Obbligo disaster recovery per le PA? Scaduto dal 25 Aprile

Organizzare la sicurezza dei dati e dei documenti delle PA e realizzare procedure di emergenza per l’erogazione di servizi on line sono ormai priorità  alle quali non è più possibile concedere alcuna proroga. Nell’era dell’informatizzazione a 360 gradi e delle PA digitalizzate la presenza di una normativa adeguata e di un’efficiente organizzazione sul fronte della sicurezza informatica deve occupare i primi posti della lista delle spese da affrontare. In uno scenario a dir poco incerto, soprattutto sotto il profilo degli eventi naturali basti pensare al recente terremoto in Emilia – poter contare su un sistema informatico efficiente ed organizzato, in particolare quando si parla di Enti pubblici che, primi tra tutti hanno l’obbligo giuridico di essere preparati dal punto di vista informatico oltre che fisico, è assolutamente fondamentale. In questi momenti non appare per niente scontato ricordare che all’interno del testo de D. Lgs n. 82/2005 la recente riforma del Codice dell’Amministrazione Digitale ha inserito una disposizione dedicata espressamente alla continuità  operativa e al disaster recovery. A conferma di quanto detto, l’art. 50 bis del CAD sostiene che: “in relazione ai nuovi scenari di rischio, alla crescente complessità  dell’attività  istituzionale caratterizzata da un intenso utilizzo della tecnologia dell’informazione, le pubbliche amministrazioni predispongono i piani di emergenza in grado di assicurare la continuità  delle operazioni indispensabili per il servizio e il ritorno alla normale operatività “.  Con tale documento il Ministro per la Pubblica amministrazione e l’innovazione si impegna ad assicurare l’omogeneità  delle soluzioni di continuità  operativa definite dalle diverse Amministrazioni e ad informarne con cadenza almeno annuale il Parlamento. Come spesso accade, tuttavia, il divario tra teoria e pratica è abissale e nonostante il termine previsto per l’attuazione del piano fosse il 25 aprile scorso, sono in poche le Amministrazioni che hanno rispettato tale scadenza. Il risultato, com’era prevedibile è stata una drastica frenata nell’attuazione delle leggi sulla digitalizzazione e dematerializzazione, soprattutto nell’ambito del settore pubblico, in molti casi fanalino di coda quando si tratta di sicurezza dei sistemi informatici. Eppure basterebbero pochi step per raggiungere questo obiettivo e diventare, a tutti gli effetti, PA del Terzo Millenio. La prima cosa da fare è rendere disponibili in modalità  digitale i dati e i documenti raccolti, prodotti e archiviati in modo da poterli consultare in qualsiasi momento e indipendentemente dal verificarsi di eventi naturali dalla portata catastrofica. I dati acquisiti e conservati nei sistemi informatici devono, neanche a dirlo, mantenere l’integrità , e di conseguenza l’affidabilità , delle informazioni pubbliche. Allo stesso modo è indispensabile che i sistemi informatici abbiano adeguate misure di sicurezza, nell’ottica di prevenire e limitare i danni dovuti a intrusioni e accessi abusivi. E’ inoltre di primaria importanza evitare il rischio diffusioni non autorizzate di informazioni, oltre a consentire un efficiente funzionamento dell’apparato burocratico, condizione raggiungibile attraverso la non interruzione nell’erogazione dei servizi on line. E’ necessario, dunque che le PA definiscano due piani: quello di continuità  e quello di disaster recovery. Il primo fissa gli obiettivi e i principi da perseguire, descrive le procedure per la gestione della continuità  operativa e contiene adeguate misure preventive, considerando le potenziali criticità  relative a risorse umane, strutturali e tecnologiche. L’altro, invece, stabilisce le misure tecniche e organizzative con il fine di garantire il funzionamento dei centri di elaborazione dati e delle procedure informatiche rilevanti, all’interno di siti alternativi a quelli di produzione.