Nel corso dell’ultima assemblea dei presidenti degli Ordini degli Ingegneri è emersa, con forza, l’importanza del ruolo di autentici professionisti nell’attività di progettazione e protezione delle infrastrutture informatiche. A sollevare il problema, l’ing. Silvia Di Rosa – presidente dell’Ordine degli Ingegneri di Trento, che ha ricordato la Legge 14 gennaio 2013 n . 4 – “Disposizioni in materia di professioni non organizzate”, sono di esclusiva spettanza degli ingegneri iscritti all’Albo “la pianificazione, la progettazione, lo sviluppo, la direzione lavori, la stima, il collaudo e la gestione di impianti e sistemi elettronici, di automazione e generazione, trasmissione ed elaborazione delle informazioni”. Così come il GDPR richiede che il titolare del trattamento metta in atto “misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al regolamento”, A queste norme si aggiunge il fatto che il D.M. 37/2008 e ha definito l’obbligo di progettazione degli impianti elettronici.
Tutte norme disattese, con la conseguenza che la maggior parte progetta, scrive codice e testa il software senza aver avuto una formazione qualificata o anche adeguata a comprendere il contesto più ampio in cui deve operare, e purtroppo quasi sempre il fornitore rilascia il software sviluppato senza ulteriori controlli. Così come nella stragrande maggioranza dei casi i “sistemi elettronici, di automazione e generazione, trasmissione ed elaborazione delle informazioni” vengono, realizzati, implementati e testati senza che ci sia una oggettiva presa di responsabilità da parte di un tecnico abilitato e qualificato.
Da qui l’invito, sinora disatteso, al presidente del Consiglio Nazionale degli Ingegneri ad “attivare un tavolo di lavoro che conduca ad una proposta di legge atta a”:
- equiparare i Sistemi informativi ( hardware e software ) alle infrastrutture edili, civili e impiantistiche, assoggettando quindi i relativi progetti le realizzazioni e i collaudi alle stesse procedure e
- obbligare i fornitori di Sistemi Informativi in contesti a medio o alto rischio (trattamento di dati sensibili o particolari, fornitura di servizi critici, presenza di medio o alto rischio di attacchi, sussistenza di impatto medio o alto in caso di incidente, etc) ad avere un’attestazione di conformità del loro prodotto secondo gli standard allo stato dell’arte in termini di sicurezza informatica e adeguatezza nel trattamento dei dati, redatta in forma di perizia da ingegneri dell’informazione iscritti all’albo;
- obbligare i fornitori di Sistemi Informativi ad eseguire una revisione dell’attestazione del prodotto con cadenza almeno annuale e sottoporre ogni successivo rilascio principale o che coinvolga aspetti di sicurezza, a specifiche procedure di controllo qualità.
Competenza e formazione, oltre le norme
L’auspicio è che anche altri Ordini provinciali seguano l’esempio di Trento, per sollecitare il rispetto delle normative in vigore e valorizzare la professionalità degli iscritti ad un Ordine professionale che valuta il comportamento, la deontologia e la formazione dei propri iscritti, anche a tutela dei committenti. Il tutto accompagnato dalla riflessione sul fatto che, qualsiasi tecnologia di sicurezza informatica, come spiegano i responsabili di Sikura – la realtà specializzata nell’educazione alla CyberSecurity, viene infatti vanificata da un errore umano. Basti pensare, infatti, che il 94% degli incidenti informatici sfrutta la “complicità” – seppure involontaria – di una persona interna all’azienda violata.