la guida completa

Data breach nel GDPR: cos’è e come fare segnalazione e prevenzione



Indirizzo copiato

Cosa si intende per data breach ex articoli 33 e 34 del regolamento Gdpr. Come fare la segnalazione. Come prevenire il data breach, quali modelli di sicurezza sono più efficaci. E le casistiche principali

Pubblicato il 6 giu 2023

Antonio Guzzo

Funzionario Informatico INAPP, in comando presso Agenzia delle Entrate Regione Basilicata



cyber_228287809

Il Gdpr è in vigore ormai da 5 anni e l’obbligo di segnalazione data breach entro 72 ore è l’obbligo ritenuto più gravoso dalle aziende italiane. Vediamo cosa sapere per un corretto adeguamento, alla luce anche delle linee guida dello European Data Protection Board del gennaio 2021 e del settembre 2022.

Cos’è il data breach nel Gdpr

Per Data Breach, nella versione italiana violazione dei dati personali si intende la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Sempre secondo il GDPR, la notifica di eventuali violazioni di dati dovrà avvenire possibilmente senza ingiustificato ritardo e, ove possibile, entro 72 ore, dal momento in cui si è venuto a conoscenza della violazione, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. L’eventuale ritardo dovrà essere motivato.

Il Gdpr ha previsto l’obbligo di segnalazione Data Breach entro 72 ore è questo risulta essere l’obbligo più gravoso, secondo le aziende italiane, in un recente sondaggio di Idc. Con il Regolamento UE n° 2016/679 la notificazione preventiva viene abolita e sostituita da nuovi obblighi di tenuta di un registro dei trattamenti e dei Data Breach, nonché dal dovere di notificazione delle violazioni di dati personali (Data Breach Notification).

Inoltre nel 2018 è intervenuto il Gruppo di lavoro Working Party 29 con un’opinione contenente; delle importanti linee guida che hanno distinto in tre macro-categorie il Data Breach:

  • “Confidentiality Breach”, quando vi è un accesso accidentale o abusivo a dati personali:
  • “Availability Breach”, quando vi è una perdita o distruzione accidentale o non autorizzata dei Dato personale;
  • “Integrity Breach”, quando vi è un’alterazione accidentale o non autorizzata del dato personale.
New call-to-action

Le Linee Guida dell’European Data Protection Board (EDB) del 14-01-2021

Il General Data Protection Regulation introduce l’obbligo di notificare una violazione dei dati personali all’autorità di controllo nazionale competente (di seguito “SA- Security Authority” in Italia la Data Protection Authority – Autorità Garante sulla Privacy) e, in alcuni casi, di comunicare la violazione alle persone i cui dati personali sono stati interessati dalla violazione (Articoli 33 e 34). Il Gruppo di lavoro articolo 29 (WP29 Working Party 29) ha già prodotto una guida generale sulla notifica di violazione dei dati nell’ottobre 2017, analizzando le sezioni pertinenti del GDPR (Linee guida sulla notifica di violazione dei dati personali ai sensi del regolamento 2016/679, WP 250) (di seguito “Linee guida WP250). Tuttavia, a causa della sua natura e tempistica, questa documentazione non ha affrontato, in maniera esaustiva e completa, tutte le casistiche pratiche in modo sufficientemente dettagliato. Pertanto, è sorta la necessità di redigere delle linee guida orientata alla pratica e basata sui casi che utilizzi le esperienze acquisite dalle autorità di vigilanza poiché il GDPR è applicabile.

Queste nuove linee guida adottate nel mese di Gennaio 2021 dall’EDPB, intendono integrare le Linee guida WP 250 e riflettere le esperienze comuni delle SAs (Security Authority) dello EEA (EEA Member States) da quando il GDPR è diventato applicabile. Il suo scopo è quello di aiutare i responsabili del trattamento dei dati a decidere come gestire le violazioni dei dati e quali fattori considerare durante la valutazione del rischio.

Nell’ambito di qualsiasi tentativo di porre rimedio a una violazione di dati (Data Breach), il titolare del trattamento dovrebbe prima essere in grado di riconoscerla. Il GDPR definisce una “violazione dei dati personali” nell’articolo 4 (12) come “una violazione della sicurezza che porta alla distruzione, perdita, alterazione accidentale o illegale, divulgazione non autorizzata o accesso ai dati personali trasmessi, archiviati o altrimenti elaborati”

Nel suo parere 03/2014 sulla notifica delle violazioni e nelle sue linee guida WP 250, il WP29 ha spiegato che le violazioni possono essere classificate in base ai seguenti tre noti principi di sicurezza delle informazioni:

• “Violazione della riservatezza” – in caso di divulgazione non autorizzata o accidentale di o accesso a dati personali.

• “Violazione dell’integrità” – in caso di alterazione non autorizzata o accidentale dei dati personali.

• “Violazione della disponibilità”: in caso di perdita accidentale o non autorizzata dell’accesso o distruzione dei dati personali.

Una violazione può potenzialmente avere una serie di effetti negativi significativi sulle persone, che possono provocare danni fisici, materiali o immateriali. Il GDPR spiega che ciò può includere perdita di controllo sui propri dati personali, limitazione dei loro diritti, discriminazione, furto di identità o frode, perdita finanziaria, annullamento non autorizzato della pseudonimizzazione, danno alla reputazione (brand reputation) e perdita di riservatezza dei dati personali protetti dal segreto professionale. Può anche includere qualsiasi altro svantaggio economico o sociale significativo per tali individui. Uno degli obblighi più importanti del responsabile del trattamento dei dati è valutare questi rischi per i diritti e le libertà degli interessati e attuare misure tecniche e organizzative adeguate per affrontarli. Di conseguenza, il GDPR richiede al titolare del trattamento di:

  • documentare eventuali violazioni dei dati personali, compresi i fatti relativi alla violazione dei dati personali, i suoi effetti e le azioni correttive intraprese (Articolo 33 GDPR);
  • notificare la violazione dei dati personali all’autorità di controllo, a meno che non sia improbabile che la violazione dei dati comporti un rischio per i diritti e le libertà delle persone fisiche (Articolo 33 GDPR);
  • comunicare la violazione dei dati personali all’interessato quando è probabile che la violazione dei dati personali comporti un rischio elevato per i diritti e le libertà delle persone fisiche.

Le violazioni dei dati sono problemi in sé e per sé, ma sono anche sintomi di un regime di sicurezza dei dati vulnerabile, forse obsoleto, quindi indicano debolezze del sistema da affrontare. In generale, è sempre meglio prevenire le violazioni dei dati preparandosi in anticipo, poiché diverse conseguenze sono per natura irreversibili. Prima che un titolare del trattamento possa valutare completamente il rischio derivante da una violazione causata da una qualche forma di attacco, è necessario identificare la causa principale del problema, al fine di identificare se eventuali vulnerabilità che hanno dato origine all’incidente sono ancora presenti e lo sono ancora sfruttabile. In molti casi il responsabile del trattamento è in grado di identificare che l’incidente potrebbe comportare un rischio e deve quindi essere informato. In altri casi non è necessario posticipare la notifica fino a quando il rischio e l’impatto che circondano la violazione non sono stati completamente valutati, poiché la valutazione completa del rischio può avvenire parallelamente alla notifica e le informazioni così ottenute possono essere fornite all’autorità di vigilanza in fasi senza indebito ulteriore ritardo. (Articolo 34 GDPR)

La violazione dovrebbe essere notificata quando il responsabile del trattamento ritiene che possa comportare un rischio per i diritti e le libertà dell’interessato. I titolari del trattamento dovrebbero effettuare questa valutazione nel momento in cui vengono a conoscenza della violazione. Il responsabile del trattamento non dovrebbe attendere un esame forense dettagliato e le (prime) fasi di mitigazione prima di valutare se la violazione dei dati possa o meno comportare un rischio e quindi dovrebbe essere informato.

Se un controllore effettua un’autovalutazione del rischio come improbabile, ma risulta che il rischio si concretizza, la SA competente può utilizzare i suoi poteri correttivi e può decidere di sanzionare.

Ogni titolare del trattamento dovrebbe disporre di piani e procedure per la gestione di eventuali violazioni dei dati. Le organizzazioni dovrebbero avere chiare linee di riporto e persone responsabili di alcuni aspetti del processo di recupero.

La formazione e la consapevolezza sulle questioni relative alla protezione dei dati da parte del personale del responsabile del trattamento, concentrandosi sulla gestione della violazione dei dati personali (identificazione di un incidente di violazione dei dati personali e ulteriori azioni da intraprendere, ecc.) Sono essenziali per i responsabili del trattamento. Questa formazione dovrebbe essere ripetuta regolarmente, a seconda del tipo di attività di elaborazione e delle dimensioni del titolare del trattamento, affrontando le ultime tendenze e gli avvisi provenienti da attacchi informatici o altri incidenti di sicurezza. Il principio di responsabilità (accountability) e il concetto di protezione dei dati fin dalla progettazione (privacy by design) potrebbero incorporare analisi che alimentano il “Manuale sul trattamento della violazione dei dati personali” del titolare del trattamento che mira a stabilire fatti per ogni aspetto del trattamento in ciascuna fase principale dell’operazione. Un manuale di questo tipo preparato in anticipo fornirebbe una fonte di informazioni molto più rapida per consentire ai responsabili del trattamento di mitigare i rischi e adempiere agli obblighi senza indebiti ritardi. Ciò garantirebbe che, se si dovesse verificare una violazione dei dati personali, le persone nell’organizzazione saprebbero cosa fare e l’incidente sarebbe molto probabilmente gestito più rapidamente che se non ci fossero mitigazioni o piani in atto.

Queste linee guida strutturano i casi in base a determinate categorie di violazioni (ad es. Attacchi ransomware). In ogni caso, quando si tratta di una determinata categoria di violazioni, sono necessarie determinate misure di mitigazione. Queste misure non sono necessariamente ripetute in ogni caso di analisi appartenente alla stessa categoria di violazioni. Per i casi appartenenti alla stessa categoria sono previste solo le differenze.

La documentazione interna di una violazione è un obbligo indipendente dai rischi relativi alla violazione e deve essere eseguita in ogni caso. I casi presentati di seguito cercano di far luce sull’opportunità di notificare o meno la violazione alla SA e di comunicarla agli interessati

Le nuove Linee Guida EDBP

L’European Data Protection Board ha adottato in data 28-03-2023, dopo una fase di consultazione pubblica partita a settembre 2022 (09/2022), la versione 2.0 delle linee guida riguardanti gli obblighi di notifica delle violazioni dei dati personali L’aggiornamento è indirizzato in maniera esclusiva a titolari del trattamento che hanno un rappresentante all’interno di uno dei Paesi dell’Unione, rientrando nell’ambito di applicazione del GDPR – e dunque: sono soggetti destinatari degli obblighi – in forza del criterio di targeting del trattamento. Difatti, sono obbligati a nominare un rappresentante i titolari stabiliti in un paese terzo che svolgono però attività che coinvolgono intenzionalmente i dati personali di interessati che si trovano all’interno del territorio dell’Unione per l’offerta di beni e servizi o altrimenti per il monitoraggio dei comportamenti (nella misura in cui tali comportamenti avvengono all’interno del territorio dell’Unione).

Infatti per questi soggetti viene espressamente esclusa l’applicazione del principio di one-stop-shop ovverossia dell’individuazione dell’autorità di controllo capofila di cui ha sede lo stabilimento principale dell’azienda, andando a conformarsi con quanto già disposto all’interno delle linee guida WP244 e EDPB 3/2018 secondo una lettura coerente e sistematica. Infatti, nella versione previgente era individuata come autorità di controllo capofila cui notificare la violazione di dati personali quella del Paese presso cui risiedeva il rappresentante legale. Adesso, la notifica dovrà invece avvenire in modo granulare nei confronti di ciascuna delle autorità di controllo di riferimento (DPA- Data Protection Authority) per gli interessati coinvolti.

Questo aggiramento dell’obbligo di cui all’art. 33 GDPR in capo al titolare del trattamento impone quinid la capacità tecnica dello stesso di essere in grado di distinguere già nell’immediato dell’analisi dell’incidente – e dunque entro le 72 ore prescritte dalla norma – un criterio di riferibilità territoriale dei dati personali raccolti e trattati.

Questo pero generà delle criticità evidenti cosi riassumibili

  • in primo luogo sulle modalità di progettazione dei database, nonché presta il fianco a numerosi interrogativi circa le corrette modalità di acquisizione delle informazioni che dovranno essere implementate per poter svolgere tali adempimenti.
  • Inoltre tale disposizione normativa comporterà l’aumento quasi inevitabile dei costi operativi soprattutto per l’ambito dell’erogazione dei servizi online, nonché farà sorgere alcune perplessità circa la sostenibilità degli stessi a fronte dell’effettività di tutela e protezione degli interessati cui dovrebbe provvedere tale adempimento.

L’obbligo di notifica

A tale proposito, è stato introdotto dall’articolo 33, l’obbligo generalizzato, in capo al titolare del trattamento di notifica di data breach all’autorità di controllo (DPO) competente a norma dell’art. 55 GDPR e ss., ovvero l’Autorità di controllo dello stabilimento principale o dello stabilimento unico del Titolare interessato dalla violazione o quello ove vi siano gli interessati alla violazione. Le informazioni minime da inserire nella notifica sono incluse nell’art. 33, la DPA competente fornirà una modulistica on line richiedendo informazioni obbligatorie. Tale documentazione consente all’Autorità di controllo di verificare il rispetto delle prescrizioni.

Come dev’essere la notifica di Data breach

La notifica deve:

  • descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
  • comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni
  • descrivere le probabili conseguenze delle violazioni dei dati personali
  • descrivere le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, per attenuarne i possibili effetti negativi.

In Italia prima dell’approvazione del Regolamento erano già presenti obblighi di notifica in quattro fattispecie di trattamento:

  • Settore comunicazioni elettroniche (Prov. Garante 161/2013) – Provvedimento del Garante n. 161 del 4 aprile 2013 con il quale viene prescritto l’obbligo di comunicazione al Garante (mediante un apposito modello di comunicazione) da parte dei fornitori di servizi telefonici e di accesso a Internet (e non, ad esempio, i siti internet che diffondono contenuti, i motori di ricerca, gli internet point, le reti aziendali). Secondo il provvedimento in caso di violazione dei dati personali, società di Tlc e Isp devono: entro 24 ore dalla scoperta dell’evento, fornire al Garante le informazioni necessarie a consentire una prima valutazione dell’entità della violazione entro 3 giorni dalla scoperta, informare anche ciascun utente coinvolto, comunicando gli elementi previsti dal Regolamento 611/2013 e dal provvedimento del Garante n. 161 del 4 aprile 2013. La comunicazione agli utenti non è dovuta se si dimostra di aver utilizzato misure di sicurezza nonché sistemi di cifratura e di anonimizzazione che rendono inintelligibili i dati. Nei casi più gravi, il Garante può comunque imporre la comunicazione agli interessati. Per consentire l’attività di accertamento del Garante, società telefoniche e provider devono tenere un inventario costantemente aggiornato delle violazioni subite.
  • – Biometria (Provv. Garante 513/2014) – Provvedimento n. 513 del 12 novembre 2014 dove viene previsto che entro 24 ore dalla conoscenza del fatto, i titolari del trattamento (aziende, amministrazioni pubbliche, ecc.) comunicano al Garante (tramite il modello allegato al provvedimento) tutte le violazioni dei dati o gli incidenti informatici che possano avere un impatto significativo sui sistemi biometrici installati o sui dati personali custoditi.
  • Dati sanitari inseriti in Dossier (Provv. Garante 331/2015) Provvedimento n. 331 del 4 giugno 2015 dove viene sancito che entro 48 ore dalla conoscenza del fatto, le strutture sanitarie pubbliche e private sono tenute a comunicare al Garante (tramite il modello allegato al provvedimento) tutte le violazioni dei dati o gli incidenti informatici che possano avere un impatto significativo sui dati personali trattati attraverso il dossier sanitario.
  • Dati comunicati fra PA (Provv. Garante 393/2015)- Provvedimento del 2 luglio 2015 “Misure di sicurezza e modalità di scambio dei dati personali tra amministrazioni pubbliche” con il quale il Garante prescrive, ai sensi dell’articolo 154, comma 1, lett. c), del Codice in materia di protezione dei dati personali, che le pubbliche amministrazioni di cui all’articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165 devono comunicare all’Autorità, entro quarantotto ore dalla conoscenza del fatto, tutte le violazioni dei dati o gli incidenti informatici che possono avere un impatto significativo sui dati personali contenuti nelle proprie banche dati e che tali comunicazioni dovevano essere redatte secondo uno schema specifico allegato al provvedimento e inviate tramite posta elettronica o posta elettronica certificata.

La comunicazione di data breach art. 34 (violazione dei dati personali all’interessato)

Quando la violazione dei dati personali presenta un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo. La comunicazione all’interessato descrive con un linguaggio semplice e chiaro la natura della violazione. Tale comunicazione non è richiesta all’interessato se:

  • il titolare del trattamento ha messo in atto le misure tecniche ed organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura;
  • Il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati;

Detta comunicazione richiederebbe sforzi sproporzionati. In tale caso, si procede invece a una comunicazione pubblica o a una misura simile.

La gestione del data breach

Per prevenire, gestire e risolvere episodi di perdita e/o distruzione dei dati personali è necessario:

  • Adottare un protocollo di risposta;
  • Effettuare test periodici per controllare la validità del protocollo;
  • Ottenere una copertura assicurativa per eventuali casi di data breach;
  • Tenere un registro dei casi di data breach;
  • Compiere attività di indagine per individuare la natura e la portata della violazione.

Il protocollo di risposta

Il Titolare del trattamento deve adottare un protocollo di risposta, ossia procedure da seguire per gestire e risolvere eventuali episodi di distruzione e/o perdita di dati. L’adozione del protocollo coinvolge numerose dipartimenti aziendali e strutture pubbliche quali ministeri, asp, etc. Questo protocollo dovrà indicare un modo coerente, sistematico e proattivo per gestire questi incidenti che coinvolgono i dati personali. Per la soluzione di questi incidenti l’azienda/ente pubblico potrà farsi coadiuvare da terzi fornitori di servizi quali:

  • Call center;
  • Servizi di assistenza agli utenti e pubbliche relazioni;
  • Sistemi di monitoraggio;
  • Sistemi di risoluzione dei casi di furto di identità.

La sicurezza informatica contro il data breach

Al fine di prevenire una violazione di data breach è necessario utilizzare un modello di sicurezza informatica così strutturato:

Altri strumenti di prevenzione

  • sviluppo e manutenzione di sistemi (System Development and Maintenance)
  • Accertare che la sicurezza sia stata costruita all’interno delle operazioni di sistema;
  • impedire la perdita, la modifica o il cattivo utilizzo dei dati dell’utente all’interno dei sistemi di applicazione;
  • proteggere la riservatezza l’autenticità e l’integrità delle in formazioni;
  • accertarsi che le attività di progetto e supporto alle attività siano condotte in modo sicuro e per mantenere la sicurezza del software e dei dati del sistema;
  • gestione continuità operativa (Business Continuity Management);
  • Neutralizzare le interruzioni alle attività economiche ed ai processi critici degli affari e dagli effetti dei guasti;
  • adeguatezza (Compliance);
  • Evitare il mancato rispetto delle leggi civili, penali e di qualsiasi requisito di sicurezza;
  • Per elevare l’efficacia e minimizzare l’interferenza per il processo di verifica del sistema;

Effettuare test periodici

È importante condurre regolarmente dei test di verifica del protocollo adottato per garantire che le procedure seguite dall’Azienda per prevenire e risolvere casi di data breach siano efficienti e condotte da personale formato adeguatamente per implementare il protocollo. E’ altresì, importante stipulare un’adeguata polizza assicurativa per assicurare l’Azienda contro il rischio di Data Breach ed ottenere indennizzo dalla Compagnia Assicuratrice in occorrenza di violazioni di dati. L’assicurazione risarcisce i costi che l’Azienda deve sostenere per riparare le conseguenze della violazione e può anche coprire le eventuali spese legali che l’Azienda dovrà affrontare.

Tenere un registro di data breach

Il DPO (Data Protection Officer) deve promuovere la tenuta di un Registro dei casi di data breach, sia dei casi di violazione effettivamente occorsi sia le minacce potenziali, per identificare il tipo e la natura delle violazioni più ricorrenti

Tracciare i casi di data breach

Il tracciamento dei casi di violazione dei dati personali viene effettuato allo scopo di:

  • individuare e tenere sotto controllo i fattori di rischio, ossia i fattori che determinano con più frequenza una violazione dei dati personali
  • Misurare l’efficacia delle policy e delle procedure adottate
  • Elaborare un piano di conformità che fissi gli obiettivi da raggiungere per essere “compliant” rispetto a leggi, best practices, e che aiuti a dimostrare la conformità in sede di audit di verifica/ispezioni/test

Indagini forensi e Data Breach

Per gestire e risolvere i casi di Data Breach l’azienda/ente pubblico può stabilire al suo interno una funzione investigativa e demandare a personale interno indagini forensi “in house” e cioè siglare contratti con investigatori esterni ai quali demandare queste attività di indagine, compiere attività di indagine per individuare la natura e la portata della violazione. Le indagini investigative servono per:

  • Determinare la natura e la portata della violazione
  • Aiutare a prevenire ulteriori perdite di dati
  • Conservare le prove della violazione in modo che possano essere usate anche in un’eventuale azione giudiziaria

Cyber Data Incident Response Pack

A tale proposito è necessario approntare un Cyber Data Incident Response Pack, in grado di:

  • – Gestire l’incident e supportare l’ente nelle attività;
  • – Analizzare la natura della violazione;
  • – Identificare le evidenze, prove e informazioni tecniche;
  • – Determinare la tipologia dei dati compromessi;
  • – Stabilire quali dati sono stati compromessi:
  • – Formalizzare lo stato delle misure di sicurezza in essere;
  • – Predisporre in piano di Remediation.

Nello specifico il servizio di Cyber Data Breach Incident Response permette di essere compliant alla normativa vigente di Data Protection normata nel GDPR. Ma oltre ad avere sempre un piano di “pronta risposta” bisogna anche intervenire giocando sul piano della Cyber Security preventiva, come? con attività costanti di vulnerability assessment, penetration testing e Cyber Threat Intelligence per identificare le vulnerabilità e porvi rimedio; formazione e sensibilizzazione dei dipendenti; e sviluppo di policy e procedure in grado di assicurare la massima Cyber Resillience.

In conclusione, alcuni accorgimenti

Al fine di prevenire i rischi di una “data breach” è possibile utilizzare le seguenti contromisure:

  • Trasformare l’utente da anello debole a prima linea di difesa;
  • Applicare il principio del minimo privilegio per quanto riguarda l’accesso ai dati;
  • Adottare puntuali politiche di patching dei sistemi;
  • Crittografare i dati sensibili;
  • Utilizzare l’autenticazione a due fattori;
  • Rivolgere grande attenzione anche alla sicurezza fisica
  • Adottare e dotarsi di una buona procedura organizzativa di prevenzione del data breach (rilevazione, valutazione e documentazione della violazione all’interno del processo di gestione del data breach)
  • Attività di auditing da parte del DPO
  • Attuazione di politiche di sensibilizzazione e formazione, che possono essere sollecitate dal DPO con un’azione informativa a riguardo diretta al personale che svolge le attività di trattamento

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 3