Dal 2006 il tuo sito imparziale su Lavoro, Fisco, Investimenti, Pensioni, Aziende ed Auto

Regole di comportamento per dipendenti statali che usano computer e sistemi informatici pubblicati da ACN

di Marcello Tansini pubblicato il
Regole comportamento dipendenti statali

Cosa prevedono e per chi le nuove linee guida dell’Agenzia per la Cybersicurezza Nazionale (ACN) per i dipendenti pubblici che usano sistemi informatici e digitali a lavoro

La crescente dipendenza della Pubblica Amministrazione (PA) da sistemi informatici e soluzioni digitali impone una rafforzata attenzione sul piano della sicurezza cibernetica. In un panorama europeo caratterizzato dall’aumento degli attacchi informatici e dalla trasformazione digitale dei processi pubblici, la ridefinizione delle regole di comportamento per il personale statale che utilizza computer e infrastrutture IT risulta ormai necessario soprattutto per il rafforzamento della cybersicurezza nazionale. 

Il ruolo dell'Agenzia per la Cybersicurezza Nazionale e la nascita del vademecum

L’Agenzia per la Cybersicurezza Nazionale (ACN) si configura come l’ente di riferimento per la definizione delle strategie di difesa digitale della PA. Il suo ruolo prioritario consiste nell’elaborare linee guida, regolare requisiti e standard tecnici, e vigilare sull’applicazione delle normative, oltre che raccogliere le segnalazioni di incidenti e coordinare le risposte operative.

In questo contesto, ACN ha pubblicato il vademecum "Buone pratiche di cybersecurity di base per i dipendenti delle PP.AA.", un documento strutturato per rafforzare il ruolo attivo del personale pubblico nella prevenzione dei rischi informatici. Il vademecum muove dalla constatazione che errori umani e comportamenti inadeguati costituiscono ancora la principale causa di vulnerabilità nei sistemi pubblici.

Il documento fornisce, attraverso 12 linee guida pratiche, uno strumento operativo per prevenire minacce quali phishing, furto di credenziali, ransomware e uso improprio delle tecnologie emergenti.

Le 12 regole di comportamento per la cybersecurity dei dipendenti pubblici

Il vademecum dell’ACN si articola in 12 regole basilari, concepite per incidere sulla quotidianità delle azioni svolte dal personale statale presso qualsiasi postazione informatica. Queste direttive sono state elaborate considerando le principali tipologie di attacco alla PA e le best practice internazionali in materia di gestione dei rischi digitali:

  • Utilizzare l’autenticazione a più fattori (MFA): la sola password non è più sufficiente, il secondo fattore riduce drasticamente i rischi di accessi non autorizzati.
  • Impostare password robuste e univoche tra vita professionale e privata: evitare dati personali come date di nascita e optare per sistemi di gestione affidabili.
  • Bloccare il dispositivo all’allontanamento: lasciare un computer sbloccato equivale a esporre dati riservati a rischi di accessi indesiderati.
  • Aggiornare tempestivamente software e sistemi: posticipare gli aggiornamenti espone a vulnerabilità già note e sfruttabili dagli attaccanti.
  • Installare solo software autorizzati: download da fonti esterne non ufficiali aumenta il rischio di introduzione di malware.
  • Usare esclusivamente dispositivi e supporti forniti dall’ente: dispositivi personali possono costituire vettore di infezioni informatiche.
  • Prestare attenzione alle email sospette o con link/ allegati non verificati: il phishing è una delle principali cause delle violazioni informatiche in ambito PA.
  • Segnalare tempestivamente lo smarrimento di dispositivi aziendali: la rapidità nella comunicazione riduce i impatti negativi potenziali.
  • Evitare connessioni a reti Wi-Fi pubbliche non protette: queste reti rappresentano un punto di ingresso preferenziale per molteplici attacchi.
  • Segnalare ogni anomalia di funzionamento: anche piccoli rallentamenti possono essere sintomo di compromissioni informatiche.
  • Limitare l’uso della mail istituzionale esclusivamente alle attività lavorative: evitare la registrazione a servizi privati o newsletter.
  • Non condividere dati sensibili tramite sistemi di intelligenza artificiale non gestiti dalla PA: la riservatezza degli strumenti esterni non sempre è garantita.

Misure organizzative, tecniche e documentali richieste: procedure 

Oltre ai comportamenti individuali, la conformità alle disposizioni sulla sicurezza informatica richiede una solida struttura procedurale documentata. ACN e la normativa di recepimento NIS2 prevedono:
  • Procedure di gestione del rischio e valutazione periodica delle vulnerabilità tecniche e organizzative.
  • Piani per la formazione tecnica e la consapevolezza dei dipendenti, con specifica attenzione all’affidabilità delle risorse umane.
  • Gestione completa dei processi di credenziali e autorizzazioni, monitoraggio logico dei sistemi, e procedure di backup, cifratura e aggiornamento software.
  • Misure organizzative e tecniche, tra cui la protezione della rete tramite firewall, la separazione delle reti interne e l’adozione del principio del privilegio minimo negli accessi.
  • Procedure documentali per gestione della supply chain, audit di compliance ai fornitori, verifica periodica delle policy e gestione efficace degli incidenti.
  • Piano di risposta agli incidenti e piano di continuità operativa, che includa metriche di recovery e comunicazioni tempestive agli utenti e al CSIRT Italia.
Ambiti coperti dalle misure ACN Esempi di strumenti e procedure
Gestione del rischio Valutazione qualitativa periodica, registri delle azioni di mitigazione
Credenziali e accessi Policy MFA, Revisione annuale autorizzazioni
Backup e recovery Prove regolari di restore, copie cifrate offline
Audit periodici Check-list di verifica di compliance

Ruoli e competenze: il referente per la cybersicurezza e la governance interna

L’assetto di governance introdotto dal legislatore pone l’accento sulla nomina di un referente per la cybersicurezza, figura incaricata di presidiare politiche e processi in materia all’interno di ogni ente obbligato. Il referente è individuato tra personale in possesso di competenze tecniche, capacità di analisi del rischio e doti gestionali.

Le sue responsabilità includono:

  • Identificare e mitigare i rischi informatici
  • Progettare e implementare procedure e policy aggiornate
  • Monitorare il rispetto degli obblighi normativi e dialogare con ACN e autorità di settore
  • Coordinare eventuali risposte a incidenti e supervisionare le attività di formazione interna. 
Leggi anche
Contratto StataliPubblica Amministrazione
© 2005-2025 BusinessOnline.it - B76361401 - Calle Muelle Las Palmas 2A Local 1, Las Palmas, Spain 35003
Chi Siamo - Redazione - Contatti - Policy Editoriale - Disclaimer - Note Legali - Privacy - Pubblicità - Cookies - Privacy & Cookies Settings