Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

Politica Agricola Comune

Cyber security nelle PA, il modello degli Organismi Pagatori in Agricoltura

Nel contesto della Politica Agricola Comune, l’attenzione verso la cyber security e la sicurezza delle informazioni non è solo elevata ma diventa un elemento imprescindibile. Ecco perché, allora, quello degli Organismi Pagatori in Agricoltura può diventare un modello sia per i legislatori che per gli amministratori

06 Ago 2018

Giuseppe Arcidiacono

Responsabile Sistema Informativo at ARCEA


La cyber sicurezza è un un elemento imprescindibile per gli Organismi Pagatori in Agricoltura che, per poter operare devono garantire il rispetto delle norme internazionali in materia di sicurezza delle informazioni. Un modello basato su soluzioni organizzative e procedurali costantemente verificate durante tutte le sessioni di audit che potrebbe essere un riferimento in fatto di cyber sicurezza per legislatori ed amministratori.

Dall’analogico al digitale, i nuovi rischi di sicurezza

Il tema della cyber security, ormai al centro delle Agende Digitali dei Governi di tutto il mondo, non riesce ancora a penetrare nel tessuto delle singole pubbliche amministrazioni che, in un contesto normativo ancora in piena evoluzione, faticano a inquadrare il fenomeno nella sua giusta dimensione e non hanno strumenti operativi né stimoli adeguati per confrontarsi con il mutato quadro di riferimento. Un modello concreto cui ispirarsi deriva dalla Regolamentazione Europea ed è quello degli Organismi Pagatori in Agricoltura riconosciuti dalla Commissione Europea che lavorano in un ambito fortemente regolamentato, nel quale la sicurezza delle informazioni è addirittura un prerequisito senza il quale un Ente non può nascere o rimanere in vita ed è oggetto di costanti verifiche con sanzioni certe e pesanti.

Questa soluzione, che è già attuata con successo da diversi anni in tutti gli Stati Membri dell’Unione Europea, potrebbe divenire, se correttamente mutuata, un paradigma cui tendere nel breve periodo sia per i legislatori che per gli amministratori.

E’ necessario innanzitutto considerare che, se fino a pochi anni fa, quando la gran parte degli strumenti utilizzati dalle PA erano “analogici”, il pericolo più grande per la riservatezza, l’integrità e la disponibilità di un atto pubblico era rappresentato da coloro che fisicamente avevano accesso agli uffici di un ente, ed in particolar modo alle celebri “stanze dei bottoni”, oggi dovrebbero decisamente generare maggiori ansie e preoccupazioni quei soggetti che, pur trovandosi a distanze siderali dai luoghi in cui si svolge l’azione amministrativa, hanno la possibilità di introdursi nei sistemi informativi di una PA, per carpirne informazioni, modificarne i contenuti o cancellare dati “scomodi” senza lasciare traccia.

Alla luce della repentina trasformazione della società, dell’organizzazione delle pubbliche amministrazioni e del concetto stesso di servizio offerto da un ente centrale o territoriale dello stato, è, pertanto, quanto mai urgente porsi alcuni interrogativi basilari. In particolare, in un mondo sempre più digitale multimediale, può una pubblica amministrazione ritenersi sicura se non lo è il suo processo di gestione delle informazioni? E’ ancora accettabile che una organizzazione governativa non dia importanza prioritaria a temi quali la cyber-security, la sicurezza delle informazioni, la sensibilizzazione dei dipendenti verso un utilizzo sicuro dei dispositivi e degli strumenti digitali?

E, allo stesso tempo, non dovrebbe il legislatore prevedere obblighi normativi in tal senso, magari affiancati da meccanismi di verifica e sistemi sanzionatori adeguati all’importanza dell’argomento?

Evitando in questa sede di addentrarsi in risposte e considerazioni puntuali rispetto alle domande sopra formulate, è fondamentale sottolineare come lo stato dell’arte della cyber-security nelle amministrazioni pubbliche, nel cui quadro non mancano naturalmente punte di eccellenza, imponga un serio approfondimento e richieda, nello spirito di riutilizzo delle buone pratiche, la ricerca di modelli implementativi funzionanti ed in grado di fornire lo slancio propulsivo per un vero e proprio salto di qualità.

La cyber security nella Politica Agricola Comune

Un esempio significativo in questa direzione proviene, come anticipato in precedenza, da un settore molto specialistico (ed in un certo senso “insospettabile” perché connesso, almeno nella concezione comune, a principi più conservatori e tradizionali) della regolamentazione europea e specificatamente dalla Politica Agricola Comune (PAC), che genera annualmente flussi finanziari, sotto forma di contributi a imprenditori e privati cittadini, di diversi miliardi di euro.

In tale contesto, uno dei requisiti fondamentali affinché in uno Stato Membro, o in una sua articolazione territoriale come le Regioni, possa operare un “Organismo Pagatore”, ossia un ente deputato a gestire tutto il ciclo sotteso ai finanziamenti di settore, è, infatti, quello di garantire il rispetto di norme internazionali in materia di sicurezza delle informazioni.

Tale previsione, invero, non deve essere intesa come un suggerimento, un obiettivo cui tendere o semplicemente un insieme di linee guida che devono più o meno essere rispettate (come avviene in altri ambiti dove si susseguono interventi normativi spesso poco incisivi e pertanto scarsamente applicati in concreto) ma rappresenta, al contrario, un elemento imprescindibile, soggetto a diversi livelli di Audit interni ed esterni.

E’, infatti, opportuno sottolineare come il Reg (UE) 907/2013, che disciplina nel dettaglio i requisiti che un’organizzazione deve rispettare per ottenere il “riconoscimento” quale Organismo Pagatore, da un lato prevede, tra l’altro, che “la sicurezza dei sistemi d’informazione è certificata in conformità con l’Organizzazione internazionale per la standardizzazione 27001: Sistemi di gestione della sicurezza delle informazioni — Requisiti (ISO)” (gli OPR che erogano meno di 400 milioni di Euro all’anno sono esentati dall’ottenimento della certificazione ma devono garantire i medesimi livelli di sicurezza) mentre dall’altro descrive un articolato sistema di verifiche che, nel corso del tempo, devono essere poste in essere dai Servizi di Internal Audit dell’Ente stesso, da un Organismo di Certificazione dei conti individuato con procedure ad evidenza pubblica, dalle autorità nazionali (e quindi dal Ministero delle Politiche Agricole, Alimentari e Forestali per l’Italia) e dai servizi della stessa commissione.

La sicurezza come elemento imprescindibile

Probabilmente ancora più importante è la correlazione diretta e ben codificata tra eventuali “non conformità” riscontrate durante una delle sopra citate fasi di controllo e le conseguenze che trovano concretizzazione in sanzioni finanziarie direttamente proporzionali a quanto erogato all’interno di un determinato arco temporale (ad esempio nel corso di una “campagna”, che secondo le regole europee, va dal 16 ottobre di un anno al 15 ottobre di quello successivo) fino a giungere alla revoca del riconoscimento con conseguente chiusura dell’Organismo Pagatore inadempiente.

E’ facilmente comprensibile come, in un contesto così fortemente regolamentato e strutturato, l’attenzione verso la cyber-security e la sicurezza delle informazioni non solo sia elevata ma pervada ogni livello dell’organizzazione, tanto da diventare un elemento caratterizzante di tutta l’azione amministrativa.

La gestione del rischio come “cultura aziendale”

Tale previsione normativa, inoltre, legando di fatto l’esistenza in vita di un Organismo Pagatore al rispetto di uno standard internazionale di tipo gestionale quale la ISO – 27001, costituisce innanzitutto un indirizzo strategico ben preciso nei confronti del top management dell’Ente, che sarà chiamato a rispondere direttamente e non solo in maniera astratta dell’efficacia e dell’efficienza dei controlli posti in essere a presidio della sicurezza, concretizzando uno dei princìpi fondamentali sui cui si poggia la delicata infrastruttura della cyber-security, ossia il cosiddetto “Tone at the Top”: è, infatti, opinione universalmente diffusa tra gli addetti ai lavori che la sicurezza delle informazioni ottenga risultati migliori e decisamente tangibili quando vi sono un coinvolgimento diretto ed una forte sponsorizzazione da parte delle sfere decisionali, che possono influenzare in svariate modalità il buon esito di tutto il sistema di gestione.

Uno degli aspetti più importanti a tal riguardo è rappresentato dalla gestione del rischio, che deve essere riconnesso alla “cultura aziendale” e pertanto deve riflettere la propensione dell’organizzazione (il cosiddetto “risk appetite”) ad accettare il verificarsi di eventi avversi entro determinate soglie di impatto. Nel caso degli organismi pagatori i livelli di rischio possono certamente essere derivati, in alcuni casi, dai Regolamenti Comunitari, che stabiliscono linee guida di carattere generale, ma devono necessariamente essere declinati dalla Direzione e dalla Dirigenza in base alle concrete circostanze che devono essere di volta in volta affrontate.

Un ulteriore elemento da tenere in considerazione è quello derivante dal maggiore impatto che le direttive, le procedure ed in generale le regole interne hanno su tutti gli stakeholder (dipendenti, consulenti, fornitori, enti delegati, etc) quando il top management non solo ha un ruolo formale in fase di emanazione ma risulta essere direttamente coinvolto nel monitoraggio della loro concreta applicazione.

Allo stesso modo non deve essere trascurata la capacità formativa e persuasiva derivante dall’effettiva applicazione di specifiche regole e prescrizioni (quale ad esempio quella dell’utilizzo di un badge magnetico per l’accesso ai locali dove sono allocati gli uffici) anche da parte di chi si trova in posizioni gerarchicamente elevate e che potrebbe godere di “esenzioni” o deroghe rispetto ad adempimenti apparentemente sovradimensionati.

Cyber security nella PA, alcuni scenari di rischio

Per comprendere al meglio quanto la cyber security incida direttamente sulla correttezza, sull’efficacia e sull’efficienza della missione istituzionale di una pubblica amministrazione, che in ultima analisi è chiamata a fornire servizi ed a risolvere problematiche afferenti ad una collettività di persone, è possibile ripercorrere alcuni esempi mutuati dal contesto degli Organismi Pagatori.

Preliminarmente, è necessario evidenziare come una “Paying Agency” sia deputata ad effettuare per conto della Commissione Europea tre funzioni principali ed in particolare:

  • autorizzazione e controllo dei pagamenti per fissare l’importo da erogare a un beneficiario conformemente alla normativa dell’Unione, compresi, in particolare, i controlli amministrativi e presso le sedi delle aziende;
  • esecuzione dei pagamenti per erogare ai beneficiari, o a loro rappresentanti, l’importo autorizzato;
  • contabilizzazione per registrare, in formato elettronico, tutti i pagamenti effettuati e preparazione di sintesi periodiche di spesa, quali le dichiarazioni mensili, trimestrali e annuali destinate alla Commissione.

In tale contesto, è possibile innanzitutto domandarsi cosa succederebbe se le elaborazioni finalizzate a concedere o meno l’autorizzazione al pagamento si basassero su dati non corretti o inattendibili o addirittura fosse possibile a chiunque modificare parametri oggettivi quali la quantità di terreno condotta da ogni azienda, i titoli di possesso di immobili o macchinari agricoli, la data di presentazione di una domanda di accesso ad un determinato beneficio.

Sarebbe sufficiente il verificarsi di uno solo dei sopra citati esempi per rendere del tutto aleatorio l’intero processo sotteso al pagamento di benefici che, come anticipato, raggiungono cifre ragguardevoli per il bilancio dell’intera unione europea.

Passando alla funzione di esecuzione dei pagamenti, che probabilmente è quella più interessante per i beneficiari finali, è necessario soffermarsi su quali danni potrebbero derivare dall’impossibilità di finalizzare le erogazioni entro i termini inderogabili fissati dalla normativa (si consideri, a tal proposito, che la Commissione Europea impone per l’erogazione dei contributi tempi certi, il cui mancato rispetto comporta il non riconoscimento della spesa). In estrema sintesi, cosa succederebbe se i server contenenti le informazioni necessarie a liquidare le domande non fossero disponibili o perfettamente funzionanti proprio alla vigilia di una scadenza improcrastinabile? E nel caso in cui i dati contenuti fossero irrimediabilmente corrotti ed irrecuperabili?

In tale situazione, l’impatto di una situazione del genere sarebbe facilmente quantificabile dal punto di vista economico ma avrebbe ripercussioni notevoli e probabilmente incalcolabili anche sotto il profilo dell’immagine, della fiducia dei cittadini nei confronti delle istituzioni oltre che in termini di sussistenza per le aziende cui non arriverebbe il contributo richiesto.

Considerazioni analoghe possono essere effettuate nel caso delle rendicontazioni che se non corrette e veritiere possono di fatto vanificare il monitoraggio dell’andamento della spesa con conseguenze potenzialmente devastanti per la gestione dei fondi comunitari. Se, ad esempio, a fronte di erogazioni per svariati milioni/miliardi di euro fosse contabilizzata solo una percentuale dei pagamenti, come sarebbe possibile pianificare correttamente i futuri interventi?

Del tutto evidenti, inoltre, sono i danni che potrebbero generarsi dalla divulgazione non autorizzata delle informazioni contenute nei sistemi degli Organismi Pagatori. Basti ad esempio pensare all’impossibilità di procedere ai pagamenti per le aziende che si trovano in posizioni irregolari con la certificazione antimafia o alla necessità di procedere a compensazione nei confronti di quelle che presentano debiti verso gli enti previdenziali o hanno ricevuto in passato finanziamenti in tutto o in parte non dovuti. Quali sarebbero le ripercussioni per i soggetti interessati derivanti dalla diffusione di queste o similari tipologie di dati?

Organismi Pagatori, le best practice utili a tutta la PA

Continuando ad approfondire il modello degli Organismi Pagatori, anche con il fine di estrapolare possibili metodologie implementative da replicare nel resto delle pubbliche amministrazioni, è necessario sottolineare come nella normativa comunitaria e nel complesso di linee direttrici, raccomandazioni e orientamenti applicativi resi disponibili dai Servizi della Commissione Europea sia possibile rinvenire non solo le prescrizioni sopra evidenziate ma anche soluzioni organizzative, procedurali e funzionali cui far riferimento.

Anche in questo caso, il punto di partenza non può che essere il Reg (UE) 907/2014 che prescrive come un Organismo Pagatore debba adottare, nello svolgimento dei suoi compiti quotidiani, una serie di adempimenti, che richiamano in maniera esplicita le “best practice” internazionali in materia di sicurezza delle informazioni, tra i quali in particolare si riporta la necessità di garantire:

  • La disponibilità di risorse umane adeguate per l’esecuzione delle operazioni e di competenze tecniche adeguate ai differenti livelli operativi;
  • Una ripartizione dei compiti tale da garantire che nessun funzionario abbia contemporaneamente più incarichi in materia di autorizzazione, pagamento o contabilizzazione delle somme imputate ai fondi e che nessun operatore svolga uno dei compiti predetti senza adeguata supervisione;
  • che le responsabilità dei singoli funzionari siano definite nella descrizione scritta delle mansioni, inclusa la fissazione di limiti finanziari alle loro competenze;
  • che sia prevista una formazione adeguata del personale a tutti i livelli operativi, anche in materia di sensibilizzazione al problema delle frodi, e che esista una politica per la rotazione del personale addetto a funzioni sensibili o, in alternativa, per aumentare il livello di supervisione;
  • che siano adottate misure adeguate per evitare il rischio di un conflitto d’interessi quando persone che occupano una posizione di responsabilità o svolgono un incarico delicato in materia di verifica, autorizzazione, pagamento e contabilizzazione delle domande di aiuto o di pagamento assumono altre funzioni al di fuori dell’organismo pagatore.

Anche da una rapida lettura di quanto sopra descritto, ad un addetto ai lavori non potrà sfuggire la straordinaria sovrapponibilità tra i concetti espressi dal Regolamento ed i princìpi basilari sui quali si poggiano i framework elaborati dall’ISACA, l’organizzazione statunitense che ha elaborato il celebre COBIT e che con le sue certificazioni di settore su sicurezza delle informazioni (CISM), IT Audit (CISA), IT Risk Management (CRISC) e IT Governance (CGEIT) rappresenta uno dei più prestigiosi organismi di riferimento a livello planetario.

Cyber security, i punti chiave per una corretta gestione 

Provando a contestualizzare maggiormente rispetto alla cyber-security, in estrema sintesi le soluzioni organizzative e procedurali minimali richieste ad un Organismo Pagatore e costantemente verificate durante tutte le sessioni di audit sono le seguenti:

  • La sicurezza delle informazioni deve essere gestita ai livelli più alti dell’Ente: per tale motivo è opportuno che sia presente un “Comitato per la Sicurezza delle Informazioni”, del quale facciano parte quantomeno il Direttore, i Dirigenti delle Funzioni, il Responsabile della Sicurezza delle Informazioni ed un rappresentante del Servizio di Controllo Interno.
  • Deve essere prevista una sezione dell’Internal Audit specializzata per la cyber-security, con personale avente competenze specifiche e specialistiche, che sappia non solo comprendere i fenomeni ed i rischi connessi alla sicurezza delle informazioni ma sia anche in grado di riportare in maniera chiara, sintetica ed efficace la situazione riscontrata ai Responsabili di processo (i cosiddetti “Process Owner”) ed alla Direzione. Di particolare interesse a tal riguardo è la prescrizione regolamentare secondo cui il servizio di controllo interno, oltre a dover essere indipendente dagli altri servizi dell’organismo Pagatore e dover riferire direttamente al direttore, sia chiamato a verificare che le procedure adottate siano adeguate per garantire la conformità con la normativa dell’Unione e che la contabilità sia esatta, completa e tempestiva.
  • E’ necessario, inoltre, sviluppare, redigere ed approvare con atto ufficiale del Direttore un documento di “Security Policy”, che sintetizzi i princìpi e le regole generali adottate in materie di cyber-security. Tale politica di alto livello, che deve essere aggiornata con cadenza almeno annuale, deve essere declinata, attraverso Manuali e Linee Guida specifiche, in regole concrete ed attuative, rese note a tutti gli stakeholders.
  • Tra gli aspetti da normare e codificare devono rientrare almeno quelli relativi alle modifiche ai sistemi (Change Management), ai permessi di accesso logici e fisici (Access Management), al censimento e classificazione dei dispositivi, degli strumenti e delle informazioni (Information Classification and Asset Management), alla gestione dei rischi (Risk Management), al rapporto con i fornitori (Supplier Management), alla gestione della rete (Network Management), al Backup dei dati maggiormente sensibili e critici.
  • E’ indispensabile che tutto il personale sia coinvolto nella gestione della cyber-security attraverso campagne di sensibilizzazione, formazione ed informazione. Tutti, all’interno dell’organizzazione, devono conoscere i rischi connessi alla gestione della sicurezza delle informazioni ed in particolare essere consapevoli delle modalità di utilizzo sicuro degli strumenti elettronici.
  • Oltre a quanto descritto in precedenza, è anche imprescindibile implementare meccanismi di risposta rispetto a situazioni di pericolo che possono mettere a repentaglio la sicurezza. In particolare, è fondamentale organizzare e rendere operative procedure per la risposta agli incidenti (Incident Management), il ripristino delle attività rispetto ad interruzioni del servizio informatico (Disaster Recovery), la continuità operativa dell’organizzazione nel suo complesso (Business Continuity)
  • Tutti gli aspetti finora elencati devono essere periodicamente sottoposti a verifiche e prove al fine di garantirne il corretto funzionamento non solo dal punto di vista teorico ma anche nella sua applicazione effettiva. Per tale motivo devono essere progettate, eseguite e verbalizzate sessioni di test, dalle quali far emergere le criticità riscontrate ma soprattutto le opportunità che possono essere sfruttate per migliorare ulteriormente il sistema di gestione della cyber-security.

Articolo 1 di 3