Qualche settimana fa, in un articolo per questa testata, provavo a tracciare le priorità di intervento per il prossimo semestre affinché il nostro Paese stia al passo con l’avvento della data economy.
Da quel micro-manifesto programmatico è nata l’idea, assieme al Direttore Alessandro Longo, che ringrazio, di analizzare punto per punto alcuni tra i principali temi ivi toccati.
Con questo articolo si apre così una serie di approfondimenti verticali, pubblicati con cadenza regolare e raccolti sotto il nome di “Italia: focus data economy”.
Protagonista di questa prima puntata è la pubblica amministrazione.
Privacy bistrattata, ma è perno del nostro futuro: cosa serve per una svolta
Sono evidenti le ragioni che suggeriscono di soffermarsi con una certa urgenza a riflettere sullo stato di digitalizzazione e di compliance alla normativa sull’uso appropriato dei dati (“privacy”) dell’apparato statale, vale a dire sul livello di metabolizzazione della fenomenologia del trattamento e della valorizzazione dei dati. E anche ai meno esperti in materia non saranno di certo sfuggiti gli eventi balzati alle cronache negli ultimi mesi e che hanno palesato la presenza di non poche criticità nel comparto pubblico.
Quali dunque le azioni da mettere in campo per far sì che la PA sorregga e tragga beneficio dalle inedite sfide della data economy? Personalmente credo siano tre le mosse da compiere: cambiare mentalità, investire sul capitale umano e pianificare. Ma, come in una partita a scacchi, per vincere occorre che se ogni mossa sia efficace e segua immediatamente quella precedente.
Uso razionale dei dati pubblici: serve un cambio di mentalità
Il piano per un rinnovamento della PA richiede innanzitutto e a monte di sposare un nuovo modo di intendere e rapportarsi ai fenomeni della data economy. Si rende insomma necessario, come ho già sottolineato in precedenza, un netto salto di qualità. Ciò significa, innanzitutto, accettare proattivamente l’idea che oggi nessuna politica istituzionale o di governance pubblica possa prescindere da un’attenta, approfondita e corretta valutazione dei profili legati al trattamento dei dati personali. Si tratta di una presa di consapevolezza improcrastinabile, rispetto alla quale il nostro apparato pubblico registra ancora un passo incerto.
Le cause di questa peculiare arretratezza sono numerose e storicamente radicate, afferendo sia a ragioni latamente politiche e sociali, che di mero fatto. Fra le prime, non può di certo trascurarsi come le continue campagne di banalizzazione della privacy rappresentino una pesante zavorra per l’auspicato sprint. La mortificazione della parola in sé, che significa inevitabilmente sminuimento del diritto fondamentale che essa esprime, così come dell’opera dell’autorità che ne interpreta lo spirito (l’Autorità Garante per la protezione dei dati personali) sono i primi bastioni da abbattere per poter conquistare una comprensione della materia libera da odiosi preconcetti e da insensate e controproducenti prese di posizione.
Le opportunità di business legate ai dati
Solo così potranno essere affrontate anche le problematiche di natura fenomenica, prima tra tutte la mancanza, nel pubblico, di quella fondamentale leva che ha assistito lo sviluppo ormai avanzato di una politica moderna sull’uso dei dati nel privato. Le innumerevoli opportunità di business derivanti da una valorizzazione conforme al dettato normativo del proprio patrimonio informativo si sono infatti rilevate un importantissimo alleato per l’assimilazione dei principi e dei valori della protezione dei dati in aziende e gruppi di imprese. All’interno delle PA, invece, manca una vera presa di coscienza circa la possibilità di adempiere in modo più efficiente ai propri doveri di solidarietà – inderogabilmente previsti dalla Costituzione repubblicana – mediante politiche razionali sull’utilizzo dei dati. È tuttavia chiaro che le spinte motivazionali che possono alimentare una finalità di profitto hanno una particolare intensità. Ne consegue pertanto che le amministrazioni pubbliche hanno un forte bisogno di reperire delle ulteriori coordinate che diano un senso e alimentino l’adeguamento alla normativa sulla privacy.
L’offensiva della cybercriminalità
Ecco che allora un aiuto in tal senso può arrivare dal rinnovato interesse, figlio di un’obbiettiva necessità, verso la cybersecurity. Più che nel mondo privato, sono infatti gli enti pubblici ad essere maggiormente esposti al rischio di attacchi cibernetici. E ciò in quanto la PA incarna lo stato nella sua declinazione più alta e nobile, quella di rendere servizi alla collettività. E di conseguenza coloro i quali intendono porsi in una posizione antitetica rispetto all’ordinamento iniziano sempre più a sfruttare lo strumento informatico come arma di contrasto alla legalità, attaccando simbolicamente i sistemi informatici delle amministrazioni pubbliche. Lo abbiamo visto con il caso dell’attacco ransomware ai sistemi della Regione Lazio o a quello alla Regione Toscana e ancora appena pochi giorni fa ai danni dell’azienda ospedaliera San Giovanni Addolorata di Roma (un fenomeno che, va detto, non ha confini, come dimostra ad esempio il recente attacco hacker al Dipartimento di Stato americano).
Cybercrime contro la PA: i numeri allarmanti
Il trend è chiaramente in crescita: secondo quanto rilevato dal Rapporto Clusit 2021 «[…] a livello globale sono stati infatti 1.871 gli attacchi gravi di dominio pubblico rilevati nel corso del 2020, ovvero con un impatto sistemico in ogni aspetto della società, della politica, dell’economia e della geopolitica. In termini percentuali, nel 2020 l’incremento degli attacchi cyber a livello globale è stato pari al 12% rispetto all’anno precedente; negli ultimi quattro anni il trend di crescita si è mantenuto pressoché costante, facendo segnare un aumento degli attacchi gravi del 66% rispetto al 2017». Inoltre, la Relazione sulla politica dell’informazione per la sicurezza relativa all’anno 2020, curata dal Comparto Intelligence (DIS, AISE e AISI), ha evidenziato che «per quel che attiene […] alle attività ostili perpetrate, attraverso il dominio cibernetico, in danno degli assetti informatici rilevanti per la sicurezza nazionale, il complesso dei dati raccolti dall’Intelligence […] ha fatto emergere un generale incremento delle aggressioni (+20%), che, quanto alla tipologia di target […], hanno riguardato per lo più, a conferma di una tendenza già rilevata negli ultimi anni, sistemi IT di soggetti pubblici (83%, in aumento di 10 punti percentuali rispetto al 2019). Tra questi ultimi, quelli maggiormente interessati dagli eventi risultano le Amministrazioni locali (48%, valore in aumento di oltre 30 punti percentuali rispetto all’anno precedente), unitamente ai Ministeri titolari di funzioni critiche (+ 2% nel confronto anno su anno)» (pag. 54).
Gli interventi legislativi per la cybersicurezza nazionale
Gli interventi legislativi per recuperare terreno e mettere così in sicurezza il perimetro cibernetico nazionale non si sono fatti attendere e, arrivati a questo punto, sarà cruciale non fermarsi a mere attività di conio e recepimento normativo, optando invece per interventi capaci di rifondare una sensibilità verso l’importanza della materia attraverso azioni concrete e tangibili. In tal senso, molta fiducia è riposta nell’impegno della neo istituita Agenzia per la cybersicurezza nazionale, alla cui guida siede un’autorità indiscussa nel settore, qual è Roberto Baldoni.
Ecco che allora la cybersecurity può fungere da ariete per una pubblica amministrazione al passo con la data economy. Riformare ed incrementare i presidi di sicurezza informatica è infatti un’operazione che presuppone e va di pari passo con un’indispensabile comprensione delle dinamiche legate al trattamento dei dati, oggetto privilegiato delle mire offensive dei criminali digitali. Un impegno in tale direzione ha quindi il potenziale per innescare quel cambio di mentalità che non ammette più ritardi.
La via del capitale umano: rinnovare i CdA e puntare sui DPO
La seconda mossa da introdurre è la naturale conseguenza della prima. Difatti, una volta eletto il risultato da perseguire, occorre individuare il mezzo per realizzarlo. Risulta evidente che il cambio di mentalità auspicato debba passare per le persone che a vario titolo operano all’interno delle pubbliche amministrazioni. Tale rinnovamento deve coinvolgere innanzitutto il livello istituzionale più elevato, vale a dire i vertici dei singoli dicasteri e i componenti dell’alta dirigenza. Sono infatti detti rappresentanti dello Stato i primi a poter imprimere una direzione all’azione della PA che sia sensibile rispetto alle politiche sull’uso e la valorizzazione dei dati.
Se, tuttavia, a simili altitudini non sempre sussistono le condizioni per avviare uno stabile e duraturo processo di cambiamento, esiste un ulteriore livello sul quale poter agire per aprire il settore pubblico alla data economy. Si tratta della schiera di società partecipate e di società in house, le quali sono immerse nel tessuto produttivo e si muovono nei mercati alla pari delle società di persone e di capitali e che trovano nell’operato dei rispettivi Consigli di Amministrazione il cuore pulsante. È assolutamente prioritario inaugurare una stagione di scouting di figure con competenza tecnologica e giuridica nell’uso dei dati, aprendo i CdA a figure indipendenti e preparate rispetto alle nuove sfide poste dalla tecnologia.
Questi nuovi “influencer” della data economy si troverebbero inoltre in una posizione privilegiata per poter letteralmente influenzare i vertici della PA rispetto all’urgenza di valorizzare e sostenere adeguatamente quelle figure professionali in grado di attuare la trasformazione dell’amministrazione ad ogni sottolivello, come ad esempio i CISO (Chief Information Security Officer) ed i DPO (Data Protection Officer), reclutabili internamente alle PA o anche esternamente, secondo un modello che, grazie al GDPR, vede affiancata all’opera del professionista in outsourcing quella di una funzione privacy interna. Una soluzione quest’ultima, che per esperienza diretta di chi scrive, si dimostra altamente efficiente per dominare contesti a complessità diffusa, come quello di una qualunque amministrazione pubblica, piccola o grande che sia.
È chiaro però che per raggiungere simili desiderata occorrerà evitare quegli episodi, purtroppo ancora frequenti, di stanziamenti irrisori a copertura delle delicate e cruciali attività richieste ai DPO. Una pratica che oltre a rasentare i confini del contra legem si manifesta come assolutamente dannosa e del tutto insensata di fronte alla strategicità di una funzione chiamata ad operare su dei veri e propri asset della PA. A ciò deve poi aggiungersi l’importanza di mandati di durata sufficiente a realizzare visioni perlomeno di medio termine.
L’importanza della pianificazione
Come insega il gioco degli scacchi, lo scacco matto arriva soltanto se ogni mossa è efficace e segue immediatamente quella precedente, cosicché con l’ultima si possa realizzare la visione avviata con la prima. Questo vale anche per il piano di rinnovamento della PA. Valutata l’esigenza di un cambio di mentalità, eletta la sede più opportuna per avviare tale processo – i Consigli di Amministrazione – ed indicati i soggetti in grado di realizzarlo praticamente – i DPO ed i CISO – occorrerà allora incanalare il tutto in chiare e precise linee d’azione. Una programmazione da concertare a livello centrale e che sia caratterizzata dall’elasticità necessaria a rispondere alle singole e peculiari esigenze di ogni amministrazione.
È cosa nota poi che gli scacchisti, al momento della prima mossa, abbiano già pianificato con assoluta precisione quali saranno tutte le successive. Gli elementi di complessità di questa partita rendono invece prematuro spingersi così in avanti, anche se certamente qualche mossa vincente la si può immaginare. Penso ad esempio ad intense attività di audit, sulla base delle quali poter mettere in piedi piani di remediation costruiti secondo una logica in grado di condurre la PA, in un opportuno arco temporale, dall’immediata messa in sicurezza delle attività di trattamento più esposte al rischio al pieno dominio, nell’ottica della corretta valorizzazione, del proprio patrimonio informativo. O anche alla formazione, elemento indispensabile in un contesto ove la raccolta, la consultazione e l’accesso ai dati personali dei cittadini risulta all’ordine del giorno.
E questa volta, si badi bene, non c’è neanche l’alibi della carenza di risorse.
Se falliremo ancora sarà proprio il caso di prenderne tristemente atto e di prepararci ad un inesorabile lungo declino del sistema Paese.
