La (in)sicurezza informatica viaggia veloce: le notizie di falle scoperte nei sistemi informatici si rincorrono ed è impossibile non parlarne, vista la gravità e la portata dei molti casi che balzano agli onori della cronaca. E’ il turno del buco nella piattaforma dell’Agenzia delle Entrate, che riguarda moltissimi contribuenti. Ma cosa è successo? E cosa possiamo fare? Noi Sicurezza prova a dare delle risposte in questo articolo.
Buco piattaforma Agenzia delle Entrate: cosa è successo
Il 25 settembre 2017 si è diffusa la notizia che nei giorni precedenti si era scoperta una falla nella piattaforma dell’Agenzie delle Entrate. La falla riguarda la sicurezza – o meglio, la riservatezza di dati sensibili – ed è di proporzioni enormi: stando a quanto riportato dal Corriere della Sera, il buco nella piattaforma dell’Agenzia delle Entrate consentiva a chiunque avesse credenziali del portale (commercialisti e contribuenti) di spiare i dati di altre persone.
Il (facile) sistema per accedere ai dati fiscali dei contribuenti
Una volta effettuato l’accesso, era sufficiente disporre del codice fiscale di una persona con obbligo di trasmissione telematica delle fatture per accedere ai suoi dati fiscali (dati molto sensibili). Non solo: non erano presenti solamente i suoi dati, ma naturalmente anche quelli di clienti e fornitori collegati al contribuente! O, nel caso di un commercialista, dei dati dei suoi assistiti…
La reazione di Agenzia delle Entrate
Alla scoperta della falla nella piattaforma dell’Agenzia delle Entrate, è finita sotto accusa Sogei, la società che si occupa della gestione del servizio telematico. Ernesto Maria Ruffini – direttore di Agenzia delle Entrate – ha immediatamente chiesto una relazione ai vertici di Sogei. Ma non finisce qui, perché vogliono vederci chiaro sia Giacomo Portas (presidente della Commissione di Vigilanza sull’Anagrafe Tributaria) che Antonello Soro (garante Privacy).
Causa buco, la piattaforma dell’Agenzia delle Entrate è rimasta in manutenzione da venerdì 22 settembre: sarebbe dovuta tornare operativa il 25 settembre, ma così non è stato perché ancora in attesa della risoluzione della falla. Il 26 settembre, lo spesometro – il portale di Agenzia delle Entrate – è tornato parzialmente online, senza però importanti funzionanità. Per questo motivo, l’Agenzia delle Entrate ha concesso una proroga dal 28 settembre al 5 ottobre della scadenza per presentare gli adempimenti fiscali.
Sottovalutazione del livello di sicurezza informatica
Questo caso può essere visto come perfetto esempio di sottovalutazione del rischio correlato alla sicurezza informatica in Italia: sia a monte – Pubblica Amministrazione – che a valle (le aziende private, soprattutto quelle di piccole e medie dimensioni). Come reagire?
Pretendere che imprese pubbliche e aziende private siano sicure
E’ necessario farlo perché tutte queste realtà pubbliche e private (sia grandi che piccole) gestiscono dati sensibili dei cittadini (e di altre aziende): tanto per fare un esempio, è come se le banche gestissero i nostri soldi senza avere dei sistemi di sicurezza efficienti. Il problema è che è molto più difficile comprendere il basso grado di sicurezza dei dati perché sono immateriali…è molto più facile per il cittadino medio vedere che una banca senza bussole e metal detector non risponde a normali requisiti di sicurezza.
Ma in questo caso l’Unione Europea ci viene in aiuto perché a maggio 2018 debutterà il nuovo il nuovo Regolamento Europeo in materia di trattamento dati personali: tutte le aziende saranno chiamate a rispondere di mancata protezione dei dati sensibili aziendali e dei propri clienti/cittadini privati.
Come proteggere i propri dati: la sicurezza informatica gestita
Dal momento che si annunciano sanzioni molto più aspre di quelle attuali, le aziende italiane devono adottare una strategia di difesa dei dati sensibili: cosa non affatto scontata, soprattutto per le piccole e medie aziende, che non possono disporre in azienda di esperti in materia di sicurezza informatica e protezione dei dati personali.
Esistono però soluzioni di Cyber Security (o meglio, di Sicurezza Informatica Gestita), offerti da aziende specializzate che erogano servizi in materia di sicurezza informatica di pc e reti aziendali, utilizzando un approccio diverso da quello della semplice vendita di antivirus e firewall, con l’obiettivo di difendere le piccole e medie imprese da attacchi informatici e furti di dati sensibili.
Per approfondire il tema della Sicurezza Informatica Gestita nelle aziende, chiedi maggiori informazioni:
CHIEDI INFORMAZIONI