Prima il caso EyePyramid, con l'Italia che si riscopre spiata dai fratelli Occhionero. Poi, a stretto giro, una falla di WhatsApp che mette a rischio le conversazioni fra utenti. È un periodo intenso per la cybersicurezza. E forse è il caso di farci l'abitudine, data la digitalizzazione. Abbiamo approfondito l'argomento con Giovanni Buttarelli, garante europeo della protezione dei dati.
Cosa ci insegna il caso EyePyramid e cosa sta facendo l'Europa per contrastare fenomeni del genere?
Quello che impariamo da questa vicenda è che la cyber security diventa un problema vitale e strategico nel quadro delle priorità di una moderna democrazia. Il caso EyePyramid rappresenta un delicato segnale di allarme ancora da capire per quanto riguarda la sua reale entità, ma che fa capire sin d'ora quanto il problema della cybersecurity stia crescendo per impatto, diffusività, lesività e rischi a livelli da prima inimmaginabili. La diffusione di software a scopo di ricatto, cumulativo o che agiscono nell'interesse di governi di altri Paesi con intrusioni anche in fenomeni rilevanti per la nostra democrazia, sta assumendo dimensioni non esattamente preventivate. L'Europa e i singoli stati membri sono dotati di un quadro sufficiente di regole che criminalizzano questi fatti e permettono agli organi investigativi di adottare le necessarie misure.
E l'Italia?
L'Italia è all'avanguardia per quanto riguarda l'abilità investigativa nel settore cybercrime e ha le carte in regola per quanto riguarda il quadro normativo. Il problema è piuttosto nella dimensione degli investimenti e degli sforzi che si fanno per allocare più risorse nel quadro della prevenzione di security breaches. Il regolamento europeo della protezione dei dati (GDPR) consente un salto di qualità. Parte dal principio che è insensato spendere per misure di sicurezza se non sono il massimo dell'evoluzione tecnologica. La sicurezza non è solo una linea di bilancio, è qualcosa di più se si vuole preservare l'integrità delle informazioni, la loro disponibilità, la normale funzionalità di enti, segreti aziendali ed industriali, interessi essenziali di un paese e salvaguardarne le infrastrutture nevralgiche. Auspico che questa prima applicazione del GDPR sia un momento, soprattutto per l'Italia, per riflettere su alcuni passi non ideali fatti in passato per quanto riguarda gli incentivi alla materia della sicurezza (ad esempio modifiche al codice della privacy e altri interventi di questo tipo).
WhatsApp e le sue falle. Sono reali? Qual è il rischio per gli utenti? Come vi state muovendo?
Whatsapp ha apprezzabilmente introdotto un protocollo di cifratura che ha offerto ulteriori ausili per rafforzare l'integrità delle informazioni end-to-end. Con i mezzi di comunicazione digitali è piuttosto fisiologico non riuscire a raggiungere sempre l'obiettivo, nonostante gli sforzi fatti. Sicurezza significa continuo investimento, verifica, assessment dei risultati, ripensamento, potenziamento, verifica di eventuali errori. Essendo un continuo work in progress, ciascuna lezione che può derivare da negligenze, incidenti di percorso o deliberate omissioni, deve rappresentare una lezione appresa. Ci vuole però anche trasparenza. È per questo che la disciplina dei security breaches, introdotta dal regolamento privacy, prevede un'informazione estesa al pubblico. Questo affinché i cittadini siano persuasi dell'importanza e dell'impatto di eventuali falle di sicurezza nelle loro comunicazioni. Le autorità di protezione dei dati, così come è stato per il caso Yahoo, stanno analizzando questa vicenda e presto potranno esprimere una posizione, se necessario.
Cosa può fare l'Europa (e cosa sta facendo) per tutelare la privacy dei suoi cittadini?
L'Europa ha già fatto molto per tutelare la privacy dei suoi cittadini. Il Regolamento e la direttiva appena approvati, che dovranno essere completati da altri elementi del pacchetto come la direttiva ePrivacy, è all'avanguardia su scala mondiale. I suoi prodotti non sono ottimali, ma è il massimo che possiamo ottenere allo stato attuale. In ogni caso i 111 paesi che in questo momento si sono dotati di una normativa moderna sulla protezione dei dati, si stanno largamente ispirando a questo modello, sia pure con i necessari adattamenti. Significa che almeno su questa tematica, ovvero dell'identificazione di diritti e doveri per quanto riguarda il trattamento dei dati personali, noi facciamo scuola. Per un continente come quello europeo, che soffre di un gap tecnologico, questo è già molto.
Quello californiano è un dominio digitale che deve preoccuparci?
Stiamo assistendo a un vero e proprio rinascimento in continuo sviluppo, in particolare nella Silicon Valley e Napa Valley, ma non deve creare ansie dal punto di vista del progresso tecnologico. Molti operatori stabiliti in quel contesto e che offrono beni e servizi da remoto, profilano le persone per l'utilizzo dei dati personali, ma con metodologie che dal 25 maggio 2018, data di entrata in vigore del GDPR, saranno al cento per cento soggetti alla disciplina europea. In pratica sta scomparendo il concetto di territorio. Ciò che conta è dove questi servizi vengono effettivamente prestati. Il GDPR deve rappresentare un incentivo per l'industria europea. L'ultimo rapporto della Commissione europea, contenuto in una comunicazione riguardante il fenomeno del Big Data, ha onestamente ammesso che soltanto 2 su 20 dei Big Data players sono stabiliti in Europa. Il GEPD, in occasione della Conferenza mondiale delle autorità della protezione dei dati, ha prodotto un documento su intelligenza artificiale e robotica per evidenziare le prospettive del breve periodo. Abbiamo quindi contribuito a ispirare la discussione a porte chiuse tra le autorità indipendenti su scala mondiale. Il potere del futuro non è nella politica, ma nella raccolta e utilizzo dei dati. Vincerà chi ha più informazioni, chi sarà più abile nell'accumularle, nell'usarle, nel rivenderle o nell'utilizzarle. La concentrazione dell'informazione è un fenomeno da analizzare non solo sotto il profilo della privacy, ma anche della competitività, al fine che ci siano pari opportunità per tutti.
Privacy e digitale possono andare d'accordo?
La privacy e il digitale vanno certamente d'accordo. Abbiamo inserito nella nostra policy quinquennale il motto che la protezione dei dati deve diventare digitale, deve liberarsi di formalità che erano adatte all'infanzia della società dell'informazione e non al mondo del Big Data. Il lavoro dei designers, dei produttori e distributori va incentivato il più possibile in modo che si adotti un orientamento privacy friendly, altrimenti l'intervento dei regolatori in materia di concorrenza e privacy sarà tardivo e poco efficace. Noi non possiamo orientare o prevedere lo sviluppo di nuove tecnologie, che evolveranno in modo invisibile a velocità inimmaginabile. Possiamo però provare a prendere più contatti con chi sviluppa queste tecnologie per fare in modo che siano orientate a servire i cittadini sin dalla loro concezione. L'articolo 4 del regolamento sulla privacy dice che lo sviluppo delle nuove tecnologie deve essere orientato a servire l'uomo e non il contrario. Non abbiamo intenzione di limitare, ma loro non devono dettare le regole del gioco. Oggi stiamo costruendo la società del futuro. Le scelte odierne saranno in campo per i prossimi 20 anni. Per questo sostengo che Big Data e Internet of Things non debbano essere più un tema per specialisti del settore, ma devono entrare da subito nell'agenda politica ed economica.

© Riproduzione riservata