Di fronte ai crimini e alle violazioni della sicurezza dei dati è consuetudine varare norme restrittive invece che esaminare i fatti, e questo viene definito un metodo sbrigativo che in Italia purtroppo è ancora molto diffuso.
Per esempio, nel 2005 si è verificato un ripetuto accesso non autorizzato ai dati dell’anagrafe del Comune di Roma (Ricordiamo che i dati all’anagrafe sono dati sensibili).
Dopo un po’ di tempo si indaga e si scopre che l’intrusore non è neanche esterno, ma la regione Lazio stessa, più precisamente la sua società controllata Laziomatica.
Infatti, alcuni dipendenti avevano un accesso legittimo all’anagrafe per motivi legati all’erogazione di prestazioni sanitarie, e se ne sono approfittati. La questione era legata alle elezioni regionali per le quali era necessaria una raccolta di firme per consentire la presentazione di una lista.
Quello che stupisce ancora di più è che gli “hacker” che erano causa dell’intrusione erano in realtà degli operatori autorizzati ad operare da remoto il sistema stesso.
Lo Stato reagì in risposta con una misura stupefacente: il provvedimento “Amministrazione di sistema, tuttora in vigore, in cui si affermò che gli amministratori di sistema definiti come “figure professionali finalizzate alla gestione e manutenzione di un impianto di elaborazione o di sue componenti”, devono essere competenti e onesti in quanto la figura deve fornire idonea garanzia della sicurezza.
Gli amministratori inoltre devono essere identificati e nominati con atto ufficiale. Ma tutto ciò non basta. Si obbligano infatti gli Enti a introdurre delle misure di controllo della loro attività sul sistema, quindi segnare ingressi, uscite, inserimento di file, e cancellazione di dati.