Come intervenire per limitare minacce per la riservatezza e la sicurezza dei dati della PA?

La digitalizzazione dei servizi della Pubblica Amministrazione, incentivata ancor più dal Piano Nazionale di Ripresa e Resilienza (PNRR), ha portato e continuerà a portare gli Enti pubblici all’adozione di sistemi ed infrastrutture digitali sempre più innovative che, se da una parte renderanno più sicuro e agevole l’accesso e la consultazione dei dati in qualsiasi momento, sia da parte del personale preposto all’espletamento dei servizi che da parte degli utenti, favorendo, altresì l’interoperabilità tra le banche dati di diverse Amministrazioni pubbliche, dall’altra creeranno un terreno ancor più fertile per il proliferare di attacchi e incidenti legati alla sicurezza informatica. Il fenomeno del cosiddetto “cybercrime”, infatti, è aumentato esponenzialmente soprattutto negli ultimi anni e costituisce una minaccia reale e continua non solo per grandi Organizzazioni, ma anche per piccole realtà locali.

Questi attacchi possono avere, come spesso succede, spiacevoli conseguenze, potendo causare la paralisi, anche totale, del normale e quotidiano funzionamento dell’Ente, interrompendo l’erogazione dei servizi pubblici agli utenti, nonché la perdita di disponibilità, integrità e riservatezza dei dati personali coinvolti nell’attacco, anche afferenti a “categorie particolari”.

Da qui, la necessità che il Titolare del trattamento, in ottemperanza del fondamentale principio di “accountability” introdotto con il Regolamento UE 2016/679, analizzati in concreto lo stato dell’arte, i costi di attuazione, la natura, l’oggetto, il contesto, le finalità del trattamento, nonché la probabilità dell’evento e i rischi che ne potrebbero derivare per i diritti e le libertà delle persone fisiche (vv. art. 32 GDPR), adotti tutte le misure di sicurezza necessarie ed adeguate per garantire un livello di sicurezza adeguato al rischio.

Innanzitutto, è bene premettere che le più gravi minacce per la riservatezza e la sicurezza dei dati personali arrivano non solo da “agenti” che operano dall’esterno rispetto all’organizzazione del Titolare, sfruttando eventuali falle nei sistemi informativi utilizzati, spesso obsoleti e/o non aggiornati, ma anche, e soprattutto, facendo leva sulla vulnerabilità e l’”ingenuità” dei soggetti che operano attraverso tali sistemi. Il fattore umano, infatti, è una componente essenziale dell’attacco informatico: un’inadeguata gestione delle proprie credenziali e delle password, l’incapacità di riconoscere siti fraudolenti o allegati pericolosi, la navigazione in siti internet non sicuri, l’utilizzo dei dispositivi personali anche per scopi lavorativi, una non adeguata gestione della posta elettronica, sono solo alcuni dei comportamenti che, colposamente, possono dare adito ad eventi dannosi per l’operatività dell’Ente e per la sicurezza dei dati personali coinvolti nelle attività di trattamento poste in essere al suo interno.

In tale contesto, costituiscono un importante riferimento pratico per valutare e migliorare il proprio livello di sicurezza informatica, le Misure minime di sicurezza ICT emanate dall’Agid e di obbligatoria adozione da parte di tutte le PA dal 31 dicembre 2017.

Quanto al fattore umano, invece, sarebbe opportuno che ciascun Titolare del Trattamento definisse, con la collaborazione del DPO, dell’Amministratore di Sistema e del tecnico informatico, delle policy interne atte a fornire a dipendenti, collaboratori e a tutti coloro che svolgono attività di trattamento sotto la sua autorità, precise indicazioni da seguire per gestire possibili situazioni di rischio informatico, non dimenticando, in ogni caso, che rischi per la sicurezza e la riservatezza dei dati personali, possono anche non avere natura informatica (si pensi all’introduzione abusiva di un soggetto nei locali dell’Ente per la sottrazione di documentazione cartacea). Le indicazioni da fornire possono riguardare, a titolo esemplificativo e meramente esaustivo:

• La gestione delle identità e degli accessi;
• La creazione e la gestione di credenziali di accesso e password;
• La gestione e l’utilizzo degli strumenti informatici messi a disposizione dal Titolare (computer, dispositivi mobili, stampanti, supporti removibili, accesso alla rete internet ..);
• La corretta gestione della posta elettronica.

Accanto a queste, di fondamentale importanza può essere l’adozione di una specifica procedura interna da seguire per la gestione degli incidenti di sicurezza (cd. data breach) che possano comportare, accidentalmente o in modo illecito, la violazione dei dati personali, nella definizione che ne viene data dall’art. 4 del GDPR. Tale procedura permetterà al Titolare del trattamento di adempiere puntualmente e correttamente agli obblighi imposti dal Regolamento UE 2016/679.

Di particolare importanza in un contesto dove le minacce e gli attacchi informatici sono all’ordine del giorno, inoltre, è l’individuazione e formale nomina di un Amministratore di Sistema, definito dall’Autorità Garante nel Provvedimento del 27 novembre 2008 (modificato nel 2009), come la “figura professionale finalizzata alla gestione e manutenzione di un impianto di elaborazione o di sue componenti”. Si tratta di una figura con un ruolo operativo essenziale per la sicurezza dei sistemi informatici e telematici e delle banche dati, con l’importante compito di gestire tali sistemi e garantirne la sicurezza informatica.

• Efficientamento energetico: cos’è e come realizzarlo?
• Partenariato pubblico privato e allocazione dei rischi
• Riqualificazione attraverso PPP. Project financing o concessione.
• Partenariato pubblico privato e concessione: le differenze.