Uno Stato o un’unione di Stati è sana quando i diritti fondamentali dell’individuo si bilanciano con le necessità di intelligence legate a contrastare fenomeni come il terrorismo, le reti criminali internazionali e le guerre. L’intervento di Giuseppe Colosimo, Cyber Security Director
A partire dall’11 settembre 2001 il mondo oscilla inevitabilmente tra la protezione della privacy in quanto diritto fondamentale dell’individuo e la protezione degli Stati dal terrorismo tramite i servizi di intelligence.
Nel primo caso l’esempio più evidente di protezione degli individui è la General Data Privacy Regulation adottata in Unione Europea nell’aprile del 2016 ed attiva dal maggio 2018. Progressivamente la GDPR è stata recepita ed integrata nelle leggi degli Stati Membri UE che la applicano sanzionando i trasgressori. Infatti da maggio 2018 a fine 2021 le infrazioni alle leggi sulla privacy sono costate 1,1 miliardi di euro alle imprese e ai soggetti internazionali finiti del mirino delle autorità e questo risultato dimostra che la GDPR non è uno scherzo, anzi è diventata una norma che non si può ignorare.
L’Italia rientra tra i Paesi più sanzionati e ciò non costituisce un demerito ma si può attribuire all’eccellente attività svolta dal Garante Privacy che opera dal 1997 e che a partire dal 2006 ha emesso dei provvedimenti specifici verso gli Operatori di Telecomunicazioni rafforzando progressivamente il proprio ruolo con competenze distintive in materia di privacy. Una delle caratteristiche rilevanti della GDPR è che è una norma transnazionale cioè non valida solo in Europa ma anche per chiunque tratta i dati dei cittadini europei.
Dall’altro lato la protezione dal terrorismo tramite azioni e servizi di intelligence e di controllo viene effettuata dai singoli Paesi; si può citare a tal proposito l’accordo “Five Eyes” costituito da Australia, Canada, Nuova Zelanda, Regno Unito e Stati Uniti. L’associazione Privacy International sostiene che “ciascuno degli stati Five Eyes conduce attività di intercettazione, raccolta, acquisizione, analisi e decrittazione, condividendo tutte le informazioni di intelligence ottenute con gli altri per impostazione predefinita”.
In questo contesto si può apprezzare un andamento ciclico tra privacy ed intelligence, vi sono periodi in cui la privacy è di primaria importanza ed altri in cui prevalgono le azioni di intelligence su scala globale. Il cambio di oscillazione deriva da eventi su scala globale che possono condizionare l’opinione pubblica e le politiche delle Nazioni. Inoltre se questa oscillazione è simmetrica, questo equilibrio è indice di democrazia e di sviluppo sociale. Certamente vi è anche una principale differenza geografica da aggiungere tra il mondo anglosassone e l’Europa che con il suo approccio umanistico mette al centro l’uomo prima di tutto e quindi la sua privacy. Non a caso in questa Europa non c’è più il Regno Unito che ha deciso di uscirne. Dall’altro lato dell’oceano ci sono gli Stati Uniti che hanno messo davanti ai diritti dell’individuo il business e le esigenze di Stato e di intelligence. Non è una guerra, neanche una contrapposizione, sono approcci diversi derivati da culture modelli economici e differenti percorsi di democratizzazione.
Approcci diversi ed un utilizzo improprio dei dati personali hanno generato anche una nuova dimensione ciclicità con il caso di Cambridge Analytica, non a caso una società britannica, che nel 2014 usò dati impropriamente ottenuti da Facebook per costruire profili di elettori. Cambridge Analytica è finita sotto inchiesta dopo lo scoop riportato nel 2018 dal New York Times in collaborazione con l’Observer e il Guardian.
Nell’ambito dei social media sono diffuse le pratiche di data monetization che solitamente vengono svolte nel rispetto delle leggi (GDPR inclusa) ma che nel caso di Cambridge Analytica hanno preso una pericolosa deriva ovvero quella di non utilizzare dati anonimizzati per consentire alle aziende di fare un sano sviluppo del proprio business bensì nel dare un nome ed un volto a potenziali elettori da convincere obliquamente, in modo subliminale, tramite i social media.
In questo contesto stiamo dunque assistendo alla “seconda wave” della GDPR in cui le aziende dei Paesi non appartenenti all’Europa hanno compreso di dover rispettare tale norma se intendono trattare i dati personali dei cittadini europei. Il valore di questa seconda ondata non è emerso per caso ma grazie ad un giovane avvocato austriaco, Max Schrems che non voleva che si desse per scontato che Facebook avesse il diritto di trasferire i suoi dati personali dall’Irlanda e trattarli negli Stati Uniti. Nel 2013 Schrems ha presentato un ricorso contro Facebook Ireland al commissario irlandese per la protezione dei dati, essendo l’Irlanda il paese in cui Facebook ha la sua sede europea.
Il ricorso mirava a vietare a Facebook di trasferire ulteriormente i dati personali dei cittadini europei dall’Irlanda agli Stati Uniti, dato il presunto coinvolgimento di Facebook USA nel programma di sorveglianza di massa di PRISM. Schrems ha basato il reclamo sulla legge della protezione dei dati dell’UE, che non consente il trasferimento di dati personali verso paesi extra UE a meno che una società non possa garantirne “una protezione adeguata”. Gli effetti di questa denuncia sono stati dirompenti ed hanno generato un effetto domino regolatorio che si è tradotto nella non validità delle norme secondo le quali le aziende americane trasferivano i dati dei cittadini europei negli USA (c.d. Privacy Shield).
Dopo questi eventi la casa madre di Facebook (Meta) ha preso la privacy dei propri utenti molto sul serio e Reuters ha riportato i contenuti di una nota interna circolata in Meta in cui si diceva che la società di social media si stava preparando ad una seconda metà del 2022 più snella per far fronte a pressioni macroeconomiche e a problematiche per la privacy dei dati per la sua attività pubblicitaria.
Questa notizia deve essere interpretata correttamente: da un lato Meta è stata obbligata a seguire un percorso di conformità stringente, dall’altro intende realmente attuare questo percorso che avrà impatti rilevanti sull’azienda. Ci sono due motivi sostanziali: il primo è che l’Europa continua ad essere uno dei mercati più rilevanti, interessanti ed avanzato a livello mondiale, il secondo, più sottile e delicato, è che Meta deve contrastare l’attacco dei social orientali anch’essi cresciuti in una condizione di green field. La maggiore tutela della privacy sui social per Meta costituirebbe un grande vantaggio competitivo di notevole rilevanza per il mercato europeo ma, siamo sicuri, anche una futura leva che Meta pubblicizzerà per distinguersi.
Non a caso uno dei maggiori produttori di smartphone su scala mondiale ha impostato una campagna pubblicitaria sulla privacy di giovani adolescenti perseguitati dalle app che fanno uso dei loro dati. A prescindere da quale sia il produttore o il social che maggiormente rispetta la nostra privacy, siamo ad un punto di svolta, a mio avviso, non solo formale. Noi addetti che lavoriamo nel mondo della cyber security e della privacy facciamo fatica a far comprendere alle aziende la necessità di investire pesantemente per implementare privacy e cyber security e non ci saremmo aspettati che produttori internazionali di smartphone ed Over The Top impostassero campagne pubblicitarie e piani di evoluzioni del business centrandoli sulla privacy dei propri clienti.
A questo punto ci viene in aiuto l’articolo “IT Doesn’t Matter” pubblicato nel maggio 2003 da Nicholas G. Carr che nell’Harvard Business Review scriveva un articolo ancora attuale. Carr sosteneva che l’ipotesi intuitiva che l’IT sia strategico è sbagliata in quanto ciò che rende una risorsa veramente strategica, che le conferisce la capacità di essere la base di un vantaggio competitivo duraturo, non è l’ubiquità ma la scarsità. Quando una risorsa diventa essenziale per la concorrenza ma irrilevante per la strategia, i rischi che crea diventano più importanti dei vantaggi che offre. I rischi operativi associati all’IT sono molteplici: guasti tecnici, obsolescenza, interruzioni di servizio, fornitori o partner inaffidabili, violazioni della sicurezza, persino terrorismo… e alcuni di essi si sono amplificati con il passaggio da sistemi proprietari strettamente controllati a sistemi aperti e condivisi.
Oggi, un’interruzione dell’IT può paralizzare la capacità di un’azienda di produrre i suoi prodotti, fornire i suoi servizi e connettersi con i suoi clienti, per non parlare della sua reputazione. In sintesi la chiave del successo per l’IT è la gestione meticolosa dei costi e dei rischi passando dall’attacco alla difesa. Eppure sono poche le aziende che hanno fatto un lavoro accurato per identificare e limitare le proprie vulnerabilità. Preoccuparsi di ciò che potrebbe andare storto può non essere un lavoro affascinante come speculare sul futuro, ma è un lavoro essenziale in questo momento. Carr nel 2003 teorizzava che la strategicità dell’IT risiede nel fatto che sia resiliente e sicuro dal punto di vista cyber. Aggiungerei che, al giorno di oggi, l’IT è strategico se gestisce in modo ottimale la privacy dei dati personali trattati. Il punto è stato compreso da alcuni Over The Top e Social Media che vogliono rendere distintivi e strategici i loro servizi rispetto a quelli dei concorrenti.
Ci sono dei tratti epocali in questo percorso che parte dagli attentati dell’11 settembre, passa per un articolo di Carr del 2003, per una causa di un giovane avvocato verso i Big dei Social Media, per la normativa GDPR e confluisce in variabili strategiche per i servizi IT: cyber security, resilienza e privacy.
Allo stesso tempo uno Stato o un’unione di stati è sana quando i diritti fondamentali dell’individuo si bilanciano con le necessità di intelligence legate a contrastare fenomeni come il terrorismo, le reti criminali internazionali e le guerre. Bisogna dunque prendere atto che vi è un primo livello che deve necessariamente tutelare la nostra privacy e deve consentirci di disegnare servizi IT che la rispettino. Vi è anche un altro livello che vede attivi i servizi di intelligence dei Paesi che in modo invisibile devono lavorare per proteggere i Paesi. Lo spazio (o dominio) digitale è sempre più scenario di una guerra, non solo la guerra degli hacker ma una battaglia volta a proteggere gli interessi ed il business delle grosse aziende globali che sempre di più devono giocare rispettando regole giuste e complesse dopo essere nate in un contesto di green field deregolamentato che ha consentito loro di crescere in modo indefinito. Ecco perché è il caso di fermarsi e di raccontare perché la privacy, la resilienza IT e la cyber security sono importanti!
Sitografia
https://www.bbc.com/news/articles/cp9yenpgjwzo
https://www.gdprsummary.com/schrems-ii/
https://privacyand.egeaonline.it/it/21/archivio-rivista/rivista/3453601/articolo/3453630
https://www.nytimes.com/2018/04/04/us/politics/cambridge-analytica-scandal-fallout.html