Incidente Sogei, l’esperto: “È stato un data breach, ora verifiche del Garante e dell’Agenzia per la Cybersicurezza”

Andrea Lisi, presidente di Anorc Professioni, sul problema che ha causato la paralisi di una serie di siti e servizi pubblici: "Com'è possibile che una simile realtà non abbia il massimo delle misure di sicurezza?"

ROMA – L’incidente al data center Sogei di Roma che ha causato la paralisi di una serie di siti e servizi pubblici è “un episodio molto grave su cui ora il Garante della Privacy e l’Agenzia per la Cybersicurezza nazionale devono investigare. Perché si deve verificare che Sogei rispetti le misure di sicurezza informatica espresse nell’articolo 51 nel Codice dell’Amministrazione digitale e previste dall’art. 32 del Gdpr. Altrimenti ci si espone al rischio di bloccare il Paese“. È quanto afferma l’avvocato Andrea Lisi, presidente di Anorc Professioni, spiegando che il calo di tensione della rete elettrica del data center di Roma, ha causato “un data breach a tutti gli effetti, così infatti il Gdpr inquadra l’indisponibilità nel trattamento dei dati personali (e non solo la loro perdita). Per questo motivo è obbligatoria la segnalazione all’Autorità di riferimento”.

Lisi ricorda che Sogei fornisce i più importanti sistemi informatici per la Pa, in particolare per l’amministrazione economico-finanziaria ma anche ad esempio per l’erogazione del Green Pass e la trasmissione delle ricette mediche dematerializzate. Fa parte, inoltre, del perimetro di sicurezza cibernetica nazionale ed è candidata assieme a Tim, Leonardo e Cdp a realizzare il Polo strategico nazionale. “Come è possibile che una simile realtà non abbia il massimo delle misure di sicurezza, non garantisca piani di disaster recovery e business continuity?”, si domanda l’esperto, che lancia un monito per una digitalizzazione del Paese che rispetti gli standard definiti a livello europeo.

“Si stanno facendo grandi passi avanti, anche grazie al lavoro di un ministero dedicato – afferma Lisi – ma si deve stare attenti a non mettere la tecnologia di fronte a tutto assumendo un atteggiamento che io definisco ‘tecno-felice’. La tecnologia è pericolosa, come l’uso che se ne fa – continua l’esperto – ma l’Europa ne è consapevole ed è molto attenta a definire regole e limiti per assicurare la tutela dei diritti dei cittadini e le loro libertà. È bene allora affidarsi sempre ai regolamenti che esistono”.

Il presidente di Anorc non si riferisce solo ai database: “Alcune iniziative – spiega – rischiano di alterare pericolosamente l’equilibrio nel rapporto fra Pa e cittadino ignorando i principi su cui l’Europa vuole disegnare il proprio futuro”. Un esempio è quello dello smart citizen wallet che sta per essere inaugurato a Bologna, “un sistema che premierà i cittadini più virtuosi ma per farlo dovrà profilarli raccogliendo molti dati personali. Questo tipo di profilazione basata su social scoring non ha una base giuridica (nel rapporto fra cittadino e Pa non basta il semplice consenso alla cessione dei dati ma servirebbe una legge specifica che lo permetta) e nella bozza di regolamento europeo sull’Intelligenza Artificiale è vietata. Il motivo è che i rischi per la libertà dei cittadini sono altissimi. Non solo si potrebbero creare delle discriminazioni fra cittadini di serie A e cittadini di serie B, ma si potrebbero condizionarne i comportamenti a suon di premi. Una tale impostazione della macchina pubblica – conclude Lisi – è molto lontana dai principi di democrazia su cui poggia l’Unione europea, è piuttosto molto familiare in stati più autoritari come la Cina”.