A valle dello splendido DigEat Festival, organizzato dalla Digitalaw Srl a Lecce nei giorni 27-29 novembre, si ritiene utile approfondire alcuni temi dibattuti durante l’evento.
L’idea che la cybersecurity sia esclusivamente un problema tecnico, appartiene ad una visione antica e obsoleta. Chiunque abbia anche solo sfogliato uno standard internazionale, si sarà reso conto della strategica importanza degli aspetti organizzativi e procedurali. In più occasioni è stato ribadito che la stessa NIS 2, all’articolo 24, parla di procedure, strategie, politiche come elementi essenziali per la tenuta di infrastrutture, informazioni e sistemi. Il ruolo che il CISO può assolvere all’interno delle organizzazioni (siano esse pubbliche o private) è fondamentale: riuscire a trovare una corretta armonia tra vari livelli di cybersicurezza e modelli organizzativi efficaci è un compito difficile e richiede competenze e conoscenze che non possono essere delegate ad un singolo apparato hardware o ad un prodotto software.
Un cambio di tecnica normativa
È stato importante rimarcare il cambio di tecnica di normazione che si è affermato con il GDPR: siamo passati da una “tecnica di normazione specifica” ad una “tecnica di normazione basata su principi”. La dimostrazione più fulgida di questo aspetto è dato proprio dal termine accountability che, ricorderanno i lettori, è stato oggetto di enormi dibattiti circa la correttezza della sua traduzione. Questo cambio di paradigma non si è esaurito con il GDPR ma è proseguito con testi come la NIS2, il DORA Act, e continuerà ad essere adottato proprio perché ritenuto più adeguato ed efficace. In merito alla parte più tecnica c’è da notare che molte procedure ritenute conosciute, siano in realtà applicate in modo ampiamente inadeguato; è stato discusso il caso delle attività di backup & restore. Tale procedura, che le aziende ritengono di eseguire in modo corretto, viene spesso eseguito in modo sbagliato a causa della inosservanza di alcune procedure fondamentali. In particolare è stato presentato l’orientamento degli standard più noti (come la ISO 27001) che esplicita le modalità con cui devono essere eseguite queste operazioni. Un altro aspetto ampiamente sottovalutato è il change management, particolarmente impattante sia sugli aspetti di controllo della filiera produttiva, sia su quelli contrattuali. In relazione a questo ultimo passaggio, e con particolare riferimento all’implementazione di modelli d’intelligenza artificiale, sono state analizzate le implicazioni contrattuali nella messa in sicurezza dell’infrastruttura. Non è sempre facile discriminare con esattezza le cause di un incidente informatico sulla base degli eventi: questo perché le responsabilità tendono ad essere spostate da uno all’altro attore ed in questi casi, purtroppo, la contrattualistica risulta inadeguata a gestire eventuali frizioni in modo costruttivo e rapido.
Un cambio di paradigma è possibile
Il metodo di normare anglosassone ha cambiato tutto: ha cambiato l’approccio alla norma per un giurista ma ha cambiato anche l’approccio ai diritti fondamentali per gli utenti finali. Ha permesso una elasticità dell’applicazione dei principi normativi di cui si sentiva particolarmente bisogno. Non si tratta però di vere e proprie novità: la ISO 27001:2013 già implementava aspetti legati alla verifica e monitoraggio della supply chain. Il Framework Nazionale di Cybersicurezza e Data Protection, iniziativa che ha origine nel 2015, già prevedeva molte misure poi riprese nel GDPR così come nella NIS 1 e 2. Le Misure Minime di Sicurezza ICT per le P.A. di cui alla Circolare 2/2017, discendono dai Critical Security Controls 6 (giugno 2016) del Center for Internet Security (CIS) che già implementavano integrazioni tra procedure organizzative e tecniche realizzative. È quindi possibile affermare senza alcun indugio che sono oltre 13 anni che l’informatica di qualità cerca di promuovere un approccio integrato e basato su procedure, strategie e politiche e non solo esclusivamente sulla tecnica.
Cambiamenti e resistenze culturali
I recenti sviluppi normativi hanno provocato una sensibilizzazione della comunità degli utenti finali verso i propri diritti. A livello internazionale il GDPR è diventato l’esempio di un paradigma normativo nuovo, possibile e copiabile (sono numerosi i casi nel mondo). Sul piano informatico, seppur con fatica e spesso con ritardo, si sta affermando un nuovo modo di realizzare e attuare soluzioni e architetture. Si era cominciato molti anni fa ponendo al centro i dati rispetto ai sistemi e si sta continuando prediligendo una visione infocentrica ad una puramente tecnica. È necessario continuare in questa direzione e la strada da fare è tutto fuorché semplice: la proposta Digital Omnibus, avente come scopo una semplificazione normativa trasversale su più fronti (AI Act, NIS 2, GDPR) alla ricerca di un’armonia indubbiamente necessaria dopo un periodo di ipertrofia normativa non indifferente. Tuttavia questa semplificazione sta facendo sorgere alcuni dubbi:
Un secondo pilastro è rappresentato dalla revisione dell’art. 4 dell’AI Act in materia di AI literacy. L’obbligo generale per provider e deployer di assicurare programmi di formazione uniformi è sostituito da un obbligo, in capo alla Commissione e agli Stati membri, di promuovere iniziative non vincolanti volte a garantire un adeguato livello di competenze e consapevolezza tecnica. Restano, invece, invariati gli obblighi formativi specifici per gli utilizzatori di sistemi ad alto rischio, che continuano a rappresentare un presupposto essenziale per un uso sicuro e responsabile dell’intelligenza artificiale. (Fonte: Altalex)
Il punto essenziale di questa modifica è la promozione del principio che la formazione possa essere declassata ad “iniziative non vincolanti volte a garantire un adeguato livello di competenze”. Se tale principio venisse accettato, si potrebbe convenire di estenderlo ad altri ambiti nei quali si è raggiunta, con fatica, una consapevolezza maggiore rispetto al passato. La formazione dovrebbe essere, a parare di chi scrive, un obbligo essenziale per scongiurare la diffusione inesatta di conoscenza o l’utilizzo inconsapevole di sistemi, apparati e applicazioni. Non si tratta quindi di attribuire alla formazione un valore “nozionistico” ma un valore legato alla “consapevolezza” circa l’impiego di sistemi e tecnologie.
La pressione degli Stati Uniti
Negli ultimi giorni il Presidente degli Stati Uniti Donald Trump e l’imprenditore Elon Musk hanno fatto affermazioni in merito all’inutilità dell’Unione Europea. Queste affermazioni sono nate soprattutto dopo che che l’Unione Europea ha adottato in tutela dei contenuti pubblicati su alcune piattaforme social.
La Commissione Europea, dopo quasi due anni, ha adottato una decisione di non conformità nei confronti di X per violazione degli obblighi di trasparenza previsti dal Digital Services Act (Dsa): la compagnia è stata multata di 120 milioni di euro, con una decisione criticata anche dal vicepresidente americano JD Vance. (Fonte: Adnkronos)
È bene chiarire immediatamente che questo tipo di commento rientra tra le reazioni scomposte a cui ormai si dovrebbe essere abituati. La cultura capitalista statunitense impedisce la fioritura di una serie di diritti e privilegi che indubbiamente rendono l’Europa più lenta nello sviluppo tecnologico ma anche più democratica nel bilanciamento nella gestione dei diritti. Certamente, da parte sua, l’Europa dovrebbe valutare di sviluppare soluzioni che la rendano meno esposta a meccanismi di lock-in da parte di altri paesi.
La tutela delle istituzioni
Questo contesto è stato anche turbato dalla vicenda che ha riguardato il Garante per la Protezione dei Dati Personali. Non è questo il luogo per dibattere di un argomento così complesso e poco chiaro nella sua interezza ma certamente è bene ricordare che se da una parte il giornalismo d’inchiesta è sacrosanto, va difeso ed è espressione della democrazia citata prima, è altrettanto vero che è opportuno fare attenzione al processo di demolizione delle istituzioni. Il Garante della Protezione dei Dati Personali ha svolto negli ultimi 10 anni un ruolo essenziale per la tutela degli interessati: i giuristi comprendono molto bene quanto abbia significato tutto questo. Sarebbe bene, quindi, distinguere le responsabilità personali da quelle istituzionali: non giova mai compromettere la credibilità di un’istituzione.
Conclusioni
Un cambio di paradigma è possibile ed è in atto ma è opportuno fare attenzione a quanto accadrà nell’immediato futuro: se da una parte è necessario creare armonia e coerenza tra le norme, dall’altra è importante non depotenziare l’impatto che queste possono avere nel migliorare l’impiego delle tecnologie. Bisogna certamente sviluppare maggiormente la presenza tecnologica dell’Europa nel quadro globale ma, al contempo, bisogna evitare manomissioni culturali al meccanismo democratico che ci ha reso migliori e più sensibili rispetto ai nostri diritti.
