attacchi informatici che non conoscono confini e colpiscono anche enti e istituzioni italiane.

Gli effetti concreti degli attacchi alle PA

Non parliamo di rischi teorici. Negli ultimi anni, ospedali italiani hanno subito attacchi ransomware che hanno bloccato prenotazioni, macchinari diagnostici e pubblicato online i dati sanitari dei pazienti. A dicembre 2023, un attacco ai fornitori di servizi digitali della PA ha causato ritardi nei pagamenti delle tredicesime, con impatti pesanti su dipendenti e famiglie.

Anche università e amministrazioni locali hanno dovuto affrontare blocchi totali dei sistemi informatici, con danni economici, reputazionali e una paralisi dei servizi essenziali per i cittadini.

L’anello debole (e forte) della catena: l’utente

Le statistiche lo confermano: il punto più vulnerabile della sicurezza informatica “si trova tra la tastiera e la sedia”. In altre parole, l’utente. Ma questo non deve essere visto come un limite: lo stesso utente può trasformarsi nel primo baluardo di difesa contro gli attacchi.

La cyber security non è solo una questione tecnica. Si fonda su tre livelli:

  • Governance dei sistemi, ovvero regole e strategie di gestione.
  • Tecnologie di difesa, come firewall, antivirus, sistemi di monitoraggio.
  • Comportamenti quotidiani, cioè l’attenzione dei singoli dipendenti.

Le principali minacce digitali

Ogni giorno i dipendenti pubblici sono esposti a rischi concreti:

  • Phishing
    Cioè email trappola che imitano comunicazioni ufficiali per rubare credenziali.
  • Ransomware
    Software malevoli che bloccano i dati e chiedono un riscatto.
  • Furto di credenziali
    Che permette agli hacker di accedere indisturbati ai sistemi.
  • Compromissione delle caselle email
    Usate poi per diffondere nuovi attacchi all’interno dell’amministrazione.

Un link fasullo o un allegato malevolo possono mettere offline un’intera istituzione in pochi minuti.

Perché serve un approccio responsabile

Adottare buone pratiche di cyber security non significa solo proteggere i sistemi, ma garantire:

  • la fiducia dei cittadini nei confronti delle istituzioni;
  • la continuità dei servizi pubblici;
  • la conformità alle norme, evitando sanzioni amministrative e provvedimenti disciplinari.

Le PA devono agire subito, non solo con tecnologie sicure, ma anche con regole comportamentali chiare e applicate in modo continuativo.

La prima difesa: le credenziali

Le password e i token di accesso sono il primo scudo contro gli intrusi. Password deboli o condivise equivalgono a lasciare aperta la porta di un ufficio. È fondamentale creare password robuste, uniche e cambiarle periodicamente.

Un’attenzione particolare va rivolta anche all’uso dell’intelligenza artificiale. Sempre più dipendenti incollano testi e documenti in chatbot pubblici, ma così facendo rischiano di immettere dati sensibili in sistemi esterni che potrebbero riutilizzarli.

Le 12 regole del vademecum PA, spiegate bene

Di seguito trovi un approfondimento pratico e operativo dei 12 punti del vademecum. Ogni sezione è pensata per chi lavora in una Pubblica Amministrazione e vuole ridurre al minimo il rischio di incidenti, senza diventare un tecnico di sicurezza.

Per ogni punto troverai: perché è importante, come applicarlo subito, errori tipici da evitare ed esempi tratti dalla vita d’ufficio. Dove utile, aggiungo mini-snippet e comandi che puoi condividere con l’IT per automatizzare i controlli.

1. Attiva sempre l’autenticazione a più fattori (MFA)

Perché conta. Il furto di password è all’ordine del giorno: phishing credibile, riutilizzo della stessa password su siti violati, keylogger su dispositivi non aggiornati. La MFA aggiunge un secondo “lucchetto” (qualcosa che hai o che sei) che rende inutile una password rubata.

Cosa preferire, in ordine di robustezza:

  • FIDO2 / passkey (chiave di sicurezza hardware o integrata nel dispositivo)
    Resistente al phishing e alle intercettazioni; ideale per account critici (PEC, console amministrative, gestionali).
  • TOTP via app (es. Microsoft Authenticator, Google Authenticator, FreeOTP)
    Codici a scadenza di 30 secondi, funzionano anche offline.
  • Push con “number matching”
    Notifica sull’app che richiede di inserire un numero mostrato a schermo (evita gli “approve fatigue”).
  • SMS
    Meglio di niente, ma vulnerabile a SIM swap e intercettazioni; usalo solo se non hai alternative.

Cosa fare subito

  • Attiva la MFA su tutti gli account PA che la supportano (posta, VPN, sistemi interni, suite cloud).
  • Registra almeno due metodi (es. passkey + TOTP) e stampa i codici di backup in busta chiusa, custodita secondo le policy dell’ente.
  • Segmenta per ruolo
    Ruoli ad alto privilegio (ragioneria, sistemi sanitari, protocollo, SUAP, gestione stipendi) → MFA obbligatoria e più forte (FIDO2).

Errori da evitare

  • Affidarsi a un solo secondo fattore (telefono personale senza alternative).
  • Approvare notifiche push “a occhi chiusi”.
  • Non aggiornare l’Authenticator quando si cambia smartphone → perdita dei token.

Esempio
Un dipendente riceve una finta email “da IT” che chiede di cambiare password; inserisce le credenziali su un sito clone. Senza MFA, l’attaccante entra e crea regole di inoltro per intercettare i messaggi; con MFA, l’accesso viene bloccato al secondo passaggio.

2. Usa password robuste e diverse per lavoro e vita privata

Perché conta. Un singolo data breach esterno (social, e-commerce) può esporre la tua password. Se la riusi anche per la PA, l’attaccante entra senza fatica.

Come creare password solide che ricordi davvero.

  • Frase lunga (passphrase)
    Almeno 16–20 caratteri, con parole non correlate + punteggiatura (es. “Gufi!Treni^Aprile?Rosmarino”).
  • Password manager aziendale
    Genera e conserva password diverse per ogni servizio, con condivisione sicura tra uffici quando serve.
  • Separazione netta
    Credenziali lavorative in un archivio; credenziali personali in un altro. Mai mischiare.

Mini-regola tecnica (utile all’IT)
Policy consigliata: lunghezza minima 14–16 caratteri, blocco dei 1.000 password più comuni, scadenza solo in caso di sospetto compromesso (evita rotazioni periodiche inutili), blocco degli account dopo n tentativi falliti con backoff progressivo.

Errori da evitare

  • Post-it attaccati al monitor o sotto la tastiera.
  • File “passwords.xlsx” sul desktop.
  • Cambiare una sola cifra quando scade la password.

Esempio
Un fornitore subisce un data breach: l’elenco delle credenziali trapela. Se riusi la stessa password sulla posta istituzionale, l’attaccante prova e indovina al primo colpo.

3. Blocca sempre il dispositivo quando ti allontani

Perché conta. Un PC sbloccato è come un ufficio con porta spalancata: chiunque può inviare PEC, copiare dati o installare un trojan in pochi secondi.

Cosa fare subito

  • Abitudine
    Ogni volta che ti alzi → Win+L su Windows, Ctrl+Cmd+Q su macOS, Super+L su Linux.
  • Timeout automatico
    Chiedi all’IT di impostare blocco schermo a 5–10 minuti e richiesta di password al risveglio.
  • Schermo privacy
    Se lavori in sportello o open space, valuta filtri privacy per ridurre “spalla surf”.

Spunto per IT (Windows GPO)
User Config → Admin Templates → Control Panel → Personalization → Password protect the screen saver (Enabled) e Screen saver timeout = 600.

Errori da evitare

  • “Mi assento un attimo”: i pochi minuti bastano.
  • Badge lasciato nel lettore: spesso sblocca automaticamente.

Esempio
In sala riunioni, un visitatore rimane solo per due minuti con un laptop sbloccato: inserisce una chiavetta che apre un reverse shell. Il blocco avrebbe impedito l’azione.

4. Aggiorna sempre il sistema senza rimandare

Perché conta. Gli aggiornamenti chiudono falle note che gli attaccanti sfruttano in modo automatico. Ritardare significa camminare settimane con una porta aperta.

Cosa fare subito

  • Pianifica un “slot aggiornamenti” (es. ogni martedì alle 12:30): riavvia, installa patch, controlla applicazioni principali.
  • Aggiorna anche browser e plugin (PDF, estensioni): sono vettori frequenti.
  • Segui le finestre di manutenzione comunicate dall’IT (WSUS, Intune, Jamf, ecc.).

Spunto tecnico (macOS)
Verifica stato:

softwareupdate -l

Installa aggiornamenti critici:

sudo softwareupdate -ia --critical

Errori da evitare

  • “Lo faccio dopo”: diventa mai.
  • Rimandare i riavvii per settimane mantenendo patch pendenti.

Esempio
Una vulnerabilità “zero-click” sul client di posta viene patchata; chi non aggiorna rimane esposto allo stesso exploit che altri hanno già automatizzato.

5. Installa solo software autorizzato dalla PA

Perché conta. Gli eseguibili scaricati da siti non ufficiali o app “freemium” possono contenere adware o backdoor. Un singolo tool non autorizzato può aprire la strada in rete.

Cosa fare subito.

  • Usa i cataloghi ufficiali (Software Center, Company Portal/Intune, Jamf Self Service)
    Se manca uno strumento, chiedi l’inserimento.
  • Verifica la fonte
    Produttore, firma digitale, hash.
  • Evita i “crack”
    Oltre a essere illegali, spesso sono veicoli di malware.

Verifica firma (macOS)

spctl --assess --type execute -v /Applications/NomeApp.app

codesign -dv --verbose=4 /Applications/NomeApp.app

Errori da evitare.

  • “Me l’ha girato un collega su WhatsApp”: canale non affidabile.
  • Installare estensioni browser non approvate: possono leggere tutto ciò che navighi.

Esempio
Un convertitore PDF “gratuito” scaricato da un sito clone inietta uno script che intercetta credenziali immesse nel browser.

dispositivi autorizzati

6. Usa solo supporti e dispositivi autorizzati

Perché conta. Le USB sono un vettore classico (malware, BadUSB, furto dati). Un disco esterno personale può introdurre ransomware dormiente, che si attiva appena trova condivisioni di rete.

Cosa fare subito

  • Usa solo chiavette e dischi forniti o approvati dall’ente, cifrati (es. BitLocker To Go, hardware encrypted).
  • Non collegare smartphone personali al PC di lavoro per “caricare la batteria”.
  • Chiedi un canale sicuro per lo scambio con fornitori (SFTP, Portale documentale, PEC con allegati cifrati).

Spunto IT (Windows, BitLocker To Go)
Criteri: richiedi crittografia automatica su rimovibili, password complessa, recupero escrow in AD/Azure AD.

Errori da evitare

  • Portare da casa una chiavetta “vecchia ma comoda”.
  • Prestare supporti a colleghi di altri uffici senza tracciarne l’uso.

Esempio
Una chiavetta omaggio da un evento contiene firmware modificato: all’inserimento, emula una tastiera e lancia comandi invisibili.

7. Non fidarti di email urgenti o con link sospetti

Perché conta. Il phishing usa urgenza e autorità per farti agire senza pensare: “attiva subito”, “conto bloccato”, “PEC piena”, “busta paga respinta”.

Cosa fare subito

  • Controlla il mittente reale (non solo il nome visualizzato)
    Dominio, errori ortografici, domini omografi (es. “ì” al posto di “i”).
  • Passa il mouse sul link
    L’URL vero coincide con la destinazione?
  • Diffida degli allegati compressi o con doppia estensione (es. “.pdf.exe”).
  • Verifica per canale alternativo
    Chiama il collega / fornitore con un numero noto.
  • Segnala alla casella SOC/IT dell’ente allegando gli header.

Header utili (estratto tipico):

Received: from mail-123.fakehost.com ...

Authentication-Results: spf=fail; dkim=none; dmarc=fail

SPF/DKIM/DMARC “fail” è un forte indizio.

Errori da evitare

  • Aprire allegati di fatture “a sorpresa”.
  • Inoltrare la mail sospetta ad altri: moltiplichi il rischio.

Esempio
Una mail “da Tesoreria” annuncia un’anomalia di pagamento con link “verifica”: porta a una pagina login identica al portale. Inserite le credenziali, l’attaccante intercetta l’accesso e crea bonifici non autorizzati.

8. Se perdi un dispositivo, avvisa subito il team di sicurezza

Perché conta. Smartphone e laptop contengono credenziali, email, token MFA, app gestionali. Ogni minuto che passa aumenta la finestra utile all’attaccante.

Cosa fare subito

  • Notifica immediata al referente IT/SIC: luogo, ora, tipo di dispositivo, ultimi dati trattati.
  • Blocco e wipe remoto (MDM/Intune/Jamf) e rotazione delle chiavi (password, token, certificati).
  • Denuncia alle autorità se richiesto dalle policy (utile per la tracciabilità e l’eventuale data breach notification).

Check veloce con l’IT

  • Era cifrato (BitLocker/FileVault)?
  • Erano attive MFA e PIN di sblocco?
  • Dispositivi BYOD collegati a dati PA? Valuta se rientrano nelle misure di wipe selettivo.

Errori da evitare

  • Aspettare “magari salta fuori”.
  • Tentare di localizzarlo da soli in luoghi a rischio.

Esempio
Smartphone perso in treno con app di posta configurata: il wipe remoto e la revoca dei token evitano l’accesso alla casella e all’archivio PEC.

9. Evita di connetterti a Wi-Fi pubbliche non protette

Perché conta. Reti di hotel, bar, stazioni possono essere controllate da terzi. Tra MITM, ARP spoofing e captive portal malevoli, i tuoi dati possono essere intercettati.

Cosa fare subito

  • Preferisci tethering dal telefono (con PIN forte) o rete eduroam/ente se disponibile.
  • Se devi usare una rete pubblica:
    • Connettiti solo se la VPN PA si attiva automaticamente all’avvio.
    • Verifica il certificato dei portali che chiedono credenziali.
    • Evita accessi a sistemi critici finché non sei su canale sicuro.
  • Disattiva la connessione automatica a reti aperte.

Spunto IT
Configurare Always-On VPN + split-tunneling controllato; bloccare traffico verso servizi PA se la VPN non è attiva.

Errori da evitare

  • Reti con nomi civetta (“FreeAirport-WiFi”, “PA-Guest”) non ufficiali.
  • Accettare certificati TLS con avvisi rossi “procedi comunque”.

Esempio
In hotel compare un finto portale “Microsoft 365 login”: raccoglie credenziali. La VPN Always-On avrebbe forzato il traffico cifrato prima di ogni accesso.

10. Segnala immediatamente ogni anomalia

Perché conta. Gli incidenti gravi quasi sempre mostrano segnali deboli ore o giorni prima: un rallentamento inspiegabile, finestre che lampeggiano, antivirus disattivato da solo.

Quali segnali non ignorare

  • Prompt che compaiono e scompaiono, CPU o ventole al massimo da fermi.
  • Messaggi di errore sul Trusted Platform Module o sulla cifratura disco.
  • Nuove regole di inoltro nella posta che non hai creato, mail inviate “da te” ma che non ricordi.
  • Certificati o plugin installati senza richiesta.

Come segnalare bene (modello sintetico)

  • Oggetto
    Anomalia PC Ufficio Tributi – 03/09 – Nome Cognome
  • Cosa vedi
    “Browser che si apre da solo su sito sconosciuto, 3 volte in 10 minuti”
  • Quando è iniziato
    “oggi 14:25”
  • Cosa stavi facendo
    “apertura allegato .docx da PEC”
  • Screenshot/log allegati
    sì/no

Errori da evitare

  • Riavviare infinite volte sperando che “passi”.
  • Usare strumenti di “pulizia” non autorizzati che distruggono tracce utili all’analisi.

Esempio
Segnalazione tempestiva di un allegato che crasha Word permette al SOC di bloccare la campagna prima che dilaghi.

11. Usa l’email di lavoro solo per attività istituzionali

Perché conta. La casella istituzionale è un bene dell’ente: ha log, retention, obblighi legali e privacy specifici. Iscriverla a servizi commerciali aumenta spam, profiling e bersagliarità (più dati su di te = phishing più credibile).

Cosa fare subito

  • Usa la posta PA solo per procedimenti e comunicazioni d’ufficio (PEC per atti ufficiali).
  • Per tool esterni autorizzati (es. piattaforma di gare, portale INPS/INAIL) segui il canale indicato dal tuo ufficio IT/affari legali.
  • Se serve una newsletter tecnica, chiedi un alias dedicato o un account “di servizio”.

Errori da evitare

  • Iscrizioni a siti di shopping, social, forum con la mail PA.
  • Forward automatico verso caselle personali.

Esempio
Iscrizione a un comparatore prezzi con email PA → database venduto a terzi → ondata di spear-phishing “su misura” con riferimenti al tuo ufficio.

12. Non inserire mai dati sensibili nelle chat di intelligenza artificiale

Perché conta. Molti servizi di IA generativa pubblici conservano input e output per finalità di miglioramento. Incollare documenti riservati in un chatbot può costituire una violazione di segreto d’ufficio e un rischio di riemersione futura delle informazioni.

Cosa non va condiviso (mai)

  • Dati sanitari, giudiziari, finanziari di persone fisiche.
  • Dati personali non pubblici di cittadini o colleghi.
  • Codici sorgente o architetture dei sistemi interni, credenziali, configurazioni VPN.
  • Documenti e bozze di gare, determine, provvedimenti non pubblicati.

Alternative sicure

  • Se l’ente ha una piattaforma IA “governata” (on-prem o con accordo di trattamento dati), usala solo secondo policy: logging, auditing, anonimizzazione.
  • Applica redazione/mascheramento: sostituisci dati reali con segnaposto (“[NOME]”, “[IBAN]”) e conserva il mapping in modo separato.
  • Per traduzioni e riformulazioni di testo non sensibile, valuta strumenti interni o servizi con contratti PA che escludono l’uso per training.

Errori da evitare

  • Chiedere a un chatbot pubblico di “spiegare questa determina” incollando il PDF completo.
  • Incollare output di query su database con campi identificativi.

Esempio
Un dipendente, per “fare prima”, incolla in un LLM pubblico l’elenco dei codici fiscali di beneficiari. L’ente è costretto a notificare un data breach, con impatti reputazionali e sanzioni.

Allegati utili (da condividere con l’IT)

Modello di checklist mensile per i dipendenti (estratto):

  • Ho verificato che la MFA è attiva su posta, VPN, suite documentale?
  • Ho cambiato o rafforzato le passphrase più deboli nel password manager?
  • Il timeout di blocco schermo è impostato a 5–10 minuti?
  • Ho completato gli aggiornamenti di sistema e applicazioni critiche?
  • Sul mio PC sono installati solo software da catalogo approvato?
  • Sto usando solo supporti cifrati e autorizzati?
  • Ho segnalato all’IT le mail sospette ricevute?
  • Ho preso visione delle procedure in caso di smarrimento dispositivo?
  • Mi collego fuori sede solo con VPN attiva?
  • Ho chiaro come segnalare anomalie (contatti, format)?
  • Uso l’email PA solo per attività istituzionali?
  • Evito di inserire dati sensibili in strumenti IA non governati?

Template di segnalazione rapida incidenti (1 minuto):

  • Chi segnala: Nome Cognome – Ufficio – Telefono interno
  • Data/Ora:
  • Sintomi osservati:
  • Azione eseguita prima/dopo:
  • Allegati: screenshot/log (sì/no)
  • Impatto sul servizio: nessuno / parziale / totale

La sicurezza è un lavoro di squadra

La cyber security non è un compito esclusivo degli esperti IT, ma una responsabilità collettiva. Ogni dipendente della Pubblica Amministrazione, con piccoli gesti quotidiani, può contribuire a proteggere i dati dei cittadini e garantire la continuità dei servizi.

Il vademecum non è solo un elenco di regole, ma una guida pratica che aiuta a trasformare la consapevolezza in azione. Applicarlo significa rendere la PA più resiliente, più affidabile e più vicina alle esigenze della comunità.

Domande e risposte

  1. Perché è importante un vademecum di cyber security per la PA?
    Perché fornisce regole semplici e concrete che riducono il rischio di errori umani, oggi tra le principali cause degli attacchi.
  2. Gli attacchi informatici colpiscono davvero le Pubbliche Amministrazioni italiane?
    Sì, nel 2024 sono stati registrati 2.756 attacchi, con gravi conseguenze su sanità, università e servizi locali.
  3. Che cos’è il phishing?
    È una tecnica che usa email o messaggi falsi per rubare dati e credenziali all’utente.
  4. Cosa si intende per ransomware?
    Un malware che blocca i sistemi e chiede un riscatto per ripristinarli.
  5. Perché le password sono così importanti?
    Perché rappresentano la prima barriera di difesa contro accessi non autorizzati.
  6. Che ruolo ha l’intelligenza artificiale nella sicurezza?
    Se usata senza criterio, può diventare un rischio: documenti sensibili caricati in chatbot pubblici possono riemergere altrove.
  7. Cos’è l’autenticazione a più fattori (MFA)?
    Un sistema che aggiunge un secondo codice o dispositivo di conferma oltre alla password.
  8. Posso usare il Wi-Fi pubblico per lavorare?
    Solo se strettamente necessario e attivando una VPN sicura.
  9. Cosa devo fare se perdo il PC o lo smartphone aziendale?
    Avvisare immediatamente il team di sicurezza per ridurre i rischi di violazione.
  10. Usare l’email di lavoro per scopi personali è rischioso?
    Sì, espone l’amministrazione a spam, tracciamento e possibili attacchi mirati.
3
To top