Un normale venerdì nero

Un normale venerdì nero

Ci siamo già interessati all’interruzione avvenuta dei servizi informatici degli uffici giudiziari e dei distretti di Corte di Appello dell’intero territorio nazionale, causato dall’incauta apertura di un allegato a una email ricevuta via posta elettronica certificata (Pec). L’ allegato alla mail conteneva un virus prontamente attivato all’apertura del file zip.

La comunicazione su quanto accaduto è venuta alla luce venerdì 16 novembre: Attacco hacker, colpite 500mila Pec.

Adesso l’accaduto ha preso un aspetto più preoccupante stante che è stato coinvolto anche il Governo nella figura di Roberto Baldoni, vicedirettore generale responsabile per il cyber del Dipartimento delle informazioni per la sicurezza (DIS).

Nella conferenza stampa dello scorso 19 novembre Baldoni invita tutti i possessori di casella Pec a “cambiare subito la password” in quanto dalle prime stime sono circa 500mila le caselle coinvolte nell’attacco informatico causato dalla violazione dei server di un “noto fornitore del servizio”.

Baldoni ha precisato che l’attacco “è il più grave avvenuto nel 2018” e ha appurato che, riferiscono gli esperti “a una prima valutazione non è stato molto raffinato dal punto di vista tecnico”.

Baldoni però ha omesso volutamente di indicare il nome del fornitore lasciando così nel dubbio tutti i possessori di casella Pec.

Ovviamente un aggiornamento della password non fa mai male, però sarebbe stato più corretto da parte del Governo allarmare solo coloro che sono effettivamente coinvolti nell’accaduto.

A questo ha pensato il giornale Repubblica che riporta il “centro dati Telecom (TIM) di Pomezia”, a cui il Governo ha appaltato la gestione delle Pec di Stato: Lo Stato dopo l’attacco hacker ai tribunali: “Cambiate la password della vostra Pec”.

L’attacco ha quindi colpito un unico fornitore di servizi Pec compromettendo però svariati domini “appartenenti a diverse categorie di operatori che usano la Pec per inoltrare atti amministrativi, circolari, ordini di servizio, leggi, avvisi e multe, ma non ha prodotto perdite di dati”.

Preoccupa però che i soggetti dell’attacco abbiano sottratto gli identificativi Pec di oltre 98.000 utenti tra: magistrati, militari e funzionari del Cisr (Comitato Interministeriale per la sicurezza della Repubblica). Il Cisr raggruppa i ministeri della Giustizia, degli Interni, della Difesa, degli Esteri, dell’Economia e dello Sviluppo Economico oltre la stessa Presidenza del consiglio dei ministri e dell’Autorità delegata medesima.

Il furto degli identificativi Pec comporta la possibilità di invio, da parte di soggetti non etici, di email “compromettenti” attraverso un meccanismo di per sé accreditato e da utente visibilmente certificato. Così che chi riceve la email via Pec potrebbe ritenerla “sicura”.

Come se non bastasse venerdì 16 novembre è stata pubblicata la lettera di richiesta di chiarimenti del Garante alla Privacy sulla “Fattura elettronica”; trattamento sviluppato per conto e di proprietà, dell’Agenzia delle Entrate: Il Garante privacy all’Agenzia delle entrate: la fatturazione elettronica va cambiata.

Il Garante Privacy ha chiesto spiegazioni all’Agenzia delle Entrate sulle criticità riscontrate in ambito della introduzione della fattura elettronica. Introduzione pianificata dal Governo e obbligatoria a partire dal 1° gennaio 2019.

Il Garante ha riscontrato numerose criticità sul fronte del trattamento dei dati personali. I rilievi del Garante non sono vincolanti per legge, ma potrebbero portare a un rinvio rispetto alla data stabilita dal Governo del 1° gennaio 2019. Rinvio dovuto al rientro delle criticità riscontrate qualora accettate dall’Agenzia delle Entrate.

La principale osservazione è che il progetto, stante la natura dei dati trattati e il loro utilizzo su “larga scala”, è stato approntato senza consultare il Garante in violazione del Regolamento 2016/679 in materia di protezione dei dati personali.

I rilevi del Garante Privacy sono inerenti al fatto che il progetto non ha considerato il principio del Regolamento 2016/679 che sollecita l’analisi iniziale secondo la “privacy by design” a tutela degli interessi delle persone fisiche e a misura di garanzia volta ad assicurare il rispetto dei principi di limitazione della finalità, minimizzazione e riservatezza.

Lo spirito che sottende le osservazioni del Garante è inerente “alla trasmissione e memorizzazione di una ingente mole di dati non direttamente rilevanti ai fini fiscali, con conseguenze per la tutela della riservatezza, in particolare in merito alle strategie aziendali”.

Essendo le fatture “parlanti”, l’algoritmo archivia, per conto dell’Agenzia, una vera e propria mole di informazioni non necessarie a fini fiscali come: beni e servizi ceduti, descrizione delle prestazioni, rapporti fra cedente e cessionario e altri soggetti, sconti applicati, fidelizzazioni, abitudini di consumo, dati obbligatori imposti da specifiche normative di settore, ad esempio su trasporti e forniture di servizi energetici e di telecomunicazioni, oltre a dati sanitari e giudiziari.

In aggiunta il tutto può accadere senza avere il consenso all’interessato in quanto l’invio della fattura può avvenire da parte di colui che la emette: privato o azienda.

L’elenco completo delle criticità è riportato, con i commenti, nell’articolo Garante privacy, “stop” alla fattura elettronica: che succede ora.

Su ciò Nicola Bernardi del giornale Metro News, ha immaginato come uno Stato potrebbe attribuirsi il potere di controllare ogni aspetto della vita quotidiana dell’intera popolazione, le abitudini e le tipologie di consumo essendo in grado di “accedere a tutte le informazioni contenute nelle bollette del telefono e quelle della luce e del gas, e sapendo perfino dettagli legati alla sua sfera privata come informazioni riguardanti le condizioni di salute, le opinioni politiche e religiose, o i suoi orientamenti sessuali”: Privacy, cosa non andavanella norma sull’e-fattura.

Il Garante per la Privacy con il provvedimento ha avvertito l’Agenzia delle Entrate, ma sicuramente un progetto di tale mole e importanza non è partito ieri, chissà da quanto tempo è un cantiere aperto e il Regolamento 2016/679 come da suo nome è noto dal 2016.

Allora ci si chiede, come mai a nessuno all’Agenzia delle Entrate, al Ministero delle Finanze e alla società appaltatrice del lavoro, sia venuto in mente che forse la massiva mole di dati particolari di persone fisiche, di informazioni personali e riservate dei cittadini, dovessero tutelarsi a norma di legge?

L’Autorità per la protezione dei dati personali ha giustamente atteso l’entrata in vigore del Regolamento GDPR, cioè il 25 maggio 2018, per disporre l’accertamento, una data precedente avrebbe innestato una lunga e difficile querelle.

L’intervento del Garante eviterà di perdere serenità evitando un ingiustificato incremento dei rischi per i diritti e le libertà di tutti i privati cittadini. Non cancella però le preoccupazioni sulla leggerezza con cui sono analizzati e sviluppati i progetti IT, e rimarca che occorre ancora di più investire in processi che comportano soprattutto la cultura e il rispetto per la privacy.

Scritto da: Marcello Pistilli