Written by 9:00 La Repubblica, Media

Poca cybersicurezza e troppa voglia di sorvegliare: al settore pubblico la privacy importa poco

Le lezioni da trarre dagli ultimi attacchi ai siti pubblici, a partire da quello all’ASL dell’Abruzzo di inizio maggio. Il “soluzionismo tecnologico” non può e non deve essere la via da perseguire solo perché sembra la più facile

Di Rocco Panetta e Vincenzo Tiani su Italian Tech

Nell’ultimo mese si sono verificati diversi eventi che confermano una amara verità: la poca attenzione del settore pubblico (enti, sindaci, ministeri, governo) per la protezione dei dati personali, sia da un punto di vista del riconoscimento del diritto stesso che da quello della cybersicurezza.

Non si tratta della prima volta, purtroppo, né sarà l’ultima. Soltanto due anni fa, in questi giorni, un eminente esponente politico accusava il Garante della privacy di costituire un “assurdo intoppo burocratico”. Per dovere di cronaca, in quel caso, il Garante aveva ragione e, grazie alle sue indicazioni, la situazione dell’app IO sui cui erano stati presentati alcuni rilievi, fu risolta in pochi giorni, senza che l’economia del Paese si bloccasse come paventato.

Andando a ritroso, in ordine cronologico, è di pochi giorni fa la notizia di un attacco al sito del Ministero del Made in Italy, che per qualche tempo è rimasto inaccessibile (è accessibile nel momento in cui si scrive). Poca cosa a confronto dell’attacco di cui è stata vittima la ASL dell’Abruzzo a inizio maggio, con il furto e la pubblicazione di oltre 500 giga di dati sanitari, che, oltre al danno immediato ricevuto dai pazienti più a rischio, che non hanno potuto ricevere cure adeguate in tempi rapidi, si prolungherà per un tempo indeterminato visto che quei dati potranno essere usati per truffe ed estorsioni. Ma l’attacco all’ASL dell’Abruzzo arriva comunque dopo altri attacchi simili in altre regioni italiane, senza poi dimenticare quanto successo in piena emergenza covid al sito dell’INPS, in un momento in cui per molti accedere a quel sito era particolarmente importante.

Considerando che stiamo citando soltanto gli ultimi casi di una lunga serie di attacchi al nostro Paese, quando non si tratta di disattenzione degli stessi enti pubblici, se questo avrebbe fatto pensare che fosse il caso di rafforzare il ruolo della Agenzia di Cybersicurezza Nazionale (ACN), il 6 marzo il suo primo direttore, il professore Roberto Baldoni, uno dei pochi esperti nazionali in una materia così delicata, si trovava costretto alle dimissioni, segnale di un chiaro disagio.

Andando a ritroso, e passando dai casi degli attacchi informatici a quelli delle scelte di poco giudizio delle amministrazioni, a fine aprile il Garante sanzionava una azienda municipalizzata che si occupa della gestione dei rifiuti e che, come deterrente, aveva pubblicato su Facebook alcune immagini di illeciti ottenute dalle telecamere di videosorveglianza installate, in cui i colpevoli erano però identificabili. La stessa azienda, che secondo quanto previsto dal regolamento europeo dovrebbe avere un responsabile della protezione dei dati, è stata trovata sprovvista dello stesso. Il tutto considerando che il GDPR, il regolamento europeo sulla protezione dei dati, ha compiuto da poco i suoi primi 5 anni dall’entrata in vigore.

Questi esempi riportano le mancanze, per poca formazione e attenzione, in un settore come quello informatico e digitale che ne richiede in maniera costante. Tutto passa dal digitale e con i nuovi regolamenti europei in arrivo, come il Digital Governance Act, il Data Act e l’AI Act, lo scambio di dati tra pubblico e privato e tra imprese sarà ancora più all’ordine del giorno, e non essere preparati sarebbe eguagliabile all’essere pronti a vivere in qualsiasi momento senza corrente elettrica.

Non solo hacker, c’è il pericolo di creare uno stato orwelliano

Oltre alle mancanze abbiamo poi i casi di scelte consapevoli, come quelle che vogliono spingere sull’aumento dell’adozione della video sorveglianza, con l’ausilio del riconoscimento facciale.

A inizio maggio il ministro dell’interno Piantedosi aveva detto assieme a cose sacrosante, come “la videosorveglianza è uno strumento fondamentale”, e che “il diritto alla sicurezza va bilanciato con il diritto alla privacy” anche una più ardita e cioè che “il riconoscimento facciale dà ulteriori possibilità di prevenzione e di indagine”, dimenticando o ignorando le tante posizioni ufficiali, anche a livello internazionale, che si sono espresse contro a tali derive. Tali affermazioni venivano fatte all’indomani degli eventi della stazione di Milano.

Quello della videosorveglianza è un tema che piace molti ai sindaci, di tutti i colori politici, perché infonde una certa sicurezza percepita ed è un modo facile e visibile per rispondere alle richieste dei cittadini di una città più sicura. Il Garante per la protezione dei dati personali ha disciplinato il fenomeno, per primo in Europa, sin dal 2000, garantendo il pieno funzionamento delle prerogative di polizia e giustizia, senza ledere i diritti delle persone.

In Italia invece esiste una moratoria sul riconoscimento facciale nei luoghi pubblici, che sarà valida almeno fino a fine anno. Anche se il Ministro ha detto che è in dialogo con il Garante per vedere cosa si possa fare, finora l’Autorità Garante ha limitato tutti i tentativi d’uso di questa tecnologia. L’11 maggio poi, il Parlamento europeo approvava il ban a questa tecnologia nella sua proposta di emendamento all’AI Act. Secondo il Parlamento, infatti, le eccezioni previste per le forze dell’ordine al divieto alla sorveglianza mediante riconoscimento biometrico erano troppo estese e rischierebbero di aprire la via ad una società orwelliana.

Di questa autorevole posizione non si potrà non tenere conto.

L’Unione europea, e l’Italia di conseguenza, devono restare fedeli ai propri principi di tutela dei diritti fondamentali, in cui il rischio di essere identificato in qualsiasi momento non può e non deve essere giustificato da esigenze di sicurezza, se non in casi estremi, accuratamente individuati e nel rispetto dei principi di proporzionalità e necessità della carta dei diritti fondamentali. Aprire all’idea di usare il riconoscimento facciale per la gestione della sicurezza “ordinaria” vorrebbe dire rinunciare per sempre alla propria libertà.

Col tempo, infatti, il rischio che spetti al singolo dover dimostrare di non essere la persona inquadrata in un video porterebbe le persone a non voler più protestare in piazza, a frequentare certi luoghi, per paura di dover dimostrare la propria innocenza.

La c.d. privacy non è un ostacolo, ma un baluardo e un fondamento necessario a garantire il rispetto di altri diritti fondamentali come la libertà d’espressione, di informazione, di circolazione.

Il soluzionismo tecnologico non può e non deve essere la via da perseguire solo perché sembra essere la più facile.

Close