Cloud e identità digitale saranno le prossime sfide che l’Italia deve cogliere. Lo hanno detto i rappresentanti di Confindustria in audizione oggi in commissione Trasporti e Tlc della Camera, nell’ambito dell’indagine conoscitiva in corso presso l’organismo parlamenare sulla sicurezza informatica delle reti. Per introdurre gli argomenti, il vicedirettore generale di Confindustria, Daniel Kraus, ha ricordato un dato di McKinsey Global Institute: in Italia solo il 2% del Pil rappresenta l’economia legata a internet, a fronte del 3% in Francia e del 5% nel Regno Unito. “E’ un differenziale importante – ha detto Krauss – che va colmato per assicurare crescita al Paese”.
Identità digitale e cloud computing sono, per i rappresentanti di Confindustria, gli aspetti connessi allo sviluppo dell’economia dell’informazione più delicati dal punto di vista della sicurezza. L’evoluzione dei sistemi che richiedono l’utilizzo dell’identità digitale, per Cristiano Radaelli (Confindustria Digitale), è un tema centrale per molte attività economiche, e richiede diversi livelli di intervento: tecnologico, organizzativo e legale. “Gli operatori di rete e le banche dati devono poter accertare l’identità di chi si collega. E’ necessario garantire protezioni per assicurare la fiducia dei cittadini e facilitare la diffusione delle applicazioni digitali, che rendono poi profittevoli gli investimenti sulla rete”.
C’è una separazione, ha sottolineato Antonello Busetto, di Assinform, tra i due componenti che formano l’identità digitale, e cioè i dati identificativi (ID e password o pin) e le credenziali di autenicazione (identità effettiva dell’utente). “Il bancomat ha i suoi dati identificativi, ma può essere prestato o utilizzato dagli altri”.
Per “collegare” i due aspetti Busetto ha indicato le nuove tecnologie ‘biometriche’, come il riconoscimento delle impronte digitali, dell’iride o della simmetria facciale.
La protezione dell’identità digitale, tuttavia, per Fabio Guasconi di Clusit (Associazione italiana per la sicurezza informatica), è una condizione ancora lontana dall’essere raggiunta. “La situazione – ha esordito di fronte alla platea della commissione – è preoccupante. L’identità viene tutelata con strumenti – come il nome utente e password – nati per il contesto delle reti locali, negli anni ’60, inadeguati alla realtà della rete”.
L’azione per Guasconi deve essere soprattutto normativa e centrallizzata: “L’identità digitale oggi viene gestita in tanti piccoli ‘feudi’, come Google, o qualunque altro fornitore di servizi. Manca una piattaforma di base per permettere uno scambio tra questi soggetti”.
Il cloud computing si sta affermando in modo prepotente, al posto dei vecchi sistemi ‘residenti'”. Per Antonello Busetto, il sistema di conservazione dei dati “da remoto” solleva dunque delle tematiche su cui occorre confrontarsi. “Una delle conseguenze negative è la perdita di continuità operativa, e cioè la perdita dei dati. Quando abbiamo affidato i nostri dati e i nostri rapporti al sistema diffuso la continuità diventa essenziale, attraverso sistemi di backup e data recovery”.
Dello stesso avviso è Radaelli, che ha sottolineato “l’importanza di interventi da parte del legislatore per la tutela dei dati”.
Marzia Minozzi, di Assotelecomunicazioni, ha ricordato l’intervento dell’Autorità garante per la protezione dei dati personali sulla materia, volto a definire proprio delle linee guida normative.
“E’ importante – ha sottolineato – rendere consapevoli gli utenti di servizi di cloud computing dei rischi che possono essere corsi. Sotto questo profilo, è rilevante in particolare la nazionalità dei sistemi. Se il servizio è acquisito da un operatore nazionale, questo si impegna a rispettare la legislazione nazionale e comunitaria”.
Le cose sembrano un po’ più definite dal lato delle infrastrutture fisiche. “Il tema della sicurezza – ha spiegato ancora Minozzi di Asstel – è presidiato sia dal punto di vista normativo che istituzionale sia a livello comunitario che nazionale”.
“Sul piano normativo, i problemi di security (cioè tutela delle reti stesse), sono stati affrontati con la direttiva Eu 140/2009, recepita recentemente in Italia, che ha accresciuto le competenze dell’agenzia Enisa (Europea network and information security agency). Per le reti, l’agenzia sta portando avanti una serie di attività, incluse poi nel programma europeo per la protezione delle infrastrutture critiche. In Italia, l’Enisa è collegata direttamente al ministero dello Sviluppo economico, e dunque il raccordo con le istituzioni e con gli operatori è piuttosto stretto”.
Questi organismi e queste articolazioni dei lavori sulla sicurezza, ha aggiunto Minotti, “consentono di mantenere il passo sul piano della sicurezza, con gli elementi tecnologici e di standardizzazione delle reti. Non si deve infatti dimenticare che le azioni devono essere coordinate a livello internazionale”.
Al di là del livello minimo di sicurezza, così garantito, ci sono poi gradi successivi di tutela, che possono diventare elementi di mercato, e rispondono a diverse esigenze di comunicazione e protezione dei flussi comunicativi”.
