I nostri dati sanitari, sulle malattie che abbiamo avuto, le operazioni fatte. Il nostro nome, domicilio, i cambi di residenza. Tutta la nostra vita, insomma, nei dati affidati a una pubblica amministrazione italiana, è in totale balia di un attacco hacker. Sono pochissime le amministrazioni in grado di difenderli. L'accusa senza appello è contenuta in uno studio di 90 pagine dell'università La Sapienza di Roma, il Cyber Security Report 2014.

La base è un questionario inviato a circa 300 pubbliche amministrazioni a livello nazionale, regionale e locale. Le domande servivano a capire lo stato delle difese e la consapevolezza dell'amministrazione nei confronti della protezioni dei dati personali dei cittadini. Il risultato è stato sconfortante, soprattutto per gli enti pubblici meridionali: "Ci sono lacune importanti e radicati sia in termini di cultura della sicurezza che di organizzazione", si legge nel rapporto. "Ne consegue una situazione in cui solo pochissime amministrazioni si possono ritenere consapevoli del rischio cibernetico, mentre gli errori e la quantità di migliori pratiche ignorate sottolineano la profonda arretratezza culturale, in particolare, rispetto al valore strategico ed economico delle informazioni che potrebbero essere trafugate dai sistemi informativi di una pubblica amministrazione".

Alcuni numeri di esempio. Solo 22 amministrazioni centrali su 42 (in teoria dovrebbero essere quelle meglio difese) hanno raggiunto un punteggio sufficiente per livelli di difesa, consapevolezza del rischio e organizzazione. Nessuna Regione (su 50) supera il livello minimo per questi tre valori, mentre 14 tra quelle analizzate hanno una situazione particolarmente grave. Situazione anche peggiore per i Comuni, dove sono 68 su 79 quelli in condizioni davvero disastrose, ma nessuno supera la sufficienza. Risultati simili ai Comuni per le Asl, mentre gli ospedali fanno un po' meglio. In generale, per Comuni e Regioni la situazione peggiora man mano che si va da Nord a Sud, mentre non ci sono grandi differenze per gli altri enti locali.

Il rapporto, per ovvie ragioni, non cita le amministrazioni in questione. Come esempi virtuosi, segnala invece i casi di Inps, Corte dei Conti, Regione Friuli Venezia Giulia. L'idea di fondo però è che incombe sull'Italia un grosso rischio sicurezza, che minaccia direttamente i nostri dati personali come cittadini e assistiti. Come evidenziato da una recente inchiesta di Repubblica.it, se i pirati mettono le mani sui nostri dati personali, presenti nelle pubbliche amministrazioni, ci possono rubare l'identità, fare truffe; persino attivare a nostro nome un finanziamento, di cui poi le banche ci chiederanno di pagare le rate.

Come se ne esce? "Ciò che manca e che serve è un'organizzazione della sicurezza a livello nazionale. Siamo il solo Paese avanzato a non avere un Cert nazionale, cioè un centro di raccolta dei pericoli informatici e di pronta risposta al problema", spiega Stefano Zanero, esperto di sicurezza e ricercatore per il Politecnico di Milano. "In teoria il Cert sarebbe partito il mese scorso; ma l'ha fatto solo a livello teorico e normativo. Non c'è ancora, di fatto, un referente nazionale che si occupi di gestire questo aspetto. Così, se all'estero altri esperti rilevano un pericolo informatico riguardante l'Italia sono ancora costretti a segnalarlo a colleghi e docenti con cui hanno instaurato un rapporto personale", continua.

L'Italia insomma sta ancora prendendo sotto gamba il pericolo informatico, come denunciato anche dal rapporto: si legge che stanziamo zero euro per questo problema, a livello nazionale, mentre altri Paesi gli dedicano un budget miliardario. ALESSANDRO LONGO - La Repubblica-
14 gennaio 2015