"La fattura elettronica è a rischio hacker. Lo Stato faccia di più"

Milano - «I primi a bucare il sistema potrebbero essere quelli di Anonymous, così, tanto per dimostrare la sua penetrabilità. Ma subito dopo a passare all'attacco sarebbero quelli per cui questi dati sono preziosi: dai concorrenti ai trafficanti di dati alle centrali estere di spionaggio».

Tra meno di un mese, l'1 gennaio, scatterà in tutta Italia l'obbligo di fatturazione elettronica tra privati: sempre che Sogei, la società di Information Technology del ministero delle Finanze sia pronta in tempo (cosa di cui molti dubitano). Contro l'obbligo si stanno levando mugugni e proteste di ogni genere, soprattutto dal mondo delle piccole imprese. Aggravi di costi, burocrazia, e magari qualche paura dei controlli del fisco. Ma c'è un dettaglio di cui nessuno parla: l'intero sistema rischia di essere alla mercé degli hacker. A dirlo è uno che se ne intende, perché l'hacker lo ha fatto davvero: Valerio Pastore, già smanettone, poi notato e arruolato pare dai servizi segreti («diciamo che ho lavorato per le istituzioni»), oggi a capo di Boole Server, la società leader italiana nella sicurezza digitale.

Quando lei dovrà mandare la sua prima fattura elettronica sarà tranquillo?

«Per niente».

E perché?

«Guardi, io credo nella digitalizzazione del paese. Molti stanno brontolando, ma è una questione di user experience. Ci si abituerà, insomma. Ma se si fa un passo del genere bisogna garantire la sicurezza dei dati che verranno inseriti nel sistema, che sono dati delicatissimi: personali, commerciali, fiscali, industriali, di tutto. Ebbene, non c'è traccia di misure destinate a tutelare la riservatezza di questi dati».

Dal ministero garantiranno che è tutto sicurissimo.

«Non possono. I dati verranno trasmessi in chiaro mediante Ftp, che è un protocollo di trasmissione notoriamente non sicuro, alla mercé delle incursioni di chiunque. Inoltre i dati viaggeranno con la Pec, la posta elettronica certificata, che è a sua volta uno strumento vulnerabile per definizione. Basta guardare cosa è accaduto poche settimane fa quando sono state piratate le caselle di pec della pubblica amministrazione, comprese quelle di tutti i magistrati italiani».

Ma è possibile che non si sia previsto un sistema di protezione dei dati?

«Io ho letto tutto: non è prevista nessuna tutela. Non si parla di crittografia, né di block chain, né di pseudonimizzazione, né di tokenizzazione, insomma di nessuno degli strumenti che possono tenere dati di questa delicatezza al riparo dalle incursioni. Io per lavoro conosco bene la struttura e i canali di comunicazione utilizzati per realizzare i sistemi di interscambio tra fornitori e pubblica amministrazione e potrei indicarle uno per uno i punti critici. Vedo un problema di sicurezza molto, molto grosso».

Magari un sistema più blindato sarebbe stato ancora più difficile da utilizzare per le aziende.

«Ma niente affatto, le aziende si sarebbero abituate comunque, dal loro punto di vista non sarebbe cambiato niente. Doveva essere l'altra parte, lo Stato, a fare uno sforzo in più. Ma era uno sforzo doveroso e trovo sconcertante che non lo si sia fatto. E non si dica che interverranno dopo, il modello di protezione andava previsto sin dalla progettazione. Una volta che sei partito e hai milioni di informazioni che ti arrivano contemporaneamente diventa difficile affrontare il problema. Soprattutto in un paese dove non esiste un internet provider nazionale.