È ormai in fase di definizione un provvedimento per limitare e contrastare gli accessi abusivi alle banche dati dello Stato. A più riprese, infatti l’Italia si è dimostrata assolutamente non in grado di reagire tempestivamente a questa minaccia. Per riscrivere un nuovo capitolo della sicurezza cibernetica nazionale è dunque servito un aggiornamento in primo luogo normativo.
Un nuovo pilastro della sicurezza informatica nazionale
Il Governo ha stilato le nuove misure per contrastare, maggiormente, gli accessi abusivi alle banche dati dello Stato. Misure pensate soprattutto per alcuni pubblici ufficiali infedeli, che, nel caso dell’agenzia di investigazione Equalize, con sede in via Pattari a Milano, per 1.200 euro al mese si sono venduti alla banda “degli spioni” di mezza Italia. Dunque è quasi pronto il provvedimento del Governo, firmato dal Sottosegretario Alfredo Mantovano, Autorità delegata alla Sicurezza della Repubblica. Il testo è ora in esame nelle Commissioni riunite Affari Costituzionali e Trasporti della Camera dei Deputati.
Le intromissioni indebite, con annessi rischi per la sicurezza nazionale, sono infatti divenute una vera emergenza nel nostro Paese.
Del resto, lo scorso novembre, la stessa Agenzia per la cybersicurezza nazionale (ACN) aveva lanciato un monito. Monito, che aveva trovato un seguito con la redazione e la pubblicazione delle ‘Linee guida per il rafforzamento della protezione delle banche dati rispetto al rischio di utilizzo improprio‘.
Lo schema del DPCM, la novità
Nel dettaglio, il provvedimento mira a introdurre tra gli incidenti consistenti in “Azioni sugli obiettivi” una fattispecie originariamente non prevista, ossia “accesso non autorizzato o con abuso dei privilegi concessi”.
Il DPCM risponde all’urgente necessità di innalzare il livello di sicurezza nazionale nello spazio cibernetico, mediante la previsione di una fattispecie inclusiva di tutte le attività, anche non intenzionali, di accesso ai dati, che, sebbene condotte dall’interno delle reti, risultino prive di autorizzazione o comunque abusive, in quanto esorbitanti rispetto ai presupposti, ai limiti, alle condizioni e alle finalità dell’autorizzazione, e, quindi, illegittime e potenzialmente dannose. La definizione di accesso non autorizzato o con abuso dei privilegi concessi fa riferimento anche a parametri quali- quantitativi, per consentire ai soggetti inclusi nel perimetro di selezionare esclusivamente le minacce significative e rilevanti.
Lo schema normativo
Da questo punto di vista si è scelto lo strumento del DPCM (ex. Art 17 Legge 400/1988), per andare a modificare l’Allegato A al decreto del Presidente del Consiglio dei ministri 13 aprile 2021, n. 81. Il DPCM 81/2021 è il Regolamento in materia di “notifiche degli incidenti aventi impatto su reti, sistemi informativi e servizi informatici”.
Regolamento la cui base normativa si trova nell’Articolo 1, comma 2, lettera b), del D.L. 21 settembre 2019, n. 105, convertito, con modificazioni, dalla Legge 18 novembre 2019, n. 133.
Ebbene, con la nuova bozza di provvedimento – Atto del Governo 255 (A.G. 255) – si andrà a ampliare tutta la disciplina di riconoscimento degli incidenti. E nello specifico di quegli incidenti contro:
- le reti, i sistemi informativi e i servizi informatici delle Pubbliche Amministrazioni che sono nel perimetro di sicurezza nazionale cibernetica (PSNC). Fattispecie che va ad attuare il D.L. 105/2019.
La novità è che lo schema di decreto del Presidente del Consiglio in esame (A.G. 255) approfondirà l’elenco di merito. E così, finalmente, si introdurrà tra gli incidenti aventi impatto sui beni ICT che devono essere segnalati alle autorità competenti, l’accesso non autorizzato ai dati digitali. Oltre all’accesso non autorizzato ci sarà anche quello con abuso dei privilegi concessi, dall’interno della rete.
Gli evidenti limiti di fondo
Come hanno dimostrato i recenti e reiterati attacchi dei criminal hacker contro il ‘Sistema Paese’, in Italia – rispetto alla complessità di queste sfide – restano ancora dei grandi passi da compiere. Non ultimo, proprio per l’indicatore che ha rappresentato il fenomeno reiterato dell’accesso alle banche dati istituzionali. Il tutto, nonostante queste ultime dovrebbero essere protette ad un livello massimo.
In effetti, come riporta Key4biz, le intrusioni hanno scalfito il Sistema Informativo Interforze (SDI), gli archivi di SIVA, SERPICO e del FISCO. E insieme, dell’Anagrafe Nazionale Popolazione Residente (ANPR), dell’INPS e dell’Anagrafe dei conti correnti bancari.
A maggior ragione – ed è qui che sono sorti ulteriori interrogativi – se ancora al 2024 mancavano degli alert (un sistema di monitoraggio) pronti a scattare a fronte di ingressi non autorizzati nei sistemi. Nessuna traccia, inoltre, di controlli incrociati a campione, né di rotazioni delle responsabilità.
Così come completamente assente era qualsiasi modalità che manteneva la presenza degli ingressi utilizzando password usa e getta come per l’otp bancario.
Insomma, l’auspicio è che si possa passare dalle parole ai fatti. Conseguentemente, l’obiettivo generale è che l’Italia si dimostri più rapida ed efficiente su queste riposte.
English (US)