L’Italia ha un problema con la privacy e, di conseguenza, con la cyber security. Nonostante siano materie ben distinte tra loro, il rapporto che le lega è più stretto di quanto si possa pensare, poiché sono entrambe cruciali per la protezione dei dati: quello della privacy è tema afferente alle informazioni personali, la cyber security è tema relativo al modo in cui le informazioni e i sistemi vengono protetti.
Non avere cura della privacy rende più difficile la vita di chi deve proteggere i dati in modo adeguato ma, ancora prima, lascia intravvedere delle lacune nella gestione dei rischi a cui ci si espone nelle proprie attività online.
I media, le autorità preposte e diverse organizzazioni divulgano con regolarità le strategie da seguire per una migliore profilassi ma ciò sembra non essere sufficiente. Questo ci spinge a cercare di capire per quali ragioni gli italiani non hanno a cuore la propria privacy, domanda che abbiamo posto a Enrico Morisi, ICT Security Manager.
Indice degli argomenti
Il rapporto tra gli italiani, la privacy e la cyber security
I report dai quali si può evincere questa mancanza italiana sono due. Il primo è curato da Panda Security e il secondo, di più ampio respiro, è il National Privacy Test (NPT) curato da NordVPN.
Il rapporto proposto da Panda Security ha sondato le abitudini dei navigatori italiani, francesi, spagnoli e tedeschi, giungendo a risultati poco edificanti che, in sintesi, possono essere riassunti così:
- il 70% degli utenti non si fa troppe domande quando condivide dati online ma si dice preoccupato di come siti e applicazioni possano farne uso (e questo appare un ossimoro)
- il 15% degli utenti riutilizza le password
- il 20% delle persone condivide le proprie password con amici, parenti o colleghi.
Questi dati dicono moltissimo e, per spiegarlo con un paragone comprensibile (e un po’ tirato per i capelli), comunicano che noi italiani temiamo i topi di appartamento ma non prestiamo molta attenzione a dove lasciamo le chiavi di casa.
Il National Privacy Test, che si estende a 175 Paesi, aiuta a entrare in modo più approfondito tra le attitudini degli italiani e, almeno in parte, dà indicazioni antitetiche a quelle restituite da Panda Security.
In sintesi, secondo il NPT, gli italiani si distinguono nel sapere creare password robuste (nel 97% dei casi) e sono bravi nel riconoscere offerte poco attendibili di servizi streaming (92%), così come sanno quali rischi potenziali si corrono salvando i dati delle proprie carte di credito nei browser (85%).
Il quadro, nel suo insieme, appare un ossimoro: da una parte gli utenti italiani seguono regole di igiene informatica e, dall’altra parte, sembrano non dare il giusto peso alla privacy.
I limiti della security culture
Autorità e media fanno continue campagne di informazione e prevenzione e queste, dati alla mano, sembrano non avere molto effetto sulla percezione dei rischi legati alla privacy.
Sembra che, almeno in materia di privacy, la conoscenza del problema non abbia ricadute positive sul comportamento degli utenti. Secondo Enrico Morisi, “Spesso ci si ‘limita’ alla condivisione della conoscenza, la cosiddetta security awareness che è assolutamente necessaria, pur rappresentando solo un aspetto della battaglia: la conoscenza, infatti, non comporta necessariamente un cambiamento del comportamento. Per determinare un effettivo sviluppo culturale dovremmo promuovere quello che viene definito ‘ABCs’ della cyber security: Awareness, Behavior and Culture”.
Consapevolezza e comportamenti possono essere resi più aderenti, continua Morisi: “Un altro aspetto decisivo è la cosiddetta “psychological acceptability“: l’obiettivo primario deve essere quello di incontrare la più ampia adesione possibile, un aspetto cruciale, diversamente le ‘avvertenze’ potrebbero essere percepite alla stregua di veri e propri ostacoli, spingendo inevitabilmente gli interessati ad aggirarle”.
Un cambiamento di paradigma che porta a una diversa somministrazione della cultura necessaria: “La security culture, quindi, non deve essere promossa ‘contro’ ma ‘con’ l’essere umano e la sua natura. Non si può pretendere che siano lette e comprese policy eccessivamente lunghe, complesse e incomprensibili, come non è immaginabile che una persona ricordi a memoria centinaia di password aderenti alle ormai note raccomandazioni di sicurezza: occorre puntare alla semplicità, alla chiarezza e alla sostenibilità, sviluppando, introducendo e promuovendo soluzioni innovative come, ad esempio, la passwordless authentication e il ricorso alle passkey”.
