#Tecnolaw è una rubrica settimanale promossa da Key4biz e DIMT – Diritto, Mercato, Tecnologia.
Per consultare gli articoli precedenti, clicca qui.
A distanza di poco più di un mese dai drammatici episodi di Parigi e all’indomani dell’annuncio di nuove misure adottate dal Consiglio dei ministri in materia di contrasto al terrorismo internazionale, ci si interroga su quali siano gli strumenti normativi in materia di cybersecurity che garantiscano i diritti fondamentali e quali i modelli d’intervento efficaci per il contemperamento degli interessi in gioco. Questi i quesiti che hanno animato “Cybersecurity e tutela dei cittadini: strumenti normativi, modelli d’intervento e interessi in gioco”, convegno promosso il 12 febbraio a Roma dall’Accademia Italiana del Codice di Internet in occasione del Safer Internet Day e ospitato nel pomeriggio di ieri presso l’Aula Giallombardo della Suprema Corte di Cassazione.
Un incontro tra giuristi, esperti della materia, rappresentanti delle istituzioni e stakeholder per un evento introdotto dal Prof. Alberto Gambino, Presidente dell’Accademia e Ordinario di Diritto privato presso l’Università Europea di Roma, e moderato Prof.ssa Giusella Finocchiaro, Presidente del gruppo lavoro sul commercio elettronico della Commissione Onu per il diritto commerciale internazionale (Uncitral).
“Lo scenario che si propone – ha esordito Gambino – risulta molto complesso: da un lato la necessità, attualmente quanto mai pressante, di tutelare l’interesse collettivo della sicurezza pubblica, dall’altro la constatazione che le ingerenze del regolatore potrebbero direttamente comprimere diritti individuali inviolabili, ovvero limitare i diritti degli operatori economici, fornitori di servizi della società dell’informazione. La vera sfida consiste, dunque, nel raggiungere quell’equo contemperamento che, a fronte di quanto esposto, risulta essere non solo imprescindibile ma altresì assai delicato, avuto riguardo al rango degli interessi in gioco: tutti di livello costituzionale, ognuno tutelato da diverse fonti nazionali e sovranazionali che, talvolta sull’onda di un particolare contesto storico-politico, hanno approntato diverse soluzioni”.
“La complessità delle questioni suggerisce, come già anticipato, di considerare anche strade alternative agli strumenti normativi, in particolare usando a favore della collettività accorgimenti tecnici e divulgativi: strumenti di carattere informativo che, con gli opportuni correttivi, potrebbero essere in grado di finalizzare le intenzioni del legislatore. Ciò a cominciare dalla realizzazione e dall’implementazione delle reti inter-istituzionali che potrebbero essere individuate quale modelli di intervento idoneo per realizzare un equo bilanciamento tra tutti gli interessi coinvolti, riducendo peraltro il rischio di esposizione dei fornitori di connettività e di servizi globali alle rivendicazioni di tutela del diritto alla riservatezza e alla protezione dei dati personali avanzate dagli utenti. L’esperienza statunitense relativa all’applicazione del Patriot Act, ha mostrato come anche l’adozione di tecniche di criptazione dei dati conduca ad un equo bilanciamento tra tutela della sicurezza pubblica e tutela dei diritti e delle libertà costituzionalmente garantite: i dati criptati possono, infatti, essere raccolti e detenuti dalle competenti autorità governative le quali ‘usano’ tali informazioni solo in presenza di un sospetto fondato di una minaccia alla sicurezza proveniente da un individuo in particolare. Infine, potrebbero tornare utili altri strumenti di carattere tecnico informativo, come ad esempio i cosiddetti counter-speech i quali, apparendo in sovrapposizione alla pagina web a contenuto critico, perseguono l’obiettivo di veicolare messaggi positivi, non necessariamente confutando i contenuti visionati, cosa che paradossalmente potrebbe provocare un rafforzamento delle convinzioni dell’utente”.
“Questi appena elencati – ha chiosato Gambino – sono solamente taluni degli strumenti non normativi che potrebbero limitare e contrastare nel medesimo scenario del cyberspazio gli attacchi terroristici sulla e alla Rete e che si ritiene il legislatore nazionale, o sovranazionale, non possa ignorare nell’ottica di un’efficace repressione di fenomeni pericolosi come il cyberterrorismo senza per questo porre a detrimento diritti inviolabili faticosamente conquistati. Appare, d’altronde, più facile condividere globalmente uno strumento tecnico, quale ad esempio la criptazione dei dati, o politiche di educazione degli utenti della Rete, quale il counter-speech, piuttosto che un testo normativo. Tale carattere deve essere tenuto in massima considerazione in quanto organizzazioni terroristiche che operano su scala globale richiedono e impongono altrettanto globali e unitarie risposte. In questo scenario, dunque, emerge come la tutela del cyberspazio possa essere efficacemente e proficuamente demandata ad iniziative di auto e co-regolamentazione degli operatori economici che, nell’ambito di politiche legislative condivise da parte di vari Paesi, risultano essere maggiormente celeri nel dare una precisa risposta alle istanze di risoluzione dei conflitti”.
Antonio Apruzzese (Polizia Postale): ‘Manca in Italia una cultura della sicurezza informatica’
Il dato culturale emerge anche dalle parole di Antonio Apruzzese, Direttore del Servizio di Polizia Postale e delle Comunicazioni: “In Italia manca una cultura della sicurezza informatica. Il problema della sicurezza cibernetica è soprattutto legato ai danni che subisce il cittadino nella sua individualità. Ma oltre agli utenti come vittime rileva anche la posizione di quei cittadini che si ritrovano inconsapevolmente a fornire la loro dotazione tecnologica ai criminali. Parlo delle cosiddette botnet, batterie di computer utilizzare per commettere crimini come quello che ha interessato la Sony nelle scorse settimane. Una vicenda nella quale sono state coinvolte diverse macchine italiane e talvolta appartenenti ai complessi dell’apparato pubblico. Più in generale, sono ormai più della metà i casi in cui noi andiamo a bussare a casa di persone dalle cui macchine sono partiti attacchi e fatti criminosi ma che con essi c’entrano nulla. La scarsa consapevolezza dei rischi informatici – ha chiosato Apruzzese – crea grandi rischi che si ripercuotono con pesanti effetti sulla società e anche sull’economia. In questo senso, l’Italia ha avviato un cammino virtuoso per la tutela delle infrastrutture pubbliche, dotandosi di un piano per la sicurezza cibernetica, anche se restano da sciogliere i reali compiti di ogni ente coinvolto nel percorso. Fondamentale, sotto un altro punto di vista, la sensibilizzazione ad un uso consapevole dei mezzi per superare un problema che è prima di tutto di cultura”.
Anche Corrado Giustozzi, membro del Permanent Stakeholders’ Group dell’ENISA, ha sottolineato come “un corretto utilizzo del mezzo è fondamentale per la creazione di un ambiente più sicuro” e che “la soluzione non è mai solo di tipo tecnologico”.
Andrea Stazi (Google): ‘Azienda impegnata nella promozione di messaggi che contrastino la radicalizzazione e il reclutamento degli estremisti’
Andrea Stazi di Google ha così evidenziato come “la nostra azienda è impegnata per la promozione di strumenti che garantiscono una navigazione più sicura, come l’autenticazione a due step per i servizi come gmail e l’utilizzo del safer browsing che permette agli utenti di essere allertati sulla pericolosità di alcuni spazi online. Ma è anche sul piano del counter-speech che stiamo lavorando, con la promozione di una serie di eventi in giro per il mondo con l’obiettivo di diffondere una cultura che si opponga alla radicalizzazione e al reclutamento degli estremisti, oltre ai vari strumenti tecnologici che permettono di bloccare la circolazione di contenuti d’odio e violenti”.
Francesco Saverio Romolo: ‘Nuovi spazi di indagine sulle informazioni che circolano online sui precursori di esplosivi’
Orientato alle nuove tecniche di indagine è stato invece l’intervento del Professor Francesco Saverio Romolo della Université de Lausanne: “Il terrorista oggi non è più un personaggio che va a reperire le armi a migliaia di chilometri dal luogo in cui intende agire e le trasporta tra mille peripezie, ma è un soggetto che sta nella sua cucina e prepara ordigni letali con comuni elementi che trova al supermercato, seguendo alla lettera ricette che trova abbondantemente sul web. Gli elementi di questo tipo sono conosciuti come precursori di esplosivi, e la loro conoscenza, così come la possibilità di analizzare le informazioni ad esse connesse scambiate in rete, aprono nuovi spazi di indagine che permettono di intercettare un tentativo di fatto criminoso nel momento in cui prendono vita le sue premesse. Senza contare l’occasione economica che si crea per le aziende innovative che siano in grado di mettere a punto strumenti in grado di svolgere questo lavoro”.
Giuseppe Busia (Garante Privacy): ‘Nelle indagini occorre selezionare i dati realmente utili’
Sul valore delle informazioni raccolte si è concentrato anche l’Avv. Giuseppe Busia, Segretario Generale Autorità Garante per la protezione dei dati personali: “L’esperienza della ‘pesca a strascico‘ della Nsa ci ha insegnato che spesso l’overload di dati raccolti li rende inutili, perché gli investigatori sono costretti a metterne da parte di significativi. Come del resto accaduto con gli attentatori di Parigi, super sospettati che erano stati tenuti d’occhio nei loro spostamenti e che in ogni caso hanno potuto mettere in atto il loro piano criminoso. Questo ci indica la strada, peraltro già tratteggiata nelle norme sulla privacy, verso una selezione dei dati realmente significativi da raccogliere per svolgere indagini e scongiurare sul nascere alcuni pericoli. E se centrale appare anche garantire la sicurezza degli spazi fisici nei quali sono conservati e tramite i quali circolano i dati, bisogna sempre eludere la possibilità che sia l’emotività a guidare l’azione normativa. Perché ciò che ci differenzia da chi ci attacca è un sistema di valori dove alle autorità non è permesso esercitare un controllo generalizzato, asfissiante a tal punto da condizionare e compromettere a monte la libertà di soggetti come Charlie Hebdo, che in uno stato di polizia non avrebbero certo potuto sorgere”.
Punto di vista simile per Alessandro Politi, direttore del NATO Defense College Foundation, quando afferma: “Quando la sicurezza si svincola dal bene che protegge il rischio è grande”.
Nelle sue conclusioni la Prof.ssa Giusella Finocchiaro, Presidente del gruppo lavoro sul commercio elettronico della Commissione Onu per il diritto commerciale internazionale (Uncitral), ha affermato: “Emerge la necessità di un approccio consapevole dei diritti in gioco costituzionalmente tutelati, ma bisogna altresì essere consapevoli che, data la dimensione globale dei temi, non c’è sempre condivisione tra i vari Paesi sui diritti e sui valori in questione. Il secondo dato fondamentale è che, sotto il profilo normativo, non si può non adottare un approccio a più livelli e insieme giuridico e tecnologico. Infine, la sicurezza non può non essere integrata, nel senso che deve essere tecnologica, giuridica e anche umana, con un forte richiamo al ruolo politico, perché le politiche di sicurezza in questo ambito non possono essere considerate soluzioni meramente tecnologiche”.
Ai lavori hanno preso parte anche il Min. Plen. Giovanni Brauzzi (Vice Direttore Generale per gli Affari Politici e Direttore Centrale per la Sicurezza), il Tenente Colonnello Antonio Colella (Presidenza del Consiglio dei Ministri – Ufficio del Consigliere Militare), l’Ing. Mario Terranova (Area Sistemi e Tecnologie – AgID), Anna Cataleta (H3G) e Roberto Fermani (Telecom Italia).