La crescente sofisticazione delle minacce informatiche – che vanno dai ransomware alle tecniche avanzate di phishing, fino all’uso malevolo dell’intelligenza artificiale – può trovare inconsapevole collaborazione nell’errore o nella disattenzione umana.

E proprio questo li ha resi il principale vettore d’ingresso per gli attaccanti: dei 756 eventi cyber contro la PA, l’Agenzia per la Cybersicurezza Nazionale (ACN) riporta che oltre la metà è riconducibile a errori umani.

Vademecum ACN per la PA, il ruolo del fattore umano

L’ironica frase “problem exists between keyboard and chair“, spesso usata con l’acronimo Pebkac, può essere seriamente applicata anche alla cyber sercurity. È proprio tra la tastiera e la sedia che si colloca uno dei punti deboli dei sistemi informativi. Ma è lì che si può costruire anche la prima linea di difesa.

La consapevolezza, l’attenzione costante e la formazione continua degli utenti rappresentano infatti il fondamento di ogni architettura difensiva efficace.

In assenza di un presidio umano responsabile, le tecnologie più avanzate risultano inefficaci.

Al contrario, un comportamento prudente, informato e vigilante da parte degli operatori può contrastare anche minacce tecnologicamente evolute, riducendo drasticamente la superficie di attacco.

Vademecum Acn, guida operativa alla sicurezza quotidiana

Nel contesto di un’esposizione crescente della Pubblica Amministrazione agli attacchi informatici – molti dei quali devastanti per la continuità dei servizi essenziali – l’ACN ha elaborato un vademecum sulle “Buone pratiche di cybersecurity di base per i dipendenti delle PP.AA.” (peraltro valido per qualsiasi ambito).

Il vademecum, approvato il 22 luglio dalla Presidenza del Consiglio, è disponibile anche sul portale NoiPA ed è prevista la pubblicazione su Syllabus anche di un programma formativo dedicato.

Il documento risponde all’esigenza di avvicinare policy tecnologica e comportamento individuale, sottolineando come la resilienza digitale non sia solo un fatto di infrastrutture, ma anche e soprattutto di cultura organizzativa.

La connessione fra geopolitica e cyber attacchi

La pubblicazione si apre con un quadro d’insieme che evidenzia l’intensificarsi delle minacce e le connessioni tra crisi geopolitiche e cyberattacchi.

I casi di compromissione dei sistemi sanitari e dei servizi amministrativi locali dimostrano come gli attacchi non siano più episodi isolati, ma manifestazioni ricorrenti che mettono a rischio la continuità operativa, la tutela dei dati personali e la fiducia dei cittadini.

Impostazione tripartita della sicurezza nel vademecum dell’ACN

A fronte di ciò, il vademecum propone un’impostazione tripartita della sicurezza: governance dei sistemi, tecnologie di cyber security e comportamenti quotidiani.

È su quest’ultimo pilastro che il documento insiste maggiormente, con una serie di indicazioni concrete che mirano a trasformare ogni dipendente in un attore consapevole della sicurezza dell’ente. Passando quindi dal Pebkac all’utente come prima linea di difesa.

Fattore umano, da vulnerabilità a risorsa

Dal rafforzamento delle credenziali con autenticazione a più fattori, alla gestione accorta delle password, passando per l’uso esclusivo di dispositivi autorizzati, l’aggiornamento tempestivo dei sistemi e la segnalazione di anomalie, il vademecum disegna un percorso chiaro di responsabilizzazione dell’utente.

Particolare attenzione è dedicata ai rischi legati all’utilizzo improprio dell’intelligenza artificiale generativa: l’inserimento di dati sensibili nei chatbot può trasformarsi in una falla permanente: in effetti, tali informazioni potrebbero essere rielaborate e rese accessibili a terzi, anche a distanza di tempo.

Viene inoltre ricordata la basica buona regola di bloccare la propria postazione quando ci si allontana.

L’ACN evidenzia inoltre che l’adozione di regole senza una vigilanza continua e documentata ne compromette l’efficacia, richiamando le Amministrazioni a una gestione attiva della sicurezza, che non si limiti alla predisposizione degli strumenti, ma preveda meccanismi di controllo e aggiornamento coerenti con l’evoluzione delle minacce.

Verso una cultura della cyber sicurezza nella PA

Il vademecum proposto dall’ACN non si limita a fornire raccomandazioni operative / buone pratiche: si configura come un manifesto per la costruzione di una cultura istituzionale della cyber sicurezza, centrata sul riconoscimento del dipendente pubblico quale soggetto attivo nella protezione degli asset digitali.

In un sistema interconnesso, ogni gesto individuale si riverbera sull’intera architettura informativa dell’ente, rendendo la dimensione soggettiva una leva strategica.

Dunque, è centrale il comportamento responsabile dei singoli per “difendere la sicurezza digitale dell’Amministrazione e la fiducia tra cittadini e istituzioni”, evitando comportamenti che possano far “incorrere in sanzioni amministrative e provvedimenti disciplinari”.

Il documento richiama a un approccio che supera la logica emergenziale e si inscrive in una visione di lungo periodo. In tal senso, si può sostenere che la sicurezza non può più essere considerata una responsabilità demandata al solo personale tecnico o al vertice amministrativo, ma deve diventare un comportamento diffuso e condiviso, alimentato da una formazione permanente e da un sistema premiante per le buone pratiche.

In definitiva, l’efficacia della difesa cibernetica nella Pubblica Amministrazione non dipende solo dal livello di protezione tecnologica, ma dalla capacità dell’intera organizzazione di interiorizzare le regole e trasformarle in abitudini operative quotidiane.

È questa, forse, la lezione più profonda del vademecum ACN: la sicurezza digitale non è un protocollo da seguire, ma una postura da assumere.