A chiunque sia addentro le questioni relative a sicurezza informatica e protezione dei dati (privacy) è chiara l’arretratezza del “sistema Italia” rispetto agli standard (minimi) di legge e di buona pratica. I progressi, per fortuna, sono stati tanti in questi ultimissimi anni, e la disponibilità ad investire e progredire che si vede in questi mesi di rilancio lascia ben sperare. Tuttavia, resta purtroppo un enorme “buco nero”, ed è quello della pubblica amministrazione.
Senza voler generalizzare in modo indistinto, l’impreparazione della PA e la carenza della cultura della sicurezza delle informazioni (in senso lato) è sotto gli occhi di tutti, e non mancano significativi esempi di inadeguatezza. Dal fatidico “flop” del sito INPS di fronte alle richieste di sovvenzioni Covid, alle sempre più frequenti sanzioni comminate dal Garante Privacy ad amministrazioni centrali e periferiche. Alle volte basta leggere con attenzione l’informativa privacy o cookie di un ente, pubblicata nel relativo sito, per rilevare l’impreparazione di chi la scrive, o navigare nei portali degli enti per accorgersi di quanto sia lontano l’obiettivo di un servizio efficiente, trasparente, 100% legale e sicuro a favore del cittadino.
Le motivazioni di questa arretratezza sono tante, e in molti casi sistemiche: vanno dalla carenza di stanziamenti, all’assenza dello stimolo della concorrenza, alla cronica inamovibilità del pubblico funzionario; vizi antichi che, per essere rimediati, richiedono anni di sforzi e, forse, persino un cambio generazionale.
In questo contesto purtroppo poco incoraggiante, è intervenuto il recente decreto-legge 139/2021, che introduce la possibilità, per le pubbliche amministrazioni, di scambiarsi i dati dei cittadini quando necessari per il perseguimento di finalità istituzionali quali, ad esempio, la lotta all’evasione fiscale, ma non solo. La novità normativa preoccupa da diversi punti di vista.
Il primo: se fossero confermate le prime impressioni, la genericità della norma sarebbe in grado di garantire un’enorme fluidità nei dati a disposizione dei soggetti pubblici, che però, ricordiamolo, sono raccolti da diversi enti per finalità diverse, a volte in contrasto, fra loro. Il rischio concreto è che il cittadino , una volta compreso il meccanismo, rifiuti di conferire i suoi dati (ad esempio, in occasione dell’accesso a beni e servizi) temendo che questi siano poi utilizzati a suo danno, con ciò ingenerando un clima di sfiducia verso le istituzioni (vi immaginate ad esempio se lo Stato usasse la geolocalizzazione di Immuni, allo scopo di sanzionarci per eccesso di velocità?).
Il secondo: l’esperienza di tutti noi ci insegna quanto sia poco presente, nella PA italiana, il principio di minimizzazione dei dati. Ad ogni accesso a pubblici uffici vengono richiesti ai cittadini una quantità di dati superflui, ridondanti, già a disposizione dell’ente. Il cittadino spesso non ha alternative (perché il servizio è in monopolio pubblico): i dati raccolti dalle PA sono troppi, e rifiutarli spesso non è concretamente possibile.
Il terzo: le pubbliche amministrazioni in Italia sono numericamente importanti, le persone coinvolte moltissime, gli strumenti gestionali i più diversi e difficili da controllare. Insomma: un contesto da incubo per chiunque abbia a cuore la sicurezza delle informazioni. Una situazione fluida di condivisione dei dati in un contesto carente dal punto di vista cyber rappresenta un moltiplicatore della vulnerabilità, a danno della sicurezza del Paese e dei cittadini.
Il quarto: grazie al cielo l’Italia è un paese democratico. Tuttavia, come noto, la democrazia non è mai una conquista definitiva, e può essere progressivamente erosa, come ci insegnano tanti esempi storici, da dentro e da fuori le istituzioni. Cosa sarebbero i nostri dati in mano pubblica, in un contesto progressivamente sempre più autoritario? Uno strumento formidabile per la preservazione ed il consolidamento del regime.
Non mi si fraintenda. Un uso strutturato ed efficiente dei dati delle pubbliche amministrazioni (per esempio, per esigenze di repressione del crimine, di lotta all’evasione fiscale, ma anche, semplicemente, di efficientamento dei servizi) è auspicabile e nell’interesse di tutti. Ma la strada per raggiungerlo non passa attraverso poche righe di un decreto. Passa attraverso una rivoluzione nella cultura della privacy e della sicurezza cyber nel mondo pubblico, un atteggiamento di piena trasparenza verso i cittadini, una perimetrazione dettagliata (e non generica) dei dati raccolti, conservati, gestiti e trasmessi e dei soggetti destinatari degli stessi, una mappatura dei flussi leciti, una drastica limitazione dei dati raccolti. La direzione indicata dal famoso decreto, sembra essere invece un generico “liberi tutti”. Mi auguro di sbagliarmi.