Tutti i dati contano… Qualcuno meno?
La Rubrica - Cybersecurity Week
In questi giorni ho letto la relazione dell’Agenzia per la Cybersicurezza Nazionale (ACN). Diciamo che le oltre 130 pagine dimostrano che stanno lavorando, ma quello di cui vorrei parlare oggi sono alcuni dati che mi hanno colpito, dei quali, però, mi sembra che nessuno abbia parlato. Tutto accade quando arrivo a pagina 103 dove si parla della classificazione dei dati della pubblica amministrazione. Per quanti non lo sapessero, si tratta di una delle attività più complesse nell’ambito della sicurezza delle informazioni, ma di fondamentale importanza. Da essa, infatti, dovrebbe dipendere il livello di protezione a cui saranno soggetti i dati per preservare le caratteristiche fondamentali di integrità, riservatezza e disponibilità.
Per la classificazione sono stati definiti tre livelli: strategici, critici e ordinari. In sintesi, i primi sono quelli “la cui compromissione può avere impatto sulla sicurezza nazionale”; i secondi se compromessi potrebbero “determinare un pregiudizio per il mantenimento di funzioni rilevanti per la società, la salute, la sicurezza e il benessere economico e sociale del Paese, che includono i servizi essenziali ai sensi del D.Lgs. n. 65/2018 erogati a livello locale, nonché quelli che trattano grandi moli di dati personali”; i terzi sono tutti gli altri. l’Agenzia ha invitato le pubbliche amministrazioni a rispondere a dei questionari che riguardavano elenchi pre-classificati di servizi, in modo da avere una classificazione generale. Alla data di pubblicazione della relazione aveva risposto circa l’80 per cento degli enti, una percentuale che senza dubbio consente di avere un quadro piuttosto attendibile della situazione. Finivo così la lettura di pagina 104, e, con grande curiosità, mi accingevo a prendere visione della “figura 41”, che apre pagina 105, dove avrei trovato “la percentuale di servizi classificati come ordinari, critici e strategici per le diverse categorie della PA”. Proprio il grafico mi ha riservato l’incredibile sorpresa.
A fronte di Ospedali e ASL che considerano il 62 per cento dei propri dati come critici, negli enti regionali la percentuale scende all’11; nelle amministrazioni centrali scivola al 4, ma con la presenza di un 2 per cento di dati strategici, nelle province crolla all’1. In tutte le altre amministrazioni, compresi comuni, scuole e università, i dati critici presenti sono pari a “zero”. Onestamente, faccio una certa fatica a immaginare che nessun comune in Italia tratti “grandi moli di dati personali” o non svolga “funzioni rilevanti”. Se consideriamo una grande città come Milano e il numero di abitanti, nonché il solo elenco delle attività connesse alla pubblica sicurezza e ai servizi sociali, mi sembra una valutazione stupefacente. Per giunta, se considero quel 62 per cento di dati/servizi critici degli operatori sanitari, faccio proprio fatica a capire come per un comune diventino “zero”.
Cosa dire, poi, delle scuole che trattano i dati di minori e garantiscono l’istruzione, che sarebbe anche un diritto costituzionale a livello europeo? A questo punto mi sono chiesto come mai sia venuta fuori una classificazione che, a mio modesto avviso, sottostima, e non di poco, il valore di certe informazioni e servizi. Personalmente, credo che una componente sia psicologica. Nell’ultimo anno il nostro sistema sanitario è stato vittima di attacchi senza soluzione di continuità, e le conseguenze hanno evidenziato la portata del danno sia reale sia potenziale. Credo che questo abbia giocato a favore dello sviluppo di una maggiore “sensibilità”. In generale, poi, c’è un secondo elemento. Se ho interpretato bene la frase, un ulteriore aspetto potrebbe essere quello che gli elenchi pre-classificati “consistono in elenchi di servizi in cui viene proposta una classificazione predefinita, che l’Amministrazione può accettare o modificare”. Se effettivamente le valutazioni erano già state fornite dall’ACN non è che per deferenza, a pensar bene, o pigrizia, a pensar male, qualcuno non ha svolto alcun tipo di riflessione sul mestiere che fa?
