Disponibile il dossier dell’AgID, Agenzia per l’Italia Digitale, con all’interno il terzo monitoraggio dei siti della PA: ecco tutti i dettagli.
Il report rende disponibili alcuni dei dati emersi dal terzo monitoraggio realizzato da AgID sull’utilizzo del protocollo HTTPS e sullo stato di aggiornamento dei CMS sui sistemi della PA.
Si tratta di punti cruciali per la tecnologia informatica e per i servizi offerti dalle Pubbliche Amministrazioni: da questo punto di vista si tratta infatti di aspetti che impattano positivamente o negativamente sull’erogazione dei servizi digitali al cittadino.
Previsto dal Piano Triennale per l’informatica nella PA, il monitoraggio ha interessato 21.700 portali istituzionali – di cui 18.096 correttamente raggiungibili – presenti in IPA, l’indice dei domicili digitali della Pubblica Amministrazione e dei Gestori di Pubblici Servizi.
Indice dei contenuti
Nella rilevazione 2022, AgID ha riscontrato un aumentato dei siti della Pubblica Amministrazione che si possono considerare sicuri (47%), più che raddoppiati rispetto allo scorso anno. I siti quasi correttamente configurati, invece, sono l’11%: si tratta di siti che utilizzano già il protocollo HTTPS ma la configurazione, sebbene non immediatamente vulnerabile, non è più considerata idonea agli standard moderni.
I siti soggetti a scansione per la verifica del protocollo HTTPS sono raggruppati in quattro categorie:
La percentuale di siti che utilizza una corretta configurazione HTTPS è più che raddoppiata (da 4149 a 9022) rispetto allo scorso anno (2021) e quadruplicata rispetto a due anni fa (erano 1766 nel 2020).
Il miglioramento sul fronte dell’utilizzo di HTTPS è principalmente dovuto alle azioni correttive legate alla rimozione del supporto alle versioni obsolete di TLS (TLS 1.0 e 1.1) e, in misura minore, alla forzatura dell’utilizzo di HTTPS tramite redirect da HTTP.
Categoria | Anno 2021 | % | Anno 2022 | % |
Sicuri | 4149 | 22% | 9022 | 47% |
Gravi problemi | 10092 | 53% | 7802 | 41% |
Mal configurati | 4549 | 23% | 2218 | 11% |
Senza HTTPS | 340 | 2% | 223 | 1% |
Un importante miglioramento riguarda anche la percentuale di siti che non supporta il protocollo HTTPS. Rispetto ai risultati emersi dalla scansione precedente (2021) si è riscontrata una diminuzione del 34% (da 340 a 223 unità) e, rispetto alla scansione di due anni fa, il numero si è dimezzato (erano 445 nel 2020).
In questa categoria rientrano i siti con HTTPS facilmente aggirabile (es: certificato non corretto) o debole (es: cifrari con chiavi piccole o senza confidenzialità).
Questa è la categoria più complessa da analizzare: in termini assoluti la recente scansione ha evidenziato una dimuzione di circa 2200 unità di siti problematici.
Nei dettagli si nota però che le principali variazioni sono:
Si evidenzia quindi un abbandono delle versioni obsolete di TLS che, insieme ad uso corretto del reindirizzamento ad HTTPS ed all’utilizzo di un certificato valido, hanno portato ad un deciso ridimensionamento di questa categoria (dal 53% dei siti totali nel 2021 ad un 41% dei siti del 2022).
Al momento, la maggior parte dei siti della PA (il 47%) usa HTTPS in modo sicuro. Tuttavia i siti con gravi problemi di sicurezza sono ancora piuttosto vicini in termini percentuali (41%).
In questo anno si delinea quindi una dicotomia in cui da una parte ci sono siti correttamente configurati e dall’altra siti che hanno gravi errori di configurazione. Tra le due situazioni, i siti “irrecuperabili” (senza HTTPS) sono relativamente pochi (1%) mentre i restanti (11%) sono “quasi” correttamente configurati.
Questa categoria comprende i siti che supportano versioni obsolete di TLS e cifrari CBC per cui sono noti attacchi anche se non di immediata sfruttabilità.
Sebbene, nella sua suddivisione, questa categoria mantenga le percentuali dei siti con TLS 1.x invariate, in termini assoluti si ha un più che abbondante dimezzamento dei siti che usano versioni obsolete di TLS. Questa diminuzione è il principale motivo del raddoppiamento dei siti sicuri. Infatti, una volta abbandonate le versioni obsolete di TLS, questi siti sono risultati in linea con gli standard moderni.
I siti che usano cifrari CBC sono invece rimasti invariati.
Il numero di siti sicuri è più che raddoppiato: per la prima volta sono la fetta più grande della torta (47%). La principale spinta migliorativa è venuta dall’abbandono delle versioni obsolete di TLS, da un migliore uso del redirect verso HTTPS e dall’utilizzo di certificati validi.
Si nota anche un aumento dell’uso del protocollo TLS 1.3, che sono triplicati rispetto alla precedente rilevazione.
Anche il numero di siti Istituzionali che espongono un CMS aggiornato presenta, in questo monitoraggio, un lieve miglioramento. Allo stato attuale, un quarto dei domini che usa un CMS utilizza una versione aggiornata all’ultima release disponibile. La crescita, rispetto a quanto rilevato nella scansione precedente (2021), è stata dell’ 8%, recuperando di fatto la regressione evidenziata lo scorso anno rispetto al 2020.
Questo lieve miglioramento osservato sul fronte dei CMS è certamente dovuto ad una maggiore consapevolezza delle amministrazioni riguardo ai rischi che comporta l’esposizione di un CMS vulnerabile, agevolato anche dalla semplicità con cui le piattaforme di Content Management System favoriscono la notifica di una nuova versione e provvedono, anche automaticamente, ad applicare gli aggiornamenti necessari a risolvere le criticità riscontrate.
Le tipologie di CMS utilizzati sono rimaste invariate, così come il numero di siti Istituzionali che non dispone di un CMS.
Su un totale di 21700 portali Istituzionali sottoposti a monitoraggio, sono risultati correttamente raggiungibili 18096 siti di cui 9108 utilizzano un CMS per i quali è stato possibile procedere con il rilevamento della sua versione.
Domini (IPA) | Domini raggiungibili | Domini con CMS |
21700 | 18096 | 9108 |
CMS | Anno 2022 | % |
Aggiornati | 2322 | 25.49% |
Non aggiornati | 4867 | 53.44% |
Versione non rilevata (*) | 1919 | 21.07% |
Il 57,15% dei siti Istituzionali utilizza il software WordPress come CMS, rivelandosi ancora una volta il CMS più usato nella Pubblica Amministrazione. Seguono Joomla per il 24,71% e Drupal per l’8,72%.
Rispetto al monitoraggio precedente il numero di siti WordPress è cresciuto passando da 4490 a 5205 siti, un incremento totale di 715 siti. Per quanto riguarda l’uso dei CMS Joomla e Drupal i numeri sono rimasti quasi invariati. I restanti CMS risultano utilizzati da appena il 9.5% dei siti Istituzionali.
TIPI DI CMS | 2021 | 2022 | Δ |
WordPress | 4490 | 5205 | 715 |
Joomla | 2248 | 2251 | 3 |
Drupal | 801 | 794 | -7 |
Rispetto al precedente report, anche il numero di CMS utilizzato è rimasto invariato.
Come evidenziato dal report dell’AgID è importante che una Pubblica Amministrazione abbia un sito web istituzionale perfettamente raggiungibile e funzionante.
Ma si ricorda che il portale istituzionale deve essere anche conforme ai nuovi standard di accessibilità e usabilità.
Per questo la Società Golem Net, qualificata come Azienda per fornire prodotti in modalità SaaS (Software as a service), offre il proprio supporto agli Enti che devono adeguare e ottimizzare il proprio sito a tutti i nuovi principi.
Tutti prodotti web sono installati su Cloud Server presente su marketplace AgID.
In materia di Trasparenza Amministrativa, grazie al pacchetto SitiPA, si mette a disposizione dell’Ente una soluzione completa e conforme agli obblighi normativi dei siti web della Pubblica Amministrazione.
Inoltre, tramite il modulo web di Golem Net, Online PA, risulta semplificato l’inserimento e la contestuale gestione degli atti da pubblicare nell’Home Page del sito web istituzionale, nelle sezioni apposite previste dalla normativa.
Si tratta di Software pienamente accessibili e che seguono pedissequamente la Direttiva UE 2016/2102.
Le soluzioni software e le piattaforme offerte da questa Azienda, in conclusione, rappresentano una soluzione tecnologica conforme ai principi delineati dalla Direttiva sopra citata.
È possibile richiedere una demo personalizzata di SitiPA cliccando sul banner qui di seguito.
Fonte: articolo di redazione lentepubblica.it