Il prof. Giovanni Ziccardi, docente di Informatica Giuridica all’Università degli Studi di Milano, da molti anni si occupa di tematiche e normative inerenti la rivoluzione digitale. Lo abbiamo intervistato su questo cambiamento denso di opportunità per i cittadini, le imprese e le pubbliche amministrazioni. Ma anche pieno di rischi che ancora in molti casi si stenta a comprendere e ad affrontare.
Indice degli argomenti
Cyber security, all’Italia serve una visione
L’Italia si sta dotando di una normativa in materia di cyber sicurezza che interviene sotto diversi profili. Qual è il tuo giudizio e come ritieni che siamo posizionati rispetto agli altri paesi europei?
“Io penso che ci siano due aspetti “paralleli” che l’interprete deve analizzare in maniera obiettiva: il testo delle norme, in primis e, poi, la loro applicazione pratica, nel corso degli anni, in un determinato e specifico contesto nazionale.
Circa il primo punto, ormai tutte le norme, anche in tema di cyber security, sono molto simili tra loro. Ciò perché i principi fondamentali sono decisi, ad esempio, a livello di strategia di Unione Europea o, in alcuni casi, di politica internazionale e al singolo Stato è lasciato un margine di personalizzazione minimo.
Ciò, secondo me, è un bene: è impensabile, oggi, intendere la cyber security “isolata” e non collegata al flusso costante di dati e di comportamenti che attraversa il mondo. La creazione di un quadro omogeneo e coerente (come è stato fatto, ad esempio, in ambito di protezione dei dati e come sarà fatto nell’ambito dell’intelligenza artificiale) è, oggi, indispensabile.
La chiave è il coordinamento tra i vari Stati
Sul primo punto, quindi, direi che la normativa italiana sarà, “sulla carta”, coerente e conforme al quadro di cyber security di tutti gli altri Paesi. Non è più il momento di parlare di una “cyber security all’italiana” ma si parlerà di un quadro necessariamente coordinato tra tutti gli Stati.
Circa il secondo punto, invece, la situazione si complica. La maturità di un Paese nei confronti della cyber security, ossia l’attenzione che viene data dal mondo della politica e, soprattutto, da quello degli investimenti, è legata alla tradizione di quel Paese. Negli anni passati, in Italia, molta confusione è stata fatta circa la creazione di un quadro che si voleva omogeneo ed efficace ma che, in molti contesti, doveva improvvisamente “partire da zero”.
Del resto, in un Paese con una forte instabilità politica come il nostro, è fatto ormai comune (ma non corretto) che alcune iniziative partano e poi vengano abbandonate “in corsa” non perché fossero sbagliate ma, semplicemente, perché non più supportate da una forza politica (non più) di maggioranza.
Tanto per fare una battuta, in quasi trent’anni che mi occupo di questi temi, ho visto passare almeno una decina di “agenzie” e “tavoli” che avrebbero dovuto rivoluzionare l’infrastruttura digitale italiana e che ogni volta ricominciavano il lavoro da zero.
Oggi l’Italia paga, a mio avviso, l’incertezza politica degli ultimi vent’anni e la mancanza di un quadro politico (di una “visione”, mi verrebbe da dire) improntato alla continuità, che è essenziale per i progetti tecnologici. Questo, però, si tratta di un problema che ha riguardato e riguarda non solo la cyber security ma tutto il tema della informatizzazione del Paese.
Questo secondo punto sarà, secondo me, lo scoglio più difficile da superare”.
Non si separi la sicurezza personale da quella aziendale o pubblica
Ci sono trend sempre più attuali come il furto di identità: ritieni che i rischi siano solo per i cittadini nella loro sfera privata o invece a rischiare sono anche le aziende? In questo secondo caso, quali? Ci sono precedenti importanti?
“Il crimine informatico ha manifestato un cambiamento radicale: oggi gli attacchi più importanti sono portati contro le persone e il loro cervello, per cercare di entrare tramite loro nei sistemi. E, spesso, gli attaccanti vantano competenze tecniche minime. Il periodo del Covid ha peggiorato ulteriormente la situazione rendendo le persone più fragili e, quindi, più vulnerabili.
L’interprete, ma anche il mondo della politica, devono prendere atto di questo cambiamento e, soprattutto, del fatto che non si possa più separare una sicurezza personale da una sicurezza aziendale o pubblica. La persona è oggi il principale vettore per qualsiasi tipo di attacco, in qualsiasi direzione: che sia l’identità di uno, di tanti, il computer di un’azienda, di un ente o di una infrastruttura tipica.
Quattro adulti su 10 senza competenze tecnologiche di base
In questo caso, in Italia paghiamo la mancanza di alfabetizzazione informatica di amplissime aree di popolazione. Abbiamo una società digitale vulnerabile semplicemente perché quattro adulti su dieci e un professionista su tre, secondo gli indici DESI dell’Unione Europea, mancano delle competenze di base tecnologiche.
Vi è questa idea sbagliata, che circola, che l’Italia sia un Paese avanzato dal punto di vista tecnologico, forse perché il ragionamento si basa sul possesso di telefoni cellulari pro-capite. Ma la conoscenza della tecnologia, anche per proteggersi o per essere operativi, è tutt’altra cosa. In periodo di Covid abbiamo visto interi enti, sistemi (si pensi a quello del processo telematico) e aziende letteralmente crollare per incapacità di utilizzare anche le tecnologie più semplici.
Pochi investimenti sulla protezione dei dati personali
I rischi sono, quindi, per tutti. Rischio per il cittadino e l’utente comune ma, anche, per l’azienda, visto che il cittadino diventa anche “lavoratore” e accede ai sistemi informatici. Ed è sufficiente un solo anello debole – ossia un dipendente su mille – per far crollare tutto il sistema.
Purtroppo si investe pochissimo, ancora, in formazione sulla protezione dei dati e sulla cyber security personale.
Io da anni divulgo gratuitamente, sia sul mio canale YouTube sia con i podcast ZeroDays, ore e ore di video e audio di formazione per cercare di responsabilizzare anche l’utente comune su questi temi. Cosa, però, sempre più difficile, vista anche la maggior precisione degli attacchi e degli inganni che vengono ogni giorno portati”.
La sfida giuridica? Quella della cyber security personale
Le norme giuridiche tendono a inseguire i cambiamenti frenetici della tecnologia. Come ci riescono, se ci riescono? Quali sono le sfide giuridiche del futuro prossimo in questo campo?
“A mio modesto avviso, le sfide più grandi ci saranno nell’ambito della protezione dei dati delle persone fisiche.
La prima sfida giuridica che ci attende riguarda la gestione della potenza (di calcolo). Un domani sistemi di intelligenza artificiale consentiranno di individuare persone fisiche, correlate a un dato, con un processo di correlazione che la mente umana non è, al contrario, in grado di fare.
In altre parole: un dato che sarà anonimo per l’uomo, potrà non esserlo per la macchina. Gli studiosi definiscono questo aspetto come la capacità di “re-identificazione” che può avere una macchina, e rischia di mettere in crisi l’idea stessa di protezione del dato personale.
Vi potrà, poi, essere il rischio di un cambio delle finalità del trattamento operato “di sua iniziativa” dalla macchina.
Il timore, in questo caso, anche per i giuristi, è che una macchina intelligente “scelga” di sua iniziativa di cambiare la finalità del trattamento in base a dati, e previsioni, generate dalla macchina stessa in maniera indipendente (ad esempio: perché con le nuove finalità si può raggiungere più facilmente un nuovo obiettivo economico).
Una trasparenza da inseguire
In questo caso, il timore della catalogazione sociale “alla cinese” è ben presente anche nelle norme del legislatore europeo.
Un terzo punto, legato ai primi due, opera nell’ambito del principio di trasparenza: una società digitale sempre più complessa e oscura, caratterizzata da black box, renderà molto complessa l’attuazione compiuta del principio di trasparenza.
Il caso di Cambridge Analytics ha reso chiaro un pericolo kafkiano, ossia la perdita di controllo del nostro dato in una “burocrazia tecnologica”. L’impossibilità di tracciare il percorso dei nostri dati è un tema che riveste interesse anche per i giuristi.
Infine, un tema molto interessante è quello della supervisione umana.
La normativa dell’Unione Europea prevede, per tradizione, che comunque vi sia la possibilità di un intervento dell’uomo nei confronti della macchina per “aggiustare” eventuali output distorti.
In una società sempre più informatizzata, però, il tutto diventerà estremamente complesso da gestire nella pratica. Il pensare a un essere umano sempre presente per “uccidere” la macchina o cambiare gli esiti di un trattamento è, in molti casi, inattuabile”.
Gli strumenti per difendere la privacy ci sono
Sorveglianza globale, dati sensibili, cloud. Il quadro si complica. Quanto è messa a dura prova la privacy dei cittadini?
“Ogni giorno ci sono elementi che ci fanno sempre di più propendere per dichiarare una “morte della privacy” o, meglio, per una morte della privacy per come la conoscevamo negli anni Novanta e Duemila. Sicuramente, l’idea di privacy in capo, oggi, alle nuove generazioni è molto diversa da quella pre-tecnologica e pre-social.
Si è compreso come l’esibizione del dato, soprattutto di quello intimo, porti attenzione e visibilità, condivisioni e cuoricini, like e maggior evidenza nei risultati dei motori di ricerca.
Una parte di utenti, quindi, è ben contenta nel condividere anche gli aspetti più intimi in cambio di attenzione. Ho amichevolmente definito, in un mio libro recente (“Diritti Digitali”), questa categoria come quella degli “esibizionisti dei dati”.
Al contrario, chi è interessato a mantenere un buon livello di riservatezza può, oggi, contare su strumenti tecnologici specifici: penso alla cifratura dei dati, all’uso di Tor o di altri strumenti per mascherare l’IP, a browser che evitino il tracciamento, a sistemi di whistleblowing efficaci. Anche per i “paranoici”, quindi, vi sono buone possibilità per limitare il tracciamento e la sorveglianza quotidiana.
Mi sembra, insomma, che oggi la società tecnologica possa offrire sia al primo, sia al secondo tipo di utenti tutti gli strumenti affinché siano soddisfatti con riferimento alla gestione dei loro dati personali.
L’importante, secondo me, è che vi sia trasparenza in ogni tipo di trattamento. Fondamentale è che chi voglia esibire i suoi dati sia ben consapevole delle conseguenze di una simile profilazione e chi, invece, voglia “chiuderli” ne abbia la possibilità.
In tal senso, il consenso può diventare uno strumento centrale (ma non l’unico) per gestire queste due situazioni, ma deve essere affiancato da una responsabilizzazione (accountability) diffusa in capo a chi tratta i dati. Accountability che, in molti casi, non vi è”.
