Banche dati pubbliche colabrodo. Gli accessi a Serpico, banca dati in uso a Agenzia delle entrate e Guardia di finanza e all’archivio delle segnalazioni di operazioni sospette sull’antiriciclaggio dimostrano una grande vulnerabilità anche a dispetto di misure di sicurezza tecniche e organizzative. Su quello che si va componendo in questi giorni, il mercato di dati esfiltrati, gli obblighi privacy consentono almeno una tracciabilità dei data breach che sono in aumento. Le nuove sanzioni a poco servono: meglio migliorare i sistemi di alert per gli accessi e evitare la duplicazione delle banche dati. La vicepresidente della autorità garante per la privacy, Ginevra Cerrina Feroni interviene sull’ultima inchiesta di Milano, del sistematico furto di dati dalle banche di informazioni pubbliche, e osserva che laddove l’inchiesta venisse confermata «avremmo constatato una sistematica violazione di un diritto fondamentale quale quello alla protezione dati dei cittadini, oltre che dei decisori pubblici. Inoltre, entrerebbe in gioco l’enorme tema della difesa dell’integrità dello Stato e delle Istituzioni che lo compongono».E sul tema, la circolazione delle informazioni dei cittadini, che il garante è chiamato a difendere conclude «la tutela dei dati personali deve tornare al centro di investimenti necessari nel pubblico come nel privato».
Domanda.I data breach sono in costante aumento dal 2018 (inizio efficacia del Gdpr) (vedi ultimi dati Clusit: più 12% degli episodi gravi nel 2023 rispetto al 2022): quali sono le ragioni dell’insuccesso del Gdpr?
Risposta Il rapporto Clusit evidenzia in effetti un trend in aumento dei data breach, tuttavia non credo che questo equivalga a un insuccesso della normativa di protezione dati. Al contrario, a differenza del passato, è proprio grazie agli obblighi previsti nel GDPR che oggi i data breach vengono notificati, permettendoci di tenere sotto traccia tutti questi episodi, censire le violazioni nell’apposito registro e monitorare quali misure sono state adottate dai titolari per mitigarne le conseguenze, per poi poter avviare la nostra attività di vigilanza. Dunque il numero in aumento corrisponde al fatto che, finalmente, le violazioni vengono notificate e testimonia, dunque, una maggiore consapevolezza e responsabilizzazione degli operatori.
D. L’ultima inchiesta di Milano sui dati rubati può essere definita il più grande data breach delle informazioni sensibili degli italiani?
R. Ci tengo a precisare che le indagini sono ancora in corso, risulta prematuro formulare giudizi definitivi su questa vicenda. Tuttavia, se quanto stiamo leggendo sui giornali in questi giorni venisse confermato, ci troveremmo senz’altro di fronte a un fenomeno dai contorni preoccupanti. La presenza di un supposto gigantesco “mercato” di dati personali esfiltrati dalle più grandi banche dati pubbliche minerebbe le fondamenta del nostro ordinamento democratico, con due principali implicazioni. In primo luogo, avremmo constatato una sistematica violazione di un diritto fondamentale quale quello alla protezione dati dei cittadini, oltre che dei decisori pubblici. Inoltre, entrerebbe in gioco l’enorme tema della difesa dell’integrità dello Stato e delle Istituzioni che lo compongono.
D. Nell’ordinanza i magistrati scrivono: «Poter accedere a “Serpico”, in uso all’Agenzia delle Entrate e alla Guardia di Finanza, nonché poter interrogare la banca dati S.O.S. (Segnalazione Operazioni Sospette) significa poter avere a disposizione le informazioni economico-finanziarie di tutti i cittadini italiani». Possibile non se ne sia accorto nessuno?
R. Se i fatti oggetto di indagine venissero confermati, ci troveremmo di fronte a una grave vulnerabilità di banche dati contenenti informazioni, anche molto sensibili, riferite a cittadini, parlamentari e membri del Governo. Tra le banche dati coinvolte parrebbe che ci sia “Serpico”, contenente dati reddituali ed economici. Un’altra banca dati intaccata sarebbe quella delle S.O.S., che comprende dati relativi a operazioni ritenute “sospette” perché sintomatiche di riciclaggio o finanziamento del terrorismo. Ci tengo, tuttavia, a precisare che di norma non è così semplice accedere a questa tipologia di banche dati in quanto dovrebbero essere provviste di misure di sicurezza tecniche e organizzative robuste. Come Autorità, da anni indichiamo nei nostri provvedimenti misure e raccomandazioni al Governo e alle P.A. per garantire la massima sicurezza di questi patrimoni informativi. Spetta naturalmente a questi attori il compito di attuarle e verificarne periodicamente l’efficacia, per scongiurare episodi come quello che stiamo commentando.
D. Si parla di filtri, accessi controllati ai server della pubblica amministrazione, di pseudonimizzazione dei dati fiscali e poi sembra un gioco da ragazzi l’accesso a e-fatture, f24 dichiarazione dei redditi e movimenti dei conti correnti, come si muoverà il garante su questo fronte?
R. Rispetto a questo fenomeno intollerabile degli accessi abusivi alle banche dati, pubbliche e private, come Garante abbiamo in corso diverse attività ispettive e istruttorie.
D. I dati fiscali di migliaia di cittadini sono stati violati, ha un senso chiedere la continua alimentazione delle banche dati p.a. con le nostre informazioni? E allo stesso tempo invocare nuove norme e sanzioni quando i buoi sono sempre scappati?
R. Come giustamente fa notare, la risposta sanzionatoria è sempre tardiva, per questo motivo insistiamo da anni sulla prevenzione, tramite l’adozione di adeguate misure di sicurezza fisica, informatica e organizzativa a protezione dei dati. Infatti, nell’attività consultiva prima dell’emanazione di una norma interagiamo con il Governo e le pubbliche amministrazioni suggerendo una serie di misure per evitare che vicende come queste possano accadere. Penso, ad esempio, alle diverse indicazioni che abbiamo fornito sull’adozione di sistemi efficaci di alert per rilevare eventuali accessi o consultazioni sospette delle banche dati, o ancora alla programmazione di periodiche attività di monitoraggio sull’efficacia delle misure adottate. Tra le misure principali come Autorità abbiamo costantemente segnalato di evitare la duplicazione delle banche dati perché naturalmente più dati sono in circolazione e più aumenta il rischio che siano esposti a violazioni.
D. Il Garante privacy è stato coinvolto in tutti questi casi?
R. Da anni l’Autorità Garante fornisce indicazioni su come prevenire l’attività di cd. “dossieraggio”, occupandosi della materia con la responsabilità di dover trovare un punto di equilibrio tra il perseguimento di quegli obbiettivi leciti a cui servono le banche dati pubbliche, come la lotta all’evasione fiscale o l’antiriciclaggio, e dover al contempo garantire la sicurezza dei dati personali ivi contenuti. L’uso di queste banche dati richiede tuttavia un estremo rigore perché tocca l’essenza della democrazia. Come Autorità indipendente abbiamo la responsabilità di guidare e controllare l’uso di questi strumenti, ma ci tengo a ricordare che spetta ai soggetti che hanno il controllo di questi dati di mettere in pratica le indicazioni offerte da noi.
D. Possiamo come contribuenti richiedere un risarcimento?
R. Se dai fatti oggetto di indagine dovessero emergere dei profili di responsabilità civile, certamente gli interessati potranno agire nei confronti di quei soggetti accertati come responsabili dei danni loro arrecati. Ci tengo anche a precisare che davanti al Garante è possibile attivare, tramite l’invio di reclami o segnalazioni, un altro tipo di tutela, quella amministrativa che conduce all’applicazione di sanzioni e/o misure correttive.
D. Come funzionerà la taskforce annunciata dal Garante?
R. Oltre all’attività istruttoria, abbiamo deciso di costituire una taskforce interdipartimentale. Ciò significa che i diversi Dipartimenti dell’Autorità collaboreranno, secondo le rispettive competenze, per accertare sia dal punto di vista tecnologico che normativo quali siano state le violazioni avvenute e, di conseguenza, individuare le risposte sanzionatorie e correttive dell’Autorità. L’obiettivo ultimo della taskforce è prevenire episodi di questa natura, il che significa proteggere i dati personali di ciascuno di noi e, quindi, la nostra democrazia. I recenti casi di accesso illecito a banche dati come quello di Striano, o la vicenda del bancario pugliese che ha acceduto ai conti corrente di diversi politici, rendono evidente che la tutela dei dati personali deve tornare al centro di investimenti necessari nel pubblico come nel privato, permeare l’agire politico e amministrativo in modo sistematico e continuativo, non in chiave episodica ed emergenziale. La protezione dei dati personali deve, insomma, rientrare al centro del dibattito pubblico e di interventi sistemici con ricadute a lungo termine perché si tratta di un valore da proteggere, che tocca il cuore della nostra democrazia e la tenuta dell’ordinamento costituzionale.
riproduzione riservata