Federico Costantini: la cybersecurity in Italia è a un buon livello

Lo dice l’esperto di informatica giuridica Federico Costantini, che abbiamo intervistato per fare il punto della situazione in Italia (e in Europa), focalizzandoci in particolare sulla Pubblica Amministrazione.

Sicurezza informatica. Ma anche diritto alla privacy, tutela dei dati personali, profilazione e obbligo di trasparenza. Nel mondo iper-digitalizzato venutosi a creare (anche) in seguito alla pandemia, istituti pubblici e aziende private sono chiamate ad affrontare un compito spesso complesso: conciliare input che, talvolta, per loro stessa natura, anche giuridica, sono inconciliabili tra loro. Ne abbiamo parlato con l’esperto di informatica giuridica Federico Costantini, Professore incaricato presso il Dipartimento di Scienze giuridiche dell’Università di Udine.

Qual è la prima istanza “inconciliabile” che le viene in mente, parlando di tutela dei dati e rivoluzione digitale?

“Sicuramente lo smart working: se noi dovessimo prendere alla lettera i requisiti richiesti da un punto di vista giuslavorativo per fare SW… nessuno potrebbe farlo”.

Come mai?

“Perché per rispettare gli standard di sicurezza sui dati qualunque lavoratore dovrebbe lavorare in una stanza isolata e insonorizzata da cui non dovrebbe trapelare niente, dovrebbe parlare a bassa voce, non usare una rete wifi condivisa ecc.... è realistico pretendere che un appartamento privato di 60mq rispetti tutte queste caratteristiche?”

E che dire degli spazi co-working: “fuori-legge” anche loro?

“Questi potrebbero esistere solo adibendo una sala insonorizzata a parte per le riunioni e teleconferenze. Il principio è che nessun altro possa sentire ciò di cui parlo con clienti e/o colleghi”.

Meglio chattare che parlare, insomma

“Sicuramente chattare facilita le cose. Ma attenzione: anche i sistemi di messaggistica che utilizziamo più frequentemente sul lavoro hanno un problema di fondo che costituisce una violazione della privacy”.

Sarebbe?

“Sfruttano infrastrutture con base USA e, al momento, l’Unione europea è molto critica con l’uso che queste società fanno dei nostri dati. Secondo il diritto della Ue, infatti, anche un servizio come Google Analytics non dà sufficienti garanzie sulla privacy ai cittadini europei”.

Su ShopAltalex è disponibile:

Master online reati informatici e cybersecurity di Dal Checco Paolo, Michele Iaselli, Meloni Francesco, 2024,

Acquista ora!

Ogni giorno, navigando in Internet, passiamo metà del nostro tempo a selezionare, accettare e rifiutare cookies, molto spesso a caso. Dovremmo fare più attenzione secondo lei? E perché?

“Dovremmo fare più attenzione, sì, ma non solo per respingerli, anche per accettarli, perché alcune volte potrebbe far comodo essere profilati e ricevere solo proposte commerciali che interessano senza perdere tempo con quelle generiche. Il rischio, però, è la manipolazione sull’offerta”.

Cioè?

“Se per esempio una persona naviga tre volte consecutive su Booking.com con il suo indirizzo IP è possibile che le offerte proposte siano più alte che se navigasse ogni volta con un IP diverso. Alcune volte la profilazione è una gabbia che viene utilizzata per spremere meglio il consumatore”.

Perché negli Stati Uniti c’è meno sensibilità giuridica su questi temi, rispetto all’Europa?

“La base è culturale: l’individualismo lì è più preponderante e si dà per scontato che ciascun cittadino possa decidere da sé se condividere i propri dati e far valere il suo consenso. Sulla base di questo, però, si sono creati ‘mostri’ che nessuno si aspettava: innanzitutto spesso il consenso viene estorto perché senza non si potrebbe accedere a un servizio; in più la profilazione che grandi aziende ne fanno non è trasparente, spesso queste si scambiano dati per targettizzare utenti e per escluderli dal mercato se non sono come vorrebbero. Il punto fondamentale è che il dato personale è diverso dalla privacy, perché c’è un elemento collettivo dietro. Per questo il consumatore e/o cittadino va tutelato dall’alto”.

A questo proposito la nostra pubblica amministrazione che ruolo svolge? 

“Cruciale, ma purtroppo spesso manca la formazione dei dipendenti. E mancano anche responsabili della transizione digitale che coordinino davvero i processi di digitalizzazione nel rispetto della privacy: purtroppo spesso questi o non ci sono o non funzionano, perché si tende a prendere gente poco competente in materia”.

Ultimamente si sono moltiplicati attacchi hacker, veri o presunti, a enti pubblici. C’è da preoccuparsi?

“In teoria l’Agenzia per l'Italia Digitale AgID ha definito misure di sicurezza minime per le PA, che sono quindi tenute a rispettare standard precisi. Lo stesso non si può dire dei privati, che però in questo senso hanno un interesse economico più che pubblico: se subiscono un attacco hacker perdono soldi e/o clienti”.

Ma a livello di cybersecurity come è messa l’Italia?

“A un buon livello e non lo dico per piaggeria. Tanto è stato fatto dalla nostra Agenzia per la Cybersicurezza Nazionale, applicando le linee guida ENISA dell’Unione Europea. L’attuale paradigma si fonda su resilienza e proattività: da un lato si adottano sistemi di Intelligenza Artificiale per segnalare e prevenire possibili attacchi hacker. Poi, se e quando arriva l’attacco, si deve essere in grado di tornare allo stato precedente nel più breve tempo possibile, comunicando entro 72 ore alle autorità competenti l’intera procedura messa in atto. Tutti sono coinvolti nell’incremento della sicurezza informatica, e sempre più l’aspetto giuridico e tecnologico dovranno essere integrati”.