Il caso

Sogei down, è un databreach: perché è grave per l’Italia

Un calo di tensione, dunque un evento accidentale, sarebbe all’origine del down che ha coinvolto le reti di Sogei, azienda pubblica su cui si basano numerosi servizi come ricette mediche e fattura elettronica: la situazione è occasione per riflettere sui criteri di sicurezza delle PA

31 Mar 2022
Francesca Cafiero

archivista, Ufficio di Presidenza di ANORC Professioni

Andrea Lisi

Coordinatore Studio Legale Lisi e Presidente ANORC Professioni

Sogei regge mezza Italia, ma molti italiani si sono accorti della sua esistenza solo ora a causa del down che nella giornata di mercoledì 30 marzo 2022 ha interessato le sue reti, creando innumerevoli disservizi per ore. La causa è riconducibile a un calo di tensione a Roma (zona Cecchignola). Il vero problema però è che una società di tale portata sembra non seguire i criteri minimi di sicurezza garantendo piani di disaster recovery e business continuity per assicurare servizi essenziali on line su scala nazionale.

Dalla ricetta medica alla fattura elettronica: cosa fa Sogei

Come sappiamo o dovremmo sapere, Sogei S.p.A. (Società Generale d’Informatica) è la società controllata al 100 % dal Ministero dell’economia e delle finanze che da ormai quarant’anni fornisce servizi informatici in favore del nostro Sistema Paese, nella sua qualità appunto di partner strategico dell’Amministrazione economico-finanziaria, ovvero offre:

WHITEPAPER
In 5 step ecco come migliorare i processi di CONTABILITA'
Amministrazione/Finanza/Controllo
Finanza/Assicurazioni
  • sviluppo e gestione del sistema informativo della Fiscalità, ovvero si occupa (e preoccupa) dell’anagrafe tributaria per il Ministero dell’economia e delle Finanze;
  • sviluppo e gestione del sistema informativo della contabilità pubblica per la Ragioneria generale dello Stato, del sistema informativo e contabile del debito pubblico;
  • sviluppo e gestione del sistema informativo del gioco pubblico per conto dell’Agenzia delle Dogane e dei monopoli;
  • monitoraggio della spesa pubblica, in particolare la spesa sanitaria;
  • sviluppo e gestione dei software per le Agenzie fiscali (Entrate, Dogane e Monopoli, Demanio, es. DOCFA)
  • selezione fornitori, monitoraggio della produzione e spedizione della tessera sanitaria per conto dell’Agenzia delle Entrate
  • realizzazione dell’Anagrafe nazionale della popolazione residente (ANPR) in collaborazione con il Ministero dell’Interno
  • realizzazione del canale sito web dello spesometro: servizio fatture e corrispettivi;
  • realizzazione e gestione della Piattaforma DGC per il rilascio e il controllo della Certificazione verde Covid-19

Down anche i green pass, scommesse online…

Ecco perché il down di mercoledì 30 marzo, risolto solo in parte il giorno successivo, ha comportato una diffusione di disservizi a macchia d’olio, da siti istituzionali resi irraggiungibili (dal portale dell’Agenzia delle Entrate, al sito del Ministero delle Economie e delle Finanze, passando per la Ragioneria generale e l’Agenzia delle Dogane e dei Monopoli) al blocco di servizi pubblici essenziali quali ricette elettroniche, green pass, scommesse online, fatturazione elettronica e così via.

Il rinvio delle scadenze

Sogei ha fatto sapere a riguardo che le imposte e le tasse a favore dell’erario che scadevano proprio durante il down saranno prorogati con l’apposito provvedimento pubblicato sul sito dell’Agenzia, come prevedono le norme in questi casi.

Down di Sogei, non è stato un cyber attacco

Sarebbe stato facile immaginare e additare la colpa a un possibile hacker, considerando anche la dimostrazione della potenza di fuoco che la categoria sta dando sul campo nel conflitto russo-ucraino. Per fortuna, almeno questa volta, abbiamo evitato di ripetere l’autogol del pesce d’aprile del caso INPS, poiché secondo quanto dichiarato dalla stessa Sogei, con una nota via Twitter, “la sospensione dei servizi non è da attribuirsi a un attacco di natura cibernetica, ma a un disservizio di natura tecnica, che non ha in alcun modo interessato la sicurezza dei dati sensibili”. Secondo quanto dichiarato successivamente, ad aver provocato un incidente così grave sarebbe stato un semplice ed elementare “calo di tensione della rete elettrica” fornita da Areti S.p.A, la società di distribuzione dell’energia elettrica a Roma.

Viene pertanto da chiedersi: com’è possibile che nel 2022, con standard di sicurezza informatica nazionali e internazionali da seguire scrupolosamente (tra cui le misure minime di sicurezza previste nella Circolare AgID 2/2017), un calo di tensione su un singolo data center abbia bloccato gran parte dei servizi essenziali per la gestione centralizzata del Sistema Paese? Possibile che un sito di tale rilevanza strategica, motore operativo digitale dell’Italia, abbia un’unica “fonte energetica”? E che ne è dell’abc della ridondanza, della business continuity? 

Nessuno si è accorto del Data Breach

È vero che non si è trattato, almeno dalle dichiarazioni rilasciate da Sogei e delle comunicazioni fatte ai loro clienti, di un “attacco hacker” (meglio sarebbe dire “attacco cyber”), quindi non c’è stato un furto di dati o una minaccia esterna che la mente subito in questo periodo assocerebbe alla Russia. E meno male che un nemico non abbia ancora individuato questo single point of failure con cui potrebbe mettere in ginocchio servizi essenziali italiani, con un attacco ben mirato.

Però forse è ancora più grave che per così tante ore servizi pubblici di carattere essenziale, su scala nazionale, quindi centralizzati, vengano bloccati e ciò che è successo assume ovviamente i contorni di un autentico data breach di grande rilevanza.

Occorre dirlo in maniera chiara e netta: c’è stata un’interruzione di servizio che ha comportato un’indisponibilità nel trattamento di dati personali e, dunque, un gravissimo caso di data breach che ha riguardato trattamenti di dati su larga scala e che è durato incredibilmente molte, troppe ore.

Sì perché, ricordiamo, per il GDPR è data breach anche l’indisponibilità dei dati.

E questo non può che apparire lapalissiano, considerando che ieri hanno smesso di funzionare non solo i siti istituzionali, ma tutta una serie di servizi collegati a Sogei, quali – ad esempio – il sistema nazionale di contact tracing e l’app Immuni, il pacchetto di piattaforme e servizi per il Green pass o la piattaforma della fattura elettronica.

Il riferimento normativo: articolo 51 CAD

In realtà, esiste un articolo del Codice dell’amministrazione digitale che dovrebbe guidare ogni scelta di digitalizzazione del nostro Sistema Paese: l’art. 51 da anni prevede che con specifiche “regole tecniche adottate ai sensi dell’articolo 71 sono individuate le soluzioni tecniche idonee a garantire la protezione, la disponibilità, l’accessibilità, l’integrità e la riservatezza dei dati e la continuità operativa dei sistemi e delle infrastrutture. Regole tecniche che, a quanto ci risulta, non sono mai state adottate formalmente nel nostro Sistema Paese e che ancora si attendono, e in parte sono state “anticipate” dalla già citata Circolare AgID 2/2017 che contiene però solo le misure di sicurezza minime da seguire, le quali sembrano essere state, almeno in parte, ignorate dalla più grande società per l’erogazione di servizi IT alla pubblica amministrazione. Questo quanto meno a leggere le motivazioni fornite in merito a questo gravissimo “blackout informatico” che ha colpito Sogei.

L’importanza del datacenter Sogei

Inoltre, Sogei, insieme a Tim, Leonardo e Cassa depositi e prestiti, ha presentato – come sappiamo – un’offerta per realizzare il Polo strategico nazionale, infrastruttura per migrare i dati delle PA italiane in cloud. Nel descrivere l’importanza del suo data center, la Società sul suo sito web afferma che “in Sogei girano ora 200 banche dati diverse. Su un’infrastruttura Data Center iper-convergente con l’ambizione di diventare un cloud nazionale. Nell’ultimo decreto Semplificazioni si parla apertamente di un costituendo polo nazionale dei dati. Sogei avrebbe tutte le carte in regola per diventarlo perché tutti i dati degli italiani sono già in suo possesso, magari con la collaborazione di aziende tricolori.”

Parliamo tanto di sovranità tecnologica a livello nazionale, ed è giusto arrivarci, ma occorre scegliere anche la forma adeguata per arrivarci e una “sovranità” assoluta nelle mani di infrastrutture che sembrano essere ancora non attrezzate in ogni dettaglio di sicurezza informatica non è certamente quello di cui abbiamo bisogno in questo -già difficile- momento di ripresa nazionale. Speriamo a questo punto che possa salvarci l’Unione Europea, con una sovranità più estesa a livello europeo.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4