“Errare è umano…” così si dice. Eppure, non sempre, gli errori possono essere giustificati.
E questo è ciò che il 2020 sotto molti punti di vista ci sta insegnando.
Nel pieno della pandemia da Covid-19 – che ha costretto l’intera popolazione all’urgenza di un diffuso lockdown – in Italia si è registrato nelle piattaforme INPS un grosso data breach, proprio nel giorno del via alle richieste del bonus di 600 euro.
Tenuto conto dei requisiti di sicurezza previsti dal Regolamento UE 2016/67 (GDPR) oltre che dalle misure di sicurezza minime per la PA adottate dall’AgID con una Circolare del 18 aprile 2017, n. 2/2017, si è trattato di un “incidente di sicurezza in cui dati sensibili, protetti o riservati sono stati consultati, copiati, trasmessi, rubati o utilizzati da un soggetto non autorizzato”,
A causa delle decine di migliaia di accessi contemporanei, con il suo collasso, il sistema informatico dell’INPS ha rivelato una serie di criticità, non solo sul piano metodologico, ma anche gestionale.
In particolare, nel caso di specie, i tecnici hanno staticizzato alcune pagine ma, per un errore ancora da accertare, il risultato è che sono apparsi i profili degli utenti connessi in precedenza, come riportato anche da alcune fonti giornalistiche.
Tale circostanza ha senz’altro messo in luce quanto la protezione dei dati personali non possa più considerarsi il tallone d’Achille delle società, essendo ormai intrinsecamente connessa ai cambiamenti tecnologici e culturali.
Preoccupante, inoltre, risulta l’accusa di un presunto attacco hacker, come scenario deresponsabilizzante di una struttura evidentemente non del tutto “armata” per far fronte all’enorme picco di domande, con il risultato di incidere negativamente sulla privacy degli utenti, gettando ulteriori preoccupazioni tra i migliaia di lavoratori autonomi, già sotto stress per le misure restrittive a cui siamo tutti sottoposti.
Il principio di sicurezza dei dati richiede che, nel trattare dati personali, siano messe in atto misure tecniche o organizzative adeguate per proteggere i dati da accessi, usi, modifiche, divulgazioni o danni accidentali.
Per tali ragioni, il GPD prevede che, nell’attuazione di tali misure, il titolare del trattamento e il responsabile del trattamento tengano conto “dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche”.
Inoltre, sempre il GDPR prevede il principio di accountability fra i suoi più grandi pilastri, sancendo il salto di qualità nei sistemi di gestione dei dati e passando da una concezione prettamente formale di mero adempimento ad un approccio sostanziale di tutela dei dati e delle persone stesse.
Eppure, sembra l’esatto contrario di quanto accaduto proprio il primo aprile sulla piattaforma INPS: un episodio che ha fatto trasparire l’inadeguatezza dei processi di digitalizzazione di un ente che gestisce ogni anno oltre 300 miliardi di euro di prestazioni assistenziali e previdenziali, ma non sa come sostenere un afflusso straordinario di utenti.
Il caso INPS ha rilevato quali sono le vere problematiche delle PA in Italia: la mancanza di competenze e l’inadeguatezza delle misure tecniche adottate. Tuttavia, nonostante la scarsa resa, i costi per la formazione e per l’adeguamento tecnico sembrano non mancare.
Il bilancio preventivo 2020 dell’Inps indica infatti che l’istituto ha appostato per il 2020 e 2021 circa 50.000 euro per la formazione GDPR degli informatici e le spese di costruzione del sistema, sebbene, in questo catastrofico scenario, il destino abbia voluto che l’INPS affrontasse l’enorme data breach senza la presenza formale del responsabile per la protezione dei dati (a tal proposito sembra risultare che il dirigente avesse concluso il mandato il 29 Febbraio 2020 rimanendo in regime di prorogatio fino al 1 aprile 2020).
Ma quali sono quindi i costi effettivi per le spese IT?
Attenendoci ai dati riportati dalla stessa INPS, dal 2011 fino ad oggi, si arriva ad una spesa IT complessiva per l’ammodernamento dei sistemi informatici di 564 milioni di euro. Leggendo poi attentamente l’avviso di aggiudicazione di appalto per la «Fornitura dei servizi di sviluppo, reingegnerizzazione e manutenzione del software applicativo dell’INPS» si trova il dettaglio dei servizi richiesti, dei rispettivi costi e delle aziende che hanno vinto la gara, il tutto diviso per lotti.
Il primo lotto vinto a fronte di un offerta pari a 35.643.131 milioni di euro più IVA, riguarda il «Potenziamento e semplificazione del Front-end verso il cittadino e realizzazione del disaccoppiamento tra i processi di front-end e quelli di back-end, con eliminazione delle ridondanze applicative, per supportare la gestione di una domanda sempre più esigente in termini di numerosità e qualità di servizi erogati tramite portale e contact center».
Il secondo lotto, riguardante l’«Attività di sviluppo e integrazione di applicazioni abilitanti per gli interventi di reingegnerizzazione e automazione dei processi istituzionali in atto», è stato vinto a fronte di un’offerta pari a 33.883.163,80 milioni di euro più IVA.
Successivamente è stata disposta la «revisione dell’architettura del SI con l’obiettivo di renderla totalmente indipendente dalla distribuzione territoriale dell’Istituto (con erogazione omogenea dei servizi su tutto il territorio nazionale), assicurando al contempo la funzionalità di contestualizzazione dal parco applicativo delle peculiarità territoriali» per la cifra 21.735.368,27 milioni di euro più IVA.
Il lotto n.4 concerne l’: «Adeguamento dell’architettura del SI e realizzazione di applicazioni volte allo sviluppo dei rapporti telematici con conseguente adeguamento dell’infrastruttura di protezione e sicurezza dei dati e realizzazione della componente di “Data quality”», ed è stato aggiudicato per 29.792.124,20 milioni di euro più IVA.
Partendo, quindi, da questi onerosi e non biasimabili investimenti e dall’inciso che si trova sulla stessa piattaforma secondo cui “il settore IT è di rilevanza strategica per l’Istituto, rappresentando, ad oggi, circa il 35% delle spese di funzionamento complessive dell’intera struttura”, come si giustificano e motivano di fronte alle debolezze e disfunzioni che il sistema ha dimostrato?
Quanto successo pone, senza dubbio, i riflettori sull’importanza di acquisire un livello adeguato di competenze specialistiche ICT.
Noi cittadini saremo chiamati sempre più spesso a giudicare sistemi informatici che influiscono sulla nostra vita pubblica e nazionale, così come dimostra l’attuale dibattito sulle modalità di tracciamento digitale dei contagi da coronavirus.
Infatti con lo sviluppo di meccanismi di contact tracing dei positivi al Covid-19, la Protezione Civile, le Asl e le forze di polizia, si troveranno a gestire una banca dati di enorme complessità, con dati sensibili dei cittadini e senza protezioni tecniche e legali adeguate, il contrasto digitale alla pandemia può trasformarsi in una violazione di diritti su larga scala.
Di conseguenza la raccolta e il trattamento dei dati personali in un’economia globalizzata comportano un aumento dei flussi transfrontalieri di dati senza precedenti a cui non solo le aziende, ma anche le amministrazioni pubbliche, devono adeguarsi in maniera efficace, prudente e sicura.
Federica Giaquinta e Valeria Cantarella
