Data Breach: solo una corretta formazione potrebbe salvarci tutti

Tra le ultime in ordine di tempo c’è anche la San Carlo.

Le notizie di attacchi hacker perpetrati a danno di enti pubblici, piccole aziende o anche a medio-grandi società, appartengono oramai alla cronaca di tutti i giorni. Si tratta di malware soprattutto, che si introducono non solo a causa di sistemi di sicurezza deboli, ma molto spesso per scarsa consapevolezza del problema da parte dei dipendenti. Basta una mail, un click sbagliato e il gioco è fatto. Si aprono così le porte a malintenzionati che gettano nel web veri e propri ami informatici per poi avere gioco facile nel ricattarci.

Le (vere) conseguenze di un Data Breach

Fa un certo effetto ascoltare le parole dei protagonisti di certe vicende, come quella recentemente avvenuta alla SIAE, dove sono stati esfiltrati circa 60 gigabyte di dati, pari a 28mila file. Il DG Gaetano Blandini, all’indomani dell’attacco ha avuto modo di classificare il danno non come “economico”, ma semplicemente “di immagine” per il suo importante ente.

In realtà, un archivio digitale di questa entità violato, esposto alla diffusione è un dramma incredibile, che non sarebbe mai dovuto succedere. Gli hacker, un gruppo emergente già protagonista negli ultimi mesi di varie incursioni ai danni anche di enti governativi esteri, non hanno tardato a rivendere sul dark web parte dei dati relativi a carte di identità, patenti, tessere sanitarie e indirizzi di tanti autori e artisti presenti nei database della società.

Rendiamoci conto che circa 60 gigabyte di dati sono usciti da un archivio indisturbati e l’attuale diffusione ne costituisce una percentuale minima. Come se nulla fosse. Come se il GDPR con le sue misure di sicurezza non esistesse.

Qual è il problema

Il problema oggi soprattutto per gli enti pubblici – piuttosto che di “privacy” (che andrebbe più propriamente definita “protezione dei dati personali”) – è il voler rendere possibile quanto da anni declinato nel CAD in termini di trasparenza, semplificazione, efficientamento organizzativo, senza il necessario e indispensabile corredo di garanzie di esattezza, integrità, autenticità, qualità dei dati e documenti previste nello stesso CAD, nelle sue regole tecniche e linee guida, nonché (appunto) dai principi generali della normativa sulla protezione dei dati personali.

Il problema aperto e lacerante resta solo e soltanto questo. Lo stato pietoso, arretrato e reale della “digitalizzazione a norma” delle PA (e anche di alcune realtà aziendali) del nostro Paese. E, in questo stato, condividere dati e documenti informatici tra amministrazioni resta un rischio altissimo per i diritti e le libertà dei cittadini. Perché un archivio o un database non sicuri, aggredibili, manomettibili, facilmente hackerabili, mettono gravemente a rischio le garanzie su cui si poggia la nostra stessa democrazia, oltre che i diritti e le libertà delle persone fisiche (che il GDPR impone di tutelare dai rischi derivanti da qualsiasi trattamento di dati personali).

Ci vuole uno sforzo organizzativo…e anche interpretativo

L’Italia sta cercando di investire su politiche di digitalizzazione, anche considerando i fondi a disposizione del PNRR.  A mio avviso, Legislatore e Garante che – con approccio paternalistico – ci aiutano in questi ultimi anni come balie, che ci indicano ogni puntiglioso dettaglio delle nostre azioni, sono conseguenza ormai della nostra svogliatezza, del nostro senso di smarrimento. Siamo noi purtroppo a ricercarli in questo ruolo di genitori ansiosi, anche a causa di una ormai scarsa abitudine (o forse mancanza di coraggio) a interpretare le norme che da tempo abbiamo già a disposizione per procedere nel nostro necessario cammino verso la digitalizzazione. E invece regolamentazioni così puntigliose e interventi così particolareggiati, che imbrigliano la materia invece di semplificarla e renderla comprensibile, sarebbero anche astrattamente in contrasto con il principio di accountability del GDPR.

Si percepisce inoltre, anche sfogliando il recente ultimo rapporto I-Com,  che c’è un’Italia di serie A e una di serie B. Ci stiamo rendendo conto che il Nord ha uno sviluppo di rete e di infrastrutture oltre che di consapevolezza della digitalizzazione, e una parte del Paese che invece frena, il Sud, quando la pandemia ci ha invece fatto capire che non avere un buon livello di digitalizzazione significa faticare ad avere rapporti con la P.A. e non solo. Senza un accurato processo di digitalizzazione oggi siamo privati di servizi essenziali, come quello sanitario.

Il problema è che senza consapevolezza dei rischi da parte dei cittadini, la politica continuerà a trattare il digitale come “roba da nerd”, da ricordare solo in occasione di qualche annoiato comunicato stampa, senza rendersi davvero conto che dalle strategie di digitalizzazione possa oggi dipendere la crescita del nostro Sistema Paese.

La formazione è la chiave

Oggi l’educazione civica, per tutti i cittadini, deve tradursi in educazione civica digitale. Così come la formazione in contesti lavorativi pubblici e privati deve essere garantita, come peraltro da più di 15 anni il CAD prevede. Solo così potremo aspirare a essere consapevoli che la nostra stessa democrazia è a rischio se lo sviluppo del digitale verrà lasciato al caso, alla mercè del potere sterminato di pochi big player, come sta accadendo in questi giorni.

Solo così ci impossesseremo di nuovo delle chiavi di volta della nostra esistenza rifondando le radici in chiave digitale per la nostra democrazia.