Saranno verificate le modalità del trattamento dei dati degli italiani. Le PA invitate a diversificare i prodotti antivirus.
Istruttoria del Garante privacy
Con il Doc-Web 9754469 del 18 marzo scorso, il Garante per la protezione dei dati personali ha informato di aver aperto una istruttoria per valutare i potenziali rischi relativi al trattamento dei dati personali dei clienti italiani. Effettuato dalla società russa che fornisce il software antivirus Kaspersky.
Allarme di attacchi cibernetici contro utenti italiani
L’iniziativa – intrapresa d’ufficio dall’Autorità – si è resa necessaria in relazione agli eventi bellici in Ucraina, allo scopo di approfondire gli allarmi lanciati da numerosi enti italiani ed europei specializzati in sicurezza informatica sul possibile utilizzo di quel prodotto per attacchi cibernetici contro utenti italiani.
Le richieste del Garante a Kaspersky
Il Garante ha chiesto a Kaspersky Lab di fornire il numero e la tipologia di clienti italiani. Nonché informazioni dettagliate sul trattamento dei dati personali effettuato nell’ambito dei diversi prodotti o servizi di sicurezza, inclusi quelli di telemetria o diagnostici.
La società dovrà inoltre chiarire se – nel corso del trattamento – i dati siano trasferiti al di fuori dell’Unione europea (ad esempio nella Federazione Russa) o comunque resi accessibili a Paesi terzi.
Kaspersky Lab dovrà presentare le richieste dei dati italiani da parte di autorità governative di Paesi terzi
Kaspersky Lab dovrà infine indicare il numero di richieste di acquisizione o di comunicazione di dati personali. Riferiti a interessati italiani, rivolte alla società da parte di autorità governative di Paesi terzi, a partire dal 1° gennaio 2021.
Distinguendole per Paese e indicando per quante di esse Kaspersky abbia fornito un riscontro positivo.
La preoccupazione del delegato alla sicurezza nazionale
Franco Gabrielli, sottosegretario alla presidenza del Consiglio con delega alla sicurezza nazionale, intervistato dal Corriere della Sera ha espresso la propria preoccupazione. Inerente all’impiego di software prodotti in Russia, soprattutto nei sistemi della Pubblica Amministrazione.
In particolare, ha fatto riferimento al popolare antivirus Kaspersky. Che, come affermato da Cybersecurity Italia a Il Tempo, viene impiegato ampiamente da oltre 2.200 enti pubblici. Il software potrebbe essere presente addirittura sul computer di Mario Draghi, presidente del Consiglio.
L’iniziativa del governo italiano
il governo ha deciso – allo scopo di rafforzare la sicurezza informatica dei PC ed evitare eventuali furti di dati – di eliminare l’antivirus Kaspersky per la pubblica amministrazione.
Obbligo delle PA alla diversificazione dei prodotti in uso
La misura, contenuta nell’ultimo decreto approvato in Consiglio dei ministri “Misure urgenti per contrastare gli effetti economici e umanitari della crisi ucraina“, si è resa necessaria non solo per preoccupazioni inerenti alla cyber security.
Ma anche per la possibilità che l’azienda russa non sia più in grado di fornire aggiornamenti per i suoi programmi e servizi, in conseguenza della crisi in Ucraina.
Come si può leggere nel testo licenziato, le amministrazioni dovranno procedere tempestivamente alla diversificazione dei prodotti in uso:
ARTICOLO 28
(Rafforzamento della disciplina cyber)
1. Al fine di prevenire pregiudizi alla sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche – di cui all’articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165 – derivanti dal rischio che le aziende produttrici di prodotti e servizi tecnologici di sicurezza informatica legate alla Federazione Russa non siano in grado di fornire servizi e aggiornamenti ai propri prodotti appartenenti alle categorie individuate al comma 3, in conseguenza della crisi in Ucraina, le medesime amministrazioni procedono tempestivamente alla diversificazione dei prodotti in uso”.
