SICUREZZA INFORMATICA

Applicazioni Web: le 10 minacce alla sicurezza e i consigli per difendersi

Le applicazioni Web rappresentano un canale di azione privilegiato nel cyberspace, ma la loro diffusione e popolarità le rende un bersaglio appetibile per i criminal hacker. Ecco quali sono le 10 principali minacce alla loro sicurezza e le best practice per disinnescarle

Pubblicato il 18 Ott 2019

Manuela Sforza

Cyber Security Analyst

Applicazioni Web top 10 minacce

Le applicazioni Web rappresentano, nell’odierna società, uno dei principali veicoli di comunicazione oltre che essere un canale privilegiato di azione nel cyberspace.

Purtroppo, però, quanto più raggiungono diffusione e popolarità, tanto più diventano un appetibile bersaglio per i criminali informatici, sia per azioni dimostrative, sia per ottenere un illecito guadagno economico, sia semplicemente per screditare la vittima da un punto di vista reputazionale.

Applicazioni Web: dove si nascondono i pericoli

L’organizzazione internazionale OWASP (Open Web Application Security Project), ha identificato “le big 10”, le dieci minacce più rilevanti per la sicurezza delle piattaforme Web, cui corrisponde un impatto sulla confidenzialità, integrità e disponibilità dei dati (personali e non), processati al loro interno.

Analizziamole nel dettaglio.

Code injection

La cosiddetta “code injection” consiste nell’ introdurre una stringa, suscettibile di essere eseguita, all’interno del sistema informatico, modificandone il flusso dell’esecuzione.

Un esempio molto diffuso è quello dell’SQL Injection, ma l’attacco ha caratteristiche analoghe anche su protocollo LDAP (Lightweight Directory Access Protocol), utilizzato da Active Directory per immagazzinare informazioni su oggetti e utenti del dominio aziendale.

Se infatti il linguaggio lato server che interroga la base dati non esegue i controlli opportuni sui valori dei campi richiesti, oppure non è parametrizzato[1], l’attaccante riesce ad interrompere con il carattere “;” la stringa in esecuzione e ad eseguire query sul database sottostante l’applicazione, fino ad ottenerne il pieno controllo.

L’impatto dell’occorrenza della minaccia può andare dalla semplice perdita di integrità del front end del sito (in ipotesi di defacement), alla ben più rilevante perdita di riservatezza e di disponibilità di dati (personali, sensibili e non), con conseguenze reputazionali ma anche economiche (pensiamo ai casi di risarcimento per danni o alle sanzioni amministrative dell’Autorità Garante).

È altresì da rilevare la possibilità di ricondurre sotto questa categoria di minaccia anche altri canali di attacco, i cosiddetti “command injection attacks”, di cui distinguiamo, per semplicità, 3 tipologie:

  1. iniezioni di comandi attraverso shell: accedere alla riga di comando di un server (in questo caso, la macchina che ospita il sito Web), è uno degli obiettivi archetipici di un hacker; qualora egli riuscisse, sfruttando una vulnerabilità applicativa, ad ottenere un canale di esecuzione da shell (pensiamo alle funzioni dei linguaggi lato server come sistem(), StartProcess(), java.lang.Runtime.exec() ecc.), l’impatto risultante potrebbe essere disastroso, sotto tutti i profili della sicurezza delle informazioni.
  2. incorporazione di contenuti HTML: come per la SQL-injection, qualora il codice dell’applicazione sia stato progettato senza la previsione dei controlli tesi alla neutralizzazione degli script o dei tag HTML, è relativamente semplice concatenare stringhe contenenti “porzioni di pagina” non desiderate, anche sovrapponibili (e resi trasparenti, quindi invisibili) al contenuto lecito ed in grado di attivare malware opportunamente predisposti, al clic del mouse sul nuovo componente ben dissimulato.
  3. iniezione di file: se l’applicazione permette l’upload di file attraverso form, diventa prioritario programmare il software affinché selezioni il contenuto caricato, sulla base della estensione prima di tutto (gli eseguibili potrebbero contenere exploit) e non lo vada ad eseguire automaticamente.

L’ENISA Threat Landscape Report del 2018 rileva come la code injection rappresenti ancora oggi il 51% degli attacchi alle applicazioni Web.

Broken Authentication

Un’altra minaccia spesso sottovalutata che incombe sulle applicazioni Web deriva da una non corretta gestione delle sessioni di autenticazione, quella che da OWASP viene definita Broken Authentication.

Nella fase di sviluppo del sistema di autenticazione è infatti necessario prestare una particolare attenzione a 3 fattori fondamentali:

  1. l’ID di sessione non deve essere visibile all’interno dell’URL perché potrebbe essere “sniffato” da un apposito software e riutilizzato dall’attaccante per instaurare una connessione autenticata;
  2. le password dovrebbero essere cifrate con un algoritmo forte (e meglio sarebbe se l’accesso fosse accompagnato da una seconda richiesta di autorizzazione, su un diverso canale, come l’SMS o la casella mail);
  3. il timeout della sessione non deve essere lungo, per impedire all’attaccante di approfittare dell’intervallo di tempo intercorrente tra la chiusura del browser (da parte dell’utente) e la scadenza della sessione legittima.

Sensitive Data Exposure

La mancata o la non adeguata cifratura dei dati contenuti, cioè la Sensitive Data Exposure, rappresenta la terza grande minaccia delle applicazioni Web.

Qualora infatti esista un’area di utenti registrati al sito, le informazioni ad essi afferenti, caratterizzate da profili di minore o maggiore confidenzialità, devono essere memorizzate da qualche parte, o all’interno di una base dati, oppure nel file system. Tali settori di archiviazione devono essere protetti:

  1. da un adeguato algoritmo di cifratura, nella fase statica di memorizzazione su disco;
  2. da un canale sicuro di comunicazione, nella fase dinamica di trasporto.

XXE – Entità Esterne XML

La quarta minaccia di cui parliamo, colpisce le applicazioni che processano, a qualsiasi livello, file XML.

Se infatti lo sviluppatore non ha provveduto a disabilitare, in tutti i parser XML dell’applicazione, il riferimento alle entità esterne, diventa possibile che l’attaccante riesca a comunicare con il processore XML, mal configurato o non aggiornato, inviandogli un input contenente un reference (ad esempio attraverso un link puntante ad una certa URL) connesso ad un vettore malevolo.

Broken Access Control

Una non corretta assegnazione dei privilegi di accesso alle risorse dell’applicazione rappresenta la quinta categoria di minacce, cui l’OWASP suggerisce di porre attenzione.

Broken Access Control, dunque, ci fa pensare ad una politica di controllo degli accessi non adeguatamente implementata.

La minaccia è tanto più importante quanto più ci si rende conto che i principali software che automatizzano la ricerca delle vulnerabilità si limitano a rilevare la presenza o assenza di un sistema di assegnazione/controllo degli accessi, ma non riescono a capire se questo sia effettivamente funzionante su tutto il perimetro delle risorse utilizzate.

Spesso, infatti, l’accesso a contenuti non pertinenti ad un certo profilo si scopre manualmente, manipolando l’URL con tecniche di parameter tampering, oppure attraverso test scrupolosi, condotti da un team specializzato che tenga conto di tutte le funzionalità (e, aggiungo, delle biforcazioni del flusso di esecuzione) del software.

Security Misconfiguration

La sesta categoria del framework, relativa alla non corretta configurazione di sicurezza, è forse quella più vicina all’intuizione dei non addetti al settore e al senso comune.

Security Misconfiguration vuol dire che certamente (e in via preliminare) un attaccante proverà a sfruttare tutti i difetti macroscopici del sistema, da quelli applicativi, come i difetti del codice (abbiamo accennato prima alla tecnica del parameter tampering, che sfrutta la manipolazione della query string ma i difetti possono anche essere logici, cioè legati ad una non corretta ingegneria del software) e la mancanza di patch, a quelli del layer di trasporto (pensiamo agli attacchi DDoS ad esempio che mirano ad esaurire le risorse delle infrastrutture di rete sovraccaricando di richieste gli apparati a livello di connessione TCP).

Tale categoria, per le ragioni suddette, appare a mio avviso trasversale al modello di OWASP, racchiudendo, come un “container residuale” tutti i vettori connessi ad una implementazione lontana dagli standard medi di sicurezza informatica (ad esempio, la mancata validazione degli input, l’utilizzo incosciente del metodo GET e dei dati in chiaro, l’ignorare la necessità del protocollo TLS, il non condurre la fase di test dell’applicazione ecc.).

XSS – Cross Site Scripting

Questa minaccia riguarda le applicazioni Web strutturate su un paradigma dinamico client/server ed è simile alla criticità che abbiamo analizzato al punto 1, quella delle injection.

Ciò che è importante sottolineare è che, mentre l’injection sfrutta tipicamente la debolezza del codice lato server, nel caso dell’XSS, l’inserimento da parte dell’attaccante di contenuto non voluto, si appoggia sui linguaggi lato client (Javascript è un esempio).

Il risultato è, come dicevo, analogo e consiste in una serie di conseguenze negative, tra cui:

  • esecuzione di script malevolo, anche con tool di monitoraggio da remoto;
  • possibilità di effettuare un redirect del browser su siti illeciti;
  • capacità di iniettare “pezzi” di pagina Web non desiderati su cui innestare eventi;
  • manipolazione e divulgazione di dati.

Enisa, nel suo Threat Landscape Report 2018, considera il Cross Site Scripting tra le “Top 5” nel 2018; la minaccia infatti continua ad occorrere nell’8% dei casi di attacco ad applicazioni Web, in tendenza stabile, rispetto al 2017 e ciò nonostante sia facilmente evitabile sia ex ante, attraverso l’utilizzo di funzioni di escape che neutralizzano i tag degli script, sia ex post, grazie alla facilità di detection da parte dei tool di penetration test.

Tecniche di de-serializzazione

Colpiscono quelle applicazioni che, nel tentativo di trasportare in rete oggetti complessi, ne encapsulano i componenti costituivi in entità, variabili appunto, serializzate, composte da quegli stessi elementi singoli, in serie, separati da caratteri sintatticamente significativi (una virgola, un tag ecc.).

La serializzazione può essere binaria o testuale. Quest’ultimo tipo, realizzabile anche con formati intrinsecamente vulnerabili come il Json o l’XML, è quello più frequentemente preso di mira dagli attaccanti i quali, intromettendosi nel processo di ricostruzione dell’informazione veicolata, possono comprometterne il contenuto.

Anche la minaccia della Insecure Deserialization può essere trattata ex ante, imponendo dei vincoli rigorosi all’oggetto ricostruito, oppure ex post tramite l’utilizzo di tool che monitorino l’integrità dei file.

Utilizzo di componenti con vulnerabilità conosciute

È una minaccia da non sottovalutare. Spesso, infatti, la gratuità di un contenuto o la sua facilità di utilizzo, possono indurre lo sviluppatore (o il committente) ad utilizzarlo nel proprio sistema anche a scapito della sicurezza.

È, inoltre, importante sottolineare che oggi lo sviluppo di applicazioni Web si avvale in buona parte di modelli o pattern preconfezionati, composti da una serie di plugin e librerie che raramente lo sviluppatore conosce nel dettaglio, sia nella loro individualità, sia nella interconnessione con gli altri componenti.

Per questo motivo risulta di primaria importanza partire da un buon progetto di ingegneria del software e passo passo analizzare tutte le funzionalità, anche con strumenti di analisi della composizione del software, effettuare test di vulnerabilità (anche manuali, consultando noti database delle vulnerabilità) ed eventualmente implementare gli aggiornamenti e le patch necessarie.

Insufficiente tracciatura e monitoraggio dei log applicativi

Costituisce l’ultima categoria della nostra rassegna: specialmente se il sistema comporta il trattamento di dati altamente impattanti (sia dal punto di vista aziendale che personale) e l’accesso ad esso da parte di una pluralità di soggetti con diversi livelli di privilegio, diventa necessario implementare un sistema di tracciatura degli eventi rilevanti (il logon e il logoff degli admin, la cancellazione o l’alterazione di una risorsa informativa, tenendo traccia delle operazioni di delete o di alter, l’insert di un’altra risorsa ecc.), degli errori di convalida degli input, tutte segnalazioni che possano darci informazioni in tempo reale ed anche fotografare lo stato del sistema in caso di incidenti.

Applicazioni Web: ecco come mitigare i rischi

Evitare di mettere a punto o trascurare questo tipo di monitoraggio costituisce di per sé una vulnerabilità, dal momento che impedirebbe, al committente e al responsabile dell’applicazione, la detection immediata della violazione e l’attivazione in tempo utile di tutti i meccanismi necessari per minimizzarla, sia da un punto di vista tecnico, attraverso l’innesco di procedure di incident recovery, sia dal punto di vista amministrativo/normativo, mi riferisco a questo proposito alla segnalazione di data breach, esponendo l’organizzazione ad impatti reputazionali ed economici.

NOTE

  1. La parametrizzazione, acquisendo ogni valore inserito dall’utente come parametro di una funzione e non come porzione di stringa, rende inefficaci le operazioni sintattiche di segmentazione della query o di validazione della stessa attraverso la logica booleana.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Speciale PNRR

Tutti
Incentivi
Salute digitale
Formazione
Analisi
Sostenibilità
PA
Sostemibilità
Sicurezza
Digital Economy
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati