Gestione della sicurezza informatica nei client della Pubblica Amministrazione: sfide e buone pratiche

Introduzione

La Pubblica Amministrazione (PA) italiana è sempre più coinvolta in processi di digitalizzazione, spinta sia da direttive europee che da iniziative nazionali, come il Piano Triennale per l’Informatica nella PA curato da AgID. La transizione al digitale porta con sé grandi opportunità di innovazione, efficienza e trasparenza, ma espone anche a nuove vulnerabilità in un contesto caratterizzato da una crescente sofisticazione degli attacchi informatici.

Se da un lato si discute molto di data center, cloud e sicurezza a livello infrastrutturale, non bisogna trascurare l’importanza dei client: i dispositivi fisici e virtuali con cui i dipendenti accedono ai sistemi informativi della PA. Desktop, laptop, tablet e smartphone

rappresentano infatti il primo punto di contatto con l’utente, ma anche una potenziale porta

di ingresso per minacce esterne.

La protezione dei client è quindi una priorità strategica, in quanto la compromissione di un singolo dispositivo può portare a conseguenze estese, dalla fuga di dati sensibili fino al blocco operativo di interi uffici.

I rischi legati ai client nella PA

I dispositivi client — PC, laptop, tablet, smartphone e endpoint vari — sono spesso i punti di ingresso più vulnerabili nella catena di sicurezza della Pubblica Amministrazione. Le minacce sono molteplici e operative su diversi fronti:

Attacchi mirati e vulnerabilità infrastrutturali

Secondo il Rapporto CLUSIT 2022, gli attacchi cyber con impatto elevato sono cresciuti al 79% del totale, colpendo in particolar modo i servizi governativi. Gli endpoint sono tra i bersagli preferiti. Dispositivi mobili, sistemi IoT e telecamere sono vulnerabili non solo perché difficili da inventariare e aggiornare, ma anche perché frequentemente connessi senza adeguata protezione e molte PA italiane sono state vittima di ransomware e malware su dispositivi non aggiornati.

Le conseguenze degli attacchi vanno oltre il blocco dei sistemi: includono furto di dati riservati, interruzione di servizi essenziali, danni economici e penalità GDPR.

Errori umani e facilità di compromissione

Il fattore umano è responsabile in oltre il 90% degli incidenti di sicurezza. Comportamenti a rischio includono: clic impulsivi, condivisione di credenziali, salvataggio non sicuro delle password, download da fonti non ufficiali, password deboli, apertura di allegati sospetti e navigazione su siti ingannevoli.

Connessioni remote e smartworking

Lavorare da reti domestiche o pubbliche, con dispositivi non aziendali, espone a rischi aggiuntivi. Spesso i PC di casa non sono aggiornati o protetti adeguatamente.

Il rischio è amplificato se non si utilizza una VPN end-to-end, lasciando i dati esposti a intercettazioni o attacchi man-in-the-middle.

Superficie di attacco ampliata

L’adozione di servizi cloud e SaaS espande la superficie d’attacco, moltiplicando i dispositivi endpoint coinvolti. Anche con sistemi cloud resilienti, senza protezione sugli endpoint si rimane esposti.

L’attacco ransomware contro servizi cloud utilizzati da PA ha dimostrato la fragilità di sistemi altamente integrati, con impatti sull’operatività quotidiana.

Phishing, malware e minacce interne

Le PA subiscono frequentemente phishing, ransomware, DDoS: attacchi che possono compromettere dati, bloccare operatività e danneggiare servizi vitali. Un esempio emblematico è l’attacco WannaCry al sistema sanitario del Regno Unito.

Il rischio interno non è solo tecnico: anche i dipendenti, consapevolmente o meno, possono diffondere informazioni o agire senza autorizzazione.

Inoltre, alcuni malware — come AgentTesla, Formbook, Ursnif — sono progettati per sottrarre dati da endpoint tramite tecniche evade detection.

Privilegi eccessivi e cattiva gestione

Un’installazione client vulnerabile (come Desktop Telematico senza aggiornamenti SSL) può

diventare vettore per attacchi MITM e infezioni via rete.

Permessi amministrativi eccessivi su client Windows causano che oltre l’80% degli attacchi su sistemi Microsoft risulterebbe inefficace in assenza di diritti admin. Revocare gli account admin riduce drasticamente la superficie di attacco.

Furto o perdita dei dispositivi

Laptop e smartphone contengono dati sensibili. Senza cifratura e wipe remoto, lo smarrimento può trasformarsi in violazione dei dati ai sensi del GDPR.

Un’analisi dettagliata dei rischi legati ai client consente di comprendere come anche un solo endpoint compromesso possa minare l’intera infrastruttura della PA. Questo rende evidente la necessità di una difesa stratificata: formazione del personale, gestione centralizzata, aggiornamenti sistematici, policy rigide sui privilegi, uso di VPN e protezione antimalware avanzata.

Soluzioni tecnologiche per la protezione dei client

La gestione dei rischi sui dispositivi endpoint nella PA deve basarsi su un mix di strumenti tecnologici consolidati e di approcci innovativi. Alcune soluzioni concrete includono:

Endpoint Detection and Response (EDR) / Extended Detection and Response (XDR)

Strumenti che vanno oltre il semplice antivirus, permettendo di analizzare i comportamenti sospetti del dispositivo, identificare tentativi di compromissione e rispondere in maniera automatizzata.

Nella PA, l’adozione di EDR centralizzati consente di ridurre i tempi medi di rilevamento

(MTTD) e risposta (MTTR), abbattendo i rischi di escalation.

Patch management centralizzato

Una delle principali falle è l’assenza di aggiornamenti. Strumenti come WSUS (Windows Server Update Services), SCCM o piattaforme MDM consentono di applicare patch in maniera uniforme, evitando che singoli client restino indietro.

Diversi attacchi ransomware, incluso WannaCry, hanno avuto successo proprio sfruttando patch non applicate.

Cifratura e Data Loss Prevention (DLP)

Ogni dispositivo della PA dovrebbe avere il disco cifrato (es. BitLocker, FileVault) per proteggere i dati anche in caso di furto fisico.

Sistemi DLP aggiungono un livello di protezione impedendo la copia non autorizzata di dati sensibili su supporti esterni o cloud non istituzionali.

Autenticazione forte e gestione delle identità

MFA basata su token, OTP, app dedicate o smart card è fondamentale per ridurre i rischi di furto credenziali.

L’uso combinato di SPID e CIE garantisce conformità normativa e sicurezza degli accessi.

Soluzioni di rete e isolamento

VPN sicure per l’accesso remoto con cifratura end-to-end.

Segmentazione della rete per isolare i client e impedire movimenti laterali in caso di compromissione.

Accesso condizionato (conditional access), che consente l’accesso solo a dispositivi

conformi e aggiornati.

Approcci organizzativi e culturali

Oltre alla tecnologia, la riduzione dei rischi richiede una gestione organizzativa e culturale:

  • Politiche di sicurezza chiare: documenti interni che stabiliscono regole di utilizzo dei client, gestione password, installazione software, uso di dispositivi USB, accesso remoto.
  • Principio del minimo privilegio: garantire agli utenti solo i permessi strettamente necessari, evitando account amministrativi diffusi.
  • Formazione continua: programmi di awareness con test pratici (es. simulazioni di phishing).
  • Monitoraggio e audit periodici: controlli regolari sullo stato dei dispositivi e delle policy applicate.
  • Piani di risposta agli incidenti (IRP): ogni PA dovrebbe avere un protocollo per reagire rapidamente in caso di compromissione di un client.

Tabella comparativa: rischi e soluzioni per la sicurezza dei client nella PA

RischioDescrizioneSoluzioni consigliate
Accessi non autorizzatiFurto o uso improprio delle credenzialiMFA, SPID/CIE, IAM, password policy
Vulnerabilità softwareMancanza di aggiornamenti criticiPatch management centralizzato, inventario asset
Uso improprio dei dispositiviSoftware non autorizzato, USB, allegati rischiosiPolicy interne, MDM, DLP, whitelisting applicativo
Smart working e BYODAccessi da reti insicureVPN cifrate, MDM, segmentazione rete
Phishing e malwareEmail fraudolente, allegati infettiEDR/XDR, sandboxing, formazione al phishing
Minacce interneDiffusione dati da parte dei dipendentiSIEM, log accessi, auditing, formazione
Privilegi eccessiviAccount amministrativi non controllatiMinimo privilegio, revisione permessi
Furto o perditaDispositivi smarriti con dati sensibiliCifratura disco, wipe remoto, backup sicuri

Conclusioni

a gestione della sicurezza dei client nella Pubblica Amministrazione non può essere considerata un tema secondario. Al contrario, rappresenta uno dei pilastri della resilienza cibernetica delle istituzioni.

Integrare tecnologie avanzate, processi organizzativi e formazione significa trasformare i client da punto debole a baluardo della sicurezza. Guardando al futuro, il paradigma zero trust, le postazioni cloud-native e l’uso dell’intelligenza artificiale per il rilevamento delle minacce aprono la strada a una PA più solida e pronta a fronteggiare le sfide del cyberspazio.

Bibliografia essenziale

  • AgID – Agenzia per l’Italia Digitale, Piano Triennale per l’Informatica nella PA 2024-2026.
  • Regolamento (UE) 2016/679 (GDPR) – Regolamento generale sulla protezione dei dati.
  • Direttiva (UE) 2022/2555 (NIS2).
  • ACN – Agenzia per la Cybersicurezza Nazionale, Linee guida per la sicurezza ICT nella PA, 2023.
  • ENISA, Guidelines on securing endpoints, 2022.
  • NIST, Special Publication 800-171.
  • NIST Special Publication 800-207, Zero Trust Architecture, 2020.
  • CLUSIT, Rapporto Clusit 2022.

di Alessandro Bertulletti

La nostra attenzione alla verifica dei contenuti

Gli articoli e i contenuti prodotti dalla nostra redazione sono tutti verificati da esperti del settore. Seguendo una procedura di qualità certificata, i giornalisti della redazione operano a stretto contatto con gli esperti per verificare la correttezza delle informazioni pubblicate. L'obiettivo è quello di fornire a tutti i lettori informazioni verificate e attendibili.