Server in tilt e processi bloccati: data breach nel sistema Giustizia?

Nelle primissime ore di mercoledì 14 Novembre migliaia di giudici italiani hanno ricevuto nella propria casella di posta elettronica il seguente messaggio di alert : “Sono stati interrotti i servizi informatici per tutti gli uffici giudiziari dei
distretti di Corte di Appello dell’intero territorio nazionale”.


Tradotto in termini pratici, i tecnici del ministero della Giustizia stavano avvisando i magistrati del blocco dell’accesso alle loro caselle di posta elettronica certificata (PEC) e ai sistemi informatici che stanno alla base del funzionamento del processo civile, il quale si svolge ormai quasi totalmente in maniera telematica. I capi degli uffici giudiziari venivano inoltre invitati a cambiare in via precauzionale le password di accesso alle utenze Pec utilizzate dai propri dipartimenti.
Alla luce dei fatti, quello che a primo acchito poteva apparire come un ordinario blocco di routine dovuto alla manutenzione dei server, si è trasformato ben presto in un vero e proprio campanello d’allarme. Stando alle
indiscrezioni provenienti da ambienti interni al CSM il motivo del blocco informatico andrebbe rinvenuto di fatto in una segnalazione partita dal fornitore dei servizi di Posta elettronica certificata (nel caso di specie Telecom, gestore dei server all’interno del centro dati di Pomezia). A conferma di ciò, durante una seduta del CSM, il procuratore generale della Cassazione Riccardo Fuzio si è esposto pubblicamente affermando che «non si è trattato di un disservizio del ministero» bensì con molta probabilità di un furto delle credenziali della posta certificata gestita da Telecom.
Tralasciando i comunque gravi disservizi arrecati al funzionamento della giustizia civile telematica (ed in parte riguardante anche quella penale), si pone qui l’attenzione su quella che appare la tematica che desta maggiore preoccupazione, ovvero la possibilità che ci sia stato un furto delle credenziali di accesso a migliaia di caselle di posta elettronica certificata e, di conseguenza, di una grande quantità di dati sensibili e giudiziari relativi ai processi.
La fattispecie, di una gravità inaudita per quanto concerne la riservatezza, la sicurezza e la credibilità della giustizia italiana, rientrerebbe a pieno titolo nel concetto di Data breach, così come è stato rielaborato all’interno del nuovo
Regolamento UE sulla Protezione dei dati (GDPR).
Cosa si intende per data breach ?
Il data breach, tradotto come “violazione dei dati personali” all’interno della versione italiana del GDPR (art.4, co.12) viene ad essere definito come “la violazione di sicurezza che comporta accidentalmente o in modo illecito la
distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.
Come arginare e prevenire i casi di data breach ?
Oltre agli importanti obblighi di notifica previsti dagli artt. 33 e 34 del GDPR, di cui non ci occuperemo nel presente articolo, la normativa europea pone delle linee guida da seguire per la prevenzione della violazione dei dati personali,
tra cui:
– Adozione di un protocollo di risposta da parte del titolare del trattamento dei dati, il quale deve predisporre
una procedura da seguire per gestire e risolvere eventuali episodi di data breach ;
– Utilizzo di un modello di sicurezza informatica efficiente ;
– Effettuare test periodici sul protocollo adottato per garantire che le procedure siano efficienti ed il personale
sia adeguatamente preparato ;
– Tenuta di un registro dei casi di data breach, sia effettivi che potenziali, allo scopo di determinare i fattori di rischio e misurare l’efficacia delle procedure adottate.
La responsabilità della prevenzione di tale fenomeno viene dunque posta sull’azienda che gestisce i dati, la quale delega il compito a figure espressamente previste dal GDPR: il “titolare del trattamento” (“controller”) e il “responsabile del trattamento” (“processor”). Tali figure sono tenute ad adottare misure di sicurezza effettive, da valutare caso per caso nel rispetto del principio di responsabilizzazione cd. risk based.
Nel caso in questione sarebbe infine auspicabile la creazione di una società controllata dallo Stato che si occupi della gestione dei server, nell’ottica del corretto funzionamento e della messa in sicurezza dei dati sensibili dei tribunali italiani.

Gennaro Volpe

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *