Intervista con Pierluigi Perri – Avvocato, Professore Associato di “Sicurezza informatica, privacy e protezione dei dati sensibili” dell’Università degli Studi di Milano
I temi della cybersicurezza e della privacy sono costantemente sotto i riflettori anche alla luce dei recenti scenari mondiali. Tutti i soggetti, pubblici o privati che siano, sono chiamati a porre maggiore attenzione ai propri dati allo scopo di difenderli e preservarli. Inoltre, la rapida espansione dell’universo digitale sta in qualche modo accelerando la necessità di avere nuove normative e regolamentazioni, non sempre al passo con i tempi.
L’escalation degli attacchi cibernetici pone poi interrogativi sulle conseguenze non solo economiche ma anche sociali che potrebbero verificarsi. Pierluigi Perri – Avvocato, Professore Associato di “Sicurezza informatica, privacy e protezione dei dati sensibili” dell’Università degli Studi di Milano, traccia un’analisi molto approfondita dello scenario che riguarda cybersicurezza e privacy offrendo un punto di vista caratteristico sulla situazione attuale e i probabili sviluppi futuri.
- L’edizione 2022 di secsolutionforum fra i focus principali ha il delicato tema della privacy e della protezione dei dati. Gli ultimi eventi clamorosi che hanno visto grandi aziende così come primari enti della PA vedersi sottrarre dati personali e non di clienti e fornitori, spingono a chiedersi com’è l’attuale scenario riguardo la protezione delle informazioni da parte di chi è incaricato di conservarle e tutelarle; cosa è stato fatto, cosa c’è ancora da fare oppure cosa si potrebbe fare?
I quotidiani oramai riportano costantemente notizie riguardo gli attacchi verso infrastrutture, dati sottratti, blocco dei servizi, ecc… Purtroppo questo è il tratto distintivo del mondo digitale che, come in un ipotetica guerra fra guardie e ladri, vede sempre più figure interessate a carpire dati e altre impegnate a proteggerli. Il Professor Stefano Rodotà, tempo fa, sottolineava l’importanza dei dati sostenendo che anche loro avrebbero dovuto essere conservati in cassaforte, proprio come i gioielli o i contanti.
Quello in cui stiamo vivendo è un mondo sempre più digitale spinto ancora di più dalla pandemia che negli ultimi anni ha connotato un’ambiente nuovo dove si sono riversate tutte le attività, aumentando quella che in gergo si chiama superficie di attacco Riguardo la domanda posso dire che non è possibile interrompere la tendenza di crescita degli attacchi perché è strettamente legato al progressivo trasferimento di tutte le attività, comprese quelle economiche, nel cosiddetto cyberspazio.
Oramai le politiche dell’Unione Europea sono tutte improntate sul dato e sulla realizzazione del cosiddetto digital single market, che vorrebbe arrivare a creare un mercato unico digitale, analogo al mercato unico dei beni e servizi fisici già esistente. In questo contesto, la sicurezza è la precondizione affinché un ambiente digitale sia affidabile, favorendo un sentimento di fiducia.
Proprio la fiducia è la condizione per la quale le persone possono svolgere i loro affari all’interno di un ambiente virtuale. Le proiezioni fornite dall’Unione Europea illustrano quanto beneficio possiamo ricavare in termini di PIL da un mercato basato sui dati, pertanto l’unica cosa che possiamo fare è affrontare il mondo digitale attuale con consapevolezza dei rischi e dei benefici, considerando che la consapevolezza è il primo requisito di un qualsiasi piano di sicurezza.
- La cybersicurezza oramai fa parte dei processi nella maggior parte delle aziende e organizzazioni, le quali hanno aumentato gli investimenti, ben consapevoli delle situazioni di rischio a cui sono esposte. Nonostante ciò, l’aumento dei cyberattacchi è proporzionale al progresso nelle tecnologie di cybersicurezza. È un trend destinato a diventare una costante?
Purtroppo il trend è destinato ad aumentare e come ho detto prima lo possiamo constatare dai media: d’altronde “il ladro è sempre un passo avanti”. Ad ogni modo possiamo comunque trarre insegnamenti importanti dalle modalità di attacco e dalle possibili forme di prevenzione o di controllo del danno rispetto a minacce informatiche. Per questo motivo, l’Unione Europea attraverso le normative offre diversi stimoli riguardo la cybersecurity dalla quale emergono diversi aspetti e in particolare due parole chiave: proattività e resilienza.
Queste parole indicano proprio la capacità che deve avere un sistema informatico: essere in grado di assorbire un attacco e garantire l’erogazione continua dei servizi, anche se molto probabilmente rallentati, non efficienti, ma mai interrotti. Resilienza significa logicamente realizzare un sistema che abbia la capacità di rispondere all’attacco, pertanto in questa continua lotta fra attaccanti e attaccati si prova ad essere sempre pronti cercando il miglior modo per identificare il vettore d’attacco, mitigando o ponendo un freno ai conseguenti danni.
Non bisogna dimenticare che, come arma di difesa, abbiamo a disposizione anche la condivisione delle conoscenze. Solo attraverso la condivisione delle esperienze, anche negative, in ambito di information security si può arrivare molto più rapidamente all’identificazione e prevenzione di un problema, come ad esempio nei casi di attacchi informatici alle strutture sanitarie, che si sono moltiplicati in misure esponenziale durante la pandemia.
A questo punto riuscendo ad individuare rapidamente una minaccia, grazie alle condivisioni, è possibile risolvere in un tempo più breve il determinato problema, garantendo la resilienza all’intero settore. Tornando a parlare di normative e approcci, l’Unione Europea ci spinge a riflettere su come in realtà, per quanto il business sia una pratica individuale, a livello digitale siamo tutti connessi. In tal senso, bisogna considerare da un punto di vista più ampio cosa possa rappresentare il cosiddetto fattore perturbativo: una filiera è composta da tanti attori e il problema di sicurezza di uno qualsiasi di questi soggetti è in grado di creare un effetto sconvolgente su tutta la filiera.
Faccio un esempio: se viene attaccata una banca ovviamente chi subisce i danni maggiori è l’istituto vittima dell’attacco, però va anche considerato che poi tutto il sistema bancario risulterebbe affetto da un generale calo di fiducia. L’economia odierna si basa molto sullo scambio di dati, quindi tutti gli attacchi creano conseguenze che sommate vanno ad impattare negativamente sull’obiettivo generale economico.
Detto ciò, per quanto riguarda gli aspetti di sicurezza è possibile dividerli in tre livelli
- Primo livello: richiamando considerazioni sulla cybersecurity di carattere nazionale ma anche europeo, possiamo dire che la protezione di tutte le strutture che erogano servizi essenziali per la popolazione come telecomunicazioni, finanziario, PA ecc., devono rientrare dentro specifici accorgimenti di sicurezza che vengono ricompresi nel perimetro nazionale di cybersecurity. Le normative europee ragionano in questo modo: ogni nazione individua gli attori che devono rientrare nel perimetro di sicurezza e si impone loro l’adozione di misure speciali. A questo punto la sommatoria di questi attori che erogano servizi, porta ad ottenere un ipotetico insieme di perimetri. Essendo i perimetri nazionali frutto di una direttiva, tutti i paesi dell’Unione Europea avranno il loro perimetro totale; la somma di tutti questi perimetri stabilirà il perimetro di sicurezza cibernetico europeo.
- Secondo livello: la tipologia di sicurezza commerciale dove è possibile identificare, giuridicamente parlando, tutte le pratiche che possono essere classificate come delitti informatici e concorrenza sleale. Ad esempio, competitor che vogliono impadronirsi dell’elenco clienti di un concorrente, segreti industriali, brevetti, informazioni riservate relative a un prodotto, informazioni su fusioni e acquisizioni tra aziende, e anche sottrarre o alterare i dati relativi alle attività di profilazione dei consumatori. Quelle che ho citato potrebbero rientrare tutte in pratiche concorrenziali sleali.
- Terzo livello: la sicurezza personale, ossia come proteggere i propri dati. Anche qui possiamo fornire esempi su come evitare di essere truffato, inserito o catalogato in determinate “bolle filtro” dove i sistemi collocano la persona in base alle proprie preferenze. Queste “bolle filtro” purtroppo non sono trasparenti poiché, dal momento in cui veniamo inseriti nelle bolle, non veniamo informati e non c’è modo di uscirne perché è possibile vedere solo una parte delle informazioni che vengono fornite.
Quindi per avere un web libero e sicuro evitando il cosiddetto social sorting, la sicurezza delle informazioni e la trasparenza delle operazioni sono un presupposto fondamentale.
- Parliamo di Privacy. Quali sono le sfide attuali e le eventuali “zone scoperte” che la normativa dovrebbe tutelare?
Esistono diversi problemi dettati dalla parte giuridica che ahimè non viaggia alla stessa velocità della tecnologia. L’avanzamento tecnologico è studiato per essere più repentino rispetto a quelle che possono essere le discussioni legislative. Ad ogni modo possiamo fare sempre riferimento a come si sta muovendo l’Europa e tengo a precisare che anche il nostro Paese ha le sue eccellenze in ambito digitale. Ciononostante, il problema è quello di avere due velocità differenti che non consentono al settore giuridico di andare di pari passo con la tecnologia, perché le sfide sono tante e il diritto si troverà sempre, per certi versi, ad inseguire la tecnica. Ad ogni modo, le normative che vengono pubblicate cercano di adottare delle formule abbastanza ampie da comprendere quelli che si prevede saranno i nuovi scenari tecnologici.
Il problema attuale è di carattere implementativo/esecutivo delle norme esistenti all’interno delle quali esistono ancora aree e sensibilità differenti. Vi sono settori e aree geografiche che hanno una certa sensibilità sulla sicurezza e sull’importanza di proteggere i propri dati già molto elevata. Questa sensibilità viaggia di pari passo con la quantità di incidenti che si verificano. Un altro aspetto da considerare è che non è sempre facile assegnare un valore a un’informazione, ad es. un brevetto deve essere protetto da quelle misure di sicurezza proporzionate a proteggerne il valore. Un semplice esempio: avendo un oggetto al quale attribuiamo un elevato valore, per proteggerlo andremo a utilizzare una cassetta di sicurezza o una cassaforte, non di certo lo custodiremmo in un cassetto.
Questo ragionamento si è abituati a farlo all’interno del mondo fisico ma molto meno nel mondo digitale, un po’ per mancanza di consapevolezza, un po’ perché si è spesso convinti di non avere dati o informazioni abbastanza interessanti. Pertanto, da un lato abbiamo questo problema che richiede un approccio culturale: le soluzioni di cybersicurezza esistono ma occorre far comprendere che i dati un peso e un valore lo hanno eccome, sono facilmente scambiabili ed estremamente mutevoli.
Non bisogna illudersi che il valore di quei dati non sia importante perché è proprio da quello scambio che è possibile trarre valore attraverso elaborazioni di analytics dalle quali derivare la collocazione di un prodotto, la fascia di clientela che può esserne interessata, cosa è attrattivo e cosa no, le possibili migliorie e via dicendo.
Il mondo digitale, tra l’altro, è collegato alla vera moneta del nostro tempo: la reputazione. Se non siamo in grado di proteggere i dati dei nostri clienti e non generiamo un canale di fiducia, la reputazione del nostro lavoro o del nostro marchio crolla inevitabilmente, e quando crolla non c’è più nulla da fare. Nella rete, i luoghi dove esprimere il malcontento e dove raccogliere soggetti che hanno avuto le stesse esperienze o sensazioni negative sono tantissimi e fanno tanti proseliti. Nel momento in cui si viene a creare un canale di malcontento, non solo il singolo soggetto ma anche la concorrenza può sfruttarlo fomentando con ulteriori commenti negativi; non sarebbe una pratica etica ma è molto realistica. Se molti ristoranti sono stati costretti a chiudere l’attività perché hanno raccolto una serie di commenti negativi sulle varie piattaforme di rating, nulla vieta di pensare che ci siano aziende che, per gli stessi motivi, vedano inevitabilmente una flessione del business perché non riescono a tutelare e difendere la loro reputazione.
Quelle di cui ho parlato sono le sfide attuali, quelle future passeranno sicuramente attraverso l’intelligenza artificiale e l’uso di sistemi automatizzati. Sotto questo aspetto l’Unione Europea sta predisponendo un pacchetto di leggi che possa regolamentare il fenomeno. Infatti durante la scorsa estate è stata presentata una bozza per regolamentare l’AI ed è tuttora in discussione, mentre è arrivato a conclusione il Data Service Act e ci sono altri testi normativi in discussione. Dal punto di vista regolamentare l’EU, seppur con la lentezza strutturale della produzione legislativa sta cercando di fornire gli elementi per gestire questo ambiente così complesso.
Dal nostro punto di vista di operatori di settore ci viene richiesta la consapevolezza e altri fondamentali approcci possono essere tratti dalle proposte di legge che in questo momento sono in discussione, in particolare l’approccio “by design” e “by default”. Tutti i sistemi, non solo i tool ma anche il piano di utilizzo di determinati dati, di campagne di marketing e quanto altro, devono essere organizzati sin dalle prime fasi di progettazione (by design) e per impostazione predefinita (by default) in maniera tale da garantire la sicurezza e la protezione di tutti i dati. È chiaro che se si parte con un mindset che porta a ragionare in termini di sicurezza e protezione il sistema non può che nascere già robusto. Diverso, e alla fine anche molto più dispendioso, è quando vengono applicati in un secondo momento parametri di sicurezza e riservatezza in un sistema progettato e realizzato senza. Mi sento di dire che non è più il caso di “chiudere il server dopo che sono scappati i bit”.
Questo e altri argomenti saranno trattati in occasione di Secsolutionforum 2022, che si svolgerà online dal 26 al 29 aprile 2022. Secolutionforum è uno spazio virtuale dedicato all’incontro e all’interazione fra aziende e professionisti. Installatori, system integrator, progettisti, consulenti privacy, DPO, Security Manager e Pubblica Amministrazione potranno allargare le proprie competenze e condividere problematiche e soluzioni attraverso l’interazione diretta con i massimi esperti del settore.