portaleacquistiOrmai, conoscendomi, sapete della mia proverbiale attenzione all’informatizzazione e agli open data e delle mie battaglie affinché modelli uniformi, processi e tecnologie innovative facilitino e semplifichino a cittadini e imprese la gestione quotidiana di pratiche personali e professionali. Ma come siamo messi con la protezione dei dati?

Non bene guardando quanto denuncia un noto quotidiano in merito alla mancata messa in sicurezza da parte dei gestori delle pagine contenenti dati sensibili sul sito online degli acquisti della pubblica amministrazione.  Avete capito bene, il portale che gestisce offerte e bandi dei vari enti, non implementa nemmeno le più elementari misure di sicurezza. Quindi di fatto, accedendo alle pagine sensibili del portale facilmente raggiungibili, non si compie nessun reato. Nessuna protezione = nessun reato!

Proseguendo con le ricerche ho scoperto che il caso non è un caso isolato.

Infatti in passato già altri portali della pubblica amministrazione erano risultati accessibili: a febbraio scorso, per esempio, un tale, Anonimous, era riuscito ad accedere al server online del Ministero della salute entrando così in possesso degli elenchi delle persone sieropositive, poi pubblicati mascherando i nomi per non danneggiare le vittime della mancata protezione.

Credo sia evidente il pericolo per cittadini e imprese.

Ma la legge italiana come ci tutela?

L’articolo 15 del Codice in materia di protezione dei dati personali, introdotto con il decreto legislativo 30 giugno 2003, n. 196, e successive modificazioni, recita che «chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’articolo 2050 del codice civile».

Poi, gli articoli 33 e 34 del citato provvedimento e il relativo allegato B stabiliscono specifiche misure di sicurezza mentre l’articolo 169 della medesima norma dice che «chiunque, essendovi tenuto, omette di adottare le misure minime previste dall’articolo 33 è punito con l’arresto sino a due anni».

Ma l’articolo 615-ter del codice penale stabilisce che intrusioni, danneggiamenti e ogni altro comportamento illecito siano sanzionabili solo se il sistema informatico preso di mira è protetto da misure di sicurezza.

Ma se, come sembra, il portale per gli acquisti della pubblica amministrazione non è stato messo in sicurezza, eventuali intrusi evidentemente non saranno puniti. E chi verrà danneggiato da questi comportamenti scorretti non sarà risarcito.

Dato il quadro preoccupante mi sono rivolta ai Ministri Padoan e Alfano ed ho chiesto innanzitutto se effettivamente i dati contenuti e scambiati sul portale per gli acquisti della pubblica amministrazione risultano essere protetti con adeguate misure di sicurezza e se possiamo escludere che soggetti non registrati abbiano avuto accedere al tale sito web.

Inoltre, ho chiesto quali provvedimenti intendano assumere affinché, a partire dal portale in questione, non solo lo scambio di dati sia protetto ma soprattutto venga individuato un sistema di autenticazione e criptatura che renda illeggibili, a chi non sia abilitato, i dati memorizzati sul server e renda impossibile la cattura delle credenziali degli utenti.

Infine ho chiesto quali siano i criteri di scelta delle imprese incaricate della progettazione e della gestione dei servizi informatici e di consentire agli utenti, in ossequio al criterio di trasparenza, di poter verificare il costo e l’affidabilità del sistema prescelto.

Infine, vorrei conoscere, qualora vengano accertati comportamenti illeciti, quali provvedimenti, i nostri Ministri, intendano assumere nei confronti dei dirigenti, individuando le puntuali responsabilità e risarcendo le imprese che sono state eventualmente danneggiate dall’accesso ai propri dati sensibili (informazioni commerciali, prezzi, sconti e condizioni, che possono aver pregiudicato la futura competitività sul mercato).

Rimaniamo in attesa delle risposte, con la speranza, nel frattempo, che nessuno entri in possesso dei nostri dati sensibili gestiti dalla Pubblica Amministrazione.

Ma è possibile vivere di sole speranze?