Potremmo domandarci perché ci dobbiamo occupare senza indugio dei  temi legati alla cyber security. La risposta è semplice: questo tema acquista sempre maggiore rilevanza proporzionalmente al diffondersi delle nuove tecnologie. La sicurezza dello spazio cibernetico riguarda tanto i software (codici e programmi) che  gli hardware (router e macchine) e occuparsi di cybersicurezza significa  sicuramente tutelare aziende, enti, istituzioni. Ma sono anche le persone che quelle tecnologie utilizzano a dover essere tutelate. 

Sino all’esplodere della crisi pandemica il problema sembrava oggetto di discussione in circoli ristretti di addetti ai lavori. Una sorta di argomento “tecnico” relegato al mondo degli informatici. Poi siamo stati tutti catapultati in una dimensione cibernetica, in cui in realtà albergavamo già da tempo ma con scarsa consapevolezza, ed abbiamo compreso che la protezione di quello spazio, solo apparentemente virtuale, era un tema di interesse comune e, addirittura, primario.

Non a caso nel corso dell’ultimo anno e mezzo, segnato appunto dalla pandemia, abbiamo  visto un’escalation degli attacchi cyber a organizzazioni di ogni tipo, nella pubblica amministrazione e nelle strutture sanitarie, nel settore delle  imprese private fino  ai singoli cittadini. L’Italia è quinta nella classifica mondiale dei Paesi maggiormente attaccati dai cyber criminali con 129 minacce al minuto e un incremento del 20% rispetto al 2019, secondo le rilevazione di Check  Point Research (Cpr) .

Sono sotto attacco i settori dell’istruzione e della ricerca ma anche la Pa, la Sanità, l’esercito. Partendo allora dall’assunto che i settori infrastrutturali considerati fondamentali e strategici per ciascun paese oggi non sono più semplicemente fisici ma anche digitali, il rischio di violazione dell’infrastruttura, con intervento anche solo su elementi digitali, costituisce un grande rischio e un serio problema anche di legalità.

Quando ci riferiamo a queste infrastrutture dobbiamo pensare infatti a quelle di telecomunicazione ma anche di erogazione di energia elettrica, gas, acqua e similari, oltre, come abbiamo visto, a quelli sanitari e di gestione dei dati in possesso della Pa, specie a fronte delle implementazioni digitali previste dal Pnrr. Ad ora  risultano estremamente appetibili rispetto a possibili attacchi anche i settori bancari e assicurativi e, come dimostrato ampiamente anche in fase pandemica e nei mesi passati, quelli sanitari .

È intuitivo che, quanto maggiore diviene la dipendenza di questi settori dal digitale, tanto maggiore deve essere la progettazioni di tutele onde evitare danni ingenti. Del resto la sempre maggiore connessioni tra oggetti, persone, sensori, rende estremamente più fragile l’intero sistema. Il cyber space è continuamente in evoluzione perché l’implementazione tecnologica rende il mondo sempre più interdipendente e connesso.

Quando  si parla di cyber security è dunque opportuno fare riferimento sia alle misure di protezione contro attacchi informatici quanto alla necessità di assicurare la protezione dei diritti degli individui (pensiamo al diritto alla privacy). I dati pubblicati da molti osservatori del fenomeno hanno evidenziato un incremento importante degli attacchi informatici proprio a partire dal primo lockdown.

Spesso proprio utilizzando il trend “pandemia”, ad esempio, sono stati effettuati attacchi con modalità prevalentemente di phishing e social engineerin (che spinge gli utenti a rivelare password o informazioni ad esempio bancarie), il 21% delle volte in associazione al malware, software malevolo che ruba dati, spia e, in generale, provoca danni al sistema.

La criminalità cyber ha così piano piano abbandonato i vecchi virus e i worm ( piccoli software che si diffondono autonomamente in rete) e si è rivolta a nuove tecniche più sofisticate. È fondamentale dunque, da un canto, che la transizione verso attività digitali non sia disordinata e priva di programmazione, ma è parimenti necessario investire in ricerca e costruire una sorta di ecosistema che coinvolga pubblico e privato, educando contestualmente i cittadini (e anche lavoratori e lavoratrici) ad una maggiore consapevolezza dei rischi informatici. 

Se lo spazio digitale e le tecnologie informatiche sono un campo su cui si giocano partite di natura anche politica oltre che economica, l’Europa e i vari Stati membri devono fortemente investire in  ricerca. Dalle diverse versioni del Pnrr è stata espunta la creazione di un istituto nazionale che avesse come fine la promozione  e l’accrescimento, da un canto delle competenze e dall’altro delle capacità tecnologiche, industriali e scientifiche nazionali nell’ambito della sicurezza cibernetica e della protezione informatica.

Si può dunque correre il rischio di dovere sempre dipendere da soluzioni di altri paesi.  Per sviluppare la digitalizzazione del paese è invece necessario garantire lo sviluppo di un perimetro di sicurezza che coinvolga sia il settore pubblico che quello privato,  e dunque sarebbe davvero necessario costituire un laboratorio nazionale di ricerca e sviluppo sulla cybersecurity che possa mettere in sinergia sia il mondo della ricerca che gli stakeholder pubblici ed i soggetti privati.

In molti Stati membri, tra cui Francia, Olanda e Germania, sono già state studiate soluzioni di questa natura mentre in  Europa si è deciso di localizzare in Romania il centro di competenza europeo per la sicurezza informatica. Centro, questo, che sarà collegato ad una rete di centri di coordinamento nazionali e che gestirà le risorse finanziarie che i due progetti - Digital Europe e Horizon Europe –  dedicano alla ricerca sula sicurezza informatica nell’ambito del prossimo quadro finanziario pluriennale per il periodo 2021-2027.

Dunque credo sia necessario che si ripensi rapidamente a come creare un istituto di ricerca nazionale  capace di essere motore di ricerca e volano di sviluppo di soluzioni adeguate alle sfide che lo sviluppo della tecnologia digitale pone. Di certo il tema della cyber security, come abbiamo detto, attiene la sicurezza nazionale e dunque la scelta di un modello inclusivo e collaborativo, che sappia  mettere  a sistema competenze ed ambiti diversi, è necessario.

L’iter normativo, come si può leggere nello specchio della redazione di Idea Diffusa, è stato lungo ed ancora non totalmente definito. Se questo, a grandi linee, è il quadro, siamo ancora lontani però dall’individuazione e dalla prevenzione di tutti i possibili rischi connessi all’utilizzo delle tecnologie. Esiste un equilibrio delicato tra tutela del singolo (es: privacy) e possibilità di verifica di legittimità.

Esiste una necessità di progettazione di ogni possibile implementazione digitale che, dall’origine, tenga conto del tema della sicurezza. E questo tema assume maggior rilevanza se teniamo conto dell’enorme investimento in sviluppo e implementazione di tecnologie digitali che riguardano il settore pubblico. Le soluzioni digitali adottate in tema di erogazione dei servizi della Pa sono infatti centrali (vedi gli attacchi cyber a strutture sanitarie).

È necessario poi ripensare al tema della legalità in ogni senso (es: limiti alla sorveglianza/criptovalute e criminalità organizzata/deep web e cybercrime). Tutto questo, a partire da una formazione specifica, interessa anche la nostra attività di contrattazione, di tutela, di incentivo allo sviluppo di ricerca pubblica nel paese. 

Cinzia Maiolini, responsabile Ufficio lavoro 4.0 Cgil nazionale