Anorc: “Attacco hacker al sito Agid non è una burla, servono competenze”

Il presidente di Anorc Professioni, l'avvocato Andrea Lisi, commenta l'intrusione ad opera di alcuni 'hacktivisti' di Anonymous Italia nel content management system di Isweb

ROMA – Interpretare come una burla o come una semplice azione dimostrativa l’attacco hacker al CSM dell’azienda Isweb, responsabile, tra le altre cose, delle sezioni trasparenza dei portali di alcuni ministeri e di AgID, “sarebbe un grave errore perché si tratta dell’ennesimo data breach che rivela l’assenza di competenze nella Pubblica Amministrazione e la scarsa attenzione verso il GDPR”. Così il presidente di Anorc Professioni, avvocato Andrea Lisi, commenta l’intrusione ad opera di alcuni ‘hacktivisti’ di Anonymous Italia nel content management system di Isweb che ha provocato disagi finora al sito di Agid e a quello della Camera di Commercio di Roma.

“Oggi- continua Lisi- abbiamo molto spesso infrastrutture pubbliche che si trovano su server poco affidabili. Sempre più spesso si affidano in outsourcing intere sezioni, come la trasparenza, di siti web istituzionali, magari poggiandole su server esterni che non sono neppure nazionali, anche se non sembrerebbe questo il caso di Isweb. Ma se la PA, come viene dichiarato, vuole veramente competere su un mercato digitale deve allora fare estrema attenzione a due punti: credere nella costruzione di competenze professionali e fare costante riferimento al GDPR”.

“Perché- spiega Lisi- senza competenze multidisciplinari dedicate all’innovazione non si va da nessuna parte. L’altra cosa è che noi abbiamo gli strumenti normativi per evitare queste situazioni. Tale tipo di attacchi accadono perché gli affidamenti all’esterno non vengono sviluppati secondo i criteri dettati dal GDPR, che illustra le buone regole per lo sviluppo in outsourcing di un progetto digitale. Il Regolamento europeo ci spiega, ad esempio, che se ci si affida ad un soggetto esterno, si devono avere le idee chiare sin dall’inizio: nel contratto di appalto, quindi, devono essere imposte clausole per garantire la privacy by design e la privacy by default nello sviluppo della soluzione. Al fornitore, insomma, va richiesto un prodotto o un servizio che sia sviluppato sin dall’inizio per proteggere i dati che vengono trattati. Il responsabile del trattamento, quindi, si deve impegnare contrattualmente a garantire con misure adeguate la protezione di quei dati”.

“Ogni data breach è pericoloso– prosegue il presidente di Anorc Professioni- perché chi si impossessa di dati di un certo rilievo potrebbe essere abile ad incrociarli con altri dati, anch’essi rubati o acquisiti in altro modo, anche ad esempio pseudonimizzati, riuscendo così a superare – attraverso le potenze di calcolo di cui oggi si dispone – barriere di protezione che oggi ci sembrano sicure e così arrivando a una possibile identificazione degli interessati. Non si deve dimenticare, lo ripeto- conclude l’avvocato Lisi- che oggi ci sono player che dispongono di intelligenze artificiali e potenze di calcolo impressionanti. Fin quando gli attacchi sono dimostrativi, come in questo caso, possiamo pure tirare un (relativo) sospiro di sollievo, ma queste gravi vulnerabilità possono mettere a disposizione anche di altri soggetti intere basi di dati di interesse nazionale. Su questo occorre riflettere con attenzione”.