Colpo d’accelerata in Italia sulla cittadinanza digitale. Si parte con l’Anagrafe unica – entro il prossimo ottobre tutti i dati dei comuni confluiranno in un unico database – e si rilancia il progetto del domicilio digitale.
Un percorso inevitabile se vogliamo effettivamente digitalizzare l’Italia e la Pubblica amministrazione ma sul versante sicurezza e privacy, i cittadini potranno dormire sonni tranquilli? Questa Anagrafe unica comporterà dei rischi dal punto di vista informatico?
Ne abbiamo parlato con Cosimo Comella, direttore del Dipartimento tecnologie digitali e sicurezza informatica del Garante Privacy.
Key4biz. L’Italia parte con la realizzazione dell’Anagrafe unica. Ci sono rischi per la sicurezza e la privacy dei cittadini?
Cosimo Comella. Tutte le aggregazioni di dati sono sede di possibili vulnerabilità e quindi di lesione dei diritti dei cittadini. Non deve però spaventarci il fatto che si costituiscano raccolte centralizzate perché, se le misure di sicurezza sono particolarmente curate, la difesa risulta più efficace in quanto le risorse difensive, quindi le tecnologie per la sicurezza informatica, saranno centralizzate in pochi posti controllati piuttosto che distribuite in più di 8 mila sedi come avviene adesso per i Comuni
La scelta di accentramento pur presentando rischi connaturati come qualunque banca dati di quel tipo consentirà quindi di investire sulla sicurezza in modo importante in un numero minori di posti.
Più precisamente poi, l’Anagrafe nazionale della popolazione residente – ANPR – al momento prevede la derogazione di servizi di certificazione anagrafica ma non vuole dire che i Comuni si priveranno dei dati a loro necessari per tutte le altre funzionalità. Una buona parte di dati continuerà quindi ad essere protetta localmente.
Key4biz. Il Garante Privacy sta collaborando al progetto dell’ANPR. In che termini?
Cosimo Comella. La nostra è una collaborazione istituzionale. Siamo in quotidiano contatto con l’Agenzia per l’Italia digitale (tra gli enti coinvolti nell’operazione, ndr) secondo le procedure previste dal Codice di amministrazione digitale (CAD) con riguardo ai regolamenti tecnici e in generale previste dalla legge per tutti i decreti attuativi e gli atti regolamentari che riguardano la protezione dati.
Il combinato del Codice di protezione dati e del Codice di amministrazione digitale produce che tutti i regolamenti attuativi dell’Agenda digitale e del CAD debbano avere il parere del Garante Privacy.
Anche l’ANPR è stata e sarà formalmente sottoposto nella parte attuativa al parere del Garante. Su questi temi c’è stato un dibattito preliminare durato anni. Intanto è stato già reso un parere sul primo regolamento attuativo pubblicato a novembre scorso (dPCM 10 novembre 2014, n. 194).
ANPR sarà poi sottoposta anche ad audit di sicurezza con cadenza annuale, i cui risultati verranno inseriti nella relazione annuale del Garante alle Camere. Si tratta di una previsione dell’art. 62 del CAD.
La collaborazione è al momento più avanzata per il Sistema Pubblico per la gestione dell’Identità Digitale (SPID).
Key4biz. Come pensate di tutelare i cittadini contro il rischio di furti di identità digitale?
Cosimo Comella. Nelle prossime settimane renderemo i pareri sui regolamenti attuativi di SPID. Vediamo con favore questa iniziativa che consentirà ai cittadini italiani di fruire servizi potendo contare su un sistema di autenticazione gestito nei patri confini e non affidandosi al fornitore di social network o ad altri operatori che di fatto divengono i gestori delle identità degli utenti italiani.
Facendo una valutazione da tecnico informatico, vedo SPID come fattore importante di protezione dati, ma anche competitivo, di indotto e investimenti. Dal punto di vista della protezione dati, SPID è un sistema molto interessante perché a livello 2 o 3, che garantisce livelli di sicurezza più elevati, consente di intervenire in modo sicuro e standardizzato con una rete di fornitori certificati. Le amministrazioni e le aziende che useranno SPID a livello 2 e 3 aumenteranno il livello di sicurezza.
Key4biz. Come evitare il furto di identità digitale specie sui social network?
Cosimo Comella. Oggi è estremamente sconveniente usare credenziali tradizionali basate su username e password se si vogliono tutelare i propri dati personali anche non sensibili.
A mio avviso i trattamenti dei dati e l’accesso a banche dati su internet richiedono protezione di canali, crittografia e sistemi di autenticazione più sicuri che la semplice username e password non possono garantire.
Key4biz. Cosa fare allora?
Cosimo Comella. Prima cosa cercare di essere consapevole nell’interazione in rete di chi sia l’interlocutore. Verificare sempre i certificati digitali dei server con cui ci si collega. Un’operazione che può sembrare macchinosa ma che invece è a pochi click di distanza dalla normale esperienza di uso della rete.
Questa è una cosa importante perché il phishing è molto sofisticato: arrivano tante mail che propongono con tono suadente di seguire un certo link dove magari si ritrova riprodotto il servizio online della banca che normalmente si utilizza ma che in realtà è un falso. Ecco, l’unico modo per smascherare il falso è verificare l’identità digitale dei server.
Key4biz. E per chi accede da mobile?
Cosimo Comella. Questa operazione già poco agevole da desktop diventa più difficile nel contesto mobile. Andare a interagire da uno smartphone con interfacce del web per verificare i certificati può mettere in difficoltà l’utente.
Bisogna essere veramente prudenti e non istallare software a casaccio scaricando magari un’app che è gratuita. Nonostante le cautele che possono applicare i gestori degli store online c’è infatti spazio per far circolare software che fanno altro rispetto alle caratteristiche dichiarate. Il mio consiglio è quindi di installare solo ciò che è essenziale perché il contesto mobile si presta più del desktop alla frode.
E poi, specie quando si interagisce con servizi delicati a contenuto economico come quelli delle banche o dei circuiti di carte di credito, esercitare la massima attenzione e verificare più attentamente. Usare quindi app sviluppate e marchiate col brand della banca e dei servizi finanziari e non quelle di terze parti che possono garantire meno la genuinità del prodotto.
Key4biz. Parliamo di Big data, opportunità o timori?
Cosimo Comella. Sicuramente i Big data sono considerati una sorta di giacimento informativo. E’ possibile creare valore e lo vediamo con tutte le app disponibili per la gestione del traffico o per quei servizi della Pubblica amministrazione realizzati da terzi con l’uso dei dati raccolti. Dal punto di vista economico c’è sicuramente un indotto interessante ma a noi del Garante Privacy interessa che vengano rispettate le regole e che questa tendenza non si traduca in una sottovalutazione dei diritti degli individui interessati a cui i dati si riferiscono.
Tendenzialmente i dati resi disponibili sono dati non personali e quindi non riferibili a individui interessati, individuati o individuabili.
Il problema che ci preoccupa è il disegno di reidentificazione che è implicito in tanti dati set pubblicati per ricerca medica.
Key4biz. Privacy quindi a rischio per i dati sanitari?
Cosimo Comella. Qui la cosa è più inquietante. Ci entusiasma questa disponibilità di massa di dati però, in campi così delicati, possono esserci effetti negativi sugli interessati.
Questo è un tradizionale terreno di intervento del Garante con provvedimenti di blocco
Il problema sarà il dilagare di dati di salute ritenuti anonimi ma che in realtà non lo sono o che comunque sono facilmente collegabili alle persone. In Italia abbiamo avuto diversi casi.
Ci sono esempi di incroci tra banche dati elettorali e banche dati sanitarie usate per uso statistico.
La tripla di dati – Cap, data di nascita e sesso di un individuo – rinvia a un aspetto di single out nell’85% dei casi: quei dati si riferiscono a una sola persona se poi si riesce a incrociarli con una lista elettorale il gioco è fatto e ho identificato facilmente la persona.
Key4biz. I rischi sembrano tanti…
Cosimo Comella. Sì è vero per questa ragione bisogna maturare la consapevolezza che dietro ogni comportamento in rete ci possa essere la frode.
Non bisogna drammatizzare perché così facendo scoraggeremmo l’uso di strumenti quindi anche la crescita della consapevolezza. Le giovani generazioni sono abili nell’uso di tutte le app ma forse non hanno piena consapevolezza dei rischi tuttavia hanno tutte le capacità tecniche e la predisposizione per capire certi messaggi
E’ su questo che bisogna investire perché avere una generazione di smanettoni superficiali non ci porta da nessun parte.
Contare invece su ragazzi abili e consapevoli delle tecnologie sarà un vantaggio quando saranno utenti di servizi o lavoratori professionisti perché porteranno nel sistema questa consapevolezza del rischio e dei diritti.