Dott. Profumo,
signore e signori,
sono lieta di poter aprire questo Convegno, insieme all’Amministratore delegato della principale società italiana attiva nel settore della tecnologia più avanzata. Questi nostri interventi, per così dire “istituzionali”, sono stati inseriti quasi come una premessa ai tanti altri pronunciati da nomi e società prestigiose, impegnate nel campo della sicurezza cibernetica.
Non credo che sia semplicemente una scelta volta a dare maggior lustro a questo evento; non ce ne sarebbe bisogno.
Credo, al contrario, che sia una scelta fondata sul ragionamento e su una constatazione: il mondo del web, il mondo “virtuale”, è abitato e vissuto da milioni – anzi direi miliardi – di soggetti i quali, in buona parte, agiscono autonomamente e indipendentemente l’uno dall’altro.
Questa è la grandezza e la potenza incredibile della rete. Ma questa è anche la sua più grande vulnerabilità.
Per continuare a poter usufruire pienamente delle immense risorse che ci mette a disposizione la tecnologia dell’informazione, e per poter accedere a tutti gli sviluppi che le nuove tecnologie ci promettono, dobbiamo necessariamente dedicare attenzione e risorse alla sicurezza dell’ambiente cibernetico.
Il mondo “virtuale” – lo scopriamo ogni giorno con maggiore chiarezza – è popolato da fatti reali e concreti che toccano la vita dei cittadini, delle imprese, delle istituzioni.
Sulle reti e negli archivi elettronici sono custoditi quei dati che ci consentono di lavorare, di conservare i nostri risparmi, di andare in vacanza – quando tutto va bene – e di essere curati – quando qualcosa va male –.
Tutti i servizi fondamentali che fanno funzionare le nostre città si poggiano sul corretto funzionamento delle reti informatiche; domani, con le cosiddette “smart cities”, questa stretta correlazione si accentuerà ulteriormente.
Molto semplicemente, non possiamo fare a meno di questa tecnologia e queste risorse. Si tratta di beni essenziali per la vita – anzi, per la sopravvivenza – della nostra società, ed è nostro dovere tutelare questo bene, mantenerlo integro e garantire a tutti la sua fruibilità.
Per questo motivo, il ruolo delle Istituzioni pubbliche è fondamentale.
È compito dello Stato tutelare la collettività nella sua interezza, proteggendola tanto dalle violazioni delle regole che si verificano al suo interno quanto dalle offese che vengono dall’esterno.
Ma proprio come avviene nel caso del mondo cosiddetto “reale”, non può essere solo lo Stato, nelle sue varie articolazioni, a tutelare la sicurezza del sistema e il rispetto delle regole.
Gli attori privati sono altrettanto importanti; lo sono i singoli cittadini e utenti, e lo sono, ovviamente in misura maggiore, le grandi realtà, quelle che gestiscono i dati e le reti e quelle che producono il software che fa funzionare il tutto.
Queste realtà, che sono private ma che hanno un’enorme responsabilità nella gestione e, quindi, nell’integrità di un servizio così fondamentale per tutti, devono essere associate, in tutto e per tutto, allo sforzo collettivo che dobbiamo fare, tutti insieme, per tutelare questo bene comune.
Non siamo all’anno zero, per fortuna, e proprio la composizione di questa sessione introduttiva chiarisce come grandi aziende e Istituzioni dello Stato devono sedere, fianco a fianco, e devono lavorare insieme, ovviamente nel rispetto dei rispettivi ruoli.
Ma oltre alla protezione dell’integrità dei sistemi informatici e della loro corretta fruizione, dobbiamo dedicare una grande attenzione anche ai “contenuti” che, attraverso la rete, giungono a destinazione, nei circuiti informativi, nelle nostre case, nelle stanze dei nostri figli.
La rete può essere attaccata e danneggiata, ma può anche essere utilizzata per fini malevoli, ed è proprio questo il rischio più grande che stiamo vivendo negli ultimi anni.
Penso, in particolare, alle “narrazioni” concepite e diffuse ad arte per reclutare e radicalizzare i nostri giovani, con l’obiettivo di farne degli assassini e, al tempo stesso, delle vittime destinate ad essere portate come esempio, per reclutare e radicalizzare altri individui.
Anche in questo caso, il lavoro da fare è enorme, perché la capacità di produrre questo genere di “narrazione” dell’odio e della violenza è molto sviluppata. Per troppo tempo abbiamo sottovalutato questa minaccia, e ora dobbiamo recuperare il terreno perduto.
Anche in questo settore, lo Stato deve fare la sua parte.
La Difesa, per quanto le compete, sta studiando questo genere di minaccia, e sta studiando anche come possano essere elaborate delle “contro-narrazioni” che ci permettano di contrastare i “racconti” di chi incita alla violenza e al conflitto. Avremo dei risultati fra pochi mesi, e li metteremo a disposizione degli altri soggetti chiamati a contrastare questo genere di minaccia.
Anche soggetti privati, ovviamente, anche perché mi pare che diversi attori molto importanti nel mondo cibernetico siano particolarmente attivi in questo campo.
Rispetto delle regole, quindi, lotta contro la cosiddetta “cyber-criminalità” e produzione di “contenuti positivi” rappresentano un terreno relativamente nuovo, dove si deve costruire una partnership importante fra pubblico e privato.
E non c’è dubbio che, in parallelo, debba crescere anche la conoscenza, la comprensione dei meccanismi di funzionamento di questo mondo, affinché si elaborino anche nuovi strumenti normativi, più aderenti ad una realtà tanto nuova da non poter essere efficacemente regolata secondo criteri elaborati per tutt’altre esigenze e finalità.
Questo è vero sul piano del diritto interno agli Stati, ma in grande misura è vero anche sul piano del diritto internazionale.
Esiste un problema molto serio, che tocca in particolare le responsabilità della Difesa. Già oggi, la distinzione fra pace e guerra, o l’identificazione dell’aggressore e dell’aggredito, sono diventate molto più difficili rispetto al passato.
Usiamo, per questo motivo, il termine di “conflitti ambigui” – un’altra definizione che si aggiunge a quelle di “conflitti asimmetrici” o di “guerra ibrida” che utilizziamo da qualche anno per cercare di descrivere la realtà.
Esiste oggi una forte vulnerabilità per tutti gli Stati, perché le potenzialità offensive degli attacchi cibernetici sono elevatissime, e le capacità difensive rischiano di arrivare troppo tardi per essere davvero utili.
Ed esiste una forte vulnerabilità del sistema di sicurezza internazionale nel suo complesso, perché non è affatto facile individuare le responsabilità di eventuali aggressioni e, quindi, attivare la Comunità internazionale per sanzionare i responsabili.
Anche la deterrenza non funziona, in questi casi: come si può minacciare una risposta particolarmente dura, se chi aggredisce potrebbe non essere mai riconosciuto come tale?
Per questi motivi, ci troviamo in una fase dove il rischio di un conflitto internazionale combattuto nella dimensione cibernetica è più elevato del rischio di un conflitto militare tradizionale, ma d’altra parte non possiamo escludere che dal primo si scivoli, senza controllo, nel secondo.
Dobbiamo allora immaginare soluzioni nuove che, in analogia a quanto fatto nei decenni passati per ridurre il rischio di conflitti fra grandi Potenze, permettano di costruire prima un ragionevole grado di trasparenza sui rispettivi “arsenali cibernetici” e, poi, ragionevoli misure di confidenza reciproca.
Non possiamo dis-inventare le tecnologie cibernetiche offensive, come non posiamo dis-inventare le armi nucleari.
Dobbiamo però costruire un sistema nel quale il ricorso a tali forme di offesa sia ostacolato, o reso inutile, o magari controproducente.
Credo ci sia spazio per ragionare, su un tema come questo, mettendo a lavoro competenze diversificate e che, probabilmente, non sono ancora abituate a lavorare insieme.
In passato è stato fatto mettendo insieme gli esperti delle più sofisticate tecnologie nucleari e missilistiche con gli esperti di meccanismi politici e decisionali e con quelli di diritto internazionale.
Oggi, io credo, si deve ampliare il ragionamento andando ad includere gli esperti di tecnologie cibernetiche.
Lo propongo come tema per il futuro; magari come argomento per la prossima edizione di CYBERTECH.
Per quest’anno, so che avete un’agenda già molto ricca di interventi e di argomenti.
Per cui, non mi resta che ringraziarvi per l’attenzione e augurarvi buon lavoro!