Annuncio della misurazione di base della sicurezza informatica in Europa

Disclaimer: l'originale di questa pagina è scritto in olandese. Questa pagina è stata tradotta automaticamente in altre lingue utilizzando il sito DeepL. Ciò può comportare differenze di sfumature, tono e significato. In caso di dubbi, consulta sempre prima la versione olandese. A causa dell'elevato costo delle traduzioni, questa pagina potrebbe essere in ritardo rispetto alla versione olandese in termini di contenuti. Consideriamo la versione olandese di questa pagina come principale.     

0: Riepilogo

Il 9 o 10 febbraio la tua organizzazione ha ricevuto un’e-mail sul tema della trasparenza della sicurezza online dei governi. Questa e-mail proviene dalla Internet Cleanup Foundation ed è stata inviata a tutti i governi regionali e alle organizzazioni CERT/CISRT di tutti gli Stati membri europei.

Dal 10 maggio, la sicurezza online della tua organizzazione sarà resa pubblica sul sito web SecurityBaseline.eu. Dal 10 febbraio al 10 maggio, il sito sarà disponibile tramite il link diretto contenuto nell’e-mail ricevuta. In questo modo, i risultati delle misurazioni potranno essere visualizzati in modo da poter apportare eventuali miglioramenti prima della pubblicazione. Misuriamo la tua sicurezza online con cadenza giornaliera o settimanale, in modo da poter vedere anche i miglioramenti. Continuiamo a misurare anche dopo la pubblicazione.

I servizi misurati e le informazioni pubblicate sono stati attentamente valutati e non aggiungono nuovi rischi ai tuoi ambienti online. Il nostro approccio rende i tuoi ambienti più trasparenti, rendendoli più gestibili e quindi più sicuri. Lo facciamo di nostra iniziativa, da una fondazione no-profit, nel nostro tempo libero. In quanto cittadini europei, siamo intrinsecamente motivati a fare la nostra parte per creare un’Europa online sicura, sovrana e rispettosa della privacy e abbiamo una vasta esperienza in questo senso.

L’iniziativa per misurare l’Europa replica il nostro approccio alla misurazione della sicurezza online delle principali organizzazioni nei Paesi Bassi. Abbiamo iniziato nel 2016. Il successo e la praticità sono stati tali che il nostro sito web e le nostre attività sono state incluse nei documenti politici del Ministero della Sicurezza e della Giustizia olandese e del Ministero degli Interni e delle Relazioni con il Regno olandese.

Con la crescente digitalizzazione dei governi e la recente pressione sulla sovranità dei governi online, abbiamo deciso di iniziare a misurare tutti i governi in Europa. I governi sono il primo settore per paese perché sono in grado di stabilire linee guida e leggi per se stessi e per gli altri.

Informazioni approfondite su di noi e su questa iniziativa si trovano in questa pagina. La Internet Cleanup Foundation augura a tutti un’Europa sicura online.

Elger Jonker, Johan Bloemberg, Wouter Goyen

Indice dei contenuti

1. Cosa succederà
2. Caso di studio: Paesi Bassi misurati dal 2016
3. Tempi di consultazione, pubblicazione e portata
4. Politica della Internet Cleanup Foundation
5. Accessibilità
6. Come sono nate le mappe e gli annunci
7. Panoramica finanziaria

1: Cosa succederà

Dal 10 maggio, la sicurezza online di base della tua organizzazione sarà pubblicata su https://securitybaseline.eu. Le informazioni pubblicate potrebbero contenere vulnerabilità nella tua infrastruttura online, ma non aumentano il rischio esistente. Fino alla pubblicazione, puoi accedere alle tue vulnerabilità utilizzando i link che hai ricevuto in questa e-mail.

Ci sono tre mesi tra il 10 febbraio e il 10 maggio. Questi tre mesi sono chiamati “periodo di preparazione”. Questo periodo è in linea con la tempistica comune alle linee guida per la “Coordinated Vulnerability Disclosure” di diversi Stati membri europei. In linea di principio, tutto ciò che misuriamo e pubblichiamo è già un’informazione pubblica. Quindi non usiamo questo periodo per conformarci al processo di Coordinated Vulnerability Disclosure, ma per sfruttare i percorsi e i processi esistenti negli Stati membri europei che sono stati messi in atto per rafforzare la sicurezza delle informazioni.

Sul nostro sito web potrai vedere le mappe dei diversi livelli del tuo governo. In queste mappe, la sicurezza è indicata dal colore di un semaforo: rosso, arancione e verde. Il verde significa che tutto è in ordine, mentre il rosso indica la presenza di una o più vulnerabilità. L’arancione richiede un’azione, ma meno rapidamente del rosso. Il caso di studio dei Paesi Bassi, riportato più avanti in questa pagina, mostra come si stanno muovendo i Paesi Bassi. Questa mappa è già di dominio pubblico, in quanto è stata resa pubblica per molti anni.

Siamo consapevoli che il nostro approccio potrebbe suscitare domande o non essere immediatamente percepito come piacevole o valido. Siamo anche consapevoli che le culture variano notevolmente tra i diversi Paesi europei. Il nostro obiettivo è quello di creare un’Europa online più resiliente. La trasparenza è un mezzo appropriato per raggiungere questo obiettivo. Partiamo dal presupposto che il governo vuole proteggere bene i cittadini europei. Questo dovrebbe tradursi in servizi online di alta qualità. È proprio questo che è misurabile e verificabile in modo indipendente: ecco cosa offriamo.

2: Caso di studio: Paesi Bassi misurati dal 2016

Abbiamo iniziato a misurare i principali siti web dei comuni olandesi nel 2016. Nel corso degli anni, la misurazione si è estesa a tutti i siti web di tutti i governi olandesi. Eseguiamo le stesse misurazioni anche su tutti gli istituti scolastici olandesi, sulla sanità e sulle infrastrutture critiche. Questi dati sono pubblici per tutti. Si tratta di circa 330.000 indirizzi di 10.000 organizzazioni misurati in 25 conclusioni. Queste informazioni possono essere consultate da chiunque.

Nei Paesi Bassi, la nostra iniziativa ha portato a centinaia di migliaia di miglioramenti nella sicurezza delle informazioni. Grazie all’utilizzo di misurazioni leader, come quelle di internet.nl, e alle nostre misurazioni sulla privacy, abbiamo aiutato il Paese in cui viviamo a diventare e a rimanere sicuro per anni.

Questo successo è anche il motivo per cui i Paesi Bassi sono l’unico paese già visibile pubblicamente su SecurityBaseline.eu: infatti, quasi tutte le organizzazioni ottengono già un punteggio verde, mentre nello stesso ambito e con le stesse misurazioni quasi tutte le altre organizzazioni governative europee ottengono ancora un punteggio insufficiente. Quindi i Paesi Bassi sono già molti anni avanti rispetto al resto d’Europa. Questo non è dovuto solo a noi, ma anche all’adozione e alla gestione degli standard da parte del governo e alla presenza di una legislazione sulla crittografia, ad esempio.

Il governo olandese ha una cultura aperta. Questa cultura è sancita anche dalla legge“Open Government Act“: ogni cittadino ha il diritto di accedere alle informazioni pubbliche senza dover soddisfare alcuna condizione. Il governo olandese vuole essere trasparente ed è quindi accessibile. Il governo osa indicare i punti in cui è necessario apportare miglioramenti, ed è per questo che anche la nostra iniziativa di misurazione del governo olandese è stata accolta con favore.

Il nostro sito web e le nostre attività sono presenti nei documenti politici del Ministero della Sicurezza e della Giustizia olandese e del Ministero degli Interni e delle Relazioni con il Regno.

Nei Paesi Bassi conduciamo anche ricerche di ogni tipo. Ad esempio, abbiamo fatto le seguenti scoperte; gli articoli sono in olandese:

• Il governo olandese dimentica molte migliaia di siti nelle sue panoramiche (2025)
• Il governo chiede il permesso di tracciare i visitatori in 100 modi diversi (2024)
• Il 4% dei siti governativi pubblica biscotti di tracciamento non richiesti per tracciare i visitatori (2023)
• Il 33% dei siti governativi non rispetta la legge per l’applicazione di una corretta crittografia sui siti web (2023)
• Il 7% della posta indirizzata al governo olandese passa attraverso partiti non europei (2024)

Gli screenshot qui sotto mostrano una versione provvisoria delle mappe delle province e dei comuni olandesi. Questa è stata estratta da SecurityBaseline.eu ed è già visibile pubblicamente perché quasi tutto è in ordine.

Lo screenshot qui sotto è tratto dal nostro sito olandese: basisbeveiliging.nl. Mostra tre livelli di governo. Ciò che colpisce è che il colore delle mappe è prevalentemente rosso. Questo perché nei Paesi Bassi non misuriamo solo la sede principale di un’organizzazione, ma anche tutte le sedi dei progetti (nuovi distretti, nuove autostrade, campagne e così via), ad esempio. Si può notare che tra i comuni, il 62% dei 26.655 indirizzi di comuni misurati ottiene un buon punteggio.

3: Cronologia dello spoglio, pubblicazione, ambito di applicazione

La tempistica di pubblicazione è la seguente:

• 10 febbraio 2026: e-mail con breve preavviso e link a questo testo
• 10 febbraio 2026: inizio del periodo di ispezione delle misure e dei miglioramenti
• Periodo di ispezione 10 febbraio – 10 maggio:
  • Autorità misurate complete
  • Rafforzamento delle misure TLS di internet.nl secondo le linee guida NCSC-NL 2025 11
  • Possibile aggiunta di nuove misure e visualizzazioni sulla sovranità digitale
  • Solo i domini principali e i sottodomini governativi, nessun dominio per i progetti
  • È possibile effettuare richieste di modifica, ma solo il dominio ufficiale sarà accettato o sostituito. Altre richieste di domini aggiuntivi saranno tenute in sospeso fino alla fine di questo periodo.
• 10 maggio 2026: Pubblicazione dei risultati con un articolo di ricerca che mette a confronto i paesi
• Periodo successivo al 10 maggio 2026:
  • Aggiunta di altre autorità e siti, eventualmente anche di domini di progetto
  • Si accettano richieste di modifica per nuovi domini

La tabella seguente mostra tutti i nostri siti web e le informazioni che vi si possono trovare. Si può notare che il numero di organizzazioni di SecurityBaseline è elevato e supera le 75.000 unità. Il numero di domini correlati è ancora basso, pari a 120.000: questo crescerà fino a una media di 10 sottodomini per dominio.

Sito web	Organizzazioni	Dimensioni degli indirizzi Internet	Misure
SecurityBaseline.eu (il nuovo sito)	Tutte le autorità regionali europee + organizzazioni CSIRT (76.575)	Dominio principale + sottodomini (120.257)	Tutte le 25 metriche: sicurezza, privacy e sovranità
Basisbeveiliging.nl	L’intero governo olandese, la vitalità, l’istruzione, la sanità, la politica, la cybersecurity (11.843)	Tutti i domini che possiamo trovare (361.688)	Tutte le 25 metriche: sicurezza, privacy e sovranità
Basisbeveiliging.be (non più necessario dopo il 10 maggio)	Governi regionali del Belgio (640)	Dominio principale + sottodomini (5.789)	FTP, DMARC, DKIM, SPF, DNSSEC
Basistoegankelijk.nl	Tutti i domini olandesi di governo, vitali, istruzione, sanità, politica, cybersecurity (11.843)	Tutti i domini che possiamo trovare (361.688)	94 metriche sull’accessibilità dei siti web

4: Politica della Internet Cleanup Foundation

SecurityBaseline pubblica le misure di sicurezza in modo ponderato. Le nostre considerazioni sono racchiuse nel nostro codice di condotta. Effettuiamo misurazioni da giornaliere a settimanali.

SecurityBaseline funziona secondo il seguente processo:

I domini delle organizzazioni da misurare sono indicati esattamente nella politica dei domini. Tutte le misurazioni effettuate su questi domini sono raggruppate nella politica di misurazione. Poiché è impossibile trattare tutte le decisioni relative all’infrastruttura IT allo stesso modo, le organizzazioni possono dichiarare delle eccezioni. Si tratta del cosiddetto “rispetta o spiega” o “rispetta o spiega”. Molte di queste dichiarazioni vengono aggiunte automaticamente da eccezioni automatiche alla politica di misurazione. Una buona dichiarazione soddisfa una serie di requisiti.

Ciò che esattamente sarà pubblicato o meno è descritto nella politica di pubblicazione. Le scansioni effettuate rimandano a SecurityBaseline nel modo più chiaro possibile, se possibile direttamente alla pagina di scaninfo (solo in inglese). Tutte le misurazioni e le pubblicazioni sono soggette a questo disclaimer (solo in inglese).

5: Accessibilità

La Internet Cleanup Foundation può essere contattata in due modi:

1: Email a info@internetcleanup.foundation. Convertiremo le e-mail in lingua straniera in olandese o inglese. Il risultato potrebbe essere una perdita di sfumature. Tutti i messaggi vengono letti, ma a volte possono passare diverse settimane prima di trovare il tempo di rispondere.
2: Discord: Visita il nostro canale discord all’indirizzo https://discord.gg/FzadeDrptx chiedendo di Elger, Johan o Wouter. Qui troverai anche un canale di supporto in cui vengono trattati vari argomenti.

6: Come sono nate le mappe e gli annunci?

Le mappe si basano sui dati pubblici di Open Street Map (aree e nomi dei governi), combinati con i dati pubblici di Wikidata (indirizzi dei siti web). Per il livello CSIRT, è stato raccolto manualmente un elenco di organizzazioni e sedi. In totale sono state compilate 90 mappe. Sono stati rilevati tutti i Paesi europei che hanno firmato il trattato sullo Spazio Economico Europeo e la Svizzera. Abbiamo incluso la Svizzera perché è uno dei pochi Paesi che rende disponibili tutti i propri domini internet tramite dati aperti, il che è un passo avanti.

Abbiamo deliberatamente reso il sito web principale del governo parte del CSIRT. Naturalmente, non è questo il modo in cui la responsabilità viene formalmente investita. La vediamo più come una responsabilità sociale. Ci auguriamo che, grazie a questo percorso, il sito web principale del governo sia meglio protetto in caso di necessità.

A causa delle 24 lingue parlate in Europa, le pagine principali di questo sito e di SecurityBaseline.eu sono state tradotte in tutte queste lingue. La traduzione è stata effettuata da DeepL, a meno che la lingua non fosse disponibile (ad esempio il maltese e l’islandese). La traduzione di siti web di questa portata si rivela costosa. Siamo orgogliosi del fatto che la maggior parte dei testi del sito sia disponibile nella maggior parte delle lingue europee, compresi l’irlandese e il greco, anche se a volte ci sono degli errori nelle traduzioni.

Il preannuncio ai governi e alle organizzazioni CSIRT è stato fatto tramite e-mail nelle lingue ufficiali dello Stato membro. Questo preannuncio è stato inviato a tutti gli indirizzi e-mail delle amministrazioni locali e delle organizzazioni CSIRT, nella misura in cui erano reperibili. Alcuni di questi indirizzi provenivano da Wikidata, altri sono stati raccolti e filtrati automaticamente con un software scritto in proprio. In totale sono state inviate decine di migliaia di e-mail. Le e-mail vengono inviate una sola volta per evitare inconvenienti. Ci aspettiamo che i governi si parlino e che le linee di comunicazione tra il CSIRT e le amministrazioni locali siano buone. Se dovessimo dimenticarci di un’organizzazione o non riuscissimo a raggiungerla, questa rete sociale esistente fungerebbe da supporto.

Con 90 nuove mappe e molte migliaia di amministrazioni, è probabile che a volte ci sbagliamo. Ci scusiamo per l’inconveniente. Approfitteremo di questo periodo per perfezionare ulteriormente le mappe e le informazioni sui siti.

7: Come funziona finanziariamente?

Siamo la Internet Cleanup Foundation dai Paesi Bassi. Siamo un piccolo team di tre persone che cerca di rendere il mondo un posto migliore con molte conoscenze e un piccolo budget. Le informazioni di contatto e i dettagli sulla nostra fondazione sono disponibili nella pagina“Chi siamo“.

Questo progetto è realizzato di nostra iniziativa, con le nostre risorse e nel nostro tempo. Non è richiesto alcun pagamento o importo per utilizzare le nostre scoperte o i nostri rapporti. Non sono previsti pagamenti nemmeno per la visualizzazione delle informazioni o per il loro riutilizzo da parte di altri. Tutti i nostri risultati sono disponibili come dati aperti.

Per questo motivo portiamo avanti questa iniziativa al nostro interno. Ma le nostre attività quotidiane sono sostenute finanziariamente dal Fondo SIDN, dal Centro per la sicurezza delle informazioni e la protezione della privacy, dall’Ispettorato di Stato per le infrastrutture digitali, dal governo olandese e da più di 30 organizzazioni partecipanti alla nostra fondazione, tra le altre. Riceviamo risorse tecniche sponsorizzate da CoBytes, Procolix, SURF, Sentry, Hack42 e GitLab.

Altre entrate derivanti da:

• Assegnazioni di ricerca,
• Sviluppare nuove misure e piattaforme,
• Contributi dei partecipanti alla nostra fondazione,
• Esecuzione di misurazioni di settori su richiesta.

È possibile sponsorizzarci o sostenerci da parte di un governo, a patto che sia garantita la nostra posizione indipendente. Per questo contatta elger@internetcleanup.foundation. Per tutte le altre domande: utilizza gli indirizzi della sezione Raggiungibilità.

È possibile diventare un partecipante della nostra fondazione. Volutamente non abbiamo ancora reso disponibile questa opzione su SecurityBaseline.eu perché potrebbe essere vista come un’impresa commerciale. Questa opzione sarà disponibile in un secondo momento, con sufficienti chiarimenti. Per partecipare subito, contatta elger@internetcleanup.foundation.

8: Maggiori informazioni su di noi

Le informazioni di contatto e i dettagli sulla nostra fondazione sono disponibili nella pagina“Chi siamo“.