Cybersecurity e Smart city: luci ed ombre di città interconnesse

24/01/2017
di Edoardo Gabbrielli

Le smart city vengono generalmente definite come quelle città che, a seguito di investimenti in capitale umano e sociale, nonché in infrastrutture tradizionali (es. trasporti) e moderne (es. ICT), alimentano uno sviluppo economico sostenibile ed una elevata qualità della vita. Questo altissimo standard è reso possibile attraverso una gestione ottimizzata delle risorse. Quest’ultima avviene tramite l’interconnessione delle infrastrutture e attraverso l’utilizzo di dispositivi come – ad esempio – contatori di energia intelligenti, dispositivi di sicurezza, elettrodomestici e automobili smart o sistemi di videosorveglianza.

Negli ultimi tempi stanno nascendo e crescendo diversi progetti di smart city, tant’è che il 60% dei Comuni con popolazione superiore a 20.000 abitanti – secondo il rapporto “Il Digitale in Italia 2016” di Assinform – ne ha avviato almeno uno, sebbene il 53% di essi abbia natura sperimentale e solo il 30% natura strutturale, con lo scopo di migliorare la vivibilità della città.

Intelligenza, dati, privacy: sviluppo e rischi

Come è facilmente immaginabile, rendere le nostre città sempre più “intelligenti” le espone a divenire computer-1591018_1280appetibili obiettivi per gli hacker. Una simile gestione si basa, infatti, sul continuo scambio di dati tra infrastrutture e dispositivi intelligenti che – a loro volta – raccolgono dati degli utenti. Il rischio di un attacco ai servizi critici di una smart city è molto elevato e, qualora si verificasse, potrebbe generare un serio danno alla privacy dei cittadini. Un aspetto, quest’ultimo, che potrebbe incidere in misura esponenziale sullo sviluppo di un settore che – a livello globale – viene valutato in centinaia di miliardi di dollari.

In effetti, lo scenario che abbiamo ogni giorno sotto gli occhi conferma che attacchi informatici e cybercrime fanno parte del mondo ICT quanto la sua diffusione. Già durante il 2016 abbiamo assistito ad un aumento degli episodi criminosi che hanno colpito Twitter, Financial Times, Spotify, Reddit, eBay e New York Times. L’Associazione Italiana per la Sicurezza Informatica ha rilevato – nel 2016 – una crescita del 9% del cybercrime sull’ultimo semestre del 2015; malware e ransomware segnano un + 129% e sono in forte crescita anche phishing e social engineering. Inoltre, viene evidenziato che il 57% degli attacchi gravi compiuti contro organizzazioni pubbliche e private sono stati effettuati con tecniche non sofisticatissime, come DDoS, malware e ransomware. Ciò dimostra quanto i nostri sistemi di difesa e protezione siano inadeguati nell’affrontare eventuali attacchi critici.

La risposta al rischio

Le istituzioni nazionali e internazionali si stanno muovendo per fronteggiare questi rischi, con lo scopo di garantire – tra le altre cose – la sicurezza dei dati personali. L’UE, ad esempio, sta finanziando – attraverso lo strumento finanziario “SC7 – Secure societies – Protecting freedom and security of Europe and its citizens” compreso nel programma di ricerca e innovazione “Horizon 2020 The EU Framework Programme for Research and Innovation” – alcuni progetti volti nello specifico a ridurre il cyber risk.

A progetti di natura prettamente tecnica per garantire la sicurezza dei nostri dati personali, si aggiungono i recenti, e significativi, interventi di tipo normativo. Nell’aprile 2016 l’Unione Europea ha adottato la GDPR (General Data Protection Regulation). Il nuovo regolamento europeo sulla protezione dei dati (Reg. UE 2016/679) fornisce degli spunti interessati in tema di sicurezza dei dati personali, grazie all’introduzione di nuovi concetti, tra cui quello di privacy by design.

City futuristicSignifica, in sintesi, protezione dei dati fin dalla progettazione di un trattamento dati. Impone l’adozione di misure tecniche e organizzative adeguate tenendo conto dello “stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità”. Le misure dovranno essere adottate durante l’intero ciclo di vita del dato personali, dal momento della sua acquisizione fino alla cancellazione. Esse dovranno garantire l’esattezza, la riservatezza, nonché l’integrità del dato personale.

Il Regolamento Europeo e il controllo del cyber risk

Il Regolamento, al suo interno, segnala inoltre alcune misure di sicurezza utili per ridurre il cyber risk, tra cui: cifratura, anonimizzazione e pseudonomizzazione. Quest’ultima permette che “i dati personali non possano essere più attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile” (art.4 comma 1, punto 5, Reg. UE 2016/679). Non essendo una vera e propria tecnica di anonimizzazione del dato, si limita a ridurre la correlabilità di un insieme di dati all’identità originale di una persona interessata. Per la GDPR questa misura è utile ed efficace per ridurre i rischi per gli interessati e aiutare titolari e responsabili del trattamento a rispettare i loro obblighi.

Oltre al principio della privacy by design, la GDPR per combattere il rischio di attacco informatico ha introdotto il cosiddetto PIA (Privacy Impact Assessment). Esso contiene un’attenta e precisa analisi del rischio, con lo scopo di prevenirlo e minimizzarlo. Contiene inoltre la valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità perseguite, la valutazione dei rischi per i diritti e libertà degli interessati, nonché le misure previste per affrontarli, includendo garanzie, misure di sicurezza e meccanismi per garantire la protezione dei dati personali e dimostrare la compliance alla GDPR.

Disaster Recovery e proattività per le smart city

Sempre in un’ottica di maggiore protezione dei dati dei cittadini delle smart city saranno utili procedure di smart-725843_1280disaster recovery (previste anch’esse dall’art.32 della GDPR), le quali consistono in una serie di misure tecnologiche e logistico/organizzative che hanno lo scopo di ripristinare sistemi, dati e infrastrutture in caso di attacco informatico. Questi processi saranno di fondamentale importanza per tutelare i dati e garantire maggiore sicurezza ai cittadini delle città intelligenti. La GDPR – attraverso l’introduzione dell’insieme di simili concetti riguardanti la cybersecurity – permette un’adeguata e corretta gestione del rischio derivante dagli attacchi informatici.

La cultura evoluta di una sicurezza informatica proattiva, dovrà essere parte fondamentale di progetti innovativi di tale portata che coinvolgono infrastrutture critiche e utilities fondamentali per il benessere e lo sviluppo di aree urbane connesse. Non può – e non deve – essere intesa come una soluzione “una tantum” né potrà essere considerata come uno step successivo nella costruzione di una smart city. Al contrario deve esistere come parte integrante del processo, consentendo una valutazione specifica delle differenti varianti di rischio, nonché quale successiva attività di monitoraggio sulla probabilità di avveramento e sui possibili effetti dannosi.

Riproduzione riservata ©

ALTRE NEWS

Trasferimento dati all’estero: la clausola contrattuale standard 2010/87/EU

“La rapidità dell’evoluzione tecnologica e la globalizzazione comportano nuove sfide per la protezione dei dati personali. La tecnologia ha trasformato l’economia e le relazioni sociali… Leggi Tutto

Al via il ciclo di incontri sul Diritto Informatico

E’ un mondo in continua evoluzione quello della tutela e della sicurezza delle informazioni, l’elemento normativo deve aggiornarsi continuamente per gestire in modo efficace i… Leggi Tutto

Decreto Sviluppo 2011: impatto Privacy

È stato pubblicato il testo del Decreto Legge Sviluppo 2011 che ha introdotto alcune modifiche sostanziali alla normativa in materia di privacy, andando ad incidere… Leggi Tutto

AziendaSpeech & Eventi

COLIN & PARTNERS

CHI SIAMO

Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI

Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Siamo felici di dare il nostro contributo in numerosi eventi che trattano di nuove tecnologie e business digitale sotto vari aspetti. Il nostro apporto si ispira ai temi di interesse legale che, sempre più spesso, coinvolgono l’intera organizzazione.

Inoltre, a cadenza mensile, organizziamo il Colin Focus Day, un incontro di approfondimento gratuito sempre molto apprezzato. A Milano, o in videoconferenza, il Colin Focus Day è occasione di confronto e networking su temi legali-informatici e business.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE

Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form






    * Informativa Privacy Autorizzo il trattamento dei miei dati personali secondo quanto stabilito dal regolamento europeo per la protezione dei dati personali n. 679/2016, GDPR.

    * (campo obbligatorio)
    Questo sito è protetto da reCAPTCHA e vengono applicate l' Informativa sulla Privacy e i Termini e Condizioni di Google.