Ovunque si verifichino danni ai dati inerenti i servizi on-line delle PA, è difficile stabilire le responsabilità poiché molto spesso diverse sono le componenti (e le percentuali) della colpa. Vogliamo allora tentare di esplicitare quanto laconicamente statuito dalla citata norma enumerando gli aspetti (tecnici e no) di cui tener conto
Le violazioni più numerose si osservano a carico delle istituzioni scolastiche: 280 eventi di intrusione registràti nello scorso anno a carico di 278 nomi a dominio.
In seconda posizione, come valore assoluto, si trovano i comuni (seppure su base percentuale si tratti di poco più dell’1% degli 8.050 siti presi in considerazione): 92 eventi di intrusione nel 2015 a carico di 85 nomi a dominio.
Numeri più contenuti per i siti di Governo e regioni: nel 2015 infatti sono stati registrati 2 eventi di intrusione a carico di 2 diversi ministeri e 1 evento a carico di una Regione italiana.
Gli episodi rilevati sono di tipo cosidetto “defacement”, cioè sostituzione della home page originale del sito web preso di mira con una pagina solitamente celebrativa della bravura dell’autore del gesto o, più raramente, con una pagina a sostegno di una causa sociale o politica.
E dunque non può essere considerato affidabile neppure un sito che, benché non pubblicamente compromesso nella sua pagina iniziale, sia a esempio uno spacciatore di messaggi SPAM di posta elettronica. Da una ricerca effettuata tra novembre e dicembre 2015, è risultato che su 8.195 indirizzi abbinati ai siti delle PA che sono stati analizzati (attraverso quasi 600,000 interrogazioni inviate a 73 diversi servizi di liste nere), 881 sono presenti in una o più blacklist. Questo significa che il 10.75% degli indirizzi considerati, rispondenti a siti web della pubblica amministrazione, hanno una cattiva (in qualche caso cattivissima) reputazione on-line.
Linee guida per la sicurezza
Infine il legislatore, il tassello più importante. Le norme devono essere chiare ed esplicite. La norma di riferimento, oltre le già citate Linee guida per i siti web delle PA del 2011, è il Codice dell’amministrazione con l’articolo 51 Sicurezza dei dati, dei sistemi e delle infrastrutture delle pubbliche amministrazioni. Purtroppo nessun concreto cenno alla sicurezza nelle recenti Linee guida di design per i siti web della PA, presentate lo scorso 21 novembre a Torino dall’Agenzia per l’Italia Digitale. Trattano appunto esclusivamente di design. Ulteriore occasione per ribadire il concetto è stata còlta dalla recente legge 124/2015 (carta della cittadinanza digitale) con la quale il Parlamento delega il Governo a individuare strumenti per definire il livello minimo di sicurezza dei servizi on-line delle amministrazioni pubbliche. Le aspettative a questo punto sono tutte per la nuova stesura del Codice dell’amministrazione digitale, arricchita anche dai tanti contributi raccolti da ForumPA, affinché stabilisca la redazione di Linee guida che trattino esplicitamente le fattispecie della sicurezza nella presenza sul web della PA.