Sicurezza integrata e normative: un binomio possibile?

di Ilaria Garaffoni

Due blocchi tematici a confronto: la sicurezza integrata, punto d’approdo ma anche di partenza per l’evoluzione tecnologica del comparto sicurezza, e l’impianto normativo di riferimento, con la privacy al centro, nei suoi difficili rapporti con il mondo dell’industria e le regole della domanda e dell’offerta. Questa la base contenutistica sulla quale si è scelto di imperniare la tavola rotonda dello scorso 30 novembre corso presso la sede di ANIE Sicurezza a Milano. Un binomio, quello della tecnologia e delle normative, che già dal titolo viene immaginato come dubitativo: funziona? Potrà mai funzionare? Senza dubbio esistono aspetti particolarmente spinosi della relazione tra normativa (e soprattutto tra uffici preposti all’assolvimento della stessa) e industria della sicurezza. Solo con riferimento alla privacy, si parte dall’assenza di un “ravvedimento operoso” (la prassi prevede, una volta verbalizzata l’infrazione, che le telecamere fuori regola vengano smontate – spegnerle od oscurarle non è ritenuto sufficiente), alla tuttora disarmonica prassi operativa e interpretativa delle diverse direzioni territoriali del lavoro, nonostante l’emanazione di un modello unificato di istanza, per finire con alcune richieste, talvolta davvero complesse da ottemperare, come la collocazione dei cartelli prima dell’area di ripresa.

Per rispondere dunque alla domanda sulla possibile conciliazione tra tecnologia e normativa, sarà bene partire da presupposti lessicali ben chiari, quindi dalle definizioni. Lo stesso concetto di sicurezza integrata, infatti, ad un approccio teorico, potrebbe essere inteso addirittura come sicurezza partecipata, cioè con un approccio ampio al tema, che contempla mezzi, persone e addirittura gli stessi utenti della sicurezza in un progetto di partecipazione e condivisione della prevenzione. Nel nostro campo, il concetto si restringe sul focus tecnologico dell’integrazione. Ma integrazione si declina su vari livelli, dall’interfaccia all’interoperabilità piena fino all’IoT e ancora oltre.

INTEGRAZIONE E NORMATIVA

Per Andrea NATALE – TYCO, esistono due chiavi di lettura per parlare di sicurezza integrata: da un lato l’interoperabilità, ossia la capacità di dialogo tra diverse tecnologie operata tramite software, dall’altro la convergenza di più funzionalità sull’hardware di uno stesso oggetto. Dotando ad esempio di intelligenza un sensore, quest’ultimo diventa a tutti gli effetti un dispositivo, ciò che sul fronte normativo lo pone di fatto sullo stesso piano di un sistema di videosorveglianza. Normativa privacy inclusa. Questa “espansione della copertura normativa”, già assodata per gli smartphone (capaci di visualizzare, riprendere e registrare), si allarga a macchia d’olio anche alla videocitofonia, allerta Riccardo VANNINI – URMET, chiedendosi se qualcuno abbia mai fatto questo tipo di riflessione in termini di privacy by design costruttivo. Se si dovesse applicare la normativa privacy anche alla videocitofonia evoluta, aggiunge Manuel BELLOTTO – VIMAR, occorrerebbe infatti ritarare la durata delle registrazioni, tanto per cominciare. Il problema, risponde l’Avv Marco SOFFIENTINI, non si pone in realtà nel caso di videocitofoni ad uso privato (es. in una villa), ma solo per quelli commerciali, industriali e anche condominiali. Lì la legge Privacy si applica, a partire dall’obbligo di informativa e di cartelli. Esiste comunque lo strumento dell’interpello alla DTL di zona, utile per ottenere suggerimenti e conferme su casi specifici (ad esempio una villa privata nella quale vive una badante si deve o meno configurare come luogo di lavoro, con applicazione dell’art 4 dello Statuto dei Lavoratori sul controllo a distanza?)

PROTOCOLLI APERTI

Ma per fare vera interoperabilità occorre primariamente aprire i protocolli: nel segmento antintrusione non ci si è mai curati di mettere in campo dispositivi dotati di piattaforme di comunicazione standard, né di garantire protocolli di sicurezza come quelli in uso in ambito IT. Se si vuole giungere ad un’integrazione occorre procedere su questo doppio binario, ricorda Florindo BALDO, CiesseComm. Per Flavio ZARLENGA - KSENIA SECURITY nei segmenti antintrusione e controllo accessi si sente la mancanza di un organismo tipo l’ONVIF, che nel video ha trainato con successo il processo di standardizzazione, ampliando e facendo crescere il mercato. Stefano RIBOLI – BOSCH Security Systems rammenta che nessun processo di standardizzazione, nemmeno l’ONVIF compliance, può rappresentare per l’installatore l’unica garanzia di completo funzionamento e interoperabilità. Ed in termini di sicurezza è necessario parlare anche di “Data Security”, argomento ancora più spinoso da trattare perchè in un mondo sempre più interconnesso sono i singoli dispositivi a dover garantire la protezione intrinseca dei dati. Per converso, tuttavia, l’utente finale raramente si mostra sensibile o interessato alla data protection, specifica Paolo AZZANI - Notifier/HONEYWELL. Nel campo bancario, però, ricorda Luigi COLLIMATO – PB ELETTRONICA, esistono standard e protocolli sicuri che permettono a diversi prodotti di dialogare tra loro in completa sicurezza. Intrusione inclusa. Infine, ricorda Giordano TURATI – TSEC, sarebbe bene orientare l’attenzione sull’affidabilità delle tecnologie di base nella sensoristica. Benissimo l’integrazione dei sistemi e lo sviluppo dei sovrasistemi tecnologici, ma stiamo delegando a tecnologie povere e in gran parte superate la protezione dei varchi e dei volumi, correndo il rischio di lasciare un punto debole fondamentale negli impianti di rilevazione.

SENSIBILIZZARE L’UTENTE

In effetti il problema della mancata sensibilizzazione si configura soprattutto nei confronti dei piccoli utenti, specifica Davide DELL’ORTO – DELETRON: se inserisci anche la privacy nell’offerta rischi di essere non concorrenziale perché la maggioranza degli installatori non si interessa minimamente del problema. Peggio ancora quando il cliente, pur avvertito dell’illiceità, chiede all’installatore di violare la normativa privacy: su chi ricade la responsabilità in questi casi? - si interroga Glauco CARMINATI – HIKVISION. Sicuramente anche l’installatore può essere chiamato in causa, risponde l’Avv. SOFFIENTINI, che suggerisce di elaborare una check-list di consegna del sistema anche “lato privacy” per precostituirsi delle evidenze in caso di successiva chiamata in causa del terzo. Ma la realtà – ricorda Carlo BLISA – TECNOALARM – è che troppo spesso l’installatore non si cura di operare nemmeno sulle proprie competenze di base (analisi del rischio, sopralluoghi, manutenzione): per ovviare a queste lacune, è essenziale insistere sulla formazione - tecnica ma anche normativa – in modo da rendere il canale più consapevole delle proprie responsabilità. L’integrazione richiede peraltro sempre maggiori competenze perché gli odierni sistemi di sicurezza sono ormai sistemi IT e la spinta verso l’integrazione proviene dal sempre maggior numero di dispositivi e sensori connessi. Trasformare i dati, dunque, una volta raccolti ed analizzati, in nuovi servizi per il cliente garantisce il reale valore aggiunto di tali soluzioni. Ma certo non è da tutti.  

EVOLUZIONE NORMATIVA

Per Luciano CALAFA’ – ELP sarà il Cloud a trainare l’evoluzione normativa, chiamata ora ad abbattere pregiudizi e silos e ad aprirsi a nuove fattispecie di disciplina. L’apertura presta il fianco però a diversi rischi, anche se il Regolamento Europeo sulla Pirivacy dovrebbe portare ordine anche su fronte della “nuvola”. Secondo AZZANI, sarà lo sviluppo dell’Iot la chiave per portare sicurezza sugli oggetti. Anche se, come ricorda BALDO, in ogni fase evolutiva sussistono tre poli – che rappresentano tre esigenze difficili da far collimare tra loro: tecnologia sicuramente, ma anche mercato e normative. E se le leggi nazionali ed europee che regolano il comparto vengono sempre e solo interpretate come freno allo sviluppo del mercato, allora diventa essenziale cambiare l’approccio se non si vuole restare al palo. Se infatti le leggi fossero intese come spinta a regolarizzare il mercato, in modo che tutti gli attori – lato domanda e lato offerta – possano vivere sicuri e operare in trasparenza sviluppando nuovi modelli di business e processi operativi più efficienti, allora lo scenario risulterebbe totalmente diverso. Un interessante “gancio normativo” potrebbe arrivare dalla Data Breach Notification, che si applicherà dal 25 maggio 2016. L’art. 33 impone, in caso di perdita di dati, che si informino tutti gli interessati (sic!) e che si notifichi la violazione al Garante fornendo tuttavia evidenza di aver posto in essere tutte le misure idonee a prevenire il danno. In un simile scenario, l’acquisto di soluzioni “privacy compliant” potrebbe avere un appeal decisamente maggiore anche per l’utente in genere insensibile alla tematica della tutela della riservatezza. Infine, un richiamo a fare sistema anche in questo contesto: ANIE dispone del knowhow necessario e delle interlocuzioni per portare anche le questioni tecnologiche più complesse all’attenzione del decisore, ha ricordato in chiusura Andrea CEPPI - ANIE.