Circa una settimana fa, con questo post su Linkedin, si parla ufficialmente del nuovo sito web dell’Agenzia Cybersicurezza Nazionale (ACN) italiana. L’ente preposto dall’apparato intelligence del Paese a sorvegliare e dettare le linee guida per una resilienza informatica sicura di tutte le infrastrutture critiche nostrane.
Nella giornata del 10 gennaio, la notizia viene rilanciata da alcuni addetti del settore e da qualche mezzo di comunicazione online. Per notizia intendo la messa online del nuovo sito web di riferimento istituzionale.
Nessuno sembra sollevare alcun dubbio/perplessità. Finché in tarda mattinata parte l’analisi sulla metodologia adottata dalla nostra ACN circa l’adeguamento alle vigenti norme sul trattamento dei dati utente online.
Il risultato è tragico e parte subito la prima disclosure di quanto evidente con semplici strumenti di analisi, l’esperto di sicurezza Claudio Sono se ne accorge per primo:
Perchè il risultato è grave? Sicuramente potete consultare tutti questa analisi (here), nonchè leggere il thread su Twitter appena riportato, per capire che gli errori sono grossolani. Ma la gravità è che non si sta parlando del blog di PincoPallo (come può essere anche questo che state leggendo ora! Scherzo), ma di un ente istituzionale, un nuovo progetto, ancora in fase di sviluppo, di supervisione e controllo di tutta la Pubblica Amministrazione italiana in ambito tecnologico e della sicurezza.
Un organismo così importante e sensibile, sopratutto su questi temi, non può rilasciare un sito web in queste condizioni nel 2022.
In sintesi i problemi riscontrati sono legati al rispetto dei termini e delle norme imposte dal GDPR in materia di trattamento dei dati personali. Si sono riscontrate anomalie nella stesura del documento Privacy Policy, elementi traccianti non dichiarati all’utente, assenza di banner per accettazione/diniego cookies, Content-Security policy assente, referrers non trapelati. In pratica tutto ciò che un DPO spera di non vedere mai.
Infatti, vista proprio la materia, interviene molto prontamente Christian Bernieri, DPO esperto, che con una lucida analisi dà una mano ad evidenziare tutti i punti critici di questa release.
Per facilità di consultazione, metto a disposizione anche qui il link alla sua analisi, da leggere sul thread come ricostruito here.
Il problema del tracciamento dei dati o della scarsa informativa che si rivolge all’utente, sono gravi violazioni di tutte le norme comunitarie in materia, e mettono a rischio i dati stessi dei visitatori che si ritrovano, solo per aver aperto la home istituzionale dell’ente sulla cybersecurity italiano, ad avere i propri dati IP, orario, durata etc, in viaggio verso aziende e altre destinazioni (in alcuni casi non ben note): Facebook/Meta, Linkedin, Google (per l’analytics e TAG), ma anche altri secondari che trovate nell’analisi.
Nella speranza che le anomalie vengano sanate quanto prima, se non altro in nome del Buon Esempio, visto che l’ACN deve essere super partes nella sicurezza informatica, ma anche perché le tematiche relative al tracciamento dei nostri dati sono sensibilissime e tutta l’Unione Europea si è mobilitata ormai da tanto affinché venissero normate adeguatamente, io personalmente ho inviata questa analisi anche alla PEC ufficiale dell’ACN, di modo da poterne assicurare la notifica, per la quale seguiranno sviluppi qua in coda a questo articolo.