Cybersecurity: la protezione passa dalla cultura informatica
Tra gli strumenti rivolti a contrastare la diffusione del terrorismo internazionale, si fa sempre più largo spazio la necessità di regolamentare lo spazio cibernetico. Nato come spazio immateriale privo di regolamentazione, oggi Internet riveste un’importanza centrale non solo per la gestione della vita politica, sociale ed economica di ogni Paese ma soprattutto per l’interconnessione dei sistemi informativi che rende il cyberspazio un amplificatore anonimo d’informazioni in tutto il globo. La cybersecurity si trova quindi sottoposta a forti iniziative regolatorie che, da quanto emerso dal recente convegno promosso dall’Accademia del Codice di Internet dal titolo “Cybersecurity e tutela dei cittadini“, devono avere un “approccio multilivello, globale e in grado di contemperare diritti e interessi in gioco”.
E’ noto infatti come la cybersecurity debba inserirsi nella dicotomia tra il rispetto delle libertà fondamentali degli utenti in rete, quali ad esempio il diritto all’inviolabilità delle telecomunicazioni e del domicilio informatico, e il controllo della sicurezza collettiva per la difesa nazionale ed economica da attacchi di organizzazioni criminali.
I dati statistici mostrano come gli attacchi cibernetici a siti e reti informatiche non solo ledano interessi di privati e aziende nella loro individualità, ma siano compiuti, sempre più spesso, attraverso l’aiuto inconsapevole di utenti privati. Antonio Apruzzese, direttore del servizio di Polizia Postale e delle Comunicazioni, in occasione del convegno dell’Accademia, ha richiamato l’attenzione sulle botnet, ovvero batterie di computer utilizzate per commettere crimini dai postazioni di privati cittadini o amministrazioni pubbliche. I cyber criminali saranno sempre più interessati a rubare e vendere informazioni traendo vantaggio dall’accelerazione di connettività delle Internet of Things (IoT), specialmente per i dispositivi connessi ad ambienti business, sfruttando nuovi metodi per nascondere attività malevole. Anche le informazioni private e comportamentali saranno vendute come dossier di identità personali, così come già succede anche per le carte di credito rubate. Tuttavia, al momento, quello che preoccupa maggiormente i legislatori di tutta Europa è la necessità di una più ampia sorveglianza sui fornitori di connettività, di servizi hosting o di altri servizi internet per contrastare il proselitismo e la propaganda di gruppi terroristici.
I governi dei paesi occidentali, riconoscendo il potere di Internet e la sua capacità di convogliare consensi anche attorno a organizzazioni criminali, stanno operando per integrare strumenti normativi e strumenti non normativi, volti a regolamentare lo spazio cibernetico.
“L’Italia ha intrapreso un cammino virtuoso per la tutela delle infrastrutture pubbliche, dotandosi di un piano per la sicurezza cibernetica”, ha affermato Apruzzese, inserendosi nel più ampio quadro normativo europeo dove sono in atto iniziative legislative per rendere omogenea la cybersecurity dell’Unione. In particolare, la Direttiva NIS (Network and Information Security), approvata dal Parlamento Europeo il 13 marzo 2014, fornisce il quadro di riferimento per il corretto bilanciamento tra la tutela della sicurezza pubblica e la tutela della riservatezza e dei dati personali, ponendo obblighi agli Internet Provider infrastrutturali e prevedendo lo scambio di informazioni reciproche (info sharing) per contrastare le iniziative criminose in rete. Recependo la direttiva citata, l’Italia ha adottato il Quadro Strategico Nazionale per la sicurezza dello spazio cibernetico, dove vengono individuate le linee d’intervento per potenziare la sicurezza del Paese; tra le altre: il miglioramento delle capacità tecnologiche, l’incentivazione della collaborazione e della partenrship tra Autorità nazionale e imprese e la promozione e diffusione di una cultura sulla sicurezza cibernetica.
Il rischio maggiore, nell’affrontare il tema del cyber terrorismo solo dal punto di vista normativo, è quello di adottare misure eccessivamente repressive. Inoltre il legislatore deve tenere conto non solo del bilanciamento tra diritti individuali e tutela della sicurezza collettiva, ma anche delle esigenze di carattere commerciale dei grandi fornitori di servizi di internet: essi devono farsi garanti sia della riservatezza dei relativi utenti che della loro libertà di iniziativa economica.
Google, ad esempio, mira a promuovere strumenti che garantiscono la sicurezza della navigazione ai suoi clienti, come “l’autenticazione a due step per i servizi come Gmail e l’utilizzo del safer browsing che permette agli utenti di essere allertati sulla pericolosità di alcuni spazi online”, evidenzia Andrea Stazi di Google. Anche l’adozione di tecniche di criptazione dei dati mirano a tutelare il privato: da una parte, creare grandi banche dati per la prevenzione dei reati potrebbe paradossalmente aumentare gli attacchi terroristici; dall’altra i dati criptati possono essere raccolti in modo criptato e consultati solo in presenza di un sospetto fondato. Altri strumenti utili sono quelli miranti a educare gli utenti della rete, quali ad esempio i counter-speech, ovvero sovrapposizioni alla pagina web considerata critica di messaggi a contenuto informativo.
Da questo scenario, emerge dunque l’impossibilità di tutelare il cyberspazio con iniziative autonome e unidirezionali. Servono iniziative normative condivise ed integrate tra gli Stati, condizione imprescindibile per l’interconnessione delle reti, affiancate da strumenti tecnici con approccio multilivello e in grado di bilanciare tutti i diritti e gli interessi in gioco.
Gran parte dei danni imputabili al cyber crime sono generati da una scarsa consapevolezza dei rischi informatici e dalla mancanza di una solida e diffusa consapevolezza informatica che protegga gli individui e l’economia, come sottolineato da Apruzzese. Fondamentale, sotto questo punto di vista, “la sensibilizzazione ad un uso consapevole dei mezzi per superare un problema che è prima di tutto di cultura“.