Caso Comune italiano

Un Comune italiano con 1.200 dipendenti, più sedi operative e processi ad alta circolazione documentale

L'organizzazione coinvolta è un Comune italiano di medie dimensioni con circa 1.200 dipendenti distribuiti tra uffici centrali, sedi decentrate, sportelli al pubblico e funzioni tecniche. Il perimetro comprendeva caselle email distribuite su aree amministrative, uffici tecnici, servizi demografici, ragioneria, ufficio legale, polizia municipale e funzioni di staff.

L'amministrazione aveva identificato un rischio crescente: l'aumento di campagne phishing che imitavano comunicazioni di enti istituzionali (INPS, Agenzia delle Entrate, Ministeri), notifiche di sistemi gestionali interni, richieste urgenti da parte di fornitori o di altri enti pubblici, e finte comunicazioni relative a gare, appalti o delibere.

La baseline iniziale, misurata con una prima simulazione controllata, mostrava un click rate del 42%. Negli uffici con alta operatività e volume documentale il tasso risultava ancora più elevato quando il messaggio simulava workflow reali: notifiche di protocollo, richieste di approvazione urgente, comunicazioni da enti vigilanti, documenti da firmare digitalmente o aggiornamenti di credenziali legate ai sistemi gestionali.

La percentuale di segnalazione spontanea era solo del 2%: molti dipendenti non erano a conoscenza del canale corretto di escalation o non si sentivano sufficientemente sicuri per bloccare autonomamente un messaggio sospetto, temendo di interrompere un flusso di lavoro legittimo.

Il programma è stato costruito in sei mesi con una logica progressiva:

• assessment iniziale per area organizzativa, ruolo e sede;
• simulazioni phishing differenziate per cluster (amministrativi, tecnici, front-office, dirigenza);
• micro-formazione mirata sui pattern emersi dalle simulazioni;
• reporting mensile al management con KPI leggibili in chiave operativa e normativa;
• rafforzamento del canale di segnalazione e delle procedure di escalation interna.

Le campagne simulate sono state progettate con scenari credibili per il contesto della pubblica amministrazione: notifiche da portali istituzionali, comunicazioni urgenti da enti terzi, richieste di aggiornamento credenziali per accesso a piattaforme gestionali (SUAP, protocollo, contabilità), finte email relative ad appalti, gare o atti deliberativi.

Alla fine del sesto mese il click rate è sceso dal 42% al 15%. Parallelamente, la quota di dipendenti che ha utilizzato il canale corretto per segnalare email sospette è salita dal 2% al 28%. Il punteggio medio dei quiz e dei contenuti formativi è cresciuto del 27%, segnale che l'apprendimento non si è fermato alla sola simulazione.

Il dato più significativo per la direzione è stato il miglioramento del tempo medio di escalation interna: da 47 minuti a 18 minuti. In un ente pubblico, ridurre il tempo tra ricezione del messaggio, dubbio e segnalazione significa limitare l'esposizione potenziale di sistemi gestionali, dati personali dei cittadini e flussi documentali critici.

Il settore pubblico è particolarmente esposto perché combina tre elementi: elevata pressione operativa legata ai servizi al cittadino, alta circolazione documentale con scadenze normative stringenti e valore significativo dei dati trattati (dati personali, atti amministrativi, procedure di gara). In queste condizioni, un messaggio credibile che sfrutta urgenza istituzionale, routine procedurale o autorità gerarchica può superare facilmente le difese comportamentali.

Per questo motivo, il programma non si è limitato a erogare formazione, ma ha lavorato su comportamento osservabile, frequenza delle simulazioni, segmentazione dei messaggi e reporting utile ai decisori. La combinazione tra misurazione sistematica e interventi mirati ha reso i risultati progressivamente stabili nel corso dei sei mesi.

Per il management della pubblica amministrazione, questo caso mostra che la maturità in materia di sicurezza informatica non si misura solo con strumenti tecnici, ma con la capacità delle persone di riconoscere, segnalare e gestire correttamente un'anomalia. KPI semplici ma coerenti, come click rate, segnalazioni spontanee, quiz score, tempo di escalation, permettono di governare il rischio in modo concreto, anche in ottica NIS2, GDPR e requisiti AgID.