Il 2020 è stato l’anno in cui, volenti o nolenti, tutta la popolazione mondiale ha dovuto fare i conti con lo smartworking ed i servizi Digitali. Nella maggior parte dei casi, questi servizi facevano parte del complesso della Pubblica Amministrazione, basti pensare al fascicolo sanitario elettronico, praticamente obbligatorio per ottenere qualsiasi ricetta durante la pandemia COVID-19, l’applicazione IMMUNI, l’applicazione per il Cashback e chi più ne ha, più ne metta. Se le grandi aziende hanno ormai capito, da diversi anni, quanto sia importante la sicurezza informatica, in quanto un eventuale furto di dati andrebbe ad incidere pesantemente sul bilancio aziendale, tale sensibilità non è forse ancora caratteristica della Pubblica Amministrazione, quanto meno in Italia.
Luca Mercatanti, esperto di Sicurezza Informatica, attivo fin dal 2007 nel settore Digital, ha lanciato un allarme in merito all’attuale situazione di sicurezza sui portali della P.A. in Italia.
Oltre il 60% dei portali della Pubblica Amministrazione hanno gravi problemi di sicurezza. Basti pensare che circa 10.000 siti della PA sono basati su CMS gratuiti (il che, è sicuramente un bene per le tasche dei Cittadini), ma la metà di questi non sono assolutamente aggiornanti, esponendo quindi migliaia, se non milioni, di dati personali e sensibili alla mercé di chiunque. Violare un CMS non aggiornato, infatti, è un’operazione che può compiere anche un ragazzo delle scuole medie o superiori: i software in grado di sfruttare le vulnerabilità informatiche sono disponibili gratuitamente in Rete e bastano pochi minuti per sottrarre centinaia di migliaia di dati.
Quanto affermato da Luca Mercatanti all’interno del suo Blog trova riscontro anche nel rapporto ufficiale di CERT-AGID, in cui si si legge che:
A fronte dei 20.050 portali Istituzionali sottoposti a monitoraggio solo 9.965 (49.7%) utilizzano un CMS tra i più diffusi (WordPress, Joomla, Drupal, etc…). Di questi, 2.738 (13.7%) portali Istituzionali, utilizzano un CMS aggiornato all’ultima versione disponibile alla data di monitoraggio, in 4.631 (23.1%) utilizzano una versione non aggiornata mentre per 2.596 (12.9%) la configurazione era tale da non rendere possibile il rilevamento della versione.
La scelta di utilizzare, nella maggior parte dei casi, un CMS Open Source e gratuito come WordPress, è sicuramente un vantaggio da molti punti di vista, prima di tutto per l’economicità di una scelta di questo tipo, che sicuramente non guasta alle tasche dei cittadini. Inoltre, utilizzare delle piattaforme di questo tipo, permette, grazie alla community di programmatori, di avere a disposizione un portale sempre aggiornato e con meno falle di sicurezza possibile, sempre che la piattaforma venga aggiornata, cosa che però non accade, esponendo invece i dati di milioni di cittadini alla disponibilità di qualsiasi hacker malintenzionato.
Il problema non riguarda però solamente i portali con grossi problemi di Sicurezza Informatica, ma anche quelli che, da un giorno ad un altro, smettono di funzionare. Prendendo infatti dal rapporto ufficiale CERT-AGID gli indirizzi dei siti Web istituzionali analizzati, si scopre che su 6 piattaforme, 2 erano offline, 3 vulnerabili a potenziali attacchi informatici e solamente uno era in “piena regola”.
Abbiamo quindi chiesto a Luca Mercatanti cosa ne pensasse dell’attuale situazione e se questa potesse essere un rischio per i Cittadini:
È vero che la maggior parte dei portali della Pubblica Amministrazione ha grossi problemi di Sicurezza Informatica, ma dobbiamo sottolineare che si tratta di servizi che, nella maggior parte dei casi e fortunatamente, sono esclusivamente di informazione e che non contengono dati personali o dati sensibili dei Cittadini. Molti dei siti Web vulnerabili ad attacchi informatici sono relativi a progetti, bandi ed informazioni di questo tipo. Sicuramente la situazione non è da sottovalutare, in quanto mostra quanto sia poca l’attenzione della PA alla Cybersecurity. Inoltre, anche se i portali vulnerabili non contengono dati sensibili, possono essere utilizzati per compiere attacchi informatici ben più dannosi, potendosi nascondere, gli attaccanti, dietro siti Web governativi, che quindi possono ispirare fiducia.