Dalle password all’IA generativa: il nuovo vademecum ACN rivela come il 50% degli attacchi cyber alla PA nasce da un clic sbagliato. Le regole per le scuole

Le minacce cyber colpiscono quotidianamente le amministrazioni

Il panorama delle minacce informatiche si è aggravato significativamente, con le crisi geopolitiche che hanno moltiplicato gli attacchi collegati ai conflitti in atto. Dall’invasione russa dell’Ucraina alla guerra in Medio Oriente, gli attacchi cyber non conoscono confini geografici e colpiscono strutture critiche in tutto il mondo.

L’ACN rileva che circa il 20% degli attacchi subiti dall’Italia hanno riguardato le Pubbliche Amministrazioni, con conseguenze devastanti su servizi essenziali. Particolarmente colpite le strutture sanitarie, dove sono stati bloccati i servizi di prenotazione e l’operatività dei sistemi diagnostici come TAC e risonanze magnetiche, causando danni a migliaia di cittadini e gravi conseguenze reputazionali per la pubblicazione dei dati sanitari dei pazienti. Gli attacchi hanno inoltre impattato fornitori di servizi digitali sistemici, con rischi di gravi ritardi nei pagamenti, come nel caso eclatante di dicembre 2023 che riguardava l’erogazione delle tredicesime.

Le dodici regole per la sicurezza quotidiana

Il vademecum identifica dodici buone pratiche fondamentali che ogni dipendente pubblico deve applicare quotidianamente. Tra le misure più critiche emerge l’autenticazione a più fattori (MFA), che richiede sempre un secondo fattore di accesso oltre alla password, rappresentando “una barriera semplice, ma molto efficace contro gli accessi non autorizzati”.

Le password robuste costituiscono un altro pilastro fondamentale: devono essere diverse per lavoro e vita privata, uniche per ogni account ed evitare nomi, date di nascita o parole comuni. Il documento sottolinea l’importanza di bloccare sempre il dispositivo quando ci si allontana dalla postazione, poiché “un PC sbloccato è una porta aperta sui tuoi dati”.

Particolare attenzione viene riservata all’intelligenza artificiale generativa: i sistemi di IA come chatbot e assistenti virtuali raccolgono dati indiscriminatamente e “dentro questi sistemi oggi ci sono già documenti riservati, sanitari, legali, tecnici” caricati spesso per errore da dipendenti pubblici di tutto il mondo. Il vademecum vieta categoricamente l’inserimento di dati sensibili nelle chat di intelligenza artificiale, consentendone l’uso solo per attività generiche e mai per contenuti critici o riguardanti la sicurezza nazionale.

Altre misure essenziali includono l’aggiornamento tempestivo dei sistemi, l’installazione esclusiva di software autorizzato, l’uso di dispositivi e supporti approvati dalla PA, la diffidenza verso email urgenti con link sospetti, la segnalazione immediata di dispositivi smarriti, l’evitare connessioni a Wi-Fi pubbliche non protette e l’uso della email istituzionale esclusivamente per attività lavorative.