Da giorni si susseguono notizie, rumors, nuove fughe in avanti, circa una possibile decretazione in urgenza per fronteggiare, come definito dalla Premier Meloni, “un atto eversivo”, come i molteplici accessi indebiti alle banche dati dello Stato. Ma è necessario?
Accessi non autorizzati alle banche dati dello Stato
Cominciamo con il dire, semplicemente, “no”, non è realmente necessario ricorrere alla decretazione eccezionale per far fronte a criticità (purtroppo) note.
Basta scorrere la cronaca degli anni scorsi, per potersi rendere conto, concretamente, che episodi come quelli perseguiti, oggi, dalla Procura della Repubblica di Milano, non sono nuovi, anzi.
Si ripensi, tra gli altri, al “decreto Mastella”, sulla divulgazione delle intercettazioni telefoniche, per poi passare, negli anni, a “norme bavaglio”, che interessavano direttamente la stampa, rea di divulgare, anticipatamente, notizie di carattere investigativo.
Il punto oggi non è, a dire il vero, la mera disseminazione di notizie, più o meno d’interesse, in favore di “qualche eminenza grigia”, ma di un vero e proprio sistema di spionaggio organizzato
Sicuramente quanto “stupisce” sono i numeri che sono stati sollevati, nel migliaio di pagine dell’informativa della Procura della Repubblica di Milano, si parla – per esempio -di “15 Tera” di dati, nelle disponibilità di uno degli indagati.
A dire il vero non stupisce nemmeno la presenza di dipendenti dello Stato infedeli, ancorché appartenenti alle forze di polizia, perché è risaputo che, allo stato, senza un insider molte informazioni non sarebbero facilmente trafugabili, dal sistema d’indagine informatizzata o dal “serpico” dell’amministrazione finanziaria, per poi essere, quindi, disseminate.
Nuove norme in arrivo per i servitori dello Stato?
E quindi ci sarebbe bisogno davvero di nuove norme?
La tematica “è stata toccata piano” più o meno recentemente: il riferimento corre alla l. 90/2024.
Gli argomenti vengono coperti da normazione speciale (l. 121/1981, ma anche MOG 231), penale ordinario (tra gli altri, art. 615 ter c.p.p), norme transnazionali (direttive NIS e NIS2, per esempio), l’osservanza del GDPR e della “direttiva di polizia”. Questo giusto per citare qualcosa.
Ancora, ci sarà forse bisogno di una nuova entità di controllo?
Oddio, potrebbe apparire come una battuta ma non lo è. Talune figure politiche hanno già ipotizzato la necessità di istituire una “Agenzia per i dati”, a seguito dello spionaggio posto in essere (800.000 persone nel mirino).
Necessario? Ma no, suvvia: i dati sono informazioni e il paese ha ottimi servizi di intelligence, interno ed estero, raccordati da apposito Dipartimento, cui si aggiunge, data la materia tecnologica, l’Agenzia per la Cybersicurezza nazionale.
Ancora, a tutela dei dati vi è sempre l’autorità Garante per la privacy, che, per l’occasione, ha messo su una task Force tra i vari suoi dipartimenti.
Circa lo sviluppo di progettualità vi sono ancora altri soggetti sul piatto, dato il piano tecnologico, da considerare, infatti, da Agid al Dipartimento per la trasformazione digitale, cui si aggiungono, considerando la tematica bancaria (da cui tutto pare essere originato) anche associazioni di settore, coma ABI, o altre autorità indipendenti (per le parti eventualmente di competenza).
No, non occorre nemmeno una nuova agenzia, magari si un restyling delle comunicazioni tra i vari comparti, anche degli audit interni, magari più scrupolosi cui accompagnare adesione massiva, almeno per taluni soggetti pubblici, alla ISO 27001.
Le norme ci sono, se non sono di natura processual-penalistico, sono di tipo etico o tecnico, ma comunque, dato l’ambito, la materia è coperta da tutt’e tre.
Il rischio di un decreto sull’onda emotiva è quello di imbalsamare un settore vitale per la sicurezza stessa dello Stato.