Cybersecurity: la protezione passa dalla cultura informatica

26/02/2015
di Silvia Calissi

Tra gli strumenti rivolti a contrastare la diffusione del terrorismo internazionale, si fa sempre più largo spazio la necessità di regolamentare lo spazio cibernetico. Nato come spazio immateriale privo di regolamentazione, oggi Internet riveste un’importanza centrale non solo per la gestione della vita politica, sociale ed economica di ogni Paese ma soprattutto per l’interconnessione dei sistemi informativi che rende il cyberspazio un amplificatore anonimo d’informazioni in tutto il globo. La cybersecurity si trova quindi sottoposta a forti iniziative regolatorie che, da quanto emerso dal recente convegno promosso dall’Accademia del Codice di Internet dal titolo “Cybersecurity e tutela dei cittadini“, devono avere un “approccio multilivello, globale e in grado di contemperare diritti e interessi in gioco”.

security_28577802_xxlE’ noto infatti come la cybersecurity debba inserirsi nella dicotomia tra il rispetto delle libertà fondamentali degli utenti in rete, quali ad esempio il diritto all’inviolabilità delle telecomunicazioni e del domicilio informatico, e il controllo della sicurezza collettiva per la difesa nazionale ed economica da attacchi di organizzazioni criminali.

I dati statistici mostrano come gli attacchi cibernetici a siti e reti informatiche non solo ledano interessi di privati e aziende nella loro individualità, ma siano compiuti, sempre più spesso, attraverso l’aiuto inconsapevole di utenti privati. Antonio Apruzzese, direttore del servizio di Polizia Postale e delle Comunicazioni, in occasione del convegno dell’Accademia, ha richiamato l’attenzione sulle botnet, ovvero batterie di computer utilizzate per commettere crimini dai postazioni di privati cittadini o amministrazioni pubbliche. I cyber criminali saranno sempre più interessati a rubare e vendere informazioni traendo vantaggio dall’accelerazione di connettività delle Internet of Things (IoT), specialmente per i dispositivi connessi ad ambienti business, sfruttando nuovi metodi per nascondere attività malevole. Anche le informazioni private e comportamentali saranno vendute come dossier di identità personali, così come già succede anche per le carte di credito rubate. Tuttavia, al momento, quello che preoccupa maggiormente i legislatori di tutta Europa è la necessità di una più ampia sorveglianza sui fornitori di connettività, di servizi hosting o di altri servizi internet per contrastare il proselitismo e la propaganda di gruppi terroristici.

I governi dei paesi occidentali, riconoscendo il potere di Internet e la sua capacità di convogliare consensi anche attorno a organizzazioni criminali, stanno operando per integrare strumenti normativi e strumenti non normativi, volti a regolamentare lo spazio cibernetico.

L’Italia ha intrapreso un cammino virtuoso per la tutela delle infrastrutture pubbliche, dotandosi di un piano per la sicurezza cibernetica”, ha affermato Apruzzese, inserendosi nel più ampio quadro normativo europeo dove sono in atto iniziative legislative per rendere omogenea la cybersecurity dell’Unione. In particolare, la Direttiva NIS (Network and Information Security), approvata dal Parlamento Europeo il 13 marzo 2014, fornisce il quadro di riferimento per il corretto bilanciamento tra la tutela della sicurezza pubblica e la tutela della riservatezza e dei dati personali, ponendo obblighi agli Internet Provider infrastrutturali e prevedendo lo scambio di informazioni reciproche (info sharing) per contrastare le iniziative criminose in rete. Recependo la direttiva citata, l’Italia ha adottato il Quadro Strategico Nazionale per la sicurezza dello spazio cibernetico, dove vengono individuate le linee d’intervento per potenziare la sicurezza del Paese; tra le altre: il miglioramento delle capacità tecnologiche, l’incentivazione della collaborazione e della partenrship tra Autorità nazionale e imprese e la promozione e diffusione di una cultura sulla sicurezza cibernetica.

Il rischio maggiore, nell’affrontare il tema del cyber terrorismo solo dal punto di vista normativo, è quello di adottare misure eccessivamente repressive. Inoltre il legislatore deve tenere conto non solo del bilanciamento tra diritti individuali e tutela della sicurezza collettiva, ma anche delle esigenze di carattere commerciale dei grandi fornitori di servizi di internet: essi devono farsi garanti sia della riservatezza dei relativi utenti che della loro libertà di iniziativa economica.

Google, ad esempio, mira a promuovere strumenti che garantiscono la sicurezza della navigazione ai suoi clienti, come “l’autenticazione a due step per i servizi come Gmail e l’utilizzo del safer browsing che permette agli utenti di essere allertati sulla pericolosità di alcuni spazi online”, evidenzia Andrea Stazi di Google. Anche l’adozione di tecniche di criptazione dei dati mirano a tutelare il privato: da una parte, creare grandi banche dati per la prevenzione dei reati potrebbe paradossalmente aumentare gli attacchi terroristici; dall’altra i dati criptati possono essere raccolti in modo criptato e consultati solo in presenza di un sospetto fondato. Altri strumenti utili sono quelli miranti a educare gli utenti della rete, quali ad esempio i counter-speech, ovvero sovrapposizioni alla pagina web considerata critica di messaggi a contenuto informativo.

Da questo scenario, emerge dunque l’impossibilità di tutelare il cyberspazio con iniziative autonome e unidirezionali. Servono iniziative normative condivise ed integrate tra gli Stati, condizione imprescindibile per l’interconnessione delle reti, affiancate da strumenti tecnici con approccio multilivello e in grado di bilanciare tutti i diritti e gli interessi in gioco.

Gran parte dei danni imputabili al cyber crime sono generati da una scarsa consapevolezza dei rischi informatici e dalla mancanza di una solida e diffusa consapevolezza informatica che protegga gli individui e l’economia, come sottolineato da Apruzzese. Fondamentale, sotto questo punto di vista, “la sensibilizzazione ad un uso consapevole dei mezzi per superare un problema che è prima di tutto di cultura“.

Riproduzione riservata ©

ALTRE NEWS

No-deal Brexit e IP

Brexit: gli impatti di un mancato accordo Il Department for Business, Energy & Industrial Strategy britannico ha recentemente pubblicato alcuni avvisi in merito agli impatti… Leggi Tutto

Mobile payment: le tutele tengono il passo dell’evoluzione?

Che si parli di tendenze positive degli utenti a fare acquisti attraverso lo smartphone o che si parli di problematiche legate alla sicurezza e al… Leggi Tutto

Obbligo disaster recovery per le PA? Scaduto dal 25 Aprile

Organizzare la sicurezza dei dati e dei documenti delle PA e realizzare procedure di emergenza per l´erogazione di servizi on line sono ormai priorità alle… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Colin Focus Day – GDPR e Compliance Software: la metodologia certificata di Colin & Partners

Appuntamento a Milano il 5 febbraio dalle ore 14.00.

Affronteremo i 5 temi chiave della Compliance di cui tiene ampiamente conto la metodologia certificata e lo schema di analisi di Colin & Partners.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form






Utilizzando questo modulo accetti la memorizzazione e la gestione dei tuoi dati da questo sito web.