C’è un assente illustre nelle politiche di digitalizzazione della PA italiana e nell’attuazione dell’agenda digitale: la sicurezza informatica.
Nonostante – a parole – venga spesso sottolineata la necessità di garantire elevati livelli di sicurezza (sia con riferimento ai sistemi informativi pubblici sia in relazione agli scambi di comunicazioni con gli utenti), di fatto viene trascurata l’adozione delle relative regole tecniche e mancano gli investimenti in materia. È emblematica, sotto questo profilo, la vicenda del decreto attuativo sulla sicurezza previsto dal Codice dell’Amministrazione Digitale e non ancora adottato.
Non v’è dubbio che il tema della sicurezza sia uno dei gangli principali di tutti i sistemi informativi ma, se possibile, è ancora più importante nel settore pubblico.
Le Pubbliche Amministrazioni, infatti, nell’esercizio della propria attività istituzionale raccolgono, producono ed archiviano un’enorme quantità di dati e documenti che – in base alle norme vigenti – devono essere resi disponibili in modalità digitale. Questo significa che i dati devono essere formati, acquisiti e conservati nei sistemi informatici delle Amministrazioni titolari.
Si tratta di un vero e proprio patrimonio che deve essere tutelato per:
a) mantenere l’integrità, e quindi l’affidabilità, delle informazioni pubbliche;
b) prevenire e limitare i danni da intrusioni e accessi abusivi;
c) evitare possibilità di diffusioni non autorizzate di informazioni;
d) consentire un corretto funzionamento dell’apparato burocratico ed evitare interruzioni nell’erogazione dei servizi on line.
Lo stesso concetto di Pubblica Amministrazione digitale si fonda sul (necessario ed implicito) presupposto che siano sicuri i sistemi nei quali sono prodotti e conservati i dati.
La centralità del tema della sicurezza dei sistemi informativi delle Pubbliche Amministrazioni, e quindi dei dati in esse contenuti, trova conferma nell’art. 51 del Codice dell’Amministrazione Digitale (D. Lgs. n. 82/2005).
La norma (così come modificata dal D. Lgs. n. 235/2010) prevede che, con apposito decreto, debbano essere individuate le modalità che garantiscono “l’esattezza, la disponibilità, l’accessibilità, l’integrità e la riservatezza dei dati, dei sistemi e delle infrastrutture”.
Evidente la finalità della norma: ridurre i rischi che possono derivare da atti dolosi (ad es. sabotaggi o accessi abusivi) o da eventi accidentali (come errori compiuti dal personale o eventi calamitosi), dotando le migliaia di Enti italiani di un quadro omogeneo che sia in grado di assicurare a tutti le medesime garanzie.
Addirittura, veniva conferito a DigitPA (ora Agenzia per l’Italia Digitale) il potere di segnalare al Governo le Amministrazioni che non rispettino queste regole.
Eppure, a distanza di quasi tre anni, il decreto sulla sicurezza non è ancora stato adottato.
Sia chiaro: gli Enti più virtuosi e consapevoli si preoccupano da tempo di sicurezza informatica, ma la previsione di norme precise ha la finalità di consentire a tutti gli uffici di strutturarsi in modo da assicurare di minimizzare i rischi in materia.
Il fatto che, in mancanza di regole tecniche, la maggioranza degli Enti continuerà a disinteressarsi della sicurezza informatica è confermato dai dati presentati dal Direttore Generale dell’AGID (Agostino Ragosa) relative ad un’indagine condotta sulle PA centrali: solo nel 48% di esse esiste una previsione di spesa dedicata specificatamente alla sicurezza informatica (ed è possibile immaginare che nelle PA locali questa percentuale sia destinata a diminuire ulteriormente).
Purtroppo, molto spesso, funzionari e dirigenti hanno commentato le norme in materia di sicurezza con frasi del tipo: “Lo faremo arriveranno le regole tecniche”, “Tanto non sono previste conseguenze finché non arrivano le regole tecniche”, oppure “non abbiamo soldi per fare queste cose”.
E invece la sicurezza informatica non deve essere “un problema”, ma lo strumento necessario attraverso il quale tutelare il patrimonio informativo pubblico, la produttività degli operatori e la fiducia dei cittadini negli Enti.
Per non parlare del fatto che la disattenzione verso i temi della sicurezza informatica espone l’Amministrazione a:
– danni economici: distruzione documenti, diffusione di informazioni riservate, interruzione di servizio, spese di ripristino, contenzioso legale;
– danni d’immagine: servizi non fruibili, perdita di affidabilità di documenti e registri pubblici, uso improprio di informazioni destinate a rimanere riservate.
Tale immobilismo risulta ancor più preoccupante se solo si riscontra che, proprio in questi ultimi anni, il numero e la gravità degli attacchi informatici nel nostro paese è cresciuto vertiginosamente e, solo nel 2012, oltre un terzo degli attacchi informatici ha avuto come destinatari Pubbliche Amministrazioni o Enti pubblici.
In questo quadro, risulta ancor più difficile (e rischioso) attuare le norme in materia di fascicolo sanitario elettronico, di registro informatico, di archivi digitali o di servizi on line.
Proprio per questo motivo, sulla mancata attuazione delle regole tecniche è stata presentata nello scorso mese di luglio un’interrogazione parlamentare al Ministro per la Pubblica Amministrazione (a firma della Senatrice Silvana Amati). Nell’interrogazione, si chiede quale sia lo stato di avanzamento delle regole tecniche di cui all’articolo 51 del CAD e quali ulteriori azioni siano previste per la salvaguardia delle informazioni memorizzate nelle basi di dati di interesse nazionale e per la protezione dei sistemi e delle infrastrutture delle Pubbliche Amministrazioni.
A quanto ci risulta, al momento, il Ministro D’Alia non ha dato risposta all’interrogazione della Senatrice Amati. Evidentemente, la sicurezza informatica (della PA e dei cittadini) non è ancora una priorità.
Ma attenzione: hackers e terremoti non si fermeranno solo perché un decreto non è ancora stato pubblicato in Gazzetta Ufficiale.
