Ci siamo, negli ambienti frequentati dagli esperti e dai bene informati si sapeva che sarebbe stata solo questione di tempo.
Un tempo sempre più breve e che scorre veloce, un tempo che macina record su record, generando allarmanti escalations, quasi quotidiane, sul fronte della cybersecurity, del rischio cyber e del problema di come tutelare efficacemente le informazioni personali (e non) in circolazione per far funzionare questo mondo sempre più dipendente da big data, smart phones, tablets, sistemi digitali e Internet delle cose e presto anche dall’intelligenza artificiale diffusa.
Ma finora questa escalation ha riguardato per lo più grandi players attivi nei diversi settori merceologici, industriali, terziari, o rilevanti piattaforme “mangiadati”, e talvolta istituzioni e soggetti pubblici simbolicamente colpiti da sciacallaggio informatico e sfida, anche per gioco, alla sicurezza del dato.
Questa volta, però, è diverso. E non poteva non essere cosi. Ad essere colpiti sono i produttori di chip e processori che stanno alla base della piramide invertita del valore della rete. La notizia circolava da tempo, ma solo alla vigilia della befana è esplosa in tutta la sua complessità e vastità travolgendo non solo questo o quel gigante del web, ma andando a toccare, potenzialmente, ogni singolo device che costella e, talvolta, arricchisce ma, talaltra, schiavizza la nostra quotidianità.
In questi mesi in cui la cybersecurity è diventata compagna della nostra vita, arricchendosi di miti e leggende popolari, anche perché tema di interesse anche cinematografico, abbiamo imparato tante cose, crescendo anche nella consapevolezza e comprensione del fenomeno. Oggi, ad esempio, sappiamo che i rischi connessi alla sicurezza dei sistemi informatici, che vanno dall’hacking diretto o indiretto di piattaforme istituzionali o di singoli siti web, con violazione degli account di posta elettronica, sino alle tecniche mirate di captazione di credenziali di accesso (user id e password) per svaligiare conti correnti, o clonare carte di credito e debito, o ricattare utenti, senza dimenticare il phishing e le frodi connesse agli acquisti online, sono molteplici.
Ma i rischi per la sicurezza dei sistemi non vengono solo da insidie esterne al perimetro degli stessi. Il cyberisk è costituito anche da violazioni di dati perpetrate dall’interno stesso di aziende ed istituzioni, da parte di personale fedifrago e senza scrupoli o talvolta anche a seguito di incidenti per scarsità di misure di sicurezza o per cause di forza maggiore.
L’esposizione al rischio incide sui dati (non solo su quelli personali) e su ciò che essi sono in grado di raccontare e fare: dai dati economici a quelli sulla salute, dalle informazioni rivelatrici dell’identità personale a quelle relative agli orientamenti sessuali e alla rete delle relazioni di ciascuno di noi, dai segreti aziendali alle strategie di marketing e vendita delle aziende. I dati poi muovono il mondo. Sono alla base dei sistemi di comunicazione e trasporto, del credito e della finanza, della politica, dell’intrattenimento, delle professioni, della sanità e dell’industria.
Il patrimonio da tenere al sicuro dal rischio cyber è pressocchè infinito e cresce esponenzialmente ogni giorno.
Esso è un rischio di sistema che riguarda ormai l’intero patrimonio informativo delle nostre complesse società, che può arrivare a mettere in crisi, paralizzandolo, ora il settore di trasporti, ora quello del credito, ora il sistema ospedaliero, ora la macchina della giustizia e della p.a, oppure può bloccare il sistema produttivo del Paese, dalle industrie ai servizi.
E siamo solo agli inizi della next big thing: l’intelligenza artificiale diffusa, che potrebbe dar vita, voce e movimento a robot, automobili e droni, che in caso di attacco cyber potrebbero anche rappresentare una seria sfida all’incolumità di tutti noi.
Non può più essere trascurata l’adozione di serie politiche di cybersecurity, non tanto e non solo, dunque, per le aumentate sanzioni, quanto piuttosto per il rischio di paralisi del sistema economico produttivo e sociale in cui viviamo, con tutte le conseguenze che possiamo solo immaginare.
Occorrerà dunque introdurre d’ora in poi misure di sicurezza informatiche adeguate ai rischi che i nostri dati corrono nei diversi ambiti in cui essi vengono trattati, ma potrebbe non bastare e sarà necessario incrementare, al tempo stesso, il ricorso all’assicurazione contro il rischio cyber, auspicando l’introduzione di meccanismi di protezione assicurativa obbligatoria, onde coprire quanto più è possibile il rischio e ridurre contestualmente il costo dei premi, rendendoli accessibili non solo alle più grandi aziende multinazionali, ma a tutti gli attori del mercato.
C’è anche da dire che per questo tipo di rischi taluni strumenti di contrasto ci sono. La questione è stata affrontata a livello comunitario con due diversi importanti atti dell’Unione Europea, da un lato il regolamento c.d. GDPR, sulla libera circolazione e protezione dei dati personali, che di cybersecurity vive e si alimenta, e dall’altro lato la direttiva c.d. NIS, sulla Network and Information Security, provvedimento tutto incentrato a porre in essere le misure per contrastare il rischio cyber a livelli macro.
Come noto, l’obiettivo della direttiva NIS è quello di raggiungere un livello elevato di sicurezza dei sistemi, delle reti e delle informazioni che si ponga come standard comune a tutti i Paesi membri dell’UE, migliorando le politiche di cybersecurity dei singoli Stati dell’Unione, ponendo in essere un obbligo di gestione dei rischi e di riportare gli incidenti di una certa entità in capo agli operatori di servizi essenziali e ai fornitori di servizi digitali.
Più pervasiva ed ampia è invece la portata delle norme sulla cybersecurity introdotte dal GDPR, che come noto entrerà in vigore tra quattro mesi, a maggio 2018 e che si applicherà a tutti coloro i quali tratteranno dati personali.
La riforma della normativa sulla privacy ha di molto irrigidito le norme sul data breach e più in generale sulla cybersecurity, introducendo un meccanismo di protezione progressiva e crescente basata sul rischio, la cui valutazione è rimessa ai soggetti che trattano i dati, con un potente potere di controllo ex post in mano alle Autorità garanti per la privacy, introducendo obblighi universali di notificazione ad esse e a tutti i soggetti interessati (che in taluni casi potrebbero essere milioni di persone) entro un termine piuttosto ristretto di 72 ore, intensificando fortemente la pressione che il sistema sanzionatorio previgente già faceva sentire sui titolari del trattamento dei dati.
Si passerà, infatti, in Italia dall’attuale massimo cumulato di sanzioni fino a poco più di 2 milioni Euro, al netto di eventuali moltiplicatori – sanzione che finora ha raggiunto il massimo di 11 milioni di Euro in Italia, lo scorso anno, nel noto caso dei money transfers – ad un massimo calcolabile fino al 4% del fatturato annuo globale di gruppo della società titolare o responsabile del trattamento.
Tutto quanto sopra, però, sarebbe stato sufficiente, come risposta del sistema, ai problemi di cybersecurity connessi alle attività di trattamento di dati effettuate da operatori pubblici e privati dotati di personalità e capacità giuridica e attivi nella filiera delle azioni quotidiane che reggono le complesse società in cui viviamo, se non fosse accaduto ciò che abbiamo scoperto qualche giorno fa, e cioè che anche i microprocessori che stanno alla base dell’operatività di laptop, pc, smart phones e tablets sono a rischio cyber.
Ciò che infatti scopriamo oggi – ed ecco perché ho titolato questo pezzo: è caduto l’ultimo velo – è che il rischio cyber può collocarsi anche più a monte degli attori che siamo stati abituati a qualificare titolari o responsabili del trattamento. Qui stiamo parlando di un problema che riguarda i produttori di software e hardware che solo in taluni casi possono ricoprire anche un ruolo attivo (titolare/responsabile) nella filiera del valore dei dati.
Il Gdpr che è la normativa più avanzata al mondo sul trattamento e la sicurezza dei dati e che reca formidabili strumenti plastici idonei a tutelare le informazioni e i diritti e le liberà che esse sono idonee a delineare – dalla privacy by design e by default, alla valutazione degli impatti data protection, dalla protezione dal data breach, al risarcimento del danno con inversione dell’onere della prova, dal diritto alla cancellazione, agli obblighi di informativa e consenso – non si rivolge purtroppo ai produttori, ma sempre e solo a data controller e data processor. E’ una legge sul trattamento del dato e quindi non può non riguardare chi il dato lo usa, come titolare del trattamento o come responsabile.
Anche laddove il legislatore europeo ha avuto la capacità di mettere in piedi con il Gdpr uno strumento – l’obbligo di privacy by design e default – che si traduce nella obbligatorietà di progettare qualsiasi bene o servizio nel rispetto dei diritti fondamentali e delle libertà dell’individuo, divenendo di fatto il più forte e straordinario baluardo dell’uomo contro il rischio di strapotere delle macchine e dunque traducendo in strumento con forza di legge i principi fondamentali della robotica delineati da Isac Asimov – lo ha fatto pensando agli utilizzatori di questi beni e servizi (titolari e responsabili del trattamento) e non già ai produttori.
Certo qualcuno potrebbe dire che restano in piedi gli strumenti di diritto privato (ed in taluni casi anche quelli di diritto penale) tradizionali che possono continuare a rappresentare una difesa e dunque un pungolo per i produttori di hardware e softwares ad investire di più in cybersicurezza.
Ma ciò, a mio avviso, non basta. La sfida che le nuove tecnologie recano all’uomo è duplice: da un lato le potenzialità e le opportunità di progresso e sviluppo che la tecnologia può rappresentare per il bene dell’uomo sono infinite (si pensi solo agli sviluppi in ambito sanitario e nel settore dei trasporti), dall’altro lato i rischi a questo punto iniziano ad essere altrettanto proiettati su una scala difficilmente immaginabile e controllabile con i soli strumenti che abbiamo a disposizione.
Sono necessarie dunque regole che travalichino i confini degli Stati ancor di più di quanto il nuovo art. 3, comma 2 del Gdpr non faccia già. Norme condivise non solo dai 27 Stati dell’Unione ma applicabili e enforceable su scala mondiale. Il progetto Pulse delle Nazioni Unite a New York, a cui in diverse occasioni ho partecipato, studia, attraverso i big data, le potenzialità della tecnologia per far fronte a mali vecchi e nuovi dell’umanità: la fame, la siccità, i cambiamenti climatici, le migrazioni, le guerre. Ma non basta più.
E’ tempo che le Nazioni Unite, l’Ue, gli Usa e ogni altro forum di Stati più o meno istituzionale inizino a porre in cima alla loro agenda dei lavori il problema della gestione del rischio cyber, anche connesso al trattamento dei dati personali, per una scrittura di norme e regole che possano salvare il mondo dalla paralisi dei sistemi, dalla fine delle libertà e della società che conosciamo, dal rischio di autodistruzione attraverso macchine non controllabili, dal rischio nucleare per falle nei sistemi di sicurezza degli armamenti, e dunque dalla catastrofe del genere umano.
