Si può fare sicurezza informatica a costo zero? O, comunque, senza ulteriori costi? Ma si, certo. Nella PA italiana è possibile, basta promulgare DDL con ulteriori importanti obblighi in merito ma inserendo, all’ultimo punto, la famigerata “Clausola di invarianza finanziaria“:
Art. 18
(Clausola di invarianza finanziaria)
- Dall’attuazione della presente legge non devono derivare nuovi e maggiori oneri a carico della finanza pubblica. Le amministrazioni pubbliche interessate provvedono all’adempimento delle disposizioni della presente legge con le risorse umane, strumentali e finanziarie disponibili a legislazione vigente.
Cosa significa, in sostanza? Che le Amministrazioni Pubbliche dovranno accogliere quanto indicato nella normativa ma senza beneficiare di finanziamenti ulteriori per farlo. Quindi, nel caso del DDL “Cybersecurity” RECANTE DISPOSIZIONI IN MATERIA DI REATI INFORMATICI E DI RAFFORZAMENTO DELLA CYBERSICUREZZA NAZIONALE, le PA coinvolte –quindi tutte le PA centrali, le regioni e le province autonome di Trento e Bolzano, i comuni con una popolazione superiore ai 100.000 abitanti e, comunque, i comuni capoluoghi di regione, nonché le società di trasporto pubblico urbano con bacino di utenza non inferiore ai 100.000 abitanti e le aziende sanitarie locali” e “sono altresì incluse le rispettive società in house.”– dovranno provvedere alla segnalazione “senza ritardo, e comunque entro il termine di massimo ventiquattro ore dal momento in cui ne sono venuti a conoscenza” gli incidenti informatici. Se non lo fanno, nel caso di reiterata inosservanza dell’obbligo, sono previste sanzioni da 25.000 a 125.000€.
All’art. 13 della bozza del DDL in oggetto (attendo il testo definitivo approvato), si invitano le PA a individuare una struttura, anche tra quelle esistenti, che dovrà provvedere:
a) allo sviluppo delle politiche e procedure di sicurezza delle informazioni;
b) alla produzione e all’aggiornamento di un piano per la gestione del rischio informatico;
c) alla produzione e all’aggiornamento di un documento che definisca ruoli e organizzazione del sistema per la sicurezza delle informazioni dell’amministrazione;
d) alla produzione e all’aggiornamento di un piano programmatico per la sicurezza di dati, sistemi e infrastrutture dell’amministrazione;
e) alla pianificazione e all’implementazione di interventi di potenziamento delle capacità per la gestione dei rischi informatici, in coerenza con i piani di cui alle lettere b) e d);
f) alla pianificazione e all’implementazione dell’adozione delle misure previste dalle linee guida per la cybersicurezza emanate dall’Agenzia per la cybersicurezza nazionale;
g) al monitoraggio e alla valutazione continua delle minacce alla sicurezza e delle vulnerabilità dei sistemi per il loro pronto aggiornamento di sicurezza;
e, in queste strutture, sarà individuato il “Referente per la cybersicurezza“ che “in ragione delle qualità professionali possedute” dovrà anche fungere da “punto di contatto unico dell’amministrazione con l’Agenzia per la cybersicurezza nazionale in relazione a quanto previsto dalla presente legge e dalle normative settoriali in materia di cybersicurezza cui è soggetta la medesima amministrazione. A tal fine, il nominativo del referente per la cybersicurezza è comunicato all’Agenzia per la cybersicurezza nazionale.”
Alcuni aspetti non sono nuovi, poiché già da molti anni è previsto che le PA adottino le Misure Minime di Sicurezza ICT per le PA, il cui adeguamento è a “cura del responsabile della struttura per l’organizzazione, l’innovazione e le tecnologie, come indicato nel CAD (art. 17 ) o, in sua assenza, del dirigente designato.”
Altri invece, rappresentano una interessante novità –come quella dell’istituzione del Referente unico per la Cybersecurity in ogni PA– che vedremo se avrà più “fortuna” di altre figure (si, parlo degli RTD: chi volesse saperne di più può leggersi “Una lettera aperta al Direttore dell’ACN sulla questione ICT nelle PA“).
Ma qual’è il problema? Alla fine, se ci pensiamo bene, non c’è niente di nuovo e niente che non debba essere, o quantomeno “dovrebbe essere”, già così. Del resto, le PA hanno come mission offrire servizi ai cittadini e, per farlo, devono trattarne i dati personali. Dati che, così come i servizi e le piattaforme ICT necessarie per espletarli, devono essere protetti da occhi indiscreti e per i quali deve essere garantita la cosiddetta “triade” della Confidenzialità, Disponibilità, Integrità.
La questione purtroppo è ben descritta in alcuni documenti, tra cui la già ampiamente citata “Relazione della commissione parlamentare d’inchiesta sulla digitalizzazione e l’innovazione della PA“, a cui di recente la stessa Corte dei Conti nell’ambito del PNRR sembra averne confermato la sostanziale validità ancora oggi (il grassetto è mio):
Problemi di governance, mancanza di competenze, soprattutto manageriali, carenza di indicatori di risultato che permettano di valutare la qualità dei progetti di digitalizzazione, eccesso di spesa indirizzata alla manutenzione dei sistemi esistenti anziché alla loro evoluzione, effetto lock-in, confusione normativa. […] La mancanza di competenze adeguate, soprattutto nei livelli apicali, e una concezione desueta del digitale, visto come ancillare, di servizio e non come strategico, porta al rischio sistematico di impiego inefficiente di denaro pubblico, in alcuni casi vero e proprio spreco.
a cui la stessa Relazione offre preziosi e condivisibili suggerimenti per risolvere queste criticità:
è auspicabile che la spesa di sviluppo e innovazione tecnologica nei prossimi anni aumenti e, dati gli ampi margini attuali di risparmio di spesa che può derivare dalla dematerializzazione e digitalizzazione di processo sarebbe inopportuno non investire in questo senso, ma la precondizione consiste nell’immettere una massiccia dose di competenze nella PA in modo da agevolare il cambio culturale necessario ad una trasformazione evitando che la spesa pubblica sia solo acquisto di tecnologia.
a cui però, purtroppo, anche nel Consiglio dei Ministri del 25 Gennaio 2024, stante la clausola di invarianza finanziaria, anche questo Governo sembra proprio non voler dare seguito.
Politicamente credo che sia un segnale sbagliato, poiché l’impressione è comunque quella di un ambito –la sicurezza informatica– con cui si deve fare i conti ma su cui non si vuole investire. Qualcosa, insomma, di “fastidiosamente necessario” da fare nel modo meno peggiore possibile a costo zero.
Il tutto proprio mentre l’Azienda Sanitaria Regionale della Basilicata, ennesima PA, ha subìto un attacco informatico con gravi conseguenze per l’erogazione dei servizi ai cittadini. Chissà se anche il costo di questi “attacchi” sarà senza “nuovi e maggiori oneri a carico della finanza pubblica.”