«Indicare nel dipendente in smart working la porta d’accesso all’operazione contro Lazio Crea è palesemente inconsistente». Non ha dubbi Stefano Fratepietro – esperto di cybersecurity, Ceo di Tesla Consulting e Chief information security officer di Be Group – nel chiedere di andare ben oltre le spiegazioni semplicistiche, per provare a capire cosa sia accaduto ma soprattutto come si possa rimediare ai danni della banca dati regionale laziale. «Nella Pubblica amministrazione – sottolinea – manca un elemento fondamentale in termini di cybersecurity: la consapevolezza di ciò che va fatto per mettere in sicurezza le strutture informatiche. Questo non significa comprare software, firewall, etc. come se siano normali forniture, nient’altro che oggetti immateriali da acquistare al più basso prezzo possibile. Un suicidio, in tutta evidenza». Per Fratepietro gli appalti pubblici in materia «sono sbagliati alla radice perché puntano al massimo ribasso, come se sia possibile mettere in sicurezza i dati stanziando una spesa massima prevista di 100, cercando però in tutti modi di chiudere a 30, 20 o 10. Una follia, perché non è possibile pensare di strutturare una sicurezza efficace in simili condizioni, senza uno straccio di strategia e di progetto, affidandosi a bandi non soltanto scritti male ma privi dei più elementari contenuti di base in materia. In due parole: non qualificati». «La cyber sicurezza – insiste – non va tanto al chilo, affrontata solo per dovere di firma da un personale privo di competenze sia tecnico-informatiche che manageriali. Quella nella Pubblica amministrazione assomiglia a un Palazzo cominciato a costruire dal settimo od ottavo piano, senza preoccuparsi minimamente delle fondamenta». Quanto a quella percentuale da brivido – 95% – indicata dal ministro per l’Innovazione tecnologica e la Transizione digitale come il totale dei server della Pa non sicuri, Fratepietro dice di non poter certo sapere come Vittorio Colao sia arrivato a determinarla ma ritiene che si tratti di una stima non lontana dalla verità. Del resto, sottolinea con trasparente amarezza, «nelle strutture pubbliche spesso il Data protection officer (Dpo), il responsabile della privacy, non ha sostanzialmente alcuna competenza reale. Ci sono casi di Comuni ben oltre i 100mila abitanti che hanno stanziato per questa figura una spesa lorda annua di 4mila euro… Se non fosse una tragedia, ci sarebbe da morire dalle risate». Per difendersi dagli attacchi informatici, il primo elemento cruciale è invece «la piena contezza di ciò che sta accadendo nei propri sistemi e questo nella Pa non c’è». Conclude Stefano Fratepietro: «È purtroppo siderale la distanza che emerge fra la preparazione dei cybercriminali e le nostre strutture pubbliche: se i primi lavorano ai progetti d’attacco per anni, la nostra Pa risponde con un’idea di assoluto dilettantismo e impreparazione». Aggiungiamo che nel caso di Lazio Crea due qualifiche chiave – il responsabile della cybersecurity e l’IT manager – risultano ricoperte dalla medesima persona. Com’è possibile e, domanda delle domande, chi controlla il controllore?   di Marco Sallustro