Introduzione
La Pubblica Amministrazione (PA) italiana è sempre più coinvolta in processi di digitalizzazione, spinta sia da direttive europee che da iniziative nazionali, come il Piano Triennale per l’Informatica nella PA curato da AgID. La transizione al digitale porta con sé grandi opportunità di innovazione, efficienza e trasparenza, ma espone anche a nuove vulnerabilità in un contesto caratterizzato da una crescente sofisticazione degli attacchi informatici.
Se da un lato si discute molto di data center, cloud e sicurezza a livello infrastrutturale, non bisogna trascurare l’importanza dei client: i dispositivi fisici e virtuali con cui i dipendenti accedono ai sistemi informativi della PA. Desktop, laptop, tablet e smartphone
rappresentano infatti il primo punto di contatto con l’utente, ma anche una potenziale porta
di ingresso per minacce esterne.
La protezione dei client è quindi una priorità strategica, in quanto la compromissione di un singolo dispositivo può portare a conseguenze estese, dalla fuga di dati sensibili fino al blocco operativo di interi uffici.
I rischi legati ai client nella PA
I dispositivi client — PC, laptop, tablet, smartphone e endpoint vari — sono spesso i punti di ingresso più vulnerabili nella catena di sicurezza della Pubblica Amministrazione. Le minacce sono molteplici e operative su diversi fronti:
Attacchi mirati e vulnerabilità infrastrutturali
Secondo il Rapporto CLUSIT 2022, gli attacchi cyber con impatto elevato sono cresciuti al 79% del totale, colpendo in particolar modo i servizi governativi. Gli endpoint sono tra i bersagli preferiti. Dispositivi mobili, sistemi IoT e telecamere sono vulnerabili non solo perché difficili da inventariare e aggiornare, ma anche perché frequentemente connessi senza adeguata protezione e molte PA italiane sono state vittima di ransomware e malware su dispositivi non aggiornati.
Le conseguenze degli attacchi vanno oltre il blocco dei sistemi: includono furto di dati riservati, interruzione di servizi essenziali, danni economici e penalità GDPR.
Errori umani e facilità di compromissione
Il fattore umano è responsabile in oltre il 90% degli incidenti di sicurezza. Comportamenti a rischio includono: clic impulsivi, condivisione di credenziali, salvataggio non sicuro delle password, download da fonti non ufficiali, password deboli, apertura di allegati sospetti e navigazione su siti ingannevoli.
Connessioni remote e smartworking
Lavorare da reti domestiche o pubbliche, con dispositivi non aziendali, espone a rischi aggiuntivi. Spesso i PC di casa non sono aggiornati o protetti adeguatamente.
Il rischio è amplificato se non si utilizza una VPN end-to-end, lasciando i dati esposti a intercettazioni o attacchi man-in-the-middle.
Superficie di attacco ampliata
L’adozione di servizi cloud e SaaS espande la superficie d’attacco, moltiplicando i dispositivi endpoint coinvolti. Anche con sistemi cloud resilienti, senza protezione sugli endpoint si rimane esposti.
L’attacco ransomware contro servizi cloud utilizzati da PA ha dimostrato la fragilità di sistemi altamente integrati, con impatti sull’operatività quotidiana.
Phishing, malware e minacce interne
Le PA subiscono frequentemente phishing, ransomware, DDoS: attacchi che possono compromettere dati, bloccare operatività e danneggiare servizi vitali. Un esempio emblematico è l’attacco WannaCry al sistema sanitario del Regno Unito.
Il rischio interno non è solo tecnico: anche i dipendenti, consapevolmente o meno, possono diffondere informazioni o agire senza autorizzazione.
Inoltre, alcuni malware — come AgentTesla, Formbook, Ursnif — sono progettati per sottrarre dati da endpoint tramite tecniche evade detection.
Privilegi eccessivi e cattiva gestione
Un’installazione client vulnerabile (come Desktop Telematico senza aggiornamenti SSL) può
diventare vettore per attacchi MITM e infezioni via rete.
Permessi amministrativi eccessivi su client Windows causano che oltre l’80% degli attacchi su sistemi Microsoft risulterebbe inefficace in assenza di diritti admin. Revocare gli account admin riduce drasticamente la superficie di attacco.
Furto o perdita dei dispositivi
Laptop e smartphone contengono dati sensibili. Senza cifratura e wipe remoto, lo smarrimento può trasformarsi in violazione dei dati ai sensi del GDPR.
Un’analisi dettagliata dei rischi legati ai client consente di comprendere come anche un solo endpoint compromesso possa minare l’intera infrastruttura della PA. Questo rende evidente la necessità di una difesa stratificata: formazione del personale, gestione centralizzata, aggiornamenti sistematici, policy rigide sui privilegi, uso di VPN e protezione antimalware avanzata.
Soluzioni tecnologiche per la protezione dei client
La gestione dei rischi sui dispositivi endpoint nella PA deve basarsi su un mix di strumenti tecnologici consolidati e di approcci innovativi. Alcune soluzioni concrete includono:
Endpoint Detection and Response (EDR) / Extended Detection and Response (XDR)
Strumenti che vanno oltre il semplice antivirus, permettendo di analizzare i comportamenti sospetti del dispositivo, identificare tentativi di compromissione e rispondere in maniera automatizzata.
Nella PA, l’adozione di EDR centralizzati consente di ridurre i tempi medi di rilevamento
(MTTD) e risposta (MTTR), abbattendo i rischi di escalation.
Patch management centralizzato
Una delle principali falle è l’assenza di aggiornamenti. Strumenti come WSUS (Windows Server Update Services), SCCM o piattaforme MDM consentono di applicare patch in maniera uniforme, evitando che singoli client restino indietro.
Diversi attacchi ransomware, incluso WannaCry, hanno avuto successo proprio sfruttando patch non applicate.
Cifratura e Data Loss Prevention (DLP)
Ogni dispositivo della PA dovrebbe avere il disco cifrato (es. BitLocker, FileVault) per proteggere i dati anche in caso di furto fisico.
Sistemi DLP aggiungono un livello di protezione impedendo la copia non autorizzata di dati sensibili su supporti esterni o cloud non istituzionali.
Autenticazione forte e gestione delle identità
MFA basata su token, OTP, app dedicate o smart card è fondamentale per ridurre i rischi di furto credenziali.
L’uso combinato di SPID e CIE garantisce conformità normativa e sicurezza degli accessi.
Soluzioni di rete e isolamento
VPN sicure per l’accesso remoto con cifratura end-to-end.
Segmentazione della rete per isolare i client e impedire movimenti laterali in caso di compromissione.
Accesso condizionato (conditional access), che consente l’accesso solo a dispositivi
conformi e aggiornati.
Approcci organizzativi e culturali
Oltre alla tecnologia, la riduzione dei rischi richiede una gestione organizzativa e culturale:
- Politiche di sicurezza chiare: documenti interni che stabiliscono regole di utilizzo dei client, gestione password, installazione software, uso di dispositivi USB, accesso remoto.
- Principio del minimo privilegio: garantire agli utenti solo i permessi strettamente necessari, evitando account amministrativi diffusi.
- Formazione continua: programmi di awareness con test pratici (es. simulazioni di phishing).
- Monitoraggio e audit periodici: controlli regolari sullo stato dei dispositivi e delle policy applicate.
- Piani di risposta agli incidenti (IRP): ogni PA dovrebbe avere un protocollo per reagire rapidamente in caso di compromissione di un client.
Tabella comparativa: rischi e soluzioni per la sicurezza dei client nella PA
| Rischio | Descrizione | Soluzioni consigliate |
| Accessi non autorizzati | Furto o uso improprio delle credenziali | MFA, SPID/CIE, IAM, password policy |
| Vulnerabilità software | Mancanza di aggiornamenti critici | Patch management centralizzato, inventario asset |
| Uso improprio dei dispositivi | Software non autorizzato, USB, allegati rischiosi | Policy interne, MDM, DLP, whitelisting applicativo |
| Smart working e BYOD | Accessi da reti insicure | VPN cifrate, MDM, segmentazione rete |
| Phishing e malware | Email fraudolente, allegati infetti | EDR/XDR, sandboxing, formazione al phishing |
| Minacce interne | Diffusione dati da parte dei dipendenti | SIEM, log accessi, auditing, formazione |
| Privilegi eccessivi | Account amministrativi non controllati | Minimo privilegio, revisione permessi |
| Furto o perdita | Dispositivi smarriti con dati sensibili | Cifratura disco, wipe remoto, backup sicuri |
Conclusioni
a gestione della sicurezza dei client nella Pubblica Amministrazione non può essere considerata un tema secondario. Al contrario, rappresenta uno dei pilastri della resilienza cibernetica delle istituzioni.
Integrare tecnologie avanzate, processi organizzativi e formazione significa trasformare i client da punto debole a baluardo della sicurezza. Guardando al futuro, il paradigma zero trust, le postazioni cloud-native e l’uso dell’intelligenza artificiale per il rilevamento delle minacce aprono la strada a una PA più solida e pronta a fronteggiare le sfide del cyberspazio.
Bibliografia essenziale
- AgID – Agenzia per l’Italia Digitale, Piano Triennale per l’Informatica nella PA 2024-2026.
- Regolamento (UE) 2016/679 (GDPR) – Regolamento generale sulla protezione dei dati.
- Direttiva (UE) 2022/2555 (NIS2).
- ACN – Agenzia per la Cybersicurezza Nazionale, Linee guida per la sicurezza ICT nella PA, 2023.
- ENISA, Guidelines on securing endpoints, 2022.
- NIST, Special Publication 800-171.
- NIST Special Publication 800-207, Zero Trust Architecture, 2020.
- CLUSIT, Rapporto Clusit 2022.
di Alessandro Bertulletti






