Con riferimento alla sicurezza delle informazioni, approfondiamo insieme i punti salienti del processo di dematerializzazione dei procedimenti delle Pubbliche Amministrazioni nel nostro Paese.
In questo articolo esamineremo quali siano i punti salienti, con riferimento alla sicurezza delle informazioni, del processo, da tempo in atto e ormai irreversibile, della dematerializzazione dei procedimenti delle Pubbliche Amministrazioni nel nostro Paese. Con il termine dematerializzazione del procedimento amministrativo è utile chiarire che ci riferiamo a quell’insieme di iniziative legislative, progetti, provvedimenti in ambito pubblico che hanno come oggetto il consolidamento dell’impiego di soluzioni IT nell’attività amministrativa. Rientrano in quest’ambito molte iniziative in corso, tra cui ne citiamo per esempio tre: le iniziative regionali di Fascicolo Sanitario Elettronico, dirette a rendere più snello il rapporto tra il cittadino e i servizi sanitari; le norme che presiedono lo svolgimento delle operazioni di deposito degli atti giudiziari nell’ambito del processo civile telematico; e le nuove misure minime per la sicurezza ICT per le Pubbliche Amministrazioni recentemente pubblicate dall’Agenzia per l’Italia Digitale (AgID).
Cyber attack & disaster recovery
Come si può immaginare il perimetro da considerare in questa analisi è molto ampio, essendo l’azione della Pubblica Amministrazione svolta digitalmente, ampia tanto quanto sono ampi i bisogni dei cittadini che fruiscono dei suoi servizi. Purtroppo, un triste esempio, ci fa capire nella sua drammaticità, l’importanza del fenomeno che ci accingiamo a illustrare. Le tremende scosse del recente terremoto nella zona di confine tra Marche e Umbria, hanno distrutto gran parte delle abitazioni delle popolazioni colpite, mietendo numerose vittime, oltre che causare perdite immense al patrimonio storico e artistico del nostro Paese. Non da ultimo, però, hanno anche paralizzato completamente l’attivitá di governo dei diversi enti locali coinvolti (piccoli comuni), distruggendo completamente i sistemi informatici di queste amministrazioni territoriali, solo in parte dotati di soluzioni efficienti di disaster recovery e continuitá operativa. Ma non solo. È recente la notizia dell’attacco, perpetrato con successo, da un hacker russo ai sistemi informatici del sito internet della mobilità della funzione pubblica, che gli ha consentito di appropriarsi di ben 45.000 identità con altrettante password.
Non solo PA, NIS Directive ed eIDAS Regulation
Alla luce dei due episodi citati, è importante sottolineare da subito, per ulteriormente dimensionare l’ambito del fenomeno in analisi, che a ben vedere il tema della dematerializzazione dell’attività amministrativa, come è naturale che sia, non spiega la sua portata applicativa con esclusivo riferimento alle strutture funzionali della Pubblica Amministrazione. Al contrario, proprio per il ruolo che queste strutture hanno nella vita quotidiana di imprese e cittadini, questo tema determina, o meglio dovrebbe determinare, un cambiamento significativo nelle abitudini e nelle scelte strategiche delle diverse entità della PA. In questo senso ci pare debbano, e dovranno, essere letti sia in contenuti delle recenti iniziative in materia di identità digitale, quali SPID (in relazione all’entrata in vigore del c.d. Regolamento Comunitario e-IDAS in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno) sia, in divenire, i necessari percorsi di adeguamento correlati all’entrata in vigore nello scorso luglio della direttiva NIS (Network and Information Security) in materia di misure volte a garantire un livello comune elevato di sicurezza delle reti e dell’informazione nell’Unione Europea. In quest’ultimo provvedimento, il legislatore comunitario ha espressamente previsto che la direttiva, il cui scopo è il miglioramento della sicurezza di internet, delle reti e dei sistemi informativi privati, fondamento per il funzionamento delle società e delle economie europee, nel contemplare l’istituzione a livello nazionale da parte delle PA di CSIRT – CERT (Computer Emergency Response Team), sia applicabile nei confronti di specifici soggetti privati che offrono i c.d. servizi essenziali. Vale a dire per esempio: i servizi sanitari, i trasporti, la fornitura di acqua e di energia elettrica. La ragione di una scelta siffatta è illustrata nel considerando numero 3 della direttiva stessa ove si legge che le reti e i sistemi informativi, e in prima linea internet, svolgono un ruolo essenziale nell’agevolare i movimenti transfrontalieri di beni, servizi e persone e che gravi perturbazioni di tali sistemi, intenzionali o meno e indipendentemente dal luogo in cui si verificano, possono ripercuotersi su singoli Stati membri e avere conseguenze in tutta l’Unione.
Le misure minime di sicurezza ICT
Nell’ambito sopra descritto si collocano i contenuti del documento ‘Misure minime per la sicurezza ICT per le Pubbliche Amministrazioni’ emanate dall’Agenzia per l’Italia Digitale lo scorso 26 aprile in attuazione della corrispondente direttiva della Presidenza del Consiglio dei Ministri del 1 agosto 2015. Il documento, segnando un forte elemento di discontinuità con il passato, si ispira chiaramente (definendo i c.d. ABSC – AgID Basic Security Controls) da un lato all’insieme di controlli noto come SANS 20, pubblicato dal Center for Internet Security, conosciuto come CCSC ‘CIS Critical Security Controls for Effective Cyber Defense’ nella versione 6.0 di ottobre 2015; e dall’altro ai contenuti del documento ‘Italian Cyber Security Report Un Framework Nazionale per la Cyber Security’ il quale, a sua volta, è dichiaratamente orientato ai contenuti del ‘Framework for Improving Critical Infrastructure Cybersecurity, version 1.0’ del National Institute of Standards and Technology statunitense. La struttura a macchia di leopardo che ne risulta appare, secondo chi scrive, molto frammentaria e nemmeno del tutto in linea, quanto a completezza e metodo di rappresentazione dei contenuti, con le previsioni delle richiamate norme di recente emanazione comunitaria in materia di sicurezza delle informazioni ispirate, ci pare, a differenti criteri di standardizzazione; ISO su tutti. Ferme queste osservazioni, senza soffermarci sulla cogenza delle misure indicate, nel loro raccordo con le previsioni di cui agli art. 31 e 169 del Codice Privacy, ciò che sembra apprezzabile è il tentativo di classificazione di controlli e condotte che dovrebbero guidare le PA italiane in percorsi di rafforzamento delle misure di protezione della sicurezza delle informazioni nell’ottica, non solo, di prevenire il successo di un eventuale attacco, ma anche di implementare efficaci strumenti di rilevazione in grado di abbreviare i tempi, oggi pericolosamente lunghi, che intercorrono dal momento in cui l’attacco primario è avvenuto e quello in cui le conseguenze vengono scoperte. Riteniamo di poter interpretare a tale stregua i controlli in materia di regole tecniche relative alla valutazione e correzione continua delle vulnerabilità, copie di sicurezza e protezione dei dati, rispettivamente, ABSC 4, 10 e 13.
avv. Giuseppe Serafini
