Vittorio Colao (a destra)
I server della pubblica amministrazione sono un colabrodo. Un paradiso per gli hacker, sia quelli puramente criminali o ideologicamente motivati sia quelli facenti riferimento a potenze straniere, come quelli cinesi, nordcoreani e russi. "Abbiamo il 93-95% dei server della Pubblica amministrazione non in condizioni di sicurezza – ha denunciato Vittorio Colao, ministro per l’Innovazione tecnologica e la Transizione digitale, intervenendo al Festival dell’Economia di Trento –. Nessuno è al sicuro e non possiamo andare avanti così, abbiamo bisogno di cloud più affidabili perché i dati sensibili dei cittadini e quelli meno sensibili siano tenuti in sicurezza".
Sul tavolo di Colao c’è uno studio realizzato a dicembre dal Computer emergency response team dell’Agid, l’Agenzia per l’Italia digitale, sulla vulnerabilità dei portali istituzionali della pubblica amministrazione. "Tra i 21.682 portali sottoposti a monitoraggio – è scritto nel rapporto –, sono risultati correttamente raggiungibili 20.018 domini per i quali è stato possibile rilevare i parametri della connessione Https (un protocollo per la comunicazione sicura su internet, ndr). Di questi il 2% (445) non hanno Https, il 67% (12.297) hanno gravi problemi di sicurezza, il 22% (4.510) sono mal configurati e solo il 9% (1.766) sono sicuri".
Il rapporto è stato integrato con nuovi dati che danno un quadro anche peggiore. Da qui, la denuncia del ministro. Che vuol essere uno stimolo all’azione. "Dobbiamo andare verso il cloud con la creazione del Polo strategico nazionale – ha annunciato Colao –, un polo sicuro e ridondante le cui chiavi di accesso di crittografia siano in controllo pubblico e in cui possiamo avere i vantaggi di esser al sicuro con la nostra tecnologia. Classificheremo anche i dati ed i livelli di cloud commerciali che, se verranno usati, dovranno essere certificati. Vogliamo un ambiente informatico sicuro sia per la parte commerciale che non. E dobbiamo farlo adesso, usando le risorse che vengono dall’Europa. Entro il 2027, al termine del Pnrr – ha concluso – vogliamo essere tra i migliori nelle reti, con una cloud sicuro e con una struttura avanzata per la cybersicurezza".
Il Pnrr appena approvato prevede un programma di digitalizzazione della PA che sia "basato su efficacia, velocità e sicurezza ai cittadini e alle imprese nella fruizione dei servizi, pertanto infrastrutture, interoperabilità, piattaforme e servizi, e cybersecurity". Inoltre, verranno inserite "misure propedeutiche alla piena realizzazione delle riforme chiave delle amministrazioni centrali, quali lo sviluppo e l’acquisizione di competenze per il personale della PA e una significativa semplificazionesburocratizzazione delle procedure chiave".
"In Italia – osserva Andrea Farina, fondatore e amministratore delegato di Itway, azienda ravennate quotata a Milano e a Londra, a capo di un gruppo che opera a livello internazionale nel settore dell’information technology e della sicurezza informatica – c’è una sottovalutazione dell’importanza del problema, in parte dovuta alla mancanza di conoscenza e alla mancanza di fondi. Si investe sempre meno di quello che servirebbe, ritenendo la cybersecurity non fondamentale. In realtà non è vero né per le aziende private né per le aziende pubbliche e la pubblica amministrazione in senso lato: basti pensare quanto capitato a marzo al comune di Brescia, dove degli hacker hanno attaccato il sistema informatico chiedendo un riscatto di 1 milione e mezzo di euro. O si mettono in sicurezza i server pubblici o casi del genere si moltiplicheranno". "Fondamentale – prosegue Farina – è intervenire con i fondi nel Pnrr sia per creare una infrastruttura cloud nazionale, perché i dati sono un asset strategico, sia mettendo in sicurezza almeno le nostre informazioni sanitarie, dati sensibili per eccellenza".