La cybersicurezza e l’economia del Paese
La dicotomia tra tecnologia “buona” e tecnologia “cattiva” accompagna l’umanità da sempre, perché il progresso passa necessariamente per le incertezze e le legittime paure degli effetti delle nuove scoperte. Il progetto Manhattan che portò allo sviluppo della atomica è, forse, il più vivido esempio di come una tecnologia sconvolgente, frutto di una teorica capace poi di passare alla cruenta e devastante fase pratica – con gli attacchi alle due città giapponesi di cui quest’anno correva l’ottantesimo triste anniversario – e di creare un rischio esistenziale per l’umanità intera, possa risultare divisiva e contrapposta a seconda degli usi che si intende farne.
Al giorno d’oggi, questa condizione si sta verificando in termini assai simili con riferimento alle nuove tecnologie digitali, vale a dire basate sull’informatica, che sono il prodotto dell’incessante ricerca sviluppata principalmente dai grandi players commerciali (Nvidia, Amazon, Ali Baba, Apple, Microsoft, Tesla, Samsung, Oracle, Intel, cui si aggiungono operatori europei e di altri Paesi, meno noti al grande pubblico ma altrettanto influenti, si pensi alla cinese DeepSeek e alle società USA Databricks e Anthropic) e della comunicazione (Alphabet, Meta, X, Signal e molti altri meno conosciuti, come Telegram, WeChat, Line) che operano sulla Rete.
Proprio sulle finalità di utilizzo, come anche sulle possibili derive incontrollate di questi strumenti, il dibattito si mostra veramente aperto. Tra “apocalittici” e “integrati” dell’era digitale, studiosi, governanti, imprese e cittadini risultano equamente divisi.
Intelligenza artificiale, sistemi di riconoscimento facciale e biometrico, gemelli digitali e crittografia sono solo alcuni degli esempi di tecnologie in alcuni casi senz’altro utili, ma la cui applicazione può essere distorta e deviata a fini malevoli.
Ciò che le accomuna è che tutte presuppongono l’esistenza e il regolare esercizio della rete Internet che, a sua volta, si pone come tecnologia abilitante (si pensi all’importanza basilare della Rete nell’IoT, nel cloud computing e nella Big Data Analytics) ma dai molteplici utilizzi potenzialmente distorti. È sulla Rete che corrono le truffe informatiche e le rischiose challenge dei teenagers e su di essa viaggiano, sono archiviati ed elaborati volumi impressionanti di dati sensibili conseguentemente esposti alle dinamiche di data-breach. È sempre dalla Rete, poi, che dipende la comunicazione all’interno del Paese (ma questa considerazione, dal punto di vista territoriale, ben può estendersi al livello mondiale), tra le sue strutture di governo e di amministrazione e verso i cittadini, ma anche la comunicazione delle imprese che offrono servizi agli utilizzatori e quella, non meno importante e non meno sensibile, tra i singoli utenti, che a loro volta si avvalgono delle piattaforme digitali per dialogare (i cd. social), per fare acquisti (l’e-commerce) e ottenere prestazioni e servizi “pubblici” (attraverso lo SPID e la CIE è possibile accedere ai portali delle amministrazioni e di altri enti, come Agenzia delle Entrate, INPS, Agenzia Riscossione, ASL, ANPR, PagoPA e molti altri).
La Rete si conferma sempre di più come il cardine del regolare ed efficiente funzionamento della società globale che, pur escludendo le poche aree veramente remote del mondo, presenta ormai caratteristiche intrinsecamente e stabilmente “digitali”.
Da qui, il passo è breve per comprendere sia che la sua protezione rappresenta un interesse e un obiettivo costanti per chi la gestisce (il riferimento qui è all’ICANN, ai providers e agli operatori che gestiscono l’infrastruttura fisica di comunicazione digitale, si pensi ai cavi sottomarini intercontinentali come pure ai sistemi satellitari) e per chi la utilizza, sia che le strategie di protezione messe in atto hanno un impatto decisivo – in termini sia operativi ma anche economici – sul tessuto sociale, organizzativo, amministrativo e imprenditoriale dell’ambito di riferimento.
Una disfunzione o, peggio, l’interruzione del funzionamento della Rete, infatti, determinerebbe inevitabilmente conseguenze economiche sia dirette (blocco delle transazioni, impossibilità di fornire o rallentamento nella fornitura di servizi e trasporti, …) che indirette (difficoltà di recuperare dati e servizi gestiti via cloud, blocco delle comunicazioni, …), così che la cybersicurezza – ovvero la protezione della Rete e dei sistemi informatici che su di essa operano – si afferma a sua volta come fattore multipolare di protezione dell’economia del Paese.
Con il termine “cybersicurezza”, infatti, si fa riferimento all’insieme delle attività finalizzate a proteggere, sia nel settore pubblico che in quello privato, sistemi informatici, reti, dati e infrastrutture digitali da attacchi informatici malevoli diretti a bloccarne o ridurne l’operatività e a compromettere l’integrità delle informazioni. Tema questo molto sentito a livello europeo, nel quale non è un caso che siano sono state adottate numerose iniziative di regolazione. Tra queste, il Regolamento UE 2019/881 sulla cybersicurezza (il cd. «Cybersecurity Act», che potenzia l’ENISA – Agenzia Ue per la cybersecurity e fissa obiettivi e organizzazione per un quadro UE in materia di certificazione cyber per prodotti, servizi e processi), integrato dal successivo Regolamento UE 2023/2841 sulla cybersicurezza (che stabilisce misure volte a conseguire un livello comune elevato di cibersicurezza), il Regolamento DORA (UE 2554/2022), relativo alla resilienza operativa digitale per il settore finanziario (con la finalità di rafforzare e armonizzare i requisiti operativi di cybersecurity per i settori bancario, finanziario e assicurativo, criptovalute comprese), la Direttiva Network Information Systems NIS/2 sulla cybersecurity (che aumenta e armonizza il livello di sicurezza delle reti e dei sistemi informativi all’interno della UE), il CRA – Cyber Resilience Act (pacchetto di regole UE finalizzato a garantire la sicurezza e la resilienza dei prodotti digitali alle minacce informatiche), il Cyber Solidarity Act (che introduce un meccanismo europeo di protezione cibernetica condivisa tra gli Stati membri).
Sul piano interno l’Italia, seppur si sia mossa con un generale ritardo, ha mostrato interesse e attenzione verso queste tematiche, comprendendo l’importanza del settore e la centralità delle problematiche potenzialmente derivanti da fattori malevoli esterni in grado di incidere sull’efficienza delle reti e dei sistemi digitali, siano essi pubblici che privati. Già con il d.l. 105/2019 (poi convertito con L. 18 novembre 2019, n. 133), che ha introdotto il cd. Perimetro di sicurezza nazionale cibernetica, il nostro Paese ha saputo cogliere la connessione e l’interdipendenza esistenti tra cybersicurezza ed economia nazionale, assegnando un ruolo proattivo e strategico di protezione informatica ad un gruppo selezionato di operatori sia pubblici che privati la cui funzione svolta, o il servizio offerto, sono ritenuti essenziali dal governo. Con il d.lgs. 123/2022, poi, sono stati ripresi i contenuti del Cybersecurity Act europeo, mentre il d.lgs. 134/2024 ha recepito la Direttiva UE 2022/557 (cd. CER – Critical Entities Resilience, con cui si prevede che gli Stati membri individuino un elenco di soggetti critici, sia pubblici che privati, nei settori vitali della società e dell’economia nazionale, imponendo una serie di misure di protezione). Infine, il d.lgs. 138/2024 ha recepito la Direttiva NIS 2 e ha sia introdotto regole di coordinamento e condivisione dei dati rilevanti, sia ha previsto che l’autorità nazionale competente (ovvero l’ACN – Agenzia per la cybersicurezza nazionale) provvedesse alla individuazione di un elenco di cd. “soggetti essenziali e importanti” coinvolti nella protezione informatica strategica del Paese.
Si può allora scorgere un filo rosso all’interno di questi atti di regolazione, in particolare tra quelli a rilevanza interna, che consiste nell’aver introdotto un coinvolgimento concreto, costante e diffuso degli operatori economici nazionali ritenuti strategici (si pensi alle grandi imprese di telecomunicazioni e di trasporti come anche alle amministrazioni più importanti quali quella fiscale, la Difesa o l’Interno) nelle dinamiche di monitoraggio, sorveglianza e protezione informatica del Paese. È a questi soggetti – chiamati a comporre quella sorta di “cordone di sicurezza digitale” costituito dal Perimetro di sicurezza nazionale cibernetica -, che, infatti, le norme di settore assegnano un ruolo concreto e di “difesa sul campo” dell’intera infrastruttura tecnologica nazionale, nella consapevolezza che la rilevazione e la gestione di una minaccia informatica è tanto più efficace quanto più esse siano tempestive e coordinate, al fine di evitare la diffusione dell’ “infezione” ai centri nevralgici di funzionamento del Paese.
La cybersicurezza, pertanto, si pone come l’insieme delle misure operative approntate a difesa di un sistema informatico che, laddove applicata a dinamiche condivise di intercomunicazione – come in effetti accade nel Perimetro nazionale -, è in grado di fornire protezione effettiva sia diretta, ai soggetti strategici che in tale Perimetro risultano ricompresi, sia indiretta a tutti quei settori maggiormente rappresentativi dell’identità economica e organizzativa del Paese quali, tra i più importanti, le telecomunicazioni, i trasporti, la difesa o il fisco.
Del resto, però, la cybersicurezza non è di per sé uno strumento, bensì un processo all’interno del quale vengono applicate misure informatiche idonee a proteggere un sistema da minacce esterne. Misure informatiche, a loro volta sì strumenti che, in effetti, consistono proprio in quelle tecnologie di recente introduzione – intelligenza artificiale, machine learning, Big data analysis, blockchain, … – che tanto animano il dibattito tra gli esperti di settore e il cui utilizzo congiunto, così può concludersi, se per un verso costituisce un esempio di come le nuove tecnologie possano incidere (positivamente) nel contesto economico e strategico nazionale, per altro verso mostra quanto risulti centrale la relativa governance al fine di orientarne gli scopi ed evitare impieghi distorti.
Come tutte le tecnologie, soprattutto quelle che si considerano “nuove” secondo un approccio cronologico, anche la cybersicurezza, infatti, non è esente da problematiche legate alla sua applicazione pratica. Le norme di settore e le infrastrutture di rete, che in Italia hanno raggiunto rispettivamente un buon livello di approfondimento e un accettabile grado di diffusione e funzionamento, sono certamente indispensabili per “mettere a terra” le potenzialità di politiche di cybersicurezza che siano realmente protettive dell’ambito nazionale.
La non uniforme e talvolta solo sommaria conoscenza dell’informatica da parte di decisori, manager, operatori e cittadini, però, costituisce inevitabilmente un collo di bottiglia per l’efficiente funzionamento del modello di protezione informatica attiva cui il Paese, anche attraverso un progetto complesso quale il Perimetro Nazionale, sembra voler aspirare. Per altro verso, non va mai dimenticato come l’utilizzo di qualsiasi tecnologia non possa mai prescindere da una valutazione etica dei suoi effetti diretti e dei riflessi che questi possono avere a livello sociale, ciò per evitare pericolose perdite di controllo sugli strumenti, per garantire le fasce più deboli e arretrate della popolazione da possibili abusi o pregiudizi e finanche per scongiurare usi criminali o derive autoritarie e antidemocratiche (qui un esempio). Chi oggi controlla la Rete, chi la protegge ma anche chi la attacca, infatti, è in grado di incidere non solo sull’economia di un territorio, ma anche sulla società che vive al suo interno e, quindi, sui diritti fondamentali dei consociati.
Osservatorio sullo Stato Digitale by Irpa is licensed under CC BY-NC-ND 4.0
