L'analisi

DigitAnomalie. Il decreto sulla protezione dello ‘spazio cibernetico’, la fantascienza al potere?

di Andrea Monti - avvocato, esperto di diritto delle telecomunicazioni |

La direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionali (GU Serie Generale n. 87 del 13 Aprile 2017) ingessa la capacità di gestione e reazione delle strutture istituzionali, in caso di attacchi verso le infrastrutture critiche, e promuove la fantascienza al rango di fonte del diritto.

La rubrica DigitAnomalie, ovvero riflessioni sul mondo della rete e della cybersecurity, è curata da Andrea Monti – avvocato, esperto di diritto delle telecomunicazioni. Per consultare gli articoli precedenti, clicca qui.

Per capire il decreto sulla “Protezione dello spazio cibernetico” è necessario partire da due dati storico-letterari. Il primo dato riguarda la parola “cibernetica”.

E’ un’invenzione del matematico Norbert Wiener che la utilizza, per la prima volta, nel libro “Cybernetics, or Control and Communication in the Animal and the Machine” pubblicato nel 1948, per descrivere le questioni associate all’interazione uomo-macchina.

La cibernetica si basa(va) su tre concetti: a) controllo, cioè capacità di un sistema di interagire con l’ambiente e di modificarlo; b) retroazione,  cioè capacità di ricevere segnali dall’ambiente e di adattare, conseguentemente, il comportamento; c) integrazione cioè necessità che uomo e macchina operino in simbiosi, come un unico sistema.

Il secondo dato riguarda la parola “cyberspace”.

Quasi cinquant’anni dopo la pubblicazione del libro di Wiener, William Gibson, il creatore del “cyberspace”, dichiarò che “…As I stared at it in red Sharpie on a yellow legal pad my whole delight was that it meant absolutely nothing…” (mentre la guardavo, scritta in rosso su un foglio giallo a righe, ero deliziato dal fatto che non avesse assolutamente alcun significato).

Fatte queste premesse, è chiaro che la definizione di “spazio cibernetico” usata nell’articolo 2 del Decreto, e cioè “…l’insieme delle infrastrutture informatiche interconnesse, comprensivo di hardware, software, dati ed utenti, nonchè delle relazioni logiche, comunque stabilite, tra di essi…, è semplicemente sbagliata, se la riferiamo al concetto espresso da Wiener, e priva di senso, se invece prendiamo come punto di riferimento William Gibson.

In realtà, senza scomodare matematici visionari e scrittori, sarebbe bastato rifarsi ai concetti di “sistema informatico” e “sistema telematico” già presenti nel codice penale fin dal 1993, che includevano anche le definizioni successive (sicurezza cibernetica, minaccia cibernetica ed evento cibernetico). Ma evidentemente questo non è stato fatto.

Non contento di avere assestato un colpo pesante al sistema normativo della sicurezza dell’informazione, l’estensore del Decreto, all’articolo 3 comma I lettera c), complica ulteriormente le cose creando una distinzione (nei fatti, inesistente) fra “protezione cibernetica” e “sicurezza informatica”.

Ora non resta che aspettare il diluvio di articoli, saggi e volumi i cui autori faranno i salti mortali per spiegarci come queste differenze abbiano effettivamente un senso e che bene ha fatto il governo a creare queste “nuove” figure giuridiche.

Ma rimane il fatto che i due concetti del Decreto Gentiloni arrivano paro paro dalla fantascienza e che i relativi commenti troverebbero migliore accoglienza su Analog Science Fiction and Fact piuttosto che su Cassazione Penale.

Come nel caso di “Intelligenza Artificiale”, anche in questa occasione siamo di fronte ad un colossale esempio di ignoranza scientifica e di arroganza culturale dei powers-that-be.

Le parole sono usate a sproposito, i concetti sono tuttaltro che chiari nella testa di chi li deve esprimere, con la conseguenza che, invece di rimettere ordine, questo Decreto aumenta l’entropia normativa sul delicato tema della protezione delle infrastrutture critiche. Terroristi e delinquenti, ringraziano caldamente.

Fino a quando questa trascuratezza culturale caratterizza soltanto qualche campagna pubblicitaria che cerca di vendere l’ennesimo gadget tecnologico, poco male. Ma quando la stessa trascuratezza è praticata ai massimi livelli istituzionali, la situazione è profondamente diversa.

Scrivere male un testo normativo significa renderne più complicata l’applicazione e lasciare alla giurisprudenza – con i suoi tempi biblici – il compito di dare un senso all’insensatezza.

Ma quando si parla di sicurezza del sistema informazione italiano, il tempo è l’unica cosa che non abbiamo e l’unica risorsa che non possiamo permetterci di sprecare.

Leggi le altre notizie sull’home page di Key4biz