Il problema di Sogei è stato “banale” e questa è la buona notizia. La ricostruzione è stata infatti chiara: nessun attacco cracker, nessun riflesso di una cyberwar, nessun ransomware. La causa di tutto è stata un banale, semplice, elementare, calo di tensione della rete elettrica. Un forte calo, non una semplice oscillazione, questo è chiaro. Ma resta un calo di tensione.
Bene, partiamo da qui. Perché è bastato un banale, semplice, elementare, calo di tensione della rete elettrica per:
- fermare il sistema di erogazione del Green Pass,
- fermare il sistema INPS di controllo dei Green Pass,
- fermare alcune funzionalità dell’app IO legate al Green Pass,
- fermare il sito dell’Agenzia delle Entrate,
- fermare il sito dell’Agenzia di Cybersicurezza,
- fermare il sistema di invio delle ricette mediche dematerializzate,
- e molto altro ancora.
Se dovevamo lanciare un messaggio ai cracker su come mettere in ginocchio l’Italia senza esplicitare che si voleva mettere in ginocchio l’Italia, il messaggio stesso è arrivato forte e chiaro: non servono DDoS, né malware di nuova concezione. Tutto sommato è invece sufficiente togliere la corrente.
Un calo di tensione
Immediatamente è partita una corsa al colpevole che, tipica di quei talk show che stanno dolosamente formattando la forma mentis del problem solving italiano, ben poco può fare per evitare che in futuro possa nuovamente capitare quanto accaduto in queste ore. Al di là di responsabili e di responsabilità, il dibattito pubblico dovrebbe chiedersi se l’accentramento delle risorse e delle responsabilità possa essere la giusta soluzione per un Paese che vuol correre sulla strada della trasformazione digitale.
Quel che bisogna chiedersi è se il problema sia stato nell’architettura del progetto o nella sua implementazione. Quel che è fondamentale chiedersi è se sussistano pericoli immediati al cospetto di un contesto bellico che più volte ha messo sul piatto possibili attacchi informatici, di fronte ai quali ci troviamo però disarmati per un banale, semplice, elementare, calo di tensione della rete elettrica. Quel che bisogna giocoforza chiedersi è se ora, quando stiamo correndo verso un sistema di cloud nazionale al quale la PA andrebbe ad appoggiarsi, non sia necessario valutare a fondo la resilienza dell’intero sistema di fronte ad ogni singola forma di rischio.
Così la stessa Sogei descrive l’importanza del proprio data center:
La gran parte dei nostri dati è custodita sulla Laurentina, quadrante sud di Roma. Nel mega data-center di Sogei, la società informatica controllata dal ministero dell’Economia. Pochi la conoscono, eppure è il cervellone d’Italia. Ha un’importanza strategica per il Paese, va tutelata come sito di rilevanza nazionale e protetto dagli attacchi informatici. Da qui passano tutti i dati dei contribuenti. Dalla fatturazione elettronica alle dichiarazioni precompilate dei redditi. […] A conti fatti Sogei conduce il Sistema Informativo della Fiscalità (SIF) per il Dipartimento Finanze di Fabrizia Lapecorella. […] Nel 2013 ha incorporato anche il ramo IT di Consip, gestisce la conduzione, l’evoluzione e la sicurezza dei servizi infrastrutturali della Corte dei conti e collabora con la Guardia di Finanza sviluppando soluzioni a supporto delle attività investigative del Corpo. Non solo. Sogei si occupa anche dell’anagrafe della popolazione residente (ANPR) che ha come committente il Ministero dell’Interno e ha realizzato anche il Portale pubblico delle vendite giudiziarie per il Ministero di Giustizia. Ma potrebbe sembrare riduttivo. Sogei ha realizzato anche il Sistema Tessera Sanitaria e il Fascicolo Sanitario Elettronico (FSE) che contabilizza ed archivia le spese sanitarie di ciascuno e le visite specialistiche da banco, nonché le spese delle Asl per la gestione diretta della salute delle regioni. Infine il sistema doganale e le piattaforme di gioco per l’Agenzia delle Dogane e dei Monopoli, l’intelligence e il controllo relativi alle merci che arrivano in dogana che consentono di tracciare le origini e il transito dei container.
E continua:
In Sogei girano ora 200 banche dati diverse. Su un’infrastruttura Data Center iper-convergente con l’ambizione di diventare un cloud nazionale. Nell’ultimo decreto Semplificazioni si parla apertamente di un costituendo polo nazionale dei dati. Sogei avrebbe tutte le carte in regola per diventarlo perché tutti i dati degli italiani sono già in suo possesso, magari con la collaborazione di aziende tricolori. Eppure si fa strada l’ipotesi di appaltare i servizi cloud della pubblica amministrazione a giganti come Google, Amazon e Microsoft che non a caso stanno aprendo degli hub nel nostro Paese attratti da una commessa che può valere fino a 6 miliardi.
L’utilità di un polo cloud nazionale, sovrano e autogestito, è decisamente centrale nel processo di trasformazione del Paese. Al tempo stesso di fronte a quanto accaduto c’è da chiedersi se ci siano modi diversi e se quanto accaduto possa essere davvero reso un unicum non ripetibile. Sogei è infatti al centro dell’alleanza con TIM Enterprise Market, CDP Equity e Leonardo per lo sviluppo del Polo Strategico Nazionale, con nomina arrivata soltanto a fine 2021.
Day after
Troppo facile cavalcare l’indignazione del day-after e poi dimenticare tutto, perché alla stregua di questo comportamento si costruisce il mantra per cui tutto cambia affinché nulla cambi. Invece bisogna seriamente ragionare sulle falle di un meccanismo che per un banale, semplice, elementare, calo di tensione della rete elettrica si è trovato fermo e si è trascinato appresso una serie di servizi essenziali e di utilità quotidiana.
Sogei S.p.A., “piattaforma digitale dell’Amministrazione finanziaria, affidabile per efficienza, solidità e sicurezza, partecipata al 100% dal Ministero dell’Economia e Finanze, per conto della Ragioneria Generale dello Stato“, ha passato brutti momenti sotto la pressione di un intero Paese che chiedeva spiegazioni. Non staremo qui a proporre dietrologie di cui altri potranno nutrirsi invece a piacimento: è fondamentale però sfruttare questo intoppo per chiarire e chiarirsi le idee su cosa significhi essere un Paese digitalizzato, di cosa sia la vera resilienza e di come l’accentramento di sistemi e funzioni non possa diventare la principale vulnerabilità di una nazione.