La migrazione dei dati dei Comuni all’Anpr potrebbe comportare problemi di sicurezza dati dei cittadini? Abbiamo parlato di questa eventualità con Cosimo Comella, responsabile del Dipartimento tecnologie digitali e sicurezza informatica del Garante Privacy
Il progetto è partito: sono 26 i Comuni coinvolti. Ci sono rischi per la sicurezza dei dati e la tutela della riservatezza degli italiani?
L’Anpr avrà il grande vantaggio di rendere più efficienti le funzionalità anagrafiche dei Comuni e darà maggiore certezza alle certificazioni. Nello stesso tempo, insieme ai dati, verranno centralizzati anche i sistemi di sicurezza informatica, che non saranno frammentati in più di 8mila sedi, come è avvenuto fino a oggi. Sul piatto della bilancia pesano dunque più i benefici che i possibili rischi.
Ma mettere tutte le informazioni sensibili su un unico database non sarà più pericoloso?
Non necessariamente, perché l’architettura centralizzata della banca dati prevederà comunque, a livello di struttura, le opportune ridondanze e gli altri accorgimenti tecnici per garantire in modo stringente i più elevati livelli di disponibilità e integrità dei dati, nonché la loro protezione dai vari tipi di minaccia. La scelta della banca dati unica presenta gli stessi pregi e le stesse criticità di un’architettura informatica centralizzata, che vanno confrontati con le soluzioni distribuite alternative e, realisticamente, con la situazione di fatto. Nel caso specifico di Anpr, la situazione attuale è di dispersione, piuttosto che di distribuzione. Ben venga dunque un accentramento, se consente di ottenere, oltre ai benefici funzionali attesi e a quelli previsti a supporto di altre iniziative di innovazione digitale, anche un maggior livello di sicurezza, grazie alla possibilità di investire sulla sicurezza in modo coordinato e , per gli interventi di protezione fisica, in un numero molto limitato di sedi. Quello che deve preoccupare non è quindi Anpr in sé, ma casomai lo stato generale della sicurezza informatica nella PA.
In che senso?
Nel senso che il livello della sicurezza IT è preoccupante. D’altronde i numeri dell’ultimo report del Cis dell’Università “Sapienza” parlano chiaro: soltanto 22 amministrazioni centrali, sul totale delle 42, possono contare su un livello di difesa, organizzazione e consapevolezza del rischio sufficiente. Peggiore la situazione nelle Regioni e nei Comuni. Nel nostro Paese, oltre alla razionalizzazione dei datacenter pubblici, serve una forte azione di promozione della sicurezza informatica.
E dunque?
L’Italia ha oggi un apprezzabile Piano nazionale per la protezione cibernetica e la sicurezza informatica, che ha messo a fuoco nei suoi indirizzi operativi i principali problemi da affrontare. Occorre però operare coerentemente a sostegno di quegli indirizzi, con le adeguate risorse anche finanziarie, altrimenti difficilmente le buone intenzioni si tradurranno in maggiore sicurezza. Occorrono investimenti mirati nella sicurezza informatica, che devono essere la base per la buona riuscita di ogni progetto digitale, nell’ottica del “security first” e della “privacy by design” concetti ribaditi dal nuovo regolamento sulla protezione dei dati, in corso di approvazione nell’Ue. Dobbiamo avere tutti consapevolezza, a iniziare dal livello di governo, dell’importanza strategica di garantire la sicurezza.