di Massimo Ferrari
Corriere della Sera, 3 novembre 2024
Le istituzioni pubbliche sensibili sono vulnerabili sia agli accessi abusivi condotti dai dipendenti che ad attacchi da parte di hacker tradizionali. In Italia ad oggi esistono almeno dieci diverse agenzie, dipartimenti e organismi che si occupano di sicurezza informatica. Gli episodi accaduti negli ultimi tempi hanno dimostrato che istituzioni pubbliche sensibili sono vulnerabili sia agli accessi abusivi condotti dai dipendenti che ad attacchi da parte di hacker tradizionali. Tali forme di diffusione illecita di informazioni riservate violano principi costituzionali. Particolarmente complessa e delicata è la relazione tra diritto alla privacy e altri diritti costituzionalmente tutelati, come la salute collettiva, il diritto di cronaca, la sicurezza pubblica, l’amministrazione della giustizia (consideriamo le intercettazioni telefoniche). Il Presidente della Repubblica Sergio Mattarella è più volte intervenuto sul tema.
Tra i principi della nostra Carta costituzionale spicca la tutela dei diritti inviolabili dell’uomo (art. 2), in quanto l’individuo è posto al centro dell’ordinamento giuridico, tanto che è compito della Repubblica rimuovere gli ostacoli di ordine economico e sociale che impediscono il pieno sviluppo della persona umana (art. 3). A declinare questa fondamentale tutela per quanto riguarda il diritto alla privacy, l’art. 15 stabilisce l’inviolabilità della libertà e della segretezza della corrispondenza e di ogni altra forma di comunicazione personale.
Conseguentemente, la Corte Costituzionale ha più volte affermato che la dignità umana è comprensiva del diritto alla riservatezza.
Ma i privati cittadini sono oberati di obblighi per fornire molte informazioni private sensibili. Mentre le imprese sostengono costi rilevanti per l’adozione di processi e procedure che garantiscano la privacy (con responsabilità financo penali), mentre i dati e le informazioni affidate allo Stato sono ad alto rischio di impieghi illeciti.
Cosa avviene per quanto riguarda la Pubblica Amministrazione? In Italia ad oggi esistono almeno dieci diverse agenzie, dipartimenti e organismi che si occupano di sicurezza informatica. Con la creazione, nel 2021, dell’Agenzia per la Cybersicurezza Nazionale molte attività sono state centralizzate e coordinate, ma le responsabilità operative e strategiche sono ancora parcellizzate tra varie entità. Fornire linee guida chiare su come applicare standard di sicurezza elevati in modo uniforme in tutte le amministrazioni pubbliche e creare un SOC (Security Operation Center) per la PA sono tra le principali azioni da intraprendere a livello nazionale.
È inoltre opportuno valutare l’opportunità di istituire una Autorità indipendente, che riferisca al Parlamento periodicamente, con una governance che privilegi l’efficacia e la riservatezza, e una disciplina apposita per regolamentarne la relazione con il Ministro dell’Interno. Tale Autorità dovrebbe essere dotata di una struttura di competenze interforze, avere ampi poteri d’indagine e regolamentari e un idoneo budget per investire in sistemi ed infrastrutture sempre all’avanguardia.
A livello internazionale, è fondamentale aumentare la collaborazione con agenzie di cybersecurity europee, come ENISA, per scambiare informazioni e analizzare le minacce emergenti a livello globale. Queste misure sono indispensabili per prevenire gli accessi dall’esterno, ma non va trascurata la necessità di aumentare la sicurezza anche all’interno delle amministrazioni. L’adeguamento degli enti pubblici alla disciplina privacy-GDPR è migliorato negli ultimi anni, ma rimane ancora disomogeneo.
In base alle rilevazioni fatte dal Garante, in molti enti pubblici non è ancora stato nominato un Data Protection Officer o il ruolo risulta essere affidato a personale non adeguatamente formato. Altrettanto bassa è la consapevolezza dei dipendenti pubblici sulla protezione dei dati, sui rischi informatici così come la mancanza di risorse con le dovute competenze tecniche.
La crescita della cultura di security deve essere accompagnata da misure organizzative idonee a fermare il dipendente infedele che vuole vendere informazioni all’esterno. Per i dati più sensibili è necessario adottare un approccio sicurezza Zero-Trust, limitando l’accesso ai dati al personale autorizzato. È inoltre opportuno implementare politiche di classificazione e protezione dei dati, per mitigare la circolazione di informazioni a soggetti non autorizzati e poter individuare facilmente i dati critici da migrare in ambienti ad alta sicurezza e meno vulnerabili agli attacchi. Se per le aziende private che non rispettano la normativa privacy e cybersecurity sono previste sanzioni pecuniarie significative, e anche per le PA che non rispettano le norme di sicurezza deve essere usato lo stesso approccio sanzionatorio così come la stessa attenzione al monitoraggio.
Mai come oggi lo Stato italiano deve adottare un approccio completo e integrato per la sicurezza informatica delle PA oltre che per le garanzie a cittadini e imprese.
