Un bug colpisce lo spesometro. Perchè nessuno pare indignarsi?

In tilt la piattaforma online dell’ Agenzia delle Entrate che ha permesso a tutti coloro che sono in possesso di credenziali Entratel di consultare i dati fiscali dei cittadini italiani.

Apprendiamo in maniera, direi, piuttosto indifferente, o al massimo rassegnata, che “qualcosa” non ha funzionato nel Sistema Paese su cui si basa la fatturazione elettronica (e non solo).

Un enorme bug ha permesso indistintamente, a tutti i soggetti in possesso delle credenziali Entratel, di consultare liberamente i dati del cosiddetto “spesometro” e delle liquidazioni Iva di qualsiasi contribuente, semplicemente digitandone il codice fiscale e, in caso di intermediario abilitato, di vedere anche i dati relativi a tutti suoi assistititi. Un breach di estensione temporale ancora in via di definizione.

Per arginare il problema, il sistema è stato momentaneamente bloccato, mentre i Presidenti della Commissione di Vigilanza sull’Anagrafe Tributaria, Portas e dell’Authority italiana per la protezione dei dati personali, Antonello Soro, stanno provando – forse senza neppure crederci sino in fondo –  a fare la “voce grossa” al cospetto del disinteresse o, forse, dell’assuefazione generale.

Questo è di fatto solo la più recente di una serie di violazioni inanellatesi nel corso degli ultimi anni: risale infatti al 2008 la notizia della diffusione illegittima dei dati relativi alle dichiarazioni dei redditi on-line (sebbene allora il malfunzionamento fosse stato circoscritto a un ristretto frangente temporale). Già in quell’occasione, per porre rimedio alle carenze riscontrate e rendere il trattamento conforme alle norme privacy, l’Autorità aveva imposto all’Agenzia delle entrate un’articolata serie di misure, tecnologiche e organizzative, per innalzare i livelli di sicurezza degli accessi all’Anagrafe tributaria. Quello che stupisce, oggi come allora, è l’assenza di clamore intorno all’incredibile notizia.

Un popolo un minimo alfabetizzato dal punto di vista informatico dovrebbe indignarsi di fronte a episodi del genere. Se ciò non accade, vuol dire che qualcosa non funziona nel processo di alfabetizzazione che dovrebbe costituire un dovere istituzionale, come peraltro previsto dal Cad (Codice dell’Amministrazione Digitale), ad oggi totalmente inattuato. Ammettiamolo: il bug reale, più che nel singolo sistema, è da ricercare invece nella capacità di lettura e attuazione della trasformazione digitale raccontata in Piani Triennali nei quali della sicurezza informatica, in mezzo a ripetuti e svogliati slogan, non c’è traccia.

L’indifferenza nei confronti della realtà digitale ci viene imposta un po’ da tutti, persino dagli stessi partiti politici. Basti ricordare le imbarazzanti pillole di democrazia elettronica suggerite dal M5S senza tener conto dei problemi di sicurezza tipici del voto elettronico o tanti altri episodi già accaduti, che dimostrano come in Italia ci sia un’assenza di cultura digitale e si avverta la pericolosa tendenza a prendere sottogamba il diritto alla privacy, anzi come sarebbe più corretto dire, diritto alla protezione dei dati personali.

La sicurezza informatica è dunque un argomento che non scuote le coscienze, neppure in presenza di una enorme fuoriuscita di dati appartenenti ai singoli contribuenti. Pare che lo sdegno si manifesti solo in presenza di dati relativi a personaggi di dominio pubblico, in linea con una selvaggia condivisione del patrimonio informativo che il web sta oltremodo favorendo a discapito di una ragionata progettazione delle architetture di rete, sotto il profilo – appunto – della sicurezza.

In realtà, esisterebbe un articolo nel già citato Cad che dovrebbe guidare ogni scelta di digitalizzazione in ambito pubblico: l’art. 51, il quale da ormai da più di 10 anni prevede inutilmente che con specifiche regole tecniche “sono individuate le soluzioni tecniche idonee a garantire la protezione, la disponibilità, l’accessibilità, l’integrità e la riservatezza dei dati e la continuità operativa dei sistemi e delle infrastrutture”. Queste regole tecniche però non sono mai state adottate, navighiamo a vista, perseguendo peraltro una rotta di orientamento decisamente “monopolistico” per l’affidamento di servizi delicatissimi. Come possiamo davvero credere che tale logica centralista, non sottoposta a costante controllo e a salutare alternanza, possa garantire un presidio corretto dei nostri dati, specie nella totale assenza di regole tecniche a tutela del patrimonio informativo pubblico?

Alcune fondamentali regole sarebbero anche in vigore: il Codice per la protezione dei dati personali (D. Lgs. 196/2003) e anche il Regolamento Europeo 679/2016 (GDPR), la cui piena esecutività è prevista dal 25 maggio 2018, ma sembra che lo stesso atteggiamento di indifferenza e rassegnazione nei confronti della realtà digitale ci porti a percepire tale tappa come lontana o addirittura non applicabile al nostro Paese. Un atteggiamento che persisterà anche di fronte al salatissimo quadro sanzionatorio previsto in caso di violazione (fino a 20 milioni di euro)?

Con il Gdpr alle porte può essere questo il “buon esempio” elargito dalle nostre Istituzioni centrali? Vogliamo dunque rassegnarci a impostare il nostro Paese sulla falsa riga di Minority Report dove tutta la vita dei cittadini è sì, resa trasparente, ma abbandonata in balia dell’assenza di regole?

In effetti, la sicurezza informatica infastidisce: costringe latu sensu lo Stato a ridimensionare il potere di controllo sulla nostra esistenza. Se abbiamo deciso di rinunciarci basta dirlo ed evitare di raccontare frottole ai cittadini sulla digitalizzazione e soprattutto sulla sicurezza informatica del nostro Paese, senza dimenticare che: “Nel paese degli uomini ciechi, colui che ha un occhio solamente è re!”.

Fonte: Il Fatto Quotidiano | di Andrea Lisi

© 2017 Associazione Privacy Italia - C.F. 91039930192 - Informativa Privacy

Con il sostegno di:

Fondazione di Sardegna Fondazione Cariplo
Positive SSL