L’attacco hacker subito dai CED della Regione Lazio, nella forma del ransomware, riapre un capitolo delicato per la sicurezza informatica in Italia, dove a rischio ci sono non soltanto i servizi erogati in ambito pubblico e privato ma anche le informazioni personali di milioni di cittadini. Pensare che ancora oggi, nella maggior parte dei casi, nasca tutto da un errore umano sembra impensabile, quanto meno inaccettabile. Aprire un documento o una mail sospetta, cliccare su un link di phishing, in realtà può capitare a tutti, quel che che è incredibile è che a monte non esistano strutture e strumenti di protezione e backhup tali da respingere o contenere i danni.
Il Comitato Europeo per la Protezione dei Dati (EDPB) ha pubblicato le Linee Guida operative per la gestione della violazione dei dati, documento che espressamente va ad integrare le precedenti indicazioni adottate dal Gruppo di Lavoro Art. 29 il 3 ottobre 2017. L’Autorità Garante ci ha fornito da tempo istruzioni e strumenti con cui operare: giustificarsi dicendo di non averli adottati in modo adeguato diviene sempre più difficile. Quindi, attenzione.
Le violazioni possibili
Il Comitato presenta una serie di esempi, sviluppati in diverse prospettive (tipologia e quantità di dati, contesto, rischio, ecc.), in modo da fornire un preciso quadro sulle attività che il titolare deve compiere a tutela della privacy dei soggetti interessati al data breach; i casi analizzati riguardano violazioni determinate da:
ransomware;
esfiltration (“fuoriuscita” di dati);
fonti umane;
ingegneria sociale;
furto o perdita di dispositivi;
furto o perdita di documenti cartacei.
Gli errori umani
Vale la pena soffermarsi sulle ipotesi che coinvolgono proprio i dipendenti. Il Comitato sottolinea come, essendo molto complesso prevenire le varie tipologie di violazioni (proprio perché possono derivare non soltanto da un comportamento malevolo, ma anche solo accidentale o erroneo), il titolare potrebbe prevedere una specifica clausola nel contratto, o nelle istruzioni interne, che vieti alcune specifici comportamenti particolarmente rischiosi ovvero inserisca vincoli nel caso in cui il dipendente non faccia più parte dell’azienda. Le Linee Guida indicano anche quali siano, sulla base dell’esperienza, le mancanze più frequenti che si riscontrano nelle aziende e che determinato appunto violazioni dei dati:
omessa cifratura;
non corretta gestione dell’autenticazione degli utenti a siti web;
politiche password deboli;
errore nell’invio di mail ai destinatari sbagliati o invio con un allegato sbagliato;
mancanza di consapevolezza dei rischi da parte dei dipendenti;
poca formazione adeguata;
errore umano.
Ma poiché il documento ha come principale obiettivo quello di essere di aiuto e supporto alle imprese titolari del trattamento il Board indica, sia pur in modo meramente esemplificativo, svariate misure di sicurezza che possono essere adottate e che qui di seguito andiamo a sintetizzare:
istruzioni puntuali al personale su come inviare le email;
inserimento by default degli indirizzi nel campo bcc quando una email abbia più destinatari;
richiesta di una ulteriore conferma nell’invio della mail a più destinatari che non siano stati inseriti nel campo bcc;
organizzazione di una sessione di formazione sugli incidenti più frequenti derivanti dagli errori più comuni;
disattivazione del completamento automatico durante la scrittura di una email.
adottare adeguate misure di criptazione dei dati e di gestione delle password, soprattutto quando il trattamento ha ad oggetto dati sensibili o finanziari;
mantenere costantemente aggiornati i sistemi e tenere traccia di tali aggiornamenti, di modo da poter dimostrare la compliance con il principio di accountability;
fare ricorso a strumenti di autenticazione “forti” (ad esempio l’autenticazione a due fattori) e adeguate policy di gestione e aggiornamento delle password;
condurre audit e assessment periodici per verificare la costante adeguatezza delle misure;
mantenere aggiornate le copie di backup in modo assicurarsi la possibilità di procedere rapidamente al recovery dei dati e delle informazioni;
adottare piani di disaster recovery e business continuity.
Privacy, sicurezza ed etica nell’utilizzo dei Big Data e dell’Intelligenza Artificiale
Presentazione di un quadro d’insieme degli aspetti di particolare rilievo in tema di privacy, sicurezza, ed etica per l’utilizzo di soluzioni basate sui Big Data e sull’Intelligenza Artificiale nella produzione, nella competizione dei mercati, nelle innovazioni di importanti settori pubblici, nella normalità della vita dei cittadini. Il tutto raccogliendo ed analizzando una serie di contributi di esperti e di norme reperibili in Rete.
Il dato: cos’è e quanto è importante oggi?
Lo sviluppo di tecnologie come l’Internet of Things (IoT) e l’AI, hanno portato a una crescita esponenziale del volume di dati generato dagli esseri umani. Interazioni sui social, click sui siti web, smartphone continuamente connessi: tutto questo ha reso il dato una delle evoluzioni più pervasive del mondo digitale.
Ma sappiamo cosa sono i Big Data?
Si definiscono Big Data quei dati che hanno queste 3 caratteristiche: Volume,Velocità e Varietà.
Volume, inteso come la grande quantità di dati e informazioni che generiamo in rete ogni giorno e che vengono acquisiti e gestiti dalle aziende per supportare le proprie scelte strategiche per il business.
Velocità, riferita al numero di dati che, a causa del continuo utilizzo di dispositivi, nascono e vengono acquisiti sempre più rapidamente. Ad attirare soprattutto l’attenzione è il loro utilizzo, ovvero come possono essere usati per acquisire velocemente capacità di innovazione e informazioni da poter analizzare in tempo reale per poter prendere velocemente decisioni di business con maggiore tempestività.
E la Varietà? Come scriveva Chris Anderson sul magazine Wired nel 2008 “More isn’t more. More is different”. Con questa frase si fa riferimento alla grande varietà di dati disponibili oggi da dover gestire, provenienti da un vasto numero di fonti.
Ma è proprio sul concetto di gestione del dato che dovremmo soffermarci.
Il Covid-19 ha cambiato il nostro modo di lavorare, le nostre abitudini e, soprattutto, la vita organizzativa di persone e aziende che hanno dovuto spostare il proprio luogo di lavoro a casa per lavorare in Smart working. Questa nuova modalità lavorativa ha portato molte aziende ad adottare nuove e sofisticate misure per la protezione del dato, a livello sia europeo che mondiale.
Oggi, infatti, l’utilizzo delle nuove tecnologie per l’analisi e la gestione del dato a favore del business non è l’unico aspetto da prendere in considerazione. La sicurezza e la privacy dei dati personali sensibili di ogni singolo individuo sono diventati il tema centrale su cui concentrarci.
I Big Data (BD) e l’intelligenza artificiale (AI) sono diventati un fattore strategico nella produzione, nella competizione dei mercati, nelle innovazioni di importanti settori pubblici, nella struttura funzionale delle abitazioni, nella normalità della vita quotidiana. L’enorme vantaggio offerto dai Big Data e dalla loro capacità di estrarre significato da masse di dati anche non strutturati ed il crescente potere di autoapprendimento delle macchine, è destinato a rafforzarsi.
Ma governare questi processi non è certamente un compito semplice; la capacità di estrarre dai dati informazioni che abbiano un significato e siano funzionali, richiede infatti lo sviluppo di sofisticate tecnologie e di competenze interdisciplinari che operino a stretto contatto. Inoltre, l’utilizzo di queste tecnologie e degli scopi con questi perseguiti mettono in discussione molti paradigmi consolidati del diritto ed espongono le persone a nuovi rischi, poiché i dati rappresentano la loro proiezione digitale.
Pertanto, l’attenzione alle soluzioni BD&AI non può riguardare soltanto le loro implicazioni scientifiche e tecniche o gli effetti delle innovazioni sull’economia, ma deve concentrarsi anche sugli impatti per le persone fisiche, in quanto, possono creare le condizioni per cui vengono effettuate valutazioni o decisioni con un intervento umano reso via via più marginale, fino ad annullarsi, con effetti dirompenti sul modo di vivere e articolare le esistenze e relazioni, in termini individuali ma anche sociali e politici.
Le Autorità europee in materia di protezione dei dati hanno più volte sottolineato il bisogno di accompagnare questi fenomeni attraverso un più rigoroso approccio etico e di generale responsabilità. In particolare, è necessario che le organizzazioni pubbliche e private adottino misure di garanzia per la trasparenza dei processi basati su tali tecnologie, anche per la progressiva difficoltà a mantenere un effettivo controllo sui dati, derivate dall’opacità delle modalità di raccolta, dai luoghi di conservazione, dai criteri di selezione e di analisi. Inoltre, è necessario che sia effettuata una valutazione del potenziale discriminatorio che deriva dal loro utilizzo, che può nascere per effetto di profilazioni sempre più puntuali ed analitiche, in un modo tale che può portare ad annullare l’unicità̀ della persona, il suo valore, la sua eccezionalità.
Elementi di fiducia
Per analizzare i Big Data, le organizzazioni utilizzano sempre più tecniche di analisi avanzate, predittive e prescrittive, che utilizzano spesso l’intelligenza artificiale e il Machine Learning (ML) in particolare, per comprendere e raccomandare azioni basate sull’analisi di elevati volumi di dati da più fonti, interne o esterne. I casi d’uso tipici includono, ad esempio, l’onboarding dei clienti, il rilevamento delle frodi e l’automazione dei processi di back office, ecc.
Al riguardo, le soluzioni di BD&AI offrono l’opportunità di riutilizzare i dati dall’uso previsto originalmente e di fornire approfondimenti e trovare correlazioni tra set di dati che altrimenti non sarebbero stati previsti. Nuovi canali per la raccolta di dati derivanti da sviluppi tecnologici comportano una costante evoluzione delle fonti di dati e dei metodi per ottenere i dati (ad esempio raccolti, derivati, dedotti e forniti).
Come indicato dalle linee guida etiche per l’AI affidabile del Gruppo di Esperti ad Alto Livello della Commissione europea sull’AI, l’affidabilità e fiducia nelle soluzioni AI è essenziale per consentire il massimo beneficio dalle potenziali opportunità offerte e allo stesso tempo garantire l’uso corretto, sicuro e responsabile di tali soluzioni. Un quadro per un uso responsabile e affidabile delle soluzioni BD&AI potrebbe essere basato su una serie di elementi fondamentali, quali:
• Etica: lo sviluppo, la diffusione e l’uso di qualsiasi soluzione di AI dovrebbe aderire ad alcuni principi etici fondamentali, che possono essere integrati fin dall’inizio in qualsiasi progetto AI, in una sorta di approccio “etico by design“. Ciò significa anche il business case presentato all’inizio di un progetto di AI può includere un’analisi di alto livello della conformità ai principi etici e rifiutare soluzioni non rispondenti.
• Spiegabilità e interpretabilità: un modello di analisi è spiegabile quando il suo comportamento interno può essere compreso direttamente dall’uomo (interpretabilità) o quando possono essere fornite spiegazioni (giustificazioni) per i principali fattori che hanno portato alla sua produzione.
La Spiegabilità è solo un elemento di trasparenza, che consiste nel rendere disponibili dati, funzionalità, algoritmi e metodi di formazione per eventuali verifiche esterne e costituisce una base per la costruzione di modelli affidabili. La necessità di spiegabilità è maggiore ogni volta che le decisioni hanno un impatto diretto sulle persone e dipendono dal contesto particolare e dal livello di automazione implementato.
Infatti, i modelli AI possono diventare rapidamente “scatole nere”, sistemi opachi per i quali il comportamento interno non può essere facilmente compreso e per i quali, pertanto, non è facile verificare come un modello di analisi abbia raggiunto una certa conclusione o previsione. L’opacità di una soluzione AI può variare a seconda della complessità del modello sottostante e della modalità di apprendimento. Ad esempio, le reti neurali tendono ad essere più opache, a causa della complessità intrinseca dell’algoritmo sottostante, rispetto agli alberi delle decisioni, il cui funzionamento interno può essere più facilmente compreso dagli umani. Questa opacità tecnica è direttamente collegata al concetto opposto di spiegabilità.
• Equità ed eliminazione di fattori di discriminazione: un altro aspetto importante di un modello AI affidabile è la sua correttezza. Il principio di correttezza richiede che il modello garantisca la protezione dei gruppi di persone contro fattori di discriminazione (diretta o indiretta). La discriminazione può interessare, in particolare, le popolazioni più piccole e i gruppi vulnerabili (ad esempio discriminazione basata sull’età, disabilità, riassegnazione di genere, matrimonio o unione civile, gravidanza o maternità, razza, religione o convinzioni personali, sesso, orientamento sessuale, ecc.). Per garantire l’equità (non discriminazione), il modello dovrebbe essere privo di pregiudizi; generalmente, i dati contengono distorsioni quando non sono rappresentativi della popolazione in questione. Ciò può portare a discriminazioni, ad esempio quando una classe di persone meno rappresentate nel set di dati di training riceve risultati più o meno favorevoli semplicemente perché il sistema ha appreso solo da alcuni esempi e non è in grado di generalizzare correttamente. Tuttavia, la discriminazione può esistere senza pregiudizi o discriminazione diretta; può derivare da attributi sensibili che fungono da variabili di input, indipendentemente dalla distorsione.
• Tracciabilità e verificabilità: l’uso di soluzioni di tracciabilità aiuta a monitorare tutte le fasi, i criteri e le scelte effettuate durante tutto il processo, che consente la ripetizione dei processi risultanti nelle decisioni prese dal modello e aiuta a garantire la verificabilità del sistema. I passaggi coinvolti in una decisione presa da un modello BD&IA possono essere tracciati dalla raccolta dei dati (anche da fonti di dati di terze parti) al momento in cui viene presa la decisione e anche oltre, poiché le organizzazioni potrebbero ancora essere in dovere di spiegare come sono stati prodotti i risultati e perché sono state prese le decisioni.
• Protezione dei dati personali: i dati devono essere adeguatamente protetti con un sistema BD&AI affidabile e conforme alla vigente normativa sulla protezione dei dati. Le organizzazioni dovrebbero fondare il trattamento di dati personali con soluzioni BD&AI su una base legale e rispondere agli obblighi previsti dalla normativa comunitaria e nazionale in materia di protezione dei dati. L’organizzazione (o “titolare del trattamento dei dati”) è responsabile del trattamento lecito, equo e trasparente dei dati personali e della garanzia che i dati personali siano stati raccolti per finalità determinate, esplicite e legittime e non ulteriormente trattati in modo incompatibile con tali finalità.
• Sicurezza: l’utilizzo di nuove tecnologiche introducono anche nuove tecniche di attacco che sfruttano le vulnerabilità dei sistemi. È importante mantenere un controllo tecnico sugli ultimi attacchi alla sicurezza delle informazioni e sulle relative tecniche di difesa e garantire che la governance, la supervisione e l’infrastruttura tecnica siano in atto per un’efficace gestione del rischio ICT.
• Protezione dei consumatori: un sistema BD&AI affidabile dovrebbe rispettare i diritti dei consumatori e proteggere i loro interessi. I consumatori hanno il diritto di presentare un reclamo e ricevere una risposta in un linguaggio chiaro che può essere chiaramente compreso. Il principio di spiegabilità è la chiave per far fronte a questo obbligo.
Protezione dei dati personali
L’utilizzo di sistemi di BD&AI è da considerarsi in crescita grazie al fatto che la tecnologia e il processo decisionale basato sui dati sono considerati fonti di soluzioni sempre più accettate, anche se non esiste ancora una metodologia che consenta di effettuare una valutazione basata su riscontri oggettivi dell’impatto complessivo, ma esistono elementi indicanti che la loro analisi può avere un impatto orizzontale significativo sia sul settore pubblico che su quello privato. Al riguardo, la Commissione europea riconosce il potenziale delle tecnologie e dei servizi basati sui dati, nonché dei Big Data, quali catalizzatori di crescita economica, innovazione e digitalizzazione nell’UE.
E’ da tener conto però che i progressi delle tecnologie di comunicazione e l’uso massiccio di dispositivi elettronici e di monitoraggio, dei social media, delle interazioni e delle reti web, compresi i dispositivi che comunicano informazioni senza intervento umano, hanno portato allo sviluppo di enormi insiemi di dati in costante crescita che, attraverso l’analisi e tecniche avanzate di trattamento, tracciano un quadro senza precedenti del comportamento umano, della vita privata e delle società. La “Risoluzione del Parlamento europeo del 14 marzo 2017 sulle implicazioni dei Big Data per i diritti fondamentali” (di seguito Risoluzione del Parlamento europeo) sottolinea che la conformità con la vigente legislazione in materia di protezione dei dati, unitamente a solide norme scientifiche ed etiche sono fondamentali per creare fiducia nelle soluzioni dei Big Data e considerarle affidabili.
Pertanto, anche in assenza di norme nazionali e internazionali che disciplinino puntualmente la materia dei Big Data, è rintracciabile nel Regolamento UE 2016/679 (di seguito Regolamento) la normativa di riferimento per eccellenza in materia di protezione dei dati. Infatti, molti casi di applicazione di BD&AIriguardano il trattamento di dati personali, che possono riferirsi ad attività di marketing, all’efficientamento dei servizi produttivi, al miglioramento dei servizi ai cittadini, alla prevenzione di attività fraudolente, ecc. Nella fattispecie, il Considerando 91 del Regolamento sancisce l’applicazione delle disposizioni anche ai trattamenti su larga scala, definiti come trattamenti riguardanti una notevole quantità di dati personali a livello regionale, nazionale e sovranazionale che potrebbero incidere su un vasto numero di interessati e presentare potenzialmente un rischio elevato per i diritti delle persone fisiche. I Big Data rientrano, quindi, nella definizione di larga scala e, pertanto, devono essere trattati nel rispetto delle disposizioni previste dal Regolamento.
Il rispetto delle disposizioni previste dal Regolamento pone nuove sfide alle organizzazioni, richiedendo una maggiore attenzione alle strategie di governo dei dati che devono essere attuate. In particolare, il principio di accountability (ex articolo 5, comma 2 del Regolamento) richiede che le organizzazioni siano in grado di garantire e dimostrare il rispetto dei principi relativi al trattamento dei dati personali.
Si tratta, quindi, di regolare ed assicurare l’accountability dei sistemi BD&IA, applicando il principio di trasparenza delle scelte che vengono fatte dagli algoritmi (ad esempio, con appositi diritti come il “right of explanation” citato nel considerando 71 del Regolamento e poi non disciplinato nel testo normativo), l’istituzione di sistemi di tracciatura di ogni scelta effettuata dal sistema, in modo da poter renderlo trasparente, la costruzione di modelli statistici, su cui opera l’intelligenza artificiale, che assumano quale componente fondamentale l’acquisizione del feedback sulle scelte compiute, così da poter effettuare migliori decisioni in futuro.
Oltre al tema della trasparenza del sistema anche quello dei dati che sono trattati dallo stesso assume un’importanza primaria. È noto che in informatica vige il detto “garbage in, garbage out” ed in quest’ottica la qualità e pertinenza del dato su cui un sistema di intelligenza artificiale opera le proprie scelte incide in maniera fondamentale sull’esito delle stesse. È così necessario che tali sistemi, specialmente se utilizzati per assicurare l’ordine pubblico e la sicurezza sociale, evitino di fondare le proprie valutazioni su dati non attinenti alla singola persona e che possano avere conseguenze sulla stessa (come valutazioni in base al luogo di residenza, al comportamento della comunità, etc.).
In aggiunta ai temi sopra citati, molti specialisti di settore ritengono che l’articolo 22 del Regolamento sia particolarmente attinente alle applicazioni AI che elaborano dati personali. L’articolo limita il diritto dei titolari del trattamento dei dati di prendere decisioni su un soggetto “basato esclusivamente sul trattamento automatizzato”, laddove tali decisioni abbiano effetti giuridici o altrettanto significativi sull’individuo. Tale processo decisionale individuale automatizzato include, a titolo esemplificativo, la profilazione, definita dall’articolo 4 del Regolamento come:
“qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica”
Il Comitato Europeo per la Protezione dei Dati (in precedenza denominato Article 29 Working Party) sta lavorando attivamente, in particolare emettendo pareri e linee guida, per supportare le organizzazioni nell’adempimento degli obblighi previsti dal Regolamento come, ad esempio, il documento “Guidelines on Automated individual decision-making and Profiling” [3] che rappresenta una linea guida essenziale per le organizzazioni che utilizzano o pianificano di utilizzare soluzioni IA.
Sicurezza delle Informazioni
La sicurezza delle informazioni è definita come la protezione delle informazioni e dei sistemi da accesso, uso, divulgazione, interruzione, modifica o distruzione non autorizzati al fine di garantire la riservatezza, l’integrità e la disponibilità. Nel contesto BD&IA, la sicurezza dei dati e la sicurezza dei modelli sono di particolare importanza in quanto entrambi sono aspetti della sicurezza delle informazioni che sono essenziali per il corretto funzionamento degli algoritmi di BD&AI. Mentre la sicurezza dei dati si concentra sulla protezione della riservatezza, integrità e disponibilità dei dati, la sicurezza dei modelli indirizza gli attacchi e le corrispondenti misure di protezione specifiche dei modelli AI.
La rapida espansione dell’intelligenza artificiale in nuovi settori con nuove parti interessate, unita a un panorama delle minacce in evoluzione e all’enorme crescita degli strumenti BD&AI, presenta sfide difficili per la sicurezza delle informazioni.
Alcuni dei principali tipi di attacco che colpiscono, in particolare, le soluzioni AI includono:
• furto del modello AI;
• attacchi di avvelenamento (poisoning);
• attacchi avversari (compresi gli attacchi di evasione).
Gli attacchi di furto / estrazione dei modelli vengono utilizzati per “rubare” i modelli replicandone il funzionamento interno. Questo viene fatto semplicemente sondando il modello target con un elevato numero di query di previsione e utilizzando la risposta ricevuta (la previsione) per addestrare un altro modello. Il modello clonato può raggiungere un alto livello di precisione, anche superiore al 99,9%.
In attacchi di avvelenamento, gli aggressori influenzano deliberatamente i dati di training per manipolare i risultati di un modello predittivo. Questo tipo di attacco è particolarmente valido se il modello è esposto a Internet in modalità online, ovvero il modello viene continuamente aggiornato imparando da nuovi dati.
Un attacco “avversario” consiste nel fornire un campione di dati di input che è stato leggermente alterato per indurre il modello a classificarlo erroneamente. Nella maggior parte dei casi, una perturbazione così piccola (che sostanzialmente rappresenta un “rumore”) può essere così sottile che un essere umano non se ne accorge nemmeno (ad es. Quando il problema riguarda una classificazione dell’immagine e l’immagine in ingresso è stata alterata da un rumore non evidente a l’occhio umano).
Un esempio particolare di un attacco avversario è un attacco di evasione, che consiste nel creare l’input per fare in modo che il modello eviti il rilevamento di un particolare oggetto / elemento.
I ricercatori hanno recentemente sviluppato alcune nuove tecniche di difesa per sconfiggere questi attacchi, ad esempio aggiungendo un de-noiser prima della fase di input. Inoltre, sono in fase di sviluppo librerie open source che offrono tecniche per testare la solidità dei modelli contro questo tipo di attacco.
Pertanto, è importante per le organizzazioni che adottano soluzioni AI mantengano un controllo tecnico sulle vulnerabilità dei sistemi utilizzati e siano regolarmente aggiornate sui progressi degli attacchi alla sicurezza e delle relative tecniche di difesa. In generale, le funzioni aziendali che gestiscono la sicurezza delle informazioni devono avere il compito di individuare e valutare i rischi associati, definire le strategie di gestione del rischio più opportune e garantire che l’azienda abbia le capacità e le risorse necessarie per affrontare e ridurre tali rischi durante tutto il ciclo di vita dei processi IA. A seguito di ciò, è necessario definire e attuare garanzie adeguate per la sicurezza dei dati, che ricomprendano misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio. Tali misure potrebbero essere affrontate nell’ambito di una strategia globale di gestione della sicurezza delle informazioni o, in alternativa, stabilendo ruoli dedicati e un quadro di gestione della sicurezza specifico per la sicurezza dei dati in relazione a soluzioni BD&AI, consentendo all’organizzazione di sviluppare una strategia e procedure per monitorare, rilevare e rispondere agli incidenti di sicurezza dei dati relativi ai sistemi BD&AI, alle loro fonti di dati e ai fornitori di tecnologia di terze parti.
In alcuni casi questa può essere una sfida importante, a causa della scarsa esperienza pregressa relativa alle tecnologie da parte di molte organizzazioni. La politica e l’industria devono perseguire con coerenza e rapidità l’obiettivo di determinare un quadro di riferimento chiaro relativo alla protezione della privacy e della sicurezza dei cittadini, definendo norme e standard di riferimento circa le caratteristiche di protezione dei sistemi BD&IA destinati ad un largo uso.
Al riguardo, è da segnalare il lavoro della ETSI Industry Specification Group on Securing Artificial Intelligence (ISG SAI), che ha un ruolo chiave in Europa per il miglioramento della sicurezza dell’IA attraverso la produzione di standard tecnici. Il gruppo ISG SAI ha l’obiettivo di creare standard per preservare e migliorare la sicurezza delle nuove tecnologie AI. In particolare, L’Istituto Europeo per gli Standard nelle Telecomunicazioni (in inglese European Telecommunications Standards Institute, acronimo ETSI) è un organismo internazionale, indipendente e senza fini di lucro ufficialmente responsabile della definizione e dell’emissione di standard nel campo delle telecomunicazioni in Europa. Il gruppo di ISG SAI sviluppa specifiche tecniche e relazioni per affrontare aspetti importanti per la sicurezza dell’intelligenza artificiale:
• Proteggere l’AI dagli attacchi: dove l’AI è un componente di un sistema che necessita di protezione;
• Mitigare gli attacchi che sfruttano l’IA: dove l’intelligenza artificiale viene utilizzata per migliorare i vettori di attacco convenzionali o creare nuovi vettori di attacco;
• Usare l’AI per migliorare le misure di sicurezza: proteggere i sistemi dagli attacchi laddove l’utilizzo dell’AI fa parte della “soluzione” o viene utilizzato per migliorare le contromisure più convenzionali.
Le parti interessate dall’attività del gruppo ETSI ISG SAI comprendono utenti finali, produttori, operatori e governi. Per maggiori informazioni sul lavoro di ETSI ISG SAI è possibile riferirsi al sito istituzionale al seguente link: https://www.etsi.org/technologies/securing-artificial-intelligence#mytoc3
Un altro istituto di riferimento per la sicurezza delle soluzioni BD&AI è il NIST (National Institute of Standards and Technology), che è un’agenzia del governo degli Stati Uniti d’America con una reputazione consolidata negli anni nello sviluppo di standard per rendere le tecnologie più sicure, utilizzabili, interoperabili e affidabili. La ricerca NIST si concentra su come misurare e migliorare la sicurezza e l’affidabilità dei sistemi IA. Ciò include la partecipazione allo sviluppo di standard internazionali che garantiscono innovazione, fiducia del pubblico e fiducia nei sistemi che utilizzano le tecnologie IA. Inoltre, il NIST sta applicando l’AI ai problemi di misurazione per ottenere una visione più approfondita della ricerca stessa e per comprendere meglio le capacità e i limiti dell’IA.
L’11 febbraio 2019, l’Executive Order on Maintaining American Leadership in Artificial Intelligence ha incaricato il NIST di sviluppare “un piano per l’impegno federale nello sviluppo di standard tecnici e strumenti correlati a sostegno di sistemi affidabili, robusti e affidabili che utilizzano tecnologie di intelligenza artificiale”.
In particolare, il NIST parteciperà allo sviluppo di standard di intelligenza artificiale, insieme al settore privato e al mondo accademico, che affrontano questioni e principi sociali ed etici, governance e politiche e principi sulla privacy. L’impegno relativo agli standard IA include:
• Supportare e condurre ricerca e sviluppo dell’IA
• Sviluppare attivamente standard AI
• Sviluppare e attuare politiche di supporto, comprese le politiche normative ove necessario.
Mentre la comunità dell’intelligenza artificiale ha concordato sul fatto che questi problemi devono tener conto degli standard dell’intelligenza artificiale, molte decisioni devono ancora essere prese sul fatto che vi siano ancora abbastanza basi scientifiche e tecniche per sviluppare tali standard.
Al riguardo, l’ENISA ha pubblicato il 15 Dicembre 2020 il rapporto denominato “AI Threat Landscape”, che sottolinea l’importanza della sicurezza informatica e della protezione dei dati in ogni parte dell’ecosistema AI, al fine di creare tecnologie affidabili per gli utenti. In particolare, lo studio dell’agenzia europea, oltre a presentare le minacce applicabili alle soluzioni AI, pone le basi per le prossime iniziative politiche sulla sicurezza informatica e le relative linee guida tecniche, sottolineando quelle che saranno le sfide rilevanti.
I principali punti trattati nel rapporto possono essere riassunti in:
• Definizione del campo di applicazione dell’IA nel contesto della sicurezza informatica secondo un approccio basato sul ciclo di vita, delineando l’ecosistema dei sistemi e delle applicazioni dell’AI.
• Identificazione degli elementi che costituiscono un ecosistema AI, in modo da individuare cosa deve essere protetto e le vulnerabilità che possono essere esposte per la sicurezza dell’ecosistema AI.
• Classificazione delle minacce per i diversi elementi dell’ecosistema AI durante il suo ciclo di vita.
• Mappatura delle minacce AI mediante una tassonomia dettagliata, al fine di identificare eventuali scenari di attacco e definire i termini nelle prossime valutazioni dei rischi e dei controlli di sicurezza necessari per mitigarli.
In particolare, il rapporto è diretto ai responsabili delle politiche quando sviluppano linee guida future sulle implementazioni sicure dell’AI, agli esperti tecnici per supportare valutazioni del rischio personalizzate e agli organismi di standardizzazione per supportare i futuri standard di sicurezza dell’AI.
In conclusione, il panorama delle minacce dell’AI dell’ENISA identifica le sfide e le opportunità per implementare sistemi e servizi di AI sicuri in tutta l’Unione, sottolineando la necessità di misure di sicurezza più mirate e proporzionate per mitigare le minacce individuate.
GDPR: Data Recovery BD&AI, i tuoi dati sono al sicuro?
Con il GDPR oggi, si ha l’obbligo di disciplinare, nell’ambito dell’Unione Europea, le norme che regolano la gestione dei dati.
Quando parliamo di GDPR, parliamo del regolamento generale per la protezione dei dati personali, pubblicato nella Gazzetta Ufficiale Europea il 4 maggio 2016 e messo in atto il 25 Maggio 2018. Questo regolamento nasce per garantire certezza giuridica e maggiore semplicità delle norme riguardanti il trasferimento di dati personali dall’Ue verso altre parti del mondo.Ecco perché dalla sua pubblicazione in poi è cambiata la visione del dato.
Se prima c’era una visione proprietaria, in base alla quale non lo si poteva trattare senza consenso, oggi c’è una visione di controllo del dato, che favorisce la libera circolazione dello stesso, dando forza ai diritti dell’individuo, che finalmente è legittimato a sapere se e come i suoi dati sono stati usati per tutelarsi.
Tra gli articoli di maggior rilevanza del GDPR, troviamo l’Articolo 30 che garantisce “la capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali” e “la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico” e l’Articolo 32 che specifica come “il titolare deve mettere in atto misure adeguate per garantire la sicurezza dei dati”.
È evidente che il GDPR impone non solo la tutela e la gestione del dato, ma anche la business continuity e, di conseguenza, un piano di disaster recovery, diventato un elemento essenziale.
Il Disaster Recovery per una Business Continuity
Il disaster recovery rappresenta la capacità di ripristinare l’operatività dei sistemi IT in caso di emergenze causate da errori umani, calamità naturali o attacchi intenzionali. Parlare di disaster recovery oggi vuol dire considerare non solo il tempo in cui sistemi e dipendenti non riescono a essere operativi, ma anche la quantità di dati persi e il tempo che ci vuole per recuperarli.
Perciò, quando usiamo questo concetto, ci riferiamo all’insieme delle misure tecnologiche e organizzative necessarie al ripristino di sistemi, dati e infrastrutture utili per svolgere attività di business.
Se fino ad ora il Backup, ovvero la possibilità di creare periodicamente una copia di un file o di database fisici o virtuali su un altro dispositivo geograficamente lontano da dove risiedono i dati originali, era considerato l’unica soluzione per tutelare il dato, oggi questo risulta essere insufficiente senza una soluzione di disaster recovery in caso di emergenza.
Nelle aziende di oggi, le attività si basano sui dati e non conoscono interruzioni, ecco perché la business continuity dipende completamente dalle infrastrutture IT, che devono restare sempre attive e operative 24h.
Di fronte a uno scenario come questo, la gestione del dato e della sua sicurezza attraverso l’adozione di un piano di disaster recovery, rappresenta oggi una priorità strategica e necessaria per tutte le aziende.
In un momento in cui gli ambienti IT ibridi sono diventati una realtà in molte aziende, disporre di soluzioni hardware e software progettati per il backup, l’archiviazione e lo storage con funzionalità avanzate per la protezione dei dati è diventato fondamentale, soprattutto in un momento in cui la praticità e la convenienza economica del cloud computing hanno prodotto un significativo cambiamento nel modo in cui le aziende fanno funzionare le applicazioni e gestiscono i dati.
Un nuovo approccio alla protezione dei dati è rappresentato oggi dalle piattaforme ibride di consolidamento per la gestione dei dati, in grado di migliorare i livelli di protezione, condivisione e operabilità dei dati in ambienti ibridi.
Ma non solo, i sistemi ibridi e all-flash, garantiscono massima affidabilità, performance e una protezione costante dei dati per business always on nel mondo digitale.
I sistemi di storage effettuano ripetutamente backup e recovery, per garantire i più alti livelli di sicurezza integrata nel sistema e per impedire l’accesso non autorizzato ai dati aziendali. Inoltre, la presenza di meccanismi di replica del dato e clusterizzazione dei servizi permettono di ridurre a zero sia la quantità di dati che si possono perdere, sia la quantità di tempo necessaria per ripristinare il servizio. In questo modo, la business continuity è migliorata grazie a un aumento della disponibilità dei dati.
Pochi giorni fa un incendio è divampato a Strasburgo in uno dei più grandi datacenter europei di OVH, provider francese di servizi cloud pubblici, tipo AWS o Azure. Fortunatamente non ci sono feriti, ma centinaia di migliaia di server sono andati a fuoco e con loro se ne sono andati molti dati che ospitavano, un danno economico irreparabile per molte aziende e privati che avevano i loro siti o i loro applicativi su quei server. Ma la perdita dei dati è davvero qualcosa che va imputato a OVH? Secondo me no.
OVH, come tutti i cloud provider pubblici, vende un servizio (che può essere un applicativo o una macchina virtuale su cui installare un applicativo) e mette a disposizione un servizio base di backup.
È sufficiente per essere coperti? Ovviamente no.
Nel servizio base i backup sono sempre ospitati nello stesso datacenter in cui si trovano macchine virtuali. Per dare maggiori garanzie ai clienti, i cloud provider pubblici mettono a disposizione altri servizi (best practice di configurazione) per permettere ai clienti di raggiungere un grado più elevato di protezione del dato. Ovviamente questi servizi costano, in alcuni casi anche molto. Pensate per esempio ad Amazon Web Services: non danno nessuna garanzia sul funzionamento delle macchine virtuali e nemmeno sui dati salvati in un servizio gestito come RDS (database relazionali).
I clienti che oggi piangono la perdita dei dati avrebbero dovuto pensare in anticipo all’importanza strategica che hanno per il loro business, attuando politiche diverse di protezione del dato e investendo maggiormente: pensare di pagare una macchina virtuale pochi euro e avere incluso un servizio di distribuzione geografica dei dati è ahimè fantascienza.
Come fare una corretta analisi del rischio per gli eventi imprevisti nel data protection
Se cercate massima protezione dei vostri dati, è necessario distribuire geograficamente il workload e fare copie di backup in multi-copia. Queste sono pratiche che aumentano notevolmente il livello di protezione e che di conseguenza raddoppiano (e in alcuni casi triplicano) i costi del servizio.
Nel nostro piccolo, per esempio, il servizio di data protection include il backup nello stesso datacenter e una copia del backup in un datacenter geograficamente distante, con un Recovery Point Objective di un giorno. Questa prassi mette al sicuro i dati in caso di eventi imprevisti: nel caso in cui il datacenter principale non fosse più disponibile, i dati sono protetti e al sicuro negli altri datacenter. Inoltre, il livello di protezione che possiamo garantire può aumentare maggiormente grazie a repliche dei dati o sistemi completi di Disaster Recovery, che permettono di avere RTO (Recovery Time Objective) più bassi ma che, ovviamente, sono più costosi.
Per molte realtà moderne e digitali, la cui attività è strettamente legata ai loro dati, il livello di sicurezza non è una scelta opzionale, ma una decisione strategica su cui è imprescindibile investire per garantire la continuità del proprio business.
DATA RECOVERY: Quadro normativo di riferimento centrato sui dati personali
L’Unione Europea (di seguito UE) ha istituito un quadro giuridico rigoroso, i cui obiettivi sono, tra gli altri, quelli di garantire la tutela dei consumatori, far fronte alle pratiche commerciali sleali e proteggere i dati personali e la privacy dei cittadini. L’acquis comunitario prevede, inoltre, norme settoriali specifiche (ad esempio per il settore dell’assistenza sanitaria o dei trasporti). Tali disposizioni vigenti del diritto dell’UE continueranno ad applicarsi in relazione anche ai processi di BD&IA, ma potrebbero rendersi necessari determinati adeguamenti di tale quadro giuridico per tenere conto della trasformazione digitale e dell’uso delle specifiche tecnologie. Di conseguenza, gli aspetti già trattati dalla legislazione orizzontale o settoriale in vigore (ad esempio per quanto riguarda i dispositivi medici o i sistemi di trasporto) continueranno ad essere disciplinati da tale legislazione.
Esiste un vasto corpus di norme vigenti dell’UE in materia di sicurezza dei prodotti e di responsabilità per danno da prodotti difettosi, comprendente norme settoriali ed integrate dalle legislazioni nazionali; tale corpus di norme è pertinente e potenzialmente applicabile a una serie di applicazioni di BD&IA emergenti.
Per quanto riguarda la protezione dei diritti fondamentali e dei diritti dei consumatori, il quadro legislativo dell’UE comprende atti normativi come la direttiva sull’uguaglianza razziale (Direttiva 2000/43/CE), la direttiva sulla parità di trattamento in materia di occupazione e di condizioni di lavoro (Direttiva 2000/78/CE), le direttive sulla parità di trattamento tra uomini e donne per quanto riguarda l’accesso a beni e servizi e in materia di occupazione (Direttiva 2004/113/CE; Direttiva 2006/54/CE), una serie di norme sulla tutela dei consumatori (es.: Direttiva sulle pratiche commerciali sleali n. 2005/29/CE e Direttiva sui diritti dei consumatori n. 2011/83/CE), sulla protezione dei dati personali e sulla privacy, in particolare il Regolamento generale sulla protezione dei dati (Regolamento UE 2016/679), nonché altre normative settoriali riguardanti la protezione dei dati personali, come la direttiva sulla protezione dei dati nelle attività di polizia e giudiziarie (Direttiva (UE) 2016/680). Inoltre, a partire dal 2025 si applicheranno le norme sui requisiti di accessibilità dei beni e dei servizi previste dall’atto europeo sull’accessibilità (Direttiva (UE) 2019/882).
I diritti fondamentali devono, inoltre, essere rispettati in sede di attuazione di altre normative dell’UE, anche nel settore dei servizi finanziari, della migrazione o della responsabilità degli intermediari online.
Se da un lato la legislazione dell’UE rimane in linea di principio pienamente applicabile, indipendentemente dall’utilizzo di tecnologie BD&IA, dall’altro è importante valutare se tale normativa possa essere adeguatamente applicata per far fronte ai rischi derivanti dall’impiego di tali sistemi o se sia necessario apportare adeguamenti a determinati strumenti giuridici.
Ad esempio, gli operatori economici rimangono pienamente responsabili della conformità dei processi che presuppongono l’utilizzo di tecnologie BD&IA alle norme vigenti a tutela dei consumatori: è vietato utilizzare algoritmi che sfruttano il comportamento dei consumatori in violazione delle norme vigenti, e qualunque infrazione a tale divieto è punita di conseguenza.
Pertanto, è da prevedere nei prossimi anni un’evoluzione del quadro normativo di riferimento, al fine di disciplinare il corretto utilizzo delle tecnologie BD&IA per la tutela dei consumatori e dei diritti fondamentali delle persone.
Norme sull’Intelligenza Artificiale
La definizione del quadro normativo per l’utilizzo di tecnologie AI è rappresentata dallo sviluppo di un percorso teso a realizzare una legislazione europea in materia. Tale percorso è stato iniziato ad aprile 2019, quando la Commissione europea ha pubblicato, in allegato alla sua Comunicazione al Parlamento europeo, al Consiglio, al Comitato economico e sociale europeo e al Comitato delle Regioni dal titolo “Creare fiducia nell’intelligenza artificiale antropocentrica”, le linee guida etiche per un’intelligenza artificiale affidabile redatte da un gruppo di esperti di alto livello da essa istituito. Lo stesso gruppo di esperti fece seguire nel giugno 2019 le sue raccomandazioni politiche e di investimento per un’intelligenza affidabile.
Pochi mesi dopo il suo insediamento, la Presidente della Commissione, Ursula Von der Leyen, fissò tra le sue priorità in ambito legislativo quella di guidare l’Europa attraverso la transizione digitale per rispondere alle sfide relative alle nuove tecnologie. La Presidente ha così dichiarato di voler introdurre al più presto una legislazione specifica sull’intelligenza artificiale, simile al Regolamento sulla protezione dei dati, sulla base dei rapporti realizzati dagli esperti innanzi richiamati.
Nel Febbraio del 2020 è stato realizzato un primo passo verso la realizzazione di una legislazione europea, attraverso la pubblicazione del c.d. Libro Bianco sull’AI. I libri bianchi della Commissione (in inglese white paper) “sono documenti che contengono proposte di azione dell’UE in un settore specifico. Essi costituiscono, talvolta, il prolungamento dei libri verdi, il cui scopo è invece quello di avviare un processo di consultazione a livello dell’UE. Lo scopo dei libri bianchi è di avviare una discussione con il pubblico, le parti interessate, il Parlamento europeo e il Consiglio allo scopo di raggiungere il consenso politico.
Il Libro Bianco ribadisce la necessità di un approccio comune europeo all’AI per raggiungere dimensioni sufficienti ed evitare la frammentazione del mercato unico. L’introduzione di iniziative nazionali rischia di compromettere la certezza del diritto, di indebolire la fiducia dei cittadini e di ostacolare l’emergere di un’industria europea dinamica. La costituzione di un futuro quadro normativo per l’AI in Europa consentirà, pertanto, di creare un “ecosistema di fiducia” unico. A tal fine, dovrà garantire il rispetto delle norme dell’UE, comprese le norme a tutela dei diritti fondamentali e dei diritti dei consumatori, in particolare per i sistemi di AI ad alto rischio gestiti nell’UE. La costruzione di un ecosistema di fiducia è un obiettivo strategico in sé e dovrebbe dare ai cittadini la fiducia di adottare applicazioni di AI e alle imprese e alle organizzazioni la certezza del diritto necessaria per innovare utilizzando l’AI.
La Commissione ritiene che, per stabilire in generale se una determinata applicazione di AI debba essere ritenuta ad alto rischio, occorre valutare gli interessi in gioco e considerare se il settore interessato e l’uso previsto per tale applicazione implichino rischi significativi, in particolare per quanto concerne la protezione della sicurezza, dei diritti dei consumatori e dei diritti fondamentali. Più specificamente, un’applicazione di AI dovrebbe essere considerata ad alto rischio se soddisfa i due criteri cumulativi descritti di seguito:
• In primo luogo, l’applicazione di AI è utilizzata in un settore in cui i rischi sono generalmente ritenuti più probabili. I settori interessati dovrebbero essere elencati in maniera specifica ed esaustiva nel nuovo quadro normativo. Ad esempio, settori dell’assistenza sanitaria, dei trasporti, dell’energia e parti del settore pubblico. L’elenco dovrebbe essere periodicamente rivisto e modificato, ove necessario, in funzione dei pertinenti sviluppi nella pratica.
• In secondo luogo, l’applicazione dell’AI nel settore in questione è, inoltre, utilizzata in modo tale da poter generare rischi significativi. Questo secondo criterio riconosce il fatto che non tutti gli usi dell’AI nei settori selezionati comportano necessariamente rischi significativi. La valutazione del livello di rischio derivante da un determinato uso potrebbe basarsi sull’impatto per i soggetti interessati. Ad esempio, usi delle applicazioni di AI che producono effetti giuridici, o effetti altrettanto rilevanti, sui diritti di una persona o di una società̀; usi che presentano il rischio danni materiali o immateriali significativi; usi che producono effetti non ragionevolmente evitabili dalle persone fisiche o giuridiche.
L’applicazione dei due criteri cumulativi garantirebbe un ambito di applicazione del quadro normativo mirato e atto a garantire la certezza del diritto. Le prescrizioni obbligatorie contenute nel nuovo quadro normativo sull’AI si applicherebbero in linea di principio unicamente a quelle che siano state identificate come applicazioni ad alto rischio utilizzando i due criteri cumulativi sopra descritti.
Fatto salvo quanto precede, possono esistere anche casi eccezionali in cui, a causa dei rischi in gioco, l’uso di applicazioni di AI per determinati scopi deve essere considerato ad alto rischio di per sé, ossia indipendentemente dal settore interessato, per cui si applicherebbero comunque prescrizioni puntuali. A titolo esemplificativo, si possono citare in particolare i seguenti usi:
• Alla luce dell’importanza che riveste per le persone, e tenendo conto dell’acquis dell’UE sulla parità in materia di occupazione, l’uso delle applicazioni di AI nei processi di selezione del personale e nelle situazioni che incidono sui diritti dei lavoratori sarebbe sempre considerato “ad alto rischio”.
• L’uso delle applicazioni di AI a fini di identificazione biometrica remota e l’impiego di altre tecnologie di sorveglianza intrusive sarebbero sempre considerati “ad alto rischio”.
In conclusione, gli orientamenti esposti dalla Commissione per un’intelligenza artificiale affidabile si basano su un principio di AI antropocentrica volto a garantire che i valori umani rivestano un ruolo centrale nelle modalità di sviluppo, distribuzione, utilizzo e monitoraggio dei sistemi di AI, garantendo il rispetto dei diritti fondamentali, tra cui quelli sanciti nei trattati dell’Unione europea e nella Carta dei diritti fondamentali dell’Unione europea, accomunati dal riferimento a un fondamento condiviso radicato nel rispetto della dignità umana, nei quali l’essere umano gode di uno status morale unico e inalienabile.
Le linee guida tracciate dalla Commissione per la definizione di un quadro normativo comune nell’UE si prefiggono di garantire una costante sorveglianza umana dei sistemi AI, la robustezza tecnica e la sicurezza degli algoritmi, la riservatezza dei dati nonché il rispetto del principio di accountability stabilito dal Regolamento UE 2016/679, la trasparenza e il rispetto della diversità, la non-discriminazione e l’equità.
Norme sui Big Data
I Big Data, secondo la “Risoluzione del Parlamento europeo del 14 marzo 2017 sulle implicazioni dei Big Data per i diritti fondamentali” [2] (di seguito Risoluzione del Parlamento europeo), si riferiscono alla raccolta, all’analisi e all’accumulo ricorrente di ingenti quantità di dati, compresi i dati personali, provenienti da una serie di fonti diverse, che sono oggetto di un trattamento automatizzato mediante algoritmi informatici e tecniche avanzate di trattamento dei dati, che usano sia informazioni memorizzate sia in streaming, al fine di individuare determinate correlazioni, tendenze e modelli (analisi dei Big Data).
L’enorme disponibilità di ogni sorta di informazione è una prospettiva allettante e apre innumerevoli scenari di ricerca; ad esempio, il progetto 4cE, descritto dal direttore generale dell’Oms Tedros Adhanom, può spiegare come i big data e le soluzioni AI possano trasformate i dati informatici al fine di salvare la vita ai malati Covid. In particolare, il progetto ha coinvolto 350 ospedali di 6 nazioni e riguardato più di 35mila ricoverati, dei quali sono state digitalizzate e confrontate le cartelle cliniche in una prima pubblicazione nell’aprile scorso. Grazie all’utilizzo dell’AI, che ha elaborato questi parametri nelle cartelle cliniche esaminate, è stato possibile definire come e quando intervenire sui malati gravi per evitare che peggiorino sino alla morte.
Pur avendo benefici incontestabili, però, si presenta la possibilità di risalire alle fonti di questa conoscenza e ai dati delle persone fisiche, minacciando i loro diritti sulla protezione dei dati che li riguardano. Infatti, è molto comune che un data set includa, nella sua forma originale, informazioni che sono riconducibili a specifici individui – un nome, una data di nascita, un indirizzo IP. Ciò diventa potenzialmente pericoloso nel momento in cui si dispone di una chiave per collegare dati su uno stesso individuo provenienti da fonti diverse – informazioni sanitarie, preferenze e opinioni espresse sui social network, dati collegati alle spese online e ai metodi di pagamento.
Pertanto, il rispetto degli obblighi previsti dal Regolamento UE 2016/679 in materia di protezione dei dati risulta come logica conseguenza. Ciò nonostante, sono molte le difficoltà di applicazione delle disposizioni del Regolamento a questa tipologia di trattamento. Alcune di esse fanno riferimento all’oggetto della tutela. Secondo l’art. 2 del Regolamento, l’ambito di applicazione materiale riguarda il trattamento di dati personali, che permettano l’identificazione dell’interessato. Nei Big Data il trattamento riguarda dati personali e anche dati non personali. Tuttavia, a causa dell’ingente quantità e della varietà di algoritmi che possono essere ad essi applicati, in alcuni casi, distinguere i dati personali da quelli non personali diventa estremamente difficile. La natura dei dati da analizzare, in effetti, sarà definibile solo a seguito dell’elaborazione, per cui un dato non personale potrà condurre ad un dato personale, ed un dato anonimo, invece, potrà, a seguito dell’analisi, condurre all’identificazione dell’interessato. La natura propria dei Big Data e questa difficoltà di distinzione dei dati personali dai dati non personali, in essi connaturata, genera ulteriori criticità, rendendo ardua l’applicazione di alcuni principi previsti nel Regolamento eppure ritenuti essenziali per il raggiungimento dell’accountability del titolare del trattamento.
In primis, la varietà e la quantità dei dati analizzati impediscono di verificare sin dall’origine l’esattezza degli stessi (principio di esattezza). In secondo luogo, l’impossibilità di stabilire dall’inizio le finalità della raccolta e dell’analisi delle informazioni a causa da un lato delle potenzialità intrinseche del dato e, dall’altro, dalla varietà delle elaborazioni che possono condurre a nuovi dati (principio di minimizzazione dei dati e di principio di limitazione delle finalità).
L’apparente inesauribilità dei dati, trattabili per qualsiasi finalità, fa sorgere criticità anche per il principio di limitazione della conservazione. Infine, merita attenzione anche il consenso dell’interessato. Nei Big Data non sempre vi è un consenso informato dell’interessato per le ulteriori finalità perseguite. Ciò deriva proprio dal gap strutturale e conoscitivo tra l’utente ed il titolare del trattamento. L’interessato-utente non sempre ha tutte le informazioni per poter esprimere un consenso informato, ed inoltre, anche nel caso in cui le avesse, non potrebbe comprenderle, poiché si fondano su algoritmi e software basati su un linguaggio complesso ai più incomprensibile.
Le considerazioni fin qui esposte mostrano come il ruolo assunto dai Big Data nel “funzionamento dei mercati, nel benessere dei consumatori, ma anche sotto il profilo sociale e democratico” è destinato a diventare sempre più rilevante e centrale. Tuttavia, la rilevanza e la centralità del fenomeno evidenziano, come sopra descritto, l’inadeguatezza del quadro normativo attuale, rendendo assolutamente necessario un intervento del legislatore. Anche l’Autorità Garante per la protezione dei dati (Garante Privacy), di concerto con l’Autorità Garante delle Comunicazioni (AGCOM) e l’Autorità Garante della Concorrenza e del Mercato (AGCM), si è fatta portatrice di questa esigenza.
Con il provvedimento del 10 luglio 2019, in effetti, è stata annunciata la fine dell’indagine conoscitiva ed interdisciplinare avviata nel maggio 2017 congiuntamente dalle tre Autorità con l’obiettivo di comprendere le implicazioni – per la privacy, la regolazione, la tutela della concorrenza e del consumatore – dello sviluppo di un’economia digitale fondata sulla raccolta e analisi di una mole sempre più ingente di dati.
Nel corso dell’indagine sono state svolte, da parte delle tre Autorità, circa quaranta audizioni, nell’ambito delle quali sono stati interpellati i principali operatori dell’economia dei dati, delle telecomunicazioni, dei settori finanziari e dell’editoria, nonché esperti e accademici. Sono state inviate richieste di informazioni ai grandi operatori digitali e sono pervenuti numerosi contributi. Il risultato dell’indagine conoscitiva ha portato alla costituzione delle Linee e Raccomandazioni di Policy [6] condivise relative al tema dei Big Data. Ciò che rende il documento interessante è il fatto che le Autorità hanno ritenuto opportuno anticipare, almeno in parte, le conclusioni delle analisi svolte, con la pubblicazione di un documento che identificasse delle raccomandazioni destinate non tanto (e non solo) agli operatori economici coinvolti, quanto ai legislatori, al fine di indirizzare le future, necessarie regolamentazioni.
Entrando nel merito delle Linee Guida, queste si sviluppano attraverso raccomandazioni (“Raccomandazioni”) rivolte, come detto, eminentemente a legislatori e regolatori, e solo di riflesso (anche) agli operatori di mercato. In quest’ottica, particolare rilevanza assume la Raccomandazione 1, di carattere “programmatico”, rivolta a Governo e Parlamento nell’ottica della promozione di “un appropriato quadro normativo che affronti la questione della piena ed effettiva trasparenza nell’uso delle informazioni personali (nei confronti dei singoli e della collettività)”. Nel dettaglio, vengono brevemente considerate le disposizioni normative rilevanti in ambito privacy, concorrenza e comunicazioni, giungendo alla conclusione che sarebbe necessario un intervento di natura sostanziale soprattutto in materia di pluralismo informativo, considerato che la normativa è ancora oggi diretta a regolamentare un quadro più tradizionale, che non tiene in considerazione le peculiarità (e le possibili distorsioni) dell’economia digitale.
La Raccomandazione 5 è rilevante, invece, oltre che dal punto di vista contenutistico, anche sotto il profilo metodologico. Nel merito, è specificamente improntata su aspetti privacy, ed esprime due esigenze: da un lato, è necessario accertarsi della natura personale o non personale dei dati trattati (al fine di comprendere le disposizioni normative applicabili), dall’altro gli operatori dell’economia digitale dovrebbero essere chiamati a valutare se una persona fisica possa essere “ragionevolmente identificata” mediante l’utilizzo (e l’incrocio) di una molteplicità di dati anonimi. Sotto l’aspetto metodologico, la Raccomandazione in commento è rilevante dal momento che per la prima volta nel documento ci si rivolge non solo a legislatori e regolatori, ma anche agli operatori del mercato.
Al riguardo, se è possibile individuare la norma che disciplina il trattamento di dati personali nel Regolamento UE 2016/679, quella relativa ai dati non personali risulta essere il Regolamento UE 2018/1807. Quest’ultimo si propone di eliminare le barriere che attualmente impediscono la libera circolazione transfrontaliera all’interno della UE dei dati che non riguardano persone fisiche identificate o identificabili. Le disposizioni contenute nel Regolamento UE 2018/1807 integrano quelle che prevedono la libera circolazione e la portabilità dei dati personali all’interno della UE contenute nel Regolamento UE 2016/679, ed assieme a queste ultime, nell’intenzione del legislatore europeo, contribuiscono alla creazione di quello “spazio comune europeo dei dati” auspicato più volte dalla stessa Commissione europea.
Nel Febbraio del 2020, è stato pubblicato il rapporto finale dell’indagine conoscitiva sui Big Data , che partendo da tre prospettive diverse e complementari, ha individuato le principali sfide per il loro utilizzo, tra cui:
• la centralità del dato, anche come bene economico e l’importanza della sua tutela come diritto fondamentale della persona;
• l’impatto della profilazione algoritmica e delle piattaforme on-line sul grado di concorrenza in vecchi e in nuovi mercati rilevanti;
• l’effetto del programmatic advertising sulla qualità dell’informazione e sulle modalità di diffusione e acquisizione della stessa;
• la tutela e la promozione del pluralismo on-line in un contesto informativo esposto a strategie di disinformazione e di hate speech;
• la necessità di garantire trasparenza e scelte effettive al consumatore, con particolare attenzione alla tutela dei minori, in relazione al consenso circa l’uso del proprio dato;
• la protezione del dato personale anche in ambiti non attualmente coperti dal Regolamento UE 2016/679;
• la definizione di politiche di educazione in relazione all’uso del dato.
FONTE: contributi di esperti e di norme reperibili in Rete.
Dopo un primo mese dell’anno ricco di aggiornamenti per Google Workspace, anche febbraio parte a pieno ritmo: in particolare è Google Meet a ricevere un update che rende possibile avere una rapida anteprima di come si apparirà agli altri partecipanti, prima di entrare in una videochiamata o riunione video.
Gli utenti di Google Meet potranno usare questa nuova funzionalità per avere una conferma che le periferiche siano correttamente configurate e connesse, per controllare che la connettività di rete sia buona e per capire l’impatto della cancellazione del rumore sul proprio segnale audio (se questa funzione è disponibile per il proprio account).
Quando viene rilevato un intoppo, Google Meet mostra un avviso e dei suggerimenti per la risoluzione di problemi più comuni, come ad esempio quello di concedere al browser il permesso di utilizzare il microfono o la fotocamera. Con questa nuova funzione gli utenti di Google Meet avranno la possibilità di entrare nelle riunioni sicuri che la tecnologia funzioni e di apparire agli altri con una qualità video che li soddisfi.
La funzione di preview consente di intercettare, prima di entrare in un meeting video, problemi come un microfono involontariamente silenziato, un monitor secondario con un collegamento mancante per le cuffie o l’altoparlante, altri problemi audio quali la scarsa qualità del suono, il livello troppo alto o il microfono che amplifica i rumori di fondo.
Inoltre, rende possibile effettuare regolazioni all’illuminazione e al posizionamento, aiutando l’utente a evitare una immagine video troppo scura o sgranata.
Come di consueto per questo tipo di aggiornamenti, il roll-out è graduale e può prendere fino a un paio di settimane.
Questa nuova funzione è disponibile per i clienti di Google Workspace Essentials, Business Starter, Business Standard, Business Plus, Enterprise Essentials, Enterprise Standard ed Enterprise Plus, così come di G Suite Basic, Business, Education, Enterprise for Education e Nonprofit.
Google, in arrivo più informazioni sui risultati delle ricerche
Quando si cercano informazioni su Internet con Google, ci si imbatte spesso in risultati provenienti da fonti familiari, come siti web di grandi rivenditori, siti di notizie di livello nazionale e altri; ma c’è anche una grande quantità di contenuti e servizi disponibili da siti che magari non abbiamo mai incontrato prima.
Per offrire all’utente qualche dettaglio in più sulle fonti dei contenuti senza dover fare ulteriori ricerche sui siti, accanto alla maggior parte dei risultati il motore di ricerca di Google inizierà a posizionare un’icona che simboleggia un menu: toccandola, l’utente potrà saperne di più sul risultato o sulla funzione e da dove provengono le informazioni o i contenuti.
Con queste informazioni contestuali aggiuntive, gli utenti potranno prendere decisioni più informate sui siti che potrebbero voler visitare e su quali risultati potrebbero essere più utili. Quando essa è disponibile, Google mostrerà una descrizione del sito web da Wikipedia.
Se un sito web non ha una scheda di Wikipedia, il motore di ricerca visualizzerà altre informazioni di contesto aggiuntive, come ad esempio quando Google ha indicizzato il sito per la prima volta.
Per le funzioni che Google fornisce per organizzare diversi tipi di informazioni, come gli annunci di lavoro o gli ad di aziende locali, sarà possibile vedere una descrizione su come Google ricava quelle informazioni da siti sul web, o dalle aziende stesse, e le presenta in un formato utile.
Gli utenti saranno anche in grado di verificare in modo rapido se la connessione al sito è sicura in base al suo uso del protocollo HTTPS, che codifica tutti i dati tra il sito web e il browser.Appositi pulsanti offriranno anche, eventualmente, un accesso rapido alle impostazioni di privacy e alla spiegazione di come funziona Google Search, mediante i link alle risorse del supporto online.
Il roll-out di questa nuova funzione inizierà a breve con il motore di ricerca in inglese negli Stati Uniti sul desktop, sul web mobile e sull’app Google per Android.
L’Unione Artigiani Italiani è la prima confederazione sindacale in Italia a utilizzare la tecnologia blockchain per certificare, firmare e condividere in sicurezza i documenti più importanti.
La tecnologia blockchain è ancora sottosfruttata, ma pian piano si sta facendo strada come metodo utile per proteggere i documenti e assicurarne l’autenticità. L’Unione Artigiani Italiani (Uai), che dal 1990 rappresenta le piccole e medie imprese di artigiani e commercianti, è la prima confederazione sindacale in Italia a scommettere sulla blockchain, scegliendo di usarla come metodo per certificare, firmare e condividere in sicurezza i documenti più importanti. Documenti che quindi avranno una data certa, una firma digitale, una prova di paternità e immutabilità nel tempo.
L’Uai potrà così snellire i propri processi di gestione documentale e di comunicazione, ridurre le tempistiche di varie attività, garantire maggior condivisione e trasparenza nella gestione di dati e informazioni, e il tutto senza la necessità di un’entità centrale di controllo e verifica.
Il progetto prende il via grazie alla firma di una doppia partnership tra il sindacato, la società Blockchain Italia.io e l’associazione Italia4blockchain. Attraverso i suoi delegati regionali e provinciali sul territorio nazionale, l’Uai sfrutterà il servizio di notarizzazione su blockchain pubblica di Algorand. “Nel momento in cui il nostro Paese uscirà da questa pandemia, che ci ha colpito duramente sia sotto il profilo sanitario che economico”, ha commentato Tullio Gabriele, presidente dell’Uai, “avrà bisogno di tutte le tecnologie innovative possibili per poter ripartire con lo slancio necessario alla crescita economica. Trovo che la tecnologia della blockchain di Algorand vada nella giusta direzione”.
Il personale riceverà una formazione specifica per poter familiarizzare con questa tecnologia e comprenderne tutte le potenzialità. Per esempio, attraverso l’implementazione della piattaforma Dedit.io nella sua versione in white label, gli attestati di completamento dei corsi di formazione erogati da O.P.N. – C.N.E.Bi.F.I.R. (Organismo Paritetico Nazionale) sull’intero territorio beneficeranno della “notarizzazione”, il processo con cui si rendono immutabili i dati e si dà data certa e prova di paternità ai documenti registrati su blockchain. Attraverso la piattaforma, inoltre, gli aderenti potranno svolgere conciliazioni sindacali e arbitrati da remoto con la sicurezza della tecnologica blockchain per registrare i video e i verbali dei procedimenti, firmandoli congiuntamente attraverso la funzione multi-sig di Dedit.io. “Siamo felici di contribuire a consolidare la cultura dell’innovazione in Italia grazie alla capillarità della rete di Uai e C.N.E.Bi.F.I.R. su tutto il territorio”, ha dichiarato Pietro Azzara, presidente di Italia4Blockchain e Ceo di Blockchain Italia.io. “Da oggi, infatti, un gran numero di imprese beneficeranno del servizio di notarizzazione attraverso la nostra piattaforma Dedit.io e riusciranno a cogliere le opportunità offerte da questa innovazione tecnologica, anche grazie alle attività di formazione sulla tecnologia Blockchain che assieme alla Uai saranno erogate alle aziende dall’associazione Italia4Blockchain”.
Kara Sprague, executive vice president e general manager, BIG-IP di F5, spiega come conciliare l’esistenza di applicazioni tradizionali e quelle moderne all’interno di una stessa azienda.
Applicazioni nate nel cloud e all’interno dei container: se ne parla da anni nel mondo Ict ed effettivamente l’adozione di questo approccio, in linea con il metodo DevOps, nelle aziende è in crescita. Eppure le applicazioni tradizionali, caratterizzate da un’architettura monolitica, client-server o a tre livelli, in azienda rappresentano ancora la stragrande maggioranza. Come conciliare questi due mondi, che rappresentano il passato, presente e futuro delle applicazioni aziendali, senza troppe complessità di gestione e, soprattutto, senza problemi di sicurezza? F5 propone di adottare un “approccio adattivo” e di costruire intorno all’applicazione una sorta di “corazza flessibile”. Ce ne parla Kara Sprague, executive vice president e general manager, BIG-IP di F5.
Applicazioni tradizionali o applicazioni moderne? Da alcuni mesi abbiamo introdotto un nuovo concetto, quello delle adaptive application, ovvero applicazioni che si comportano più come organismi viventi che come codice in bit. Queste applicazioni sono dotate di tecnologie per la sicurezza e la delivery delle app in grado di proteggerle e presidiare tutti i punti di vulnerabilità, di espandere e contrarre le risorse in base alle esigenze di performance, di rilevare i problemi e occuparsene in modo proattivo. Dare vita a questa visione significa però affrontare molte sfide riguardanti sia le applicazioni moderne, progettate come servizi distribuiti in cloud o container-native e che interagiscono tramite API, sia quelle tradizionali, che possiedono ancora un’architettura monolitica, client-server o a tre livelli.
Le applicazioni tradizionali sono ancora l’architettura applicativa di riferimento della maggior parte delle organizzazioni. Come conferma una nostra ricerca, il 97% delle organizzazioni aziendali gestisce applicazioni tradizionali, e il 76% ha affiancato a esse anche applicazioni moderne. Ciò significa che il 21% delle organizzazioni continua ad affidarsi esclusivamente alle applicazioni tradizionali. Sviluppate nel corso degli ultimi decenni per soddisfare le principali esigenze del business, le applicazioni tradizionali sono tipicamente in grado di abilitare tutti i processi mission-critical all’interno delle organizzazioni come, ad esempio, i sistemi di elaborazione dei mutui, i motori di elaborazione dei pagamenti, le cartelle cliniche elettroniche degli ospedali, le piattaforme Software-as-a-Service (SaaS) di prima generazione, i sistemi di gestione dell’inventario o le reti mobile 3G e 4G dei service provider. Oltre al ruolo mission-critical che svolgono e ai rischi che ne derivano in termini di interruzioni di business se smettono di funzionare, le applicazioni tradizionali sono anche generalmente difficili e costose da modificare e refrattarie al cambiamento. La realtà è che, oggi, molti front-end applicativi responsabili della gestione dell’interazione con il cliente finale sono comunemente progettati utilizzando architetture moderne; quando però devono attingere ai dati, molo spesso interagiscono con back-end monolitici erogati su architetture tradizionali. La maggior parte delle esperienze digitali di oggi derivano, quindi, da un mix di vecchie applicazioni, che servono come sistemi di archiviazione e gestione dei dati, e applicazioni moderne, che forniscono sistemi di engagement. Questa logica applicativa, tradizionale e moderna insieme, è sempre più distribuita tra il data center on-premises, il cloud pubblico e l’edge. E tutti questi sistemi contribuiscono a fornire la visione d’insieme sul dispositivo o sul browser dell’utente finale, dando vita a un’unica esperienza digitale. Tra le maggiori opportunità che le applicazioni adattive potranno riservarci vi è proprio la possibilità di adattare le applicazioni tradizionali e semplificare la loro sicurezza e delivery per le implementazioni ibride e multi-cloud.
Perché le applicazioni tradizionali sono più fragili
Una delle fragilità più evidenti che presenta una app tradizionale è legata al suo sviluppo, che può essere avvenuto utilizzando linguaggi di programmazione non più così noti come in passato, come ad esempio Fortran o COBOL. Anche quando l’app utilizza un linguaggio più contemporaneo, le competenze e le persone che hanno scritto quella particolare applicazione potrebbero essere andate in pensione o avere cambiato lavoro, ed è difficile trovare ancora esperti in quell’ambito capaci di metterci mano. Un ulteriore fattore di fragilità è legato ai cambiamenti nel tempo dei modelli di traffico delle app. Le richieste che arrivano all’applicazione, la frequenza, i protocolli e la natura stessa del pacchetto stanno cambiando, e anche tutti gli elementi dell’infrastruttura che circondano l’applicazione, come lo switching e il routing di rete, la tecnologia di calcolo o l’hypervisor, si modificano negli anni. Ad accrescere tale fragilità contribuiscono anche le vulnerabilità e i rischi per la sicurezza; negli ultimi due anni abbiamo assistito a un aumento del 300% degli attacchi rivolto contro le applicazioni, e le applicazioni più vecchie, con punti di ingresso e vulnerabilità ben noti, possono rappresentare dei facili bersagli per gli hacker di oggi, sempre più preparati. Qualsiasi problema di fragilità potrebbe far sì che l’applicazione non funzioni in modo ottimale o smetta di funzionare del tutto, dimostrandosi fragile. Se l’applicazione sta ancora facendo qualcosa di critico per il business, non può essere semplicemente abbandonata, e in molti casi cercare di curarla è come effettuare un’operazione “a cuore aperto” o, semplicemente, non conviene.
Una “corazza flessibile” intorno all’applicazione
Per proteggere una vecchia applicazione e ottimizzarne il più possibile le performance è necessario dotarla di una “corazza flessibile”, ovvero di un’architettura che sfrutti tecnologie di sicurezza e delivery delle app in grado di risolvere i problemi nell’applicazione stessa. Tale corazza dovrebbe includere una sicurezza delle app ai massimi livelli, con supporto di policy e di servizi che siano coerenti in tutti gli ambienti: quest’ultimo aspetto è fondamentale quando le aziende spostano le applicazioni tradizionali in un cloud pubblico, in ambienti multi-cloud o hybrid-cloud.Circondare le app tradizionali con una tale tecnologia di sicurezza e delivery consente di offrire un livello di protezione estremamente prezioso proprio perché altamente flessibile. Una flessibilità che comprende la semplicità di programmazione e configurazione e che permette di gestire il traffico e le policy per impedire che certi flussi di traffico arrivino all’applicazione stessa. Può anche eseguire funzioni aggiuntive, dal bilanciamento del carico alla traduzione del protocollo (per esempio da HTTP/2 a HTTP/1.1) e integrare funzionalità di sicurezza come il firewalling delle applicazioni, la protezione dai DDoS e la mitigazione dei bot.Per raggiungere la massima efficienza operativa, le organizzazioni dovrebbero pensare alle tecnologie per la sicurezza e la delivery delle app come a una suite capace di generare coerenza tra on-premises e cloud pubblico. Adottare tale approccio “best-of-suite” sarà ancora più importante per le prestazioni delle app, soprattutto in presenza di una sempre maggiore quantità di traffico criptato. Infatti, se si separano le funzionalità di sicurezza o delivery di un certo numero di dispositivi virtuali o fisici lungo il percorso dei dati dell’applicazione, lungo tale percorso ogni dispositivo si troverà a dover decifrare il traffico, applicare qualche funzione ad esso e poi criptarlo nuovamente: un processo decisamente poco efficiente. Standardizzare e consolidare le funzioni di sicurezza e delivery delle app è in realtà l’unica soluzione possibile dal punto di vista non solo economico ma anche prestazionale.
Una sicurezza e una delivery automatizzate
Quando si tratta di eseguire le applicazioni tradizionali nel modo più efficace ed efficiente, un elemento che si sta rivelando sempre più imprescindibile è l’automazione. Automatizzare la sicurezza delle applicazioni e le funzioni di delivery che circondano le applicazioni tradizionali è di fatto un ottimo modo per ridurre il costo operativo e può essere fatto semplicemente attraverso API dichiarative che possiedono soluzioni per la gestione centralizzata del versioning e del deploying delle app, come il nostro BIG-IQ. In sintesi, per proteggere la fragilità delle applicazioni tradizionali è fondamentale non lasciare che le tecnologie per la sicurezza e la delivery di tali app diventino tanto fragili quanto l’applicazione tradizionale stessa.
Ritengo che, ancora per molti anni, le app tradizionali continueranno a giocare un ruolo critico nel portafoglio di applicazioni della maggior parte delle organizzazioni. Le giuste tecnologie di sicurezza e delivery delle app verranno loro incontro per garantire che queste applicazioni continuino a funzionare, migliorandone anche l’efficienza operativa. Penso a tecnologie in grado di funzionare in modo coerente tra ambienti on-premises e cloud pubblici e di essere altamente programmabili e configurabili per fornire la massima flessibilità possibile. Per riuscire nel loro scopo dovranno sempre di più includere capacità di sicurezza avanzate e proteggere le applicazioni mission-critical anche dagli attacchi più sofisticati.
Per richiedere l’identità digitaleSPID oggi è possibile rivolgersi ad uno degli identity provider accreditati per il rilascio delle credenziali per il sistema pubblico di identità digitale attraverso il quale accedere ai servizi online della Pubblica Amministrazione, compresa la Dichiarazione dei Redditi Precompilata.
In particolare i fornitori sono: Aruba, In.Te.S.A., InfoCert, Lepida, Namirial, Poste Italiane, Register, Sielte e TI Trust Technologies. Vediamo quali sono le istruzioni generali da seguire ai fini dell’ottenimento dell’identità unica.
Rilascio SPID
In genere è prevista una procedura online o in alternativa quella diretta allo sportello. In alcuni casi possono bastare pochi minuti per inserire i propri dati e ottenere nome utente e password SPID nel giro di 24 ore. Sul fronte privacy è bene sapere che informazioni fornite non possono essere usate a fini commerciali.
Scelta del Provider
La scelta del fornitore può essere valutata partendo dalle pagine informative del sito ufficiale SPID, o dal sito AgID. Il servizio è tendenzialmente gratuito, per quanto in alcuni casi sia previsto un supplemento a pagamento.
Servizio SPID più adatto
Per scegliere il provider è utile analizzare:
la modalità di riconoscimento che risulta più comoda;
il livello di sicurezza di SPID di cui si ha bisogno;
se si è già cliente di uno degli Identity Provider, questo potrebbe prevedere un flusso di registrazione semplificato;
se il provider offre il servizio ai cittadini italiani residenti all’estero, nel caso si rientri in questa categoria.
Ricordiamo che è possibile richiedere e ottenere più di una identità SPID, magari con diversi livelli di sicurezza per diverse finalità di utilizzo.
Livelli di sicurezza SPID
I° livello: nome utente e password.
II° livello: utente e password più codice temporaneo di accesso (one time password).
III° livello: utente e password, one time password, supporto fisico (es. smart card) per l’identificazione (ancora non disponibile). Una possibile alternativa, al momento allo studio, è quella di ricorrere alla CIE (carta di Identità Elettronica).
Identità digitale società
Oltre al privato cittadino, anche il responsabile legale di una società può richiedere e utilizzare la propria identità digitale per utilizzare i servizi online dedicati alle imprese. Questo può giustificare la richiesta di credenziali con livelli di sicurezza più elevati.
Alternative di rilascio
Oltre che recandosi (almeno per la parte conclusiva della procedura) allo sportello, di norma si avvia la registrazione direttamente online in pochi minuti, completandola a pagamento via webcam oppure ricorrendo a firma digitale, carta d’identità elettronica (CIE) e carta nazionale dei servizi (CNS), preventivamente abilitate per l’utilizzo dei servizi online. In questi casi, inoltre, serve un lettore di smart card.
Servizi abilitati a SPID
Ricordiamo che ci sono quasi 4mila le amministrazioni che erogano servizi abilitati SPID, fra cui: dichiarazione dei redditi online, calcolo contributi INPS, infortuni e sicurezza sul lavoro INAIL, SUAP (sportelli unici avvio impresa), Camere di Commercio, fatturazione elettronica, visure. Sempre dal sito istituzionale dedicato a SPID, si può effettuare una ricerca mirata oppure consultare l’elenco dei servizi disponibili. Le pubbliche amministrazione che sono collegate a SPID sono segnalate attraverso specifico bottone di accesso “Entra con SPID”, inoltre l’elenco completo è costantemente aggiornato sul sito ufficiale del Governo (https://www.spid.gov.it/servizi).
Fisco online: SPID obbligatorio
Presto, secondo i progetti dell’Agenzia delle Entrate, lo SPID dovrebbe diventare obbligatorio per l’accesso ai servizi online del Fisco. L’obiettivo sarebbe quello proseguire nel percorso di semplificazione del rapporto tra contribuenti Fisco, dando un contributo rilevante al complessivo processo di digitalizzazione dell’intero sistema Paese, dando una spinta alla diffusione di una completa identità digitale del cittadino e rendendo più fruibili i servizi online del Fisco. Intanto da aprile 2018 tutti servizi web forniti dall’Agenzia sono stati resi accessibili, oltreché con PIN e password rilasciati dall’Agenzia, con le credenziali SPID.
Nell’anno della pandemia, il rapporto Clusit 2021 registra il record negativo degli attacchi informatici: a livello globale sono stati infatti 1.871 gli attacchi gravi di dominio pubblico rilevati nel corso del 2020, ovvero con un impatto sistemico in ogni aspetto della società, della politica, dell’economia e della geopolitica.
In media, si tratta di 156 attacchi gravi al mese, il valore più elevato mai registrato ad oggi (erano 139 nel 2019), con il primato negativo che spetta al mese di dicembre, in cui sono stati rilevati ben 200 attacchi gravi. In termini percentuali, nel 2020 l’incremento degli attacchi cyber a livello globale è stato pari al 12% rispetto all’anno precedente; negli ultimi quattro anni il trend di crescita si è mantenuto pressoché costante, facendo segnare un aumento degli attacchi gravi del 66% rispetto al 2017.
I dati sono stati illustrati alla stampa nel corso della presentazione in anteprima della sedicesima edizione del Rapporto Clusit sulla sicurezza ICT in Italia e nel mondo : gli autori hanno tuttavia evidenziato che lo scenario riportato è certamente meno critico rispetto alla situazione effettiva, per la tendenza complessiva delle vittime a mantenere, ove possibile, riservati gli attacchi cyber subìti, soprattutto in Europa, anche a fronte del vigente Regolamento GDPR e della Direttiva NIS.
Il Cybercrime è stato nel 2020 la causa dell’81% degli attacchi gravi a livello globale; le attività di Cyber Espionage costituiscono invece il 14% degli attacchi: diverse attività di questo tipo risultano correlate alle elezioni USA nella seconda metà dell’anno, con tentativi di influenzare l’opinione pubblica da parte di attori interni ed esterni. Operazioni di spionaggio sono state rilevate dagli esperti Clusit anche ai danni di molti enti di ricerca ed aziende coinvolte nello sviluppo dei vaccini contro il Covid-19.
Proprio la pandemia ha caratterizzato il 2020 per andamento, modalità e distribuzione degli attacchi secondo gli esperti del Clusit: il 10% degli attacchi portati a termine a partire da fine gennaio è stato a tema Covid-19. In particolare, i cybercriminali hanno sfruttato la situazione di disagio collettivo, nonché di estrema difficoltà vissuta da alcuni settori – come quello della produzione dei presidi di sicurezza (ad esempio, delle mascherine) e della ricerca sanitaria – per colpire le proprie vittime. Diverse operazioni di spionaggio sono state compiute a danno di organizzazioni di ricerca correlate con lo sviluppo dei vaccini.
Nello specifico settore della Sanità, il 55% degli attacchi a tema Covid-19 è stato perpetrato a scopo di cybercrime, ovvero per estorcere denaro; con finalità di “Espionage” e di “Information Warfare” nel 45% dei casi. Sostanzialmente stabili, invece, negli ultimi 12 mesi, gli attacchi globali appartenenti alla categoria Cyber Warfare – la guerra delle informazioni, che costituiscono il 3% del totale.
Gli attacchi registrati nel 2020 sono stati classificati dagli esperti Clusit anche in base ai loro differenti livelli di impatto, sulla base di una valutazione dei danni dal punto di vista geopolitico, sociale, economico (diretto e indiretto) e di immagine. Nel 2020 gli attacchi rilevati e andati a buon fine hanno avuto nel 56% dei casi un impatto “alto” e “critico”; il 44% è stato di gravità “media”.
Gli attacchi correlati a finalità di Cyber Espionage, per quanto numericamente inferiori, risultano avere una gravità più alta della media, e preoccupano per la loro continua crescita.
Tra i settori colpiti da attacchi cyber gravi negli ultimi dodici mesi, spiccano (in ordine decrescente):
– “Multiple Targets”: 20% del totale. Si tratta di attacchi realizzati in parallelo verso obiettivi molteplici, spesso indifferenziati, che vengono colpiti “a tappeto” dalle organizzazioni cyber criminali, secondo una logica “industriale”. Gli attacchi verso questa categoria di obiettivi sono tuttavia in calo del 4% rispetto al 2019;
– Settore Governativo, Militare, Forze dell’Ordine e Intelligence, che hanno subìto il 14% degli attacchi a livello globale;
– Sanità, colpita dal 12% del totale degli attacchi;
– Ricerca/Istruzione, verso cui sono stati rivolti l’11% degli attacchi
– Servizi Online, colpiti dal 10% degli attacchi complessivi.
Sono cresciuti, inoltre, gli attacchi verso Banking & Finance (8%), Produttori di tecnologie hardware e software (5%) e Infrastrutture Critiche (4%). Gli esperti Clusit hanno inoltre registrato nel corso degli ultimi dodici mesi un incremento di attacchi veicolati tramite l’abuso della supply chain, ovvero tramite la compromissione di terze parti, il che consente poi a criminali e spie di colpire i contatti (clienti, fornitori, partner) dell’obiettivo, ampliando notevolmente il numero delle vittime e passando più facilmente inosservati.
Le tecniche d’attacco – Nel 2020 gli attacchi cyber sono stati messi a segno prevalentemente utilizzando Malware (42%), tra i quali spiccano i cosiddetti Ransomware – una tipologia di malware che limita l’accesso ai dati contenuti sul dispositivo infettato, richiedendo un riscatto – utilizzati in quasi un terzo degli attacchi (29%), la cui diffusione è in significativa crescita (erano il 20% nel 2019), sia in termini assoluti che in termini di dimensioni dei bersagli e di ammontare dei danni. Seguono le “tecniche sconosciute” (in riferimento alle quali prevalgono i casi di Data Breach, per il 20%), mentre Phishing & Social Engineering continuano ad essere la causa di una buona parte degli attacchi (15% del totale); si registra inoltre negli ultimi dodici mesi una crescita degli attacchi sferrati per mezzo di vulnerabilità note (+ 10%), precedentemente in calo (-29% nel 2019 rispetto al 2018).
Dove colpiscono i cybercriminali – Gli attacchi classificati dai ricercatori di Clusit si sono verificati nel 47% dei casi negli Stati Uniti; nel 22% dei casi in località multiple, a dimostrazione della capacità degli attaccanti di colpire in maniera diffusa bersagli geograficamente distanti e/o organizzazioni multinazionali. In Europa gli attacchi sono aumentati negli ultimi dodici mesi del 13%, arrivando a rappresentare il 17% degli attacchi globali. Gli eventi di in-sicurezza cyber hanno colpito per l’11% l’Asia, il 2% l’Oceania e l’1% l’Africa.
La Cyber Kill Chain è uno strumento eccellente per capire in che modo le organizzazioni possono aumentare notevolmente la possibilità di difendere il loro ambiente
“Cyber Kill Chain” è l’espressione usata per indicare il modello del ciclo di vita di un attacco informatico. Il nome è l’adattamento al campo della cyber security del concetto di Kill Chain utilizzato in ambito militare per indicare un modello a fasi utile a identificare i vari passaggi necessari all’esecuzione di un attacco.
In ambito informatico, è uno strumento eccellente per capire in che modo le organizzazioni possono aumentare notevolmente la possibilità di difendere il loro ambiente rilevando e bloccando le minacce in ogni fase del ciclo di vita dell’attacco: ci insegna quindi che, mentre gli avversari devono completare tutte le fasi affinché l’attacco vada a buon fine, noi (i difensori) dobbiamo “solo” fermare e spezzare la catena in qualsiasi fase del processo. Ma come fare?
Le fasi della Cyber Kill Chain
La Cyber Kill Chain afferma che, per compiere i loro misfatti, gli attaccanti devono sempre seguire sei passaggi fondamentali. Vi è una Cyber Kill Chain esterna ed una interna: la prima porta alla violazione del perimetro di rete aziendale, la seconda è costituita dalle azioni per ottenere l’accesso all’endpoint preso di mira. La combinazione della Cyber Kill Chain esterna e interna nel settore è definita Cyber Kill Chain estesa.
Uno degli obiettivi è quello di disporre di meccanismi di difesa efficienti della Cyber Kill Chain estesa per rallentare gli attaccanti, far sì che la prosecuzione dell’attacco diventi sempre più costosa e rendere il più difficile possibile il passaggio a ciascuna fase successiva. Se gli attaccanti non riescono a raggiungere il loro obiettivo in modo conveniente, dirigeranno i loro sforzi altrove.
La strategia di sicurezza di un’organizzazione deve quindi tenere conto di come viene eseguito un attacco, all’esterno e soprattutto dall’interno, poiché gli attaccanti, una volta entrati nella rete, hanno accesso agli endpoint e alle loro risorse.
L’approccio tradizionale alla sicurezza dovrebbe essere esteso con metodi basati sulla comprensione della Cyber Kill Chain, fornendo tecnologie che siano in grado di impedire agli attaccanti di accedere agli endpoint e anche di bloccarli in ogni possibile fase della Cyber Kill Chain interna.
Nella guida realizzata da WatchGuard, dal titolo “Comprendere gli attacchi informatici“, si spiega come la soluzione di endpoint security Adaptive Defense 360 (AD360) garantisce che l’esecuzione della Cyber Kill Chain venga sempre interrotta, lasciando a mani vuote gli autori degli attacchi.
AD360 aiuta i team di sicurezza a progettare una strategia di sicurezza allineata alla Cyber Kill Chain estesa senza necessità di aumentare il personale grazie al rilevamento e alla risposta intelligente degli endpoint (EDR). Nella guida viene illustrato come AD360 interviene in ognuna delle sei fasi della kill chain in un attacco ransomware e in che modo può prevenire e bloccare gli attacchi in corso prima che causino danni.
Per saperne di più, la guida “Comprendere gli attacchi informatici” è disponibile a questo link:
Un estratto del botta e risposta tra Andrea Chiozzi e l’Avvocato Barbara Sabellico su RAISE Academy, l’Accademia di Formazione Efficace. Il tema è uno dei più controversi in materia di Regolamento europeo per la protezione dei dati personali e riguarda una delle attività più sanzionate dalle Autorità Garante.
Informativa estesa o cartello: servono entrambi o uno esclude l’altro?
Andrea Chiozzi: Informativa estesa o cartello? Se c’è uno non serve l’altro? Se c’è il cartello, posso non avere una normativa più complessa o viceversa? Dove metto il cartello? Cartello e informativa sono la stessa cosa?
Avvocato Sabellico: È come quando la sarta fa un vestito. C’è la forma e poi ci sono le rifiniture. Col GDPR è la stessa cosa: ci sono dei princìpi generali che non vanno mai dimenticati e poi ci sono le rifiniture. Quello che il Regolamento ripete sempre è che non dobbiamo dimenticarci le persone a cui ci rivolgiamo e quindi di avere un approccio semplice, che non significa essere carenti, ma va vuol dire che le cose vanno spiegate in modo che siano intuibili e semplici da capire. Questo vale anche per la videosorveglianza, per cui il pannello col simbolo della telecamera non va mai dimenticato, perché è il primo contatto. È l’inizio della videosorveglianza. Il simbolo delle telecamere infatti è facilmente intuibile da qualsiasi persona e dà il primo segnale. Ti dice: “Guarda che se metti il piede qui, sei videosorvegliato”. È un’informativa breve, ma non è detto che sia sufficiente, per cui è necessario accompagnare al pannello l’informativa estesa, dove indichi: che tipo di dati raccogli, come li raccogli, chi li raccoglie, per quanto tempo li conservi, quali sono i diritti dell’interessato.L’informativa estesa deve essere resa disponibile? Cosa vuol dire? Vuol dire che l’utente deve essere messo nelle condizioni di poter avere l’informativa estesa, alla bisogna. Ed è importante che l’utente sappia cosa sta succedendo. Il cartello è il primo campanello – la lampadina che lampeggia – che ti dice “Guarda, qui succederanno cose. Chiedi. Così ti facciamo vedere come trattiamo i tuoi dati raccolti col sistema di videosorveglianza”. Lo scopo è informare l’interessato. Come vuoi farlo, decidi tu. Poi anche mettere 2 persone fuori dalla porta che dicono a tutti: “Guarda che verrai ripreso”. Lo scopo è raggiunto.
L’informativa per presa visione va firmata?
Andrea Chiozzi: Spesso si chiede di firmare l’informativa sulla videosorveglianza per presa visione. Come la vedi la firma sulla videosorveglianza? Secondo te ha senso?
Avvocato Sabellico: Il consenso deve essere esplicitato. Ma non c’è scritto da nessuna parte che si debba chiedere la firma. Il fatto di chiedere delle firme è perché è così che noi italiani siamo abituati. E se seguiamo la strada della formalizzazione, diventa difficile, perché un avvocato potrebbe dirti “Bene, hai raccolto la firma? Ma senza un documento la firma non vale nulla.” L’affanno del titolare – raccolgo la firma che sono a posto – è inutile. Perché uno all’ingresso potrebbe firmare Peppino Rossi, quando si chiama Antonio Bianchi. Perché continuare a chiedere firme per far vedere che l’utente ha preso visione dell’informativa? Perché è il frutto del nostro sistema giuridico. Il GDPR va in direzione completamente opposta. Anche perché hai messo fuori il cartello. Quindi la persona che vuole entrare sa che, nel momento in cui mette piede dentro, viene ripresa. È consenso o no? Sì. Altrimenti non metteva il piede dentro. Il GPDR chiede un consenso esplicito non scritto. E come si manifesta? Entrando dentro e poi andando a manifestare il proprio dissenso.
Accordi sindacali o Ispettorato del lavoro: come si gestisce?
Andrea Chiozzi: Accordi sindacali o richiesta fatta all’Ispettorato del lavoro. Come si può gestire questa cosa con buon senso?
Avvocato Sabellico: Il problema della videosorveglianza è dovuto al fatto che, in passato, il datore di lavoro la usava per controllare il lavoratore durante l’orario di lavoro. Per quanto riguarda gli accordi e le richieste invece, l’accordo interno con l’RSU è il più auspicabile perché più veloce e fatto con i rappresentanti sindacali interni, che sanno che è un passaggio formale, in cui dici che da domani ci sono le telecamere e sei a posto. Anche la richiesta all’Ispettorato adesso è più semplice, una volta dovevi chiamare un geometra, fare la piantina, il cono di ripresa della telecamera eccetera eccetera. Era costoso e sfociava con l’uscita dell’ispettore che andava in azienda e guardava come venivano messe le telecamere. E avere l’ispettore non è mai piacevole. Quando poi sono entrate in vigore le sanzioni del GDPR, la richiesta è stata snellita – non bisogna più indicare dove e come le metti, ma basta dire il numero di telecamere – e i visi possono essere ripresi. Dall’avvio delle sanzioni, le richieste sono state talmente tante che poi l’ispettore ha smesso di andare in azienda. In più, col Jobs Act, è stata introdotta un’ulteriore modifica sulla videosorveglianza che dice che se le telecamere vengono installate su perimetro aziendale per la tutela del patrimonio, non sarebbe necessaria la richiesta di autorizzazione. Però io consiglio la regolarizzazione della videosorveglianza in azienda perché, anche se le telecamere sono nel perimetro aziendale, molta giurisprudenza considera luoghi di lavoro anche le zone di carico e di scarico. Pensiamo all’azienda di produzione dove arriva il corriere e l’operaio carica e scarica il materiale. E poi c’è un altro aspetto: se arriva l’ispettorato per un controllo qualunque, come il Covid o qualsiasi altra cosa e vede il cartello della videosorveglianza, chiede all’azienda se ha l’autorizzazione dell’Ispettorato o l’accordo con il sindacato interno. Se non ce l’ha, sanziona. Quindi è meglio mandare il modulo all’Ispettorato del lavoro.
Le videocamere sono state installate ma l’azienda non ha fatto nulla
Andrea Chiozzi: Ho la videosorveglianza installata da 3 anni e non ho mai mandato nulla. Cosa faccio? Mi autodenuncio?
Avvocato Sabellico: L’azienda che ha su le telecamere da 3 anni è in violazione della normativa. Cosa fare. Ipotesi 1: smonta le telecamere, fa la richiesta e le rimonta. Ipotesi 2: se le ha installate, ce le ha nei cespiti o no? Chiama l’impresa che ha installato il sistema, fa un aggiornamento, manda la richiesta, prende un po’ di rischio, ma almeno si regolarizza perché l’alternativa è smontarle. Anche perché anche se le telecamere sono su e sono spente, ti becchi la multa lo stesso.
Legittimo interesse e videosorveglianza
Andrea Chiozzi: Base giuridica del trattamento. Nel caso della videosorveglianza è il legittimo interesse. Ma per poter usare il legittimo interesse come base giuridica, bisogna aver fatto un’analisi preventiva ed un calcolo sull’interesse dell’interessato e dell’interesse legittimo dell’azienda. Bisogna rendere evidente il calcolo e quindi far sì che questa evidenza sia resa palese. Ti chiedo: una volta che ho la videosorveglianza, devo fare DPIA e tutto il resto e basta quello o devo dare evidenza del calcolo del legittimo interesse?
Avvocato Sabellico: A me in generale il legittimo interesse come base giuridica piace poco. Prendo atto che posso applicare la questione del legittimo interesse. Però dipende. Ti faccio un esempio. Il convento delle suore di clausura del paesino con 10 abitanti mette le telecamere perché le suore temono possibili aggressioni. Un magistrato potrebbe dire: “Quante aggressioni ha ricevuto il convento? Zero. Bene, allora perché metti le telecamere?” Puoi anche fare la DPIA e l’analisi dei rischi, ma preventivamente devi dare evidenza di come sei andato a dire che c’è un legittimo interesse e che è prevalente rispetto a quello dell’interessato. Se nel paese di 10 abitanti non c’è mai stata un’aggressione e le suore mettono le telecamere, si prendono la sanzione, perché hanno protetto solo il loro interesse, non anche quello dell’interessato. Diverso è se sei in una città con un numero elevato di aggressioni. Quindi non è detto che per installare le telecamere della videosorveglianza ci si debba basare sul legittimo interesse. Va comunque valutato il contesto.
Ho l’accordo, il via libera dell’Ispettorato, i cartelli e le informative. Sono a posto? No, non sei a posto!
Andrea Chiozzi: “Ho fatto l’accordo sindacale, ho i cartelli, ho le informative… sono a posto con la videosorveglianza!” No, non è vero. Non basta. Devi sapere anche chi può vedere le registrazioni, come può accedere e con quali strumenti. Sei d’accordo?
Avvocato Sabellico: Qui c’è un peccato originale dei consulenti privacy e GDPR. Perché bisogna mettere il titolare del trattamento nelle condizioni di capire qual è il perimetro in cui si trova. Altrimenti si finisce per applicare il GDPR nella forma e non nella sostanza. Tanto che spesso vengono fatti errori grossolani. Per esempio, in un’azienda i monitor della videosorveglianza sono visibili non solo alla signora della reception ma anche a chi entra, perché sono a vista e restano accesi tutto il giorno. Oppure la situazione in cui, in ogni piano dell’azienda, ci sono telecamere che mostrano tutto. Tutti i dipendenti vedono tutto. Non va bene. Il GDPR ci consente di far le cose, purché abbiano senso. Se la spiegazione è: la città è popolosa, siamo vicino alla stazione, i dipendenti spesso fanno tardi e la sera, grazie alle telecamere, prima di uscire, vedono se ci sono dei pericoli, se c’è uno appostato dietro alla porta, non è sufficiente. Primo, perché se lavoro fino a tardi non mi metto a guardare le telecamere. Secondo, perché se una persona è appostata da un’ora, non me ne accorgo certo gli ultimi 10 minuti prima di uscire dall’ufficio. Questa non è una spiegazione valida.
Gli incaricati: tutti possono vedere tutto? Non va bene!
Andrea Chiozzi: Le persone devono essere incaricate e non tutti possono essere incaricati di vedere tutto. Sei d’accordo?
Avvocato Sabellico: Sì. Bisogna fare un incarico dettagliato, dare le modalità di accesso e le credenziali, spiegare che le credenziali non vanno assolutamente cedute. L’incaricato va istruito e gli va spiegato che, quando va in bagno o si alza per fare la pausa, i computer devono essere bloccati. Se si incarica un esterno, bisogna preoccuparsi di come questo esterno si muove e chi sono i soggetti che vedono le immagini sulle telecamere. Perché non ci dimentichiamo che, soprattutto in certe realtà, che tu guardi Mario o Maria può cambiare la situazione. Quindi se c’è un soggetto terzo, devi sapere chi visionerà le immagini e con chi hai a che fare. Per esempio, se sono la Maserati, la Ferrari, la Barilla – aziende con interessi e affari – sapere che i miei affari sono visti da Peppino Rossi, è un problema. Perché può succedere che uno si faccia assumere dall’azienda di videosorveglianza per fare spionaggio. È successo e può succedere ancora.
Andrea Chiozzi: Quindi la nomina agli incaricati va fatta e se si dà l’incarico ad un responsabile esterno, non si può dire “Ma tanto è un’agenzia autorizzata, si arrangeranno loro…” No!
Avvocato Sabellico: La verifica di compliance e di adeguatezza deve essere fatta anche sul fornitore esterno. E poi c’è anche il patto di segretezza. Perché è sempre un soggetto terzo che mi guarda dentro casa. Non scordiamoci che, ad oggi, la stragrande maggioranza dei Data Breach sono dovuti a: 1) incuranza (Peppino esce e lascia il PC acceso che non va in blocco, e c’è un progetto aperto sul computer); 2) per dolo e quindi la violazione è voluta.
Andrea Chiozzi: E per chiudere la quadra: l’80% dei sistemi di videosorveglianza non è adeguato al GDPR. Alcuni hanno ancora le videocassette: non va bene!
Avvocato Sabellico: Sì, sulla questione della videosorveglianza ci sono le sanzioni più cattive del GDPR. Non si scherza!
Il digitale è una dimensione del mondo reale. Non possiamo più farne a meno.
Infatti, se il digitale si blocca, vuol dire che è il mondo reale che non funziona. Pensiamo ai tribunali, che a causa del Covid sono stati chiusi. Se c’è un evento imprevisto – un incendio, un terremoto, una pandemia – l’attività deve andare avanti, è il concetto di Business Continuity, che vale anche per la PA.
Quindi? Quindi anche la PA deve fare la sua transizione al digitale e non è una possibilità, è un obbligo. Un obbligo stabilito dal Piano triennale ICT dell’AgID (l’Agenzia per l’Italia Digitale).
Come si fa questa trasformazione digitale?
Si fa mettendo in atto 10 cose.
Perché una PA dovrebbe digitalizzarsi? Per tanti buoni motivi. Uno su tutti: evitare il danno erariale. I motivi per digitalizzarsi sono tanti: rendere la vita più semplice ai cittadini e alle imprese, ottimizzare le risorse, velocizzare i servizi e – questo vale soprattutto per le PA più riluttanti – perché, se la PA non si digitalizza, c’è il danno erariale.
In un’organizzazione privata, se c’è un problema, paga il titolare. Ma nella PA se un servizio non funziona, chi paga? C’è il danno erariale: paga la PA, ma con un’azione in regresso si può rifare sul dirigente che col suo patrimonio pagherà direttamente il danno che ha arrecato alla collettività.
La PA deve essere un facilitatore dei servizi che vengono erogati ai cittadini – lo dice anche la costituzione, all’articolo 97 – perché bisogna gestire sempre meglio le risorse pubbliche. E questo si fa anche attraverso la digitalizzazione. Quindi, ogni PA deve – non può, ma deve, perché è un obbligo – porsi questi 10 obiettivi:
1) Entrare nella ANPR, cioè dell’Anagrafe Nazionale della Popolazione Residente
L’ANPR è la banca dati gestita dal Ministero dell’Interno che ha l’obiettivo di tenere tutti i dati anagrafici di ogni singolo cittadino a livello centralizzato, cioè avere un unico database con l’identità di ognuno di noi, su cui costruire servizi come, per esempio, il Fasciolo Sanitario Elettronico.
2) Attivare i pagamenti digitali con PagoPA
Perché? Non perché è più bello, ma perché PagoPA garantisce un controllo del pagamento automatico. Quindi il funzionario della PA non dovrà più verificare i vari pagamenti, perché la verifica sarà automatica, ma potrà dedicarsi alle attività più complesse che richiedono competenze umane. E questo a cascata genera un risparmio di risorse (umane).
3) Integrare il sistema unico di identità digitale (lo SPID)
I cittadini devono poter accedere, attraverso un unico punto e in maniera sicura, a tutte le PA. Quindi dal punto di vista della PA, ogni sito deve erogare i suoi servizi per permettere al cittadino di accedere alla propria area riservata attraverso lo SPID o attraverso la carta d’identità elettronica o ancora con la carta nazionale dei servizi.
4) Erogare la carta d’identità elettronica
La Carta di Identità Elettronica (CIE) è un documento obbligatorio di identificazione emesso dal Ministero dell’Interno e si può richiedere in Comune.
5) Utilizzare software open source
Perché? Perché il codice non deve essere più una black box, ma deve essere conoscibile. Pensiamo ad un sistema per gestire le elezioni. Bisogna sapere come vengono gestiti questi voti. Altrimenti potrebbero essere manipolati.
6) Cloud First
Meglio una soluzione in cloud o il tuo vecchio server? Punta al cloud. Perché è più sicuro e costa meno. Occhio però che c’è cloud e cloud. Non è che puoi scegliere un cloud qualsiasi, devi usarne uno qualificato AgID, perché è stato selezionato e viene periodicamente controllato per garantire gli standard di sicurezza. La lista dei cloud qualificati è su AgID Cloud Marketplace
7) Offrire ai cittadini servizi anche in digitale
Se sei una PA, una volta che hai implementato un servizio, il cittadino deve trovarlo anche in digitale. Sappi che, se hai un servizio ed è solo offline, il cittadino può fare un reclamo rivolgendosi al Difensore Civico Digitale. Cosa vuol dire avere servizi anche in digitale?
Facciamo un esempio. Peppino deve rinnovare il certificato di residenza. Vuol dire che deve chiedere un permesso dal lavoro per andare in Comune e rinnovare il documento? No, perché con SPID o con la carta d’identità elettronica o con la carta nazionale dei servizi si collega al sito della ANPR ed il suo documento può scaricarselo da lì. Oppure accede con SPID dal suo Comune – che garantisce servizi in digitale e che sono gli stessi che offre in analogico – e con un clic ottiene il certificato equivalente a quello che avrebbe avuto in analogico.
8) Uniformare i servizi digitali alle linee guida di design
È fondamentale. Noi spesso non troviamo dei servizi – anche se sono stati implementati – perché il design è scomodo, non è usabile. Non è un caso che preferiamo Facebook ad altro, perché è comodo. Quindi tutti servizi erogati dalla PA devono essere resi più usabili.
9) Entrare in IO, l’app dei servizi pubblici
Io è una app progettata, studiata e lanciata di recente – durante l’emergenza Covid – ed è già obbligatoria per tutte le PA. È un semilavorato pronto, con misure di sicurezza non indifferenti, che ha già ottenuto un parere dell’Autorità Garante.
10) Pubblica i tuoi dati
Tutti i dati devono essere pubblicati per garantire trasparenza e diventare informazione utile per tutte le altre PA.
alt+security --- toninomemoli.wordpress.com 