Informazioni personali

La mia foto
Vistarino, Lombardy, Italy

Cerca nel blog

Translate

giovedì 10 luglio 2025

 

Email Security e DLP nella Pubblica Amministrazione Italiana: Norme, Rischi e Strategie di Conformità

     07/10/2025    Aggiornamenti tecnici in ItalianoAI Tech Update

originally posted on Linkedin: https://www.linkedin.com/pulse/email-security-e-dlp-nella-pubblica-amministrazione-italiana-ieran%C3%B2-qffkf/?trackingId=Wtj7GYczSimWK9smvd%2F9SA%3D%3D

✍️ Lo so, ho esagerato (di nuovo).
Dopo l’articolo-fiume sulle Multiutility, andare corto sulla Pubblica Amministrazione sarebbe stato un crimine contro la coerenza.
E poi diciamolo: sintetizzare la PA italiana in poche righe è come riassumere il Codice dell’Amministrazione Digitale su un post-it.
Spoiler: non si può.
In questo nuovo approfondimento affronto un tema sottovalutato ma micidiale per enti pubblici grandi e piccoli: la sicurezza delle email e la prevenzione della perdita di dati (DLP).
Tra GDPR, NIS2, CAD, AgID, ACN, PEC che non cifrano e referti che volano in CC, ce n’è per tutti i gusti — anche per gli avvocati dei sindacati.
📬 Email, PEC, chat, drive: chi protegge davvero le comunicazioni istituzionali?
📉 Quanti data breach si potrebbero evitare con una policy DLP fatta bene (e non solo messa nel cassetto)?
⚖️ E quanto costa oggi NON essere compliant?
Ve lo racconto — con ironia, ma anche con sentenze, provvedimenti del Garante, riferimenti normativi e tanti esempi tratti dal Belpaese delle password in chiaro.
Buona lettura (a puntate).
Se avete feedback, richieste o volete aggiungere qualche aneddoto tragicomico… sapete dove trovarmi.
🔗 Leggi l’articolo completo qui 👉

1. Introduzione

La posta elettronica è uno strumento essenziale nelle comunicazioni della Pubblica Amministrazione (PA) italiana, ma rappresenta anche una fonte significativa di rischi per la sicurezza dei dati e la conformità normativa. Email Security si riferisce all’insieme di misure per proteggere la riservatezza, integrità e disponibilità delle comunicazioni email, mentre Data Loss Prevention (DLP) indica strategie e soluzioni per prevenire la fuoriuscita non autorizzata di informazioni sensibili. Nella PA, garantire la sicurezza delle email significa non solo difendersi da attacchi informatici (come phishing e malware), ma anche evitare violazioni dei dati personali, errori umani (es. invii a destinatari errati) e assicurare il rispetto delle normative vigenti (GDPR, Codice Privacy, direttive UE e leggi nazionali).

Questo documento tecnico-giuridico fornisce un quadro aggiornato di norme e obblighi in materia, analizza i principali rischi legati all’email nella PA e delinea strategie di conformità. Sono integrati approfondimenti su concetti chiave e casi reali (tramite appositi box), ad esempio provvedimenti del Garante Privacy e sentenze, per illustrare le sfide concrete. Inoltre, è dedicato un focus specifico al diritto all’oblio e alle difficoltà tecniche della sua attuazione nei sistemi digitali della PA. L’obiettivo è offrire a DPO (Responsabili della protezione dati), referenti privacy, dirigenti ICT, e auditor pubblici una guida chiara e pratica, con linguaggio accessibile ma rigoroso, su come navigare tra obblighi normativi e soluzioni tecniche di sicurezza (come i sistemi DLP) senza citare prodotti specifici.

2. Quadro Normativo di Riferimento

La sicurezza delle informazioni e la protezione dei dati nelle comunicazioni digitali della PA sono presidiate da un articolato insieme di normative europee e italiane. Di seguito vengono richiamati i riferimenti chiave – dal GDPR alle recenti direttive UE (NIS2) e leggi nazionali – evidenziandone gli impatti sulla gestione sicura delle email e dei dati in uscita (DLP) nella PA.

2.1 GDPR e Codice Privacy (Protezione dei Dati Personali)

Il Regolamento (UE) 2016/679 (GDPR) e il Codice Privacy italiano (D.Lgs. 196/2003, come modificato dal D.Lgs. 101/2018) costituiscono il fondamento normativo per la tutela dei dati personali anche nelle PA. Il GDPR impone ai titolari (incluse le PA) di adottare misure tecniche e organizzative adeguate a garantire un livello di sicurezza commisurato al rischio (art. 32 GDPR) e principi come minimizzazione e limitazione della conservazione dei dati (art. 5, par.1 lett. c ed e GDPR) bca-legal.com e cybersecurity360.it. Ciò significa, ad esempio, che una PA deve proteggere le informazioni personali contenute nelle email (dai contenuti ai metadati) da accessi non autorizzati, divulgazioni indebite o perdite, e non conservarle più a lungo del necessario. In Europa, il GDPR richiede espressamente agli enti di proteggere i dati personali dei cittadini con misure adeguate digital4.biz, pertanto l’adozione di soluzioni come la DLP aiuta le organizzazioni pubbliche a soddisfare tali requisiti ed evitare sanzioni.

Il Codice Privacy, nel quadro armonizzato dal GDPR, contiene disposizioni nazionali integrative. Ad esempio, prescrive specifiche garanzie in ambito pubblico: le PA possono trattare dati personali se necessario per l’adempimento dei propri compiti istituzionali, ma devono comunque rispettare i principi di sicurezza e riservatezza. Eventuali violazioni di dati personali (data breach) – come l’invio di email con informazioni sensibili al destinatario sbagliato – obbligano il titolare pubblico a darne notifica al Garante Privacy entro 72 ore (art. 33 GDPR), salvo eccezioni, e potenzialmente a comunicare l’evento agli interessati (art. 34 GDPR) se il rischio per i diritti è elevato.

Le sanzioni amministrative previste possono essere significative anche per gli enti pubblici in caso di gravi negligenze. Inoltre, il Garante Privacy italiano ha emanato provvedimenti che riguardano direttamente l’uso delle email nella PA, fornendo indicazioni interpretative: ad esempio, con un provvedimento del 9 gennaio 2020 ha dichiarato illecito il trattamento effettuato da una PA che aveva inviato una comunicazione email con destinatari multipli in chiaro (violando così la riservatezza reciproca) accademiaitalianaprivacy.it. In quel caso – relativo alla Provincia Autonoma di Trento – l’email conteneva dati sulla salute di minori (stato vaccinale) e l’invio con tutti gli indirizzi visibili ha permesso a ciascun destinatario di conoscere informazioni sugli altri, violando diversi principi del GDPR accademiaitalianaprivacy.it. Il Garante ha ammonito l’ente e ricordato che dati personali (specialmente se sensibili) vanno comunicati in modo sicuro, individuale e minimizzato, ad esempio usando copie conoscenza nascosta (CCN) o invii separati accademiaitalianaprivacy.it.

Approfondimento – Caso di Data Breach in una PA: Un esempio concreto di violazione dovuta a uso improprio dell’email si è verificato quando la Provincia di Trento inviò una comunicazione collettiva riguardante obblighi vaccinali, mostrando in chiaro gli indirizzi di 16 famiglie. Il Garante Privacy, col provvedimento del 9 gennaio 2020, ha dichiarato illecito questo invio “di gruppo” che ha divulgato dati sanitari e identificativi tra i destinatari, violando i principi di liceità, correttezza e minimizzazione accademiaitalianaprivacy.it e accademiaitalianaprivacy.it. L’Autorità non ha applicato una sanzione pecuniaria ma ha ammonito l’ente, considerando anche che la PA aveva autonomamente segnalato l’errore e avvisato gli interessati. Questo caso evidenzia l’importanza di configurare adeguatamente le email istituzionali: mai inserire destinatari multipli in chiaro quando il contenuto include dati personali non divulgabili, ma usare la funzione CCN (copia nascosta) o invii individuali, in modo da tutelare la privacy di ciascuno. Si tratta di una misura semplice ma cruciale per la conformità al GDPR.

Un altro principio rilevante del GDPR è il diritto all’oblio (art. 17), approfondito più avanti, che implica per le PA l’obbligo di cancellare dati personali su richiesta dell’interessato quando non più necessari, salvo che prevalgano obblighi legali di conservazione o interesse pubblico (casi frequenti nel contesto pubblico). In sintesi, GDPR e Codice Privacy impongono alle PA l’adozione di rigorose cautele nella gestione delle email: protezione mediante cifratura e autenticazione, controlli sugli accessi, policy interne chiare sull’uso della posta elettronica istituzionale e formazione del personale per prevenire errori che possano esporre dati di cittadini.

2.2 Direttiva NIS2 (UE 2022/2555) e Recepimento Italiano

La Direttiva (UE) 2022/2555 (NIS2) ha aggiornato e ampliato il quadro europeo di cybersecurity, imponendo obblighi più stringenti sia a soggetti privati essenziali/importanti sia a enti pubblici in settori critici. La NIS2 include tra i destinatari molte organizzazioni pubbliche (ad esempio, enti di governo centrale, sanità, infrastrutture digitali, ecc.), con l’obiettivo di innalzare il livello di resilienza informatica. Essa richiede agli enti:

  • l’adozione di misure di gestione del rischio cyber adeguate (es: controllo degli accessi, sistemi di prevenzione e rilevamento, politiche di sicurezza, gestione vulnerabilità, cifratura dei dati e dei canali di comunicazione, backup, risposta agli incidenti);
  • la designazione di responsabilità a livello dirigenziale in tema di sicurezza informatica;
  • obblighi di segnalazione degli incidenti: notifica preliminare entro 24 ore dall’accertamento di un incidente significativo e report dettagliato entro 72 ore, oltre ad un rapporto finale entro 1 mese.

In Italia, il recepimento di NIS2 è in corso di attuazione. Già a fine 2024 l’Agenzia per la Cybersicurezza Nazionale (ACN) ha avviato la raccolta delle registrazioni dei soggetti rientranti nell’ambito NIS2, pubblici e privati, per creare l’elenco nazionale degli enti essenziali ed importanti agendadigitale.eu. Dal 2025 tali soggetti devono essere conformi alle misure richieste. In pratica, per molte PA italiane il 2025 segna l’entrata in vigore di nuovi obblighi di cybersecurity introdotti sia dalla direttiva NIS2 sia dalla normativa nazionale di attuazione agendadigitale.eu e agendadigitale.eu. Questo si traduce, ad esempio, nell’istituzione di procedure di gestione degli incidenti di sicurezza (inclusi incidenti di data breach via email) che prevedono segnalazioni tempestive all’ACN oltre che, se coinvolgono dati personali, al Garante Privacy.

Tra le misure specifiche promosse da NIS2, rilevanti per l’email security, vi sono: cifratura dei dati (sia a riposo che in transito) “ove opportuno”, controllo degli accessi privilegiati, utilizzo di autenticazione a più fattori per l’accesso ai sistemi (ad es. webmail), protezione delle reti da malware (es. filtri antivirus/antispam sulle email) e la sensibilizzazione/formazione dei dipendenti. Tali requisiti rispecchiano best practice che molte PA dovranno formalizzare. Anche l’adozione di una soluzione DLP può rientrare nelle misure tecniche di prevenzione delle fuoriuscite di informazioni, contribuendo alla compliance NIS2 in ambito protezione dati. Inoltre, NIS2 enfatizza la sicurezza della supply chain ICT: ciò significa che quando la PA affida a fornitori esterni servizi email o soluzioni cloud, deve assicurarsi che anch’essi rispettino standard di sicurezza adeguati.

2.3 Normativa Nazionale Cyber: Legge 90/2024 e Perimetro di Sicurezza

Per rafforzare la sicurezza informatica nazionale e accelerare l’adeguamento delle PA agli standard europei, è stata emanata in Italia la Legge 28 giugno 2024 n. 90 (in vigore dal 17 luglio 2024) intitolata “Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici”. Questa legge, di ampia portata, contiene nel Capo I misure dedicate alla resilienza cyber delle Pubbliche Amministrazioni e ai requisiti nei contratti pubblici di beni e servizi ICT agendadigitale.eu e agendadigitale.eu. La Legge 90/2024 individua in particolare un insieme di amministrazioni obbligate (ministeri e PA centrali, Regioni, Province Autonome, Città metropolitane, Comuni sopra 100.000 abitanti, capoluoghi di regione, aziende sanitarie, e relative società in house) lisaservizi.it e lisaservizi.it, sulle quali impone una serie di adempimenti stringenti.

Tra gli obblighi principali previsti dalla Legge 90/2024 per tali enti pubblici spiccano i seguenti lisaservizi.it e lisaservizi.it:

  • Notifica degli incidenti: segnalare all’ACN entro 24 ore ogni incidente di sicurezza e fornire una notifica completa entro 72 ore con tutti gli elementi informativi disponibili lisaservizi.it (allineando di fatto le PA agli standard NIS2).
  • Rafforzamento organizzativo e pianificazione: sviluppare e aggiornare una serie di documenti e strutture interne per la sicurezza: Politiche e procedure di sicurezza delle informazioni (una policy organica di ICT security) lisaservizi.it;
  • Sistemi di analisi preventiva e piano di gestione del rischio informatico (valutazione continua dei rischi cyber e piano di trattamento) lisaservizi.it;
  • Documento di organizzazione della sicurezza (che definisca ruoli, responsabilità e organigramma della sicurezza informatica nell’ente) lisaservizi.it;
  • Piano programmatico per la sicurezza di dati, sistemi e infrastrutture (un piano di investimenti e misure tecniche da attuare per migliorare la sicurezza) lisaservizi.it;
  • Monitoraggio continuo di minacce e vulnerabilità per aggiornare tempestivamente le difese lisaservizi.it.
  • Adozione delle Linee Guida ACN: pianificare e implementare le misure previste dalle Linee Guida per la cybersicurezza emanate dall’Agenzia per la Cybersicurezza Nazionale

lisaservizi.it

. (Queste linee guida, pubblicate da ACN a fine 2024, dettagliano controlli minimi e buone pratiche per le PA, in continuità con le previgenti misure AgID. Ad esempio, includono requisiti su gestione degli account email, protezione delle banche dati, backup, etc.).

  • Referente per la cybersicurezza: individuare formalmente una figura interna quale responsabile (referente) per la cybersecurity dell’ente lisaservizi.it, con compiti di coordinamento delle iniziative di sicurezza e interfaccia con ACN.
  • Introduzione della crittografia: adottare strumenti di cifratura per la protezione delle informazioni dell’entelisaservizi.it. Questa prescrizione generale implica che le PA debbano utilizzare soluzioni crittografiche sia per dati a riposo (es. archivi, database) sia per dati in transito. Nel contesto email, ciò spinge verso l’uso di protocolli sicuri (TLS per la trasmissione, firma digitale e/o cifratura end-to-end per messaggi sensibili) o canali dedicati come la PEC (che assicura trasmissione crittografata e firma dei server).

La Legge 90/2024 inoltre modifica il Codice Penale (Capo II) introducendo nuove fattispecie di reati informatici e aggravanti, ma questo aspetto esula dall’ambito di questo documento. Ai fini della sicurezza email e DLP, è importante notare che la legge mira a creare, nelle PA di maggior rilievo, un vero sistema di gestione della sicurezza informatica istituzionalizzato. L’implementazione di un sistema DLP ben può rientrare nelle “misure tecniche” da adottare in base alle linee guida ACN (punto f sopra) per prevenire la fuoriuscita di dati, così come l’utilizzo sistematico della crittografia soddisfa l’obbligo esplicito di cui sopra (punto g).

Vale la pena ricordare che già prima di Legge 90/2024 l’Italia aveva istituito il Perimetro di Sicurezza Nazionale Cibernetica (D.L. 105/2019 convertito in L. 133/2019) applicabile a un insieme di soggetti pubblici e privati ritenuti critici per la sicurezza nazionale. Gli enti inseriti in tale Perimetro (che include anche ministeri, enti centrali strategici, ecc.) sono soggetti a obblighi ancora più specifici: ad esempio, notificare ad ACN ogni incidente anche solo tentato, sottoporre a verifica di sicurezza i fornitori e le forniture ICT rilevanti, implementare misure di sicurezza dettagliate individuate da decreti attuativi. Una PA che rientri nel Perimetro deve dunque contemperare sia gli obblighi del Perimetro sia quelli (in parte sovrapponibili) di Legge 90/2024 e NIS2. In ogni caso, il trend normativo è chiaro: innalzare gli standard di sicurezza nelle amministrazioni pubbliche, con particolare attenzione alla protezione dei dati e alla continuità operativa. La conformità a queste norme richiede investimenti tecnologici, revisione dei processi (incluso come vengono inviate e monitorate le email) e formazione del personale.

2.4 Codice dell’Amministrazione Digitale (CAD) e Linee Guida AgID/ACN

Il Codice dell’Amministrazione Digitale (CAD, D.Lgs. 82/2005) contiene disposizioni rilevanti per la gestione documentale e le comunicazioni telematiche nella PA. In particolare, l’art. 48 CAD stabilisce che quando una comunicazione richiede una prova di avvenuta spedizione e consegna, la PA deve utilizzare la Posta Elettronica Certificata (PEC) o servizi analoghi (oggi si guarda anche al futuro servizio di recapito certificato qualificato europeo) agid.gov.it. Ogni amministrazione ha l’obbligo di attivare caselle PEC istituzionali (almeno una per ogni registro di protocollo) e di registrarle in pubblici elenchi, così da poter ricevere e inviare documenti ufficiali per via telematica agid.gov.it. La PEC, regolata dal D.P.R. 68/2005 e da provvedimenti AgID, garantisce integrità, autenticità e riservatezza nella trasmissione delle email, grazie a protocolli sicuri e ricevute legalmente valide. L’uso della PEC nelle PA è quindi non solo un adempimento normativo, ma anche una best practice di sicurezza: riduce il rischio che i messaggi vengano intercettati o alterati e assicura che finiscano al destinatario corretto (grazie alla validazione degli indirizzi).

Il CAD promuove anche la digitalizzazione dei procedimenti e la tenuta di un sistema di protocollo informatico: le email istituzionali, quando contengono atti ufficiali o istanze di cittadini, devono essere protocollate e conservate secondo le regole tecniche, con misure per assicurarne integrità e reperibilità nel tempo (vedi DPCM 3/12/2013 e Linee Guida AgID sulla formazione, gestione e conservazione dei documenti informatici). Ciò comporta che le PA debbano integrare la gestione delle email nel proprio sistema documentale, applicando controlli di sicurezza anche sugli archivi di posta. Ad esempio, l’accesso agli account di posta istituzionali deve essere riservato agli utenti autorizzati; nel caso di caselle condivise o caselle di ruolo, vanno definiti chiaramente chi può accedervi e per quali finalità.

Le Linee Guida AgID e ACN forniscono riferimenti operativi importanti. AgID, prima dell’istituzione di ACN, aveva emanato la Circolare AgID n.2/2017 “Misure minime di sicurezza ICT per le PA”, contenente un set di controlli base (tratti dallo standard ISO/IEC 27001 e dal Framework Nazionale Cybersecurity) che tutte le PA dovevano attuare. Tra queste misure minime figuravano, ad esempio: l’utilizzo di antivirus e antispam aggiornati sui server di posta, l’adozione di sistemi di Data Loss Prevention per monitorare i flussi di dati, il filtro dei contenuti attivi negli allegati, la cifratura dei supporti di backup e così via digital4.biz e digital4.biz. Tali misure sono ora evolute e confluite nelle nuove linee guida ACN emanate nel 2024 in attuazione della Legge 90. Le Linee Guida ACN per il rafforzamento della resilienza cyber delle PA (2024) approfondiscono come implementare le politiche di sicurezza, ad esempio raccomandando: l’uso di autenticazione a due fattori sugli account amministrativi e di posta, la gestione centralizzata dei log di sicurezza (Security Information and Event Management), la classificazione dei dati e cifratura dei dati classificati, test periodici di phishing simulato per aumentare la consapevolezza, e specifiche sul tempo massimo di conservazione dei log di posta e metadati (in ottemperanza al principio di minimizzazione).

È degno di nota un Documento di indirizzo del Garante Privacy del 21 dicembre 2023 riguardante “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”. Questo documento, aggiornando precedenti indicazioni, fissa linee guida su come i datori di lavoro – pubblici e privati – devono configurare i sistemi di posta elettronica aziendale nel rispetto della privacy. In sintesi, il Garante prescrive che:

  • la conservazione di log e metadati delle email (es. registri di accesso, indirizzi, oggetto) deve avere una durata limitata e giustificata da scopi legittimi (es. sicurezza della rete, esigenze di funzionamento), evitando conservazioni illimitate;
  • l’accesso al contenuto delle email dei dipendenti è vietato, salvo specifiche condizioni di legge (es. indagini disciplinari per fondati sospetti e nel rispetto dello Statuto dei Lavoratori) o previa informativa e policy chiare che delimitino tali accessi.

Queste indicazioni si collegano direttamente all’uso di strumenti come i software di archiviazione email o DLP: se da un lato servono a proteggere i dati, dall’altro non possono diventare un mezzo di controllo massivo sui lavoratori. In ambito pubblico, tali principi valgono allo stesso modo: un ente pubblico deve bilanciare l’esigenza di sicurezza con quella di tutela della privacy del personale.

3. Rischi Principali nella Sicurezza delle Email in ambito PA

Le email costituiscono uno dei vettori più comuni di incidenti di sicurezza e violazioni di dati nelle organizzazioni, incluse le PA. Comprendere i rischi specifici è fondamentale per predisporre adeguate contromisure e politiche di prevenzione. Di seguito sono elencati i principali rischi legati all’utilizzo della posta elettronica nella Pubblica Amministrazione:

  • Errore umano e divulgazione involontaria di dati: l’invio di informazioni sensibili al destinatario sbagliato, oppure a un gruppo ampio di destinatari senza utilizzare copie nascoste, è tra le cause più frequenti di data breach. Come visto nel box sul caso Trento, basta una distrazione per esporre dati personali (magari anche dati sanitari, giudiziari, ecc.) a soggetti non autorizzati. Nelle PA ciò accade, ad esempio, quando un funzionario invia per errore un allegato contenente dati di cittadini ad un indirizzo esterno sbagliato, oppure quando più enti collaborano e condividono documenti via email senza le dovute cautele. Questi incidenti possono innescare violazioni GDPR con obbligo di notifica al Garante e rischi reputazionali per l’ente.
  • Phishing e malware: le email di phishing (false comunicazioni apparentemente legittime) mirano a ingannare i dipendenti pubblici per fargli rivelare credenziali di accesso o per indurli a cliccare link malevoli. Se un dipendente PA cade vittima di phishing, un attaccante potrebbe ottenere accesso alla casella email istituzionale o ad altre risorse interne, consentendo il furto di informazioni riservate. Inoltre il phishing è spesso vettore di malware: allegati infetti (es. documenti Office con macro malevole) o link che scaricano ransomware. Diverse amministrazioni locali e centrali sono state colpite da ransomware negli ultimi anni, spesso diffuso tramite campagne email mirate. Le conseguenze includono l’indisponibilità dei sistemi, la perdita o pubblicazione di dati (doppia estorsione) e costosi ripristini.
  • Compromissione di account e Identity theft: se un attaccante riesce a compromettere l’account email di un dipendente o, peggio, di un dirigente pubblico, può usarlo per inviare ordini falsi, chiedere dati ad altri uffici (ingannandoli), o distribuire malware internamente. Questo tipo di attacco (Business Email Compromise) può portare a esfiltrazione di grandi quantità di dati o a truffe. Ad esempio, un malintenzionato con accesso ad un account PEC di un ente potrebbe inviare comunicazioni fraudolente ad altre PA o a cittadini, con un notevole impatto in termini di fiducia e potenziali danni economici.
  • Mancata cifratura e intercettazione: se le email non viaggiano su canali cifrati, possono essere intercettate durante il transito in Internet. Fortunatamente la gran parte dei server oggi supporta il protocollo TLS per cifrare le comunicazioni tra server di posta, ma permangono rischi in caso di configurazioni obsolete. Inoltre, un’email inviata all’esterno senza cifratura end-to-end può essere letta da soggetti terzi se riescono a ottenerne copia. Questo è critico quando la PA trasmette dati riservati (es. dettagli sanitari, segreti d’ufficio, dati sensibili) a destinatari al di fuori dei domini governativi. L’utilizzo della PEC mitiga in buona parte questo rischio all’interno del perimetro nazionale, ma per comunicazioni con l’estero o con enti/società non dotate di PEC occorre valutare cifratura alternativa (es. allegati protetti da password, piattaforme sicure di file sharing, ecc.).
  • Conservazione incontrollata e accessi impropri ai messaggi: un rischio spesso sottovalutato è l’accumulo di anni di corrispondenza nelle caselle email o nei server senza adeguate politiche di retention. Ciò aumenta la superficie di rischio: un attaccante che entri in una casella potrebbe trovare archivi storici pieni di dati personali; oppure, in mancanza di regole, un amministratore di sistema potrebbe avere accesso a vecchi messaggi contenenti informazioni non più necessarie che invece avrebbero dovuto essere cancellate. Inoltre, il riutilizzo di account di ex-dipendenti rappresenta un rischio di trattamento illecito: mantenere attiva l’email di un dipendente cessato per leggere la posta in arrivo (prassi talvolta attuata) può violare la privacy se fatto senza garanzie. Il Garante Privacy ha chiarito che mantenere attivo l’account di posta di un ex-dipendente è illecito e bisogna invece impostare meccanismi di risposta automatica e disattivazione, eventualmente instradando solo i messaggi attinenti all’ufficio ad un nuovo account di servizio lineacomputers.com
  • .Violazione delle norme sul controllo dei lavoratori: la PA, in qualità di datore di lavoro, potrebbe incorrere in violazioni dell’art. 4 dello Statuto dei Lavoratori e delle regole privacy se utilizza strumenti tecnologici per monitorare indebitamente la posta elettronica del personale. Ad esempio, l’installazione di software per copiare in automatico tutte le email in uscita/in entrata (magari giustificata con motivi di sicurezza) può sconfinare in un controllo a distanza non autorizzato. Questo costituisce un rischio legale rilevante: sanzioni da parte del Garante, vertenze sindacali e inutilizzabilità di eventuali prove raccolte in giudizio disciplinare.

Approfondimento – Monitoraggio delle Email dei Dipendenti: limiti legali: Le esigenze di sicurezza (come prevenire diffusioni di dati riservati) non giustificano un controllo illimitato delle comunicazioni dei lavoratori. La giurisprudenza e il Garante Privacy hanno più volte sancito i confini da non oltrepassare. Ad esempio, la Corte di Cassazione con sentenza n. 18168 del 26 giugno 2023 ha dichiarato illegittimo il licenziamento di un dipendente basato su un’indagine indiscriminata delle sue email aziendali, condotta dall’azienda in violazione delle norme privacy e dello Statuto dei Lavoratori delucapartners.it . In quel caso, tutte le prove raccolte tramite il controllo massivo della casella di posta sono state dichiarate inutilizzabili. Allo stesso modo, il Garante Privacy nel provvedimento del 17 luglio 2024 ha sanzionato con 80.000€ una società per aver utilizzato un software di backup che conservava in copia tutte le email e i log di accesso dei dipendenti, permettendo di fatto al datore di controllare costantemente la posta altrui bca-legal.com. Il Garante ha vietato tale trattamento, ritenendolo contrario ai principi di liceità, minimizzazione e limitazione della conservazione (art.5 GDPR) e alle condizioni del consenso/obbligo di legge previste dall’art.6 GDPR bca-legal.com e bca-legal.comConclusione: Le PA devono impostare le soluzioni di sicurezza (DLP, archiviazione, monitoraggio) in modo da tutelare anche la privacy del lavoratore, ad esempio anonimizzando o aggregando i log, limitando l’accesso ai contenuti delle email solo a casi eccezionali e previa autorizzazione, e coinvolgendo eventualmente le rappresentanze del personale se si introducono nuovi strumenti di controllo.

In sintesi, i rischi coprono sia il fronte esterno (attacchi cyber, intercettazioni, errori di destinatario) sia il fronte interno (abusi, policy inadeguate, controlli illeciti). Ciascun rischio deve essere affrontato con opportune strategie di mitigazione, come illustrato nella sezione seguente, in modo da garantire sia la sicurezza sia la conformità normativa delle comunicazioni via email.

4. Strategie di Sicurezza e di Conformità per la Gestione delle Email

Per gestire efficacemente i rischi sopra elencati e soddisfare i numerosi obblighi normativi, le Pubbliche Amministrazioni devono adottare un insieme coordinato di misure tecniche, organizzative e procedurali. Non esiste una soluzione unica: serve piuttosto un approccio integrato che coinvolga tecnologia (es. sistemi di sicurezza come DLP e crittografia), definizione di regole (policy) e formazione delle persone. Di seguito vengono delineate le principali strategie di conformità e sicurezza relative all’email e alla prevenzione della perdita dei dati, suddivise per categorie.

4.1 Misure Organizzative e Procedurali

  • Policy chiare sull’uso dell’email: La PA deve dotarsi di regolamenti interni che disciplinino l’uso corretto della posta elettronica istituzionale. Tali policy dovrebbero coprire aspetti come: divieto di usare email personali per lavoro (e viceversa), obbligo di usare la PEC per atti ufficiali quando richiesto, indicazioni su come gestire l’invio a più destinatari (es. obbligo di usare CCN per comunicazioni a liste di cittadini), procedure per trattare messaggi ricevuti per errore (es. informare il mittente e cancellarli), divieto di inoltrare informazioni riservate a indirizzi non autorizzati, ecc. La policy deve inoltre informare il personale delle eventuali attività di monitoraggio/logging sulle email aziendali, in linea con il principio di trasparenza.
  • Gestione degli account e del ciclo di vita: È importante stabilire come vengono create, gestite e disattivate le caselle email del personale. Ad esempio: all’assegnazione di un nuovo account si forniscono istruzioni di sicurezza (cambio password iniziale, attivazione 2FA se possibile); alla cessazione del dipendente, l’account va disabilitato immediatamente e configurato con autoresponder che fornisca nuovi riferimenti ai mittenti. Se è necessario per esigenze di ufficio accedere a contenuti di un ex-account, occorre prevedere procedure formalizzate e nel rispetto delle regole privacy (es. presenza di un testimone, filtro di messaggi personali, ecc.). Ogni casella di ruolo condivisa deve avere un responsabile designato.
  • Classificazione delle informazioni: Implementare una classificazione dei dati trattati via email (es. pubblicointernoriservatosensibile) aiuta a gestirli correttamente. Ad esempio, una comunicazione classificata come riservata non dovrebbe essere inviata al di fuori del dominio istituzionale senza adeguate protezioni (cifratura o PEC). Si possono inserire avvertenze automatiche nei footer dei messaggi per ricordare il livello di confidenzialità e i divieti di diffusione.
  • Procedure di gestione incidenti (data breach): In ottemperanza al GDPR e alle norme cyber, la PA deve disporre di una procedura interna per gestire i casi di violazione di dati, compresi quelli dovuti a email. Ciò implica avere un team o referente (es. il DPO e l’ICT insieme) pronti a valutare l’incidente (es. “un dipendente ha inviato per sbaglio un file con dati personali al fornitore sbagliato”), contenerne gli effetti (chiedere cancellazione al destinatario errato, ecc.), analizzare i rischi per gli interessati, notificare eventualmente il Garante entro 72 ore con le informazioni richieste e attuare misure correttive per il futuro. Una solida incident response evita improvvisazione e ritardi in momenti critici.
  • Accordi di riservatezza e formazione del personale: Tutti i dipendenti pubblici dovrebbero ricevere formazione periodica sulla sicurezza delle informazioni e sulla privacy. In particolare, moduli specifici sul phishing (saper riconoscere email sospette, non aprire allegati anomali, segnalare tentativi di truffa), sulla gestione dei dati personali (cosa si può o non si può inviare via email, attenzione ai destinatari, cifratura) e sulle policy interne. La consapevolezza è la prima linea di difesa: un dipendente formato è meno probabile che commetta errori fatali (come cliccare un link malevolo o divulgare dati inavvertitamente). Inoltre, far firmare ai dipendenti appositi impegni di riservatezza e adesione alle policy li rende più responsabilizzati.

L’implementazione di misure organizzative richiede il coinvolgimento attivo del Responsabile ICT e del Responsabile per la Transizione Digitale (RTD) dell’ente, in collaborazione con il Responsabile Protezione Dati (DPO) per la parte privacy. Dev’essere instaurata una cultura in cui la sicurezza delle email sia percepita come parte integrante della buona amministrazione.

4.2 Misure Tecniche: Data Loss Prevention, Cifratura e Altre Soluzioni

Le misure tecniche sono quelle soluzioni ICT che materialmente prevengono o mitigano i rischi sulle email. Devono essere scelte e configurate in base alle esigenze specifiche dell’ente, tenendo conto anche di vincoli normativi (es. protezione di dati personali, divieto di controlli indebiti). Ecco le principali da considerare:

  • Sistemi di Data Loss Prevention (DLP): Una soluzione di DLP per email consiste tipicamente in un software o appliance che monitora il traffico di posta in uscita (e/o in entrata) alla ricerca di dati sensibili o violazioni delle policy impostate. Se viene rilevato, ad esempio, che un utente sta inviando all’esterno un elenco contenente codici fiscali e dati sanitari, il DLP può bloccare l’email, metterla in quarantena per revisione o mascherare gli allegati, prevenendo così una possibile fuga di dati. I DLP funzionano tramite ispezione del contenuto (content inspection) e analisi basata su regole o pattern (es. numeri di carta di credito, parole chiave riservate, classificazione dei documenti) digital4.biz. Nel contesto PA, un DLP va configurato con criteri aderenti alla normativa: ad esempio, individuare l’invio non autorizzato di dati personali protetti (database anagrafici, dati sanitari di cittadini, informazioni su gare d’appalto prima della pubblicazione, ecc.) e gestire tali eventi in modo da prevenire la violazione.

La implementazione di DLP deve prevedere:

  • Coinvolgimento del DPO per definire quali categorie di dati personali monitorare e con quali basi giuridiche (es. il legittimo interesse alla sicurezza del sistema può essere invocato, ma bisogna rispettare proporzionalità e minimizzazione).
  • Definizione di ruoli: chi riceve gli alert del DLP? (es. ufficio ICT sicurezza) Chi può eventualmente esaminare l’email bloccata? Devono essere figure autorizzate e soggette a obbligo di segretezza, per non creare un controllo invasivo.
  • Evitare di intercettare comunicazioni private del lavoratore: il DLP dovrebbe concentrarsi su email inviate dagli account istituzionali verso destinatari esterni, escludendo per quanto possibile i messaggi personali. Inoltre, può operare preferibilmente in modalità preventiva (blocco) senza che qualcuno legga necessariamente il contenuto – se non in caso di necessità – così da allinearsi con le prescrizioni del Garante.

Un sistema DLP ben tarato è un potente alleato: aiuta a prevenire sia l’errore umano (es. impedendo che un documento riservato esca verso un Gmail personale) sia l’eventuale azione dolosa di un insider. È importante tuttavia aggiornare continuamente le regole del DLP in base ai nuovi scenari (ad esempio, nuove tipologie di dati da proteggere) e monitorarne l’efficacia, evitando falsi positivi troppo numerosi che rischiano di bloccare impropriamente il lavoro. In definitiva, come evidenziato dagli esperti, la DLP è diventata un tassello fondamentale per dimostrare la capacità di un’organizzazione di proteggere i propri dati sensibili e di conformarsi alle normative sulla protezione dei dati digital4.biz.

  • Cifratura delle comunicazioni e dei dati: Implementare la crittografia è sia un obbligo derivante da Legge 90/2024 sia una best practice consolidata. Per le email, ciò si articola su più livelli:
  • Protocollo TLS obbligatorio per le connessioni SMTP, IMAP, POP3 sui server di posta dell’ente (così da cifrare il canale server-server e client-server). Le configurazioni dovrebbero forzare l’uso di TLS 1.2+ e disabilitare protocolli insicuri.
  • Email end-to-end encryption per messaggi particolarmente sensibili: ad esempio l’uso di S/MIME o PGP per cifrare il contenuto dalla sorgente al destinatario. In un contesto PA italiana, l’uso diffuso della PEC riduce la necessità di PGP, ma in scenari internazionali o con destinatari privati potrebbe essere opportuno. La sfida è la gestione delle chiavi e la user-experience, ma per comunicazioni tra enti su dati personali (es. scambio di referti medici) si può predisporre la cifratura degli allegati con password comunicata separatamente.
  • Cifratura dei dispositivi e backup: I notebook dei funzionari che accedono alla webmail, i database dove sono archiviati i messaggi, e i backup delle caselle, dovrebbero essere cifrati. Così, anche in caso di furto di un dispositivo o di accesso ai file di backup, il contenuto rimane protetto. Molte suite di posta elettronica offrono già la cifratura “at rest” dei dati. Questa misura è espressamente richiesta dalle nuove linee guida ACN e dagli standard minimi.

La crittografia assicura che, anche qualora avvenga un accesso non autorizzato ai sistemi, i dati non siano immediatamente leggibili. Naturalmente va accompagnata da una buona gestione delle chiavi (le password o chiavi private non devono essere facilmente reperibili). Inoltre, l’uso di cifratura non deve impedire il legittimo controllo da parte dell’amministrazione: ad esempio, se un dipendente cifra arbitrariamente i propri allegati, l’ente deve comunque poterli decifrare per garantirne la protocollazione e l’archiviazione conforme. È quindi preferibile che le soluzioni di cifratura siano centralizzate e gestite dall’ente, non lasciate all’utente finale singolo.

  • Secure Email Gateway, Antivirus e Anti-Spam: Quasi tutte le PA hanno in uso sistemi di filtro per posta indesiderata e virus, spesso forniti insieme alla piattaforma email o alla suite security aziendale. È fondamentale mantenerli aggiornati e ben configurati. Il Secure Email Gateway dovrebbe bloccare allegati rischiosi (eseguibili, script) o sottoporli a disinfezione in area sandbox. Deve inoltre implementare meccanismi di autenticazione del dominio per prevenire spoofing: parliamo di SPF, DKIM e DMARC. Configurando SPF/DKIM sul proprio dominio, l’ente riduce la possibilità che qualcuno falsifichi email con il suo indirizzo; con DMARC in modalità reject, istruisce i destinatari a respingere messaggi non autorizzati che fingono di provenire dal dominio dell’ente. Questo è cruciale per evitare che cittadini o altri uffici ricevano phishing che abusa del nome dell’amministrazione.
  • Autenticazione forte degli utenti: Proteggere gli account email dei dipendenti è prioritario. Dove possibile, andrebbe attivata l’autenticazione multi-fattore (MFA) per l’accesso alla webmail o al client cloud (Office 365, Google Workspace, etc.), così che il furto della password non sia sufficiente a compromettere l’account. In ambito PA si può integrare l’autenticazione con infrastrutture esistenti, ad esempio utilizzando Identity Provider SSO già in uso (SPID per dipendenti pubblici, CIE, o sistemi interni LDAP/Active Directory con OTP). Anche l’uso di certificati client personali per accedere alla PEC può essere considerato. L’MFA è espressamente raccomandata dalla direttiva NIS2 e dalle linee guida ACN, specialmente per account con privilegi amministrativi.
  • Soluzioni di archiviazione e log: Per esigenze di legge (es. conservazione decennale degli atti) molte PA implementano sistemi di archiviazione delle email protocollate. Questi sistemi devono essere sicuri e conformi: l’archivio dovrebbe essere immutabile (per garantire valore legale), cifrato, e accessibile solo a personale autorizzato. Dal punto di vista DLP, un archivio centralizzato consente anche di risalire a eventuali esfiltrazioni dopo il fatto, ma bisogna trovare un equilibrio con la privacy (come richiamato dal Garante). Allo stesso tempo, mantenere log degli accessi alle caselle di posta è utile per rilevare abusi (es. un accesso fuori orario da IP anomali). Tali log devono essere conservati per un periodo congruo (il Garante tipicamente suggerisce non oltre alcuni mesi, salvo necessità) e poi cancellati. Devono inoltre essere protetti per evitare manomissione.
  • Isolamento e sandbox degli allegati: Misura più avanzata, ma utile per PA che trattano dati critici, è l’uso di sistemi di “content disarm & reconstruction” o sandbox. In pratica, ogni allegato in arrivo viene aperto in ambiente isolato; se eseguibile o con macro, viene “sanitizzato” (le macro rimosse, i PDF convertiti in immagini, etc.) prima di recapitarlo al destinatario. Ciò riduce il rischio che un dipendente apra un documento infetto e contagi la rete interna.
  • Aggiornamento continuo: Tutti i software coinvolti (server di posta, client, plugin di sicurezza) vanno aggiornati regolarmente per correggere vulnerabilità note. Un piano di patch management ben gestito è anch’esso parte delle strategie di sicurezza.

Infine, si sottolinea l’importanza di testare periodicamente l’efficacia di queste misure tecniche. Ad esempio, condurre audit di configurazione (per verificare che TLS sia obbligatorio, che DMARC stia funzionando), simulazioni di phishing per vedere se i filtri e la formazione reggono, e verifiche di conformità alle policy DLP (provando a inviare dati sensibili fittizi e assicurandosi che il sistema li blocchi). Questo processo di miglioramento continuo è in linea con l’approccio di security management richiesto dalle norme (accountability GDPR, ciclo PDCA ISO 27001).

4.3 Ruoli di Governance e Verifica della Conformità

Un’efficace strategia passa anche dalla chiara attribuzione di responsabilità e da attività di controllo interno:

  • Il Responsabile della Transizione Digitale (RTD) e i vertici dell’amministrazione devono sostenere attivamente le iniziative di sicurezza (tone at the top), ad esempio approvando le policy email e destinando budget per strumenti come il DLP.
  • Il DPO deve essere coinvolto in fase di valutazione d’impatto (DPIA) per l’introduzione di sistemi di monitoraggio delle comunicazioni, come il DLP, e vigilare nel tempo sul rispetto della normativa privacy (ad esempio, verificando che i log email non vengano conservati troppo a lungo, che il personale abbia ricevuto l’informativa su come sono monitorate le proprie attività, ecc.).
  • Andrebbero condotti audit periodici (interni o affidati all’Organismo di Vigilanza ex D.Lgs. 231/01 se esistente, o a ispettori ACN/Garante in caso di verifica esterna) per controllare l’aderenza alle misure. Ad esempio, un audit potrebbe controllare un campione di invii email per vedere se sono stati usati gli strumenti adeguati (PEC per atti ufficiali, cifratura per dati sensibili, etc.), oppure riesaminare eventuali incidenti occorsi per capire se le contromisure sono state efficaci.

Tutta la governance della sicurezza delle email dovrebbe essere inserita nel più ampio Piano di Sicurezza ICT dell’ente (richiesto dalla Legge 90/2024), in modo che non sia vista come una componente separata ma come parte di un sistema integrato di gestione del rischio informatico.

5. Focus: Il Diritto all’Oblio nelle Comunicazioni Digitali della PA

Il diritto all’oblio, ovvero il diritto di un individuo a ottenere la cancellazione dei propri dati personali quando non più necessari o trattati illecitamente (art. 17 GDPR), pone sfide particolari nel contesto delle Pubbliche Amministrazioni. Da un lato, i cittadini possono legittimamente aspettarsi che informazioni superate o non più rilevanti che li riguardano vengano rimosse dagli archivi online della PA; dall’altro, le amministrazioni hanno obblighi di trasparenza e conservazione che spesso impongono di mantenere accessibili documenti e dati per un certo tempo. Inoltre, le infrastrutture tecniche (come sistemi di posta, backup, protocolli informatici) non sempre sono progettate per una cancellazione granulare e definitiva dei dati.

Diritto all’oblio vs. Obblighi di trasparenza e conservazione

Nell’ambito pubblico, il diritto all’oblio deve conciliarsi con normative che impongono la pubblicazione e conservazione di atti amministrativi. Ad esempio, le norme sulla trasparenza amministrativa (D.Lgs. 33/2013 e s.m.i.) obbligano gli enti a pubblicare sul proprio sito una serie di documenti (bandi, incarichi, bilanci, ecc.) per un periodo minimo (spesso 5 anni). Trascorso tale periodo, l’ente deve rimuovere o anonimizzare i dati personali presenti, salvo che sussista un ulteriore interesse pubblico alla loro diffusione ictsecuritymagazine.com e ictsecuritymagazine.com. Questa pratica è proprio un’applicazione del diritto all’oblio: si evita che informazioni su persone (ad es. nome di un beneficiario di un contributo) restino online per un tempo indefinito oltre l’utilità pubblica. Diversamente, si esporrebbe l’amministrazione a richieste di cancellazione e potenziali controversie.

Un principio emerso è che il diritto all’oblio non è un “annientamento della memoria storica”, soprattutto per un ente pubblico, ma richiede di contestualizzare temporalmente la pubblicazione dei dati ictsecuritymagazine.com. In pratica, una PA può mantenere un documento negli archivi, ma dopo un certo tempo dovrebbe renderlo non direttamente indicizzato o accessibile al pubblico, se contiene dati personali che non è più necessario siano divulgati. Ad esempio, un vecchio comunicato con un nome di una persona coinvolta in un fatto potrebbe essere de-indicizzato dai motori di ricerca e spostato dall’albo online corrente all’archivio storico.

In materia di email, la situazione è complessa: se un cittadino invoca il diritto all’oblio chiedendo a una PA di cancellare tutte le comunicazioni che lo riguardano (es. email intercorse per un procedimento, ora concluse), l’ente deve valutare se può farlo oppure se quelle email vanno conservate per obbligo di legge. Spesso le email, in quanto parte di un procedimento amministrativo, devono essere archiviate e conservate per almeno 5 o 10 anni (in base alla categoria di documento, secondo le regole archivistiche di cui al D.P.R. 445/2000 e al Codice dei Beni Culturali). In tali casi, l’ente potrebbe legittimamente rifiutare la cancellazione ai sensi dell’art.17(3)(b) GDPR – perché il trattamento è necessario per adempiere un obbligo legale di conservazione o per l’esecuzione di un compito di interesse pubblico. Per esempio, le email di un dirigente relative all’iter di un appalto pubblico vinto da un’azienda non possono essere eliminate prima dei termini di legge, anche se l’azienda ne facesse richiesta, in quanto costituiscono parte del fascicolo di gara.

Tuttavia, ciò non significa ignorare completamente il principio di minimizzazione: l’amministrazione dovrebbe limitare l’accessibilità di quei dati allo stretto necessario. Ad esempio, le comunicazioni con dati personali conservate nei sistemi interni potrebbero essere segregate, protette da accessi non autorizzati, e allo scadere dei termini spostate in un archivio separato o distrutte. Implementare tecnicamente il diritto all’oblio significa dunque dotarsi di sistemi che permettano la cancellazione selettiva. Molti sistemi di email archiving moderni supportano funzioni di ricerca e eliminazione su richiesta (ad esempio, il DPO potrebbe individuare tutte le email contenenti il nominativo X e procedere alla loro rimozione se dovuto). Se invece i dati personali sono disseminati in backup o in formati non facilmente editabili, l’ente deve valutare cosa sia “possibile” o meno: il GDPR infatti esime dal diritto all’oblio nei casi in cui esso “implichi uno sforzo sproporzionato” (art. 17(2) in relazione all’obbligo di informare altri titolari). Ad esempio, se per rimuovere completamente un dato bisognerebbe manipolare centinaia di backup su nastro, forse si opterà per non ripristinare quei backup salvo emergenze, piuttosto che modificarli tutti ex post.

Un altro ambito delicato è quello delle banche dati pubbliche e registri accessibili. Si pensi al caso di deliberazioni o determine dirigenziali piene di dati personali pubblicate all’albo pretorio online: allo scadere dei termini di legge, il non rimuoverle espone l’ente al rischio di violare il GDPR e mantenerle pubblicate oltre il dovuto può configurare un trattamento illecito. Come evidenziato in dottrina, trascorso il periodo di pubblicazione obbligatoria, continua a sussistere per l’ente l’obbligo di custodire l’atto nei propri archivi, ma l’ulteriore diffusione online deve cessare, salvo anonimizzazione dei dati personali ivi contenuti ictsecuritymagazine.com e ICTsecuritymagazine.com. Le PA devono quindi dotarsi di meccanismi per la depubblicazione automatica allo scadere dei termini, per non dover affrontare manualmente richieste di oblio.

Aspetti tecnici nei sistemi di posta della PA

Nei sistemi di email specifici, il diritto all’oblio incontra alcune difficoltà pratiche:

  • Email inviate a molti destinatari: se un cittadino chiede la rimozione di un’email che lo riguarda, inviata magari a più uffici, occorre individuare tutte le copie presenti nelle caselle dei vari destinatari (oltre che nel server). Nella misura in cui quelle copie sono archiviate nei backup o nel sistema di protocollo, l’operazione può essere complessa. Una possibile soluzione è centralizzare l’archiviazione (così la ricerca è unica) e prevedere criteri di retention unificati.
  • Backup: come accennato, i backup di emergenza sono un’area grigia. Molte PA effettuano backup integrali dei server di posta. Se un dato personale è stato cancellato “in produzione” per soddisfare un diritto all’oblio, potrebbe comunque risiedere in backup non immediatamente accessibili. In genere si ritiene che mantenere quel dato nei backup off-line, non facilmente consultabili, non vanifichi il diritto all’oblio, purché in caso di ripristino da backup si provveda a rieseguire la cancellazione (le linee guida WP29 sul diritto all’oblio suggeriscono approcci simili). L’ente dovrebbe documentare queste politiche nell’informativa: ad es. “i dati cancellati su richiesta saranno rimossi dai sistemi attivi, mentre copie di backup potranno conservarli fino al ciclo di sovrascrittura, rimanendo nel frattempo protette e non utilizzate”.
  • Casi particolari: se una PA ha pubblicato sul proprio sito un indirizzo email contenente nome e cognome di una persona (es. nome.cognome@comune.it) e quella persona chiede di de-indicizzare il suo nominativo, l’ente potrebbe dover rimuovere la pagina o l’atto dove compare quell’indirizzo. Questo è accaduto in contesti di ex-amministratori o professionisti i cui nomi restavano online associati a ruoli non più attuali. La soluzione è spesso l’anonimizzazione (es. sostituire il nome con “***” nei documenti online, pur mantenendo l’originale negli archivi interni).

In definitiva, il diritto all’oblio nella PA va gestito con equilibrio: da un lato rispetto per i diritti dell’interessato, dall’altro garanzia delle funzioni pubbliche. Il GDPR stesso offre base per bilanciare (art. 17(3) esenzioni per obblighi legali, interesse pubblico, archiviazione di interesse pubblico). Gli ultimi orientamenti indicano che le PA dovrebbero:

  • Stabilire tempi di conservazione dei dati personali per ogni tipologia di documento/procedimento, scaduti i quali i dati vanno cancellati o anonimizzati se possibile.
  • Se un interessato presenta una richiesta di cancellazione, valutarla alla luce delle basi giuridiche: es. se i dati sono pubblicati online senza più base legale, rimuoverli immediatamente; se sono in fascicoli d’archivio necessari per obbligo legale, motivare il diniego richiamando la norma.
  • Garantire comunque la non indicizzazione e la protezione dei dati archiviati: una cosa è dire di no alla cancellazione perché l’ente ha un obbligo di tenuta, altra è lasciare quei dati liberamente accessibili. Su questo punto, diverse decisioni (anche internazionali) hanno affermato che può essere lecito conservare un documento in archivio ma doveroso rimuoverlo dal web pubblico.

Questo focus mostra come la conformità normativa in materia di privacy si intersechi con gli aspetti tecnici di gestione documentale. Le PA devono progettare i propri sistemi informativi (incluse le piattaforme di posta elettronica e archiviazione) in modo da poter onorare diritti come quello all’oblio, il che rientra nei principi di privacy by design (art. 25 GDPR). Non sempre è semplice, ma ignorare queste esigenze espone a rischi sia legali sia di perdita di fiducia da parte dei cittadini.

6. Conclusioni e Raccomandazioni Finali

La sicurezza delle email e la prevenzione della perdita di dati (DLP) nella Pubblica Amministrazione italiana richiedono un approccio multidisciplinare: occorre rispettare un complesso quadro normativo, affrontare minacce informatiche in evoluzione e adottare soluzioni tecniche adeguate, il tutto garantendo la tutela dei diritti di utenti, cittadini e dipendenti.

Oggi, con l’entrata in vigore di nuove normative come la Legge 90/2024 e la direttiva NIS2, le PA sono chiamate a fare un salto di qualità nella gestione della cybersecurity. Non si tratta più di interventi sporadici, ma di costruire un vero sistema di gestione della sicurezza che includa policy, processi e strumenti integrati. In quest’ottica, l’email – spesso considerata un servizio banale – deve invece essere trattata come una componente critica da proteggere e governare attentamente.

Riepilogando i punti chiave emersi dal documento, si raccomanda che ogni ente pubblico metta in atto le seguenti azioni:

  1. Aggiornare le proprie politiche interne in linea con le normative: ad esempio, adeguare le policy email per soddisfare le Linee Guida ACN 2024, prevedere la nomina del Referente Cyber e l’adozione di piani di sicurezza (come richiesto da Legge 90/2024) lisaservizi.it e lisaservizi.it. Integrare in queste policy anche le indicazioni del Garante Privacy (per evitare trattamenti illeciti come backup integrali delle email dei dipendenti) e prevedere esplicitamente l’utilizzo di strumenti come PEC e cifratura per determinate comunicazioni.
  2. Implementare strumenti DLP e di sicurezza complementari, dopo aver svolto le necessarie valutazioni d’impatto privacy. Un DLP configurato correttamente agirà come rete di sicurezza per prevenire errori e abusi, contribuendo al rispetto del principio di integrità e riservatezza dei dati (art. 5, lett.f GDPR). Allo stesso tempo, assicurarsi che l’infrastruttura email sia robusta: server aggiornati e ridondati, antivirus e antispam efficaci, backup sicuri. La formazione del personale sull’uso di questi strumenti è parte integrante del successo: un DLP, ad esempio, è più efficace se gli utenti ne comprendono le finalità e collaborano segnalando eventuali falsi positivi o suggerendo nuove tipologie di informazioni da tutelare.
  3. Formare e responsabilizzare costantemente tutti gli attori: dal dipendente ordinario, che deve essere conscio che un semplice errore in un’email può costituire una violazione di dati, fino al dirigente apicale, che deve comprendere l’importanza di investire in sicurezza informatica. Introdurre magari programmi di awareness con cadenza annuale, simulazioni (es. invio di email phishing simulate per testare la reazione), e diffondere la cultura che la sicurezza non è solo compito dell’ICT ma di ognuno.
  4. Monitorare la conformità e aggiornarsi: il panorama normativo e delle minacce evolve di continuo. Le PA dovranno tenersi aggiornate su eventuali nuove Linee Guida (es. AgID/ACN), su jurisprudenza (sentenze) rilevanti – come quelle citate nel testo – e sulle tecnologie emergenti. È utile partecipare a network come il CSIRT (Computer Security Incident Response Team) gestito da ACN, che diffonde allerte su campagne di phishing rivolte alle PA, o aderire a iniziative di formazione promosse dall’ACN (che ha reso obbligatoria la formazione cybersecurity per dirigenti e amministratori, anch’essa da Legge 90/2024). Dal punto di vista normativo, tenere d’occhio l’attuazione italiana di NIS2 e altre direttive UE (ad esempio il futuro Regolamento ePrivacy, se inciderà sulla gestione delle comunicazioni elettroniche).

In conclusione, Email Security e DLP nella PA non sono più argomenti rinviabili o opzionali, ma parte centrale della buona amministrazione digitale. Proteggere le comunicazioni significa proteggere i dati dei cittadini e l’affidabilità dell’azione amministrativa. Le amministrazioni che adotteranno un approccio proattivo alla sicurezza delle email – investendo in tecnologie appropriate, formando le persone e rispettando le normative – ridurranno drasticamente il rischio di data breach, eviteranno sanzioni e soprattutto rafforzeranno la fiducia dei cittadini nell’operato pubblico, in un’epoca in cui la sicurezza dei dati è elemento fondamentale di tutela dei diritti e della sicurezza nazionale.

Fonti: Le informazioni e i casi citati provengono da provvedimenti ufficiali (Garante Privacy, Cassazione) e da analisi specialistiche aggiornate al 2024-2025, tra cui:

Garante Privacy, provv. 9/1/2020 (caso Provincia di Trento)

accademiaitalianaprivacy.it ;

Garante Privacy, provv. 17/7/2024 n.472 (controllo email dipendenti)

bca-legal.com;

Corte di Cassazione, sez. Lav., sent. 18168/2023

delucapartners.it ;

Legge 90/2024 (rafforzamento cyber PA)

lisaservizi.it

lisaservizi.it;

;Direttiva UE 2022/2555 (NIS2) e documenti attuativi ACN

agendadigitale.eu;

GDPR (Reg.UE 2016/679) e D.Lgs.196/2003; Codice Amministrazione Digitale (D.Lgs.82/2005, art.48)

agid.gov.it;

Linee guida AgID/ACN e circolari sulla sicurezza ICT

digital4.biz

digital4.biz;

articoli e approfondimenti su riviste giuridiche e di cybersecurity

accademiaitalianaprivacy.it

bca-legal.com.

Questi riferimenti confermano l’importanza di un approccio integrato e conforme alla gestione della sicurezza delle email nelle Pubbliche Amministrazioni italiane.

Posted by at Nessun commento:
Iscriviti a: Post (Atom)