L’aumento dei crimini digitali obbliga a una riflessione profonda sulle misure di protezione e prevenzione in ambito informatico. Sebbene siano stati introdotti strumenti di compliance per ridurre il rischio di attacchi e abusi, persistono vulnerabilità legate al fattore umano e alla progressiva esternalizzazione delle funzioni statali nella sicurezza digitale. L’analisi di Angelo Tuzza, consigliere scientifico della Fondazione Icsa e professore presso l’Università degli Studi di Roma Unitelma Sapienza
La proliferazione di crimini digitali che affastella le cronache ha portato commentatori, opinion leader e politici ad interrogarsi sulle cause ed i possibili rimedi (mitigazioni) ad un fenomeno rivelatosi endemico. E’ superfluo soffermarsi su quanto, nell’era cibernetica, le “conoscenze” di qualsiasi natura si siano dematerializzate, con la conseguente loro conservazione e circolazione telematica. Ancor prima, le organizzazioni – statuali o private – e gli stessi rapporti sociali affidano ormai ogni, singolo momento delle loro strutture, delle loro attività ed interazioni allo strumento digitale. Ciò ha reso necessario approntare sistemi di protezione informatica e, come sempre avviene, ha visto la parallela strutturazione di specifici ordinamenti di regole.
Tali, enormi, quantità di informazioni – qualora possedute – consentono infatti di indirizzare, quando non vincolare, stati, imprese, commerci, relazioni sociali, permettendo poi di modellare le reputazioni dei singoli e dei gruppi, favorendo alcuni e danneggiando altri.
È allora “naturale” conseguenza di tali capacità di condizionamento l’insorgenza di fenomeni quali quelli oggi alle cronache, laddove i precedenti mormorii circolanti tra addetti ai lavori sono oramai divenuti echi di consapevolezza diffusa. L’assunta notorietà e dimensione dei fenomeni distorsivi e criminali ha quindi obbligato quanti chiamati a porvi rimedio (o come premettevo, mitigazione) a chiedersi quali più efficaci misure possano adottarsi nell’immediato e nel medio periodo. La risposta non è banale. Ed invero, se è semplice immaginare che la soluzione risieda nel rafforzamento dei mezzi di difesa (non mi soffermo in questa sede sulle multiformi soluzioni tecniche ed organizzative possibili), più difficile resta comprendere come tradurre l’aumentata resilienza dei sistemi in concreta capacità di tenuta, fattore non scindibile dall’elemento umano e dagli intrinseci limiti che esso comporta. Emblematico di tale soglia è quanto emerso dalle cronache attuali, da cui si apprende come “responsabile della protezione dei dati” di un non secondario ufficio giudiziario italiano era stato preposto colui che, contestualmente, avrebbe commissionto illeciti dossieraggi fondati sul data breach. Ciò fa subito render conto come anche il più idoneo dei rimedi organizzativi o normativi lasci sempre, comunque spazio a comportamenti in grado di viziare gli impianti.
Con questo – si badi bene – non voglio affermare la superfluità di validi strumenti regolamentatori e di compliance, come ad esempio il rafforzamento delle previsioni (pur già esistenti) che inibiscono il c.d. pantouflage, ovverosia il fenomeno di porte girevoli tra pubblica amministrazione ed imprese private, che vede i funzionari delle prime assumere con immediatezza, alla cessazione dell’incarico, ruoli presso queste ultime. Quello su cui mi preme riflettere è, tuttavia, la necessità di porre quantomeno paritaria attenzione sulla dimensione sociale del fenomeno, verrebbe quasi da dire antropologica; una visione, quindi, che torni a porre al centro di ogni fenomeno il comportamento umano, cercando di indirizzarlo attraverso l’edificazione di una rafforzata dimensione culturale e di consapevolezza delle proprie funzioni. Il concetto di “awareness”, dunque, non andrà a contraddistinguere soltanto la necessità di conoscere i rischi connessi alle attività (oggi discutiamo di quelle digitali) ma, ancor prima, sarà correlato a quello del ruolo e della funzione. In questo senso appare particolarmente apprezzabile il tentativo di inversione culturale adottato dal legislatore degli appalti pubblici, che ha posto all’apice dei principi conformatori delle attività quello della “fiducia”, intesa come preconcetta attribuzione di garanzia di correttezza dei comportamenti di funzionari ed imprese. Ecco allora che, indicata la via, occorre poi rafforzarla (elemento che ad oggi un po’ manca), irrobustendo simmetricamente le sanzioni per quanti, destinatari di tale apertura creditizia vengano poi meno al pactum fiduciae concesso dalla legge. Una grande, incruenta rivoluzione che conduca le “consapevolezze” verso un nuovo rapporto tra funzioni e responsabilità, di cui credo il nostro Paese non possa ulteriormente fare a meno.
Come premettevo, tuttavia, non si vuole arrivare ad affermare che la costruzione di un nuovo “fattore umano” sia l’unica, seppur preminente, modalità di risposta alla domanda di contrasto e mitigazione degli illeciti. Ed invero, la predisposizione di ordinamenti ed organizzazioni idonee a favorire la liceità delle funzioni (pubbliche come private) è strumento centrale, da affiancare alla predetta, accresciuta “awareness” dei singoli. Ad esempio, focale rilievo hanno assunto negli anni più recenti gli impianti normativi volti ad intervenire sulla disciplina dei comportamenti e degli assetti, quali quelli dedicati alla prevenzione ed al contrasto della corruzione e dei conflitti di interesse, o più di recente, per rimanere nell’ambito digitale, le odierne legislazioni in materia di sicurezza informatica (Direttiva Europea NIS 2 e d.lgs. n.138/2024), che hanno ben delineato obblighi delle organizzazioni e comportamenti dei singoli, prevedendo alti momenti di responsabilità in caso di violazione dei precetti. Credo però che tali insiemi di fondamentali interventi, che interagiscono, ripeto, col comportamento umano, risentano di una genetica compromissione, una strozzatura che li rende ancora non del tutto efficaci a fornire risposta alla domanda di sicurezza digitale che ormai chiunque avverte. Essi, infatti, si appoggiano su di un terreno reso in partenza cedevole dal progressivo abbandono di un principio che sin dalla costituzione degli stati moderni si è posto a loro fondamento: quello dell’autosufficienza delle amministrazioni pubbliche. Ed invero, il sentimento che aveva condotto alla nascita stessa degli enti territoriali sovrani risiedeva nel riconoscere a quella e solo a quella struttura la capacità di garantire basilari necessità delle comunità, tra cui, in primis, la sicurezza di cui oggi discutiamo.
In altri termini, in epoca moderna le popolazioni avvertivano che solo attraverso un ente sovraordinato e portatore dell’interesse di tutti potevano garantirsi “beni” quali la sicurezza, e che tali obiettivi implicavano l’esistenza di un’organizzazione altrettanto comune. Il crescente allontanamento da tale paradigma – avviatosi negli anni 90 dello scorso secolo – ha viceversa consentito anche la completa esternalizzazione di funzioni statuali “core” quali quelle connesse alla sicurezza digitale, che viceversa andavano considerate incedibili all’esclusiva competenza privata; laddove, per morfologia, l’organizzazione non statuale è portatrice di legittimi interessi particolari, non necessariamente coincidenti con quelli pubblici. Aver immaginato un’amministrazione non più autosufficiente in settori fondanti la stessa ragione che giustifica l’esistenza dello stato, è così divenuto fattore di cultura germinatrice di illecito; basti pensare al (non certo casuale) fenomeno della illegale commercializzazione dei data base contenenti intercettazioni di comunicazioni disposte dalle autorità giudiziarie, in possesso di soggetti appaltatori privati.
A quanto ho appena osservato alcuni potrebbero obiettare che proprio i fatti venuti alla ribalta in questi giorni dimostrino come le violazioni siano state commesse per lo più da funzionari pubblici e che quindi nulla osterebbe, in principio, ad un allargamento ai privati addirittura di attività pay per use. Ma un tale argomentare, pur non in sé manifestamente illogico, non cambia la convinzione che, seppur apprezzabili in taluni settori non “core”, le attività da esternalizzarsi negli ambiti della sicurezza digitale andrebbero fortemente ponderate, comunque sottoposte a controllo pubblico ed assicurate unicamente attraverso stabili strumenti di partenariato, sottoposti a periodiche attività di audit. Ritengo, infatti, che il rafforzamento dell’autosufficienza pubblica, unita ad una nuova “consapevolezza” delle risorse umane (pubbliche e private), sia la risposta più efficace in termini di costi/benefici alla crescente necessità di cyber security delle infrastrutture, dei dati e dei connessi know how. Questo, in conclusione, potrebbe allora aiutare a trovare risposta al quesito che oggi tutti si pongono, senza ovviamente trascurare che nonostante ciò, si continuerà (purtroppo) sempre a leggere di dossieraggi, di furti di dati e di soggetti infedeli…magari, però, un po’ meno.
