Italia e cybersecurity: tiriamo le somme del 2019

Indice

Il 2019 è quasi finito e quindi può essere utile cominciare a tirare le somme in merito a come l’Italia ha reagito a questo anno (molto difficile) in ottica di cybersecurity.

La Privacy

Il lavoro, a parer di chi scrive, pregevole del Garante della Privacy ha tenuto testa ad una grande rivoluzione in ottica di privacy e sicurezza dei dati. Si tratta di un importante risultato per l’Italia che, forse veramente per la prima volta, mette al centro l’utente finale con una serie di regole e norme destinate a tutelarlo. Possiamo dire quindi che il 2019, più del suo predecessore, è stato l’anno della privacy: un anno fatto di consolidamenti, di assestamenti di concetti e tecnologie finalizzate ad accogliere il regolamento europeo e con la chiusura di questo 2019 ci si aspettano anche le prime ispezioni da parte della Guardia di Finanza per capire “se” e “come” sia stato recepito il GDPR da parte di strutture di media ed elevata complessità. Anche i più critici dovranno riconoscere che tutto questo parlare di privacy ha coinvolto istituzioni, aziende, privati cittadini, organi di stampa ha aumentato la consapevolezza nei confronti di questo argomento, cosa che prima non era pressoché presente.

Vi sono ancora enormi passi da fare per una corretta gestione della privacy, cominciando proprio dall’applicazione delle ispezioni e delle sanzioni ma non tanto per uno scopo punitivo, a nessuno interessa la punizione di per sé. È più un problema d’ordine, di far rispettare una norma in modo che possa consolidarsi una “buona prassi” sulla quale costruire il futuro. Era lo stesso futuro di cui si parlava al Dig.Eat organizzato da Anorc Professioni e diretto da Andea Lisi e di cui ho parlato qui.

AgID: capire chi sei è complicato anche per chi ti conosce da anni

Sono arrivato ad AgID passando per CNIPA mentre mio padre mi parla ancora di AIPA. C’è sempre una vena nostalgica in chi ricorda questi tempi e tra le critiche fatte al sito internet, in cui si ha certamente più difficoltà a recuperare in modo cronologico, ordinato e completo, il materiale accumulato negli anni, vi è chi si fa costantemente una domanda. Che cosa fa veramente l’Agenzia Italiana per il Digitale? Il Paese deve capire quali potere assegnare veramente all’AgID perchè il suo ruolo è così tanto importante e centrale che non può essere “limitata” nell’esecuzione dei progetti. C’è un bellissimo articolo del 2018 di Alessandro Longo (che saluto con affetto), nel quale parla (opportunamente) di “speranza”. L’articolo si intitola “PA digitale al bivio, tra rischio paralisi (politica) e speranza di una svolta” e lo potete trovare qui. C’è un passaggio molto bello del testo:

Poi però restano intatte quelle fortissime incognite di cui abbiamo già parlato, sulla governance del digitale. Sul chi-fa-cosa. […]La situazione è la seguente. Innanzitutto, è oggettiva un’asimmetria formale.[…]Da una parte, l’Agid è un’Agenzia che ha compiti ben precisi, assegnati dalle leggi, con responsabilità crescenti. Dall’altra, la struttura commissariale che, come dice lo stesso nome, è “straordinaria”. Ha poteri “straordinari”. Unici – per rilevanza – all’interno della pubblica amministrazione (in teoria, avrebbe il potere di commissariare qualsiasi ente e l’Agenzia stessa; anche se il potere formale e l’opportunità politica reale di farlo sono concetti molto diversi).

A. Longo – “PA digitale al bivio, tra rischio paralisi (politica) e speranza di una svolta” – 02 novembre 2018

Eppure sul tavolo di AgID gli argomenti non sono diminuiti, anzi sono aumentati: blockchain, intelligenza artificiale, ePayments, sono tutti argomenti paragonabili a galassie: ciascuno con i propri pianeti, i propri satelliti, le proprie leggi. Quest’asimmetria citata da Alessandro Longo diventa anno dopo anno sempre più stretta e mal tollerabile, con il rischio (serio) di danneggiare la percezione che gli addetti ai lavori hanno di AgID. Il 2019 è quasi terminato e della blockchain, nell’opinione pubblica, è rimasta una gran confusione: c’è ancora chi la collega solo alle criptovalute, chi non ha ben capito come funzioni e chi invece non si è ancora stancato di sbandierare il termine semplicemente ai fini di lucro. Possiamo fare di meglio, al punto che mi sono trovato in completo accordo con un articolo riportato da Key4Biz nel quale si scrive:

Al momento, la blockchain è strettamente legata, nella mente del pubblico, alle cryptocurrency, anche se cresce sempre più la considerazione per le sue caratteristiche intrinseche (sicurezza, trasparenza, controllo, crittografia, etc.) in riferimento ad altri campi d’applicazione, come distribuzione, registri digitali, condivisione dati, smart contract e pubblica amministrazione.

Fonte: “Come sostenere la diffusione della blockchain in Italia?” – Key4Biz – 09/09/2019

La percezione è un fattore importante al punto da poterlo definire intrascurabile. Importante per direzionare gli investimenti, importante per capire come creare la domanda e come segmentare l’offerta, importante per la crescita del Paese. Non si può quindi trascurare la consapevolezza globale, né aspettarsi che possa formarsi per partogenesi, come fosse magicamente generata. È un processo che va gestito e opportunamente controllato per evitare sbandamenti concettuali esagerati e poco professionali.

Hacking e Stampa

La costante presenza della stampa nel mondo dell’hacking e dell’ICT ha portato giovamento alla consapevolezza globale su determinati temi, prima ad appannaggio del primo “esperto” di turno. L’Italia ha avuto nomi che si sono veramente impegnati su questo settore, potrei farne alcuni al fine di orientarvi verso le mie scelte. Carola Frediani, con la sua “classica” mailing-list, ci ha portato in una visione globale e sistemica di ICT e azioni di hacking. Il tutto spiegato con chiarezza, una nota di umorismo e uno stile editoriale mai stucchevole. Su Twitter l’operato impareggiabile di Arturo Di Corinto e Raffaele Angius non manca mai e questo non è da dare per scontato. La presenza, a volte resa difficile da un dialogo non troppo civile da parte della comunità di internet, non è mai stato chiuso da parte dei giornalisti e la loro voce, poi riportata sugli organi d’informazione, ha permesso che si potesse parlare degli attacchi hacker di cui spesso cittadini, aziende e istituzioni sono vittime.

È stato un anno complesso per l’Italia dal punto di vista dell’hacking: i continui interventi di Anonymous Italia e LulzSec_ITA nei primi 6 mesi del 2019 hanno fatto contare oltre 60 attacchi tutti andati a buon fine. Se quindi da una parte aumenta la consapevolezza dell’esistenza di rischi informatici da parte dell’opinione pubblica, dall’altra non sembra smuoversi troppo la risposta di chi dovrebbe tenere alta i livelli di sicurezza. Vi ricordo che mancano pochi giorni alla settimana nera nella quale Anonymous Italia e LulzSec_ITA, potrebbero lanciare attacchi verso molteplici target del paese, dando evidenza della scarsità di sicurezza adottata da portali privati, pubblici e istituzionali.

Non è da dare quindi per scontato l’operato della stampa che nell’ICT, sta cercando di svegliare il pubblico orientandolo verso una maggiore attenzione a questi temi.

Consapevolezza e trasparenza

La consapevolezza aumenterà solo se ci sarà chiarezza negli argomenti espressi. Mi ricorderò sempre l’indignazione dell’Avv. Andrea Lisi quando, in procinto dell’entrata in vigore del GDPR, si lamentava a gran voce di chi vendeva le certificazioni per diventare DPO. Ora sappiamo che per ricoprire il ruolo di DPO non serve alcuna certificazione obbligatoria (benché un corso di formazione non guasterebbe). Ecco, l’indignazione di Lisi era giusta: le affermazioni contrarie alla realtà dei fatti generano caos e nel caos proliferano i disonesti ma, soprattutto, i rischi di cybersecurity.

Il 2019 è prossimo alla chiusura, il mio auspicio è che vi sia un aumento di questa consapevolezza. Un aumento basato su maggiore trasparenza anche da parte di chi scrive e legge: attraverso la corretta citazione delle fonti e la corretta voglia di sapere. Il chimico Dario Bressanini ha detto una frase molto giusta secondo me: ieri l’ignorante era la persona che non possedeva l’informazione, oggi lo siamo tutti perchè benché in possesso di informazioni abbiamo difficoltà a capire quale sia quella giusta.

Per certi versi è una condizione peggiore, bisogna lavorare per migliorarla, per avere un Paese più semplice ed efficiente. Le capacità non mancano e nemmeno la volontà, dobbiamo solo rimboccarci le maniche.