skip to Main Content

Il fisco bulgaro si fa scippare i dati anche di persone straniere

L’articolo di Umberto Rapetto, Generale (r) della Guardia di Finanza, per oltre dieci anni comandante del Gruppo Anticrimine Tecnologico delle fiamme.

Non sono appassionato di fusi orari, ma so che le lancette dell’orologio in Bulgaria sono un’ora avanti rispetto le nostre.

Ciò nonostante le 72 ore che il Regolamento Europeo in tema di privacy fissa come limite per segnalare violazioni di dati personali possono durare anche una settimana.

Non è un gioco sul quadrante che misura il tempo: stiamo parlando di “data breach” in danno a realtà istituzionali – in questo caso nel cuore dei Balcani – il cui verificarsi deve essere segnalato con immediatezza non appena si scopre l’intrusione e il saccheggio di informazioni riservate.

L’incursione telematica in danno al FAP, l’equivalente bulgaro della nostrana Agenzia delle Entrate, sarebbe andata a segno nel giugno scorso ma la circostanza avrebbe fatto capolino sui mezzi di informazione il 16 luglio. Probabilmente la più significativa razzia di dati personali che sia mai avvenuta in Bulgaria è stata resa nota da un messaggio di posta elettronica che, inviata dagli hacker attraverso un servizio mail gratuito con base in Russia, chiedeva le dimissioni del Ministro delle Finanze.

Il saccheggio avrebbe una discreta consistenza perché includerebbe i dati di oltre cinque milioni di persone e tra questi malcapitati sembrerebbero figurare anche soggetti stranieri che per motivi imprenditoriali o finanziari sono finiti negli archivi del fisco bulgaro.

Il Gdpr, ovvero il quadro di riferimento legislativo in materia di privacy per l’area di influenza comunitaria (e quindi includente i Paesi non Ue geograficamente rientranti nell’assetto continentale), stabilisce che le violazioni dei dati vengano comunicati all’Autorità di controllo (o Garante, per adoperare un termine familiare). La norma fissa un termine massimo di tre giorni (o 72 ore per essere più incisivi e determinati) che scatta al momento della scoperta o dalla constatazione dello sventurato evento. Nella fattispecie l’incursione sarebbe avvenuta nel giugno scorso ma le sue conseguenze sono emerse solo più recentemente.

La cosa che incuriosisce è il ritardo con cui le istituzioni bulgare hanno fatto scattare l’allarme, anche in considerazione che il “data breach” (ovvero la breccia nelle difese perimetrali degli archivi elettronici) riguardava anche informazioni riconducibili a soggetti esteri.

La comunicazione al circuito internazionale è scattata soltanto il 23 luglio, ben oltre il termine tassativo stabilito dal Regolamento Europeo forse per una fraintesa “regionalizzazione” delle competenze (quasi i dati degli stranieri non fossero abituali in certi mastodontici schedari elettronici). La lettera indirizzata al Segretariato dell’organismo comunitario di coordinamento degli affari tributari non è certo rassicurante: gli hacker avrebbero sottratto nomi e codici fiscali di persone fisiche, informazioni relative ai redditi conseguiti e alle imposte versate, dati relativi ad eventuali polizze assicurative sanitarie, “precedenti” per violazioni amministrative, dati relativi alle operazioni di pagamento o di cauzione attraverso l’amministrazione postale bulgara. A questo già spettrale scenario va aggiunto nel bottino anche l’ingente quantità di notizie che l’Agenzia delle Entrate ha acquisito su ciascun individuo dalle Agenzie nazionali delle Dogane, dell’Impiego, dell’Assistenza Sociale, dal Fondo assicurativo sanitario e così a seguire.

L’incursione dei pirati informatici – secondo il Ministro Marinov – sarebbe riconducibile ad una manifestazione di protesta mirata ad ottenere le sue dimissioni per la decisione governativa di acquistare dagli Stati Uniti un certo numero di aerei da combattimento F16

Prescindendo dalle motivazioni che hanno indotto gli hacker a prender di mira di fisco bulgaro, resta la gravità dell’episodio di violazione dei dati il cui verificarsi rende sanzionabile chi non ha adottato le dovute misure di sicurezza.

A questo punto è lecito chiedersi se si può multare un Governo o una sua articolazione (perché no?) e anche quale Garante è legittimato ad agire (stante il ragionevole “ne bis in idem”) visto e considerato che le persone fisiche che pagano il prezzo di una indebita diffusione di loro dati sono distribuiti anche fuori i confini del “luogo del delitto”.

Un’altra suggestiva riflessione è legata all’importo della sanzione. Il Gdpr parla di multe fino al 4% del fatturato globale annuo: in questo caso – trattandosi di una Agenzia delle Entrate – la sanzione potrebbe essere pari a quella percentuale del gettito erariale?

Le considerazioni sono tutt’altro che peregrine e potrebbero riguardarci molto da vicino. Se ricordiamo le stagioni delle “cartelle pazze” (evidente esempio di trattamento illecito dei dati personali), auguriamo alle casse del Paese che certi incidenti non s’abbiano a ripetere perché il cortocircuito finanziario sarebbe davvero folgorante.

Back To Top