Tecnologia

Libero mail e Virgilio in blackout: senza misure di sicurezza indispensabili, il Paese rischia la paralisi

Sono ormai trascorsi quattro giorni dall’interruzione dei servizi di posta elettronica di Libero e Virgilio. Con un primo messaggio, i due provider informavano i propri utenti che, “a partire dalla notte del 23 gennaio 2023 si stanno verificando disservizi sull’infrastruttura a cui fanno capo i servizi web Libero e Virgilio, in particolare la posta elettronica” individuando la causa del problema in “un disservizio all’interno del nostro datacenter”. Per poi precisare, in una seconda comunicazione, che il blackout sarebbe riconducibile a “un bug del sistema operativo” di una nuova infrastruttura di storage fornita da un vendor esterno, che avrebbe compromesso il corretto funzionamento del servizio di posta elettronica.

Quanto accaduto è oggettivamente imbarazzante. Non meno delle giustificazioni addotte dai provider, che tentano un po’ maldestramente di salvare la faccia additando come responsabile quel vendor esterno al quale hanno affidato lo storage delle caselle di posta elettronica di milioni di utenti. È evidente, però, che Libero e Virgilio – o meglio, Italiaonline S.p.A., la società che gestisce entrambe le piattaforme – hanno poche scusanti per quanto sta succedendo.

Anche ammettendo che il disservizio sia dovuto a una causa accidentale esterna, non si può non rilevare l’inadeguatezza delle procedure di continuità operativa che la società avrebbe dovuto garantire, by design, nella fase di passaggio al nuovo sistema di storage. E vogliamo sperare che esistano solide politiche di backup per evitare che i dati degli utenti divengano irrecuperabili. Ed è comunque fuor di dubbio che l’incidente sia qualificabile come violazione dei dati personali, dal momento che l’indisponibilità dei dati, sia pur temporanea, rientra nella nozione di data breach prevista dal Gdpr. Qualcosa senz’altro non ha funzionato nella gestione su larga scala dei dati degli utenti di tali servizi e ciò è senz’altro gravissimo.

Ma sarebbe forse il caso di ricordare anche che i servizi offerti da Libero e Virgilio sono spesso utilizzati non solo da utenti privati, ma anche da professionisti che hanno improvvidamente deciso (per trascuratezza, ignoranza o mancata volontà di spendere un minimo di risorse sulla sicurezza dei propri dati e su quelli dei propri clienti) di affidare la propria attività lavorativa a un servizio di posta elettronica non business oriented e non legato a un dominio privato. La culpa in eligendo e la culpa in vigilando costituiscono principi cardine nella scelta di un fornitore di servizi digitali e tali principi devono caratterizzare la delicata selezione dei fornitori che tratteranno digitalmente i dati personali propri e della propria clientela.

Sarebbe il caso che gli avvocati, i medici e gli altri professionisti coinvolti in questo incidente, in quanto titolari del trattamento, si interroghino sulla necessità di notificare il data breach al garante per la protezione dei dati personali, tanto più che i dati personali in questione potrebbero appartenere a categorie particolari (la prescrizione medica, la prenotazione di una visita, etc.) o avere natura di dati giudiziari. Senza contare le questioni deontologiche ravvisabili nella scelta poco accurata di questi servizi.

Certo sappiamo che i rischi esistono e che gli incidenti informatici accadono, ed è giusto anche sottolineare che non si ha memoria di altri episodi di questo tipo nella storia dei due provider italiani, vittime oggi di un increscioso episodio di data breach. Per singolare coincidenza, nella mattinata del 25 gennaio, anche i servizi online di Microsoft sono rimasti in down in diverse parti del mondo. Con la differenza che, in questo caso, pur se di dimensioni globali, la vicenda ha avuto poca risonanza mediatica, perché l’incidente è stato risolto in fretta, grazie senz’altro alla predisposizione di misure adeguate di disaster recovery e business continuity.

Resta una certa amarezza nel pensare che vorremmo tutti liberarci dallo strapotere dei “Gafam” (acronimo che indica complessivamente i 5 provider statunitensi più influenti e cioè Google, Amazon, Facebook-Meta, Apple e Microsoft), ma se i provider nostrani nello sviluppo di servizi di carattere ormai essenziale dimenticano di predisporre misure di sicurezza indispensabili, il rischio è che si paralizzi il Paese. Per questo è utile, oggi, puntare con pazienza su strategie serie, affidabili e durature di sovranità digitale nazionale (ed europea) che permettano finalmente al Sistema Paese di liberarsi dalla dittatura digitale in atto e di poter guardare a un futuro di maggiori tutele per i diritti e libertà individuali che – a causa di limiti infrastrutturali e culturali innegabili – non sono a oggi garantiti né da una parte né dall’altra, per motivi totalmente diversi.