Privacy, in Italia ci sono stati 4 data breach al giorno nel 2019

A dirlo sono i numeri della relazione del Garante della privacy. Che invoca un cloud pubblico e mette in guardia sui rischi di riconoscimento facciale e captatori informatici

Quasi quattro data breach al giorno. Nel 2019 in Italia, tra aziende pubbliche e private, al Garante della privacy sono arrivate 1.443 segnalazioni di incidenti informatici che hanno messo a rischio la sicurezza delle informazioni personali. E che, come predica il regolamento europeo per la protezione dei dati (Gdpr), devono essere notificati entro 72 ore dalla scoperta. Solo un anno prima, nel 2018, se ne erano registrati 650, di cui 630 dopo il 25 maggio, data in cui è entrato in vigore il Gdpr, che ha reso obbligatorie le segnalazioni.

A tracciare il quadro è l’ultima relazione del collegio dell’Autorità garante per la protezione dei dati personali, guidata da Antonello Soro. Che, di fronte a queste statistiche, lancia l’appello per un cloud pubblico. “Le implicazioni, in termini di sicurezza nazionale, di alcuni data breach dimostrano anche come la stretta dipendenza della sicurezza della rete da chi ne gestisca i vari snodi e “canali” induca a ripensare il concetto di sovranità digitale. E di fronte alla delocalizzazione in cloud di attività rilevantissime chiediamo al Parlamento e al Governo se non si debba investire in un’infrastruttura cloud pubblica, con stringenti requisiti di protezione, per riversarvi con adeguata sicurezza dati di tale importanza”. Qualcosa che Francia e Germania hanno avviato nel progetto Gaia-X, per creare un polo alternativo ai colossi del cloud statunitensi e cinesi.

I numeri e le nomine

Nel 2019, si legge nella relazione, sono state ordinate 147 ispezioni, svolte anche con il contributo del Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di finanza. Dalle banche, per proteggere i flussi di dati verso l’anagrafe dei conti correnti, ad aziende di marketing, per verificare abusi nella profilazione dei clienti. Dal Sistema statistico nazionale (Sistan) allo Spid, il sistema pubblico di identità digitale.

E non bastassero questi numeri a evidenziare la criticità di un collegio scaduto ormai più di anno fa (il 19 giugno 2019), prorogato di fronte all’inania della politica e a regole che premiano il candidato più anziano, ci sono le partite che il Garante ha dovuto affrontare negli ultimi mesi. A cominciare da quelle per regolare gli strumenti tecnologici utili al contact tracing dei contagi da coronavirus. Detto altrimenti, la app Immuni, su cui il Garante ha dato indicazioni a cui il governo si è attenuto per proteggere i dati dei cittadini.

I dossier più delicati

Ma non solo: le 25 pagine che condensano la relazione del collegio sono dense di episodi in cui l’Autorità ha dovuto dire la sua. Dallo smart working, che per Soro “non deve rappresentare l’occasione per il monitoraggio sistematico e ubiquitario del lavoratore”, al contrasto al telemarketing selvaggio, che ha prodotto due delle sanzioni più salate dell’anno: 27,8 milioni a Tim e 11,5 milioni a Eni luce & gas. Un altro milione di multa è stato comminato a Facebook per il caso Cambridge Analytica, mentre su TikTok, la piattaforma social made in China che spopola tra i più giovani, il Garante ha ottenuto una task force di indagine a livello europeo.

E ancora: è Soro a richiamare a un corretto uso dei dati per profilare gli evasori fiscali, garantendo il diritto di rettifica ed evitando di mettere nel mirino cittadini in regola con il Fisco. A mettere in guardia sull’uso di captatori informatici per le intercettazioni, che si distinguono per la “capacità invasiva e dell’attitudine a esercitare una sorveglianza ubiquitaria, con il rischio peraltro di rendere più difficile il controllo ex post sulle operazioni compiute sul dispositivo-ospite”, tanto che in Germania la Corte costituzionale ha opposto il veto. Ad avvertire sul pendio scivoloso verso cui si instrada l’applicazione alla leggera di tecnologie come quella del riconoscimento facciale. Proprio il Garante ha censurato l’uso di un sistema di videosorveglianza caratterizzato dal riconoscimento facciale a Como, perché mancavano le basi legali, come raccontato in un’inchiesta di Wired.

“Una volta cessata questa difficile stagione, avremo forse imparato a rapportarci alla tecnologia in modo meno fideistico e più efficace, mettendola davvero al servizio dell’uomo”, è la riflessione di Soro: “Se c’è qualcosa che, forse, non tornerà più come prima, sarà il nostro rapporto con il digitale, di cui abbiamo compreso tutta l’ambivalenza e, dunque, la necessità di valorizzarne le straordinarie potenzialità “generative” contrastandone gli effetti nichilisti o anche solo regressivi”. La palla ora passa alla politica, che sul digitale e sulla funzione del Garante privacy non può più prendere tempo.