Sicurezza dei dati
Accesso burocratico e rischio di fuga di dati
Perché un database condiviso tra amministrazioni è un honeypot: moltiplica i punti di accesso umani e può rendere catastrofica una singola fuga.
Aggiornato il
Risposta breve
Un database condiviso tra amministrazioni è, per design, un bersaglio di altissimo valore: un honeypot. Più un database è grande, prezioso e ricercabile, maggiore è lo sforzo che gli aggressori sono disposti a investire, e più devastante diventa una singola fuga di dati. I fornitori di servizi per le cripto-attività (CASP) regolamentati secondo MiCA, DORA e il GDPR sono professionisti sorvegliati e sanzionabili, con incentivi finanziari a proteggere i propri clienti. DAC8 fa l’opposto: sposta i dati verso reti di comunicazione amministrativa dove l’accesso è più ampio e la responsabilità più difficile da valutare per gli utenti. La sicurezza dell’insieme è quindi forte quanto il suo anello più debole. La minimizzazione dei dati è quindi un controllo di sicurezza, non solo un principio giuridico: il database più sicuro è quello che non ha bisogno di esistere.
Fatti chiave
| Indicatore | Cifra o fatto |
|---|---|
| CASP autorizzati (modello attuale, senza DAC8) | circa 100-200 entità indipendenti |
| Fuga di dati contenuta (esempio Waltio) | 50.000 clienti |
| Modello DAC8 | 1 database centralizzato × 27 amministrazioni = 27 bersagli equivalenti |
| Agenti di una singola amministrazione (Francia, DGFiP) | circa 100.000 |
| MiCA in vigore | dal 30 dicembre 2024 |
| DORA in vigore | da gennaio 2025 (incidente grave notificato entro 4 h, relazione completa entro 72 h) |
| Sanzioni GDPR | fino a 20 M€ o al 4% del fatturato mondiale |
| Sanzione a un’amministrazione (Bulgaria, 2019) | 2,9 M€ pagati dal contribuente bulgaro allo Stato bulgaro |
Il principio: non concentrare il bersaglio
La concentrazione di enormi quantità di dati identitari sensibili in un unico luogo trasforma questi database in bersagli molto attraenti, o “honeypot”, per hacker e ladri di identità.
Un database non è mai solo un oggetto tecnico. È circondato da amministratori, agenti, fornitori, subappaltatori, revisori, processi di supporto e controlli di accesso. Più il database è grande e prezioso, maggiore è lo sforzo che gli aggressori sono disposti a investire, e più devastanti sono le conseguenze di una fuga di dati. Il bersaglio DAC8 sarà uno dei più preziosi d’Europa.
Il rischio umano
La sicurezza di un database condiviso dipende da ogni accesso concesso. Più amministrazioni, sistemi e persone sono coinvolti, più alta è la probabilità di un errore, di un abuso o di una compromissione. Man mano che i dati vengono scambiati tra giurisdizioni, cresce il numero di persone e sistemi che possono toccarli: un singolo account compromesso, un insider corrotto o un semplice errore operativo possono esporre le informazioni raccolte su una popolazione molto vasta.
In una rete DAC8/CARF, il rischio non è solo l’hacking esterno. È anche l’accesso interno: consultazione abusiva, estrazione, rivendita, corruzione, configurazione errata o fornitore compromesso.
CASP: professionisti sorvegliati e incentivati
I CASP autorizzati secondo MiCA sono soggetti a un quadro rigoroso:
- MiCA (dal 30 dicembre 2024): gestione del rischio informatico, segregazione degli attivi dei clienti, autenticazione forte, monitoraggio continuo;
- DORA (da gennaio 2025): identificare, proteggere, rilevare, rispondere e recuperare; notifica degli incidenti gravi entro 4 h, relazione completa entro 72 h; test di resilienza e audit indipendenti;
- GDPR: sanzioni fino a 20 M€ o al 4% del fatturato mondiale.
| Incentivo | CASP privato | Amministrazione fiscale |
|---|---|---|
| Perdita della licenza dopo una fuga | Sì (MiCA) | Non applicabile |
| Perdita di clienti | Forte (concorrenza) | Vincolato |
| Reputazione commerciale | Rischio esistenziale | Limitato |
| Sanzioni finanziarie | Fino al 4% del fatturato (GDPR) | Spesso simboliche |
| Responsabilità della dirigenza | MLRO, Compliance Officer | Diluita |
| Investimento in cybersicurezza | Continuo | Spesso in ritardo |
La superficie di attacco a confronto
- Modello attuale (senza DAC8): circa 100-200 CASP autorizzati, ciascuno con i propri sistemi. Compromettere la maggioranza dei titolari richiede di violare decine di entità indipendenti; una fuga resta contenuta (Waltio: 50.000 clienti).
- Modello DAC8: 1 database centralizzato × 27 amministrazioni = 27 bersagli equivalenti, con milioni di agenti e fornitori potenzialmente esposti in tutto il mondo (DGFiP: circa 100.000). Una singola amministrazione fallace può compromettere tutti i titolari della sua giurisdizione.
27 amministrazioni condividono i dati. La sicurezza dell’insieme è forte solo quanto il suo anello più debole.
Perché una singola fuga di dati è sufficiente
Una fuga di dati cripto può essere più grave di una fuga di dati amministrativi ordinari. Se collega identità, indirizzo, cronologia e valore economico, può essere usata per colpire fisicamente le persone.
Il problema è asimmetrico: un singolo punto debole basta a esporre un gran numero di persone, ma ogni vittima deve poi affrontare da sola le conseguenze. Più il database è prezioso e ricercabile, più dannosa diventa una singola fuga.
Il principio di minimizzazione
La migliore sicurezza non consiste solo nel proteggere un grande database. Consiste nell’evitare di crearne uno quando l’obiettivo può essere raggiunto con una richiesta mirata. La centralizzazione non elimina il rischio: lo concentra.
La minimizzazione dei dati è quindi un controllo di sicurezza, non solo un principio giuridico astratto. Il database più sicuro è quello che non ha bisogno di esistere.
Pagine correlate
- Fughe di dati e DAC8
- Centralizzazione o disseminazione
- DAC8, MiCA e DORA
- Famiglie a rischio
- Richieste mirate di informazioni
Breached.company, The Digital Honeypot, settembre 2025 · Cyfrin, Global Relay, Unit21 (MiCA / DORA) · NRA Bulgaria, 2019.