![[IRT@UniSI] VADEMECUM Buone pratiche di cybersecurity di base per i dipendenti delle PP.AA.](https://www.uet.unisi.it/wp-content/uploads/2016/06/cropped-bannerunisi-1.jpg)
![[IRT@UniSI] VADEMECUM Buone pratiche di cybersecurity di base per i dipendenti delle PP.AA.](https://www.uet.unisi.it/wp-content/uploads/2025/07/vademecum_acn-615x200.jpg)
L’Agenzia per la Cybersicurezza Nazionale (ACN) ha recentemente pubblicato un vademecum di “buone pratiche di cybersecurity di base” destinato ai dipendenti delle PP.AA. italiane con l’obiettivo di sensibilizzare sulle buone pratiche che ogni utente deve adottare per migliorare la sicurezza delle Istituzioni.
Il documento descrive 12 buone pratiche da adottare per ridurre la possibilità di essere vittime di un attacco informatico, sottolineando l’importanza della consapevolezza del personale a tal proposito: secondo le statistiche, oltre il 50% degli attacchi informatici inizia a causa di errori umani.
Di seguito riportiamo i 12 punti del Vademecum.
1 – ATTIVA SEMPRE L’AUTENTICAZIONE A PIÙ FATTORI (MFA)
Non basta inserire una password. Rendere disponibile e attivare sempre il secondo fattore di accesso: un codice temporaneo inviato via app o SMS. È una barriera semplice, ma molto efficace contro gli accessi non autorizzati.
2 – USA PASSWORD ROBUSTE E DIVERSE PER LAVORO E VITA PRIVATA
Non condividerle mai con nessuno. Evita nomi, date di nascita o parole comuni. Crea password robuste, uniche per ogni account. Non usare la stessa password per servizi personali e accessi dell’Amministrazione.
3 – BLOCCA SEMPRE IL DISPOSITIVO QUANDO TI ALLONTANI
Un PC sbloccato è una porta aperta sui tuoi dati. Anche pochi minuti lontano dalla scrivania bastano per compromettere la sicurezza. Quando ti allontani dalla postazione di lavoro disconnetti sempre la tua utenza.
4 – AGGIORNA SEMPRE IL SISTEMA SENZA RIMANDARE
Ogni aggiornamento corregge falle di sicurezza note agli attaccanti. Un dispositivo non aggiornato è come una porta lasciata socchiusa. Quando richiesto dall’IT, installa sempre gli aggiornamenti appena disponibili.
5 – INSTALLA SOLO SOFTWARE AUTORIZZATO DALLA P.A.
Anche un programma apparentemente innocuo può nascondere malware. Non scaricare software da siti non ufficiali o su iniziativa personale. Se serve un nuovo strumento, chiedi sempre l’autorizzazione.
6 – USA SOLO SUPPORTI E DISPOSITIVI AUTORIZZATI DALLA TUA P.A.
Chiavette USB, hard disk esterni o dispositivi personali non autorizzati possono infettare l’intera rete. Se non fanno parte della dotazione ufficiale, non usarli per memorizzare o trasferire dati. La sicurezza inizia da ciò che colleghi.
7 – NON FIDARTI MAI DI EMAIL URGENTI O CON LINK SOSPETTI
Molti attacchi iniziano con una email o un messaggio che sembrano legittimi. Controlla sempre l’identità reale del mittente, anche se ti fidi. Se hai un dubbio, non rischiare: segnala subito al team di sicurezza.
8 – SE PERDI UN DISPOSITIVO AVVISA SUBITO IL TEAM DI SICUREZZA
Un computer, un telefono o una chiavetta smarriti possono contenere dati riservati. Anche pochi minuti senza protezione possono bastare a causare una violazione. Segnala immediatamente lo smarrimento: è un gesto di responsabilità, non di colpa.
9 – EVITA DI CONNETTERTI A WI-FI PUBBLICHE NON PROTETTE
Le reti pubbliche (es. in bar, stazioni, hotel) possono essere usate per intercettare dati sensibili. Se proprio devi collegarti, attiva una VPN, meglio se fornita dall’Amministrazione. Meglio una connessione lenta ma protetta, che una veloce ma pericolosa.
10 – SEGNALA SUBITO OGNI ANOMALIA, ANCHE SE SEMBRA PICCOLA
Un rallentamento, un accesso strano, un file che non riconosci: potrebbe essere l’inizio di un attacco. Non ignorare mai un comportamento anomalo del tuo dispositivo. Segnalare subito può fare la differenza tra un rischio contenuto e un danno grave.
11 – USA LA EMAIL DI LAVORO SOLO PER ATTIVITÀ ISTITUZIONALI
Non iscrivere la tua email istituzionale a newsletter, siti commerciali o gruppi privati. Evita di usarla per registrarti a servizi non autorizzati. Ogni iscrizione esterna espone l’Amministrazione a rischi di tracciamento, spam e attacchi mirati.
12 – NON INSERIRE MAI DATI SENSIBILI NELLE CHAT DI INTELLIGENZA ARTIFICIALE
Strumenti come chatbot, LLM o in generale l’IA generativa non sono ambienti protetti, a meno che non siano specificamente resi disponibli dalla P.A. Usali solo per attività generiche, MAI per contenuti sensibili, critici o che riguardano la sicurezza nazionale.
Il Vademecum è scaricabile, in formato PDF, da questa URL: Vademecum_Cybersecurity-di-base.pdf
Ricordiamo che potete inviare a abuse@unisi.it eventuali mail sospette ricevute sugli account istituzionali, seguendo le istruzioni a questa pagina: Come segnalare correttamente un tentativo di phishing