SPESOMETRO: LE BANCHE DATI DELLA PA ANCORA A RISCHIO SICUREZZA

Lo spesometro è uno strumento di controllo fiscale che impone agli operatori finanziari e ai commercianti (con lo scopo di limitare l’evasione fiscale), l’obbligo di comunicare all’Agenzia delle Entrate il codice fiscale di chi effettua acquisti per un importo superiore a una data cifra stabilita per legge.

Mancano ormai poche settimane alla scadenza per l’adempimento della comunicazione dei dati delle fatture attraverso questo strumento ed i commercialisti denunciano nuove difficoltà nella gestione del sistema, soprattutto dopo quanto avvenuto a Sogei (società di Information and Communication Technology del Ministero dell’Economia e delle Finanze, in cui sono conservati i dati fiscali di milioni di cittadini).

IL CASO SOGEI

Di recente, la Sogei è stata sotto i riflettori per falle e sbadataggini sul fronte della sicurezza.
I dati fiscali degli italiani infatti, erano liberamente accessibili a tutti: bastava collegarsi al sito “Fatture e Corrispettivi” (il sistema di comunicazione delle fatture online) ed inserire il codice fiscale di un contribuente tenuto alla trasmissione telematica dei documenti fiscali, per accedere ai registri di quell’utente. A questo punto, volendo, era possibile spiare tutto.

Non si è trattato quindi di un attacco hacker o di un cyber-attacco, bensì di un caso di incompetenza di chi ha progettato il sistema, mancante appunto di livelli di sicurezza basilari che permettessero a ciascun utente di vedere solamente i dati a lui relativi e non anche quelli di tutti gli altri.

Peraltro, questo è accaduto nonostante sul sito di Sogei ci sia un’intera pagina che descrive le procedure di sicurezza e “gli strumenti, tecnologie e organizzazione a difesa degli asset custoditi”.

LA LETTERA DEL GARANTE PRIVACY

Questo recente incidente (data breach) ha fatto emergere i rischi che derivano dalla gestione dei sistemi informativi, laddove la stessa non sia accompagnata costantemente da un’adeguata attenzione agli aspetti di sicurezza e protezione dei dati personali.

Il Garante della Privacy, a fronte di quanto accaduto, ha inviato una lettera al Presidente del Consiglio per analizzare e mettere in luce le debolezze del sistema.

L’Autorità sta facendo i dovuti accertamenti, ma ciò che sta emergendo in questa vicenda, come è stato affermato da Antonello Soro, è che “in un tempo caratterizzato dalla ineludibile necessità di ricorrere sempre più allo scambio telematico dei dati e all’interconnessione delle banche dati pubbliche, mancano spesso un’adeguata consapevolezza e competenze idonee a far fronte all’incremento dei rischi per i diritti e le libertà delle persone coinvolte.”

L’innovazione tecnologica delle Pubbliche Amministrazioni è molto importante, ma deve inderogabilmente accompagnarsi alla garanzia di tutela dei diritti inalienabili dei cittadini, fra i quali certamente è ricompreso il diritto alla tutela dei propri dati personali.

TRASFORMAZIONI TECNOLOGICHE IN LINEA CON IL GDPR

Dunque, risulta fondamentale per i soggetti pubblici onde evitare fenomeni di data breaches:

• La costante attenzione nella gestione dei sistemi informativi;
• L’impegno nella osservanza degli obblighi di sicurezza e di qualità dei dati;
• Il rispetto dei principi di riservatezza ed integrità.

Il riferimento al nuovo GDPR è chiaro ed Antonello Soro ha spiegato chiaramente che “a decorrere dal maggio prossimo le amministrazioni dovranno adeguarsi agli standard di sicurezza previsti dal Regolamento generale per la protezione dei dati personali, basato, tra l’altro, sull’accresciuta responsabilizzazione dei titolari del trattamento e sull’idea della prevenzione del rischio e della protezione dei dati a partire dalla stessa configurazione dei sistemi. In vista di questo obiettivo e alla luce delle richiamate preoccupazioni, appare inderogabile una forte iniziativa, da parte delle diverse istituzioni coinvolte nei processi decisionali relativi all’innovazione tecnologica del Paese, per una verifica puntuale dello stato di sicurezza delle banche dati pubbliche e dei processi in corso di attuazione dell’Agenda digitale”.

Soltanto un grande investimento nella materia di protezione dei dati, infatti, come ribadito da Soro nella parte finale della lettera, renderà possibile la garanzia che tali trasformazioni tecnologiche si svolgano nel pieno rispetto dei diritti dei cittadini e senza esporre in alcun modo a pregiudizio la stessa sicurezza del Paese.

Fonte [Garante Privacy, ilSole24Ore]