«Capiamo che l’argomento non sia dei più semplici e nemmeno tra le competenze dell’assessora Cintorino, nonostante la delega alla Transizione Digitale, ma si tratta di un tema importante che non può essere liquidato con leggerezza. Ieri in Consiglio comunale, rispondendo a un quesito sul tema scatenato dalla nostra segnalazione, ha dichiarato che l’amministrazione cercherà sul dark web “la presenza di dati e credenziali compromesse e circolanti”. L’ente avrebbe dovuto fare la segnalazione di data breach al Garante Privacy entro 72 ore dall’evento, quindi entro al massimo la sera di lunedì 22 se è vero che gli hacker si sono intromessi il venerdì sera per sfruttare l’assenza di personale. Inoltre, se la violazione comporta un rischio elevato per i diritti delle persone, come avviene nel caso di un Comune, il titolare deve comunicarla a tutti gli interessati, utilizzando i canali più idonei, cosa che ha fatto solo in risposta al nostro comunicato stampa e non prontamente» è il commento di Alessandro Ronchi dei Verdi Forlì.
«Nella comunicazione al garante è necessario indicare la descrizione dei sistemi coinvolti nella violazione e le categorie di dati personali oggetto di violazione, ed è importante fare qualche esempio per capire l’importanza di questo argomento per la pubblica sicurezza: il Comune gestisce dati anagrafici, di contatto, di pagamento, dati di identificazione come le carte di identità, dati che rivelano i domicilio e gli indirizzi, dati che rivelano le opinioni politiche come quelli che sono a disposizione della sezione elettorale per la presentazione delle liste per le amministrative. Se fossero stati violati dati delle pratiche urbanistiche, potrebbero essere stati divulgati informazioni utili delle abitazioni dei cittadini, con potenziali rischi per la loro sicurezza. A seguito della nostra segnalazione, martedì 23, quando ancora il Comune non aveva avvisato la cittadinanza, l’amministrazione ha prontamente dichiarato che non si registravano furti di dati» insiste l’esponente dei Verdi.
«Ieri, invece, si è data dimostrazione che non c’è nessuna sicurezza, dato che si stanno ancora cercando sul dark web credenziali e dati in vendita, e certamente la loro eventuale assenza non rappresenta una rassicurazione: come dire che in caso di furto di un quadro va tutto bene se non lo si trova in asta. L’analisi va fatta in amministrazione, non all’esterno. L’accesso non autorizzato a credenziali da parte di terzi è già di per sé un grave problema di sicurezza, indipendentemente dalla divulgazione, e la risposta che avrebbe dovuto dare il Comune sarebbe stata un’altra, molto più importante: a quali sistemi e informazioni hanno avuto accesso gli hacker? L’assessora parla poi di prevenzione sul fronte della cybersicurezza: è chiaro che vada fatta prima di vedere violati i propri sistemi, non dopo, così come è chiaro che questa attività non sia tra le priorità del nostro Comune, come la trasparenza: se non avessimo segnalato pubblicamente il problema, il Comune avrebbe ammesso la violazione degli accessi e segnalato pubblicamente ai cittadini il problema, come previsto?» conclude Alessandro Ronchi.