Data breach Agenzia delle Entrate: siamo veramente consapevoli di quanto sia accaduto?

Non era una notizia di cronaca nera, questo però non può giustificare tanta indifferenza da parte dei cittadini. Se fossimo tutti in grado di capire la gravità di quanto è accaduto non staremmo qui a guardare.

Il riferimento è all’enorme bug che ha permesso indistintamente, a tutti i soggetti abilitati a operare sul portale Entratel, di consultare i dati del cosiddetto “spesometro” e delle liquidazioni IVA di qualsiasi contribuente, semplicemente digitandone il codice fiscale o, in caso di intermediario abilitato, di vedere anche i dati relativi a tutti suoi assistititi. Un breach di cui ancora non si conoscono i limiti temporali.

Qualcosa dunque non ha funzionato nel Sistema Paese su cui si basa la fatturazione elettronica (e non solo) in un contesto generale di indifferenza o forse rassegnazione.

Il sistema è stato momentaneamente bloccato, con l’obiettivo di arginare i danni, mentre i Presidenti della Commissione di Vigilanza sull’Anagrafe Tributaria, Portas e dell’Authority italiana per la protezione dei dati personali stanno in qualche modo provando a fare la “voce grossa”, ma equivale un po’ a piangere sul latte versato.

Non è un fatto unico nel suo genere purtroppo, già nel 2008 fu data notizia della diffusione illegittima dei dati relativi alle dichiarazioni dei redditi on-line (sebbene allora il malfunzionamento fosse stato circoscritto a un ristretto arco temporale).

In risposta all’accaduto l’Autorità Garante dei dati Personali aveva imposto all’Agenzia delle entrate un’articolata serie di misure, tecnologiche e organizzative, per innalzare i livelli di sicurezza degli accessi all’Anagrafe tributaria. Anche all’epoca la notizia non sembrò scalfire l’opinione pubblica.

Questa totale indifferenza verso i propri dati personali è probabilmente frutto di una mancata alfabetizzazione digitale, che tra l’altro si pone come un dovere istituzionale, come già previsto dal CAD (Codice dell’Amministrazione Digitale), ad oggi totalmente inattuato. Il bug reale, più che nel singolo sistema, è da ricercare invece nella capacità di lettura e attuazione della trasformazione digitale raccontata in Piani Triennali nei quali della sicurezza informatica, in mezzo a ripetuti e svogliati slogan, non c’è traccia.

L’indifferenza nei confronti della realtà digitale ci viene imposta anche dalla politica. Basti ricordare le imbarazzanti pillole di democrazia elettronica suggerite dal M5S senza tener conto dei problemi di sicurezza tipici del voto elettronico o altri episodi di violazione della privacy che mettono a nudo la fragilità delle nostre reti.

La sicurezza informatica è dunque un argomento che non scuote l’opinione pubblica, neppure quando gli stessi contribuenti sono i diretti interessati.

Esiste un articolo nel già citato CAD che dovrebbe guidare ogni scelta di digitalizzazione in ambito pubblico: l’art. 51, il quale da ormai da più di 10 anni prevede inutilmente che con specifiche regole tecniche “sono individuate le soluzioni tecniche idonee a garantire la protezione, la disponibilità, l’accessibilità, l’integrità e la riservatezza dei dati e la continuità operativa dei sistemi e delle infrastrutture”. Queste regole tecniche però non sono mai state adottate, non solo, servizi delicatissimi di gestione dei dati vengono affidati con procedimento di tipo “monopolistico”. Tale logica, accentrata e non sottoposta a costante controllo e a salutare alternanza, certo non è utile a garantire un presidio corretto dei nostri dati.

Alcune fondamentali regole sarebbero anche in vigore: il Codice per la protezione dei dati personali (D. Lgs. 196/2003) e anche il Regolamento Europeo 679/2016 (GDPR), la cui piena esecutività è prevista dal 25 maggio 2018, nonostante questo prevale la più totale indifferenza, anche a fronte del salatissimo quadro sanzionatorio previsto in caso di violazione (fino a 20 milioni di euro).

Vogliamo veramente rassegnarci all’assenza di regole?

In prossimità degli adempimenti privacy previsti dal Regolamento Europeo è questo l’esempio che le nostre istituzioni centrali vogliono dare?

Interrogativi che non rivolgiamo solo agli addetti ai lavori, ma a tutti i cittadini affinché prendano coscienza del fatto che vita reale e vita digitale non possono continuare a essere percepite come due entità parallele. Qui si parla dei nostri dati, ossia della sicurezza delle nostre vite.

Cookie	Durata	Descrizione
ApplicationGatewayAffinity	session	This cookie is set by the Laravel Framework. This cookie is used for managing browsing sessions. It enables keeping the web browser traffic assigned to single server.
ARRAffinity	session	ARRAffinity cookie is set by Azure app service, and allows the service to choose the right instance established by a user to deliver subsequent requests made by that user.
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
viewed_cookie_policy	1 year	The cookie is set by the GDPR Cookie Consent plugin to store whether or not the user has consented to the use of cookies. It does not store any personal data.

Cookie	Durata	Descrizione
ApplicationGatewayAffinityCORS	session	No description available.
ARRAffinitySameSite	session	No description available.
BIGipServerfront_contenuti_statici	session	No description
captcha-cookie	1 day	No description
cookielawinfo-checkbox-pubblicita-e-marketing	1 year	No description

Cookie	Durata	Descrizione
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_1975075_20	1 minute	Set by Google to distinguish users.
_gat_gtag_UA_92775180_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	16 years 3 months 8 hours	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
vuid	2 years	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.

Cerchi altre informazioni?

Sei nel posto giusto!

+39 0832 256065

Segreteria

Direzione

PEC

Ufficio Comunicazione

Ufficio Stampa

Le nostre sedi

Lecce

Sede principale

Milano

Sede secondaria

Roma

Sede secondaria

Biella

Sede secondaria

Rassegna stampa e newsletter