Lecce - «Quello che ha colpito Trenitalia è un episodio gravissimo che non può essere minimizzato né derubricato a un semplice incidente informatico». È il commento dell'avvocato Andrea Lisi, tra i massimi esperti italiani di diritto applicato all'informatica, titolare dello Studio Legale Lisi di Lecce, presidente di ANORC Professioni e direttore del progetto DIGEAT, intervenuto sul data breach che ha interessato la società ferroviaria.
Secondo Lisi, l'attacco ha coinvolto «un'infrastruttura critica per il Sistema Paese» e rappresenta una violazione che «colpisce il cuore della resilienza nazionale», con conseguenze che vanno ben oltre la compromissione dei dati.
L'esperto sottolinea come l'episodio confermi l'urgenza di rafforzare la protezione informatica, integrando competenze di cybersecurity e sicurezza organizzativa. «Non si tratta di compartimenti stagni – afferma – ma di discipline che devono collaborare in modo sinergico attraverso team interdisciplinari, capaci di presidiare non solo la componente tecnologica, ma soprattutto il fattore umano, che resta l'anello più debole nella catena della custodia dei dati».
Lisi valuta positivamente la scelta di comunicare tempestivamente l'accaduto e di informare gli utenti coinvolti. «È un dovere previsto dagli articoli 33 e 34 del GDPR, ma anche un obbligo istituzionale e deontologico», osserva, evidenziando la necessità di mettere cittadini, imprese e professionisti nelle condizioni di difendersi dai prevedibili tentativi di phishing e social engineering che potrebbero sfruttare i dati sottratti.
Pur apprezzando la trasparenza dimostrata, l'avvocato ritiene che vi siano aspetti migliorabili nella comunicazione. In particolare, evidenzia l'opportunità di consentire agli interessati di contattare facilmente il Data Protection Officer (DPO) e di indicare con precisione la data in cui si è verificata la violazione.
Lisi richiama infine l'attenzione su quello che definisce «il paradosso dei nostri tempi»: da un lato si pretende la massima sicurezza da istituzioni e infrastrutture, dall'altro si condividono quotidianamente sui social network enormi quantità di dati personali, spesso anche molto sensibili, indebolendo la resilienza digitale collettiva.
«La vera cultura della sicurezza – conclude – non può essere soltanto reattiva o affidata a firewall e protocolli crittografici. Deve essere prima di tutto culturale, fondata sulla consapevolezza individuale e organizzativa, sulla formazione continua e sulla responsabilità condivisa. La protezione delle infrastrutture critiche e dei dati dei cittadini non rappresenta un costo, ma un investimento strategico per la sovranità e la sicurezza nazionale».