” In relazione ai nuovi scenari di rischio, alla crescente complessità dell’attività istituzionale caratterizzata da un intenso utilizzo della tecnologia dell’informazione, le pubbliche amministrazioni predispongono i piani di emergenza in grado di assicurare la continuità delle operazioni indispensabili per il servizio e il ritorno alla normale operatività “. Questo quanto stabilito dall’ art. 50 bis CAD, un documento in cui viene energicamente sottolineata l’inderogabile necessità da parte delle PA di organizzare la sicurezza dei propri dati e di realizzare procedure di emergenza per l’erogazione di servizi online.
Eppure, nonostante l’informatizzazione sia considerata lo slogan dei nostri tempi, sono poche le Pubbliche Amministrazioni che possono dichiararsi a tutti gli effetti figlie del Terzo Millennio e il divario tra buoni propositi e realtà dei fatti appare spesso incolmabile. Oltre a sottolineare la priorità di digitalizzare le PA attraverso un’adeguata normativa e soprattutto un’efficiente organizzazione sul fronte della sicurezza informatica, la recente riforma del Codice dell’Amministrazione Digitale ha inserito una disposizione dedicata espressamente alla continuità operativa e al disaster recovery, ulteriori misure per far fronte all’incerto scenario determinato da fatti catastrofici, come il recente terremoto emiliano.
Il piano, secondo quanto stabilito, sarebbe dovuto essere attuato entro il 25 aprile scorso. Il condizionale in questi casi è d’obbligo, dal momento che sono state davvero poche le Amministrazioni che hanno rispettato tale scadenza. Il motivo? Sicuramente il solito atteggiamento “anti-progresso” ha giocato un ruolo fondamentale, insieme ad un’interminabile serie di pretesti, tra cui la mancanza di fondi da investire nel progetto o la secondaria importanza dello stesso. Come si poteva facilmente immaginare ne è conseguita una drastica frenata nell’attuazione delle leggi sulla digitalizzazione e dematerializzazione, in particolare nel settore pubblico, anello debole per eccellenza in materia di sicurezza dei sistemi informatici.
Dopo aver criticato le mancanze di questo sistema è tuttavia necessario stilare una lista di priorità a favore dell’innovazione delle PA. Il primo passo è senza dubbio quello di rendere disponibili in modalità digitale i dati e i documenti raccolti, prodotti e archiviati per poterli consultare in qualsiasi momento. Non serve sottolineare che tali dati acquisiti e conservati nei sistemi informatici devono mantenere l’integrità, e di conseguenza l’affidabilità, delle informazioni pubbliche. Per raggiungere tale obiettivo è essenziale investire su misure di sicurezza adeguate, nell’ottica di prevenire e limitare i danni da intrusioni e accessi abusivi. Per evitare il rischio di diffusioni non autorizzate di informazioni, oltre a consentire un efficiente funzionamento dell’apparato burocratico, è indispensabile garantire la non interruzione nell’erogazione dei servizi online.
Piano di continuità e piano di disaster recovery sono progetti che non possono più godere di alcuna proroga. Il primo è la base per fissare gli obiettivi e i principi da perseguire, per descrivere le procedure per la gestione della continuità operativa, e contiene adeguate misure preventive, considerando le potenziali criticità relative a risorse umane, strutturali e tecnologiche. Con il secondo, invece, vengono stabilite le misure tecniche e organizzative nell’ottica di garantire il funzionamento dei centri di elaborazione dati e delle procedure informatiche rilevanti, all’interno di siti alternativi a quelli di produzione.
L’aspetto che lascia più perplessi è che nella PA dovrebbe già sussistere una cultura informatica legata alla business continuity piuttosto che al disaster recovery. Risulta difficile comprendere che gi enti in gran parte dei casi non abbiano mai affrontato la questione e soprattutto nel tempo non abbiano accumulato il necessario per procedere a piani di tutela dei dati tali da non mettere in difficoltà il singolo cittadino in caso di eventi infausti. Qualcuno ha avanzato l’idea secondo cui il cloud potrebbe essere la risposta “indolore” al rispetto dell’obbligo normativo, benché il ricorso a questa tipologia di servizio aprirebbe ben più ampi scenari rilevanti in merito alla sicurezza di accesso e riservatezza dei dati pubblici. Ma da qualche parte bisogna pur rifarsi…
Avv. Valentina Frediani
www.consulentelegaleinformatico.it