Il grande caso di data breach Inps con violazione privacy di un numero imprecisato di persone, in vigenza del GDPR ed in piena emergenza Covid-19, che ha colpito l’Istituto nazionale della previdenza sociale (INPS), dimostra con plastica evidenza come non siano stati effettuati sufficienti investimenti e strutturati adeguati processi aziendali per la digitalizzazione, specie per la pubblica amministrazione.
Quanto è accaduto, dunque, è sintomo di una forte criticità insita nel Sistema Paese, dove le evidenti carenze tecniche rendono ancor più vulnerabili i diritti fondamentali dei cittadini.
Cerchiamo di capire cosa è accaduto e su quali basi debba fondarsi la ripartenza in termini di cyber security e di sicurezza delle infrastrutture critiche.
Infrastrutture critiche: il Governo faccia qualcosa nella gestione della crisi
Fra il 31 marzo e il primo aprile 2020, dal sito web dell’Inps è stato possibile accedere ad informazioni riguardanti i dati personali di un numero vastissimo di contribuenti. Un’importante violazione di dati personaliche ha suscitato particolare preoccupazione tra tutti i cittadini in quanto sono risultati illegittimamente visibili in chiaro milioni di dati personali (nome, cognome, codice fiscale, indirizzo di residenza, comune di residenza, numero di telefono mobile e fisso), con gravi rischi per i diritti degli stessi.
A stretto giro, il Garante privacy, Antonello Soro, ha evidenziato come i descritti accadimenti siano gravissimi, aggiungendo di “aver preso contatto con l’Inps e avviato i primi accertamenti per verificare se possa essersi trattato di un problema legato alla progettazione del sistema o se si tratti invece di una problematica di portata più ampia”. E ancora, “quella della mancanza di sicurezza delle banche dati e dei siti delle amministrazioni pubbliche è – ha proseguito il Garante – una questione che si ripropone costantemente, segno di una ancora insufficiente cultura della protezione dati nel nostro Paese”.
Occorre tenere conto del fatto che gli enti locali e regionali trattano innumerevoli dati personali per garantire la prestazione dei servizi pubblici di cui sono responsabili (stato civile, iscrizioni scolastiche, liste elettorali, ecc.), la gestione delle risorse umane, la sicurezza dei loro locali (controllo degli accessi tramite badge, video sorveglianza) o, molto più semplicemente, il funzionamento del proprio sito web. Di contro, è evidente che i cittadini sono sempre più sensibili alla protezione dei propri dati personali.
Pertanto, è necessario che lo sviluppo dei servizi online si affermi quale leva per la modernizzazione del paese; tuttavia, è necessario predisporre opportune misure tecnico-organizzative per la prestazione di attività che potrebbero rivelarsi dannose per i diritti degli interessati.
Data breach e “accountability”
Per quanto nell’immaginario comune si tenda a far coincidere un data breach con una sottrazione di dati personali altrui, il GDPR, all’articolo 4, n. 12, fornisce un’espressa definizione di “violazione dei dati personali”, intendendola come “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”. Si tratta quindi di una fattispecie ampia che, in un’epoca di distanziamento sociale ma di avvicinamento digitale, comporta la necessità di una costante attenzione e una piena consapevolezza da parte dei titolari del trattamento dei dati personali. In questo quadro, l’aderenza alle best practices è un tema rilevante, strategico e indispensabile, anche in un’ottica di accountability del titolare del trattamento; quest’ultimo, infatti, dimostrando di aver adottato concretamente tutte le misure tecniche e organizzative, idonee al caso di specie e volte alla riduzione dei rischi inerenti il trattamento dei dati, adempierà anche agli obblighi di legge.
Soggetti terzi malintenzionati: rischi gravi per la sicurezza informatica
È evidente come la situazione di crisi possa essere strumentalizzata dagli hacker per sfruttare le vulnerabilità derivanti dall’attuale situazione di emergenza correlata al Coronavirus ed al conseguente maggior ricorso alla digitalizzazione.
Trattasi di sfide preoccupanti per la sicurezza, alle quali devono seguire soluzioni efficaci che proteggano dai rischi già indicati, anche grazie all’utilizzo di tecnologie in outsourcing.
La corretta gestione del descritto fenomeno assume quindi un’importanza fondamentale. Per queste ragioni il legislatore comunitario all’art. 32 del GDPR, rubricato “sicurezza del trattamento”, con approccio risk based, prevede espressamente che il titolare “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”.
Cosa possiamo imparare
In questo contesto, le aziende e/o organizzazioni dovranno garantire la sicurezza dei dati personali dei cittadini. Al fine di limitare i rischi, sarà necessario, a questo proposito, attuare rapidamente azioni di prevenzione, informazione e formazione e redigere istruzioni interne.
Sarà opportuno:
- facilitare la trasmissione delle informazioni istituendo, se necessario, canali dedicati per garantire la sicurezza e la riservatezza dei dati;
- aumentare le misure tecniche e organizzative adottate (misure di contenimento, telelavoro, ecc.);
- individuare adeguate contromisure in funzione dei parametri indicati negli articoli 25 e 32 del GDPR;
- predisporre procedure di verifica periodica delle misure adottate per assicurarne l’efficacia;
- sviluppare un sistema di miglioramento continuo sulla sicurezza dei dati personali verificando le vulnerabilità del sistema informatico e la consapevolezza di tutte le persone fruitori di detti servizi.
Conclusioni
Si ritiene che l’importanza della questione della digitalizzazione assuma un rilievo non solo per gli addetti ai lavori ma anche per la politica, specie se si guarda alla pubblica amministrazione.
È, quindi, opportuno cambiare assicurando l’adeguato investimento in competenza e formazione tenendo anche in considerazione che l’isolamento cui la popolazione è attualmente soggetta ha determinato un maggior ricorso agli strumenti informatici.
La ripartenza inizia anche da qui, assumendosi le responsabilità soprattutto nelle strategie politiche, investendo in cyber security, in competenze strutturate e nella cultura del dato, puntando già da subito allo sviluppo del contact tracing. In quest’ottica, è necessario che soprattutto la pubblica amministrazione si attivi per la predisposizione di infrastrutture di connettività, cloud, cyber security, big data e competenze ICT, pilastri su cui investire per sostenere la ricostruzione e modernizzazione del tessuto economico e sociale del nostro Paese, per rilanciare non solo l’economia ma anche l’ordinario vivere dello stesso.