www.agendadigitale.eu

Abbonamento a feed www.agendadigitale.eu
Il giornale sull'agenda digitale italiana
Aggiornato: 7 min 16 sec fa

Authority italiane, quali regole per i Re degli algoritmi

Ven, 08/10/2018 - 08:54

L’algoritmo è salito sul banco degli imputati in ben tre occasioni nel mese di luglio, durante le cerimonie di presentazione in Parlamento delle Relazioni annuali delle tre Autorità garanti: privacy, comunicazioni, concorrenza. Tre tavoli, che stanno convergendo, dandoci ora qualche indizio su quale potrebbe essere l’orientamento delle regole in Italia su queste macro questioni nei prossimi mesi.

La prevaricazione dell’algoritmo sulle nostre vite

Quella che è già stata ribattezzata “algocrazia”, intesa come prevaricazione dell’algoritmo sulle nostre determinazioni individuali, ci rende inconsapevoli complici di poteri opachi. La sovranità sulle nostre vite, sui nostri dati, sulle nostre scelte appare limitata dalla sproporzione tra la “potenza di fuoco” che i colossi della Rete sono in grado di sprigionare nell’economia digitale, attraverso applicazioni e servizi di ogni tipo, e la limitatezza delle nostre facoltà di controllo della diffusione in Rete di informazioni che ci riguardano.

La sfida della qualità dell’informazione interpella la sensibilità dei legislatori, la premura operativa dei responsabili delle piattaforme, ma anche la competenza e l’affidabilità professionale dei produttori di informazioni e la capacità di discernimento degli internauti.

Si è detto da più parti che una delega in bianco ad un algoritmo per indicizzare il patrimonio informativo della Rete potrebbe tradursi in una erosione progressiva della nostra sovranità sulle nostre vite e nell’annegamento delle verità certificate in un mare magnum di informazioni indistinte e non verificate. Che lo strapotere dell’onnisciente algoritmo possa imbrigliare la nostra libertà è una minaccia incombente e noi concorriamo a realizzare questo scenario da Grande Fratello lasciando in Rete una miriade di tracce digitali che consentono alle società informatiche di tracciare un profilo preciso della nostra persona. Siccome l’elaborazione degli algoritmi si basa sulla cessione spontanea (ma a volte inconsapevole) dei nostri dati, occorrerebbe spingere i governi e le organizzazioni internazionali a disciplinare in forme da definire e a far certificare da autorità garanti i metodi di trattamento delle informazioni da parte dei gestori delle piattaforme, anche perché essi si avvantaggiano indubitabilmente di tali flussi, che hanno influenza sull’economia e sulla vita di intere popolazioni.

Di qui anche l’esigenza di affermare un nuovo “umanesimo digitale” all’insegna della libertà creativa di tutti e della crescita socio-culturale ed economica del Paese.

“La capacità di estrarre informazioni e correlazioni che sono nascoste nei dati –scrive il Presidente dell’Autorità garante della privacy, Antonello Soro nel suo ultimo libro “Persone in Rete. I dati tra poteri e diritti”- richiede tecnologie estremamente avanzate e il rischio è quello di dilatare a vantaggio di poche multinazionali digitali, non soltanto la supremazia economica, ma il potere di conoscere i fenomeni che possono governare e influenzare il nostro sapere”.

La posizione del Garante privacy Antonello Soro

Nella sua Relazione il Garante della privacy ha disegnato un impietoso ma realistico scenario sulla nostra fortemente minacciata libertà in Rete. L’affermazione della nostra corretta identità digitale passa attraverso due snodi fondamentali: l’autotutela, cioè il nostro sano discernimento nella pubblicazione delle informazioni personali, e l’impegno degli Stati a non sottovalutare gli attacchi informatici e lo strapotere dei colossi del web. Il nuovo quadro giuridico europeo affermatosi a partire dal 25 maggio con la definitiva entrata in vigore del GDPR (Nuovo Regolamento europeo sulla privacy) ha il merito, a detta di Antonello Soro, “di porre al centro dell’agenda politica le implicazioni del digitale sulla libertà, l’autodeterminazione, l’identità: definita, questa, sempre più a partire dalle caratteristiche che altri – nel nome del primato degli algoritmi – ci attribuiscono, scrivendo per noi la nostra storia”. Per il presidente dell’Autorità garante della privacy siamo soggetti “più di quanto ne siamo consapevoli, a una sorveglianza digitale, in gran parte occulta, prevalentemente a fini commerciali e destinata, fatalmente, ad espandersi anche su altri piani, con effetti dirompenti sotto il profilo sociale”. Gli algoritmi, ha aggiunto “non sono neutri sillogismi di calcolo ma opinioni umane strutturate in forma matematica che, come tali, riflettono, in misura più o meno rilevante, le precomprensioni di chi li progetta, rischiando di volgere la discriminazione algoritmica in discriminazione sociale. Rispetto a questi rischi, risultano importanti le garanzie sancite dal nuovo quadro giuridico in ordine ai processi decisionali automatizzati, assicurandone la contestabilità e la trasparenza della logica, ed esigendo, almeno in ultima istanza, il filtro dell’uomo, per contrastare la delega incondizionata al cieco determinismo della tecnologia”.

La sfida sembra impari ma, nonostante tutto, l’Autorità Garante italiana si è caratterizzata per fortissime e incisive azioni di contrasto e in difesa dei diritti degli utenti. L’Autorità ha aggiunto che “è indispensabile fare della protezione dei dati una priorità delle politiche pubbliche. Il ruolo di questo diritto e della sua tutela nella realtà attuale è, per altro verso, il portato di una società fondata sul potere della personalizzazione dei contenuti proposti, al contrario dei mass media tradizionali, basati invece sull’universalità e unicità del servizio offerto. Il web di cui facciamo esperienza non è, dunque, la rete, ma soltanto la sua parte selezionata da algoritmi che, analizzando le nostre attività e preferenze, ci espongono a contenuti il più possibile affini ad esse, per esigenze di massimizzazione dei ricavi da parte dei gestori, legate al tempo di permanenza e al traffico online”.

“Oltre al diritto alla trasparenza delle scelte algoritmiche, altrimenti opache e insindacabili –ha precisato Soro- il legislatore ha poi opportunamente valorizzato – con la sanzione penale – la tutela rispetto ad utilizzi discriminatori della profilazione, in particolare basata su dati sensibili, nel contesto delle attività investigative. Le regole di protezione dati, se inscritte negli algoritmi assieme ai principi di precauzione, tutela della dignità umana “by design”, possono ispirarne “l’intelligenza”, nella direzione di un nuovo umanesimo digitale”.

Se l’Europa giocherà un ruolo importante in questa partita, sarà proprio per la capacità di dirigere l’innovazione in modo da coniugare etica e tecnica, libertà e algoritmi, mettendoli al servizio dell’uomo secondo quel “principio di responsabilità” indispensabile per governare il futuro.

La posizione del Garante delle comunicazioni Angelo Cardani

Da una diversa angolatura visuale, con una sensibilità più tecnologica e sociologica, è tornato sull’algoritmo anche il Presidente dell’Autorità per le garanzie nelle comunicazioni, Angelo Marcello Cardani, nella sua Relazione annuale al Parlamento: “Sempre più ambiti economici e sociali sono governati da algoritmi. Parole, interazioni sociali, spostamenti, localizzazione geografica, gusti, orientamenti. Ma non basta. Sempre di più, tutti gli oggetti che ci circondano funzioneranno sulla base di algoritmi, grazie alle applicazioni 5G ed all’Internet delle cose (IoT). L’impiego così massiccio di algoritmi e di automazione si fonda sull’uso dei Big Data e del machine learning. Viviamo già oggi, e sempre più vivremo in futuro, una epoca di “trasformazione in dati”: già oggi possiamo affermare che Facebook ha “trasformato in dati” le relazioni sociali; LinkedIn quelle lavorative; Twitter le opinioni e gli orientamenti; Amazon le propensioni al consumo, i gusti, le capacità di spesa; Google, ragionevolmente, tutto questo, tutto insieme”.

Sono dunque gli algoritmi che permettono di utilizzare i dati per assumere decisioni in tempo reale e compiere velocemente processi che solo pochi anni fa richiedevano tempi molto lunghi.

“A fronte di questi travolgenti cambiamenti – che avranno senza dubbio effetti molto rilevanti e largamente positivi in termini di ricadute economiche, risparmio, sostenibilità ambientale – occorrerà elaborare una vera e propria strategia italiana sull’intelligenza artificiale, anche per affrontare le complesse problematiche ad essa connesse”, ha aggiunto Cardani.

E poi c’è il grande problema dell’uso secondario di Big Data. Il tema della trasparenza e della neutralità dell’algoritmo. Il tema del governo eterodiretto delle opinioni pubbliche mondiali attraverso Big Data e data learning. Quali possono essere le soluzioni da seguire secondo Agcom? “Una prima direttrice di marcia riguarda la disciplina dei mercati. I paradigmi classici non bastano più a leggere e a sistematizzare lo scenario che abbiamo davanti. Google, Apple, Facebook, Amazon si impongono come monopolisti, anche quando la loro posizione non corrisponde perfettamente al modello consueto di chi controlla un mercato. La stessa definizione classica di mercato rilevante è ormai sottoposta a una rigorosa lettura critica da parte di autorevoli studiosi. E dunque, se le vecchie regole ex post ci appaiono inadatte alla disciplina di questi nuovi mercati, con tanta più forza emerge il tema di una possibile disciplina ex ante. Dobbiamo chiederci se e in che misura si tratta di accompagnare la regolazione che verrà verso forme tecniche di disciplina delle grandi piattaforme digitali e verso un approccio ex ante alla regolamentazione del dato”.

Una seconda direttrice, strettamente connessa alla prima, concerne, secondo Cardani, il grado di neutralità e di trasparenza degli algoritmi, sia con riferimento alle operazioni di gerarchizzazione e di indicizzazione delle news, sia con riguardo al potere di indurre i cittadini a determinati comportamenti (acquisti, stili di vita, opinioni). Posto che gli algoritmi non saranno mai neutrali, l’attenzione va concentrata sul tema della trasparenza, si tratti dei meccanismi che presiedono alla formazione dei suggerimenti, piuttosto che dei margini di errore che il calcolo probabilistico determina.

“Infine –aggiunge Cardani- la terza direttrice, di grande rilievo sotto il profilo politico e sociale, che chiama in causa il legislatore attorno ad un dilemma strategico: se l’immensa galassia Big Data debba restare tutta proprietaria, in nome del diritto dell’impresa e del segreto industriale; ovvero se esista una porzione più o meno rilevante di questi dati che possano essere resi trasparenti e liberamente accessibili sul presupposto della loro natura di bene pubblico”.

Le parole di Cardani collegano, quindi, i dilemmi dell’algoritmo alle sfide dell’e-democracy, da quella dei diritti di cittadinanza a quella per la protezione del diritto d’autore sulle opere dell’ingegno, senza dimenticare la difesa della dignità dell’essere umano e la valorizzazione di quel bene pubblico che è l’informazione: una informazione plurale, professionale, trasparente e verificabile nelle sue fonti, autorevole e credibile quanto ai suoi contenuti.

La posizione del garante della concorrenza Giovanni Pitruzzella

Anche Giovanni Pitruzzella, Presidente dell’Autorità Garante della Concorrenza e del Mercato, nella presentazione della sua Relazione annuale, ha ricordato come la tutela della concorrenza e del consumatore nell’economia digitale continuerà a lanciare nuove sfide all’Antitrust, che dovrà sempre di più attrezzarsi per comprendere i nuovi mercati. Ecco le sue parole sul tema: “Cito tra i tanti problemi che sicuramente si porranno alla sua attenzione, quello del ruolo che possono svolgere gli algoritmi nel realizzare il coordinamento delle attività economiche, particolarmente dei prezzi, di imprese concorrenti. Una collusione realizzata non più attraverso l’intesa tra le persone fisiche ma direttamente dalle macchine e dagli algoritmi, potrà essere sanzionata dall’Antitrust e in presenza di quali condizioni? L’Autorità è pronta a raccogliere queste sfide e, al riguardo, vorrei ricordare che recentemente abbiamo svolto un concorso per selezionare esperti di algoritmi e esperti informatici”.

Chissà se le prossime Relazioni annuali, fra 12 mesi, racconteranno una realtà più incoraggiante e meno minacciosa di quella attuale.

L'articolo Authority italiane, quali regole per i Re degli algoritmi proviene da Agenda Digitale.

Furto di dati aziendali e dipendenti infedeli: proteggersi col digital forensics

Mer, 08/08/2018 - 10:00

La digital forensics è uno strumento importante per le imprese che vogliono proteggere le proprie informazioni sensibili. Diventa essenziale nel caso si verifichi una fuga di dati verso l’esterno ad opera di un dipendente infedele, nell’ambito delle indagini per far luce sullo scenario accaduto e trattare nel modo più opportuno l’incidente verificatosi.  La digital forensics permette non solo un’acquisizione ad uso legale dei dati, ma anche e soprattutto a dare manforte nella fase di indagine vera e propria.

Caratteristiche del dipendente infedele

Nell’era dello sviluppo tecnologico e visti i recenti avvenimenti di furto di dati sensibili, le aziende hanno rivolto la loro attenzione verso i sistemi che permettono la protezione dei propri dati e di quelli appartenenti ai dipendenti.

Il fenomeno del “dipendente infedele” è piuttosto diffuso, si sente parlare spesso di “fughe di dati” dalle aziende verso il mondo esterno, informazioni strettamente riservate e sensibili contenenti segreti professionali, progetti, bilanci, informazioni commerciali quali preventivi, decisioni di consigli di amministrazione e molto altro.

Il dipendente infedele è quel soggetto che all’interno di una azienda, attraverso svariate tecniche, tra cui il social engeneering e l’utilizzo dei sistemi e delle tecnologie informatiche, riesce a carpire informazioni sensibili circa l’azienda stessa e i colleghi di lavoro.

La figura è solitamente caratterizzata da un forte senso di insoddisfazione verso l’azienda, i titolari o i colleghi.

I dati sottratti illecitamente solitamente vengono utilizzati per i seguenti scopi:

  • Vendita delle informazioni ad una azienda concorrente in cambio di un compenso economico oppure di una offerta lavorativa migliore;
  • Riutilizzo dei dati sottratti per aprire una società in parallelo spesso violando patti di non concorrenza;
  • Estorsione di denaro verso i legittimi proprietari dei dati;
  • Modifica o cancellazione di dati;
  • Divulgazione senza scopo di lucro al fine di creare un danno economico e di immagine all’azienda.

Tipicamente queste figure, qualora non abbiano privilegi particolari nell’organigramma societario, puntano ad acquisire informazioni in qualsiasi modo possibile, per assurdo rovistando tra le varie scrivanie (dumpster diving), accedendo alle postazioni dei colleghi durante la loro assenza oppure in aree con accesso restrittivo (tailgating), effettuando backup dalla rete di progetti in corso o qualsiasi altra informazione interna che potrebbe tornare utile.

Sono  svariate le condotte adottate dai dipendenti infedeli per arrecare danno alle aziende e sono altrettante le tecniche utilizzate dalle aziende per cercare di evitare che succedano questo tipo di eventi.

Misure preventive

Quali sono le misure di sicurezza che le aziende possono utilizzare? Come possono tutelare i propri dati? Come possono, nell’eventualità di una fuga di dati, risalire all’artefice dei fatti? Come presentare successivamente i risultati prodotti dalle investigazioni? Queste sono alcune delle principali domande alle quali si deve saper rispondere se si vuole prevenire e combattere questo fenomeno.

Le misure di sicurezza da adottare per un’azienda possono variare a seconda della quantità e della tipologia dei dati che vengono trattati. Principalmente è buona condotta avere una policy aziendale interna che permetta di poter stabilire ruoli di privilegio e competenze, accessibilità ai dati trattati (sistema di privilegi minimi) e condotte concesse all’interno del posto di lavoro. Ciò permetterebbe di poter avere un quadro completo sulla sicurezza aziendale delle informazioni trattate. Le policy stabiliscono in breve ciò che è concesso o non concesso fare al personale limitandone l’operatività nel caso in cui la policy sia veramente stringente, oppure rischiando di essere poco utile nel caso le regole siano permissive, bisogna quindi trovare un equilibrio tra rigidezza delle regole interne e qualità del lavoro.

Integrità, disponibilità e confidenzialità

I principi da seguire per una buona tutela dei dati sono riassunti nei termini di integrità, disponibilità e confidenzialità. Garantire l’integrità vuol dire assicurare che i dati non abbiano subito nel corso del tempo alterazioni nella struttura e nei contenuti, mentre la disponibilità è quella proprietà che permette alle informazioni di essere fruibili dagli utenti autorizzati alla consultazione. Per confidenzialità invece si intende che i dati siano accessibili direttamente solo agli interessati, e non a terze parti.

Tutelare i propri dati è possibile non solo con le policy, ma utilizzando software più sicuri, avere una struttura di rete interna protetta e monitorata, possibilmente dall’esterno in modo esclusivo. È consigliabile utilizzare la cifratura dei dati e dei supporti di archiviazione e implementare un sistema di disaster recovery basato sulla creazione di backup preferibilmente allocati in posti fisici diversi. Monitorare nei limiti della legalità le attività lavorative dei dipendenti senza violarne la privacy è un’ulteriore modalità per garantire la sicurezza dei dati.

Accertamenti con strumenti di digital forensics

Prima di procedere è buona prassi avere i giusti mandati da parte di un legale che tuteli il proprio operato da eventuali situazioni che potrebbero verificarsi.

Effettuando l’analisi forense sui dispositivi in utilizzo ad un dipendente (computer, smartphone, tablet, navigatori e qualsiasi strumento di memorizzazione) è possibile risalire a moltissime informazioni.

L’analisi viene effettuata ricercando dati sensibili appartenenti all’azienda, ricostruendo, dove possibile, l’eventuale copiatura, manipolazione o distruzione di questi ultimi.

In un caso pratico, ad esempio, è possibile verificare quali dispositivi USB sono stati collegati eventualmente ad una macchina aziendale, si può verificare la presenza di software spia oppure programmi per l’accesso e il controllo remoto.

Lo studio della timeline è una buona pratica in queste situazioni perché permette di poter avere uno storico completo delle operazioni effettuate da una determinata macchina in uso all’utente sospettato. Qualora sia presente un server aziendale è utile controllarne gli accessi, in che tempi e in quali modalità sono avvenuti potrebbe essere illuminante in fase di indagine.

Al termine della fase di analisi e investigazione è importante fornire un resoconto di quanto emerso che abbia una valenza nel caso venga avviato un procedimento civile o penale. L’analisi forense mira proprio a questo, ovvero a garantire l’attendibilità e l’integrità dei dati ottenuti e il rispetto delle best practices della materia.

L'articolo Furto di dati aziendali e dipendenti infedeli: proteggersi col digital forensics proviene da Agenda Digitale.

Operational Technology e rischio cyber: le minacce ai sistemi produttivi industriali

Mer, 08/08/2018 - 09:00

Gli attacchi mirati alle cosiddette Operational Technology, ossia i sistemi deputati al monitoraggio e al controllo dei sistemi produttivi, possono diventare nel prossimo futuro elementi di pressione geopolitica. Il problema della protezione rispetto a questa classe di attacchi non può quindi essere demandata ai soli operatori privati ma è fondamentale una forte sinergia con i soggetti pubblici deputati.

OT e IT, vantaggi e criticità del connubio

Con la sigla OT (in qualche modo in contrapposizione con la sigla IT) si intendono le Operational Technology, ovvero quell’insieme di tecnologie, software e hardware, direttamente connesse con la produzione, trasporto e trasformazione di beni. Cioè con tutto ciò che riguarda i sistemi di monitoraggio e controllo dei sistemi produttivi che vengono anche indicati con altre sigle come ICS, SCADA o PLC.

Negli ultimi anni le OT hanno fatto ricorso in modo sempre più massivo alle tecnologie IT[1] abbandonando progressivamente soluzioni proprietarie a favore di soluzione basate su prodotti off-the-shelf. Questo connubio, in parallelo agli indubbi benefici che abbiamo potuto osservare nella nostra vite quotidiana in termini di miglioramento della qualità, dell’efficienza e dell’economicità delle diverse produzioni, ha introdotto nel dominio OT le vulnerabilità e le minacce proprie del settore IT.

OT, il problema della sicurezza dei processi

Il problema è che le OT hanno una serie di peculiarità che rendono di converso di non semplice trasposizione le misure di protezione che usualmente vengono adottate per i sistemi IT. Infatti, gli OT si caratterizzano in primo luogo per il tipo di informazioni scambiate sulla rete: quantità estremamente elevata di pacchetti di informazioni dalle dimensioni molto contenute (dell’ordine di qualche byte) provenienti da una grande pluralità di sorgenti. Questo implica che meccanismi come la cifratura (usualmente impiegata per evitare la disclosure delle informazioni) o la firma digitale (che si utilizza per evitare la alterazione dei dati) risultano di difficile adozione in quando introdurrebbero un elevato overhead e un non accettabile ritardo nella elaborazione del dato. Questo perché l’altro aspetto da considerare è il vincolo dell’hard real-time, ovvero della necessità di garantire un tempo massimo di esecuzione per ciascun task. Questo vincolo, che è fondamentale per il controllo di molti processi industriali onde evitare che lo stesso possa porsi in situazioni critiche e/o pericolose, unitamente al fatto che questi processi operano a ciclo continuo 24×365 rende nei fatti difficile sia l’utilizzo di sistemi di anti virus che le attività di patching. Il tutto reso più complesso dal fatto che questi sistemi hanno un istallato estremamente ampio ed un tempo di vita dell’ordine di oltre dieci anni.

Le conseguenze di un cyber attacco ai sistemi OT

L’aspetto di maggiore criticità legata alla cyber security dei sistemi OT è stato evidenziato anche nella relazione dei Servizi di Intelligence al Parlamento del 2016 in quanto un attacco cyber verso questi sistemi può creare potenziali impatti non solo di ordine economico, ma anche cinetico, ovvero la possibilità di danneggiare oggetti fisici. In altri termini mediante un attacco cyber è possibile alterare opportunamente il funzionamento di un processo al punto di portarlo ad un punto di rottura meccanico.

Il progetto Aurora

Questo era, per altro, l’obiettivo del progetto Aurora condotto dal Idhao National Lab (USA): usare un attacco cyber per distruggere un gruppo elettrogeno da 27 tonnellate. Ovvero la dimostrazione che un attacco immateriale, una sequenza di zeri ed uno, è in grado di fare un danno meccanico paragonabile a quello ottenibile una carica esplosiva, con il vantaggio che l’azione può essere sferrata da migliaia di chilometri di distanza e che le possibilità di risalire all’autore sono estremamente ridotte. Questo comporta che un attacco cyber contro questi sistemi, oltre ad al danno economico per mancato funzionamento e danno di immagine (come per un normale attacco cyber ad un sistema IT) è in grado di creare problemi all’ambiente ed alla salute delle persone.

Un altro aspetto da non trascurare sono i tempi di ripristino. Infatti, mentre la sostituzione di un componente di un sistema informatico è una operazione che può avvenire in un arco di tempo stimabile nelle ore o al massimo nei giorni. La riparazione di un componente meccanico (come il gruppo elettrogeno distrutto durante l’esperimento Aurora) può richiedere tempi dell’ordine dei mesi se non addirittura degli anni.

Occorre dire, però, che fino al 2010 pochissimi ritenevano possibile attuare sul campo un’azione come quella del progetto Aurora.

Condizioni per il successo di un attacco a sistema OT

Questo perché affinché l’azione sia veramente dannosa contro un sistema OT non deve limitarsi semplicemente paralizzare/bloccare il sistema (cosa che può essere fatto in principio anche con un semplice attacco DoS), ma deve essere in grado di “condurre” il processo fisico in uno stato critico. Per fare questo occorre, oltre alle opportune conoscenze informatiche (sia quelle proprie della componente IT che con riferimento alle peculiarità dei sistemi ICS in termini di protocolli, linguaggi e sistemi) ma anche una specifica conoscenza del processo fisico sotteso e, non ultimo, una dettagliata comprensione della semantica delle diverse variabili. Infatti, non solo l’attacco cyber deve essere in grado di inviare comandi legittimi (sintatticamente corretti), ma deve essere anche in grado di sapere quali comandi inviare e a quali oggetti (correttezza semantica).

Security by obscurity

Per lungo tempo si è ritenuto che la complessità dei sistemi OT rappresentasse una adeguata barriera: una security by obscurity rafforzata dalle peculiarità di questi sistemi. Infatti l’unico episodio di cui si ha notizia riguarda un attacco portato a termine contro i sistemi di gestione delle acque nella cittadina di Maroochy Shire (Australia), ma in questo caso l’autore dell’attacco era uno degli sviluppatori del sistema che aveva poi cercato di mettere in piedi una estorsione.

Il worm Stuxnet

Nel 2010 lo scenario è però cambiato radicalmente grazie, o meglio a causa, del worm Stuxnet. Questo worm che ancora oggi è considerato come uno dei programmi software più complessi mai realizzati ed il cui costo di sviluppo è stimato in oltre 20 milioni di dollari è il primo specificatamente progettato per attaccare i PLC della Siemens e nello specifico per alterare la velocità di rotazione di alcuni motori qualora specifiche condizioni fossero verificate (in estrema sintesi il worm verificava se il computer è connesso con un PLC e gli invia una “sfida” e qualora il messaggio di risposta è coretto, provvedeva ad aggiornare il valore della variabile dove è memorizzata la velocità di rotazione). Nessuno ha certezza su chi fossero gli autori di questo worm, ne quali i reali obiettivi. Molti rumors indicano che l’obiettivo primario di Stuxnet era il sito atomico di Natan (Iran) e nello specifico la distruzione delle centrifughe per l’arricchimento dell’uranio; suggerendo che dietro l’ideazione del worm possano esserci nazioni storicamente contrarie al programma atomico iraniano. A prescindere dagli autori e dagli obiettivi, una cosa è evidente: Stuxnet è stata la prima vera cyber-weapon realizzata in grado cioè di creare danni “mirati” a strutture meccaniche sfruttando le vulnerabilità cyber dei sistemi OT.

I black-out elettrici in Ucraina

Dopo Stuxnet altri malware specificatamente progettati per attaccare un OT sono stati scoperti: Irongate (2014), Dragonfly (2016) questi malware avevano il compito di “analizzare” il processo controllato dallo specifico PLC/SCADA (nello specifico l’analisi del protocollo OPC per creare una mappa dei dispositivi esistenti nella rete OT). Il malware Blackenergy 3 è ritenuto la causa del black-out elettrico occorso in Ucraina nel dicembre del 2015. Il malware, dopo aver appreso il corretto funzionamento del sistema, è stato in grado di inviare comandi “leciti” con l’obiettivo di disconnettere alcune sottostazione dalla rete elettrica (e successivamente rendere non operativo il sistema di telecontrollo cancellando alcuni file di sistema). Interessate notare come il CERT USA ha evidenziato che questo malware è stato rinvenuto in diversi sistemi di controllo di utility americane e che lo stesso era residente su questi sistemi da diverso tempo, in alcuni casi anche da più di 5 anni.

A distanza di un anno, nel dicembre 2016, un secondo balck-out ha colpito l’Ucraina e questa volta il gestore elettrico Ukrenergo ha esplicitamente affermato che la causa è da ricercare in “external interference from the computer network”, ovvero in un attacco cyber condotto tramite il malware CrashOverride. Questo malware, in maniera similare a Blackenergy 2, è in grado di introdurre comandi “leciti” riuscendo a manipolare il comportamento della rete elettrica al fine di creare un black-out.

I pericoli della manipolazione di un sistema SIS

L’ultimo attacco in ordine temporale è quello scoperto nel dicembre del 2017 con il nome di Triton. La particolarità di questo malware è che il suo target sono i sistemi SIS (Safety Instrumental System) ovvero quella porzione dei sistemi ICS, generalmente separata dai normali sistemi di gestione di processo, che sono utilizzati per prevenire eventi catastrofici. È evidente che una manipolazione di un sistema SIS, in concomitanza con un evento di altra natura, può creare una situazione estremante pericolosa.

La cosa più interessante è che per la quasi totalità degli osservatori ritiene che tutti questi malware (escluso Stuxnet) sono delle proof-of-concept, ovvero come dei test per verifica le reali potenzialità e capacità di queste cyber-weapon.

Non esistono dati certi su chi vi sia dietro questi test, mentre è evidente, come sottolineato anche dall’ultimo Global Risk Report che “le cyber capacità di attacco si stanno sviluppando più rapidamente che la abilità di gestire eventi ostili” evidenziando come vi sia una potenziale escalation legata a state-on-state cyber attack.

Attacchi ai sistemi OT e geopolitica

L’impressione è che queste azioni possano diventare nel prossimo futuro elementi di pressione geopolitica, cosa per altro riconosciuta anche dalla NATO che ha indicato il cyberspace come un ulteriore Dominio delle operazioni.

In questo scenario è evidente che la protezione rispetto a questa classe di attacchi non può essere demandata ai soli operatori privati ma è fondamentale una forte sinergia con i soggetti pubblici deputati.

L'articolo Operational Technology e rischio cyber: le minacce ai sistemi produttivi industriali proviene da Agenda Digitale.

Proteggere la privacy dei cittadini, oltre il Gdpr: le tecniche avanzate

Mer, 08/08/2018 - 09:00

Il GDPR è un significativo e sostanziale passo avanti nella tutela dei dati personali e nel mettere al centro della norma l’interesse del cittadino e sarà probabilmente il riferimento normativo a livello internazionale per chi vorrà veramente tutelare i dati personali. Ma si può fare di più, con soluzioni tecniche che realizzerebbero un salto di qualità decisivo per la protezione e la riservatezza dei dati a dimostrazione del fatto che la sicurezza informatica richiede un approccio interdisciplinare.

La protezione dei dati, dopo Cambridge Analytica

L’eco mediatica del caso Cambridge Analytica, esempio purtroppo non unico di utilizzo non autorizzato e spesso anche illegale di dati personali forniti a enti terzi da parte di alcuni social network, se non altro ha avuto il grande merito di generare finalmente nel grande pubblico, nei mass media e a livello politico la consapevolezza e la preoccupazione (già presenti solo negli addetti ai lavori) della vulnerabilità pressoché incontrastata della riservatezza e del corretto utilizzo dei nostri dati forniti nei più diversi contesti basati sulle cosiddette Information and Communication Technologies (ICT).

Le prospettive per il futuro anche relativamente prossimo sono ancora più preoccupanti. La rete di quinta generazione (5G), oggi in fase di sviluppo e disponibile a partire dal 2020, consente su scala mondiale la connessione non solo di persone ma di molti miliardi di oggetti, molti dei quali saranno sensori diffusi nell’ambiente o indossati dalle persone. I sensori avranno incorporate, sia pure in forme più o meno avanzate, intelligenza, autonomia operativa, capacità di acquisizione, memorizzazione, elaborazione e trasferimento di dati, connessione autonoma con altri sensori. Saranno quindi in grado di ottenere informazioni e di elaborarle e trasmetterle anche senza un intervento umano. La rete 5G è la tecnologia abilitante per realizzare quella che viene indicata con il nome di Internet of Things (IoT). La IoT ha la potenzialità di favorire e accelerare lo sviluppo del sistema economico e di migliorare in modo decisivo la qualità della vita delle persone. È il completamento della rivoluzione digitale con le sue positive applicazioni, per esempio, alla industria 4.0, alla gestione della sanità pubblica, alla mobilità intelligente, al controllo ambientale, all’efficienza energetica, alla sicurezza dei cittadini, alla produzione agricola e a molti altri aspetti della società moderna. Dall’altro lato, poiché gli ‘oggetti’ della IoT connessi in rete possono gestire nelle forme più varie dati personali anche all’insaputa degli interessati, se non vengono adottate adeguate procedure c’è un evidente potenziale rischio di violazione dei diritti fondamentali delle persone.

Fiducia nelle tecnologie e sviluppo digitale, le regole Ue

La Ue, per prima in maniera esplicita a livello mondiale, ha evidenziato questo rischio, avvertendo fin dal 2012 che la fiducia dei cittadini nelle tecnologie ICT è la chiave per lo sviluppo economico e che la sua assenza limiterà il loro accesso intensivo ai nuovi servizi. Per questo la Ue ha stabilito che la protezione dei dati assume un ruolo centrale nella Agenda Digitale per l’Europa e nella Strategia di Europa 2020. Nel 2014 sempre la Ue ha stabilito alcune regole che i nuovi servizi e applicazioni digitali operanti negli Stati Membri devono rispettare fino dalla fase della loro progettazione: diritto alla cancellazione, diritto all’oblio, portabilità dei dati, protezione e riservatezza dei dati. Oltre a questi requisiti si devono tenere in considerazione due principi generali: la IoT non deve violare l’identità e l’integrità umana, i diritti umani, la privacy o le libertà individuali e pubbliche e gli individui devono mantenere il controllo dei propri dati personali generati o trattati, a meno che ciò non sia in contrasto con superiori principi di interesse generale. Queste affermazione del 2014 della Ue potrebbero a buon diritto essere inserite nella Dichiarazione universale dei diritti umani delle Nazioni Unite e nella Carta dei diritti fondamentali dell’Unione Europea.

Protezione dei dati personali, a che punto siamo

A che punto siamo oggi per la protezione dei dati personali? Occorre subito sottolineare che c’è una grande differenza fra la Ue e il resto del mondo. Al di fuori della Ue possiamo dire che la protezione dei dati personali non è oggetto di grande attenzione, se non addirittura trascurata più o meno deliberatamente, per ragioni sia politiche che economiche. La Ue ha fatto seguire alle precedenti affermazioni di principio un’azione normativa, il cosiddetto General Data Protection Regulation (GDPR), cogente per tutti gli Stati membri ed entrato in vigore il 25 maggio 2018.

È un regolamento molto complesso, ma in sostanza impone a qualunque ente o azienda, anche con sede legale fuori dalla Ue, che comunque fornisca servizi a cittadini della Ue, di osservare e garantire regole stringenti per la protezione e l’utilizzo dei dati forniti dagli interessati per il servizio richiesto e di vigilare con opportune strutture operative responsabili del rispetto delle regole e della tempestiva informazione agli interessati delle eventuali violazioni. Una delle regole più significative è quella relativa alle caratteristiche del consenso degli interessati all’accesso e all’utilizzo dei propri dati: il consenso deve essere libero, specifico per il servizio richiesto (non generico), consapevole e inequivocabile. Inoltre non può essere dato una volta per sempre, ma rinnovato esplicitamente ogni volta che i dati personali sono utilizzati per scopi diversi da quelli autorizzati inizialmente.

Il regolamento impone anche agli Stati membri di dotarsi di strutture di controllo adeguate per vigilare sul rispetto delle regole da parte dei fornitori di servizi e di comminare sanzioni molto pesanti nel caso del loro mancato rispetto.

Il GDPR è un significativo e sostanziale passo avanti nella tutela dei dati personali e nel mettere al centro della norma l’interesse del cittadino, che i fornitori di servizi devono rispettare e gli Stati membri devono garantire. Non è un caso e non sorprende che ci siano state moltissime resistenze, soprattutto da parte dei grandi players sovranazionali, per evitare o ridurre la portata, per loro rivoluzionaria, di questa normativa. Hanno dovuto cedere e possiamo tutti constatare quotidianamente che si stanno adeguando a questo nuovo modo di impostare il rapporto con gli utenti, anche se in alcuni casi in modo ancora non completamente soddisfacente. Deve essere una grande soddisfazione per i cittadini constatare che in questo caso l’Ue non ha ceduto sui propri principi e ha svolto ha svolto il ruolo di apripista mondiale nella tutela dei loro diritti nella nuova società digitale. Il GDPR sarà probabilmente il riferimento normativo a livello internazionale per chi vorrà veramente tutelare i dati personali.

Protezione e riservatezza dei dati, si può fare di più

Tutto risolto quindi? Non proprio. Il GDPR impone ai fornitori di servizi di rispettare il diritto alla cancellazione, il diritto all’oblio, la portabilità dei dati, e affronta il problema della protezione e riservatezza dei dati affidandola al rispetto delle regole da parte dei fornitori di servizi e al controllo degli Stati membri. Quindi il principio secondo cui “gli individui devono mantenere il controllo dei propri dati personali generati o trattati” non è direttamente gestito dagli interessati ma affidato al comportamento corretto per i primi e alla adeguatezza degli strumenti messi in opera dai secondi. L’esperienza ci insegna che entrambe queste procedure non sempre sono state rispettate. È vero che questo è insito in qualunque norma e per questo ci sono le sanzioni e il controllo dei cittadini nelle forme della democrazia rappresentativa. E nel caso del GDPR le sanzioni sono molto pesanti e, se veramente applicate, dovrebbero scoraggiare comportamenti illeciti.

Però si può realisticamente tentare di fare di più e risolvere alla radice il problema con soluzioni tecniche, e non solo normative, adeguate al mantenimento del controllo dei dati personali direttamente dall’interessato.

Controllo dei dati personali, le soluzioni tecniche

Ancora una volta è la Ue a fare da battistrada nel 2015, questa volta non con affermazioni di principio e norme legali ma con un programma di ricerca chiamato “User-Centric Security, Privacy and Trust in the Internet of Things”. I principi base di questo programma di ricerca sono:

  • Sicurezza e riservatezza “by design” fin dall’inizio dello sviluppo di applicazioni/servizi (e non aggiunte successivamente)
  • Sicurezza e riservatezza dei dati dell’utente sotto il controllo dell’interessato con le soluzioni tecniche più efficienti e semplici possibili
  • Coinvolgimento sociale attivo degli utenti fin dall’inizio per favorire l’educazione e la consapevolezza dei propri diritti e per individuare i requisiti e le soluzioni tecniche più adeguate.

Controllo preventivo e in itinere

I progetti di ricerca selezionati da questo programma sono iniziati nel 2017 e si concluderanno nel 2019. Già alcuni risultati preliminari sono incoraggianti. Un esempio è il controllo preventivo e in itinere della tipologia di dati a cui una app su smartphone accede e la comunicazione all’interessato di questa operazione in modo che prenda una decisione informata e consapevole.

Un caso eclatante è quello di alcune attuali app ‘torcia’ che accedono all’insaputa dell’interessato a dati, come la posizione, la rubrica, il calendario, gli amici di Facebook, non necessari a svolgere il servizio offerto. Un altro esempio è la possibilità di marcare un documento sulla base del suo contenuto e consentire il suo utilizzo solo alle applicazioni che ne hanno legittimità. Sono esempi promettenti della concreta possibilità di mantenere il controllo dei propri dati da parte dell’interessato. È evidente che soluzioni tecniche di questa natura realizzerebbero un salto di qualità decisivo per la protezione e riservatezza dei propri dati rispetto alla normativa dell’attuale GDPR.

Protezione dei dati e blockchain

È forse opportuno aprire qui una parentesi sulla tecnologia delle cosiddette blockchains, che sta ricevendo una grande attenzione per la protezione e il controllo dei dati. Come è noto, sostanzialmente essa realizza un libro mastro in cui vengono registrate tutte le operazioni (per esempio transazioni, trasferimenti, utilizzo, ecc) dei dati. Questo libro mastro digitale è per sua costituzione distribuito, sicuro, non alterabile e accessibile. Per questo è la tecnologia usata per le operazioni delle criptovalute. È uno strumento utilissimo per la verifica a posteriori dell’utilizzo dei dati dell’utente, ma non adatto al controllo preventivo e in itinere. Realizza quindi solo parzialmente l’obiettivo di mantenere il controllo dei dati da parte dell’interessato e non rappresenta quindi lo strumento tecnologico adatto per la “User-Centric Security, Privacy and Trust in the Internet of Things”.

Information-centric cyber security, il dato si autoprotegge

Recentemente, nel 2009 e nel 2015[1], sono apparsi nella letteratura scientifica internazionale un paio di interessantissimi contributi che prospettano una soluzione assolutamente rivoluzionaria e potenzialmente definitiva per il controllo dei dati, che viene definita con il termine “Information-centric cybersecurity”. Il secondo articolo, sfruttando una struttura dei dati proposta nel primo, correttamente suggerisce un ‘ripensamento’ dell’architettura hardware e software dei calcolatori per la sicurezza. La soluzione prospettata è la seguente. Primo, il dato non affida più la sua protezione “all’esterno” ai sistemi o applicazioni, ma realizza una auto protezione interna definendo la sua “politica di uso” e si auto protegge in qualunque contesto applicativo consultando al momento dell’accesso la sua politica di uso e dando il consenso solo se il contesto è affidabile e coerente con essa.

Il dato non è più un’entità (stringa di bit) passiva, ma incorpora una forma di intelligenza per la sua auto protezione. Secondo, occorrono un hardware (il microprocessore del calcolatore) e un sistema operativo ‘ripensati’ e progettati ex novo che ‘by design’ accedano alla politica di uso del dato e lo elaborino in accordo ad essa.

Il combinato innovativo e rivoluzionario di hardware e software con queste caratteristiche ha la potenzialità di garantire in modo assoluto e definitivo il corretto utilizzo dei dati personali. L’articolo del 2015, che propone questa soluzione, ha avuto fino ad ora solo 8 citazioni nella letteratura scientifica e sono tutte citazioni ‘di cortesia’, nessuna delle quali sviluppa i concetti e la soluzione presentati. Cosa può significare questo? È una soluzione ‘fantascientifica’ e un’utopia che rimarrà un interessante esercizio intellettuale oppure un’idea troppo innovativa che ha bisogno di tempo per essere assimilata dalla comunità scientifica e diventare un tema corrente di ricerca e sviluppo?

Solo il tempo darà la risposta che mi auguro ardentemente sia la seconda. In questo caso, a dimostrazione del fatto che la sicurezza informatica è un tipico problema interdisciplinare, alla soluzione tecnicamente risolutiva occorrerà necessariamente affiancare una normativa internazionale (e non solo della Ue) che imponga ai nuovi calcolatori in commercio uno standard coerente con questa architettura hardware/software.

______________________________________________

  1. R. Chow, et al., Controlling Data in the Cloud: Outsourcing Computation without Outsourcing Control, ACM CCSW’09, 2009R.B Lee, Rethinking computers for cybersecurity, IEEE Computer, 2015

L'articolo Proteggere la privacy dei cittadini, oltre il Gdpr: le tecniche avanzate proviene da Agenda Digitale.

Blockchain a rischio con i computer quantistici: quali soluzioni

Mar, 08/07/2018 - 10:00

Blockchain utilizza tecnologie crittografiche che saranno a rischio al momento in cui i computer quantistici supereranno l’attuale periodo di sperimentazione. Questo periodo, oggi stimato tra i 10 e 15 anni potrebbe risultare anche inferiore, vista la rapida evoluzione della tecnologia. Conoscere il problema e le possibili soluzioni può essere utile per prevenire falsi entusiasmi e definire una corretta strategia per il futuro.

Blockchain e crittografia

Per capire il problema, senza entrare nel dettaglio del funzionamento della tecnologia Blockchain, ci limiteremo ad esaminare le tecniche di crittografia fondamentali che la caratterizzano: gli algoritmi di hash e la firma digitale.

L’algoritmo di hash

L’algoritmo di hash è un sistema di cifratura che elabora un documento elettronico di qualsiasi dimensione e genera come risultato un riassunto composto da un insieme di bit di lunghezza fissa. Le caratteristiche degli algoritmi di hash sono l’impossibilità di essere utilizzati al contrario, e quindi di risalire dal riassunto al documento originale, e la certezza che sia generato un solo riassunto. Questo garantisce l’integrità del documento elettronico, assicurando che ogni modifica, sia pur minima, venga messa immediatamente in evidenza. Nella tecnologia Blockchain l’algoritmo di hash è utilizzato per garantire che i vari blocchi non possano essere modificati in momenti successivi senza essere segnalati a tutte le parti in gioco.

Per esempio il Bitcoin usa come algoritmo di hash SHA-256 che genera una stringa di 256 bit mentre Ethereum usa l’algoritmo di hash KECCAK-256, base del nuovo standard SHA-3, che genera una stringa di 256 bit.

La firma digitale

La firma digitale è un sistema per garantire la sicurezza di una transazione effettuata tra due parti e ne definisce il rapporto di fiducia. Utilizza un algoritmo a chiave pubblica che si basa su una coppia di chiavi. Il mittente usa una chiave privata, che deve tenere segreta, per firmare una transazione e il destinatario usa una chiave pubblica, divulgata dal mittente, per verificarla e avere la certezza che la transazione provenga dal mittente designato e che non sia stata alterata.

La firma digitale permette di effettuare in modo certo e sicuro la transazione Blockchain garantendone sia l’integrità, perché non è stata alterata successivamente al suo invio, sia l’autenticazione del mittente che l’ha firmata e di conseguenza assicurandone il non ripudio.

Elliptic Curve Digital Signature Algorithm (ECDSA)

Sia Bitcoin che Ethereum utilizzano per la firma digitale l’algoritmo Elliptic Curve Digital Signature Algorithm (ECDSA), un sistema crittografico a chiave pubblica basato su curve ellittiche, caratterizzato da efficienza e velocità nei processi di firma e verifica.

Il processo avviene in modo trasparente per l’utente che utilizza normalmente un indirizzo di un Wallet e una password per sbloccarlo. L’indirizzo del Wallet è associato alla chiave pubblica e la password è associata alla chiave privata. La perdita della password non permette di utilizzare la propria chiave privata e corrisponde all’impossibilità di certificare la propria identità. La conseguenza è la perdita di tutto quanto è memorizzato nella Blockchain.

Cos’è il quantum computing, i progetti e i primi successi

Il quantum computing è una tecnologia in evoluzione che promette di raggiungere potenze di calcolo inimmaginabili con le tecnologie dei moderni computer digitali. Basato sulle regole della meccanica quantistica e ipotizzato a livello teorico dal premio Nobel per la fisica Richard Feynman nel 1981, è stato in seguito confermato da numerose verifiche pratiche a livello sperimentale. Questo meccanismo, difficile da comprendere a livello intuitivo, si basa su una serie di bit quantistici, chiamati qubit, che a differenza dei bit tradizionali possono avere uno stato multiplo nello stesso istante.

Attualmente numerose università in tutto il modo e organizzazioni, tra le quali IBM, NASA e Google, stanno lavorando su progetti di computer quantistici e si cominciano a vedere i primi successi, anche se limitati a modelli con processori in scala ridotta. Oggi la potenza dei computer quantistici è caratterizzata dal loro numero di qubit, IBM ha un sistema da 50 qubit e Google ne ha appena presentato uno da 72 qubit, ma il problema principale che li caratterizza è la gestione della loro instabilità.

Nella sua versione definitiva, aumentando il numero di qubit e risolvendo i problemi di stabilità, il quantum computing sarà in grado di trovare le soluzioni ai problemi con complessità esponenziale.

La sicurezza degli algoritmi a chiave pubblica

Questi problemi diventano computazionalmente intrattabili al crescere della loro complessità anche per il più potente computer digitale ma potrebbero essere risolti rapidamente da un computer quantistico. Un esempio di questo tipo di problemi riguarda gli algoritmi a chiave pubblica, quali ad esempio RSA, ECDSA, DSA e altri, che si basano su una funzione unidirezionale che è semplice da calcolare in modo diretto ma praticamente impossibile da risolvere in modo inverso. Questa impossibilità di risolvere il calcolo in modo inverso è quello che oggi garantisce la sicurezza di questi algoritmi.

L’avvento dei computer quantistico permetterà di eseguire in modo immediato questo calcolo inverso, scardinando la sicurezza degli algoritmi a chiave pubblica, che persa ogni efficacia, potrebbero diventare una semplice pietra miliare nella storia della crittografia.

L’algoritmo di Shor e rischi per la Blockchain

Gli algoritmi a chiave pubblica si basano sulla difficoltà di scomposizione in fattori del prodotto di grandi numeri primi, come nel caso di RSA, o sui logaritmi discreti e le curve ellittiche come nel caso di ECDSA.

Peter Shor degli AT&T Laboratories ha dimostrato matematicamente che con un computer quantistico è possibile scomporre rapidamente in fattori il prodotto di due numeri primi molto grandi. L’algoritmo di Shor sarà utilizzabile al momento in cui sarà disponibile un computer quantistico sufficientemente potente e permetterà di scardinare l’algoritmo RSA e con una piccola variante anche l’algoritmo ECDSA.

Il National Institute of Standards and Technology (NIST) ha stimato che per un attacco con l’algoritmo di Shor a un moderno algoritmo a chiave pubblica, quale ad esempio RSA a 2’048 bit, sarebbe sufficiente un computer quantistico con 5’000 qubit, una tecnologia ancora di là da venire, ma che avrebbe delle prestazioni impressionanti.

Oggi un computer digitale che usa il più efficiente algoritmo conosciuto effettuerebbe la scomposizione in fattori di un numero di 300 cifre in circa 150’000 anni. Un computer quantistico che utilizza l’algoritmo di Shor troverebbe la soluzione in pochi secondi.

L’utilizzo dell’algoritmo di Shor potrebbe creare un grosso problema per la tecnologia Blockchain perché eliminerebbe completamente la sicurezza degli algoritmi a chiave pubblica. Questo significa che sarebbe possibile ricavare la chiave privata conoscendo il testo cifrato e la chiave pubblica, evento estremamente pericoloso che permetterebbe il furto dei Bitcoin associati alla chiave privata o, se la transazione non fosse ancora registrata nella blockchain, la creazione di transazioni fasulle. Nel caso di Ethereum un altro possibile rischio potrebbe essere quello di possibili malversazioni nella gestione dei contratti intelligenti basati sulla firma digitale.

L’algoritmo di Grover

Un’altra tecnica crittografica possibile con l’avvento dei computer quantistici è l’algoritmo di Grover che permette di velocizzare la ricerca tra le possibili soluzioni.

Questo algoritmo è applicabile solo per scardinare algoritmi di cifratura simmetrici (AES, DES, algoritmi di hash) e riesce a dimezzare i tempi nel caso di ricerche di “forza bruta”. Le sue prestazioni non sono così innovative e pericolose come per l’algoritmo di Shor perché può essere facilmente contrastato aumentando la lunghezza della chiave di cifratura.

Nella tecnologia blockchain i più importanti tipi di algoritmi simmetrici usati sono quelli di hash che non sono quindi particolarmente vulnerabili al Quantum Computing. Paradossalmente con un computer quantistico che utilizza l’algoritmo di Grover si potrebbero addirittura aumentare le prestazioni delle attività di “mining” per creare nuova moneta.

Possibili soluzioni

Per far fronte ai rischi del computer quantistico, in tutto il mondo università, istituti di ricerca e aziende si stanno impegnando per trovare nuove soluzioni crittografiche.

Sia il National Institute of Standards and Technology (NIST) che l’European Telecommunications Standards Institute (ETSI) stanno affrontando il problema per definire gli standard per una crittografia post quantistica (PQC – Post-Quantum Cryptography).

Completa sostituzione degli algoritmi a chiave pubblica

Questa crittografia deve garantire la sicurezza dei nuovi sistemi di cifratura e di firma e offrire dei percorsi di transizione dagli algoritmi attuali alle nuove soluzioni. Se per gli attuali algoritmi a chiave simmetrica può bastare il semplice aumento della lunghezza della chiave, per gli algoritmi a chiave pubblica è necessaria la loro completa sostituzione. Sono disponibili da tempo nuove famiglie di algoritmi a chiave pubblica a prova di quantum computing ma fino ad ora il loro utilizzo non è stato ritenuto necessario perché è stato più conveniente utilizzare algoritmi a chave pubblica quali RSA, DSA e ECDSA.

Gli algoritmi per una crittografia post quantistica

Il NIST nel suo rapporto sulla Post-Quantum Cryptography elenca i seguenti algoritmi:

  • Algoritmi Lattice-based
    Per il calcolo utilizzano un reticolo di vettori e permettono sia la firma digitale che la cifratura a chiave pubblica. Un esempio di algoritmo è NTRU (1998) il cui brevetto è scaduto lo scorso anno per questo è diventato interessante.
  • Algoritmi Code-based
    Sono basati su una tecnica di rilevazione degli errori nelle comunicazione che risale agli anni ’50, Per ora permettono solo la cifratura. Un esempio di algoritmo è McElience (1978) che è molto veloce ma ha una chiave di cifratura molto grande.
  • Algoritmi Multivariate polynomial
    Sono basati sulla matematica dei polinomi multivariati e permettono solo la cifratura. Un esempio di algoritmo è HFE (1996)
  • Algoritmi Hash-based
    Sono basati sull’algoritmo di hash e sulla costruzione di un albero di operazioni di hash. Permettono solo la firma digitale. Un esempio di algoritmo è Merkle (1979) che ha però dei problemi di lunghezza della chiave con l’aumento della dimensione dell’albero

Il loro uso a livello commerciale è ancora molto limitato ma iniziano a comparire le prime applicazioni pratiche.

Blockchain e algoritmo di Merkle

Quantum Resisten Ledger è un sistema di blockchain sviluppato da Peter Waterland, che utilizza per la firma digitale l’algoritmo di Merkle e può funzionare anche su sistemi di potenza limitata quali laptop o smartphone. Il progetto, iniziato nel 2016, è attualmente in fase di conclusione con la posibilità di fare tutte le operazioni classiche di una blockchain, smart contracts e criptovalute, in modo sicuro e a prova di quantum computer.

A livello di criptovalute esiste già IOTA, una moneta post quantistica che è anche una delle monete importanti sul mercato. Usa un sistema basato sui grafi e non ha costi per le transazioni.

I rischi del quantum computing non riguardano solo la tecnologia blockchain. L’avvento del quantum computer sta mettendo in discussione tutte le attività basate sugli algoritmi a chiave pubblica, che sono molte di più di quante noi oggi riusciamo ad immaginare e che riguardano praticamente tutto Internet come lo conosciamo oggi. Stay tuned.

_________________________________________________

Per approfondire l’argomento Blockchain e firma digitale Quantum computing La sicurezza della blockchain Post-Quantum Cryptography

L'articolo Blockchain a rischio con i computer quantistici: quali soluzioni proviene da Agenda Digitale.

Cyber security nelle PA, il modello degli Organismi Pagatori in Agricoltura

Lun, 08/06/2018 - 09:16

La cyber sicurezza è un un elemento imprescindibile per gli Organismi Pagatori in Agricoltura che, per poter operare devono garantire il rispetto delle norme internazionali in materia di sicurezza delle informazioni. Un modello basato su soluzioni organizzative e procedurali costantemente verificate durante tutte le sessioni di audit che potrebbe essere un riferimento in fatto di cyber sicurezza per legislatori ed amministratori.

Dall’analogico al digitale, i nuovi rischi di sicurezza

Il tema della cyber security, ormai al centro delle Agende Digitali dei Governi di tutto il mondo, non riesce ancora a penetrare nel tessuto delle singole pubbliche amministrazioni che, in un contesto normativo ancora in piena evoluzione, faticano a inquadrare il fenomeno nella sua giusta dimensione e non hanno strumenti operativi né stimoli adeguati per confrontarsi con il mutato quadro di riferimento. Un modello concreto cui ispirarsi deriva dalla Regolamentazione Europea ed è quello degli Organismi Pagatori in Agricoltura riconosciuti dalla Commissione Europea che lavorano in un ambito fortemente regolamentato, nel quale la sicurezza delle informazioni è addirittura un prerequisito senza il quale un Ente non può nascere o rimanere in vita ed è oggetto di costanti verifiche con sanzioni certe e pesanti.

Questa soluzione, che è già attuata con successo da diversi anni in tutti gli Stati Membri dell’Unione Europea.

E’ necessario innanzitutto considerare che, se fino a pochi anni fa, quando la gran parte degli strumenti utilizzati dalle PA erano “analogici”, il pericolo più grande per la riservatezza, l’integrità e la disponibilità di un atto pubblico era rappresentato da coloro che fisicamente avevano accesso agli uffici di un ente, ed in particolar modo alle celebri “stanze dei bottoni”, oggi dovrebbero decisamente generare maggiori ansie e preoccupazioni quei soggetti che, pur trovandosi a distanze siderali dai luoghi in cui si svolge l’azione amministrativa, hanno la possibilità di introdursi nei sistemi informativi di una PA, per carpirne informazioni, modificarne i contenuti o cancellare dati “scomodi” senza lasciare traccia.

Alla luce della repentina trasformazione della società, dell’organizzazione delle pubbliche amministrazioni e del concetto stesso di servizio offerto da un ente centrale o territoriale dello stato, è, pertanto, quanto mai urgente porsi alcuni interrogativi basilari. In particolare, in un mondo sempre più digitale multimediale, può una pubblica amministrazione ritenersi sicura se non lo è il suo processo di gestione delle informazioni? E’ ancora accettabile che una organizzazione governativa non dia importanza prioritaria a temi quali la cyber-security, la sicurezza delle informazioni, la sensibilizzazione dei dipendenti verso un utilizzo sicuro dei dispositivi e degli strumenti digitali?

E, allo stesso tempo, non dovrebbe il legislatore prevedere obblighi normativi in tal senso, magari affiancati da meccanismi di verifica e sistemi sanzionatori adeguati all’importanza dell’argomento?

Evitando in questa sede di addentrarsi in risposte e considerazioni puntuali rispetto alle domande sopra formulate, è fondamentale sottolineare come lo stato dell’arte della cyber-security nelle amministrazioni pubbliche, nel cui quadro non mancano naturalmente punte di eccellenza, imponga un serio approfondimento e richieda, nello spirito di riutilizzo delle buone pratiche, la ricerca di modelli implementativi funzionanti ed in grado di fornire lo slancio propulsivo per un vero e proprio salto di qualità.

La cyber security nella Politica Agricola Comune

Un esempio significativo in questa direzione proviene, come anticipato in precedenza, da un settore molto specialistico (ed in un certo senso “insospettabile” perché connesso, almeno nella concezione comune, a principi più conservatori e tradizionali) della regolamentazione europea e specificatamente dalla Politica Agricola Comune (PAC), che genera annualmente flussi finanziari, sotto forma di contributi a imprenditori e privati cittadini, di diversi miliardi di euro.

In tale contesto, uno dei requisiti fondamentali affinché in uno Stato Membro, o in una sua articolazione territoriale come le Regioni, possa operare un “Organismo Pagatore”, ossia un ente deputato a gestire tutto il ciclo sotteso ai finanziamenti di settore, è, infatti, quello di garantire il rispetto di norme internazionali in materia di sicurezza delle informazioni.

Tale previsione, invero, non deve essere intesa come un suggerimento, un obiettivo cui tendere o semplicemente un insieme di linee guida che devono più o meno essere rispettate (come avviene in altri ambiti dove si susseguono interventi normativi spesso poco incisivi e pertanto scarsamente applicati in concreto) ma rappresenta, al contrario, un elemento imprescindibile, soggetto a diversi livelli di Audit interni ed esterni.

E’, infatti, opportuno sottolineare come il Reg (UE) 907/2013, che disciplina nel dettaglio i requisiti che un’organizzazione deve rispettare per ottenere il “riconoscimento” quale Organismo Pagatore, da un lato prevede, tra l’altro, che “la sicurezza dei sistemi d’informazione è certificata in conformità con l’Organizzazione internazionale per la standardizzazione 27001: Sistemi di gestione della sicurezza delle informazioni — Requisiti (ISO)” (gli OPR che erogano meno di 400 milioni di Euro all’anno sono esentati dall’ottenimento della certificazione ma devono garantire i medesimi livelli di sicurezza) mentre dall’altro descrive un articolato sistema di verifiche che, nel corso del tempo, devono essere poste in essere dai Servizi di Internal Audit dell’Ente stesso, da un Organismo di Certificazione dei conti individuato con procedure ad evidenza pubblica, dalle autorità nazionali (e quindi dal Ministero delle Politiche Agricole, Alimentari e Forestali per l’Italia) e dai servizi della stessa commissione.

La sicurezza come elemento imprescindibile

Probabilmente ancora più importante è la correlazione diretta e ben codificata tra eventuali “non conformità” riscontrate durante una delle sopra citate fasi di controllo e le conseguenze che trovano concretizzazione in sanzioni finanziarie direttamente proporzionali a quanto erogato all’interno di un determinato arco temporale (ad esempio nel corso di una “campagna”, che secondo le regole europee, va dal 16 ottobre di un anno al 15 ottobre di quello successivo) fino a giungere alla revoca del riconoscimento con conseguente chiusura dell’Organismo Pagatore inadempiente.

E’ facilmente comprensibile come, in un contesto così fortemente regolamentato e strutturato, l’attenzione verso la cyber-security e la sicurezza delle informazioni non solo sia elevata ma pervada ogni livello dell’organizzazione, tanto da diventare un elemento caratterizzante di tutta l’azione amministrativa.

La gestione del rischio come “cultura aziendale”

Tale previsione normativa, inoltre, legando di fatto l’esistenza in vita di un Organismo Pagatore al rispetto di uno standard internazionale di tipo gestionale quale la ISO – 27001, costituisce innanzitutto un indirizzo strategico ben preciso nei confronti del top management dell’Ente, che sarà chiamato a rispondere direttamente e non solo in maniera astratta dell’efficacia e dell’efficienza dei controlli posti in essere a presidio della sicurezza, concretizzando uno dei princìpi fondamentali sui cui si poggia la delicata infrastruttura della cyber-security, ossia il cosiddetto “Tone at the Top”: è, infatti, opinione universalmente diffusa tra gli addetti ai lavori che la sicurezza delle informazioni ottenga risultati migliori e decisamente tangibili quando vi sono un coinvolgimento diretto ed una forte sponsorizzazione da parte delle sfere decisionali, che possono influenzare in svariate modalità il buon esito di tutto il sistema di gestione.

Uno degli aspetti più importanti a tal riguardo è rappresentato dalla gestione del rischio, che deve essere riconnesso alla “cultura aziendale” e pertanto deve riflettere la propensione dell’organizzazione (il cosiddetto “risk appetite”) ad accettare il verificarsi di eventi avversi entro determinate soglie di impatto. Nel caso degli organismi pagatori i livelli di rischio possono certamente essere derivati, in alcuni casi, dai Regolamenti Comunitari, che stabiliscono linee guida di carattere generale, ma devono necessariamente essere declinati dalla Direzione e dalla Dirigenza in base alle concrete circostanze che devono essere di volta in volta affrontate.

Un ulteriore elemento da tenere in considerazione è quello derivante dal maggiore impatto che le direttive, le procedure ed in generale le regole interne hanno su tutti gli stakeholder (dipendenti, consulenti, fornitori, enti delegati, etc) quando il top management non solo ha un ruolo formale in fase di emanazione ma risulta essere direttamente coinvolto nel monitoraggio della loro concreta applicazione.

Allo stesso modo non deve essere trascurata la capacità formativa e persuasiva derivante dall’effettiva applicazione di specifiche regole e prescrizioni (quale ad esempio quella dell’utilizzo di un badge magnetico per l’accesso ai locali dove sono allocati gli uffici) anche da parte di chi si trova in posizioni gerarchicamente elevate e che potrebbe godere di “esenzioni” o deroghe rispetto ad adempimenti apparentemente sovradimensionati.

Cyber security nella PA, alcuni scenari di rischio

Per comprendere al meglio quanto la cyber security incida direttamente sulla correttezza, sull’efficacia e sull’efficienza della missione istituzionale di una pubblica amministrazione, che in ultima analisi è chiamata a fornire servizi ed a risolvere problematiche afferenti ad una collettività di persone, è possibile ripercorrere alcuni esempi mutuati dal contesto degli Organismi Pagatori.

Preliminarmente, è necessario evidenziare come una “Paying Agency” sia deputata ad effettuare per conto della Commissione Europea tre funzioni principali ed in particolare:

  • autorizzazione e controllo dei pagamenti per fissare l’importo da erogare a un beneficiario conformemente alla normativa dell’Unione, compresi, in particolare, i controlli amministrativi e presso le sedi delle aziende;
  • esecuzione dei pagamenti per erogare ai beneficiari, o a loro rappresentanti, l’importo autorizzato;
  • contabilizzazione per registrare, in formato elettronico, tutti i pagamenti effettuati e preparazione di sintesi periodiche di spesa, quali le dichiarazioni mensili, trimestrali e annuali destinate alla Commissione.

In tale contesto, è possibile innanzitutto domandarsi cosa succederebbe se le elaborazioni finalizzate a concedere o meno l’autorizzazione al pagamento si basassero su dati non corretti o inattendibili o addirittura fosse possibile a chiunque modificare parametri oggettivi quali la quantità di terreno condotta da ogni azienda, i titoli di possesso di immobili o macchinari agricoli, la data di presentazione di una domanda di accesso ad un determinato beneficio.

Sarebbe sufficiente il verificarsi di uno solo dei sopra citati esempi per rendere del tutto aleatorio l’intero processo sotteso al pagamento di benefici che, come anticipato, raggiungono cifre ragguardevoli per il bilancio dell’intera unione europea.

Passando alla funzione di esecuzione dei pagamenti, che probabilmente è quella più interessante per i beneficiari finali, è necessario soffermarsi su quali danni potrebbero derivare dall’impossibilità di finalizzare le erogazioni entro i termini inderogabili fissati dalla normativa (si consideri, a tal proposito, che la Commissione Europea impone per l’erogazione dei contributi tempi certi, il cui mancato rispetto comporta il non riconoscimento della spesa). In estrema sintesi, cosa succederebbe se i server contenenti le informazioni necessarie a liquidare le domande non fossero disponibili o perfettamente funzionanti proprio alla vigilia di una scadenza improcrastinabile? E nel caso in cui i dati contenuti fossero irrimediabilmente corrotti ed irrecuperabili?

In tale situazione, l’impatto di una situazione del genere sarebbe facilmente quantificabile dal punto di vista economico ma avrebbe ripercussioni notevoli e probabilmente incalcolabili anche sotto il profilo dell’immagine, della fiducia dei cittadini nei confronti delle istituzioni oltre che in termini di sussistenza per le aziende cui non arriverebbe il contributo richiesto.

Considerazioni analoghe possono essere effettuate nel caso delle rendicontazioni che se non corrette e veritiere possono di fatto vanificare il monitoraggio dell’andamento della spesa con conseguenze potenzialmente devastanti per la gestione dei fondi comunitari. Se, ad esempio, a fronte di erogazioni per svariati milioni/miliardi di euro fosse contabilizzata solo una percentuale dei pagamenti, come sarebbe possibile pianificare correttamente i futuri interventi?

Del tutto evidenti, inoltre, sono i danni che potrebbero generarsi dalla divulgazione non autorizzata delle informazioni contenute nei sistemi degli Organismi Pagatori. Basti ad esempio pensare all’impossibilità di procedere ai pagamenti per le aziende che si trovano in posizioni irregolari con la certificazione antimafia o alla necessità di procedere a compensazione nei confronti di quelle che presentano debiti verso gli enti previdenziali o hanno ricevuto in passato finanziamenti in tutto o in parte non dovuti. Quali sarebbero le ripercussioni per i soggetti interessati derivanti dalla diffusione di queste o similari tipologie di dati?

Organismi Pagatori, le best practice utili a tutta la PA

Continuando ad approfondire il modello degli Organismi Pagatori, anche con il fine di estrapolare possibili metodologie implementative da replicare nel resto delle pubbliche amministrazioni, è necessario sottolineare come nella normativa comunitaria e nel complesso di linee direttrici, raccomandazioni e orientamenti applicativi resi disponibili dai Servizi della Commissione Europea sia possibile rinvenire non solo le prescrizioni sopra evidenziate ma anche soluzioni organizzative, procedurali e funzionali cui far riferimento.

Anche in questo caso, il punto di partenza non può che essere il Reg (UE) 907/2014 che prescrive come un Organismo Pagatore debba adottare, nello svolgimento dei suoi compiti quotidiani, una serie di adempimenti, che richiamano in maniera esplicita le “best practice” internazionali in materia di sicurezza delle informazioni, tra i quali in particolare si riporta la necessità di garantire:

  • La disponibilità di risorse umane adeguate per l’esecuzione delle operazioni e di competenze tecniche adeguate ai differenti livelli operativi;
  • Una ripartizione dei compiti tale da garantire che nessun funzionario abbia contemporaneamente più incarichi in materia di autorizzazione, pagamento o contabilizzazione delle somme imputate ai fondi e che nessun operatore svolga uno dei compiti predetti senza adeguata supervisione;
  • che le responsabilità dei singoli funzionari siano definite nella descrizione scritta delle mansioni, inclusa la fissazione di limiti finanziari alle loro competenze;
  • che sia prevista una formazione adeguata del personale a tutti i livelli operativi, anche in materia di sensibilizzazione al problema delle frodi, e che esista una politica per la rotazione del personale addetto a funzioni sensibili o, in alternativa, per aumentare il livello di supervisione;
  • che siano adottate misure adeguate per evitare il rischio di un conflitto d’interessi quando persone che occupano una posizione di responsabilità o svolgono un incarico delicato in materia di verifica, autorizzazione, pagamento e contabilizzazione delle domande di aiuto o di pagamento assumono altre funzioni al di fuori dell’organismo pagatore.

Anche da una rapida lettura di quanto sopra descritto, ad un addetto ai lavori non potrà sfuggire la straordinaria sovrapponibilità tra i concetti espressi dal Regolamento ed i princìpi basilari sui quali si poggiano i framework elaborati dall’ISACA, l’organizzazione statunitense che ha elaborato il celebre COBIT e che con le sue certificazioni di settore su sicurezza delle informazioni (CISM), IT Audit (CISA), IT Risk Management (CRISC) e IT Governance (CGEIT) rappresenta uno dei più prestigiosi organismi di riferimento a livello planetario.

Cyber security, i punti chiave per una corretta gestione 

Provando a contestualizzare maggiormente rispetto alla cyber-security, in estrema sintesi le soluzioni organizzative e procedurali minimali richieste ad un Organismo Pagatore e costantemente verificate durante tutte le sessioni di audit sono le seguenti:

  • La sicurezza delle informazioni deve essere gestita ai livelli più alti dell’Ente: per tale motivo è opportuno che sia presente un “Comitato per la Sicurezza delle Informazioni”, del quale facciano parte quantomeno il Direttore, i Dirigenti delle Funzioni, il Responsabile della Sicurezza delle Informazioni ed un rappresentante del Servizio di Controllo Interno.
  • Deve essere prevista una sezione dell’Internal Audit specializzata per la cyber-security, con personale avente competenze specifiche e specialistiche, che sappia non solo comprendere i fenomeni ed i rischi connessi alla sicurezza delle informazioni ma sia anche in grado di riportare in maniera chiara, sintetica ed efficace la situazione riscontrata ai Responsabili di processo (i cosiddetti “Process Owner”) ed alla Direzione. Di particolare interesse a tal riguardo è la prescrizione regolamentare secondo cui il servizio di controllo interno, oltre a dover essere indipendente dagli altri servizi dell’organismo Pagatore e dover riferire direttamente al direttore, sia chiamato a verificare che le procedure adottate siano adeguate per garantire la conformità con la normativa dell’Unione e che la contabilità sia esatta, completa e tempestiva.
  • E’ necessario, inoltre, sviluppare, redigere ed approvare con atto ufficiale del Direttore un documento di “Security Policy”, che sintetizzi i princìpi e le regole generali adottate in materie di cyber-security. Tale politica di alto livello, che deve essere aggiornata con cadenza almeno annuale, deve essere declinata, attraverso Manuali e Linee Guida specifiche, in regole concrete ed attuative, rese note a tutti gli stakeholders.
  • Tra gli aspetti da normare e codificare devono rientrare almeno quelli relativi alle modifiche ai sistemi (Change Management), ai permessi di accesso logici e fisici (Access Management), al censimento e classificazione dei dispositivi, degli strumenti e delle informazioni (Information Classification and Asset Management), alla gestione dei rischi (Risk Management), al rapporto con i fornitori (Supplier Management), alla gestione della rete (Network Management), al Backup dei dati maggiormente sensibili e critici.
  • E’ indispensabile che tutto il personale sia coinvolto nella gestione della cyber-security attraverso campagne di sensibilizzazione, formazione ed informazione. Tutti, all’interno dell’organizzazione, devono conoscere i rischi connessi alla gestione della sicurezza delle informazioni ed in particolare essere consapevoli delle modalità di utilizzo sicuro degli strumenti elettronici.
  • Oltre a quanto descritto in precedenza, è anche imprescindibile implementare meccanismi di risposta rispetto a situazioni di pericolo che possono mettere a repentaglio la sicurezza. In particolare, è fondamentale organizzare e rendere operative procedure per la risposta agli incidenti (Incident Management), il ripristino delle attività rispetto ad interruzioni del servizio informatico (Disaster Recovery), la continuità operativa dell’organizzazione nel suo complesso (Business Continuity)
  • Tutti gli aspetti finora elencati devono essere periodicamente sottoposti a verifiche e prove al fine di garantirne il corretto funzionamento non solo dal punto di vista teorico ma anche nella sua applicazione effettiva. Per tale motivo devono essere progettate, eseguite e verbalizzate sessioni di test, dalle quali far emergere le criticità riscontrate ma soprattutto le opportunità che possono essere sfruttate per migliorare ulteriormente il sistema di gestione della cyber-security.

L'articolo Cyber security nelle PA, il modello degli Organismi Pagatori in Agricoltura proviene da Agenda Digitale.

Intelligenza artificiale e sicurezza, le principali tecniche di attacco e difesa

Lun, 08/06/2018 - 09:00

L’intelligenza artificiale nella difesa delle infrastrutture digitali presenta molti vantaggi, ma anche rischi da non sottovalutare. Vediamo come, da un lato l’IA aumenta sensibilmente la capacità di riconoscere, prima ed in maniera più efficace, la minaccia ma, dall’altro offre anche nuove vulnerabilità agli attaccanti.

Monitoraggio cyber minacce, il modello SOC co-gestito

Per fronteggiare gli attacchi più moderni non basta investire in prevenzione, ma è necessario adeguare costantemente le capacità di monitoraggio ed individuazione delle minacce, nonché assicurare una risposta adeguata agli incidenti in caso di potenziale compromissione. Da un lato, soprattutto nel settore finanziario, si è registrata una progressiva affermazione del modello SOC (Security Operations Center) co-gestito, ovvero con un mix di competenze ed infrastrutture tra il SOC interno dell’organizzazione ed il ricorso a SOC di provider esterni; ciò ha consentito ad esempio di ottenere più agevolmente una copertura h24, 365 giorni l’anno, riferita soprattutto al monitoraggio delle minacce di sicurezza.

Dall’altro, la reale efficacia di un SOC, sebbene coadiuvato da ausili esterni, può variare sensibilmente in funzione di svariati fattori, tra i quali:

  • l’adozione di soluzioni tecnologiche adeguate,
  • l’impiego di analisti con skill ed esperienza appropriata,
  • l’impiego di processi e procedure ben strutturati,
  • l’effettiva integrazione con altre strutture interne ed esterne (ad esempio CERT).
Nuove tecniche, nuovi paradigmi, nuove professionalità

In questo scenario, l’evoluzione tecnologica e la volontà dell’industria di fornire soluzioni che possano sempre di più facilitare l’individuazione delle “unknown threat”, rispetto a quelle già note, sta introducendo nuove tecniche e cambi di paradigmi rispetto a qualche anno fa. Tra questi c’è una progressiva e sempre più spinta attenzione ad analizzare flussi enormi di eventi, ricorrendo soprattutto a tecniche di intelligenza artificiale (IA). La definitiva affermazione del machine learning sta accelerando l’adozione della IA, inglobando le stesse in diverse soluzioni di cyber security. Queste tecniche stanno modificando anche le professionalità coinvolte nei processi di monitoraggio e gestione degli incidenti. L’ingresso nei SOC dei cosìddetti data scientist, sta aprendo nuove frontiere nella capacità di individuazione di pattern di attacco non predefiniti, aumentando sensibilmente la capacità di riconoscere, prima ed in maniera più efficace, la minaccia.

AI e orchestration per realizzare l’active defense

La novità ancora più importante investe anche il modo con cui rispondere ad una potenziale compromissione. Attraverso le medesime tecniche, anch’esse basata sull’IA, hanno fatto ingresso sul mercato le soluzioni cosìddette di “orchestration”.

6Le stesse stanno facilitando la vita degli analisti di sicurezza, analizzando e selezionando automaticamente le azioni più appropriate da applicare per contenere la specifica compromissione ed automatizzando “by design” l’esecuzione rapida di numerose tecniche di risposta (dalla chiusura di una connessione malevola agendo sui dispositivi di sicurezza perimetrale, all’arricchimento di informazioni provenienti dalle fonti di intelligence). L’obiettivo finale è realizzare quel paradigma di “active defense” che riduce i tempi di reazione, abbattendo la probabilità che una minaccia possa diventare una reale compromissione.

L’AI come arma di attacco, le tecniche

Fin qui l’IA appare come una interessante opportunità in termini di evoluzione della capacità di difesa, associata primariamente alla possibilità di individuare e gestire la minaccia Cyber in maniera sempre più sofisticata. Come descritto sopra ciò non solo è vero, ma è ormai un trend inarrestabile che vedremo sempre più applicato in futuro. Tuttavia, come spesso capita con gli strumenti di difesa, questi possono diventare anche potenti armi per l’attacco. Oggi l’IA trova applicazioni in svariati ambiti dell’information technology: dal riconoscimento vocale nei call-center, analisi dei dati di marketing per profilare gli utenti, ad applicazioni di sorveglianza per garantire la pubblica sicurezza, mediante il riconoscimento facciale massivo, alla cyber security appunto. Ciascuna di queste applicazioni ha un alleato nell’IA, ma fornisce anche nuove vulnerabilità agli attaccanti.

Gli algoritmi di machine-learning possono essere elusi o, peggio ancora, confusi per raggiungere due obiettivi principali: da un lato neutralizzare le capacità di queste tecniche di analisi, da un lato usarli per modificare i comportamenti. E’ il caso ad esempio degli attacchi che, eludendo gli algoritmi di riconoscimento vocale o facciale basati su machine learning, sono in grado di impersonare un individuo e di impartire azioni malevoli.

Un attacco conosciuto come “face swapping” consente ad esempio ad un attaccante di fornire al motore di AI un video con un volto “fake”, facendogli credere che si tratta del volto della persona che sta cercando. Analogamente un gruppo di ricercatori della Zhejiang University cinese ha scoperto un modo intelligente per attivare un sistema di riconoscimento vocale senza pronunciare una parola, eludendo l’algoritmo di AI alla base ed utilizzando frequenze ad ultrasuono che consentono di impartire qualsiasi comando al sistema. Ciò potrebbe consentire ad esempio ad un attaccante di comandare uno smartphone in “silenzio”, forzandolo ad aprire un sito compromesso ed installando una backdoor.

Il progetto ART di IBM

Tornando alla prospettiva di chi deve proteggersi, già da qualche tempo si stanno studiando nuove tecniche per difendersi dalla potenziale compromissione dei modelli di machine learning. Un valido esempio è costituito dal progetto Adversarial Robustness Toolbox (ART) messo a punto da IBM, in pieno spirito open source. Si tratta di una libreria di strumenti in grado di riprodurre alcuni attacchi noti agli algoritmi di machine learning, con l’obiettivo di verificarne il livello di robustezza e correggere eventuali vulnerabilità prima che sia troppo tardi.

L'articolo Intelligenza artificiale e sicurezza, le principali tecniche di attacco e difesa proviene da Agenda Digitale.

GDPR per la ricerca scientifica con big data: il senso dell’articolo 11

Lun, 08/06/2018 - 08:28

Un’analisi sull’art. 11 del GDPR si rende ormai necessaria. Una delle norme più complesse, ma anche più ricche di implicazioni, che è destinata ad avere una grande efficacia per la ricerca scientifica, nel mondo dei Big Data, della Data Analysis e della Intelligenza Artificiale.

Le “resistenze” al GDPR

Il GDPR è un apparato normativo le cui potenzialità e applicazioni richiederanno anni di lavoro e di studio per esser comprese a pieno. Quello che è certo è che più lo si approfondisce, più si comprende la sua ricchezza e ampiezza di sviluppo. In sostanza, si tratta di una sorta di miniera d’oro della quale abbiamo esplorato solo le vene aurifere superficiali, quelle che si percepiscono a vista d’occhio.

Nella realtà italiana, inoltre, lo sforzo di gran parte dei commentatori è stato finora quello di cercare ad ogni costo di dimostrare che i cambiamenti rispetto alla Direttiva 95/46 sono limitati, in modo da poter affermare che in fondo poco è mutato rispetto al vecchio, tanto deprecato ma in fondo tanto amato, Codice Privacy del 2003.

E’ da attendersi che, se e quando sarà approvato il decreto delegato di adeguamento dell’ordinamento italiano al GDPR, questa ondata di “resistenza combattente” riprenderà con rinnovata forza e con maggiore virulenza. Ci vorranno sforzi non piccoli per far comprendere che il decreto delegato riguarda essenzialmente solo i settori riservati alla legislazione statale, in base a quanto previsto da norme interstiziali, fra le quali soprattutto gli artt.8 e 9 e il Capo IX del GDPR, compresi i poteri dell’Autorità di controllo in queste materie.

In attesa di dover riprendere uno sforzo impegnativo di analisi contro i probabili, futuri “neo-resistenti”, è utile cogliere questa fase di bonaccia per richiamare l’attenzione sull’art. 11 del GDPR.

L’art.11 e il considerando 57

Questo articolo stabilisce, al primo paragrafo, che “se le finalità per cui un titolare del trattamento tratta i dati personali non richiedono o non richiedono più l’identificazione dell’interessato, il titolare del trattamento non è obbligato a conservare, acquisire o trattare ulteriori informazioni per identificare l’interessato ai soli fini di rispettare il regolamento”.

Al secondo paragrafo la disposizione precisa che “qualora nei casi di cui al paragrafo 1 del presente articolo, il titolare del trattamento possa dimostrare di non essere in grado di identificare l’interessato, ne informa l’interessato, se possibile. In tali casi, gli articoli da 15 a 20 non si applicano tranne quando l’interessato, al fine di esercitare i diritti di cui ai suddetti articoli, fornisce ulteriori informazioni che ne consentano l’identificazione”.

Si tratta di una norma molto complessa da interpretare e da applicare, tanto più dovendo tener conto anche del Considerando 57 che proprio ad essa si riferisce.

Questo Considerando stabilisce, infatti, che: “Se i dati che tratta non gli consentono di identificare una persona fisica, il titolare del trattamento non dovrebbe esser obbligato ad acquisire ulteriori informazioni per identificare l’interessato al solo fine di rispettare una norma del regolamento. Tuttavia il titolare del trattamento non dovrebbe rifiutare le ulteriori informazioni fornite dall’interessato al fine di sostenere l’esercizio dei suoi diritti. L’identificazione digitale di un interessato, ad esempio mediante un meccanismo di autenticazione quali le stesse credenziali utilizzate dall’interessato per l’accesso (log in) al servizio on line offerto dal titolare del trattamento”.

In sostanza, sembra evidente che la disposizione in esso contenuta riguarda essenzialmente i casi in cui un titolare acquisisce dati personali dotati di identificativi adeguati a ricollegare i dati a persone identificate o identificabili, ma li tratta (e ha interesse a trattarli in base alle finalità perseguite) indipendentemente da ogni loro riferibilità a persone specifiche.

In questi casi – sembra dire l’art. 11 – il titolare ha solo l’obbligo di informare, se possibile, gli interessati (che in questa fase egli è ancora in grado di individuare) che tratterà i dati a loro riferibili con modalità che non consentiranno più la ri-identificazione delle persone alle quali sono riferiti.

In sostanza, quando il titolare non abbia alcun interesse a conservare gli identificativi, egli non solo non è tenuto a farlo solo per adempiere al regolamento, ma può distruggere ogni elemento che consenta di ricondurre i dati oggetto di trattamento a persone specifiche. Quando decida di avvalersi di questa norma, tuttavia, il titolare è tenuto a darne previa comunicazione all’interessato. Un dovere, questo, dal quale può esimersi solo se non è possibile adempiervi, sempre che di tale impossibilità possa dare prova se ne viene richiesto.

Lo scopo di questo obbligo che grava sul titolare è quello di mettere l’interessato a conoscenza che non potrà più individuare, tra i dati oggetto di trattamento, quali sono quelli a lui riferibili e, dunque, non sarà più in grado di assicurargli la possibilità di esercitare i diritti che gli artt. da 15 a 20 prevedono per le persone alle quali i dati trattati si riferiscono.

Dal punto di vista testuale, la conseguenza della norma di cui all’art.11 è consentire al titolare di adottare, in ragione delle finalità perseguite, modalità di trattamento di dati “deindicizzati” o comunque privi di modalità di identificazione delle persone, anche se questo comporta la privazione della possibilità di esercitare i loro diritti. Infatti, proprio in ragione delle modalità dei trattamenti posti in essere, il titolare non è più in grado di verificare la relazione tra i dati e le persone alle quali essi i riferiscono né di accertarsi della identità degli interessati e della titolarità dei diritti che possano eventualmente essere invocati.

Solo se l’interessato è, lui stesso, in grado di fornire chiavi identificative dei dati che lo riguardano, allora il titolare è tenuto a riconoscergli il potere di esercitare i diritti previsti dall’art. 15 al 20, sempre, ovviamente, che ne sussistano i presupposti.

Il Considerando 57, invece, è leggermente diverso perché sembra riferirsi al caso che un titolare acquisisca dati che sono personali perché riferibili a persone identificate o identificabili, ma non abbia interesse a raccogliere ed utilizzare anche gli elementi che possono consentire tale identificazione, in quanto inutili ai fini dei trattamenti che vuole porre in essere.

Stando al contenuto letterale del Considerando, in questo caso il titolare sembrerebbe impossibilitato a informare gli interessati perché non ha alcuna conoscenza di chi essi siano. Tuttavia, anche in questa ipotesi, il titolare non può rifiutare di fornire a chi sia in grado di comunicargli gli elementi necessari alla sua identificazione e alla individuazione dei dati che lo riguardano, le informazioni che possono essergli utili per sostenere l’esercizio dei suoi diritti.

E’ chiaro che fra norma e Considerando non vi è una perfetta identità di contenuto. Di fatto il Considerando estende la portata dell’art. 11 perché non si limita a prevedere il caso di un titolare che acquisisce dati personali ma, non essendo interessato a mantenerne la riferibilità a una persona identificata o identificabile, li tratta con modalità che non ne consentano più la ri-identificazione.

Il Considerando pare, invece, riguardare il caso in cui il titolare, pur raccogliendo dati personali, li utilizza fin dall’inizio indipendentemente da ogni riferimento ai loro elementi identificativi. In sostanza il Considerando sembra prevedere anche la ipotesi che il titolare non acquisisca mai, né mai tratti, gli elementi identificativi di dati che pure riguardano persone fisiche.

Tuttavia tra il testo dell’art. 11 e quello del Considerando 57 vi è un chiaro punto di convergenza. In entrambi i casi, infatti, si prevede l’eventualità che l’interessato possa essere in grado di dimostrare la sua identità e di dare lui stesso la chiave per identificare i dati che lo riguardano. In questo caso, come già detto, il titolare è tenuto comunque a dargli ogni informazione utile all’esercizio dei suoi diritti.

Il tertium genus

E’ evidente che i testi citati ci pongono di fronte a un tertium genus di modalità relative al trattamento, che si inserisce fra il concetto di pseudonimizzazione e quello di anonimizzazione dei dati.

I dati trattati non sono pseudonimi perché comunque il titolare o non è mai venuto in possesso degli identificativi (caso del Considerando 57), o ne è venuto in possesso ma poi li ha “staccati” in modo irreversibile dai dati oggetto di trattamento, previa informazione, se possibile all’interessato, come esplicitamente prevede l’art.11. In sostanza, non si può parlare di pseudonimizzazione perché comunque il titolare o non ha mai avuto o comunque non tiene, neppure in forma separata, l’identificativo della persona alla quale i dati si riferiscono.

Ancor meno si tratta di anonimizzazione, sia perché i dati sono stati, almeno nella ipotesi letterale dell’art. 11, raccolti come dati personali, sia perché si dà per scontato che sia sempre possibile che la persona interessata possa esercitare i suoi diritti se è in grado di dimostrare la sua identità e la sua connessione rispetto a dati specifici.

Dunque, al contrario di quanto avviene nel caso della anonimizzazione, si dà per scontato che i dati non siano mai “anonimi”, né mai “pseudonimizzati” ma appartengano, appunto, a un tertium genus.

Un trattamento apparentemente inconsistente

E’ ovvio che questa terza tipologia di trattamento dei dati può sembrare avere, al medesimo tempo, una specifica concretezza e una apparente “inconsistenza”.

Verrebbe infatti facile pensare che o il dato è pseudonimizzato o è anonimo. Nel primo caso, si applica il GDPR e il titolare ha sempre il diritto, da un lato, il dovere, dall’altro, di rendere identificabile il dato e la persona a cui si riferisce. Nel secondo caso, il dato è anonimo, e allora il GDPR non si applica.

Nell’ipotesi in questione, invece, non ricorre né l’uno né l’altro caso. I dati sono trattati in forma che può sembrare sostanzialmente anonimizzata perché gli identificativi sono stati distrutti dal titolare o comunque resi non più abbinabili agli altri dati ma, allo stesso tempo, con modalità che possono farli sembrare, almeno potenzialmente, pseudonimi, perché può sempre accadere che sia l’interessato stesso a fornire gli elementi di identificazione.

Proprio per questo l’ipotesi in esame può appare per un verso poco realistica e per l’altro di difficile applicazione.

Il valore della “terza via” tra pseudonimizzazione e anonimizzazione

A ben vedere, tuttavia, una conclusione siffatta sarebbe assai superficiale.

Il valore della disposizione sta proprio nel fatto di indicare una “terza via” tra il fenomeno della pseudonimizzazione, che è al tempo stesso una misura di garanzia e una misura di sicurezza, ma non toglie al dato il carattere di dato personale, e la anonimizzazione. Trattamento, quest’ultimo, che è sempre difficile dimostrare di avere effettivamente raggiunto in concreto (almeno secondo le indicazioni contenute nel Considerando 27) e che, proprio per questo, può essere sempre oggetto di contestazione e conseguenti responsabilità dei titolari che, ritenendo sufficientemente anonimizzati i dati trattati, non applichino il GDPR.

L’impatto sull’analisi dei dati a fini di ricerca scientifica

Al tempo stesso, questa norma, proprio perché traccia una via intermedia tra una pseudonimizzazione costosa, e che comunque obbliga sempre a riconoscere i diritti degli interessati caricando sui titolari l’onere di accertarne l’identità, e una anonimizzazione ancora più costosa e sempre possibile oggetto di contestazioni, consente ai titolari di porre in essere attività di Big Data e Data Analysis utilizzando dati strutturalmente personali ma che, o perché raccolti senza identificativi o perché trattati cancellando ogni indicatore relativo a persone, possono consentire trattamenti di norma non sottoposti alla “mannaia” del possibile esercizio dei diritti dell’interessato.

In questo quadro, è evidente che la norma è particolarmente utile per lo sviluppo di tecniche di analisi dei dati per finalità di ricerca, in particolare scientifica, e per ogni altra modalità di costruzione di cluster (“greggi”) individuati in virtù di caratteristiche comuni, anche per finalità predittive o di analisi svolte da macchine intelligenti.

Questo può valere ogni qual volta non sia necessaria la riconducibilità dei dati trattati a persone individuate. Ancor più può essere fondamentale nei casi in cui per il trattamento del dato personale è richiesto il consenso, con conseguente possibilità di esercitare sempre, e in via generale, anche il diritto alla revoca.

L’art. 11 è dunque, con tutta evidenza, una norma che cerca di trovare un giusto punto di equilibrio tra la tutela dei diritti dell’interessato da un lato, e la possibilità di trattare in modo meno restrittivo i dati personali quando si perseguono finalità che possono essere raggiunte privando tali dati di ogni riferimento alle persone cui si riferiscono, dall’altro. Cosa, questa, che consente di considerare come del tutto improbabile ed eccezionale la possibilità per gli interessati di esercitare i loro diritti anche rispetto a trattamenti che riguardano sì i loro dati, ma con modalità e per finalità che non li rendono in alcun modo ad essi riconducibili.

Come trattare i dati quando si applica l’art. 11

L’art. 11 è dunque una norma di compromesso, che trova il suo punto di equilibrio in due tutele essenziali garantite agli interessati: la prima, che l’interessato può comunque esercitare i propri diritti se è in grado di identificarsi e identificare i dati a lui relativi; la seconda, che il titolare deve, quando è possibile, informare gli interessati della volontà di trattare i loro dati per finalità e con modalità che non gli consentiranno la possibilità di ri-identificare le persone a cui si riferiscono.

E’ ovvio che a questo punto il problema si sposta su come i dati devono essere trattati quando si voglia applicare l’art. 11, e cioè a che livello di generalità (e con quali accorgimenti tecnici come, ad esempio, i c.d. “rumori di fondo” o la “generalizzazione”) essi debbano essere elaborati affinché si possa sostenere che il titolare non può più, per le modalità e le finalità dei trattamenti scelti, ricondurli a persone fisiche identificate o identificabili. Problema, questo, che da un lato è di tipo tecnologico e dall’altro implica che la norma dell’art. 11 sia invocata e utilizzata solo per finalità raggiungibili attraverso trattamenti di dati non ri-identificabili.

Un esempio di possibile applicazione

Infine, la norma consente anche un’altra possibile applicazione, che richiede però una interpretazione molto estensiva della lettera e della ratio dell’art. 11.

E’ possibile, infatti, che un titolare possa essere interessato, sia per aumentare la fiducia delle persone, sia per motivi concreti che rendono utile anche a lui la ri-identificabilità del dato, ad applicare l’art. 11, fornendo però lui stesso agli interessati chiavi digitali adeguate a ri-identificare i loro dati e a dimostrare la loro identità.

Per comprendere questa ipotesi può essere utile l’esempio di un grande guardaroba di un teatro che può ospitare migliaia di persone.

E’ chiaro che gli addetti al guardaroba non hanno nessuna utilità (e spesso nessuna possibilità concreta) di tenere nota dei dati identificativi di chi consegna i propri soprabiti e preferiscano, come quasi sempre avviene, consegnare ai depositanti una contromarca.

In questo caso, puramente esemplificativo, saremmo di fronte alla ipotesi di un titolare (la organizzazione del guardaroba) che non conserva, né tratta, gli identificativi delle persone e degli oggetti da loro consegnati, ma che ha interesse esso stesso a consentire agli interessati di potersi identificare come proprietari dei soprabiti affidati alla sua custodia (i dati di loro proprietà).

E’ questa una ipotesi chiaramente eccentrica a quella che è alla base dell’art. 11, la quale ha invece la chiara finalità di sollevare il titolare, che non abbia bisogno degli identificativi dei dati che vuole trattare, dall’onere di adottare tecniche di pseudonimizzazione o di anonimizzazione.

Tuttavia anche questa ipotesi, ben lontana dai casi nei quali la previsione dell’art. 11 è finalizzata a consentire trattamenti che escludono ogni ri-identifcabilità dei dati proprio per perseguire finalità altrimenti non raggiungibili, potrebbe dimostrarsi di non poca utilità in molti casi.

Il che dimostra ancora una volta quando il GDPR sia ricco di potenzialità e di applicazioni adatte a favorire molteplici modalità di trattamento, confermando la sua grande flessibilità e apertura allo sviluppo dell’economia digitale e della libera circolazione dei dati.

L'articolo GDPR per la ricerca scientifica con big data: il senso dell’articolo 11 proviene da Agenda Digitale.

Videosorveglianza post Gdpr: norme, obblighi e sanzioni

Mer, 08/01/2018 - 10:53

Tra i vari temi che un’azienda deve valutare per allinearsi al GDPR vi è anche quello relativo ai sistemi di videosorveglianza.

Videosorveglianza privata, le regole

Innanzitutto, vediamo cosa è previsto per i sistemi di videosorveglianza ad uso privato.

Secondo un recente provvedimento del Garante per la Protezione dei Dati Personali (parere n. drep/ac/113990 del 7 marzo 2017) è possibile installare dei sistemi di videosorveglianza senza richiedere l’autorizzazione della polizia o del proprio condominio a condizione che le telecamere non riprendono spazi collettivi o luoghi di passaggio pubblico.

Se ad esempio il sistema di videosorveglianza è puntato sul pianerottolo di casa bisognerà fare attenzione a non riprendere l’abitazione dei vicini e la loro porta d’ingresso.

Se il circuito di videosorveglianza viene installato all’esterno bisognerà accertarsi che non sia puntato sulla strada o su altri spazi pubblici. Vale la pena di precisare che, nel concetto di videosorveglianza ad uso privato, rientrano anche i videocitofoni.

Nessuna questione, invece, sorge rispetto alla videosorveglianza interna alle proprie abitazioni.

Infine, qualora il sistema di videosorveglianza privato dovesse conservare le riprese effettuate, queste non potranno essere diffuse a terzi a meno di adeguarsi alle ulteriori regole stabilite in materia.

Il decalogo del Garante privacy

L’attività di videosorveglianza, in generale, può diventare estremamente invasiva e per questo motivo l’Autorità Garante per la Protezione dei Dati Personali ha emanato diversi provvedimenti generali atti a regolarizzarne l’utilizzo.

Un primo provvedimento risale al novembre 2000; in tale documento si era previsto un decalogo comportamentale del seguente tenore:

  • Tutti gli interessati devono determinare esattamente le finalità perseguite attraverso la videosorveglianza e verificarne la liceità in base alle norme vigenti. Se l’attività è svolta in presenza di un pericolo concreto o per la prevenzione di specifici reati, occorre rispettare le competenze che le leggi assegnano per tali fini solo a determinate amministrazioni pubbliche, prevedendo che alle informazioni raccolte possano accedere solo queste amministrazioni.
  • Il trattamento dei dati deve avvenire secondo correttezza e per scopi determinati, espliciti e legittimi.
  • Nei casi in cui la legge impone la notificazione al Garante dei trattamenti di dati personali effettuati da determinati soggetti (art. 7 legge 675/1996), questi devono indicare fra le modalità di trattamento anche la raccolta di informazioni mediante apparecchiature di videosorveglianza. Non è prevista alcuna altra forma di specifica comunicazione o richiesta di autorizzazione al Garante.
  • Si devono fornire alle persone che possono essere riprese indicazioni chiare, anche se sintetiche, che avvertano della presenza di impianti di videosorveglianza, fornendo anche le informazioni necessarie ai sensi dell’art. 10 della legge n. 675/1996. Ciò è tanto più necessario quando le apparecchiature non siano immediatamente visibili.
  • Occorre rispettare scrupolosamente il divieto di controllo a distanza dei lavoratori e le precise garanzie previste al riguardo (Tale principio è stato di recente modificato dalla circolare INL n. 5 del 19 febbraio 2018. Sul punto mi soffermerò in seguito).
  • Occorre rispettare i principi di pertinenza e di non eccedenza, raccogliendo solo i dati strettamente necessari per il raggiungimento delle finalità perseguite, registrando le sole immagini indispensabili, limitando l’angolo visuale delle riprese, evitando – quando non indispensabili – immagini dettagliate, ingrandite o dettagli non rilevanti, e stabilendo in modo conseguente la localizzazione delle telecamere e le modalità di ripresa.
  • Occorre determinare con precisione il periodo di eventuale conservazione delle immagini, prima della loro cancellazione, e prevedere la loro conservazione solo in relazione a illeciti che si siano verificati o a indagini delle autorità giudiziarie o di polizia.
  • Occorre designare per iscritto i soggetti – responsabili e incaricati del trattamento dei dati (artt. 8 e 19 della legge 675/1996) – che possono utilizzare gli impianti e prendere visione delle registrazioni, avendo cura che essi accedano ai soli dati personali strettamente necessari e vietando rigorosamente l’accesso di altri soggetti, salvo che si tratti di indagini giudiziarie o di polizia.
  • I dati raccolti per determinati fini (ad esempio, ragioni di sicurezza, tutela del patrimonio) non possono essere utilizzati per finalità diverse o ulteriori (ad esempio, pubblicità, analisi dei comportamenti di consumo), salvo le esigenze di polizia o di giustizia, e non possono essere diffusi o comunicati a terzi.
  • I particolari impianti per la rilevazione degli accessi dei veicoli ai centri storici e alle zone a traffico limitato devono essere conformi anche alle disposizioni contenute nel d.P.R. 250/1999. È altresì necessario che la relativa documentazione sia conservata per il solo periodo necessario per contestare le infrazioni e definire il relativo contenzioso e che ad essa si possa inoltre accedere solo a fini di indagine giudiziaria o di polizia.
Ulteriori requisiti a tutela dei diritti dei cittadini

Successivamente poi, il Garante ha emesso un provvedimento generale l’8 aprile 2010, a sostituzione di altro e precedente provvedimento adottato del 2004, con il quale sono stati fissati requisiti più stringenti per evitare che l’attività di videosorveglianza potesse minacciare i diritti dei cittadini.

La ratio di tale provvedimento è volta a contemperare le libertà dei cittadini, che devono poter frequentare luoghi pubblici senza subire eccessive limitazioni nella loro privacy, con le esigenze di sicurezza.

Innanzitutto, la videosorveglianza è consentita a condizione che siano rispettati alcuni principi:

  • La videosorveglianza deve essere lecita; è da considerarsi tale se è funzionale allo svolgimento delle funzioni istituzionali (per quanto concerne gli enti pubblici), se sono rispettati gli obblighi di legge sottesi (ad esempio, non deve essere in contrasto con quanto stabilito dall’art. 615 bis c.p. in tema di intercettazione di comunicazioni e conversazioni e, in ogni caso, deve essere predisposta nel rispetto dell’art. 11 del dlgs. 196/03), se gli interessi coinvolti sono correttamente bilanciati, oppure se vi è il consenso libero ed espresso da parte delle persone riprese dalle telecamere.
  • La videosorveglianza deve essere necessaria e proporzionata; non potrò utilizzare sistemi di videosorveglianza se il mio obbiettivo può essere raggiunto con modalità diverse. L’uso di telecamere è da considerarsi come misura ultima di controllo e cioè idonea soltanto quando altre misure meno invasive si siano rivelate insufficienti, ovvero inattuabili. In ogni caso, dovrò accertarmi che i dati personali raccolti con le riprese siano “pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati” (cfr. art. 11 dlgs. 196/03)
  • La videosorveglianza deve avere finalità chiare, prestabilite e legittime. Ad esempio, il Titolare del trattamento dei dati potrà predisporre sistemi di videosorveglianza solo per specifiche finalità di propria competenza (come il controllo della propria attività) che non potranno essere indicate in modo generico. A tal proposito, si rammenta che un sistema di videosorveglianza non può avere quale finalità unica la “sicurezza pubblica” trattandosi di finalità di esclusiva potestà dell’autorità giudiziaria ed amministrativa.
L’obbligo di informativa

Sono inoltre stabiliti specifici adempimenti applicabili a soggetti pubblici e privati.

Primo fra tutti l’obbligo di informativa: gli interessati devono essere sempre informati di stare per accedere in una zona videosorvegliata; ciò anche nei casi di eventi e in occasione di spettacoli pubblici (es. concerti, manifestazioni sportive). L’informativa può essere rilasciata mediante il modello semplificato di informativa “minima”, indicante il titolare del trattamento e la finalità perseguita. Il modello è ovviamente adattabile a varie circostanze. In presenza di più telecamere, in relazione alla vastità dell’area oggetto di rilevamento e alle modalità delle riprese, potranno essere installati più cartelli.

Il supporto con l’informativa:

  • deve essere collocato prima del raggio di azione della telecamera, anche nelle sue immediate vicinanze e non necessariamente a contatto con gli impianti;
  • deve avere un formato ed un posizionamento tale da essere chiaramente visibile in ogni condizione di illuminazione ambientale, anche quando il sistema di videosorveglianza sia eventualmente attivo in orario notturno;
  • può inglobare un simbolo o una stilizzazione di esplicita e immediata comprensione, eventualmente diversificati al fine di informare se le immagini sono solo visionate o anche registrate.

Il Garante ritiene auspicabile che l’informativa, resa in forma semplificata avvalendosi del predetto modello, poi rinvii a un testo completo contenente tutti gli elementi di cui all’art. 13, comma 1, del Codice Privacy (che sarà modificato con il decreto di recepimento del Regolamento Europeo n. 679/2016 sulla Protezione dei Dati, il Gdpr), disponibile agevolmente senza oneri per gli interessati, con modalità facilmente accessibili anche con strumenti informatici e telematici (in particolare, tramite siti Internet, affissioni in bacheche o locali, avvisi e cartelli agli sportelli per gli utenti, messaggi preregistrati disponibili digitando un numero telefonico gratuito).

Altri obblighi

In ogni caso il titolare, anche per il tramite di un incaricato, ove richiesto è tenuto a fornire anche oralmente un’informativa adeguata, contenente gli elementi individuati dall’art. 13 del Codice privacy.

La violazione delle disposizioni riguardanti l’informativa di cui all’art. 13 Codice privacy, consistente nella sua omissione o inidoneità (es. laddove non indichi comunque il titolare del trattamento, la finalità perseguita ed il collegamento con le forze di polizia), è punita con la sanzione amministrativa prevista dall’art. 161 del Codice medesimo.

L’obbligo di verifica preliminare

Altro obbligo stabilito nel Provvedimento Generale del Garante riguarda la “verifica preliminare”.

Vi è incertezza sulla possibilità che tale obbligo permanga; tuttavia, ad oggi, è ancora previsto che i trattamenti di dati personali nell’ambito di una attività di videosorveglianza debbano essere effettuati rispettando le misure e gli accorgimenti prescritti dal Garante come esito di una verifica preliminare attivata d’ufficio o a seguito di un interpello del titolare (art. 17 del Codice privacy), quando vi sono rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità degli interessati, in relazione alla natura dei dati o alle modalità di trattamento o agli effetti che può determinare.

Immagini associate a dati biometrici

In tali ipotesi devono ritenersi ricompresi i sistemi di raccolta delle immagini associate a dati biometrici. L’uso generalizzato e incontrollato di tale tipologia di dati può comportare, in considerazione della loro particolare natura, il concreto rischio del verificarsi di un pregiudizio rilevante per l’interessato, per cui si rende necessario prevenire eventuali utilizzi impropri, nonché possibili abusi.

Ad esempio, devono essere sottoposti alla verifica preliminare i sistemi di videosorveglianza dotati di software che permettano il riconoscimento della persona tramite collegamento o incrocio o confronto delle immagini rilevate (es. morfologia del volto) con altri specifici dati personali, in particolare con dati biometrici, o sulla base del confronto della relativa immagine con una campionatura di soggetti precostituita alla rilevazione medesima.

Sistemi intelligenti

Un analogo obbligo sussiste con riferimento a sistemi cosiddetti intelligenti, che non si limitano a riprendere e registrare le immagini, ma sono in grado di rilevare automaticamente comportamenti o eventi anomali, segnalarli, ed eventualmente registrarli. In linea di massima tali sistemi devono considerarsi eccedenti rispetto alla normale attività di videosorveglianza, in quanto possono determinare effetti particolarmente invasivi sulla sfera di autodeterminazione dell’interessato e, conseguentemente, sul suo comportamento. Il relativo utilizzo risulta comunque giustificato solo in casi particolari, tenendo conto delle finalità e del contesto in cui essi sono trattati, da verificare caso per caso sul piano della conformità ai principi di necessità, proporzionalità, finalità e correttezza (artt. 3 e 11 del Codice privacy).

Allungamento dei tempi di conservazione dei dati

Ulteriori casi in cui si rende necessario richiedere una verifica preliminare riguardano l’allungamento dei tempi di conservazione dei dati delle immagini registrate oltre il previsto termine massimo di sette giorni derivante da speciali esigenze di ulteriore conservazione, a meno che non derivi da una specifica richiesta dell’autorità giudiziaria o di polizia giudiziaria in relazione a un’attività investigativa in corso.

Comunque, anche fuori dalle predette ipotesi, in tutti i casi in cui i trattamenti effettuati tramite videosorveglianza hanno natura e caratteristiche tali per cui le misure e gli accorgimenti individuati nel presente provvedimento non sono integralmente applicabili, in relazione alla natura dei dati o alle modalità del trattamento o agli effetti che possono determinare, il titolare del trattamento è tenuto a richiedere la verifica preliminare al Garante.

Sanzioni per mancata o incompleta notifica al Garante

Resta inteso che nessuna approvazione implicita può desumersi dal semplice inoltro al Garante di documenti relativi a progetti di videosorveglianza (spesso generici e non valutabili a distanza) cui non segua un esplicito riscontro dell’Autorità, in quanto non si applica il principio del silenzio-assenso.

La mancata o incompleta notificazione al Garante ai sensi degli artt. 37 e 38 del Codice privacy è punita con la sanzione amministrativa prevista dall’art. 163 codice privacy.

Quanto alle misure di sicurezza da adottare, si precisa che i dati raccolti mediante sistemi di videosorveglianza devono essere protetti con idonee e preventive misure di sicurezza, riducendo al minimo i rischi di distruzione, di perdita, anche accidentale, di accesso non autorizzato, di trattamento non consentito o non conforme alle finalità della raccolta, anche in relazione alla trasmissione delle immagini (artt. 31 e ss. del Codice privacy).

Devono quindi essere adottate specifiche misure tecniche ed organizzative che consentano al titolare di verificare l’attività espletata da parte di chi accede alle immagini o controlla i sistemi di ripresa (se soggetto distinto dal titolare medesimo, nel caso in cui questo sia persona fisica).

Le misure di sicurezza minime

Le misure di sicurezza minime richieste del Garante devono essere rispettose dei seguenti principi:

  • in presenza di differenti competenze specificatamente attribuite ai singoli operatori devono essere configurati diversi livelli di visibilità e trattamento delle immagini. Laddove tecnicamente possibile, in base alle caratteristiche dei sistemi utilizzati, i predetti soggetti, designati incaricati o, eventualmente, responsabili del trattamento, devono essere in possesso di credenziali di autenticazione che permettano di effettuare, a seconda dei compiti attribuiti ad ognuno, unicamente le operazioni di propria competenza;
  • laddove i sistemi siano configurati per la registrazione e successiva conservazione delle immagini rilevate, deve essere altresì attentamente limitata la possibilità, per i soggetti abilitati, di visionare non solo in sincronia con la ripresa, ma anche in tempo differito, le immagini registrate e di effettuare sulle medesime operazioni di cancellazione o duplicazione;
  • per quanto riguarda il periodo di conservazione delle immagini devono essere predisposte misure tecniche od organizzative per la cancellazione, anche in forma automatica, delle registrazioni, allo scadere del termine previsto;
  • nel caso di interventi derivanti da esigenze di manutenzione, occorre adottare specifiche cautele; in particolare, i soggetti preposti alle predette operazioni possono accedere alle immagini solo se ciò si renda indispensabile al fine di effettuare eventuali verifiche tecniche ed in presenza dei soggetti dotati di credenziali di autenticazione abilitanti alla visione delle immagini;
  • qualora si utilizzino apparati di ripresa digitali connessi a reti informatiche, gli apparati medesimi devono essere protetti contro i rischi di accesso abusivo di cui all’art. 615-ter del codice penale;
  • la trasmissione tramite una rete pubblica di comunicazioni di immagini riprese da apparati di videosorveglianza deve essere effettuata previa applicazione di tecniche crittografiche che ne garantiscano la riservatezza; le stesse cautele sono richieste per la trasmissione di immagini da punti di ripresa dotati di connessioni wireless.

Inoltre, il titolare o il responsabile del Trattamento devono designare per iscritto tutte le persone fisiche, incaricate del trattamento, autorizzate sia ad accedere ai locali dove sono situate le postazioni di controllo, sia ad utilizzare gli impianti e, nei casi in cui sia indispensabile per gli scopi perseguiti, a visionare le immagini (art. 30 del Codice).

Infine, nei casi in cui sia stato scelto un sistema che preveda la conservazione delle immagini, in applicazione del principio di proporzionalità (v. art. 11, comma 1, lett. e), del Codice), anche l’eventuale conservazione temporanea dei dati deve essere commisurata al tempo necessario – e predeterminato – a raggiungere la finalità perseguita.

Regole per videosorveglianza a tutela della sicurezza urbana

Per i comuni e nelle sole ipotesi in cui l’attività di videosorveglianza sia finalizzata alla tutela della sicurezza urbana, il termine massimo di durata della conservazione dei dati è limitato “ai sette giorni successivi alla rilevazione delle informazioni e delle immagini raccolte mediante l’uso di sistemi di videosorveglianza, fatte salve speciali esigenze di ulteriore conservazione”.

In tutti i casi in cui si voglia procedere a un allungamento dei tempi di conservazione per un periodo superiore alla settimana, una richiesta in tal senso deve essere sottoposta ad una verifica preliminare del Garante.

Deve anche essere assicurato agli interessati identificabili l’effettivo esercizio dei propri diritti in conformità al Codice, in particolare quello di accedere ai dati che li riguardano, di verificare le finalità, le modalità e la logica del trattamento (art. 7 del Codice).

Il mancato rispetto di quanto previsto comporta l’applicazione di sanzioni amministrative.

L'articolo Videosorveglianza post Gdpr: norme, obblighi e sanzioni proviene da Agenda Digitale.

Sicurezza nell’Internet of Things, falsi miti e vere soluzioni

Mer, 08/01/2018 - 08:30

La sicurezza dell’Internet of Things è un tema molto discusso, e il discorso sulla sicurezza dell’Internet of Things ruota invariabilmente intorno al solito problema: l’IoT è insicura perché i sistemi in questione non vengono aggiornati in tempo – quando vengono aggiornati… – come i sistemi informatici tradizionali, e quindi restano vulnerabili. Da cui segue, tipicamente, la richiesta di legiferare in materia. Approccio sbagliato, però.

Sicurezza dell’Internet of things, la tesi da smontare

Ci vuole una voce scomoda e tipicamente contrarian come quella di Robert Graham, fondatore e proprietario di Errata Security, una società di Atlanta, Georgia, che si occupa di sicurezza informatica dal punto di vista “offensivo”, per provare a smontare quella tesi.

Secondo Graham, il problema di fenomeni come la botnet Mirai, utilizzata soprattutto per attacchi di Denial of Service distribuiti, non starebbe tanto nella mancanza di patch per correggere vulnerabilità nei dispositivi IoT (in questo caso, telecamere di sorveglianza) ma nel fatto che tali telecamere di sorveglianza devono, per definizione, essere esposte alla rete pubblica (per poter sorvegliare…): se quindi gli utenti non modificano la password di default per l’accesso e l’amministrazione delle telecamere, ogni eventuale vulnerabilità sfruttata diventa un problema secondario. E soprattutto il mercato è stato molto rapido a limitare la superficie di attacco disponibile mettendo in vendita videocamere per le quali le modalità di accesso dalla rete pubblica sono diverse: senza patch, dal momento che possiamo comprare una nuova telecamere, dritto dritto da Shenzen, Cina, ad una trentina di euro.

Il concetto di patching applicato all’IoT

Facciamoci due conti: se la ditta cinese che produce le telecamere a prezzi stracciati dovesse metter su il customer service per allertare gli utenti e preparare le patch, potrebbe ancora praticare quei prezzi? È piú facile mantenere i prezzi bassi e mettere in vendita nuove telecamere.

Ma il concetto stesso di patching applicato all’IoT potrebbe essere addirittura controproducente, sostiene Graham (e secondo me non ha tutti i torti): se una classe di sistemi IoT è vulnerabile e porta ad attacchi come Mirai – che vengono mitigati in tempi relativamente rapidi senza grossi danni – cosa succede se, in uno scenario di patching effettuato direttamente del vendor su sistemi IoT, un attaccante penetra l’infrastruttura di patching del vendor e invia il malware direttamente sui sistemi come se fosse un regolare aggiornamento? Si tratta di una cosa che peraltro è già successa – v. la vicenda del malware NotPetya (sul sito di Brian Krebs potete trovare diversi post su Mirai e questo articolo di Ellen Nakashima del Washington Post può essere una prima introduzione alla vicenda NotPetya).

L’uso di Nat, firewall e Ipv6 per mitigare i rischi

Infine, negli scenari futuri si parla di decine, centinaia di miliardi di oggetti IoT connessi in rete. I protocolli tradizionali di Internet (IPv4) non consentono tali numeri, e quindi o vi sarà un uso massiccio di NAT (Network Address Translation, già ampiamente in uso oggi) o finalmente il protocollo di prossima generazione (IPv6) diventerà universale: scenario assai probabile se il vostro frigorifero si collegherà ad internet via una rete 5G piuttosto che WiFi, senza quindi impattare sulla rete locale domestica. Sia l’uso del NAT che quello di IPv6 mitigano larga parte dei possibili attacchi ai sistemi IoT. Non parliamo poi dell’eventuale passaggio a idee e protocolli totalmente diversi (RINA, Recursive InterNetwork Architecture: spiegone di 280 slides).

Il modo migliore per rendere sicuro il mondo IoT, sostiene Graham e mi pare difficile dargli torto, consiste in una serie di pratiche gestionali che dovrebbero diventare routine: utilizzo di firewall per permettere solo connessioni valide (ed il NAT aiuta in questo caso), e separazione delle reti utilizzate per IoT dalle altre: tutte cose che può fare l’utente senza introdurre vincoli per i vendor. I soldi pubblici sono meglio spesi per educare gli utenti alla privacy e alla sicurezza.

A proposito, chi volesse vedere un po’ di oggetti IoT del prossimo futuro, può fare un salto nel reparto elettrodomestici di un qualsiasi grande centro commerciale: quasi la metà delle lavatrici in vendita si collegano alla rete domestica via WiFi, ed una buona parte delle altre utilizzano NFC per avere un qualche “colloquio” con la rete tramite uno smartphone. I frigoriferi wired sono meno comuni, ed in genere occupano solo la fascia molto high end del mercato, e si tratta di frigoriferi con touchscreen giganti sul frontale con su Android ed app come Giallo Zafferano per le ricette e Spotify per sentire la musica in cucina.

L'articolo Sicurezza nell’Internet of Things, falsi miti e vere soluzioni proviene da Agenda Digitale.

Rapetto: “Basta chiacchiere sulla cyber security, ecco l’approccio maturo necessario”

Mar, 07/31/2018 - 11:08

Il problema della cyber security dalle nostre parti è sempre stato affrontato con la leggerezza tipica dei cocktail, delle chiacchiere tra una tartina e un calice di prosecco, del mero “pourparler”.

Le ragioni dell’approccio “soft” alla questione sono facilmente identificabili: la ridotta coscienza della tragicità dell’argomento, l’infima conoscenza della poliedricità della questione (che ha ingredienti sociali, tecnologici, giuridici, politici, militari…), l’erronea convinzione che la miglior arma sia PowerPoint, l’insaziabile voglia di esibirsi in tanto frequenti quanto inutili convegni e workshop in cui ripetere sempre le stesse inconcludenti cose.

La situazione – a mutuare Ennio Flaiano – “è grave ma non è seria”.

In preda ad un raptus di citazioni, verrebbe la tentazione di rammentare il “l’è tutto da rifare” di Gino Bartali. Qualcosa di buono o, ad esser più precisi e meno generosi, qualcosa con buona volontà è stato fatto. E così l’incipit lo rubo a Massimo Troisi e scelgo “Ricomincio da tre” e la premessa che l’artista napoletano fece nel suo capolavoro cinematografico.

Nuovo zar della cyber security?

Questa mia chiacchierata con voi prende spunto da una sollecitazione diretta, la telefonata con cui un mio conoscente si complimentava con me per un incarico tanto prestigioso quanto inesistente. Immaginandomi prossimo ad assumere un ruolo istituzionale di rilievo in tema di difesa cibernetica del Paese, voleva chiedermi di scrivere qualcosa in proposito. Un po’ imbarazzato dalla mia dichiarazione di totale estraneità (forse interpretata come la reticenza del vincitore della Lotteria di Capodanno incalzato da uno 007 del fisco) mi ha comunque ispirato qualche riga sul tema. E così, eccomi qui. In piedi su una soap box virtuale, la voce trasformata nel ticchettio del mio inseparabile pc.

Una vita per la cyber

Già, perché quando eero piccolo chi aveva da dire qualcosa poteva approfittare dello “Speakers’ Corner” di Hyde Park. Bastava salire su una cassetta del sapone (o in tempi più recenti su uno sgabello o una scaletta) e arringare i presenti, calamitando l’attenzione di curiosi abituali, passanti casuali, perditempo occasionali.

Adesso non c’è bisogno di arrivare in quell’angolo di verde londinese: il web offre un’opportunità anche ai più pigri desiderosi di far sentire la propria voce e coscienti di incrociare lo stesso imbolsito pubblico che un tempo passeggiava nei pressi del trionfale Marble Arch.

Ho cominciato ad occuparmi a tempo pieno di crimine informatico nel 1988, nascondendomi nella stiva dei vascelli pirati che solcavano gli oceani telematici prima che la bacinella del web portasse a casa di tutti il gusto di mettere i piedi a bagno nell’universo digitale. Nel 1990 i primi due libri (“Il tuo computer è nel mirino” e “Criminalità informatica ed economica”) mi hanno permesso di cristallizzare tematiche che al tempo suscitavano solo paziente sopportazione nei miei interlocutori, increduli di quel che raccontavo con passione e forse un briciolo di sudata competenza. La responsabilità dell’Infocenter al Comando Generale GdF, le indagini hi-tech al Nucleo Speciale di Polizia Valutaria nell’era di Tangentopoli, l’esperienza nello staff di Gianni Billia (storico fautore ed attore della P.A. digitale), quasi dieci anni all’Autorità per l’Informatica nella Pubblica Amministrazione a dirigere il Progetto Intersettoriale per la sicurezza dei sistemi e delle reti pubbliche. Nonostante tre lauree distanti da quelle cose mi sono ritrovato cibernetico per destino, se non per vocazione.

Nel 1996 scrivo “Cyberwar, la guerra dell’informazione” con la prefazione di un “grande sacerdote” e di un laico. Il primo era Alberto Ficuciello, all’epoca comandante della Scuola di Guerra presso la quale insegnavo “Information Warfare”. Il secondo era Beppe Grillo che, nel pieno della sua fase iconoclasta, prendeva a martellate i computer sul palcoscenico ma si avvicinava a capire che quelle macchine infernali avrebbero cambiato la politica e, soprattutto, il nostro modo di essere e vivere.

Dal 2001 al 2012 ho comandato prima il GAT, il Gruppo Anticrimine Tecnologico poi divenuto Nucleo Speciale Frodi Telematiche, collezionando – grazie ad una squadra fantastica – una serie di invidiabili successi tra cui la cattura e la condanna degli hacker che avevano violato Pentagono e NASA, nonché il recupero dei dati di navigazione della Costa Concordia che hanno contribuito alla condanna definitiva di Schettino.

Un anno e mezzo a fianco di Franco Bernabè, prima come suo consigliere strategico e poi come Group Senior Vice President in Telecom Italia, ha completato la mia formazione professionale.

Qualcosa ho fatto, vissuto e visto e non solo sentito dire, insomma.

Come fare la vera cyber security italiana

Non so quali siano le tre cose buone da cui ripartire, credo che le esperienze maturate non vadano certo cestinate, ma reputo ineludibile allargare la visuale quasi si disponesse di un magico grandangolo che non distorca i contorni del contesto.  

In primo luogo vanno individuate ed attribuite le competenze. Se è indispensabile il contributo di tanti, le responsabilità vanno accentrate evitando organi collegiali, comitati interministeriali, commissioni onnicomprensive.

Il casting di chi deve recitare ha contemplato anche attori rubati da palcoscenici estranei, calamitati dal fenomeno di moda e ingolositi dalla disponibilità di stanziamenti finanziari che non lasciano indifferenti né la committenza né la platea dei fornitori.

Si parla di difesa cibernetica. Difesa, ecco la parola magica. E, a cercare un sinonimo, vien da scrivere Protezione.

I due termini non si abbinano né alle attività di intelligence, né a quelle investigative della polizia giudiziaria. A dispetto dell’elementarità di questa planare considerazione, nel nostro Paese i protagonisti sono proprio quelli cui la logica non assegnerebbe alcuna priorità.

I Servizi Segreti che – giuro – ero convinto esser chiamati a fare ben altre cose sono divenuti il crocevia della cyber security. La Polizia di Stato, nata – così pensavo – per assicurare alla giustizia banditi di ogni sorta, è nel frattempo assurta al ruolo di scudo blindato delle infrastrutture critiche.

Nessuno nega che in qualunque Sistema Paese simili articolazioni debbano essere preparate su quel fronte: qualunque organizzazione deve essere “combat ready”, ma questo non significa che la cloche debba essere nelle mani di chi siede nelle comode poltrone della Business Class o di chi (comunque bravissimo) si è accomodato in sesta fila lato finestrino.

Ognuno deve fare il proprio mestiere. Chi è così versatile da poter assumere il comando è tenuto a sistemarsi nel cockpit, a ricevere i poteri commisurati alla missione affidatagli, a distribuire i compiti alle componenti strutturali che presidiano i diversi settori, a prendersi (nel bene e nel male) le responsabilità del proprio operato.

Difesa, abbiamo detto. E forse ci piace ancor più “protezione” perché il termine prescinde dalla sussistenza di una condizione bellica, forse perché nel gergo popolare è accompagnato dall’aggettivo “civile”, fors’anche perché ingenera un immaginario senso di accudimento che prescinde da qualsivoglia forma di aggressione.

A doversi occupare di queste cose non devono essere i James Bond nostrani oppure futuribili sbirri dall’invidiabile fiuto, ma un organismo pubblico che va ad affiancare le Forze Armate (cui compete la Difesa), le Forze di Polizia (cui spetta far rispettare le leggi e l’ordine pubblico), le altre entità di tutela pubblica (come Protezione Civile o Vigili del Fuoco cui tocca intervenire in caso di emergenze di propria competenza). Occorre una realtà indipendente (ma al contempo perfettamente raccordata con chi è già in campo) in grado di selezionare le risorse (umane, tecnologiche, logistiche, finanziarie) di cui ha effettivamente bisogno e soprattutto capace di porre fine a quella sequela di piccole gelosie che è stata sedata dando a tutti un osso da rosicchiare.

Il Signore ci eviti l’umiliazione di un crash tecnologico e del conseguente caos sociale che potrebbe seguire da un attacco informatico alle infrastrutture critiche che sono la spina dorsale dell’erogazione dei servizi essenziali (energia, telecomunicazioni, trasporti, sanità, finanza). Se mai dovesse accadere, si sarebbe costretti ad ammettere che le tante roboanti esercitazioni (in cui – tra un croissant e un bignè – si sono simulate le guerre del futuro) sono state soltanto un gioco per far parlare i telegiornali e per scambiarsi l’immancabile tripudio di complimenti reciproci.

Ho cominciato a vedere queste farsesche finzioni nel 1975 da allievo alla Scuola Militare Nunziatella. A sedici anni mi stupivo nel leggere negli occhi dei miei ufficiali la soddisfazione nel vedere una patetica recita sviluppata secondo un copione scritto male ed interpretato peggio. Mutatis mutandis, le cyber-esercitazioni sono la stessa cosa.

Gli anglofili conoscono la differenza tra war e warfare, mentre dalle nostre parti pochi sanno che la belligeranza è la silente condizione di pace apparente. L’information warfare è caratterizzata dall’immanenza di un conflitto invisibile giocato sull’uso dell’informazione come arma e sull’individuazione dell’informazione come bersaglio. Ci si accorge – a questo punto – che non solo gli attacchi ai sistemi informatici ma anche le apparentemente banali “fake news” sono un atto di guerra.

E allora, mentre i fondi destinati alla “cyber” fortunatamente non vengono sperperati (con profondo dolore di chi ci aveva messo gli occhi), viene da chiedersi da che parte cominciare.

Fin troppo semplice.

Una vaccinazione culturale di massa

La prima mossa sullo scacchiere deve essere un’opera di vaccinazione culturale. Bisogna debellare il virus dell’ignoranza, l’endemica carenza di sapere, la micidiale contaminazione del far credere di conoscere quel che invece è ignoto o travisato. L’analfabetismo è il nemico da abbattere: la classe politica deve farsi somministrare gli elementi conoscitivi davvero necessari, rifuggendo dalle nozioni da “Strano ma vero” della Settimana Enigmistica o da quel che racconta il finto esperto tanto gradito al conduttore di questo o quel talk show. Serve, e c’è sempre meno tempo, un’azione di sensibilizzazione che deve contagiare positivamente il management pubblico e privato, per poi “infettare” collaboratori e dipendenti, e infine “appestare” l’intera popolazione.

Se avessi soldi da spendere, li sperpererei in questo modo. “Estote parati” si diceva ai tempi dell’antica Roma. Inutile comprare strumenti, software e altre diavolerie se manca la capacità di servirsene davvero. Inutile comprare dotazioni che arrivano da chissà quale Paese straniero e che chissà che cosa fanno all’insaputa di chi se ne avvale. Inutile pensare che le macchine possano sostituirsi agli esseri umani, dimenticando che una semplice sbadataggine o leggerezza vanifica l’efficacia dei più sofisticati dispositivi di ultimissima generazione.

Inutile forse anche scrivere queste cose. Ma a volte la propria coscienza impone di farlo.

L'articolo Rapetto: “Basta chiacchiere sulla cyber security, ecco l’approccio maturo necessario” proviene da Agenda Digitale.

Energy cybersecurity: rischi e opportunità della generazione distribuita

Mar, 07/31/2018 - 08:30

Le imprese più grandi presenti ai vari stadi della filiera elettrica – un comparto in cui il digitale svolge un ruolo sempre più importante – sono consapevoli dei rischi cyber e stanno già investendo in quest’area, sviluppando sistemi di governance della cybersecurity adeguati. Di contro, i piccoli operatori dimostrano invece una sensibilità estremamente limitata. Una discrasia che, unita al fatto che fatto che tali operatori non sono al momento soggetti agli obblighi normativi cui invece devono sottostare i grandi player della trasmissione e distribuzione, apre scenari preoccupanti. Quest’anno, per esempio, gli hacker russi sponsorizzati dal Cremlino hanno preso d’attacco le energy grid americane, come descritto in un recente rapporto del Department of Homeland Security americano.

Digitalizzazione, rischi e opportunità nel settore energetico

La digitalizzazione è un fenomeno pervasivo e inarrestabile che sta modificando in modo “epocale” interi settori economici, generando processi di innovazione più o meno radicale di processi e prodotti, abilitando nuove funzionalità e servizi, dando luogo a nuovi business model e nuovi scenari competitivi.

E come sempre accade nel caso di cambiamenti del contesto, la digitalizzazione crea opportunità, ma anche rischi. Tra questi ultimi vi sono quelli derivanti dalle minacce che arrivano dal cyberspazio, ovvero dal dominio virtuale costituito da tutti i device, gli apparati e le reti ICT.

Questo vale anche per il settore energetico. La filiera elettrica, in particolare, è caratterizzata da processi innovativi estremamente rilevanti, in buona parte derivanti dall’introduzione di tecnologie digitali per la gestione delle diverse attività ai vari stadi della filiera (dalla produzione alla trasmissione, alla distribuzione, al consumo): si pensi al telecontrollo e al telemonitoraggio, all’ottimizzazione dei cicli di produzione dell’energia, alle smart grid, ai modelli di predictive maintenance resi possibili dall’analisi di grandi moli di dati (grazie anche all’artificial intelligence), all’ottimizzazione dei consumi energetici (per gli end-user).

Tutto ciò ha però comportato una crescente connessione in rete (informatica) di impianti e apparati di rete (elettrica), ovvero di centrali di produzione, impianti fotovoltaici ed eolici, cabine di trasformazione, infrastrutture di trasmissione, il che li ha inevitabilmente, e improvvisamente, esposti a minacce finora sconosciute, evidenziandone le vulnerabilità. Non di rado, infatti, il funzionamento degli impianti e degli apparati di rete si basa su sistemi operativi e protocolli di comunicazione abbastanza “datati”, che garantiscono grande affidabilità in ambiente “isolato” e protetto, ma che diventano facilmente “aggredibili”, una volta messi in contatto col mondo esterno.

Si aggiungano poi altri importanti cambiamenti strutturali, che riguardano in particolare la fase di generazione, quali la diffusione delle fonti rinnovabili e, in più in generale, l’affermazione del modello di generazione distribuita.

La potenza installata da fonti rinnovabili ha infatti raggiunto nel 2017 in Italia i 53 GW, contribuendo a coprire il 36,2% della produzione annua, per un valore pari a 103,4 TWh. In base alle previsioni contenute nel documento che illustra la Strategia Elettrica Nazionale, tale percentuale dovrebbe salire al 60% entro il 2030, toccando i 184 TWh. La diffusione degli impianti di generazione da fonti rinnovabili comporta l’ingresso di numerosi nuovi operatori, molti dei quali con scarsa o nulla esperienza nel settore, e, conseguentemente, una ridotta consapevolezza dei rischi di natura cibernetica. Due fattori – l’incremento della cosiddetta “superficie d’attacco”, ovvero del numero di soggetti “target”, unitamente allo scarso livello di “preparazione” di tali soggetti – che potrebbero combinarsi in modo decisamente pericoloso. A questo si associa il fenomeno dei “prosumer”, ovvero delle imprese (manifatturiere, di servizi) e dei consumatori che si trasformano anche in produttori di energia, installando impianti anch’essi a fonte rinnovabile, nella stragrande maggioranza dei casi fotovoltaici. Tali operatori, pur se di dimensione molto minore rispetto ai “pure players” della generazione, sono collegati in rete e quindi possono essere causa di instabilità, soprattutto nel caso di attacchi “diffusi”.

Sicurezza, perché l’Osservatorio sull’energy cybersecurity

Ne deriva quindi la necessità per le imprese di adottare opportune contromisure di natura tecnologica e organizzativa, e, più in generale, di dotarsi di un adeguato sistema di governance della cybersecurity pure in ambito industriale. Anche perché nel caso di attacchi cyber agli apparati di rete i rischi possono essere ben più elevati, in quanto si può giungere alla temporanea indisponibilità dei servizi di una delle infrastrutture critiche del Paese, se non addirittura al danneggiamento fisico degli apparati stessi, con conseguenze potenzialmente drammatiche (soprattutto in caso di attacchi legati a cyber warfare, cioè ad opera di altre nazioni).

Si pensi a quanto accaduto in Ucraina nel dicembre 2015, quando un attacco di natura cibernetica portò al blocco di un consistente numero di sottostazioni della rete di tre società di distribuzione, con conseguente black-out che lasciò senza energia elettrica più di 230.000 utenti per un periodo variabile dall’una alle sei ore.

Da qui la decisione di attivare un Osservatorio sull’energy cybersecurity focalizzato sulla sicurezza industriale. Nel primo report, in particolare, abbiamo analizzato i rischi e i potenziali impatti per le imprese operanti nella filiera elettrica, abbiamo esaminato il contesto normativo e abbiamo passato in rassegna le soluzioni adottabili dalle imprese, con particolare riferimento all’evoluzione degli standard di riferimento.

Rischi cyber e potenziali impatti per le imprese elettriche

Riguardo al primo punto, oltre ad analizzare i potenziali impatti, operativi ed economici, per i vari operatori ai diversi stadi della filiera, abbiamo realizzato anche delle simulazioni per verificare il rischio «di sistema», ovvero la possibilità di mettere in crisi la stabilità della rete elettrica nazionale o comunque di costringere a sostenere extra-costi significativi per il ribilanciamento tra domanda e offerta. In particolare gli approfondimenti hanno riguardato i costi derivanti da attacchi ripetuti e distribuiti tali da compromettere temporaneamente il funzionamento degli impianti, con conseguente necessità da parte di Terna di ribilanciare la rete facendo ricorso al Mercato dei Servizi di Dispacciamento, e il rischio di black-out per l’improvviso calo di potenza generata da impianti a fonte rinnovabile a causa di un incidente di natura cyber in un momento di picco di domanda (ovvero nelle ore di punta di un giorno feriale estivo con alte temperature).

I risultati delle simulazioni evidenziano che gli extra-costi generati dal ricorso più frequente al MSD sono tutto sommato abbastanza contenuti nei vari scenari ipotizzati. Nel caso di attacchi che portino a una riduzione del 50% della potenza erogata per il 10% delle ore medie annue di funzionamento, tali costi sono stati stimati in circa 264 milioni di euro. Un valore nel complesso non troppo elevato, ma che potrebbe salire vertiginosamente con l’aumento del numero di impianti a fonte rinnovabile.

Attacchi cyber alla rete e rischio black-out

Con riferimento invece al rischio di black-out, assumendo come riferimento le ore 12 del 21 Luglio 2017 (uno dei giorni di picco massimo di domanda nel corso dello scorso anno, in base ai dati di Terna), per ottenere una riduzione improvvisa della potenza pari almeno a 3 GW (soglia oltre la quale aumenta notevolmente il rischio di instabilità della rete) sarebbe dovuta venir meno contemporaneamente il 12,7% della potenza generata dagli impianti eolici e fotovoltaici. Un valore non così elevato, soprattutto tenendo presente che la percentuale di energia derivante da fonti innovabili, e quindi la numerosità degli impianti, è destinata a crescere significativamente nel prossimo futuro.

L’ultima parte del report è focalizzata sugli end-user industriali e si prefigge di misurare attraverso una survey il livello di consapevolezza sui rischi OT (cioè legati all’operation technology) derivanti dalla crescente digitalizzazione. In questo ambito, si è voluto valutare anche la sensibilità nei confronti dei rischi di natura cyber delle imprese del campione classificabili come prosumer, che quindi ricoprono il duplice ruolo di generatori e consumatori di energia. Ebbene, solo il 6% di esse ritiene che l’operatività di questi impianti possa essere compromessa da attacchi cibernetici, mentre il 35% pensa che gli strumenti di sicurezza inseriti dai fornitori siano sufficienti a garantirne la copertura. Tale percezione, unita al numero ancora ridotto di casi di attacchi volti a boicottare l’operatività degli impianti di generazione distribuita, almeno stando ai dati pubblici, fa sì che le aziende per ora orientino le scelte di investimento in altre direzioni.

Cybersecurity, i rischi legati al mercato prosumer

I risultati dello studio evidenziano che se da un lato le imprese più grandi presenti ai vari stadi della filiera sono consapevoli dei rischi – tant’è che stanno già investendo in quest’area, stanno sviluppando sistemi di governance della cybersecurity adeguati e sono spesso direttamente coinvolte nei vari tavoli di lavoro nazionali e internazionali – i piccoli operatori (che, come abbiamo visto, rivestono un’importanza crescente e saranno “decisivi” in futuro) dimostrano invece una sensibilità estremamente limitata.

Uno scenario preoccupante, anche alla luce del fatto che tali operatori non sono al momento soggetti agli obblighi normativi cui invece devono sottostare i grandi player della trasmissione e distribuzione. Inoltre, appare critico il ruolo dei fornitori di apparati e sistemi nel garantire un adeguato livello di sicurezza delle infrastrutture di rete. Fondamentale, da questo punto di vista, lo sviluppo e la diffusione di standard di prodotto, anche in vista di un’eventuale certificazione obbligatoria su cui non c’è al momento piena convergenza.

L'articolo Energy cybersecurity: rischi e opportunità della generazione distribuita proviene da Agenda Digitale.

Principio di accountability nel Gdpr, significato e applicazione

Mar, 07/31/2018 - 08:22

Nella versione in lingua inglese del GDPR (articolo 5 comma 2 ) si rinviene il principio di “accountability” come criterio guida del Regolamento per la protezione dei dati personali, entrato in vigore nell’area Ue lo scorso 25 maggio. In italiano è stato tradotto con il termine “responsabilizzazione” ma il concetto non è chiaramente interpretabile solo come “responsabilità”. Sarebbe molto limitativo e non pienamente conforme all’approccio voluto invece dal legislatore.

Significato e declinazioni del termine “accountability”

Il termine inglese “accountability” (responsabilità) proviene dal mondo anglosassone, dove è di uso comune e viene utilizzato nel mondo della finanza, della revisione dei conti e in altri settori specifici. Non vi è dubbio che risulta complesso definire che cosa esattamente significhi “accountability” in pratica. Sono diverse le declinazioni di questo termine nei vari ambiti. Nella maggior parte delle altre lingue europee, principalmente a causa delle differenze tra i sistemi giuridici, il termine “accountability” non è facilmente traducibile. Da un punto di vista lessicale il termine in questione è una parola composta. Il verbo to account è traducibile in italiano come “dar conto”. Il sostantivo “ability” significa “essere in grado di” o “avere attitudine a”. Il problema è che il termine è vago (anche Responsabilizzazione lo è) per capire cosa significa bisogna intendersi bene. Lo si potrebbe tradurre con “rendicontabilità” ma anche su questo termine potrebbero sorgere ipotesi e teorie interpretative.

Di conseguenza, il rischio di un’interpretazione variabile del termine, e quindi di una mancanza di armonizzazione, è sostanziale. Altri termini che sono stati suggeriti per rendere il senso di “accountability” sono:

  • “reinforced responsibility” (responsabilità rafforzata),
  • “assurance” (assicurazione),
  • “reliability” (affidabilità),
  • “trustworthiness” (attendibilità)
  • in francese, “obligation de rendre des comptes” (obbligo di rendere conto).
Le differenze tra accountability e responsability

Non vi è dubbio però che nell’ambito della tutela e protezione dei dati personali il concetto di accountability assume un ruolo fondamentale, la chiave di lettura e di interpretazione sul giusto comportamento che il titolare del trattamento deve adottare da adottare davanti ad un quesito, ad un problema, al dubbio sul corretto processo organizzativo o tecnico alla base di un trattamento dei dati.

Nella letteratura in lingua inglese sulla misurazione e sulla gestione della performance i due termini Responsabilità e Accountability non sono esattamente equivalenti.
Il concetto di “responsibility” è legata al dover agire. 
Il concetto di “accountability” è legato al rendere conto dell’azione fatta o fatta fare, al rispondere e al rendere conto dei risultati ottenuti, delle cose fatte (fatte bene e fatte male).
In italiano entrambi vengono tradotti con un unico termine: “responsabilità” in quanto “accountability” non ha un termine diretto equivalente nella nostra lingua. Lo stesso avviene per i due aggettivi collegati: “responsible” ed “accountable” che sono tradotti entrambi con il termine “responsabile”.
Personalmente mi piace tenere distinti i due concetti e quindi mantenere in italiano il termine inglese “accountability” senza tradurlo.

L’accountability nell’economia delle PA

Deve essere sottolineato[1] che l’accountability ha assunto un ruolo centrale anche nell’economia delle amministrazioni pubbliche. Il problema dell’accountability, e del “rendere conto” delle scelte operate, si pone ogni volta che si utilizzano risorse “non proprie” per svolgere determinate attività. Pensiamo, per esempio, ai soldi pubblici. Nonostante la centralità dell’accountability, questo tema non è stato ancora studiato a sufficienza sotto il profilo teorico e pratico; essa è al centro degli studi e delle strategie di riforma del management pubblico a livello internazionale e oggi, nella maggior parte dei Paesi, si stanno sviluppando dei sistemi di accountability orientati ad una logica di performance. Un’analisi compiuta da soggetti qualificati ha consentito di giungere ad una conclusione che accomuna le esperienze di ben 97 paesi: le nuove forme di accountability contribuiscono a migliorare l’efficacia e l’efficienza delle amministrazioni pubbliche. Non vi è dubbio che lo scopo del GDPR con l’accountability è lo stesso rispetto alla protezione dei dati: porre l’accountability come “un faro nella notte” al fine di fornire la chiave di lettura rispetto a certe situazioni di criticità.

Accountability: responsabilità e verificabilità

Perché non basta tradurre accountability con responsabilità e/o responsabilizzazione?

Perché il termine è più vicino al concetto di Rendicontazione di cui la “responsabilizzazione” è solo uno degli aspetti. Il punto fondamentale del concetto di accountability è in realtà posto sulla dimostrazione di come viene esercitata la responsabilità e sulla sua verificabilità. La responsabilità e l’obbligo di rendere conto sono due facce della stessa medaglia ed entrambe sono elementi essenziali di una buona governance e di un buon modo di rispondere ai problemi che derivano dal trattamento dei dati. Solo quando si dimostra (ovvero si è in grado di rendicontare) “come” e “in che modo” si è provveduto a gestire quel problema il concetto di “responsabilizzazione” e della conseguente “Responsabilità” funziona effettivamente ed in concreto.

Si potrebbe dire che per “accountability” ci si deve riferire piuttosto ad un atteggiamento proattivo ovvero a saper anticipare e agire in anticipo per far fronte ad un’azione futura e saperlo rendicontare.

Accountability, la chiave è l’approccio proattivo

L’approccio proattivo è forse il modo migliore di risolvere il tema dell’“essere Accountable” richiesto dalla norme regolamentari. Già nel Parere del Gruppo dei 29 (3/2010 – WP 173) sul principio di responsabilità adottato il 13 luglio 2010 si parlava di accountability nell’ambito della terminologia utilizzata per declinare il principio della responsabilità nel settore della protezione dei dati. Essere proattivi è in fondo lo stesso atteggiamento che un’altra norma già presente nel DLgs n. 196/2003 richiedeva e imponeva con l’art. 15 e che oggi, nel regolamento sembra essere presente nell’art. 5: l’aver fatto e il poter dimostrare di aver fatto tutto il possibile per evitare il danno. Essere proattivi è il necessario atteggiamento da adottare per non rispondere in futuro di un danno derivante da trattamento dei dati personali attraverso la dimostrazione (inversione dell’onere della prova) di aver fatto tutto il possibile per evitarlo. Tale atteggiamento è richiesto al titolare del trattamento dei dati dalle norme regolamentari (es: data breach, misure adeguate di sicurezza) proprio nella fase privacy by design. Anche nelle successive fasi dell’analisi dei rischi, quando il danno è solo un ipotesi da prevedere, occorre anche in questa fase saper agire in anticipo per far fronte ad una situazione futura anche solo possibile, ipotetica, probabile. Significa avere il controllo e far accadere le cose piuttosto che adattarsi a una situazione o attendere che qualcosa accada per poi porvi rimedio.

Dimostrare l’efficacia delle misure adottate

Responsabilizzarsi non è certamente l’aver adempiuto soltanto agli obblighi di legge. Vuol dire avere un atteggiamento proattivo che non si esaurisce nel semplice adempimento normativo (conformità delle attività di trattamento con il regolamento come reca il considerando 74) e nel dare prova solo di questo adempimento ma ad esempio, come richiamato dalla norma del considerando 74, anche “dimostrare l’efficacia delle misure”, rendicontare come si è proceduto e con quali metodologie a definire le misure di sicurezza. Anche in caso di violazione tale atteggiamento, se correttamente rendicontato, può determinare ex art. 83 del GDPR da parte dell’Autorità di controllo nel calcolo e nella dosimetria della sanzione eventualmente da applicare, una condizione di favore in capo al titolare che ha saputo attenuare i rischi fino ad un certo limite (qui poi entra in gioco il superamento del limite stesso e l’eventuale punibilità) e l’ha saputo dimostrare.

Accountability, trasparenza e compliance

Sull’Enciclopedia Treccani, il termine Accountability è definito come Responsabilità incondizionata, formale o non, in capo a un soggetto o a un gruppo di soggetti (accountors), del risultato conseguito da un’organizzazione (privata o pubblica), sulla base delle proprie capacità, abilità ed etica. Tale responsabilità richiede giudizio e capacità decisionale, e si realizza nei confronti di uno o più portatori di interessi (account-holders o accountees) con conseguenze positive (premi) o negative (sanzioni), a seconda che i risultati desiderati siano raggiunti o disattesi. L’accento non è posto sulla responsabilità delle attività svolte per raggiungere un determinato risultato, ma sulla definizione specifica e trasparente dei risultati attesi che formano le aspettative, su cui la responsabilità stessa si basa e sarà valutata. La definizione degli obiettivi costituisce, dunque, un mezzo per assicurare l’accountability. Con il concetto di responsabilità, l’accountability presuppone quelli di trasparenza e di compliance. La prima è intesa come accesso alle informazioni concernenti ogni aspetto dell’organizzazione e dei processi metodologici del Modello privacy. La seconda si riferisce al rispetto delle norme ed è intesa sia come garanzia della legittimità dell’azione sia come adeguamento dell’azione agli standard stabiliti da leggi, regolamenti, linee guida etiche o codici di condotta. Sotto questi aspetti, l’Accountability può anche essere definita come l’obbligo di spiegare e giustificare il proprio comportamento per adempiere al meglio agli obblighi previsti dalla normativa Regolamentare privacy (GDPR) e dalla normativa nazionale in materia (decreti legislativi e norme di settore).

L’accountability nel campo della governance

Nel campo della governance ci si potrebbe riferire all’obbligo per un soggetto di rendere conto delle proprie decisioni e di essere responsabile per eventuali danni cagionati a causa della mancata (o scarsa) capacità di anticipare e prevenire (o attenuare) un evento prevedibile. Ma ci si potrebbe riferire anche, in assenza di danni e in caso di controlli dell’Autorità di controllo, all’aver applicato misure di sicurezza non adeguate al rischio calcolato o non aver saputo rendicontare la propria attività e di conseguenza dimostrare di aver fatto tutto il possibile per (provare a) evitare quel danno.

L’accountability nel campo della sicurezza informatica

Nell’ambito della sicurezza informatica, l’accountability è anche la capacità di un titolare attraverso il proprio modello privacy di dimostrare attraverso l’audit delle tracce e dal sistema di autenticazione (login) di aver adempiuto agli obblighi previsti dalla normativa in modo sufficientemente anticipatorio di possibili eventi dannosi o critici. Di aver previsto misure organizzative e tecniche rapportate al caso concreto del trattamento ma in grado di essere adatte e adeguate ad una serie sufficientemente ampia di rischi calcolati. Il criterio interpretativo del nesso è sempre ex ante in concreto e mai ex post. Nessuna norma e non certo il criterio di cui parliamo può spingersi fino a dover dimostrare l’impossibile, il caso fortuito o la forza maggiore o l’evento raramente verificabile. Come in ogni cosa occorre approcciarsi al concetto anche con un po’ di buon senso per evitare che la soglia di anticipazione, di previsione e di rendicontazione retroceda all’infinito e diventi impossibile o quasi.

Saper anticipare il verificarsi di situazioni critiche, l’accadimento di eventi rischiosi possibili o molto probabili e trovare soluzioni che, ex ante in concreto, forniscano un certo margine di sicurezza, significa forse essere accountable. Vedremo cosa accadrà nel prossimo futuro quando arriveranno i primi pronunciamenti dell’Autorità di controllo europea e degli stati membri. Il concetto di responsabilizzazione e di accountability è senza alcun dubbio, piaccia o no, una delle sfide più importanti e decisive che ci pone davanti l’attuale normativa sulla protezione dei dati personali.

_________________________________________

  1. Come ricorda molto correttamente M. Iaselli in “il principio di accountability: uno dei pilastri del GDPR, 13.2.2018, in http://www.altalex.com/documents/news/2018/02/13/il-principio-di-accountability-uno-dei-pilastri-del-gdpr

L'articolo Principio di accountability nel Gdpr, significato e applicazione proviene da Agenda Digitale.

Rilevazione presenze nella PA, usiamo la biometria? I problemi

Mar, 07/31/2018 - 08:17

Il tema dell’utilizzo di tecniche biometriche per la rilevazione delle presenze nella pubblica amministrazione è al centro dell’attenzione della politica e, conseguentemente, dei media.

In questa sede, essendo chi scrive un tecnico, non ci occupiamo di questioni organizzative, sindacali e solo marginalmente delle tematiche inerenti alla protezione dei dati personali altrimenti e molto più nota come Privacy.

Il problema da risolvere è quello della rilevazione della presenza del funzionario pubblico in ufficio con l’associazione delle date e degli orari di ingresso e di uscita.

Lo strumento più utilizzato è quello del badge la tessera plastica personale che è anche identificativa (salvo le note limitazioni per il personale a contatto con il pubblico) dell’identità della persona all’interno dell’edificio. In molte pubbliche amministrazioni l’esposizione del badge è obbligatoria.

Il badge può essere utilizzato tramite la banda magnetica o più opportunamente tramite l’elettronica “priva di contatti” (contactless) con l’associata antenna di trasmissione/ricezione e il microchip attivato dal terminale dove è allocato il tornello che quindi si apre con la registrazione dell’ora.

In una serie di situazioni (dopo peraltro lunghe e complesse indagini) si è accertato che il personale timbrava per altri ovvero si allontanava dal posto do lavoro dopo aver timbrato l’ingresso per ritornare e timbrare l’uscita.

La biometria rappresenta una modalità seducente di risolvere il problema in quanto oltre al principio del possesso del badge associa quello dell’utilizzo di tecniche biometriche quali il riconoscimento delle impronte digitali, il riconoscimento dell’iride ovvero il riconoscimento facciale. Quest’ultimo è, in verità, poco citato ma rappresenta una tecnica valida consolidata e poco invasiva.

Altri metodi sarebbero quelli del riconoscimento vocale o della geometria della mano, ma nel contesto specifico del presente articolo questa tecniche sono poco utili.

Come funziona il riconoscimento dell’impronta digitale

La tecnica più immediata, viste anche numerose esperienze “reali” è quella del riconoscimento dell’impronta digitale. Il meccanismo utilizzato anche per lo sblocco dello smartphone è quello della memorizzazione di punti specifici caratterizzanti l’immagine dell’impronta (minuzie). Le minuzie poi sono memorizzate secondo una struttura dati (generalmente proprietaria) denominata template.

La fase di registrazione è complessa in quanto è indispensabile acquisire informazioni sull’impronta di alta qualità. Se si sceglie la strada di una minore qualità, ovviamente, il riconoscimento può essere aggirato con maggiore facilità.

In fase di riconoscimento l’impronta viene riacquisita, ricalcolato il template e se tutto quadra con adeguate soglie di accettazione del dato (falsi positivi: non sei tu ma io dico che lo sei – falsi negativi: sei tu ma io dico che non sei) il controllo è positivo, si apre il tornello e si acquisisce l’orario.

Le criticità

In questo scenario deve essere calibrato con attenzione il livello di qualità del sistema con in particolare l’ottica del lettore di impronta. L’operazione di lettura non è velocissima, quindi nell’ora di punta ci possono essere delle code. L’ottica deve essere “limpida” quindi il sensore deve essere pulito spesso.

Una percentuale minima della popolazione non ha “buone impronte” e quindi deve essere gestita in altro modo.

Deve essere gestita anche la ferita al dito o l’alterazione temporanea dell’impronta per cause traumatiche.

Se si vuole essere pignoli sarebbe utile anche un rilevatore di “vivezza” del dato biometrico visto che pirati informatici hanno riprodotto su gomma le impronte di ministri prelevate da bicchieri.

Quanto detto non è un parere negativo sull’utilizzo delle impronte ma è solamente una sintesi di una serie di criticità che devono essere gestite per fare in modo che questo tipi di controlli siano fallimentari.

Il riconoscimento dell’iride, applicazioni e criticità

Adesso parliamo del riconoscimento dell’iride. In letteratura troviamo che:

L’iride è una membrana muscolare dell’occhio, di colore variabile, a forma e con funzione di diaframma, pigmentata, situata posteriormente alla cornea e davanti al cristallino, perforata dalla pupilla.

È costituita da uno strato piatto di fibre muscolari circolari che circondano la pupilla, da un sottile strato di fibre muscolari lisce per mezzo delle quali la pupilla viene dilatata (regolando quindi la quantità di luce che entra nell’occhio) e posteriormente da due strati di cellule epiteliali pigmentate”.

L’acquisizione del dato è veloce e stabile nel tempo. Anche i traumi sono trascurabili visto che questa parte dell’occhio è interna.

Esistono varie applicazioni del riconoscimento dell’iride soprattutto negli Emirati Arabi e in alcuni aeroporti.

La criticità è nella particolare cooperazione che l’utente deve avere rispetto al sensore. Comunque i meccanismi di questo tipo sono sempre più diffusi anche se la loro installazione su smart phone è stata aggirata dai soliti pirati con relativa facilità.

Il riconoscimento facciale

Per concludere vediamo adesso il riconoscimento facciale. Questa tecnica somiglia alle altre per quanto concerne il trattamento dei dati biometrici. E’ sempre più pervasiva tant’è che esistono APP che scandagliano i social e associano le identità alle persone in modo automatico.

Il grosso vantaggio di questa tecnica è quella della forte possibilità di associarla allo smartphone e quindi anche alla geo localizzazione del personale potendo gestire anche il telelavoro o il lavoro in mobilità.

Conclusioni

Concludendo questa sintetica analisi di tre tecniche biometriche utilizzabili per la rilevazione delle presenze ci preme sottolineare che prima di partire sarebbe opportuna un’analisi scientifica dei costi benefici di un’operazione su larga scala nazionale nella PA centrale e locale.

In particolare la tradizionale tecnica di sicurezza dell’analisi del rischio condotta nell’ambito dell’indispensabile PIA (Privacy Impact Assessment) stabilita nel regolamento europeo 679/2016 dovrebbe essere direttamente condotta dal nostro Garante per la protezione dei dati personali.

Si tenga in conto poi che nella realtà se ci sono i tornelli si trova il modo di uscire e se non ci sono non è certo l’utilizzo di tecniche biometriche che evita la “fuga” del personale pubblico infedele.

In piccole situazioni critiche e localizzate le soluzioni biometriche possono aver senso e anche le regole sulla privacy possono essere rispettate.

L'articolo Rilevazione presenze nella PA, usiamo la biometria? I problemi proviene da Agenda Digitale.

Registro dei trattamenti per la privacy (GDPR), come farlo e i vantaggi

Sab, 07/28/2018 - 08:44

Il 25 maggio è diventato definitivamente applicabile in via diretta in tutti i Paesi Ue il nuovo Regolamento europeo 2016/679 in materia di protezione dei dati personali  (in inglese GDPR), che tra le altre cose istituisce l’obbligo di tenere un Registro delle attività di trattamento, in forma cartacea o anche in formato elettronico, a cura del titolare e del responsabile del trattamento ai sensi dell’articolo 30. Uno strumento ritenuto indispensabile per tenere traccia delle operazioni effettuate dall’organizzazione sui dati personali degli interessati ed essere in grado di valutare gli obblighi normativi applicabili, nonché di attuare un modello di governo della privacy adeguato al proprio contesto organizzativo (anche sistema di gestione privacy).

Infatti, l’individuazione puntuale dei trattamenti di dati personali effettuati, in relazione alle attività svolte dalla propria organizzazione, rappresenta il primo passo per poter comprendere gli obblighi a cui è necessario rispondere (ad esempio, raccolta del consenso, designazione responsabili esterni, ecc.), individuare le responsabilità ed i compiti di tutela all’interno dell’organizzazione e sviluppare correttamente le attività di valutazione della necessità e proporzionalità del trattamento, quando ricade l’obbligo di effettuare la DPIA (ai sensi dell’articolo 35), come anche dei rischi per la protezione dei dati personali e dei possibili impatti, o danni, che possono essere causati agli interessati in caso di violazione degli stessi.

Cosa deve contenere il Registro dei trattamenti

La norma non definisce un modello di Registro puntuale, ma indica le informazioni essenziali che devono essere in esso contenute, come: il nome e i dati di contatto del titolare del trattamento, e (ove applicabile) del contitolare del trattamento e del responsabile della protezione dei dati; le finalità del trattamento; una descrizione delle categorie di interessati e delle categorie di dati personali; le categorie di destinatari a cui i dati personali sono stati o saranno comunicati; (ove possibile) i termini ultimi previsti per la cancellazione delle diverse categorie di dati; (ove possibile) una descrizione generale delle misure di sicurezza tecniche e organizzative.

Come qualsiasi atto interpretativo, questo ha fatto sì che modelli diversi di Registro dei trattamenti siano stati sviluppati, anche da software house, ed adottati da organizzazioni pubbliche e private, differenziandosi sia per le tipologie di informazioni censite che per le categorie di informazioni previste in aggiunta a quelle indicate dall’articolo 30 del Regolamento.

Individuazione delle attività soggette a raccolta dati

La principale difficoltà riscontrata per i titolari e i responsabili del trattamento è quella di individuare le attività di business effettuate dalla propria organizzazione che presuppongono la raccolta ed elaborazione di dati personali e, successivamente, di distinguerli in base alle finalità perseguite, alla base giuridica che ne legittimano il trattamento ed alle categorie di interessati coinvolti. Questo è presumibile sia dovuto, in primo luogo, alle competenze del personale delegato dal titolare o dal responsabile del trattamento ad effettuare le attività di censimento dei trattamenti, in quanto, rispondono, come ovvio, più alla conoscenza del proprio business piuttosto che alle attività effettuate dall’organizzazione nei termini e definizioni previste dalla disciplina in materia di protezione dei dati personali.

Altro fattore di differenziazione tra i modelli di Registro dei trattamenti, che sono stati o anche verranno adottati, riguarda l’interpretazione degli scopi di utilizzo dello strumento, dove spesso viene interpretato come mero obbligo formale. Infatti, l’indicazione, ad esempio, dello strumento cartaceo o informatico utilizzato per ciascun trattamento censito può risultare un’importante informazione nelle fasi successive di valutazione dei rischi per la sicurezza del trattamento, come anche della necessità di designare un fornitore di servizi di gestione e manutenzione dei sistemi IT come responsabile esterno dei trattamenti ai sensi dell’articolo 28 del Regolamento.

Utilità del Registro per chi non è soggetto all’obbligo

Pertanto, risulta importante individuare le categorie di informazioni che devono essere raccolte all’interno del Registro dei trattamenti, ricomprendendo sia quelle previste dall’articolo 30 del Regolamento, che quelle necessarie ai fini del processo di valutazione ed individuazione degli obblighi previsti dal Regolamento per ciascun trattamento. A ragione di ciò, l’utilità del Registro dei trattamenti riguarda anche quelle imprese o organizzazioni con meno di 250 dipendenti per cui non ricorre l’obbligo di redigerlo, in quanto, solo la conoscenza puntuale delle operazioni e dei termini dei trattamenti effettuati possono consentire di sviluppare un processo di adeguamento coerente e corretto.

In particolare, prevedere nel modello di Registro la necessità di fornire una descrizione del trattamento di dati personali risulta utile al fine di comprenderne in maniera più estesa le finalità perseguite e le modalità con cui viene effettuato il trattamento, nonché altri aspetti importanti (ad esempio, strumenti utilizzati, possibili destinatari a cui possono essere comunicati i dati, ecc.) che possono concorrere alla successiva valutazione degli obblighi applicabili. Un esempio per comprendere la modalità con cui descrivere il trattamento è rappresentato dalla quantità e tipologia di informazioni fornite, le quali dovrebbero essere in grado di consentire la stesura di un’eventuale un’Informativa del trattamento, soprattutto, per quanto riguarda l’indicazione specifica ed esplicita delle finalità e della sua base giuridica (ai sensi articolo 13 e 14, comma 1, lettera c)). Al riguardo, partire dall’individuazione e descrizione dei servizi e processi di business per cui vengono raccolti ed elaborati i dati personali può risultare fondamentale per identificare e comprendere i trattamenti di dati personali derivanti e le finalità da questi perseguite.

Indicazione di liceità e base giuridica

Altre importanti categorie di informazioni da prevedere nel modello di Registro sono sicuramente il criterio di liceità e la base giuridica che ne legittima il trattamento. Infatti, come recita il Regolamento, il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle condizioni di cui all’articolo 6, con l’indicazione di legge, norma o regolamento prevista dal diritto dell’Unione o dello Stato membro che lo rende legittimo. Da tener in conto che gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del Regolamento, con riguardo ai trattamenti effettuati per adempiere ad un obbligo legale al quale è soggetto il titolare del trattamento o per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito sempre il titolare, determinando disposizioni specifiche e altre misure atte a garantire un trattamento lecito e corretto. Pertanto, l’esatta indicazione della base giuridica rappresenta il criterio di legittimità delle finalità perseguite dal trattamento di dati personali, per cui il Regolamento ne richiede, inoltre, di informare gli interessati ai sensi degli articoli 13 e 14.

Ruoli e compiti all’interno dell’organizzazione

La struttura o funzione organizzativa responsabile del servizio o processo per cui vengono raccolti i dati personali potrebbe essere un’ulteriore informazione da censire nel Registro, a maggior ragione se individuata come Responsabile “interno” del trattamento ai sensi dell’articolo 29 del D.lgs. 196/03. Tale informazione può risultare molto utile per attuare un modello di gestione della privacy coerente con quello adottato in precedenza, ma soprattutto per assegnare i ruoli e i compiti che ciascun attore all’interno dell’organizzazione deve svolgere per mettere in atto misure tecniche ed organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al Regolamento. Quest’ultimo non prevede esplicitamente la figura di Responsabile interno all’organizzazione, ma sicuramente si può affermare che in base al ruolo ed alle responsabilità lavorative che ciascun individuo ha all’interno dell’organizzazione corrispondono altresì responsabilità e compiti differenti per la protezione dei dati personali e la tutela dei diritti e libertà degli interessati. Ad esempio, il Regolamento prevede la figura di persona autorizzata (Articolo 29) che, nell’ambito dei trattamenti effettuati, agisce in base alle istruzioni fornite dal titolare. Di conseguenza, è possibile prevedere profili di persone autorizzate differenti, in base al ruolo e alle responsabilità lavorative che assume all’interno dell’organizzazione e nell’ambito di uno o più trattamenti specifici.

Individuazione delle tipologie di atti e documenti

Individuare, successivamente, tutti le tipologie di atti o documenti utilizzati da ciascun trattamento censito nel Registro rappresenta un’indispensabile informazione per comprendere eventuali obblighi di conservazione, derivati anche dalla normativa nazionale, come anche le misure da adottare per consentire che le sole persone autorizzate possono averne accesso (Articolo 35 del D.lgs. 196/03).

Sebbene oggi possiamo contare su un’accelerazione nei processi di trasformazione digitale, molti trattamenti di dati personali vengono effettuati prevalentemente attraverso l’utilizzo di strumenti cartacei, come nel settore della pubblica amministrazione e sanitario. Pertanto, la definizione dello strumento cartaceo come i tempi e le modalità di conservazione possono essere rintracciate in norme previste dall’ordinamento giuridico nazionale e di settore.

A titolo esemplificativo, la Circolare n. 61 del 19 dicembre 1986 N. 900.2/ AG. 464/260 definisce che le cartelle cliniche, unitamente ai relativi referti, vanno conservate illimitatamente, poiché rappresentano un atto ufficiale indispensabile a garantire la certezza del diritto, oltre a costituire preziosa fonte documentaria per le ricerche di carattere storico sanitario. Inoltre, specifica che la conservazione vada effettuata da prima in un archivio corrente e successivamente, trascorso un quarantennio, in una separata sezione di archivio, istituita dalla struttura sanitaria ai sensi dell’art. 30 del D.P.R. 30.6.1963 n. 1409.

Strumenti elettronici e rischi di sicurezza

Pertanto, oltre all’indicazione della tipologia di strumento cartaceo utilizzato dal trattamento, riveste estrema importanza anche il luogo ed i mezzi di conservazione atti a prevenire accessi non autorizzati o la perdita accidentale.

Allo stesso modo, se non con maggiore rilevanza per le minacce a cui possono essere esposti, gli strumenti elettronici (ai sensi dell’articolo 4, comma 3, lettera b) del D.lgs. 196/03) utilizzati da ciascun trattamento rappresentano un’informazione essenziale per individuare, successivamente, i rischi di sicurezza a cui possono essere esposti i dati personali, nonché le responsabilità riguardo la loro gestione e manutenzione. Infatti, dove l’utilizzo e la conservazione dei documenti è spesso in carico alla struttura organizzativa responsabile del trattamento (ad esempio, il reparto ospedaliero che redige la cartella clinica del paziente), gli strumenti elettronici, o meglio informatici, sono spesso centralizzati e di competenza di strutture dedicate, come la Gestione dei Sistemi Informativi, o esterne all’organizzazione e riguardanti fornitori di servizi e soluzioni tecnologiche.

L’importanza di indicare nel Registro gli strumenti elettronici utilizzati e metterli in relazione con il relativo trattamento di dati personali che li utilizza si ritrova anche nella gestione del ciclo di vita del trattamento, perché possono cambiare i fornitori di servizi o le tecnologie utilizzate (ad esempio, nuove applicazioni, servizi cloud, ecc.), che possono avere impatti sulla sicurezza dei dati trattati. Pertanto, nelle attività periodiche di aggiornamento del Registro e delle misure adottate (Articolo 24, comma 1) sarà più facile individuare quei cambiamenti che richiedono di rivedere gli adeguamenti effettuati in precedenza per rispondere agli obblighi previsti dal Regolamento, tra cui la valutazione di impatto per i diritti e le libertà degli interessati in ragione all’adozione di nuove tecnologie (Linee guida Working Part 29, wp248)

In conclusione, il Registro non dovrebbe contenere solo le categorie di informazioni previste dall’articolo 30 del Regolamento, ma anche tutte quelle informazioni necessarie ed indispensabili per individuare e valutare gli obblighi previsti dal quadro normativo di riferimento e i rischi a cui possono essere esposti i dati personali in funzione degli strumenti utilizzati per il loro trattamento e che possono causare potenziali danni, sia materiali che immateriali, agli interessati.

L'articolo Registro dei trattamenti per la privacy (GDPR), come farlo e i vantaggi proviene da Agenda Digitale.

Tofalo (Difesa): “Un’Italia più sicura con la cyber defence: il nostro impegno”

Ven, 07/27/2018 - 08:39

Ho lavorato per cinque anni come ingegnere progettista di Opere Strategiche, Telecomunicazioni, Sicurezza e lavori progettualità richiedenti un livello elevato di Nulla Osta di Sicurezza. Eletto poi deputato nel 2013, sono entrato a far parte del COPASIR, il Comitato Parlamentare per la Sicurezza della Repubblica; ciò mi ha permesso di approfondire ulteriormente le tematiche inerenti la cyber security. Oggi da Sottosegretario di Stato alla Difesa ho chiesto al Ministro Trenta una specifica delega per la trattazione di problematiche relative alla sicurezza cibernetica. Ritengo siano ancora molti i passi in avanti da fare, non solo a livello europeo ma anche più prettamente nazionale. Il punto di partenza è valorizzare le strutture già operative che fanno capo al Ministero della Difesa e alla Presidenza del Consiglio. Per favorire una visione strategica nel settore cyber va prima stimolata la consapevolezza politica delle capacità e delle conoscenze di chi ad oggi garantisce la nostra sicurezza.

Investire nelle eccellenze italiane

In particolare, una più attenta e strategica programmazione economica, anche per ciò che riguarda le spese militari, assicurerebbe l’ottimizzazione delle risorse disponibili. L’Europa e quindi l’Italia devono essere in grado di fronteggiare le nuove sfide globali come il terrorismo e gli attacchi cyber, partendo dal Sistema Paese per arrivare a una più sinergica Difesa europea. Ritengo opportuno investire sulle eccellenze del nostro settore tecnologico. Abbiamo tantissime realtà con le carte in regole per competere ad altissimi livelli in Europa e nel mondo. Sono convinto che mettere in rete e coordinare queste eccellenze nazionali, sostenendole con programmi di investimento nella ricerca e nello sviluppo tecnologico, possa favorire un processo di rafforzamento nel mercato europeo e internazionale. Credo sia fondamentale investire su una forte diffusione della cultura della sicurezza perché ricordo sempre a tutti che il nodo più debole resta quello tra la sedia e il PC, cioè il fattore umano.

Finanziamenti alla cyber security

Per quanto riguarda il tema finanziamenti alla cyber security, invece, un primo segnale positivo è arrivato dal recente Vertice Nato nel corso del quale il ministro Trenta ha evidenziato l’importanza di comprendere nelle risorse destinate alla Difesa anche la sicurezza cibernetica. È necessaria una visione geopolitica per favorire uno sviluppo industriale all’altezza delle complessità proprie del mercato. L’Italia deve disporre di una industria che metta a disposizione professionalità e creatività per proteggere gli interessi nazionali, istituzionali, imprenditoriali, sociali in linea con gli obiettivi di Governo. Il cambiamento parte anche grazie alla convergenza tra pubblico e privato: la dimensione cyber è trasversale ad ogni ambito e può essere il volano per un rilancio industriale che abbia come effetto il miglioramento complessivo della sicurezza del Paese.

Da politico e da Sottosegretario, ritengo sia necessario, e anche doveroso spiegare a tutti i livelli l’importanza di investimenti che possono offrire vantaggi a tutta la collettività. Attraverso una maggiore diffusione della cultura della sicurezza e della difesa, riusciremo certamente a raggiungere questo obiettivo. Sarà quindi prioritario per questo Dicastero impegnarsi a destinare quante più risorse possibili all’interno del DEF.

Il quadro europeo

Nel quadro europeo, uno dei primi esempi di difesa comune europea è la direttiva Nis 2018 (Network and Information System) che affronta il tema delle minacce informatiche. Tutte le nazioni hanno capito quanto oggi sia importante potersi difendere da attacchi cibernetici accrescendo il livello delle conoscenze digitali e i cittadini. L’orientamento è formare nuove forze armate sempre più specializzate in questo settore per prevenire i rischi e le vulnerabilità del dominio cibernetico proteggendo in particolare le infrastrutture critiche. Nell’ambito europeo ritengo che si debba lavorare seguendo un progetto comune di difesa, senza però dimenticare che quando si parla di sicurezza cyber chiunque può rappresentare anche una potenziale minaccia. Fatti di un recente passato in tema di spionaggio e sorveglianza di stato, evidenziano la necessità di proteggere valori quali la privacy, la sicurezza e la protezione dei dati e, più in generale, la sovranità digitale di ogni Nazione.

Una nuova Forza Armata specializzata in cyber

Infine, personalmente, la mia idea è quella di dare il massimo riconoscimento a una “nuova” Forza Armata specializzata in cyber, sempre più nazioni si stanno muovendo in questa direzione, e noi dobbiamo investire in tecnologia, formazione e cultura della Difesa per non essere secondi a nessuno. Il mio concetto di Difesa è dunque ampliato a 360 gradi per essere pronti a fronteggiare una minaccia che non necessariamente debba colpirci con un attacco da terra, dal mare o dal cielo.

L'articolo Tofalo (Difesa): “Un’Italia più sicura con la cyber defence: il nostro impegno” proviene da Agenda Digitale.

Cyber defense, servono più fondi pubblici in Italia: ecco come

Gio, 07/26/2018 - 15:17

La cyber defense richiede ormai investimenti significativi e costanti. L’ha ribadito la stessa ministra alla Difesa Elisabetta Trenta, oggi, davanti alle commissioni Difesa di Senato e Camera, come già da tempo sostenuto dagli esperti.

L’Italia ha avviato alcune iniziative a riguardo, ma un vero progresso richiede finanziamenti di ben altra entità. E questi possono essere garantiti solo inserendo istituzionalmente la spesa per la protezione cibernetica nazionale nel budget complessivo della difesa. 

Ecco perché è importante la proposta in tal senso avanzata qualche giorno fa dal neo ministro della Difesa, Elisabetta Trenta. Partecipando al vertice Nato in corso a Bruxelles, Trenta ha chiesto a nome del Governo italiano che gli investimenti del nostro Paese per la sicurezza cibernetica nazionale siano compresi nel 2% del PIL per la spesa militare, obiettivo che gli alleati si sono impegnati a raggiungere entro il 2024.

Si tratta di una proposta importante, in primo luogo perché non riguarda il solo settore strettamente militare ma anche quello civile, e poi perché è comunque rivolta come invito generale anche agli altri membri dell’Alleanza.

Il supporto economico alle spese per la cyberdefense

Il nostro Paese non ha mai affrontato in maniera completa e sistematica il tema del supporto economico alle spese per la difesa cibernetica.

Di fatto l’unica iniziativa concreta sinora attuata è stato lo stanziamento straordinario di 150 milioni di euro che il governo Renzi ha annunciato nel 2016 destinandolo alle strutture dedicate alla sicurezza nazionale, in primis quelle del comparto intelligence. Una cifra certamente non trascurabile in termini generali, ma purtroppo erogata una tantum e comunque assai lontana da quelle che altri Paesi occidentali investono annualmente per la propria sicurezza cibernetica: al top della classifica ci sono ovviamente gli Stati Uniti, per i quali uno studio dello scorso anno stima un budget per la cybersecurity nazionale di 28 miliardi di dollari nel 2016 (ed era di “soli” 7,5 miliardi di dollari nel 2007, quindi è in crescita di un 16% medio all’anno). Ma anche il Regno Unito non scherza, dato che il solo GCHQ viene finanziato con stanziamenti annuali che apparentemente si aggirano sugli 800 milioni di sterline.

Mettere a sistema gli investimenti in cyberdefense

Riconsiderare e soprattutto mettere a sistema gli investimenti nazionali in sicurezza cibernetica è oramai una priorità assoluta, se vogliamo che il nostro Paese non venga penalizzato e rimanga al passo con le esigenze dei tempi.

Viviamo infatti in un momento storico in cui il dominio cibernetico è ormai stato definitivamente consacrato come prossimo terreno di conflittualità, se non addirittura di battaglia aperta; ed aumenta di conseguenza la consapevolezza della sua intrinseca vulnerabilità e della conseguente necessità di incrementarne i livelli di protezione, per poter far fronte ad una minaccia che si dimostra in rapidissima crescita. Minaccia oltretutto straordinariamente subdola ed asimmetrica, perché nel tradizionale dominio cinetico non vi è mai stata tanta disparità tra la facilità dell’attacco e la difficoltà della difesa quante ve ne è invece nel dominio cibernetico. Ciò avvantaggia ovviamente chi prepara azioni offensive di natura cyber, e penalizza invece chi deve attuare le corrispondenti politiche difensive.

Per quanto riguarda il grado attuale della minaccia, oramai assai elevato in termini sia qualitativi che quantitativi, basta ricordare che solo pochi giorni fa Dan Coats, direttore della National Intelligence statunitense, ha lanciato un vero e proprio grido di allarme sostenendo che i segnali di pericolo rilevati quotidianamente dalle varie Agenzie di cyber defense hanno recentemente raggiunto livelli paragonabili a quelli dei periodi immediatamente precedenti l’11 settembre. A fronte di questa escalation di attacchi quotidiani contro propri obiettivi sensibili, gli Stati Uniti puntano esplicitamente il dito contro Russia, Cina, Iran e Corea del Nord, e spingono affinché gli Alleati della NATO aumentino il loro budget della difesa addirittura fino al 4% del PIL.

Cyber security: i compiti del nuovo Governo

Le azioni avviate dall’Italia
  • L’Italia nel frattempo non è stata con le mani in mano: nel 2017 è stato reso operativo il Comando Interforze Operazioni Cibernetiche (CIOC), che ora è in via di rafforzamento e consolidamento per raggiungere la piena capacità entro il prossimo anno, e che in sinergia col DIS e le altre strutture di sicurezza nazionale traguarda anche la protezione degli obiettivi sensibili civili e industriali.
  • Inoltre, nell’ambito del più generale Piano Nazionale per la Ricerca Militare (PNRM), già dallo scorso anno sono stati finanziati e sono in corso di sviluppo alcuni significativi progetti di ricerca sui temi cyber, fra i quali spicca la realizzazione del famoso Cyber Range, o poligono virtuale, che consentirà ai nostri specialisti di formarsi ed addestrarsi su scenari simulati;
  • ed è addirittura stata ventilata la proposta di ampliare il programma PNRM istituendo una sezione specializzata per i soli progetti cyber dotata di finanziamenti separati.

“Sono stati avviati una serie di programmi di acquisizione per accedere a strumenti operativi ad alto contenuto tecnologico, capaci di assicurare la protezione, la resilienza e l’efficienza delle reti e dei sistemi informativi gestionali e operativi della Difesa”, ha detto Trenta.
“E’ fondamentale continuare ad investire” per “potenziare ulteriormente le dotazioni strumentali e organizzative di protezione cibernetica e sicurezza informatica”. Solo così si può aumentare “la capacità di contrastare in maniera efficace le minacce”. “E’ essenziale il raggiungimento di capacità operative a supporto del Comando interforze per le operazioni cibernetiche”: il Cioc, guidato dal generale Francesco Vestito.

Sì, è vero e ineludibile. Tutto ciò richiede investimenti significativi e costanti, che possono essere garantiti – tra l’altro – solo inserendo istituzionalmente la spesa per la protezione cibernetica nazionale nel budget complessivo della difesa. E sarebbe auspicabile che anche i nostri Alleati raccogliessero il suggerimento, perché come ha dichiarato a Bruxelles lo stesso Ministro Trenta: “La sicurezza di ognuno di noi è la sicurezza dell’Alleanza stessa”.

Cybersecurity nei rapporti tra gli Stati e il ruolo dell’Italia: il quadro

L'articolo Cyber defense, servono più fondi pubblici in Italia: ecco come proviene da Agenda Digitale.

Droni: regolamento Enac e normativa post Gdpr, in Italia ed Europa

Gio, 07/26/2018 - 09:17

Ci sono norme precise per disciplinare l’uso dei droni e Sapr (Sistemi Aeromobili a Pilotaggio Remoto), da conoscereL’impatto del loro utilizzo va considerato anche alla luce della nuova normativa europea in materia di dati personali (GDPR) in particolare per quanto riguarda il rispetto delle altrui informazioni che possono essere carpite, volontariamente o involontariamente, in luoghi privati o spazi affollati, all’atto dell’utilizzo di un dispositivo di volo senza pilota.

Quella normativa è un’esigenza dettata, tanto in ambito nazionale che europeo, dal notevole interesse e la grande diffusione che questi strumenti  di pilotaggio remoto hanno avuto negli ultimi anni. 

Notevoli sono infatti le problematiche non solo di sicurezza, dato che questi sistemi, ormai potenzialmente accessibili a tutti, vengono adoperati nello spazio aereo, o meglio in uno spazio aereo che necessita di essere circoscritto, ma anche di privacy, tenuto conto della potenzialità che essi hanno di acquisire immagini dall’alto o di raggiungere luoghi isolati o anche di introdursi in spazi privati.

Queste, ed altre esigenze, sono alla base della necessità di definire i limiti dell’utilizzo di un drone nel rispetto delle altrui libertà, nonché di diffondere tra gli utilizzatori l’attenzione ad una serie di regole atte a definirne un uso consapevole e responsabile.

Rischi e potenzialità connessi all’uso dei SAPR

Molti sono gli aspetti legati alla produzione ed utilizzo dei droni che necessitano di opportuna disciplina: vi sono cautele da non sottovalutare e dati relativi alla produzione dei modelli idonei al commercio che richiedono adeguata regolamentazione. Si pensi, avendo attenzione alla macchina adoperata, alle emissioni di CO2 nonché alla produzione di rumore, fattori che non possono essere lasciati privi di regole tutte le volte in cui il SAPR viene adoperato in luoghi non isolati, all’interno della comunità sociale.

Per quanto concerne la tecnologia, altro aspetto da non trascurare assolutamente, è l’opportunità che la produzione dei droni sia improntata a regole e criteri costruttivi ben precisi, quanto a peso, potenza e dispositivi.

Inoltre, i mezzi a pilotaggio remoto sono dispositivi che si sviluppano su di una tecnologia che prevede la gestione del mezzo da parte di un pilota che lo guida da terra, per cui occorre che chi ha il potere di gestire il dispositivo sia in grado di farlo correttamente. Non è, infatti, remota l’ipotesi in cui dei droni siano entrati in collisione con altri oggetti presenti nello spazio aereo oppure con elementi presenti negli spazi in cui si introducono, arrecando danni a terzi o cose.

E se è vero che il fascino che riscuotono è direttamente proporzionale alla diffusione che hanno avuto, altrettanto necessario corollario deve, conseguentemente, essere la predisposizione di una serie di regole che provvedano alla disciplina degli aspetti salienti, tenuto conto dell’impatto del loro uso su settori tanto delicati e vari.

Regole comuni nella Ue

Interessanti quanto utili nonché quanto pericolosi, i sistemi a pilotaggio remoto hanno carpito da subito l’attenzione dei governi sull’opportunità di giungere a regole comuni da applicare sul territorio europeo, consapevoli di avere davanti strumenti che entreranno sempre più a far parte delle nostre vite, direttamente o indirettamente, e che potrebbero anche essere fonte di nuove attività professionali, trattandosi di strumenti estremamente dinamici, potenzialmente idonei ai più vari usi ed innovativi.

Su molte delle loro potenzialità, come vedremo, si sta già attivamente lavorando, attraverso la creazione di gruppi di lavoro e/o di ricerca in grado di testarne e valutarne l’impiego nei settori più disparati.

Pertanto, la necessità di una regolamentazione, nonché di una riflessione sui possibili settori di potenziale sviluppo, è materia attuale e quanto mai opportuna, oltre che temporalmente necessaria.

La normativa nazionale: regolamento Enac

La normativa di riferimento, a livello nazionale, trae origine dall’art. 743 del Codice della Navigazione il quale, nel fornire una definizione di “aeromobile” [1], accanto alle macchine destinate al trasporto per aria di persone o cose, include anche i mezzi aerei a pilotaggio remoto rinviando, per una compiuta definizione, alle leggi speciali, ai regolamenti dell’ENAC nonché, per quelli adoperati per fini militari, ai decreti del Ministero della Difesa.

Una prima indicazione di cosa siano i mezzi aerei a pilotaggio remoto, si ricava, pertanto, dal Regolamento ENAC, la cui prima edizione è datata 16 dicembre 2013 ed il cui ultimo emendamento è del 21 maggio 2018. Una normativa molto recente dovuta alla necessità di introdurre regole e limiti di operatività, stante la notevole diffusione dei droni al di fuori dell’originario perimetro militare. Ma anche una normativa in pieno cambiamento, che necessita di una disciplina uniforme a livello comunitario ed una regolamentazione in grado di tenere conto non solo delle potenzialità degli strumenti e della necessità di definirne i limiti in base alla caratteristiche, ma anche di operare un equo contemperamento degli interessi. Ed è questo l’obiettivo prioritario che si intende perseguire tanto a livello nazionale che europeo.

La distinzione tra SAPR e aeromodelli

Il Regolamento ENAC è certamente un valido punto di riferimento, come già accennato sopra, per la disciplina dei mezzi aerei a pilotaggio remoto.

In esso, all’art. 1, si opera un distinguo tra Sistemi Aeromobili a Pilotaggio Remoto e Aeromodelli.

I primi, meglio noti alla collettività con l’acronimo SAPR, sono adoperati per operazioni specializzate o in attività scientifiche, sperimentazione e ricerca.

Gli Aeromodelli sono invece destinati prevalentemente a scopo ricreazionale e sportivo. Nonostante questa funzione dedicata ad impieghi di minor rilievo (scopo ricreazionale) gli aeromodelli sono comunque assoggettati a specifiche disposizioni e limitazioni d’uso, trattandosi sempre e comunque di mezzi a pilotaggio remoto che circolano nello spazio aereo, potendo potenzialmente innescare collisioni o arrecare danni a cose e/o persone o ad altri mezzi aerei.

Anche questi ultimi, pertanto, se volano nello spazio aereo italiano sotto vincolati alle disposizioni del Regolamento ENAC.

I SAPR, invece, lo sono nella misura in cui si tratti di aeromobili a pilotaggio remoto di massa operativa al decollo non superiore ai 150 Kg e progettati o modificati per attività di ricerca, sperimentazione e scopi scientifici.

Nell’ambito sei SAPR si prevede una ulteriore classificazione tra SAPR con massa operativa la decollo inferiore ai 25 kg e SAPR con massa operativa la decollo uguale o maggiore dei 25 kg e non superiore ai 150 kg.

Come si misura la sicurezza delle attività di un SAPR

Le operazioni in cui possono essere impiegati i SAPR sono indicate, ai sensi dell’art. 7 del Regolamento, con i seguenti tre acronimi:

VLOS (Visual Line of Sight),

EVLOS (Extended Visual Line of Sight),

BVLOS (Beyond Visual Line of Sight).

Si tratta di un metodo che testa la condizione di sicurezza del mezzo aereo a pilotaggio remoto facendo esclusivamente riferimento al rapporto di contatto visivo tra il pilota ed il mezzo aereo e distinguendo, pertanto, operazioni in cui la distanza, sia orizzontale che verticale, tra il pilota ed il suo mezzo sia tale da garantire il contatto visivo continuativo con il mezzo e senza l’uso di ulteriori strumentazioni, (condizione questa che rappresenta una garanzia in termini di controllo, mantenendo le separazioni ed evitando collisioni), da operazioni in cui invece i requisiti di VLOS non sono soddisfatti se non con l’ausilio di messi alternativi (EVLOS), fino ad operazioni in cui, data la distanza, non è possibile soddisfare dette condizioni, per cui non si ha il contatto visivo diretto e costante, non si può gestire il volo e non si ha certezza di evitare collisioni (BVLOS).

Questo particolare metodo di misurazione della sicurezza del aeromobile pone l’accento sul pilota quale soggetto in grado di garantire la sicurezza del volo ed il rispetto delle altrui necessità, siano esse declinate in merito alla gestione della sicurezza che della tutela della privacy.

Operazioni “critiche” e “non critiche”

Tuttavia per comprendere in che misura l’attività di un SAPR possa incidere su soggetti terzi è opportuno anche distinguere, in linea con la normativa di cui agli articoli 9 e 10 del Regolamento ENAC, le operazioni in cui possono essere impiegati i SAPR in “critiche” e “non critiche”. La criticità o meno dell’operazione è una valutazione di rischio e di condizioni rimessa direttamente all’operatore.

Le operazioni “non critiche” sono indicate in tutte quelle attività condotte in VLOS che “non prevedono il sorvolo, anche in caso di avarie e malfunzionamenti, di: – aree congestionate, assembramenti di persone, agglomerati urbani; – infrastrutture sensibili”, mentre, invece, per operazioni specializzate “critiche” si intendono quelle che non rispettano i limiti appena indicati.

Il livello e la soglia di sicurezza delle attività che si conducono sale notevolmente uscendo dal campo delle operazioni “non critiche” ed esso viene gestito, non solo richiedendo il rilascio di apposite autorizzazioni maggiormente stringenti, ma anche richiedendo che il SAPR dimostri un livello di sicurezza accettabile.

Per tale finalità occorre, pertanto, che vi sia la predisposizione, sul SAPR, di un sistema di comando e controllo primario mediante l’utilizzo di un software conforme agli standard aeronautici di cui alla specifica EUROCAE ED-12 almeno a livello di affidabilità progettuale D, la dotazione di sistemi idonei a mantenere il controllo delle operazioni anche in caso di perdita del data link o a mitigarne gli effetti, e, infine, la dotazione di un sistema terminale del volo il cui comando sia indipendente e dissimilare dal sistema di comando e controllo.

Scenario e massa operativa del sistema a pilotaggio remoto sono, pertanto, i parametri che determinano le soglie di sicurezza.

Nel caso in cui si piloti, poi, un SAPR di massa operativa al decollo minore o uguale a 2 kg le operazioni specializzate sono considerate non critiche in tutti gli scenari, purché la macchina risulti costruita e progettata con caratteristiche di inoffensività.

Laddove l’APR al decollo abbia una massa operativa minore o uguale a 0,3 kg con parti rotanti protette da impatto accidentale e con velocità massima minore o uguale a 60 km/h le operazioni specializzate sono considerate non critiche in tutti gli scenari operativi.

Per tutte le macchine resta il divieto di sorvolo di assembramenti di persone per cortei, manifestazioni sportive o inerenti forme di spettacolo o in tutti i casi in cui vi siano concentrazioni inusuali di persone.

La regola di base per garantire una tutela generalizzata resta, pertanto, la dovuta distanza tra l’uso del SAPR o dell’APR e i soggetti terzi: un divieto di sorvolo che deve essere rispettato a prescindere dalle caratteristiche tecniche della macchina.

Valutazione dei rischi e definizione dello spazio aereo

Alla definizione delle caratteristiche di inoffensività degli APR, l’ENAC dedica delle Linee Giuda pubblicate nel 2016 non obbligatorie (non avendo natura di regolamento) orientate a fornire all’operatore elementi di dettaglio di tipo interpretativo o procedurale.

L’inoffensività viene fondamentalmente valutata misurando i danni derivanti da un rischio di collisione involontaria dell’APR con persone.

Per misurare tale rischio si valutano i seguenti dati: energia cinetica all’impatto, velocità massima all’impatto di un APR, velocità massima del vento ammessa, densità di energia, velocità massima del vento a favore e massa operativa al decollo.

La combinazione di queste voci, unita anche all’esame dei criteri quantitativi e qualitativi (caratteristiche geometriche e costruttive nonché i materiali ed i componenti), in base al valore soglia stimato, determinerà l’inoffensività dell’APR con MOD superiore a 0,3 kg ma inferiore o uguale a 2 kg.

La circolazione e l’utilizzo nello spazio aereo, sono definite anche in termini di altezza massima di volo e di distanza sul piano orizzontale, prevedendo un limite di 150 m AGL (Above Ground Level) e 500 m sul piano orizzontale. Oltre tali distanze occorrono specifiche autorizzazioni.

Anche per gli Aeromodelli il Regolamento ENAC dispone precisi parametri da rispettare, quanto a caratteristiche della macchina e requisiti dell’attività che si vuole effettuare. In particolare occorre che l’aeromodellista svolga la sua attività di giorno mantenendo il contatto visivo con l’aeromodello senza l’ausilio di dispositivi ottici e/o elettronici, in aree ben definite e nel limiti dei 70 m AGL entro un raggio massimo di 200 m, lontano da edifici, infrastrutture e installazioni, al di fuori dell’ ATZ (Aerodrome Traffic Zone), al di fuori della CTR (Controlled Traffic Region), al di fuori delle zone proibite.

Droni e GDPR, regole del garante e possibili violazioni

Uno dei problemi maggiormente sentiti, a livello di utilizzo dei droni ad uso ricreativo, riguarda la tutela dei dati personali, secondo le disposizioni del GDPR. Ciò in quanto, come già detto, i droni consentono di scattare foto dall’alto e di acquisire informazioni, le più varie, relativamente a soggetti identificati o identificabili.

L’assenza, sul posto, della persona fisica che comanda la macchina, al momento dell’acquisizione dei dati, rende particolarmente complessa l’eventuale contestazione anche da parte del soggetto che si accorga di essere ripreso dal drone o che sia proprietario delle cose riprese ed a lui facilmente imputabili.

Come noto la normativa del GDPR ha una portata estremamente ampia, rivolgendosi a tutti i titolari e responsabili del trattamento dei dati e, di contro, a tutti i soggetti interessati i cui dati vengano acquisiti, prevedendo diritti, obblighi e responsabilità.

Questo bilanciamento delle esigenze si ripresenta costantemente nelle dinamiche sociali, in tutti i settori relazionali e, nonostante il più delle volte faccia parte della nostra quotidianità, per cui lo viviamo quasi senza farci caso, compito che si è prefisso il legislatore europeo è, invece, quello di far emergere il fenomeno facendo acquisire sempre più al comune cittadino consapevolezza dei propri diritti e della necessità di imparare a tutelare i propri dati personali, fonte di notevole valore anche economico.

Uso a fini ricreativi, i consigli del Garante per la tutela della privacy

Ritenendo prioritario fornire una informazione di base accessibile a tutti il Garante ha elaborato un breve opuscolo di facile consultazione contenente consigli per rispettare la privacy altrui e rivolto a chi usa un drone a fini ricreativi[2].

In cinque punti salienti il Garante fornisce pillole informative riguardo il rispetto delle regole ENAC per il volo dei Sistemi Aeromobili a Pilotaggio Remoto, il rispetto degli spazi privati altrui, nel caso di utilizzo di un drone munito di fotocamera in luoghi pubblici, le cautele da seguire in caso di riprese inavvertite che riguardino terzi e la necessità di rendere sempre visibile la figura del pilota, cosa di certo rassicurante. Allo stesso, infatti, si potranno richiedere informazioni o comunicare di negare il consenso al trattamento dei dati.

I discorsi altrui non possono essere captati e, nel caso di registrazioni involontarie, tali discorsi non devono rendere riconoscibile il contesto, nel caso si decidesse di pubblicare un video on line.

Infine anche la costruzione e la configurazione dei dispositivi deve ispirarsi ai principi di privacy by design e di privacy by default. Già il WP29, in occasione di un parere sull’impiego dei droni, ha indicato una serie di misure rivolte principalmente: 1) agli operatori, tenuti a fornire una informativa tenendo conto delle operazioni svolte; 2) al legislatore nazionale ed europeo, per l’introduzione ed il rafforzamento delle norme che disciplinano i droni; 3) ai costruttori, cui si raccomanda la promozione di codici deontologici.

La normativa internazionale e comunitaria

La vera spinta alla predisposizione di una normativa compiuta per la gestione dei dispositivi a pilotaggio remoto proviene dal panorama internazionale, ove crescente è la consapevolezza delle potenzialità di questi mezzi e delle grandi opportunità che offrono non solo per l’impiego diversificato ma soprattutto perché aprono ad una nuova branca di informazioni la cui gestione certamente nel tempo si svilupperà notevolmente.

Si ipotizza, anche, per la gestione della presente attività, un notevole incremento dei posti di lavoro con conseguenziale richiesta di figure professionali particolarmente competenti in materia ed un impatto economico superiore ai 10 miliardi di Euro/anno. Si stima, inoltre, che il traffico aereo aumenterà del 50% nei prossimi 20 anni.

Il nuovo Regolamento Ue

In ambito europeo va segnalata la recente approvazione, il 26 giugno 2018, da parte del Consiglio del Regolamento Europeo recante norme comuni nel settore dell’aviazione civile.

Tenuto conto della votazione del Parlamento europeo del 12 giugno 2018, presumibilmente il Regolamento, firmato da entrambe le istituzioni, verrà pubblicato verso fine luglio nella Gazzetta Ufficiale dell’UE.

Si tratta del primo documento che introduce una normativa uniforme a livello europeo atta a definire l’attività dei droni civili di tutte le dimensioni.

Se poco o nulla cambia per quanto concerne gli aeromodelli nella nostra disciplina nazionale, maggiori novità saranno previste per i SAPR con peso al decollo inferiore o uguale ai 0,3 kg. Paradossalmente è proprio la disciplina relativa ai SAPR di peso minore a creare maggiori problemi in ambito europeo, essendo la stessa sottoposta a minori vincoli e gestita, in maniera frammentaria, dalle regole di sicurezza nazionali.

I principi ispiratori e gli obiettivi della riforma

I principi ispiratori della riforma posso essere rappresentati secondo due filoni essenziali:

  • da una parte vi è la spinta a regolamentare il settore al fine di promuoverlo, incoraggiare l’innovazione, fare leva sulla competitività allo scopo di ottenere una crescita di interesse e, conseguentemente, di sviluppo delle potenzialità dei droni.
  • Dall’altra, la necessità di intervenire sulla corretta gestione operativa dei droni è stata ispirata dalla predisposizione di regole finalizzate a porre rimedio alle potenziali problematiche derivanti dal volo dei SAPR e che pongono in prima linea i temi della sicurezza aerea e di gestione dello spazio aereo, di riservatezza e protezione dei dati nonché di tutela dell’ambiente, temi sui quali la necessità di un confronto aperto si pone in maniera ancor più determinante tenuto conto dell’incremento dell’uso dei droni e dell’affollamento degli spazi aerei.

Gli obiettivi per i prossimi anni 2019-2020 saranno quelli di creare uno spazio aereo sicuro per i droni, in materia di aviazione, nonché per i prodotti, attraverso le norme comuni europee.

D’altro canto l’intervento dell’UE sull’intero settore, ivi compresi i sistemi di aviazione a pilotaggio remoto, si configura come la naturale conseguenza delle competenze dell’ Unione in materia di aviazione civile.

Si tratta, in sostanza, di una opportuna inclusione anche dei SAPR nella disciplina già di competenza dell‘ UE. Il 2020 viene considerata la data entro la quale essere pronti per le sfide future.

Prospettive di utilizzo 

Nel settore SAPR, allo stato, si registrano i seguenti progetti di ricerca e sviluppo[3]:

NMD – Navigation Maintenance by Drones – per lo sviluppo dei processi manutentivi del settore APC per conoto della controllante ENAV S.p.A.

FPV – DA – First Person View e DJI Aeroscope – per la verifica dei sistemi di interfaccio controllo Pilota – APR tramite visori Goggles e tecnologia Head Tracking – identificazione droni in volo.

RCPP – Release Crop Protection – per lo studio della riduzione delle derive dei prodotti utilizzati nelle attività di Precision Farn e simulazione di trattamento fitosanitario con irrorazione.

DAM – Drones & Advanced Motors – per lo sviluppo di nuovi modelli di propulsione con l’obiettivo di dimostrare che l’APR possa essere alimentato da sistemi alternativi alle attuali batterie che ne limitano la durata, ne aumentano il peso e richiedono lunghi tempi di ricarica.

EDD – Experimental Delivery by Drones – Test Bed per il trasporto urgente di merci anche per uso medico quali, ad esempio, coperte termiche, defibrillatori, medicine, bombole di ossigeno, etc.

In merito allo sviluppo di quest’ultimo progetto, va segnalata, tra le altre, anche la sperimentazione, di recente in Val di Susa, dell’uso dei droni per il primo soccorso medico[4] mediante il trasporto di medicine essenziali, defibrillatori o maschere d’ossigeno in luoghi difficili da raggiugere ottenendo le indicazioni mediante la tracciabilità delle chiamate mobili d’emergenza e adoperando un dispositivo GPS per raggiungere il luogo individuato.

____________________________________________________

  1. Nati ormai diverso tempo fa, per uso prevalentemente militare, i dispositivi di volo senza pilota hanno riscosso grande e crescente successo anche al di fuori degli impieghi bellici per i quali sono stati originariamente progettati. E ciò sia che si tratti di scopi ed usi meramente ricreativi, sia per l’impiego funzionale ad attività di rilevante interesse sociale.
  2. “Consigli per rispettare la privacy se si usa un drone a fini ricreativi” pubblicato sul sito del Garante per la Protezione dei Dati Personali.
  3. L’elenco dei progetti indicati in questo paragrafo, sviluppato ai sensi del Regolamento ENAC ed. 2 em. 4 art.8 comma 10, è reperibile sul sito ENAC a cura della Direzione Regionale Navigabilità – il documento è aggiornato al 9 luglio 2018.
  4. La sperimentazione di questo nuovo progetto è iniziata in Val di Susa grazie alla collaborazione tra il Comune, l’Elisoccorso 118 e l’onlus Amici del Cuore Piemonte.

L'articolo Droni: regolamento Enac e normativa post Gdpr, in Italia ed Europa proviene da Agenda Digitale.