Sembra incredibile, ma nel sito web dedicato alla Carta di identità elettronica (Cie), il Ministero dell’Interno presenta un’opzione piuttosto inusuale nel descrivere le “Modalità di acquisizione foto” indicando al solerte cittadino digitale l’alternativa fra portare una fototessera cartacea o una “fotografia su supporto digitale USB”.
In che modo questa previsione può dirsi coerente non solo con le misure minime di sicurezza ICT contenute nella relativa circolare AgID, ma anche con le più elementari nozioni di cybersecurity?
L’impiego delle chiavi USB è escluso o fortemente limitato in qualsiasi organizzazione, e la gestione dei supporti rimovibili è un punto critico per ogni disciplinare d’uso dei dispositivi informatici. All’interno dei sistemi di gestione della sicurezza delle informazioni occorre sviluppare procedure dedicate per trattare questo aspetto, e il motivo è duplice. Da un lato, le informazioni che transitano su tali supporti possono, in ragione della natura stessa dei dispositivi, essere facilmente fuori dal controllo dell’organizzazione. Dall’altro lato, le chiavi USB costituiscono un vettore per l’azione di malware soprattutto se queste non sono censite e verificate preventivamente (e periodicamente). E una volta che la chiavetta è collegata ai sistemi, può facilmente comprometterli.
Considerate le minacce richiamate, sono di conseguenza diffuse delle buone pratiche di igiene digitale quali la disabilitazione delle porte USB o il divieto di impiego di chiavi USB non previamente autorizzate (e cifrate), che però in alcun caso contemplano una possibilità diffusa di impiego incontrollato di dispositivi non selezionati né controllati.
Viene da chiedersi dunque come sia possibile che ogni Comune abbia accettato (e accetti) tale opzione senza aver segnalato un’anomalia così palese.
Certamente, se si continuano a pagare cifre irrisorie per dei DPO spesso anche multi-incarico, viene difficile pensare che questi siano stati adeguatamente coinvolti o possano mai concretamente esserlo. Silentium est aureum, ma in caso di funzioni di sorveglianza come quella del DPO è tutt’altro che auspicabile in quanto comporta il venir meno della continuità d’azione.
In sede di valutazione di impatto, viene il dubbio che tale elemento di rischio non sia emerso. O se è emerso, il dubbio si sposta sulle modalità per cui sia stato possibile valutare il rischio come accettabile e quali contromisure siano mai state previste. Anche perché la sicurezza che deve essere garantita riguarda aspetti fondamentali quali l’identità digitale del cittadino e i sistemi informatici dei comuni, per cui possono prodursi impatti significativi nei confronti di una larga scala di soggetti interessati anche in ragione del volume e della qualità dei dati personali coinvolti.
