Ecco perché per privacy e sicurezza nasce già vecchio il nuovo Sistema pubblico della connettività
Dal punto di vista normativo, il progetto del SPC sembra non essere più attuale. Rientra nelle attività che l’Italia aveva avviato per adempiere ad un piano generale e comune dell’UE, quello dell’Agenda Digitale. Proposte poi concretizzatesi in un corpus normativo che sarà in vigore entro maggio 2018 (con il Regolamento Generale sulla Protezione dei Dati, il Regolamento EIDAS, la Direttiva n. 680/2016 e la Direttiva NIS). Ma nel progetto del SPC di questo profondo processo di rinnovamento legislativo che sta investendo tutta l’UE sul tema della sicurezza informatica e delle infrastrutture non v’è traccia.
28 Ottobre 2016
Guglielmo Troiano, Senior Legal Consultant - P4I
Sono diversi anni che l’UE avverte differenti livelli di preparazione tra gli Stati membri sulle tematiche di sicurezza informatica, che ha comportato una frammentazione degli approcci ed un livello disomogeneo di protezione degli utenti. In generale, secondo l’UE, vi è incapacità degli Stati membri a garantire un livello elevato di sicurezza delle reti e dei sistemi informativi.
Sempre secondo l’UE, ciò è dovuto alla mancanza di obblighi comuni imposti agli operatori di servizi essenziali e ai fornitori di servizi digitali, che rende impossibile la creazione di una visione globale ed efficace di cooperazione a livello dell’Unione sulla sicurezza informatica.
Ebbene, con l’avvio delle forniture per i servizi del Sistema Pubblico di Connettività ( qui e qui alcuni approfondimenti) in particolare sui servizi di cloud computing e sicurezza dell’infrastruttura, è più che legittimo porsi il dubbio che si stiano progettando servizi informatici che, in pratica, non stiano confermando l’analisi negativa dell’UE.
Quali sono infatti le normative di riferimento su cui si basa il SPC? A ben vedere sembrano essere essenzialmente il CAD (Codice dell’Amministrazione Digitale) e le Regole tecniche e di sicurezza per il funzionamento del SPC ( DPCM 1 aprile 2008 ).
Dal punto di vista normativo, il progetto del SPC sembra non essere più attuale. Rientra nelle attività che l’Italia aveva avviato per adempiere ad un piano generale e comune dell’UE, quello dell’Agenda Digitale. In quel piano si narrava di misure che la Commissione avrebbe proposto relativamente alla sicurezza delle reti e dell’informazione. Proposte poi concretizzatesi e divenute oggi essenzialmente due regolamenti e due direttive: il Regolamento Generale sulla Protezione dei Dati, il Regolamento EIDAS, la Direttiva n. 680/2016 e la Direttiva NIS. Un corpus normativo frutto di anni di consultazioni, coerente, ben strutturato, già in vigore, la cui piena applicabilità avverrà entro il maggio 2018.
Ma nel progetto del SPC di questo profondo processo di rinnovamento legislativo che sta investendo tutta l’UE sul tema della sicurezza informatica e delle infrastrutture non v’è traccia.
Se i servizi del SPC fossero già attivi e funzionanti sarebbero da considerare nell’ambito di ciò che andrà rivisto ed adeguato entro il maggio 2018 alle nuove normative dell’UE. Ma così non è. La progettazione dei servizi del SPC inizia ora, a fine 2016, e non vi è dubbio che, nella migliore delle ipotesi, i servizi andranno in produzione a ridosso o successivamente al maggio del 2018. Per cui, è lecito chiedersi, data l’assenza di qualunque riferimento alle nuove norme dell’UE, se la PA e gli assegnatari delle gare si stiano adoperando per una progettazione dei servizi conforme alle norme comuni.
Al momento sappiamo solo che vi sono dei contratti quadro per la fornitura dei servizi di connettività (per la fornitura di servizi di trasporto dati in protocollo IP, servizi di sicurezza di rete e servizi di comunicazione VoIP) assegnati a Tiscali, BT Italia e Vodafone Italia, per la fornitura dei servizi Cloud, assegnati a Telecom Italia, Poste Italiane, Postel, Postecom e HPE Service Italia e, infine, i contratti per i servizi di gestione delle identità digitali, di autenticazione per l’accesso ai servizi e di sicurezza applicativa, assegnati a RTI (composto da Finmeccanica, IBM Italia, Fastweb e Sistemi Informativi) ( qui il comunicato di CONSIP )
Inoltre, sappiamo anche che ogni amministrazione potrà stipulare contratti esecutivi con i rispettivi fornitori ( qui l’elenco delle PA con le assegnazioni effettuate sinora).
I servizi SPC non si sottraggono alle problematiche dei servizi offerti in modalità Cloud, erogati con catene di fornitura e subfornitura, che pongono particolari problematiche sulla sicurezza ed il trattamento dei dati. In particolare in riferimento a ciò che attiene alla definizione dei ruoli (titolare, responsabile, contitolare) e delle responsabilità, in funzione dei modelli di deployment nonché la tipologia di Cloud utilizzato (SaaS, Iaas o PaaS). Nei documenti resi disponibile da Consip (si segnala in particolare il documento “Allegato D – Schema di contratto esecutivo – Lotto 1” disponibile qui ) non si rinvengono previsioni adeguate per regolamentare queste tematiche. I riferimenti relativi al trattamento dei dati sono generici, con previsione di impegno delle parti ad improntare il trattamento dei dati ai principi di correttezza, liceità e trasparenza, con particolare attenzione a quanto prescritto riguardo alle misure minime di sicurezza da adottare. Null’altro.
Gli studi e le analisi della Commissione UE sul Cloud hanno confermato invece che un contratto che individua correttamente ruoli, adempimenti e relative responsabilità, rappresenta ormai un elemento imprescindibile, in particolare quando i dati trattati sono di particolare sensibilità e rilevanza.
Ancor meno, sappiamo se la PA si sia preoccupata di pianificare la verifica di aderenza dei servizi SPC al pacchetto di norme comuni che entro il maggio 2018 saranno obbligatorie.
Per esempio, non sappiamo se la PA, su cui incombe l’obbligo dell’interoperabilità tra i sistemi al fine di poter convertire, in ogni momento e senza aggravi di costo, la tecnologia alla base del sistema informativo in uso estraendo da essi i dati, abbia chiarito questo aspetto con tutti i fornitori dei servizi SPC. Ciò potrebbe comportare che dai vari fornitori SPC siano adottate soluzioni che non consentono l’estrazione e lo scambio dei dati tra le varie PA che utilizzano i servizi.
Sarà quindi interessante attendere gli sviluppi del tema nei prossimi mesi. La PA dovrebbe rivedere i rapporti con i fornitori e adeguare tutta la struttura del SPC alle nuove norme UE entro il maggio 2018.
>> L’autore sarà uno dei relatori della FPA Academy Premiun e parlerà di questi temi nei webinar di FPA Academy Premium che si terranno i prossimi 22 novembre e 6 dicembre