Vademecum dipendenti PP.AA. 

12 buone pratiche di cybersecurity

Settembre 2025: ACN ha pubblicato il “Vademecum: Buone pratiche di cybesercurity di base per i dipendenti delle PP.AA.”.

Si tratta di una presentazione in slide in cui viene data rilevanza all’urgenza di un approccio responsabile per difendere la sicurezza digitale dell’Amministrazione Pubblica e la fiducia tra cittadini e istituzioni. Si stimano infatti 756 eventi cyber contro la P.A. nel 2024 di cui il 50% partiti da errori umani* (*dalla relazione annuale al Parlamento 2024 di ACN).

Nel Vademecum, ACN illustra dunque 12 buone pratiche focalizzate su comportamenti e regole che ogni Amministrazione deve adottare.

Clicca sul pulsante per visualizzare il Vademecum sul portale ACN:

Vademecum dipendenti PP.AA. – 12 regole

Di seguito si riporta un estratto delle 12 regole condivise da ACN nel Vademecum dipendenti PP.AA.

1. Attiva sempre l’autenticazione a più fattori (MFA).

Non basta inserire una password. Rendere disponibile e attivare sempre il secondo fattore di accesso: un codice temporaneo inviato via app o SMS. Una barriera semplice, ma molto efficace contro gli accessi non autorizzati.

2. Usa password robuste e diverse per lavoro e vita privata. Evita nomi, date di nascita o parole comuni. Crea password robuste, uniche per ogni account. Non usare la stessa password per servizi personali e accessi dell’Amministrazione.

3. Blocca sempre il dispositivo quando ti allontani. Un pc sbloccato è una porta aperta sui dati. Quando ti allontani dalla PDL disconnetti sempre la tua utenza.

4. Aggiorna sempre il sistema senza rimandare. Ogni aggiornamento corregge falle di sicurezza note agli attaccanti. Un dispositivo non aggiornato è come una porta lasciata socchiusa. Quando richiesto dall’IT, installa sempre gli aggiornamenti appena disponibili.

5. Installa solo software autorizzato dalla P.A. Anche un programma apparentemente innocuo può nascondere malware. Se serve un nuovo strumento, chiedi sempre l’autorizzazione.

6. Usa solo supporti e dispositivi autorizzati dalla tua P.A. Chiavette USB, hard disk esterni o dispositivi personali non autorizzati possono infettare l’intera rete. Se. Non fanno parte della dotazione ufficiale, non usarli per memorizzare o trasferire dati.

7. Non fidarti mai di email urgenti o link sospetti. Molti attacchi iniziano con una mail o un messaggio che sembrano legittimi. Controlla sempre l’identità reale del mittente. Se hai un dubbio, non rischiare: segnala subito al team di sicurezza.

8. Se perdi un dispositivo avvisa subito il team di sicurezza. Un computer, un telefono o una chiavetta smarriti possono contenere dati riservati. Anche pochi minuti senza protezione possono bastare a causare una violazione.

9. Evita di connetterti a wi-fi pubbliche non protette. Le reti pubbliche (es. bar, stazioni, hotel) possono essere usate per intercettare dati sensibili. Se proprio devi collegarti, attiva una VPN, meglio se fornita dall’AmministraIone. Meglio una connessione lenta ma protetta, che una veloce ma pericolosa.

10. Segnala subito ogni anomalia, anche se sembra piccola. Un rallentamento, un accesso strano, un file che non riconosci: potrebbe essere l’inizio di un attacco. Segnalare subito farà la differenza tra un rischio contenuto e un danno grave.

11. Usa la mail di lavoro solo per attività istituzionali. Non scrivere la tua email istituzionale a newsletter, siti commerciali o gruppi privati. Evita di usarla per registrarti a servizi non autorizzati. Ogni iscrizione esterna espone l’Amministrazione a rischi di tracciamento, spam e attacchi mirati.

12. Non inserire mai dati sensibili nelle chat di intelligenza artificiale. Strumenti come chatbot, LLM o in generale l’IA generativa non sono ambienti protetti, a meno che non siano specificamente resi disponibili dalla P.A. Usali solo per attività generiche, MAI per contenuti sensibili, critici o che riguardano la sicurezza nazionale.

Cerchi supporto per la tua Amministrazione Pubblica? Entra in contatto con i nostri referenti e accedi al servizio di orientamento!