sicurezza dei dati

Data breach, la notifica non basta: misure preventive e sanzioni del Garante

Home Sicurezza digitale
Indirizzo copiato

Quali sono le misure che un’azienda deve adottare per proteggere i dati degli interessati? La mera segnalazione del data breach non è sufficiente: la sanzione del Garante nei confronti di un’azienda ospedaliera

Pubblicato il 4 mar 2025
Chiara Benvenuto

Senior Associate Dipartimento Data Protection Rödl & Partner

Elena Bonvini

Junior Associate Dipartimento Data Protection Rödl & Partner

data breach (1)

Il fenomeno del data breach è un trend in costante crescita. In base al rapporto Clusit 2024, gli attacchi informatici continuano ad aumentare, con un incremento in Italia del 65% nel 2023. Il report annuale IBM “Cost of a Data Breach” ha invece sottolineato che il costo dei data breach nel 2024 è incrementato del 23% rispetto all’anno precedente.

Le sanzioni previste dal Garante possono arrivare fino a 10 milioni di euro o, nel caso di imprese, fino al 2% del fatturato totale annuo mondiale. La mera notifica dell’avvenuto data breach non è sufficiente a rendere esenti le imprese da responsabilità: occorre altresì implementare una serie di misure di sicurezza da aggiornare periodicamente.

GDPR, come gestire un data breach: la guida agile per le aziende

L’articolo verterà sul dettagliare le misure che, secondo i procedimenti del Garante, sono idonee sia a tutelare i dati personali degli interessati che ad essere compliant al GDPR per le aziende.

Il caso: la sanzione del Garante a seguito del data breach ad un’azienda ospedaliera

    Il Garante per la protezione dei dati personali ha concluso il procedimento avviato, a seguito di notifica di data breach, nei confronti di un’azienda ospedaliero-universitaria[1], vittima di un attacco hacker ai propri sistemi informatici nel dicembre 2022, comminando, con provvedimento del 17 ottobre 2024 [doc. web n. 10086523], una sanzione amministrativa pari ad euro 25.000,00.

    Il data breach era stato causato da un malware di tipo ransomware (tipologia di attacco che prevede il blocco all’accesso ai file di un sistema o la cifratura dei dati), introdotto nei sistemi attraverso l’accesso a un PC aziendale con VPN aperta, ed aveva comportato la perdita di riservatezza, integrità e disponibilità dei dati personali di un vasto numero di soggetti, tra cui dipendenti e consulenti, ma anche pazienti. Nonostante ciò, l’attacco non aveva causato l’interruzione dei servizi sanitari.

    L’ispezione condotta dal Garante e le carenze rilevate

    L’ispezione condotta dal Garante a seguito della notifica del titolare del trattamento ha rilevato diverse carenze in relazione agli obblighi di sicurezza stabiliti dal GDPR, principalmente dovute all’uso di sistemi non aggiornati e a misure insufficienti per rilevare tempestivamente le violazioni dei dati e garantire la sicurezza delle reti informatiche. Nel caso di specie, l’impiego di software obsoleti, privi di aggiornamenti di sicurezza, e l’assenza di un sistema di allerta attivo 24 ore su 24, hanno contribuito al verificarsi dell’attacco. Durante l’istruttoria, il Garante ha riscontrato ulteriori lacune, tra cui la mancanza di una procedura di autenticazione a più fattori per l’accesso remoto alla VPN, che avveniva esclusivamente tramite username e password.

    Alla luce del summenzionato provvedimento risulta chiaro che la mera segnalazione all’autorità – seppur tempestiva – del data breach non è sufficiente a rendere esente il titolare del trattamento da qualsivoglia forma di responsabilità, il quale, infatti, è necessario dimostri di aver selezionato, ai sensi degli artt. 24 e 32 GDPR, misure di sicurezza atte a prevenire ed evitare il verificarsi di violazioni di sicurezza, valutato il rischio intrinseco dei trattamenti svolti.

    Gli orientamenti del Garante sul tema data breach

    Con provvedimento del 4 luglio 2024 [doc. web. 10063782], il Garante privacy ha ingiunto a una società di servizi di gestione documentale e comunicazione.[2] il pagamento di 900.000 euro per non essere intervenuta su una vulnerabilità già nota e segnalata dai propri sistemi, portando alla violazione di un elevato numero di dati personali.

    L’attacco ransomware a una società di servizi di gestione documentale e comunicazione

    Dalla ricostruzione effettuata dal Garante il data breach (nello specifico un attacco ransomware), notificato nel mese di agosto 2023, aveva comportato il blocco dei server aziendali nonché di alcune postazioni di lavoro. Nonostante la vulnerabilità fosse stata segnalata prima dal produttore del software (settembre 2022, rendendo disponibili degli aggiornamenti disponibili per l’implementazione da novembre 2022 e volti al rafforzamento della sicurezza cibernetica) e successivamente dalla segnalazione del pericolo di data breach dell’Agenzia per la Cybersicurezza Nazionale (nel novembre 2022), Postel non aveva mai provveduto ad aggiornare i propri sistemi, come consigliato.

    L’incidente ha comportato l’esfiltrazione, e in alcuni casi la perdita di disponibilità, di dati personali relativi a circa 25.000 individui, tra cui dipendenti, ex dipendenti, familiari, dirigenti, candidati a posizioni lavorative e rappresentanti di aziende che avevano rapporti commerciali con Postel. I dati oggetto dell’attacco ransomware, successivamente diffusi nel dark web, riguardavano le informazioni anagrafiche e di contatto, le credenziali di accesso, i dati di pagamento, le informazioni relative a condanne penali e reati, nonché, tra i dati sensibili, quelli sull’appartenenza sindacale e sulla salute.

    Pertanto, tenuto conto della quantità e della tipologia di dati violati, il Garante ha ritenuto che la Società, oltre a non essere riuscita a evitare che avvenisse l’attacco informatico, non avesse nemmeno implementato delle adeguate misure per contrastare gli effetti dell’attacco una volta avvenuto. Nello specifico, l’Autorità ha contestato sia la mancata adozione di aggiornamenti dei software volti a rafforzare la sicurezza cibernetica, sia la protratta inerzia nel notificare la violazione dei dati avvenuta.  

    La mancata adozione di adeguate azioni di mitigazione del rischio

    Secondo il Garante, considerato che l’attacco informatico della Società ha sfruttato due vulnerabilità della piattaforma Microsoft Exchange, che hanno permesso (all’attaccante) di assumere il ruolo di amministratore ed eseguire un codice malevolo, prendendo così il controllo del sistema, la Società avrebbe dovuto adottare le opportune azioni di mitigazione del rischio, indicate dal provider con segnalazione del settembre 2022, tra cui gli aggiornamenti necessari da apportare alla piattaforma Exchange per superare proprio siffatte vulnerabilità.

    Successivamente, anche l’Agenzia per la Cybersicurezza nazionale (ACN) aveva indicato pubblicamente l’esistenza della predetta vulnerabilità. Nonostante ciò, ad agosto 2023, mese in cui la Società ha subito l’attacco informatico e lo ha notificato, la stessa non aveva ancora adottato sui propri sistemi alcuna delle misure predette. Dall’indagine del Garante è emerso, dunque, che la Società, per un periodo di tempo molto lungo (quasi 12 mesi), non sia stata in grado di garantire la necessaria protezione dei dati personali. Tali omissioni hanno portato il Garante ha ritenere che la Società abbia violato gli artt. 5, par. 1, lett. f), 25 e 32 del Regolamento. Inoltre, il Garante ha ritenuto che l’azienda non avesse fornito informazioni sufficienti sulla violazione e sulle misure adottate per mitigare o eliminare le vulnerabilità, ritardando così le verifiche da parte dell’Autorità.

    Sul punto, l’Autorità ha precisato, richiamando le linee guida 9/2022 sulla notifica di violazione dei dati personali ai sensi del GDPR, che oltre alle informazioni espressamente richieste dal Regolamento, il titolare del trattamento deve fornire proattivamente tutte le informazioni necessarie per illustrare in maniera completa le circostanze della violazione, comprese quelle relative alle scelte aziendali in materia di sicurezza dei sistemi e delle informazioni.

    L’importanza del corretto aggiornamento del Registro Data Breach

    In occasione di tale provvedimento è stato possibile cogliere una serie di indicazioni da parte del Garante per valutare in primis la necessità di segnalare il data breach e – in secondo luogo – per far sì che la documentazione inoltrata all’Autorità con la notifica sia esaustiva. Per quanto qui d’interesse, la segnalazione deve includere tutti i dettagli necessari per identificare le caratteristiche dell’attacco informatico che ha originato la violazione dei dati: sul punto, è lo stesso Garante che raccomanda ai titolari del trattamento di documentare dettagliatamente anche le violazioni avvenute in precedenza, sollecitando sul corretto aggiornamento del Registro Data Breach. In sede ispettiva, infatti, il registro dei data breach deve essere messo a disposizione dell’Autorità, ove richiesto: per questo motivo, è importante che il titolare, in occasione di ciascuna violazione, menzioni le misure di sicurezza adottate preliminarmente al suo verificarsi, nonché le azioni rimediali a mitigazione, oltre al calcolo di gravità dell’incidente (secondo la metodologia adottata dall’organizzazione) ed alle motivazioni che eventualmente hanno portato ad escludere la ricorrenza di un obbligo di notifica (e, dunque, al parere del DPO, se presente).

    L’attacco informatico alla Regione Lazio

    In un altro caso, invece, in seguito alle notizie riportate dalla stampa e alle comunicazioni relative alle violazioni dei dati personali, segnalate dalla Regione Lazio e dal Consiglio regionale del Lazio, dovute da un attacco informatico ai sistemi di una società[3] che gestisce le infrastrutture tecnologiche e i sistemi informativi a livello regionale, avvenuto il 31 luglio 2021, il Garante ha avviato un’indagine da cui è emerso che l’attacco, causato da un ransomware, aveva temporaneamente reso indisponibili diversi sistemi e servizi di un’azienda ospedaliera[4], senza tuttavia compromettere i servizi di emergenza. Sebbene l’integrità dei dati non fosse stata compromessa, l’attacco ha causato un ritardo nel ripristino dei sistemi e nella disponibilità dei dati.

    La compromissione di un account appartenente a un dipendente regionale

    L’indagine del Garante ha rivelato che l’attacco è stato reso possibile dalla compromissione di un account appartenente a un dipendente regionale, il cui dispositivo era stato infettato da malware già a marzo 2021. Pertanto, gli hacker hanno utilizzato le credenziali rubate per accedere alla rete aziendale e lanciare l’attacco. Successivamente, è stato accertato che al momento della violazione dei dati, non era prevista una procedura di autenticazione a più fattori per l’accesso VPN.

    L’autenticazione a due fattori è un sistema di sicurezza che richiede agli utenti di fornire due o più elementi di prova per verificare la loro identità: è il caso dell’utilizzo da parte dell’utente di una password in combinato con la richiesta di autorizzazione su proprio device aziendale.

    Nel caso in esame, l’azienda ha fornito agli interessati aggiornamenti sull’attacco, confermando che la compromissione riguardava solo la perdita di riservatezza di due account aziendali, senza compromettere l’integrità e la riservatezza dei dati di ulteriori soggetti. Diversamente, nei confronti dell’Autorità, è mancata la notifica del data breach, portando alla violazione dell’art. 33 par. 1 e 5 del GDPR. Oltre a non aver segnalato l’attacco informatico, nel corso dell’istruttoria avviatasi a seguito delle notifiche di Regione Lazio e Consiglio regionale del Lazio non è stata fornita un’idonea documentazione, omettendo di indicare informazioni chiave come le conseguenze della violazione per gli interessati, le motivazioni sottese alla decisione di non procedere con la notifica, nonché la valutazione del rischio derivante dalla violazione.

    La sanzione del Garante

    Quanto appena indicato ha portato il Garante ad adottare, con provvedimento del 21 marzo 2024 [doc. web n. 10002324], l’ordinanza di ingiunzione, applicando cosi una sanzione amministrativa dell’importo di Euro 10.000,00, per non avere l’azienda “provveduto a notificare la violazione dei dati personali all’Autorità, né a fornire adeguata documentazione sulle decisioni assunte e sulle valutazioni svolte, in grado di comprovare che, con riferimento a tali trattamenti, fosse improbabile che la violazione presentasse un rischio per i diritti e le libertà degli interessati”.

    Misure da implementare per prevenire il data breach e minimizzare i suoi effetti

    Il Garante, nel provvedimento appena citato, ha posto l’attenzione sulle misure da implementare sia per prevenire il data breach che, una volta avvenuto, per minimizzare i suoi effetti, ribandendo gli elementi essenziali che deve presentare la notifica all’Autorità ai sensi dell’art. 33 del GDPR. Tra le misure, si leggono:

    • sorveglianza H24 dei sistemi di monitoraggio: un monitoraggio costante tramite la presenza di personale (interno o esterno) dedicato all’analisi H24 degli alert è in grado di agevolare un riscontro tempestivo del data breach, rendendo possibile intervenire sugli allarmi con maggiore tempestività;
    • misure per segmentare e segregare le reti sulle quali vengono attestate le postazioni di lavoro dei propri dipendenti: è importante adottare, tra le altre, specifiche azioni volte alla segregazione e messa in sicurezza dei diversi sistemi gestiti dalle società. In questo contesto, il Garante fa riferimento al principio del privilegio minimo, in base al quale viene previsto che, a un utente, vengano concessi solo i permessi minimi necessari per svolgere le proprie mansioni;
    • implementazione di misure di autenticazione a due fattori: come illustrato precedentemente il Garante ha sottolineato l’importanza di implementare tali sistemi. Nel caso di specie, è stato contestato il mancato utilizzo di tale misura con riferimento all’accesso VPN;
    • sostituzione, ove presenti, di software di base obsoleti: un grande numero di questi software non dispone di aggiornamenti di sicurezza, rendendoli maggiormente vulnerabili ad un data breach;
    • tempestività della notifica all’Autorità, anche nel caso in cui le informazioni in proprio possesso non siano complete, tramite una “notifica per fasi”: nel caso di specie, il Garante non ha giustificato il ritardo nella notifica da parte della società, ritenendo che quest’ultima avrebbe dovuto “notificare la violazione entro 72 ore dal momento in cui ne era venuta a conoscenza, fornendo le informazioni di cui era in possesso e avvalendosi della facoltà di procedere con una “notifica per fasi””;

    L’importanza della formazione del personale che tratta dati personali

    Comunemente si è portati a pensare che la violazione dei dati personali avvenga esclusivamente a causa di un attacco informatico di un soggetto esterno alla realtà del titolare del trattamento. Ciò – tuttavia – non corrisponde al vero.

    La sicurezza dei dati personali non dipende solo dalle tecnologie utilizzate, ma anche dalle persone che vi interagiscono quotidianamente. Formare il personale aiuta difatti a sensibilizzarlo sull’importanza della minimizzazione dei dati, assicurandosi che vengano raccolti solo i dati necessari per le specifiche finalità, evitando accumuli di informazioni sensibili che potrebbero rappresentare un rischio in caso di incidente. Un dipendente non formato correttamente può, infatti, rappresentare un rischio significativo per la sicurezza delle informazioni, sia attraverso errori involontari che, nel peggiore dei casi, per azioni dolose. Investire in un’adeguata formazione del personale consente di ridurre il rischio di sanzioni e danni reputazionali, tutelando allo stesso tempo la fiducia dei clienti e degli utenti.

    Maggiore è il rischio derivante dal trattamento dei dati e più sono coinvolti soggetti e dati sensibili, tanto più deve essere specifica la formazione del personale. A questa conclusione è arrivato il Garante privacy con il provvedimento del 27 aprile 2023 [doc. web. 9900808] nei confronti di un comune italiano[5]. Nel caso di specie, sono stati violati i dati sensibili sulla salute di diversi soggetti, tramite pubblicazione degli stessi.

    Dall’istruttoria sono emerse carenze nella gestione della documentazione e nella formazione dei responsabili del trattamento dei dati. Nello specifico, è emerso che – da un lato – Roma Capitale, in qualità di titolare del trattamento, non aveva fornito istruzioni adeguate al responsabile del trattamento, una società[6] che espleta i servizi di smaltimento per il comune e – dall’altro –quest’ultima non aveva implementato un’idonea formazione del proprio personale.  Il Garante, seppur accertando l’implementazione della formazione del personale, ha ritenuto questa inadatta in quanto di natura generica. Secondo l’Autorità, dunque, il titolare del trattamento deve predisporre un piano formativo personalizzato per gli autorizzati al trattamento. In sostanza, la formazione del personale – nei casi in cui questi operino in settori ad alto rischio vista la natura sensibile dei dati – non deve limitarsi alle generali disposizioni del GDPR bensì deve essere adatta al contesto.

    Il Garante ha, pertanto, stabilito che il comune, in qualità di titolare del trattamento, non ha fornito istruzioni adeguate a alla società (responsabile del trattamento), violando le normative su come gestire i dati personali, ingiungendo il pagamento di euro 176.000,00 a titolo di sanzione amministrativa pecuniaria.

    Riflessioni finali

    L’analisi dei recenti interventi del Garante per la protezione dei dati personali evidenzia alcune problematiche ricorrenti e indicazioni importanti per la gestione della sicurezza dei dati personali.

    La mancata adozione di sistemi aggiornati, la carenza di misure di sicurezza tempestive e l’assenza di adeguate procedure di autenticazione sono alcune delle cause comuni che possono portare alla violazione dei dati e alla relativa sanzione che – come abbiamo avuto modo di vedere – può essere ingente.

    In questo senso, diverse sono le misure di prevenzione al data breach. In primo luogo, l’adozione di un registro dei data breach, il monitoraggio delle azioni rimediali e la formazione mirata del personale sono strumenti fondamentali per mitigare il ripetersi di data breach. Una formazione generica sul GDPR non è sufficiente, specialmente in contesti ad alto rischio che trattano dati sensibili, come è emerso alla luce dei provvedimenti esaminati. L’implementazione di piani formativi personalizzati, specificamente focalizzati sulle esigenze e i rischi del trattamento, è cruciale per prevenire incidenti e garantire una protezione efficace alla riservatezza dei dati. Tra le altre misure, occorre garantire la sorveglianza costante dei sistemi di monitoraggio tramite la presenza di personale (interno o esterno) dedicato all’analisi H24 degli alert per poter dare risposta rapida agli allarmi, riducendo il rischio di data breach o mitigandone gli effetti. Allo stesso modo, occorre tempestivamente sostituire software divenuti obsoleti, per questo vulnerabili agli attacchi. È altresì fondamentale segmentare e separare le reti, limitando i permessi degli utenti secondo il principio del privilegio minimo. Ulteriori misure sono ravvisabili nell’adozione dell’autenticazione a due fattori, misura importante per rafforzare la sicurezza degli accessi, in particolare per le VPN. Si ricorda, in ultima istanza ma non di minor valore, la necessità di notificare tempestivamente all’Autorità in caso di data breach, anche se le informazioni disponibili sono ancora parziali, procedendo a notifica preliminare, con la possibilità di inviare una “notifica per fasi” per integrare con i dettagli ottenuti successivamente alle indagini condotte.

    Note

    [1] Azienda Ospedaliero-Universitaria SS. Antonio e Biagio e Cesare Arrigo

    [2] Postel S.p.A., provvedimento del 4 luglio 2024 [doc. web. 10063782]

    [3] LAZIOcrea S.p.A.

    [4] ASL Roma 3, provvedimento del 21 marzo 2024 [doc. web n. 10002324]

    [5] Roma Capitale, provvedimento del 27 aprile 2023 [doc. web. 9900808]

    [6] Ama S.p.a., provvedimento del 27 aprile 2023 [doc. web. 9900808]

    @RIPRODUZIONE RISERVATA

    Valuta la qualità di questo articolo

    La tua opinione è importante per noi!

    B
    Chiara Benvenuto
    Senior Associate Dipartimento Data Protection Rödl & Partner
    Seguimi su
    B
    Elena Bonvini
    Junior Associate Dipartimento Data Protection Rödl & Partner
    Seguimi su

    Argomenti

    Canali

    EU Stories - La coesione innova l'Italia

    Tutti
    Video & Podcast
    Analisi
    Social
    Iniziative
    Podcast
    Centro Servizi Territoriali: uno strumento per accompagnare gli enti nell’attuazione della politica di coesione. Il podcast “CapCoe. La coesione riparte dalle persone”
    Podcast
    EU Stories, il podcast | Politiche di coesione e comunicazione: una sinergia per il futuro
    Opinioni
    La comunicazione dei fondi europei da obbligo ad opportunità
    eBook
    L'analisi della S3 in Italia
    Norme UE
    European Accessibility Act: passi avanti verso un’Europa inclusiva
    Agevolazioni
    A febbraio l’apertura dello sportello Mini Contratti di Sviluppo
    Quadri regolamentari
    Nuovi Orientamenti sull’uso delle opzioni semplificate di costo
    Coesione
    Nuovo Bauhaus Europeo (NEB): i premi che celebrano innovazione e creatività
    Dossier
    Pubblicato il long form PO FESR 14-20 della Regione Sicilia
    Iniziative
    400 milioni per sostenere lo sviluppo delle tecnologie critiche nel Mezzogiorno
    Formazione
    “Gian Maria Volonté”: dalle aule al mondo del lavoro, focus sui tirocini della Scuola d’Arte Cinematografica
    TRANSIZIONE ENERGETICA
    Il ruolo del finanziamento BEI per lo sviluppo del fotovoltaico in Sicilia
    Formazione
    “Gian Maria Volonté”: dalla nascita ai progetti futuri, focus sulla Scuola d’Arte Cinematografica. Intervista al coordinatore Antonio Medici
    MedTech
    Dalla specializzazione intelligente di BionIT Labs una innovazione bionica per la disabilità
    Finanza sostenibile
    BEI e E-Distribuzione: investimenti per la sostenibilità energetica
    Professioni
    Servono competenze adeguate per gestire al meglio i fondi europei
    Master
    Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
    Programmazione UE
    Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
    innovazione sociale
    Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
    Programmazione europ
    Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
    Interventi
    Riccardo Monaco e le politiche di coesione per il Sud
    Iniziative
    Implementare correttamente i costi standard, l'esperienza AdG
    Finanziamenti
    Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
    Formazione
    Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
    Interviste
    L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
    Interviste
    La ricerca e l'innovazione in Campania: l'ecosistema digitale
    Iniziative
    Settimana europea delle regioni e città: un passo avanti verso la coesione
    Iniziative
    Al via il progetto COINS
    Eventi
    Un nuovo sguardo sulla politica di coesione dell'UE
    Iniziative
    EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
    Iniziative
    Parte la campagna di comunicazione COINS
    Interviste
    Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
    Analisi
    La politica di coesione europea: motore della transizione digitale in Italia
    Politiche UE
    Il dibattito sul futuro della Politica di Coesione
    Mobilità Sostenibile
    L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
    Iniziative
    Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
    Politiche ue
    Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
    Finanziamenti
    Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
    Analisi
    Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
    Politiche UE
    Innovazione locale con i fondi di coesione: progetti di successo in Italia
    Podcast
    Centro Servizi Territoriali: uno strumento per accompagnare gli enti nell’attuazione della politica di coesione. Il podcast “CapCoe. La coesione riparte dalle persone”
    Podcast
    EU Stories, il podcast | Politiche di coesione e comunicazione: una sinergia per il futuro
    Opinioni
    La comunicazione dei fondi europei da obbligo ad opportunità
    eBook
    L'analisi della S3 in Italia
    Norme UE
    European Accessibility Act: passi avanti verso un’Europa inclusiva
    Agevolazioni
    A febbraio l’apertura dello sportello Mini Contratti di Sviluppo
    Quadri regolamentari
    Nuovi Orientamenti sull’uso delle opzioni semplificate di costo
    Coesione
    Nuovo Bauhaus Europeo (NEB): i premi che celebrano innovazione e creatività
    Dossier
    Pubblicato il long form PO FESR 14-20 della Regione Sicilia
    Iniziative
    400 milioni per sostenere lo sviluppo delle tecnologie critiche nel Mezzogiorno
    Formazione
    “Gian Maria Volonté”: dalle aule al mondo del lavoro, focus sui tirocini della Scuola d’Arte Cinematografica
    TRANSIZIONE ENERGETICA
    Il ruolo del finanziamento BEI per lo sviluppo del fotovoltaico in Sicilia
    Formazione
    “Gian Maria Volonté”: dalla nascita ai progetti futuri, focus sulla Scuola d’Arte Cinematografica. Intervista al coordinatore Antonio Medici
    MedTech
    Dalla specializzazione intelligente di BionIT Labs una innovazione bionica per la disabilità
    Finanza sostenibile
    BEI e E-Distribuzione: investimenti per la sostenibilità energetica
    Professioni
    Servono competenze adeguate per gestire al meglio i fondi europei
    Master
    Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
    Programmazione UE
    Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
    innovazione sociale
    Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
    Programmazione europ
    Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
    Interventi
    Riccardo Monaco e le politiche di coesione per il Sud
    Iniziative
    Implementare correttamente i costi standard, l'esperienza AdG
    Finanziamenti
    Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
    Formazione
    Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
    Interviste
    L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
    Interviste
    La ricerca e l'innovazione in Campania: l'ecosistema digitale
    Iniziative
    Settimana europea delle regioni e città: un passo avanti verso la coesione
    Iniziative
    Al via il progetto COINS
    Eventi
    Un nuovo sguardo sulla politica di coesione dell'UE
    Iniziative
    EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
    Iniziative
    Parte la campagna di comunicazione COINS
    Interviste
    Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
    Analisi
    La politica di coesione europea: motore della transizione digitale in Italia
    Politiche UE
    Il dibattito sul futuro della Politica di Coesione
    Mobilità Sostenibile
    L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
    Iniziative
    Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
    Politiche ue
    Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
    Finanziamenti
    Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
    Analisi
    Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
    Politiche UE
    Innovazione locale con i fondi di coesione: progetti di successo in Italia

    Articoli correlati

    • intelligenza artificiale

      L'impatto della Gen AI sul futuro del lavoro: come cambiano i ruoli

      30 Mag 2024

      di Andrea Cavallaro, Andrea Gaschi e Marco Pinciroli

      Condividi

    • Forum sanità 2024

      FSE 2.0 e AI: sanità del futuro ha un cuore digitale

      08 Gen 2025

      di Marco Foracchia

      Condividi

    • Assocall

      Telemarketing, urge una soluzione per le chiamate false

      25 Ott 2024

      di Leonardo Papagni

      Condividi

    Prossimo

    L'impatto della Gen AI sul futuro del lavoro: come cambiano i ruoli

    Articolo 1 di 4