Non si può affrontare il tema della cybersecurity senza considerare anche la privacy dei cittadini. L’hanno capito bene le Commissioni riunite ‘Affari costituzionali e Difesa’, che oggi hanno audito il Garante per la protezione dei dati personali. “Il diritto alla protezione dei dati è tutt’altro che antagonista rispetto alla sicurezza collettiva nella dimensione cibernetica, rappresentandone anzi una delle principali componenti”, ha precisato all’inizio dell’intervento Antonello Soro, che poi ha aggiunto: “In una prospettiva di sicurezza e difesa, è l’ambiente digitale che offre la principale superficie di attacco, contenitore di tutte le informazioni che riguardano le infrastrutture strategiche, dalla rete elettrica agli ospedali fino agli aeroporti. In questa nuova dimensione della vita, così come si è andata configurando, le persone sono più vulnerabili”. Per questo la protezione dei dati personali è un presupposto essenziale non solo della cybersecurity ma, più in generale, della sicurezza pubblica.
Il Cybercrime ha superato il mercato del narcotraffico
In questi anni il cybercrime ha superato il mercato del narcotraffico. Lo dicono i dati. “L’istituto interregionale delle Nazioni Unite per la ricerca su crimine e giustizia (Unicri) ha stimato in oltre 500 miliardi di dollari l’entità annua dei danni al business mondiale”, ha ricordato Soro, che poi ha aggiunto: “Secondo le stime dell’associazione Clusit, il 72% degli attacchi verificatisi nell’ultimo anno a livello globale sarebbe stato effettuato a fini estorsivi o di sfruttamento di dati personali”.
Queste cifre dovrebbero spingere soggetti pubblici e privati a investire con risorse umane e finanziarie sull’informatica, “perché le minacce cibernetiche si snodano attraverso il flusso dei dati, la protezione dei quali è l’elemento fondativo della cybersecurity”, ha sottolineato il Garante per la privacy nel corso dell’audizione. Soro ha poi aggiunto “è significativo che la sicurezza cibernetica sia stata definita bene comune, “non rivale”, la cui tutela avvantaggia tutti, proprio perché attiene a una realtà, quale quella digitale, fondata sull’interdipendenza (oltre che sulla condivisione)”.
I nodi d’interscambio internet i più vulnerabili per i dati
L’Autorità garante per la protezione dei dati personali ha posto particolare attenzione sui principali nodi d’interscambio internet, gestiti da consorzi privati, perché ha verificato “evidenti criticità nelle misure di sicurezza già segnalate anche al Governo”.
“Non a caso, in occasione delle indagini a seguito del Datagate, è emerso che dati particolarmente rilevanti (per quantità e qualità) sarebbero stati acquisiti dall’Nsa proprio accedendo ai centri d’interconnessione telematica”, ha sottolineato Soro, che poi ha continuato: “Proprio per non rendere la fase dell’instradamento verso i provider del traffico di dati una zona ‘franca’, non governata da regole, abbiamo indicato ai gestori dei nodi d’interscambio le cautele minime per elevarne lo standard di sicurezza”.
Razionalizzare il patrimonio informativo
Ecco l’ultimo “consiglio” che il Garante per la privacy ha dato ai parlamentari che si stanno occupando di scrivere la nuova normativa sulla sicurezza informatica: “Altrettanto ineludibile è un’organica razionalizzazione del patrimonio informativo (anzitutto pubblico), essendo la riduzione della superficie d’attacco e del suo intrinseco rischio sociale la migliore difesa, contro chi intende sfruttare le vulnerabilità inevitabilmente proprie di masse di dati difficilmente gestibili e, oltretutto, poco utili perché scarsamente selettive”
Ciò vale tanto per i big data di cui sempre più si alimenta la pubblica amministrazione, quanto per la “signal intelligence” e in generale l’attività d’indagine di tipo strategico, non immune dalla tentazione di allontanarsi da quel principio di proporzionalità tra privacy ed esigenze investigative ribadito più volte dalla Corte di Giustizia.