Pubbliche amministrazioni e società private amministrano o raccolgono nelle loro banche dati una mole straordinaria e crescente di informazioni ad elevatissima sensibilità e criticità. Informazioni riguardanti gli aspetti più delicati della vita dei cittadini e delle imprese: dati sanitari, giudiziari, economico-finanziari, bancari e creditizi, dati di polizia inerenti alla vita personale, dati amministrativi per l’accesso ai servizi e alle erogazioni pubbliche.
E mentre nel tempo è cresciuta e sta crescendo la capacità di difesa (tecnica e comportamentale) dagli attacchi esterni al perimetro dell’organizzazione, non è altrettanto vero rispetto al rischio di compromissioni e dispersioni informative originanti dall’interno, da un dipendente o da un collaboratore che abbia privilegi di accesso e li devii per attività illegittime ed anche illecite.
Di fronte al rischio che la patologia riguardi condotte interne, sono numerosi i casi che dimostrano la debolezza degli alert preventivi e della tempestività della scoperta, oltre che una scarsa propensione alla condivisione immediata con le autorità di vigilanza e l’autorità giudiziaria (a frenare è alle volte il timore della lesione reputazionale, altre volte il timore di potenziali sanzioni derivanti da disfunzioni organizzative e gestionali).
Ma il dato macroscopico riguarda l’ancora strutturale mancanza di monitoraggio capillare automatizzato degli accessi alle banche dati, che attraverso algoritmi riesca a costruire indici di rischio comportamentale che consentano poi di orientare selettivamente il controllo su specifici accessi e su specifiche condotte di dipendenti. Tale mancanza non dipende da complessità tecniche, ma da una colpevole sottovalutazione del rischio, da una idea “proprietaria” dei dati raccolti e da una presunzione di insindacabilità del loro utilizzo “interno”.
Di fronte alle sempre più frequenti violazioni di importanti banche dati pubbliche e private, i cittadini sanno quali siano i dati inerenti alle loro vite personali che vengono raccolti e trattati?
A esempio, sanno che tutte le volte che vanno in un albergo o in un b&b la loro presenza rimane a memoria futura ed indelebile all’interno delle banche dati delle Forze di polizia, in base ad un obbligo risalente al 1978, che espone la loro vita personale ed affettiva senza evidentemente una protezione adeguata?
E quali sono gli altri dati che, ad esempio, riguardano gli orientamenti sessuali, politici, religiosi, che vengono conservati? Che effettivo controllo c’è da parte dell’Autorità Garante?
La recente vicenda del Lgt. Striano in DNA racconta che la nostra vita economico-finanziaria si stratifica in una mole di dati capaci di incidere irrimediabilmente sulla nostra reputazione, mettendo insieme sia informazioni a noi note sia altre che nemmeno noi conosciamo: valutazioni positive, negative, di mero sospetto, spesso prive di effettiva verifica, fuori dal nostro controllo ma accessibili per altri e utilizzate anche per finalità di spionaggio politico, familiare, industriale, o anche per mero voyeurismo.
Negli ultimi anni i dati sono cresciuti a dismisura, perché le banche dati pubbliche e private, oltre ad aver riversato un patrimonio informativo infinito – precedentemente analogico – in archivi digitali, hanno visto aumentarne la quantità e il dettaglio, grazie alla rivoluzione digitale. Le banche dati sono sempre più interoperabili, con accessi multipiattaforma e remotizzati, con un maggiore livello di dipendenza da una pluralità di applicazioni e software, che determinano un rischio permanente ed elevatissimo di dispersione dell’informazione ed un minore controllo sulla sua diffusione.
A tutta questa complessità non è corrisposta né per consapevolezza, né per cultura, né per senso di responsabilità, né tantomeno per timore delle conseguenze, alcuna effettiva e concertata pianificazione e implementazione delle misure di prevenzione (alert preventivi, verifica del need-to-know, monitoraggi delle modalità di accesso, etc.).
Gli ultimi casi – Striano in DNA, Intesa Sanpaolo a Bisceglie, Equalize a Milano – non dimostrano tanto e solo la quantità di soggetti malevoli, pubblici e privati, che possano mettere a repentaglio la vita e i dati delle persone, ma come il presidio preventivo sia a volte inesistente, altre fallimentare.
Mentre il sistema dell’informazione di questi giorni tratteggia quadri ancora più foschi legati a criminalità organizzate ed intelligence straniere, si perde di vista la questione più rilevante: quali siano gli strumenti e i metodi che in concreto – al di là del requisito normativo – i gestori di banche dati adottano per prevenire e contenere i rischi che sono fisiologici e ben evidenti.
A fronte di dichiarazioni secondo cui gli accessi sarebbero controllati, è ormai evidente come ciò non sia vero. Le misure di controllo ci sono, ma in concreto non vengono messe in atto: raramente, infatti, i procedimenti nascono da segnalazioni interne.
Al contempo, mentre le Pubbliche amministrazioni e le aziende private si lanciano in mediatici e mirabolanti esercizi di applicazione dell’Intelligenza artificiale negli àmbiti più disparati, il presidio effettivo di banche dati di rilevanza critica sembra sempre essere affidato all’intervento analogico della Autorità Giudiziaria che, in assenza di prevenzione automatizzata, disvela “per caso” quello che, probabilmente, è da tempo un sistema consolidato e diffuso.
Se da un lato ci si può attendere che vengano spiati personaggi pubblici e politicamente esposti – fatto comunque gravissimo, ma che dipende direttamente dal loro livello di esposizione – è anche vero che questo li rende più facilmente presidiabili e tutelabili. Al contrario, il mercato degli accessi abusivi, da quanto emerge, e l’utilizzo deviante dei dati per finalità di ricatto, di concorrenza sleale o per manifestazioni di controllo sulle donne, non riguarda pochi, ma potenzialmente tutti e nessun alert si attiva per un accesso su un cittadino qualunque.
Di fronte a una situazione di così grave emergenza, la risposta non può essere ricercata né nelle norme analogiche, che rimangono principio astratto rimesso alla virtù di pochi, né nell’affidamento fiduciario alle amministrazioni che gestiscono le banche dati. L’Unione europea si è munita da tempo di strumenti che disciplinano anche e soprattutto le banche dati pubbliche – tra cui il principale è il GDPR – dotando l’Autorità Garante per la protezione dei dati personali di strumenti efficaci e potenti.
In parallelo, per quanto riguarda la dimensione della sicurezza digitale, disponiamo oggi dell’Agenzia per la cybersicurezza nazionale.
A fronte di quanto accade, è ora che il Garante e l’Agenzia (a prescindere dagli illeciti di cui si occupa l’Autorità Giudiziaria) intraprendano un’indagine conoscitiva approfondita su tutte le banche dati pubbliche, per comprendere quali dati raccolgano e trattino, su quali persone, con quale finalità e quali siano le modalità tecnico-organizzative adottate per proteggere le informazioni da rischi interni ed esterni.
Al tempo stesso, dovrebbero indicare in maniera specifica le modalità con cui gli interessati possano avere accesso ai dati a loro riferibili, per controllarne l’integrità, l’attualità e la completezza.
In relazione a quanto avvenuto fino adesso, poi, si dovrebbero individuare le carenze organizzative, le omissioni gestionali, le responsabilità dirigenziali che hanno consentito la consumazione clandestina e prolungata di condotte illecite, anche a fronte di enormi quantità di dati esfiltrati.
La valutazione in concreto dei sistemi di prevenzione e di integrità delle banche dati deve essere affidata ai centri di ricerca universitari, con conseguente certificazione e responsabilizzazione rispetto all’idoneità delle misure tecniche adottate; gli strumenti di analisi e polizia predittiva utilizzati, ad esempio, in materia di antiriciclaggio devono essere applicati anche nei confronti di tutti i soggetti che hanno accesso alle informazioni, per poter individuare secondo criteri statistici le anomalie sistemiche e comportamentali (effettiva legittimazione, quantità eccessiva o reiterazione degli accessi, scostamento da bande di normalità statistica, etc.).
È poi indispensabile che si superi la prospettiva “proprietaria” dei dati, che reca con sé l’insindacabilità dell’operato che le Pubbliche amministrazioni (massimamente di polizia) adottano nel far prevalere esigenze di efficienza delle proprie attività istituzionali sulla sicurezza dei dati. Quest’ultima ha pari se non superiore rango e dignità rispetto alle prime.
Se le PA non sono in grado di tutelare i dati, quelli non assolutamente indispensabili non devono essere affatto raccolti e conservati. In ogni caso, l’inadeguatezza tecnico-organizzativa nella protezione dei dati è un criterio che dovrebbe responsabilizzare direttamente i soggetti da cui dipendono gestione, servizi e amministrazione.
Con altrettanta schiettezza va affrontato un altro tema: l’esternalizzazione continuativa di forniture e servizi tecnologici, unita alla mancanza di adeguata vigilanza sui privilegi di amministratore per gli accessi alle piattaforme in uso alla PA, rappresenta uno dei più gravi allarmi per l’esfiltrazione dei dati giudiziari e di sicurezza, tuttora rimasto largamente inascoltato.
Attualmente, gli accessi malevoli in danno di Procure e Forze di polizia, prima ancora che attraverso la permeazione delle banche dati, avvengono attraverso la giungla delle reti e dei dispositivi, sguarniti di adeguato e consapevole presidio a causa di una visione di pura efficienza delle macchine che regna tra le Amministrazioni pubbliche, laddove notoriamente si ritiene che la sicurezza tende ad essere nemica dell’efficienza ed un costo evitabile e, soprattutto, laddove vi è un affidamento fideistico verso tecnologie e fornitori.
Di talché, la gestione e il controllo remotizzati di applicazioni e macchinari, anche come semplici stampanti e scanner, uniti ai meccanismi di acquisizione e sub-acquisizione di risorse esterne (anche e soprattutto umane) non verificate e non sottoposte al rigore dei controlli che sarebbero esigibili, determinano una vulnerabilità permanente a criminalità organizzate, entità straniere e altri soggetti ostili.
Anche in relazione a questo, il modello del risparmio dei costi e dell’obiettivo tecnico perseguito in ottica di “efficienza funzionale” rappresenta il fallimento della sicurezza pubblica. La prevenzione è un costo da sostenere che restituisce tuttavia un doppio straordinario valore: proteggere i cittadini e gli interessi nazionali, da un lato, e garantire la fiducia nelle Istituzioni, dall’altro.
Questo ragionamento deve diventare una guida e un monito anche per orientare imprese e soggetti privati che raccolgono dati sanitari, giudiziari, di credito, di utenze, sugli spostamenti, e che devono garantire identica trasparenza nel rappresentare quali dati vengono raccolti (anche a prescindere da quelli conferiti dagli interessati), dove vengono conservati e protetti e quali siano le misure di prevenzione che consentono l’attivazione di alert anticipati.
In tal senso, il caso di Intesa Sanpaolo (tra gli istituti più grandi e affidabili nel mondo) rappresenta la dimostrazione del fallimento della prevenzione anche in àmbito bancario.
Poiché spesso sono proprio i costi a frenare la prevenzione, devono essere previsti degli obblighi di spesa specifici, connessi al valore istituzionale dei dati o al fatturato delle aziende. Considerato che l’attivazione in chiave riparatoria è spesso determinata solo dal timore della lesione reputazionale o delle sanzioni per responsabilità gestionali (due aspetti che diventano quasi preponderanti quando si scoprono e si accertano patologie), le nuove sanzioni o il loro aggravamento non dovranno riguardare solo il verificarsi degli accessi abusivi (per i quali già esistono norme e pene), ma dovranno riguardare anzitutto la responsabilità di chi ha l’obbligo di garanzia e di prevenzione, secondo il modello già esistente (per quanto riguarda gli aspetti di sicurezza dei dati) del GDPR, che nel nostro Paese sembra rimanere, purtroppo, solo una tigre di carta.
a cura del Prof. Avv. Roberto De Vita, Presidente Osservatorio Cybersecurity dell’Eurispes