Il Garante della Privacy comunica che in seguito alla pubblicazione del servizio ha avviato un’istruttoria sul caso e ha richiesto al gestore “ogni utile elemento alla piena valutazione del caso”. Intanto UnionCamere ha sospeso la funzione di compilazione automatica che permetteva di visionare e scaricare dati di aziende diverse da quella che si è loggata per il servizio
I clienti delle Fs potranno lamentarsi di persona con chi le amministra, basta seguire l’indirizzo e citofonare “Mazzoncini”. Idem quelli di Amsa e A2a e di multinazionali come Sky, Ikea, Siemens, Edison, Suzuki, Toyota e Luxottica. Qualche buontempone potrà suonare il campanello di Casaleggio, De Benedetti e Montezemolo o attaccarsi a quello del politico paracadutato ai vertici di società pubbliche. Il servizio è gratuito e privo di rischi, grazie al contributo di Palazzo Chigi e Camere di commercio. Volevano semplificare la vita agli imprenditori, hanno finito per esporre ai quattro venti i loro dati personali, comprese le residenze private, di milioni di amministratori, procuratori e consiglieri iscritti al Registro delle Imprese.
Merito di un portale istituzionale che regala all’Italia un bel primato: anche i sassi sanno che oggi, 25 maggio 2018, diventa operativo il General Data Protection Regulation (GDPR), il nuovo regolamento europeo che impone maggiori obblighi e cautele, nonché sanzioni fino a 10 milioni di euro ai gestori di dati che per evitarle stanno bombardando utenti e clienti di richieste a rinnovare il consenso. Il nostro Paese lo celebra con un data-breach di proporzioni epiche e dai risvolti inesplorati. A beneficio dei curiosi che s’annidano tra 200mila utenti mensili del sito e di chi volesse utilizzarli a fini commerciali propri o rivenderli a terzi. Magari dopo averli scaricati comodamente in blocco con un semplice script da ragazzini dell’Itis di Monza. Lo abbiamo fatto.
Il Paradiso degli opendata (involontari) si spalanca digitando www.impresainungiorno.gov.it , indirizzo del portale nato per rispondere a un decreto del 2008 che imponeva a tutti i comuni di dotarsi di uno Sportello unico delle attività produttive (Suap) telematico. Consente ai titolari d’impresa di sbrigare online pratiche e autorizzazioni senza doversi recare fisicamente gli sportelli. Lo ha realizzato Infocamere col sostegno di Union Camere, cioè degli imprenditori stessi, e dell’Associazione dei comuni (Anci), cioè dei contribuenti. L’iniziativa era e resta meritoria, salvo sbattere contro le disposizioni vigenti sul corretto trattamento dei dati e sulle nuove che sono un bel grattacapo per tutte le imprese. E ora, chi glielo dice che sono le prime vittime di una clamorosa leggerezza? Una nota ufficiale di Union Camere, preventivamente sollecitata dal fattoquotidiano.it, assicura che “nessuna criticità in ordine alla tenuta/protezione dei dati. Da molti anni le Camere di commercio gestiscono il registro informatico delle imprese italiane e gli standard di sicurezza sono i più elevati”. Ma è bastato un piccolo test a dimostrare il contrario. Si clicca sul bottone a destra del sito “accedi ai servizi”. Da qui in poi, è un gioco da ragazzi.
Se Snowden chiede una pratica edilizia
Il Codice dell’amministrazione digitale dice che per accedere ai servizi della PA si devono usare esclusivamente sistemi sicuri, come SPID o la CNS, ma il gestore del sito – prima falla – evidentemente non lo sa e consente di registrarsi come si vuole, senza un sistema di autenticazione. Noi lo facciamo usando il nome Edward Snowden, l’informatico e attivista statunitense che ha rivelato lo scandalo intercettazioni. Luogo e data di nascita sono su Wikipedia e di strumenti per calcolare il codice fiscale è pieno Internet. Il nostro Edward può ora presentare pratiche presso tutti i Comuni italiani convenzionati. Ne sceglie uno a caso, il Comune di Milano e segue le istruzioni. Clicca sul bottone “Compila una pratica” e arriva una pagina dove deve inserire i dati anagrafici dell’azienda. E qui siamo alla seconda falla.
Il servizio ha poi una funzione compilazione automatica del modulo, così che a Snowden basta inserire un codice fiscale aziendale (sono tutti pubblicati per legge nella homepage dei loro siti Internet) per vedersi comparire a schermo la relativa scheda anagrafica estratta dal Registro delle Imprese, con tutti i dati relativi al rappresentante legale dell’azienda. Potrà inserire, ad esempio, il codice fiscale di NTV – Italo treno: 09247981005. Cliccando sul bottone “recupera dati” magicamente otterrà l’indirizzo dell’abitazione di Luca Cordero di Montezemolo. Lo stesso può fare con la Casaleggio e associati per avere l’indirizzo di Davide Federico Dante Casaleggio e così via. Certo, si può anche fare tramite le visure camerali, ma bisogna accreditarsi e pagare lasciando traccia delle operazioni. Si può andare fisicamente allo sportello della Camera di Commercio, dove non chiedono documenti, ma richiede tempo e si paga per ogni pratica. Qui si fa tutto in rete, gratis e senza limiti. Ma ecco il terzo svarione che perfeziona il pasticcio: il data-breach, cioè la possibilità di scaricare, copiare e trasmettere in maniera massiva dati personali.
Il data-breach
casalingo, la reazione dell’ente
Scaricare a mano 6milioni di schede aziendali, l’intera banca dati delle Camere di Commercio, in effetti può risultare noioso. Fortunatamente Edward conosce Giggino, che frequenta la terza all’ITIS informatici di Monza che è un maghetto col Javascript. In quattro e quattr’otto Giggino gli prepara uno script che scarica diecimila record alla volta.
Ecco qui i primi diecimila in un file Excel, li manderemo a Antonello Soro, il Garante della privacy per sentire cosa ne pensa.
Ma è mai possibile che dati personali siano trattati con tanta leggerezza dalla società delle camere di Commercio? A sera chiama il dirigente di InfoCamere responsabile del servizio. Luca Candiani ci ringrazia della segnalazione e poi spiega che l’ente ha scelto di non limitare l’accesso a credenziali sicure perché “vista la scarsa diffusione di identità digitali tra gli italiani avremmo fortemente limitato l’operatività del servizio”. Eppure il governo e la sua Agenda digitale spingono da anni nella direzione opposta, a incentivare il più possibile la diffusione di sistemi di autenticazione sicuri come Spid e Cns. Resta allora da capire quanto la pretesa “operatività del servizio” faccia rima con i più sostanziosi incassi che un accesso non controllato garantisce ogni anno all’ente camerale.
L’esperto: “Se confermate, inadempienze gravi”
“Se le cose stanno in questi termini siamo davanti a una serie di inadempienze gravi”, spiega Fulvio Sarzana, giurista che da anni si occupa di diritti digitali e privacy. “Sembra potersi profilare una violazione del principio di accountability ovvero dell’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del nuovo quadro comunitario alla base del Regolamento Europeo in materia di protezione dei dati personali. Va ricordato che il Regolamento è in vigore dal maggio 2016 e dal maggio 2018 è solo prevista l’operatività in tutti i paesi dell’Unione. Ancora, va ricordato come l’adozione di misure di sicurezza per il trattamento dei dati personali volte ad evitare rischi di diffusione incontrollata di dati, sia oggetto anche di una specifica disposizione penale, come già previsto dall’art 169 del codice della privacy. E’ bene verificare con attenzione cosa sia successo”. Il Garante della Privacy ha aperto un’istruttoria.
PS 1- L’unico vero ostacolo che il nostro Edward ha incontrato sulla sua strada è stato al momento della registrazione: dopo aver fallito con diversi browser ha scoperto che il sito funziona solo con alcuni. Questo nonostante le linee guida per la realizzazione dei siti web della PA raccomandino di verificarne il funzionamento su tutti i browser più diffusi.
PS 2 – La sera prima della pubblicazione abbiamo segnalato la falla a UnionCamere che è il titolare del servizio per consentirle di prendere le giuste contromisure ed evitare eventuali abusi.