Sogei down, dunque risorta. Tutto a posto, o forse no? È opportuno esplorare la vicenda con un approccio critico minimo. Minimo come quelle misure di sicurezza obbligatorie previste dalla Circolare AGiD 2/2017 non sempre rispettate (qualcuno ricorda il disastro informatico della Regione Lazio?), vigilate o con un responsabile chiaramente individuato.
Dal punto di vista delle comunicazioni ai cittadini – e dunque agli utenti e agli interessati – alla diffusione delle notizie dell’indisponibilità dei servizi c’è stato un tweet al limite del surreale, in cui “Sogei comunica di non essere sottoposta ad alcun attacco cyber e che i servizi sono momentaneamente non disponibili per problemi tecnici”.
Surreale per due ordini di ragioni: per il dire ciò che non è; per la carenza di dettagli, soprattutto in considerazione del data breach occorso. Ma ciò che a prima vista appare insensato, acquisisce un senso peculiare forse nel Paese in cui l’arabesco e non la retta è la linea che passa tra due punti.
Non solo. Anche l’Agenzia delle Entrate ha annunciato l’imminente emissione di un provvedimento di irregolare funzionamento “non appena Sogei avrà provveduto alla riattivazione dei servizi e dei collegamenti”. Tutte le opportune e significative omissioni nelle comunicazioni istituzionali e l’impiego di espressioni che invocano sempre esclusioni di responsabilità quali il caso fortuito o la forza maggiore, portano il retrogusto amaro della strategia difensiva. Fatto che si riscontra essere sempre meno gradito al cittadino digitale, e che ha l’effetto di far venir meno la fiducia riposta in tutte quelle digitalizzazioni spesso realizzate soltanto a metà (ovverosia: per strumenti).
Certamente, ripetere innanzi al fatto compiuto ceci n’est pas une violation de données può essere interessante come velleitario sforzo artistico, ma è una reazione decisamente poco conforme alle prescrizioni normative in materia di protezione dei dati personali. Perché un’indisponibilità – pur temporanea – dei dati che transitano per Sogei – fra cui: portali dell’Amministrazione finanziaria, servizi di fatturazione elettronica, Green Pass, ricette elettroniche, Immuni – non può che essere un data breach che, per estensione e gravità, è suscettibile di presentare un rischio elevato per gli interessati e di conseguenza tutti gli obblighi di comunicazione di cui all’art. 34 GDPR.
A meno che, ovviamente, non si voglia svolgere un esercizio di bispensiero affermando ad esempio che l’interesse fiscale è allo stesso tempo prevalente e giustifica la compressione di altri diritti ma il suo funzionamento sistematico non deve essere oggetto di garanzia.
