I dati, i nostri dati, sono sempre più in mare, in alto mare, più che tra le nuvole. Non solo perché sempre più server e datacenter affondano sott’acqua, ma anche perché i segnali del nostro Sistema Paese sulle politiche di data protection e cyber security sono poco confortanti.
E due recenti episodi fanno riflettere molto in tal senso.
Infatti, pochi giorni fa, abbiamo assistito a due esempi molto critici di data breach, purtroppo troppo velocemente qualificati dal mainstream come semplici “malfunzionamenti” o “tentativi” di violazione. E la banalizzazione di accadimenti del genere è pericolosissima, a maggior ragione se essi riguardano infrastrutture critiche o essenziali. Perché una loro violazione – lo ricordo – può incidere pesantemente sui diritti e sulle libertà di noi cittadini.
Indice degli argomenti
Regione Puglia e Aws: due databreach
Faccio riferimento in particolare alle violazioni di dati personali che hanno riguardato il sistema sanitario della Regione Puglia e a quanto accaduto in Virginia ai server di Amazon. Episodi che sembrano lontanissimi tra loro, ma che in realtà presentano diverse similitudini proprio per la narrazione che ne è seguita.
In Puglia, abbiamo assistito a una paralisi, durata ore, di servizi sanitari on line. Di fatto qualche giorno fa si è verificato un vero e proprio blocco di sistemi informatici sanitari che è stato qualificato spensieratamente dalla stampa locale come un semplice “tentato attacco hacker” che avrebbe fatto scattare firewall di protezione, da qui il blocco.
In questi ultimissimi giorni, inoltre, abbiamo osservato inermi al blocco di centinaia di siti e piattaforme in Italia, causato da indefiniti disservizi che hanno interessato alcuni server di Amazon Aws situati in Virginia.
Sono andati in tilt diversi servizi pubblici, generando ad esempio gravi malfunzionamenti delle piattaforme informatiche dell’Agenzia delle Entrate e di Poste Italiane.
L’azienda statunitense, dopo diverse ore, ha semplicemente dichiarato che i problemi sono stati risolti. Sarebbe doveroso, almeno per certe tipologie di servizi, attendersi un minimo di chiarimenti informativi. Ma non credo che arriveranno in modo ampio, diffuso e circostanziato perché si finirebbe per dimostrare platealmente che nel magico mondo del cloud si dipana perfettamente l’effetto farfalla di Edward Lorenz (e non credo che ci sia interesse a farlo)[1].
Si tratta di data breach?
Ricordo, per chi nutrisse dubbi, che anche una indisponibilità temporanea di dati e servizi è pienamente qualificabile come data breach, secondo la normativa europea sulla protezione dei dati. E credo che sia altrettanto utile ricordare che su settori critici o essenziali, come quelli relativi all’ambito sanitario o ai sistemi fiscali a livello centrale, incombono obblighi di notifica al CSIRT ai sensi del d.lgs. 138/2024 (cd “decreto NIS2”) e, se ricorrono le condizioni di rischio di cui all’art. 33 del GDPR, va effettuata anche la notifica al Garante per la protezione dei dati personali.
Mi sembra che non ci si stia rendendo conto della gravità di episodi del genere e ho letto poche analisi critiche in materia, con alcune eccezioni, come è il caso dell’ottimo contributo portato avanti da Walter Vannini proprio sulle pagine di questa rivista.
E il problema di fondo è proprio la scarsa cultura in materia di data protection e cybersecurity che ancora si respira nel nostro Paese, dove la pioggia di euro garantita dal PNRR non mi sembra, purtroppo, che sia andata nella direzione di favorire maggiore consapevolezza, ma ha avuto, piuttosto, l’effetto di continuare a strutturare quel legame tentacolare che ormai pervade le “spensierate” e semplicistiche politiche di innovazione digitale di molte (troppe) amministrazioni pubbliche (centrali e locali) nel nostro Paese.
Siamo legati mani e piedi a servizi USA
Ricordo che, quando –praticamente da solo – nel 2016 criticavo la scelta di nominare un Commissario straordinario per il digitale che gratuitamente metteva i suoi servizi in favore del Paese, mantenendo ben saldi i suoi interessi in Amazon, molti schizzinosamente sottolinearono che l’impero statunitense non era interessato al “minuscolo” mercato pubblico italiano.
Mi sembra che le cose siano andate invece nella direzione da me paventata.
Siamo legati mani e piedi a infrastrutture e servizi di società extra UE e non ci preoccupiamo minimamente di sviluppare strategie solide e consapevoli di presidio dei nostri dati, soprattutto quelli strategici a livello nazionale o regionale. Anzi, adesso già ci affrettiamo ad annunciare pomposamente lo sviluppo “nazionale” del quantum computing (arrivato dopo l’ultimo “miracolo” – forse già un po’ stantìo – dell’intelligenza artificiale), come se fosse davvero quest’ultimo la soluzione possibile ai mali atavici che attanagliano tristemente la nostra burocrazia.
Continuiamo a brindare alle novità semplicemente, facendo finta che vada tutto bene e lasciando la polvere sotto i tappeti. Una polvere che è fatta di dati in alto mare, perché lasciati al caso di procedure incomplete, ruoli indefiniti, accordi incompleti, fatto salvo far stilare in modo impeccabile qualche modulo di “check-up” preteso dalla Nis2.
Dove vogliamo andare in questo modo? Non posso non chiedermelo in questi giorni.
Questa strada di svogliato pressapochismo verso tematiche fondamentali che dovrebbero guidare l’innovazione digitale ci porta semplicemente a frantumarci sugli scogli a causa di argini mai ben costruiti a tutela di processi (forse) ormai irreversibili verso cloud esteri.
Come tutelare con efficacia i nostri dati? Come sviluppare modelli resilienti nell’era dell’IA?
Molti servizi sono su AWS, altri su Azure o comunque su altre piattaforme fornite da fornitori extra SEE. La domanda corretta che possiamo porci oggi non è se abbiamo alternative nazionali o europee per fruire delle stesse tipologie di servizi, perché lo sappiamo ormai benissimo che abbiamo un grande ritardo infrastrutturale.
Dobbiamo interrogarci invece sui presidi culturali, tecnici e giuridici idonei a minimizzare i rischi di questo sistematico e irresistibile outsourcing verso le big tech, in attesa di tempi migliori.
Digeat a Lecce
Ne parleremo lungo vivaci confronti che si terrano durante il Digeat Festival che si terrà a Lecce dal 27 al 29 novembre. E ne discuteremo in modo concreto e interdisciplinare, in laboratori professionalizzanti.
Formarsi per acquisire consapevolezza voglio ricordarlo, è l’unica arma a nostra disposizione
Vi aspetto a Lecce.
Note
[1] A quanto risulta dalle informazioni rilasciate da Amazon Web Services l’interruzione dei servizi avvenuta dal 19 al 20 ottobre non è stata causata da malfunzionamenti dell’hardware o – peggio – da un attacco esterno, ma da un semplice errore software (un problema con i DNS) che ha poi provocato una serie di problemi in tutto il mondo.
“Può il batter d’ali di una farfalla in Brasile provocare un tornado in Texas?”
In un mondo digitale affidato felicemente alle big tech evidentemente sì…
