I dati: il vero valore da proteggere

Intervista a Pierluigi Perri - Avvocato, Professore Associato di “Sicurezza informatica, privacy e protezione dei dati sensibili” dell’Università degli Studi di Milano

Cybersicurezza e privacy sono costantemente sotto i riflettori anche alla luce dei recenti avvenimenti. Pierluigi Perri offre un’analisi approfondita dello scenario di riferimento e dei probabili sviluppi futuri.

Stiamo vivendo un’escalation di sottrazione di dati personali anche rispetto a primarie PA o grandi aziende: cosa è stato fatto e cosa c’è ancora da fare per proteggere le informazioni?

Viviamo in mondo sempre più digitale, spinto ancora di più dalla pandemia, che ha connotato un ambiente nuovo dove si sono riversate tutte le attività, aumentando la superficie di attacco. Non è possibile interrompere la tendenza di crescita degli attacchi perché essa è strettamente legata al progressivo trasferimento di tutte le attività, comprese quelle economiche, nel cyberspazio. Le politiche UE sono tutte improntate sul dato e sulla realizzazione del digital single market, teso a creare un mercato unico digitale analogo al mercato unico dei beni e servizi fisici. In questo contesto, la sicurezza è la precondizione affinché un ambiente digitale sia affidabile, favorendo un sentimento di fiducia. Proprio la fiducia è la condizione per la quale le persone possono svolgere i loro affari all’interno di un ambiente virtuale. Le proiezioni fornite dall’UE illustrano quanto beneficio possiamo ricavare in termini di PIL da un mercato basato sui dati, pertanto l’unica cosa che possiamo fare è affrontare il mondo digitale attuale con consapevolezza dei rischi e dei benefici, considerando che la consapevolezza è il primo requisito di un qualsiasi piano di sicurezza.

Se l’aumento dei cyberattacchi è proporzionale al progresso nelle strategie e tecnologie di cybersicurezza, chi vincerà la guerra tra “guardie e ladri”? 

Il ladro è in genere sempre un passo avanti, ma possiamo trarre insegnamenti dalle modalità di attacco e dalle possibili forme di prevenzione o di controllo del danno. L’UE offre diversi stimoli in termini di proattività e resilienza. Queste parole indicano la capacità che deve possedere un sistema informatico: essere in grado di assorbire un attacco e garantire l’erogazione continua dei servizi, anche se rallentati o non efficienti. Resilienza significa realizzare un sistema che abbia la capacità di rispondere all’attacco, cercando  di identificare il vettore d’attacco, mitigando o ponendo un freno ai danni. Come arma di difesa, abbiamo a disposizione la condivisione delle conoscenze ed esperienze. L’UE ci spinge a riflettere su come in realtà, per quanto il business sia una pratica individuale, a livello digitale siamo tutti connessi, dunque il problema di sicurezza di uno solo degli attori può generare un effetto domino su tutta la filiera, con un calo di fiducia ed inevitabile impatto economico. 

Come si possono classificare gli aspetti di sicurezza?

Si parla di tre livelli:

• Primo livello: le strutture che erogano servizi essenziali per la popolazione (es. telecomunicazioni, finanziario, PA ecc.) devono garantire specifici accorgimenti di sicurezza che vengono ricompresi nel perimetro nazionale di cybersecurity. Le normative europee ragionano così: ogni nazione individua gli attori che devono rientrare nel perimetro di sicurezza, a questi si impone l’adozione di misure speciali. La sommatoria di questi attori delinea un insieme di perimetri. Essendo i perimetri nazionali frutto di una direttiva, tutti i paesi UE avranno il loro perimetro totale; la somma di tutti questi perimetri stabilirà il perimetro di sicurezza cibernetico europeo. 

• Secondo livello: la tipologia di sicurezza commerciale dove è possibile identificare, giuridicamente parlando, tutte le pratiche che possono essere classificate come delitti informatici e concorrenza sleale. Ad esempio, competitor che vogliono impadronirsi dell’elenco clienti di un concorrente, segreti industriali, brevetti, informazioni riservate relative a un prodotto, informazioni su fusioni e acquisizioni tra aziende, profilazione dei consumatori. 

• Terzo livello: la sicurezza personale, ossia come proteggere i propri dati. Ad esempio evitare di essere truffato, inserito o catalogato in “bolle filtro” dove i sistemi collocano la persona in base alle preferenze. Queste “bolle filtro” purtroppo non sono trasparenti poiché, dal momento in cui veniamo inseriti nelle bolle, non veniamo informati e non c’è modo di uscirne perché è possibile vedere solo una parte delle informazioni che vengono fornite. 

Parliamo di Privacy. Quali sono le sfide attuali e le eventuali “zone scoperte” dalla normativa?

La parte giuridica per forza di cose non viaggia alla stessa velocità della tecnologia e viaggiare a due velocità ci obbliga ad inseguire la tecnica, benché le normative cerchino di adottare formule abbastanza ampie da comprendere i possibili nuovi scenari. Il problema attuale è di carattere implementativo/esecutivo delle norme esistenti, all’interno delle quali esistono ancora aree e sensibilità differenti. Vi sono settori e aree geografiche che hanno una certa sensibilità sulla sicurezza e sull’importanza di proteggere i propri dati già molto elevata. Questa sensibilità viaggia di pari passo con la quantità di incidenti che si verificano. Un altro aspetto da considerare è che non è sempre facile assegnare un valore a un’informazione. Mentre siamo abituati a proteggere un oggetto fisico di valore con un mezzo forte, nel mondo digitale manca una cultura della protezione - un po’ per mancanza di consapevolezza, un po’ perché si è spesso convinti di non avere informazioni abbastanza interessanti. Invece i dati hanno sempre un peso e un valore: sono infatti facilmente scambiabili ed estremamente mutevoli e proprio da quello scambio è possibile trarre valore attraverso elaborazioni di analytics dalle quali derivare la collocazione di un prodotto, la fascia di clientela che può esserne interessata, cosa è attrattivo e cosa no, le possibili migliorie e via dicendo. 

Il mondo digitale, tra l’altro, è collegato alla vera moneta del nostro tempo: la reputazione... 

Decisamente. Se non siamo in grado di proteggere i dati dei nostri clienti e non generiamo un canale di fiducia, la reputazione del nostro lavoro o del nostro marchio crolla inevitabilmente, e quando crolla non c’è più nulla da fare. Nella rete, i luoghi dove esprimere il malcontento e dove raccogliere soggetti che hanno avuto le stesse esperienze o sensazioni negative sono tantissimi e fanno tanti proseliti. Nel momento in cui si viene a creare un canale di malcontento, non solo il singolo soggetto ma anche la concorrenza può sfruttarlo fomentando con ulteriori commenti negativi; non sarebbe una pratica etica ma è molto realistica. 

Quelle di cui ha parlato sono le sfide attuali: cosa può dirci di quelle future?

Quelle future passeranno sicuramente attraverso l’intelligenza artificiale e l’uso di sistemi automatizzati. L’Unione Europea sta predisponendo un pacchetto di leggi per regolamentare il fenomeno: la scorsa estate è stata presentata una bozza (tuttora in discussione) per regolamentare l’AI, mentre è arrivato a conclusione il Data Service Act e ci sono altri testi allo studio. Dal punto di vista degli operatori di settore, viene richiesta consapevolezza. Altri fondamentali approcci possono essere tratti dalle proposte di legge che in questo momento sono in discussione, in particolare l’approccio “by design” e “by default”. Tutti i sistemi, non solo i tool ma anche il piano di utilizzo di determinati dati, di campagne di marketing e quant’altro, devono essere organizzati sin dalle prime fasi di progettazione (by design) e per impostazione predefinita (by default) in maniera da garantire la sicurezza e la protezione di tutti i dati. Se si parte con un mindset che ragiona in termini di sicurezza e protezione, il sistema non può che nascere già robusto. Diverso, e alla fine anche molto più dispendioso, è quando vengono applicati in un secondo momento parametri di sicurezza e riservatezza in un sistema progettato e realizzato senza pensare a questi ultimi. Mi sento di dire che non è più il caso di “chiudere il server dopo che sono scappati i bit”...

Al link l'intervista in versione integrale