L’intensità della minaccia cibernetica ha ormai superato il livello di guardia se l’Unione europea al Summit di Bruxelles dello scorso 18 ottobre ha deciso di dotarsi di un quadro giuridico che permetta ai Paesi membri di sanzionare individui e aziende responsabili degli attacchi. Ma attribuirne la responsabilità ad un soggetto, che si tratti di privato o attore statuale, costituisce – come noto – esercizio non facile. Il problema si pone soprattutto per le cosiddette “minacce ibride” che assumono la forma delle campagne mirate di disinformazione, insidiose e difficili da contrastare perché incidono sull’opinione pubblica e la rendono vulnerabile, alterando i meccanismi di formazione del consenso che sono alla base dello stesso processo democratico.
Di questo si è discusso il 15 e 16 ottobre a Bruxelles in occasione della conferenza su: “Election interference in the digital age” organizzata dall’EPSC, il think tank della Commissione europea, in collaborazione con la Task Force Sicurezza UE, per verificare come sensibilizzare governi, piattaforme digitali, ONG e affinare gli strumenti di reazione. Al centro dell’attenzione le prossime elezioni europee, con 400 milioni di persone chiamate al voto e la necessità di mettere in sicurezza il processo elettorale nel suo concreto svolgimento. Occorre infatti consentire alla popolazione di votare in libertà ed esprimere correttamente le proprie preferenze salvaguardando altresì la credibilità dei candidati, esposti al rischio di attacchi volti a minarne la reputazione.
La Commissione europea ha adottato una serie di misure per contrastare la disinformazione on-line. Si tratta della comunicazione del 26 aprile e del “Code of practice” del 26 settembre, con l’invito alle piattaforme digitali a utilizzare indicatori della credibilità delle fonti informative che consentano di verificare i contenuti veicolati e assumere impegni più efficaci per rendere più trasparenti i messaggi di propaganda elettorale. A ciò si aggiunge la creazione di una rete europea di “fact checkers” a livello nazionale, in stretta cooperazione con le piattaforme e l’industria pubblicitaria. Tutto ciò (ma questo evidentemente esula dai compiti della Commissione) insieme a responsabilità civiche accresciute in capo ai giornalisti, ai quali è affidato il delicato compito di sensibilizzare e stimolare l’opinione pubblica al vaglio critico e alla rigorosa verifica dei fatti.
D’altronde è parso a tutti evidente come la facile scorciatoia di affidare sic et simpliciter ad un ministero della verità o ai “signori del web” l’onere di filtrare le notizie sulla rete sia non solo impraticabile ma neppure lontanamente auspicabile. Di qui l’auspicio di una sorta di patto pubblico-privato che coinvolga autorità e operatori, a beneficio dei cittadini e della loro capacità di discernimento, basato su una serie di strumenti per contrastare chi lucra sulla disinformazione alterando i messaggi elettorali magari attraverso video falsi (anche solo parzialmente) ma verosimili per screditare o mettere in cattiva luce gli avversari politici. Le più recenti applicazioni dell’intelligenza artificiale e del machine learning rendono peraltro pressoché impossibile distinguere prodotti audio-video contraffatti senza l’ausilio di adeguati strumenti tecnici. Il che rende davvero inquietante lo scenario che si prospetta.
Che fare, dunque? Come misura generale, occorre evitare che i dati personali raccolti illegalmente siano usati per profilare utenti ai quali indirizzare messaggi elettorali personalizzati, come si teme sia avvenuto in occasione del referendum sulla Brexit nel Regno Unito o della campagna presidenziale USA del 2016 ad opera di Cambridge Analityca. Occorre poi rendere la scatola nera dell’algoritmo trasparente e verificabile, secondo quanto previsto dal Regolamento europeo in materia di dati personali (GDPR).
A ciò si aggiungono misure specifiche volte a proteggere la segretezza, la disponibilità e l’integrità dei sistemi di voto e dei dati personali coinvolti nel processo elettorale, vale a dire la registrazione dei votanti e dei candidati, la raccolta delle schede, lo spoglio dei voti e la trasmissione dei risultati. In tal senso il “Compendium on Cybersecurity of Election Technology” pubblicato a marzo sotto l’egida del Gruppo di cooperazione della direttiva NIS 2016/1148 rappresenta una guida completa ed accurata. Al fine di rafforzare lo “scudo protettivo” è stato anche proposto di applicare al processo elettorale misure tecnico-organizzative “adeguate” alla gestione dei rischi e alla prevenzione degli incidenti informatici secondo i meccanismi della NIS in presenza di un’“infrastruttura critica nazionale” o un “servizio essenziale”.
Insomma, nessuna formula magica in grado di scongiurare il pericolo, ma una serie combinata di strumenti per meglio fronteggiarlo, quali la necessità di rendere il cittadino in grado di distinguere i fatti dalle opinioni e l’informazione veritiera da quella distorta, fonti di informazione affidabili e autorevoli, un giornalismo di qualità.