Analisi, scenari, inchieste, idee per costruire l'Italia del futuro

Perché la cybersicurezza non è un punto d’arrivo ma un processo continuo | L’analisi di Giusella Finocchiaro, ordinario di Diritto Privato e Diritto di Internet all’Università di Bologna

Ultimamente si susseguono rapporti che presentano dati preoccupanti in materia di sicurezza.

Secondo il Rapporto Clusit 2024 sulla sicurezza Ict, nel primo semestre dell’anno scorso gli attacchi cyber censiti a livello globale sono aumentati del 23% rispetto al semestre precedente, con una media di 9 attacchi critici al giorno rispetto ai circa 4,5 eventi al giorno del 2019.

Il 7,6% degli eventi rilevati quest’anno a livello globale ha riguardato attacchi verso il nostro Paese.

Questo trend crescente è confermato anche dall’Enisa (l’Agenzia dell’Ue per la cybersicurezza), che tra il 2023 e il 2024 ha osservato 11.079 incidenti, come riporta nel suo Threat Lanscape Report 2024.

Questa escalation di attacchi ha stimolato l’emanazione di norme volte a proteggere la sicurezza informatica.

Con un fitto programma a più tasselli il legislatore europeo sta cercando di creare una sicurezza multilivello: dai singoli utenti, con norme a favore dell’igiene cibernetica e dell’alfabetizzazione digitale, alle imprese, imponendo requisiti di sicurezza a prodotti e servizi, fino a Stati membri e autorità nazionali, incaricati di elaborare una strategia per la cybersicurezza ma anche di dare il buon esempio.

Spesso si pensa che la sicurezza sia soltanto un problema informatico, ma in realtà investe molti diversi aspetti e può essere compromessa da minacce non solo di natura tecnologica.

“Only amateurs hack systems, professionals hack people”, così Bruce Schneier – uno dei massimi esperti di sicurezza informatica e crittografia – rilevava come il fattore umano rappresenti una delle criticità più frequenti e sottovalutate in ambito di sicurezza.

D’altronde le tecniche di social engineering, volte a carpire informazioni e dati personali manipolando le persone e facendo leva sull’errore umano, sono sempre più diffuse e gli unici mezzi di contrasto a questo tipo di attacchi sono l’educazione digitale e la cultura della sicurezza.

Non si può pensare sia sufficiente adottare misure sofisticate quando alla base gli operatori non sono in grado di distinguere una e-mail di phishing da una richiesta attendibile.

Ecco allora comparire, tra i vari requisiti normativi imposti dal d.lgs. 138/2024 di recepimento della direttiva Nis2, l’obbligatoria adozione di “pratiche di igiene di base e di formazione in materia di sicurezza informatica”.

Formazione che – si ricorda – è imposta in particolare agli organi direttivi e di amministrazione dei soggetti erogatori di servizi essenziali ed importanti i quali, in caso di inosservanza, potrebbero essere sanzionati, rispettivamente, fino a 10 o 7 milioni di euro.

La sicurezza va dunque affrontata con un approccio interdisciplinare, tenendo conto dei profili tecnologici, organizzativi e giuridici a essa connessi e responsabilizzando individui, imprese e Stati.

Come ho avuto l’occasione di illustrare al Women Economic Forum a Roma, la sicurezza non è definita una volta per tutte, come se si trattasse di una scatola chiusa, ma è necessariamente dinamica e deve dialogare anche con le norme vigenti.

Così, rispetto a uno dei temi oggi più discussi, occorre necessariamente che l’intelligenza artificiale si coordini e integri con la sicurezza.

Lo stesso AI Act, il Regolamento europeo sull’intelligenza artificiale, richiama il tema della cybersicurezza evidenziandone il “ruolo cruciale nel garantire che i sistemi di AI siano resilienti ai tentativi compiuti da terzi con intenzioni malevole che, sfruttando le vulnerabilità del sistema, mirano ad alterarne l’uso, il comportamento, le prestazioni o a comprometterne le proprietà di sicurezza”.

La garanzia di livelli adeguati di cybersicurezza è, in particolare, oggetto di obblighi specifici per i sistemi ad alto rischio e per i modelli di AI per finalità generali a rischio sistemico.

A ciò occorre aggiungere che la sicurezza non deve essere concepita come solo una check-list o solo una certificazione da ottenere.

Si tratta di un processo continuo di risk management che impone, periodicamente, analisi e valutazione di vulnerabilità, minacce, rischi e misure volte a gestire tali rischi, che possono essere accettati, mitigati, eliminati o finanche trasferiti (come accade stipulando polizze assicurative) ma devono essere affrontati.

La sicurezza ormai non è più un’opzione, ma deve essere messa in pratica da chiunque, a vario titolo, si serva di prodotti, servizi e sistemi interconnessi e deve tener conto di profili tecnologici, organizzativi, giuridici e umani.

Non è un punto di arrivo ma un processo continuo, da coordinare con molte normative oggi vigenti.

SCARICA IL PDF DELL'ARTICOLO

[bws_pdfprint display=’pdf’]

Iscriviti alla Newsletter

Ricevi gli ultimi articoli di Riparte l’Italia via email. Puoi cancellarti in qualsiasi momento.

Questo sito utilizza i cookie per migliorare l'esperienza utente.