Edoardo Giardino è avvocato e professore associato nonché abilitato alle funzioni di professore ordinario di…
La sicurezza informatica nella PA è un’emergenza nazionale
Negli ultimi giorni ne hanno parlato praticamente tutti i giornali e i TG: un’importante operazione della Polizia Postale (denominata “People1”) ha portato alla luce quello che — secondo gli inquirenti — è il più importante attacco alle banche dati istituzionali finora compiuto.
L’ arrestato attaccava — mediante tecniche di phishing —i sistemi informatici di amministrazioni centrali e locali (prevalentemente piccoli comuni), introducendosi quindi nelle in banche dati di Agenzia delle Entrate, INPS, ACI e InfoCamere. In questo modo, sottraeva dati personali da rivendere ad agenzie investigative e di recupero crediti.
La rete di computer infettati veniva utilizzata per compromettere i database delle amministrazioni pubbliche ed esfiltrare i dati personali dei cittadini. A quel punto i dati venivano commercializzati in modo da consentire un accesso alle banche dati, illegittimo e non tracciato (si stima siano state effettuate decine di migliaia di ricerche, al costo — in nero — di “1 euro a dato”).
La notizia dell’operazione “People1” ha una rilevanza che va al di là delle indagini degli inquirenti. Grazie a questa notizia, qualcuno si è scoperto più vulnerabile di quanto credeva. I nostri dati anagrafici, le informazioni previdenziali possono essere consultate da qualcuno che ci spia, schedandoci o profilandoci “a nostra insaputa”.
Una presa di consapevolezza tanto più amara se pensiamo che — per quanto possano essere astuti i criminali informatici — queste violazioni sono possibili grazie alla scarsa attenzione che governo e amministrazioni hanno sin qui dedicato ai temi della sicurezza informatica.
Si tratta di una realtà nota, da tempo, agli addetti ai lavori. Ma adesso sempre più sotto gli occhi di tutti, con pericolosissimi effetti sulla fiducia che i cittadini nutrono nei confronti delle amministrazioni e del processo di trasformazione digitale del settore pubblico.
Senza massicci investimenti sarà difficile dare piena attuazione alle lodevoli iniziative normative (come il recente decreto sul perimetro di sicurezza nazionale cibernetica) o strategiche (come le azioni in materia di sicurezza previste dal Piano triennale ICT 2019–2021).