Il Piano nazionale di ripresa e resilienza prescrive l’aggiornamento, entro 31 dicembre 2022, del Codice di comportamento dei dipendenti pubblici (Dpr 62/2013) con una sezione dedicata al corretto utilizzo delle tecnologie informatiche e dei mezzi di informazione e social media da parte dei dipendenti pubblici, anche al fine di tutelare l’immagine della pubblica amministrazione.
L’attuazione del PNRR passa anche attraverso una maggiore formazione e consapevolezza riguardo ai temi della protezione dei dati personali nella pubblica Amministrazione e, in generale, riguardo all’ambito della tecnologia, della cybersecurity, nonché delle competenze manageriali.
Infatti, il secondo decreto legge per velocizzare l’attuazione del Pnrr (dl 36/2022, conv. con modif. con legge 79/2022) contribuisce al completamento della riforma del pubblico impiego con una fitta rete di novità per le Pa, tra le quali si ricordano, la previsione di nuovi profili professionali soprattutto per sostenere la transizione digitale ed ecologica delle Amministrazioni, una nuova gestione dei concorsi più informatizzata e con un occhio privilegiato a sistemi di valutazione volti ad accertare il possesso delle competenze e delle attitudini (assessment), intese come insieme delle conoscenze e delle capacità logico-tecniche, comportamentali e manageriali.
Non solo. Il Piano nazionale di ripresa e resilienza prescrive l’aggiornamento, entro 31 dicembre 2022, del Codice di comportamento dei dipendenti pubblici (Dpr 62/2013) con una sezione dedicata al corretto utilizzo delle tecnologie informatiche e dei mezzi di informazione e social media da parte dei dipendenti pubblici, anche al fine di tutelare l’immagine della pubblica amministrazione.
Si stabilisce, inoltre, lo svolgimento di un ciclo di formazione obbligatorio sui temi dell’etica pubblica e del comportamento etico sia a seguito di assunzione, sia in ogni caso di passaggio a ruoli o a funzioni superiori, nonché di trasferimento del personale, le cui durata e intensità sono proporzionate al grado di responsabilità.
In particolare, il dl 36/2022, rubricato “Ulteriori misure urgenti per l’attuazione del Piano nazionale di ripresa e resilienza (PNRR)“, si inserisce lungo quel filone di riforma della pubblica Amministrazione, valorizzando la capacità di saper leggere il contesto attuale per modernizzare l’apparato amministrativo e portando in questo modo valore aggiunto al sistema-Paese.
È con l’articolo 4, in particolare, che il Legislatore, sentendo la necessaria spinta dell’innovazione e dell’evoluzione tecnologica e digitale, obbliga le Pa ad effettuare degli interventi precisi nelle regole di comportamento dei propri uffici e servizi.
Come anticipato, il nuovo codice di comportamento dovrà contenere una sezione ad hoc riguardante in primis il corretto utilizzo delle tecnologie informatiche.
Adeguare le organizzazioni al contesto tecnologico-informatico, in continua evoluzione e cambiamento, assume un ruolo centrale nella governance di enti e società, considerando anche i rischi legati alla cyber sicurezza che tale tendenza implica.
Infatti, la digitalizzazione crescente della società, che caratterizza ormai la vita professionale e anche personale delle persone, insieme ad indiscussi vantaggi, implica un aumento delle azioni di malintenzionati che diffondono software malevoli, soprattutto attraverso ransomware e tecniche di phishing, per varie finalità illecite.
Il panorama delle minacce alla sicurezza informatica è cresciuto in termini di sofisticazione degli attacchi, complessità ed impatto. Tale tendenza si è rafforzata dallo spostamento delle attività, a tutti i livelli, nel mondo dell’online, dalla transizione delle infrastrutture tradizionali verso soluzioni online, dall’interconnettività avanzata e dallo sfruttamento di nuove caratteristiche delle tecnologie emergenti.
Tutto ciò è stato spinto esponenzialmente nel periodo pandemico dove molte attività sono state spostate sull’on line, basti pensare allo smart working, all’organizzazione di call da remoto in sostituzione delle tradizionali riunioni.
La crisi sanitaria da Covid-19 ha purtroppo contribuito ad incrementare azioni malevoli da parte di cyber criminali, che hanno spesso utilizzato tecniche di ransomware, una tipologia di attacco attuato con un programma informatico dannoso che “infetta” un dispositivo digitale (PC, tablet, smartphone, smart TV), in cui gli aggressori criptano i dati di un’organizzazione o di un soggetto e successivamente chiedono un pagamento di un riscatto per ripristinare l’accesso. Questo tipo di attacchi avvengono soprattutto attraverso comunicazioni ricevute via e-mail, sms o sistemi di messaggistica che apparentemente sembrano provenire da soggetti conosciuti e affidabili (ad esempio, corrieri espressi, gestori di servizi, operatori telefonici, pubbliche amministrazioni, ecc.), oppure da persone fidate (colleghi di lavoro, conoscenti) e contengano allegati da aprire (spesso “con urgenza”), oppure link e banner da cliccare (per verificare informazioni o ricevere importanti avvisi), naturalmente collegati a software malevoli.
Questi malware mettono a rischio non solo la riservatezza, la disponibilità e l’integrità dei dati personali gestiti dalla società e dall’ente preso di mira, ma anche dati ed informazioni che, ancorché non rientranti nell’ambito applicativo del GDPR, sono indispensabili per il funzionamento dell’organizzazione stessa.
Il rapporto annuale di Enisa di fine 2021 (European Network and Information Security Agency – l’ente costituito a livello europeo che contribuisce allo sviluppo della cultura della sicurezza delle informazioni e delle reti a beneficio dei cittadini, dei consumatori, delle imprese e del settore pubblico europei) chiarisce che il ransomware è stata una delle principali minacce durante il periodo di riferimento, con diversi gravi incidenti di cui ultimamente si è molto parlato. L’importanza e l’impatto della minaccia del ransomware è stata evidenziata anche da una serie di iniziative politiche non solo all’interno dell’Unione europea ma anche a livello mondiale.
Ecco che società ed enti sono ormai consapevoli che nella propria governance aziendale devono necessariamente organizzare presidi, risorse ed attività di cybersecurity. Naturalmente anche le organizzazioni pubbliche devono essere in grado di interpretare il contesto delle cyber minacce, identificando gli eventi malevoli, le tecniche di attacco, gli attori delle minacce, implementando le relative misure di sicurezza al fine di mitigare i rischi.
Parallelamente, occorre curare la formazione dei dipendenti e dei collaboratori sulle tematiche della sicurezza informatica, innanzitutto attraverso una buona informazione sul corretto utilizzo delle strumentazioni informatiche che il datore di lavoro mette a disposizione, al fine dell’espletamento dell’attività lavorativa. Su questa scia, come ha sottolineato l’intervento normativo legato all’attuazione del PNRR, la Pa deve necessariamente strutturarsi e presidiare tali tematiche, anche attraverso specifiche indicazioni, magari sotto forma di specifiche policy, ai propri operatori su come correttamente operare nel momento in cui utilizzano tecnologie informatiche.
Sempre nell’ambito delle organizzazioni pubbliche, tali policy devono includere anche regole chiare su come utilizzare i mezzi di informazione e i social network da parte dei dipendenti pubblici, al fine di tutelare l’immagine della Pa di appartenenza.
A tal riguardo, già le Linee guida Anac del febbraio 2020, relative ai Codici di comportamento delle amministrazioni pubbliche, prendendo atto del rilievo che ad oggi riveste l’utilizzo di social network, avevano suggerito alle Pa di valutare di integrare i codici delle Pa, ad esempio, con il dovere di accedere ai social network nel rispetto delle regole interne che dettano permessi e divieti di utilizzo delle piattaforme social. Tali linee guida avevano, inoltre, sottolineato l’opportunità che il Codice di comportamento nazionale fosse integrato con indicazioni secondo cui i destinatari del codice dovessero mantenere la funzionalità e il decoro degli ambienti, utilizzando gli oggetti, le attrezzature e gli strumenti esclusivamente per finalità lavorative, e adottando comportamenti volti alla riduzione degli sprechi e al risparmio energetico.
O, ancora, prevedendo che i destinatari del Codice si astenessero dal rendere pubblico con qualunque mezzo, compresi il web o i social network, i blog o i forum, commenti, informazioni e/o foto/video/audio che potessero ledere l’immagine dell’amministrazione, l’onorabilità dei colleghi, nonché la riservatezza o la dignità delle persone.
Ad oggi possiamo osservare come tali indicazioni siano state assorbite, rendendole obbligatorie, dal secondo decreto di attuazione del PNRR.