di Vittorio Colomba, avvocato esperto di diritto delle nuove tecnologie, DPO UniMoRe

Quanto siano attualmente esposte le nostre pubbliche amministrazioni di fronte al pericolo di cyber attacchi è una domanda che, anche solo per scaramanzia, in pochi si pongono.

Sia chiaro che riunendo in un unico ragionamento l’eterogeneità delle organizzazioni pubbliche, al pari di qualunque altra generalizzazione, anche in questo caso si rischierebbe di non cogliere nel segno. Eppure, non credo che accompagnare questi quesiti ad un profondo senso di timore e preoccupazione sarebbe del tutto sbagliato.

Ai problemi ancestrali della PA si è aggiunto, a causa dell’emergenza sanitaria, il ricorso immediato, urgente e massivo allo smart working, in un contesto in cui i computer con i quali i dipendenti lavorano da casa sono stati trasformati in potenziali, ulteriori, vulnerabilità.

Se nel 2019 si sono contati circa 120 attacchi ai danni della PA italiana, l’esperienza degli ultimi mesi ha confermato l’esigenza di innalzare l’asticella della sicurezza e della prudenza, soprattutto in relazione alle amministrazioni che gestiscono dati sanitari, quelli che attualmente rappresentano il bersaglio prediletto dei delinquenti informatici.

Ed è proprio nell’ottica della necessaria implementazione delle procedure e dei sistemi di sicurezza che anche il Garante Privacy si è mosso, arrivando a sanzionare le pubbliche amministrazioni rivelatesi deboli e carenti in punto di compliance normativa.

Con un provvedimento dell’1 ottobre 2020, l’Autorità ha elevato una sanzione di 20.000 euro ai danni di un policlinico romano, reo di non aver protetto adeguatamente i dati di alcuni utenti. Mentre consultavano le proprie radiografie, collegandosi con lo smartphone attraverso le loro credenziali, 39 pazienti hanno potuto avere accesso all’elenco alfabetico di 74 altri assistiti, visualizzare i loro referti radiologici e l’elenco degli esami.

L’unica ragione per la quale la sanzione è stata quantificata, tutto sommato, in un importo così basso risiede nella cooperazione che il policlinico ha offerto agli interessati e al Garante al fine di accertare l’accaduto e di mitigarne, per quanto possibile, le conseguenze.

Non più tardi di qualche giorno fa, il Garante ha avviato una nuova istruttoria nei confronti dell’ATS di Milano (Agenzia per la Tutela della Salute, ex ASL) perché sulla sua piattaforma “Milano Cor” era possibile, per chiunque, acquisire informazioni sull’identità dei soggetti risultati positivi a Covid-19.

Quella piattaforma serve per avere informazioni su cosa fare a seguito di un tampone positivo, senza bisogno di telefonare ai call center che, di questi tempi, sono di sovente intasati.

Il problema è che l’elenco degli individui inseriti nel database era visibile per chiunque: inserendo il codice fiscale ed il numero di telefono di qualcuno, difatti, si poteva avere conferma della sua registrazione e, quindi, implicitamente, della sua positività al virus.

Molti altri casi potrebbero essere citati: l’affaire INPS dell’aprile 2020, quando milioni di italiani si sono affollati sul sito dell’istituto per chiedere l’indennità di 600 euro e i dati anagrafici di almeno 42 soggetti e 773 famiglie sono stati visionati da un numero imprecisato di sconosciuti che, in alcuni casi, hanno modificato, cancellato ed inviato domande non loro; per non parlare del caso del Comune di Marentino (TO), che lo scorso aprile è stato vittima di un attacco informatico di tipo ransomware che ha violato i dati personali sul server centrale dell’ente.

In quest’ultimo caso, i criminali informatici hanno inoculato un cryptoLocker che ha messo fuori uso il sistema del povero ente per poi cancellare anche il backup dei file. Per sbloccare i dati, al Comune è stato richiesto un riscatto in bitcoin, “in misura ridotta” pari a 50mila euro se il pagamento fosse avvenuto entro due giorni, cifra che è però raddoppiata a 100mila euro dopo la scadenza del termine.

Nel giugno 2020, Anonymous si è preso gioco della Camera di Commercio di Roma, di cui ha hackerato il sito istituzionale per inserirvi questa notizia: “Si comunica che in data odierna la Camera di Commercio stanzierà mille mila milioni di euro per i contribuenti afflitti dalla crisi. Un ringraziamento particolare va alla Lega che ha contribuito a creare tale fondo benefico trovando sotto il materasso la cifra di 49 milioni di euro”.

Non che all’estero se la passino molto meglio. La Germania, per esempio, detiene un triste primato, quello del primo decesso considerato diretta conseguenza di un attacco informatico. Una donna, difatti, è morta in occasione di un attacco alla rete dell’ospedale di Düsseldorf che ha costretto la struttura ospedaliera a trasferire la paziente all’ospedale di Wuppertal, distante 30 chilometri. Il tragitto, purtroppo, si è rivelato fatale per la povera donna, deceduta a causa del ritardo accumulato nel ricevere le necessarie cure.

Delineato questo scenario c’è solo un ultimo quesito che sarebbe legittimo porsi: come si stanno attrezzando le nostre pubbliche amministrazioni per fronteggiare questa crescente tipologia di rischi? A parte i già sovraccaricati uffici tecnici, ben pochi enti si sono dotati di adeguati presidi interni.

Basti pensare che in molti non hanno ancora nemmeno provveduto a nominare un responsabile per la protezione dei dati, o hanno formalizzato nomine inadeguate, a volte “sorteggiando” personale interno non formato cui hanno letteralmente appioppato l’incarico, altre volte riunendosi in gruppi numerosi ed eterogenei per incaricare una sorta di DPO di gruppo, sostanzialmente impossibilitato a svolgere proficuamente il proprio ruolo.

Gli esperti di analisi dei rischi sanno che la prima regola del proprio lavoro è “immagina lo scenario peggiore e preparati per quello”: se si verificherà sarai pronto, se non succederà nulla, tanto meglio!

In molti, al contrario, vanno alla ricerca di soluzioni facili per problemi difficili. Il pericolo, nell’invertire la regola di cui sopra, è di finire per capovolgerne anche i risultati attesi.

Licenza Creative Commons
Cittadini di Twitter è distribuito con Licenza Creative Commons Attribuzione - Non commerciale - Non opere derivate 4.0 Internazionale.

La Redazione del Giornale Cittadini di Twitter!

Leave A Reply


*