COVID-19: SORVEGLIANZA, PRIVACY E SICUREZZA CIBERNETICA - ISPI DOSSIER Maggio 2020
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
ISPI DOSSIER Maggio 2020 COVID-19: SORVEGLIANZA, PRIVACY E SICUREZZA CIBERNETICA edited by Samuele Dominioni, Fabio Rugge
Maggio 2020
ITALIAN INSTITUTE
FOR INTERNATIONAL
POLITICAL STUDIES
S
tiamo vivendo la prima pandemia dell’era digitale. Ha colpito le nostre “nuove”
vulnerabilità esponendoci, accanto ai rischi sanitari, alle crescenti minacce cibernetiche
del mondo di oggi. La questione della cybersecurity delle piattaforme di tracciamento,
della sorveglianza sanitaria, della sicurezza dei dati personali sanitari, sono solo alcuni dei temi
sui quali si sta dibattendo molto in Italia e in molte altre parti del mondo. In gioco non c’è solo la
lotta alla pandemia ma una sfida politica e securitaria cruciale per le nostre democrazie. Quali
sono le implicazioni strategiche del contrasto tecnologico al Covid-19? Cosa è necessario
fare affinché la tecnologia ci sia davvero d’aiuto? Quali sono i rischi di una “dipendenza” dal
digitale nella lotta pandemia? E come si possono garantire privacy e diritti e allo stesso tempo
la sicurezza cibernetica?
* Samuele Dominioni is a Research Fellow at the ISPI Centre on Cybersecurity, in partnership with Leonardo.
* Counselor Fabio Rugge is Head of ISPI's Centre on Cybersecurity, in partnership with Leonardo.
1. DOMINIO CIBERNETICO, SICUREZZA NAZIONALE E VALORI NELL’ERA COVID-19
Fabio Rugge (ISPI)
2. COVID-19: DEMOCRAZIA, TECNOLOGIA E FIDUCIA
Samuele Dominioni (ISPI)
3. CONTACT TRACING: APPUNTI PER UNA RIFLESSIONE POLITICA E DI SICUREZZA NAZIONALE
Stefano Mele (Carnelutti)
4. NON SOLO APP: IL NODO DELLA DIGITALIZZAZIONE DELLA SANITÀ
Marco Mayer (LINK Campus University)
5. OLTRE AL CORONAVIRUS: I NOSTRI DATI SANITARI SONO SEMPRE PIÙ APPETIBILI
Pierluigi Paganini (Cybaze)
6. DATI SANITARI: LA NECESSARIA EVOLUZIONE DEL DIRITTO INTERNAZIONALE 2.0
Diego Bolchini (Università di Firenze)
|2Maggio 2020
ITALIAN INSTITUTE
FOR INTERNATIONAL
POLITICAL STUDIES
7. CONTACT TRACING: UN’APP PER OGNI PAESE?
Maria Sole Continiello (HSE)
|3Maggio 2020
ITALIAN INSTITUTE
FOR INTERNATIONAL
POLITICAL STUDIES
L
a pandemia COVID-19 si sta rivelando un
acceleratore di dinamiche e fenomeni
latenti dinnanzi al quale gli attori pubblici
(istituzioni, scuole, ospedali, case di riposo…),
quelli privati (imprese, piccole medie e grandi)
Dominio cibernetico, e i cittadini si son trovati in qualche misura
sicurezza nazionale e valori impreparati. La prima pandemia dell’era digitale
ha colpito le nostre “nuove” vulnerabilità,
nell’era Covid-19 esponendoci, accanto ai primari rischi di
natura sanitaria, alla minaccia cibernetica e
a quella derivante dalla manipolazione delle
informazioni. Ciò è accaduto simultaneamente
Fabio Rugge in molti Paesi, rivelando fragilità a livello globale
ISPI quanto a livello nazionale.
In questo contesto, il dominio cibernetico
(per la sua intrinseca vulnerabilità, per la sua
pervasività, per l’impunità ch’esso concede) si
è confermato un terreno d’elezione per attività
criminali e a varo titolo ostili – con effetti che
vanno ben oltre il dominio dal quale promanano
e finiscono per avere un diretto impatto sulla
sicurezza nazionale. Ciò è probabilmente
riconducibile a tre fondamentali ragioni.
In primo luogo, il confino impostoci dal COVID
Il Consigliere Fabio Rugge è Responsabile del Centre on
Cybersecurity dell'ISPI, in collaborazione con Leonardo.
Capo dell'Ufficio incaricato per la NATO e le questioni di
sicurezza e politico-militari, Direzione generale per gli
affari politici e la sicurezza, Ministero degli affari esteri e
della cooperazione internazionale. ISPI | 4COMMENTARY
ha accresciuto la superficie d’attacco che ma anche alla manipolazione delle percezioni
esponiamo ad attori ostili: per continuare del target per rendere questo modello più
a lavorare ci colleghiamo di più alla rete, appetibile). Ciò, peraltro, è vero anche rispetto
scambiamo più dati, e siamo dunque più alla minaccia eversiva di matrice interna: se
esposti ai crimini informatici e alla penetrazione la crisi economica innalzerà - come pure
dei nostri sistemi da parte di altri attori malevoli. è possibile - il livello dello scontro sociale,
Siamo stati molto meno negli uffici, per le è possibile che la dimensione digitale
strade e nei negozi, e proprio per questo siamo rappresenterà, anche qui, un palcoscenico
sempre connessi, ed è quindi su internet che ci privilegiato dello scontro. La sicurezza del
vengono a colpire. dominio cibernetico si confermerà critica per
lo sviluppo economico e per la stabilità sociale,
In secondo luogo, ci affidiamo sempre di
oltre che per l’indipendenza e la salute dei
più al dominio cibernetico per la nostra
nostri processi democratici. L’Internet of Things
resilienza economica (lo smart working,
(IoT), lo sviluppo della capacità di computo ed
l’e-commerce, eccetera) e sociale (social
i progressi nel campo dell’Artificial Intelligence
networks, insegnamento a distanza, eccetera).
(AI) stanno arrivando: siamo e saremo preparati
Eventuali interruzioni di servizio dunque
a gestire l’impatto di questi acceleratori
“costano”, a noi personalmente ed alla
tecnologici?
nostra società complessivamente, più caro
(come plasticamente dimostrano gli attacchi Almeno inItalia, non siamo all’anno zero: le
cibernetici ai danni degli ospedali) e, per nostre strutture sanitarie (ed il personale che
converso, gli attacchi cibernetici divengono vi opera) hanno dato prova di straordinaria
potenzialmente più vantaggiosi per chi li attua. capacità, devozione e tenuta; il Governo da
tempo mette in guardia e lavora per rafforzare
Infine, il dominio cibernetico ha ancora una
gli strumenti normativi (golden power) ed
volta dimostrato la sua intrinseca capacità
operativi (Consob, Cdp, Sace, Banca d’Italia,
di intervenire sui nostri processi cognitivi, di
…) a protezione della minaccia che può
modellare la nostra comprensione del mondo,
derivare da investimenti predatori (ossia legali,
di consentire un’efficace manipolazione
ma inopportuni) da parte di attori stranieri
delle narrative e dunque di influenzare le
intenzionati a sfruttare il momento. Anche nel
nostre opinioni pubbliche. La cyber-enabled
campo della sicurezza cibernetica, da anni
information warfare (ossia la guerra informativa
lavoriamo attorno ad un’eccellente ed ancora
fatta “su” e “grazie” al web) supporta la
attualissima strategia nazionale (il Quadro
ricerca da parte di diversi attori di uno “status”
Strategico Nazionale per la sicurezza dello
internazionale, e dunque essa diventa un
spazio cibernetico, del dicembre 2013) e tutti
efficacissimo “braccio armato” del soft power
gli stakeholders - a partire dalla comunità
(col quale ci si riferisce all’intrinseca attrattività
intelligence e dalla Polizia Postale, ma anche nel
del modello politico, sociale ed economico,
settore privato, tanto sul lato dei “(cyber)security
Covid-19: sorveglianza, privacy e sicurezza cibernetica ISPI | 5COMMENTARY
provider” che su quello degli operatori che sono di “cultura della sicurezza”. Questa più matura e
in prima linea nella difesa degli assetti nazionali diffusa consapevolezza è condizione necessaria
più sensibili - sono da tempo impegnati per per poter in futuro meglio mitigare e rispondere
rafforzare la sicurezza e la resilienza nazionale, agli shock sistemici, ai “cigni neri” quale
come peraltro dimostra il lavoro in corso per la indubbiamente è questo COVID. Ne va della
messa in opera del c.d. “perimetro nazionale di tutela e alla promozione dell’interesse nazionale
sicurezza cibernetica”. Se dunque da una parte – e in definitiva anche della nostra privacy
sappiamo che la minaccia cibernetica è sempre individuale, quantomeno rispetto alle potenziali
più sofisticata, pervasiva e potenzialmente ingerenze di soggetti non nazionali.
dirompente, dall’altra ci conforta sapere di poter
Infine, vale forse la pena soffermarsi sul
contare su di un’architettura e capacità nazionali
contesto internazionale in cui questa pandemia
che, alla prova dei fatti, si stanno dimostrando
interviene: la crisi COVID è un acceleratore
all’altezza del compito.
anche della Great Power Competition in corso.
Se questa crisi sta facendo crescere un po’ L’ambiente securitario diviene più volatile ed
ovunque il tasso di digitalizzazione del Paese, il confronto – anche nelle narrative nazionali
matura inoltre – e questa è forse una delle – è sempre più aspro. Lo vediamo anche nel
poche cose buone che emergono dalla dibattito internazionale di queste settimane,
pandemia in corso – la comune consapevolezza troppo spesso “sopra le righe”, e nei fenomeni
di quanto la nostra prosperità, libertà e stabilità globali che stanno emergendo e che in alcuni
siano intimamente connesse alla sicurezza delle casi mai avremmo potuto nemmeno ipotizzate
nostre reti. E siamo indotti forse a riconsiderare (il petrolio a costo negativo?). E ciò proprio
in chiave evolutiva (nell’era di Facebook, Twitter mentre crescono le interdipendenze complesse
e Google) la sempre più anacronistica antinomia (il c.d. entanglement, la compenetrazione,
“privacy contro sicurezza”. Ad ogni emergenza ad esempio, tra dimensione cibernetica,
nazionale (sia essa idro-geologica, sanitaria convenzionale e nucleare), e mentre il nostro
o cibernetica) vediamo chiaramente come la orizzonte strategico diviene più imprevedibile,
sicurezza sia il bene propedeutico al godimento anche per via della progressiva erosione dei
di ogni libertà. Se questa crisi ridefinirà almeno tradizionali strumenti multilaterali, tra cui quelli
in parte il ruolo dello Stato (magari, per certi per il controllo degli armamenti. Great Power
versi, invertendo l’ubriacatura iper-liberalista Competition significa che sempre più si profila
ed il progressivo depauperamento dello Stato a livello globale una competizione tra modelli
centrale), forse si dovrà ripartire proprio dal alternativi ed una battaglia per vincere “hearts
concetto di sicurezza, e specie di “sicurezza and minds”, per imporre la propria narrativa. Ma
partecipata” o (nella definizione offerta con attenzione, perché se Great Power Competition
straordinaria lungimiranza dal nostro legislatore significa politiche nazionali egoistiche, “my
con la legge di rifondazione della nostra country first”, occorre considerare che esse
comunità d’intelligence, la legge n. 124/2007) trovano un limite intrinseco nella misura in
Dominio cibernetico, sicurezza nazionale e valori nell’era Covid-19 ISPI | 6COMMENTARY cui esse polarizzano lo scontro, proprio nel momento in cui più urgente è la necessità di coesione a livello nazionale e di forgiare e avvantaggiarsi di approcci condivisi a livello internazionale. La cybersecurity è questione primariamente culturale, ed è uno “sport di squadra”. Credo sia dunque necessario ritrovare le ragioni valoriali di questi progetti comuni (anche infrastrutturali, si pensi al 5G), partendo dalle comunità di valori e dall’Alleanza a cui apparteniamo. Occorre, in altre parole, sviluppare approcci realmente condivisi, e rifuggire, anche in seno alle nostre alleanze più solide, visioni meramente transattive della nostra sicurezza. La radice valoriale è in ultima analisi il fondamento di ogni politica di sicurezza, inclusa quella per lo spazio cibernetico. Covid-19: sorveglianza, privacy e sicurezza cibernetica ISPI | 7
Maggio 2020
ITALIAN INSTITUTE
FOR INTERNATIONAL
POLITICAL STUDIES
L
a lotta mondiale alla pandemia di
Covid-19 ha sicuramente avuto l’effetto di
incrementare la presenza della tecnologia
all’interno delle nostre vite. Dal lavoro da
remoto ad una rinnovata socialità digitale fino
Covid-19: democrazia, all’utilizzo di piattaforme per l’intrattenimento o
lo shopping. L’uso di servizi digitali è aumentato
tecnologia e fiducia esponenzialmente. Allo stesso tempo, nel
corso degli ultimi mesi, si è assistito ad un
crescente dibattito rispetto a quelle che sono le
Samuele Dominioni potenzialità e le criticità della tecnologia per
contribuire alla lotta contro la diffusione del
ISPI
coronavirus. Nel nostro paese si è dibattuto
molto, sia a livello politico sia di opinione
pubblica riguardo la piattaforma di tracciamento
dei contagi. I pomi della discordia sono stati
svariati, dalla procedura di selezione di “Immuni”
alla composizione della Task Force, dalla scelta
di quale protocollo utilizzare per lo sviluppo
della piattaforma, a quale tipo di gestione del
diario clinico del paziente.
Per quanto di natura domestica questi dibattiti si
inquadrano all’interno di cornici ben più ampie.
Innanzitutto essi hanno avuto il merito di porre
Samuele Dominioni è Research Fellow presso l'ISPI
Center on Cybersecurity, in partnership con Leonardo. Ha
conseguito un dottorato di ricerca in scienze politiche e
storia politica presso l'Institut d’Etudes Politiques de Paris
(Sciences Po) e presso la IMT School for Advanced Studies
di Lucca, ISPI | 8COMMENTARY
l’accento su quello che è uno dei classici temi di valutare soluzioni che preservino i principi
filosofia politica: “sicurezza contro diritti” (incluso fondamentali del nostro ordinamento, senza
quello alla libertà e alla privacy). Intorno ad snaturarne il significato, e allo stesso tempo
esso si risolve una questione fondamentale per adottare politiche restrittive che garantiscano la
l’equilibrio delle società democratiche liberali sicurezza sanitaria del paese. Il rischio è di dare
ma non solo. Inoltre, e qui la filosofia politica adito a normative liberticide che specialmente
entra nel campo delle relazioni internazionali, la in regimi instabili possono determinare una
questione si inserisce nell’attuale Great Power deriva illiberale.
Competition, in particolare dalla prospettiva
È necessario sottolineare che di fronte alla
della sfida tra democrazie liberali e regimi
pandemia di Covid-19 i cittadini italiani, come
autoritari per quanto attiene a diversi indicatori
quelli di quasi tutti gli altri paesi del mondo,
di performance come quello della stabilità
hanno accettato, tutto sommato, di buon
politica, della crescita economica e della
grado le misure restrittive ai movimenti e alle
digitalizzazione della società. La competizione
attività permesse. Il dibattito è piuttosto ruotato
ha già, e avrà sempre più, conseguenze
intorno all’utilizzo della tecnologia come fattore
mondiali anche alla luce della capacità
abilitante una maggior sorveglianza nell’ambito
di gestire la crisi economica e sociale che
delle attività di contrasto al Covid-19. Vi
seguirà quella sanitaria. Le democrazie liberali,
sono due principali motivazioni alla base
in quanto tali, devono garantire lo stato di
del clamore generato rispetto questa
diritto e l’equilibrio tra sicurezza e diritti è un
possibilità. Da un lato senza dubbio vi è stata
esercizio continuo e non sempre facile. Infatti,
la non lineare gestione del processo volto
questo equilibrio si deve adattare agli eventi
alla selezione della piattaforma Immuni e
e agli sviluppi della società contemporanea.
dei successivi passi per lo sviluppo della stessa.
Un caso relativamente recente è quanto
Dall’altro il rapporto tecnologia/libertà rimanda
avvenuto negli Stati Uniti con il Patriotic Act
emozionalmente ad una atavica paura/
nel post 11 settembre 2001. I sostenitori del
eccitamento per la tecnologia, che si ritrova
Patriotic Act rilevavano come la protezione
in molti prodotti culturali di natura distopica,
della sopravvivenza stessa dell’ordine costituito
a partire dal classico 1984 di George Orwell
necessitava una limitazione di alcune libertà
fino alle acclamate e popolari serie Black
e diritti individuali. Ovviamente, le implicazioni
Mirror e Westworld. Le contrastanti emozioni
per la sospensione di questi diritti possono
generate da tali prodotti s’intersecano con
essere di varia natura ed essere, in misura
l’angoscia generata dalle rivelazioni e dai moniti
variabile, sottoposte a scrutinio istituzionale
riguardo allo sviluppo di una sorveglianza di
e, infine, di breve o lungo termine. Di fronte
massa mondiale fatte in primo luogo da Edward
alla crisi in corso, in cui un bene comune – la
Snowden.
salute pubblica – è messo a repentaglio dalla
diffusione di un agente patogeno, è necessario
Covid-19: sorveglianza, privacy e sicurezza cibernetica ISPI | 9COMMENTARY
Ad ogni modo, in un ordinamento democratico, con qualcuno risultato positivo al Covid-19),
per far sì che le soluzioni tecnologiche siano quest’ultimo s’identifichi al servizio sanitario
di un qualche effetto nell’estenuante lotta nazionale per seguire le predisposizioni del
contro il Coronavirus, è necessario superare caso. Su questo punto, fondamentale per un
virtuosamente le preoccupazioni e le remore corretto uso del tracciamento, si attendono
finora emerse e far sì che la app Immuni sia ancora sviluppi normativi. Si può tuttavia
scaricata da quante più persone possibile. ipotizzare delle soluzioni win-win per tutti,
Infatti, come già evidenziato una copertura altrimenti si rischia di non ottenere i risultati
del 60% della popolazione è davvero difficile sperati. In altre parole, come argomentato da
da raggiungere e pertanto serve innanzitutto Carlo Alberto Carnevale Maffé, è auspicabile
coltivare la fiducia tra stato e cittadino. Una pensare un nuovo patto sociale tra cittadino
fiducia profonda e ben delineata da Marco e Stato costruito sulla convinzione da parte di
Mayer nel suo articolo che si instaura entrambi che il solo modo di combattere il virus
innanzitutto tra il paziente e il medico per poi via è facendo squadra. L’idea è quella di favorire
via svilupparsi intorno al sistema stesso di sanità la diffusione e l’accettazione di uno standard
pubblica. Inoltre, per ottenere, incrementare e sanitario su base volontaria, come quello della
mantenere la fiducia è necessario, come ben app Immuni, attraverso degli equi indennizzi.
spiegato da Stefano Mele, che nell’ideazione Non si tratta d’incentivi o disincentivi che
e nell’implementazione della piattaforma di hanno una natura contestabile e già esclusa
tracciamento si osservino alcune imprescindibili dal governo; la logica è diversa e già utilizzata
e solidissime garanzie specialmente per in altri settori secondo una giurisprudenza
quanto riguarda il trattamento dei dati degli specifica (vedi ad esempio la sentenza della
utenti. Infatti, ciò che deve sorreggere la Corte Costituzionale 107/2012) volta a risarcire
partecipazione in massa a questo processo coloro impossibilitati a espletare le proprie
di contact tracing è la necessaria convinzione attività perché in quarantena attraverso un
di ciascuno rispetto l’utilità e la sicurezza della contributo automatico di welfare.
stessa (e quindi dei nostri dati), anche perché
È solo attraverso un aumento della fiducia verso
non vi sono soluzioni alternative eticamente
le istituzioni, anche pensando un nuovo patto
sostenibili al suo uso volontario.
sociale tra cittadini e stato per l’occasione, che
Vi sono tuttavia ancora dei punti sui quali è si può accrescere la volontarietà e quindi la
necessario fare chiarezza e auspicare delle partecipazione ai programmi di tracciabilità.
soluzioni adeguate che vadano verso una Attualmente, è questa una delle sfide più
maggior desiderabilità delle implicazioni importanti in cui è in gioco la credibilità delle
socio-sanitarie che comporta la tracciabilità. democrazie liberali, in cui si deve preservare
Ad esempio, è necessario che una volta e proteggere la sicurezza e il corpus di diritti
che l’utente riceva la notifica riguardo al e libertà che ci contraddistinguono. Anche ai
suo possibile contagio (è entrato in contatto tempi del Covid-19.
Covid-19: democrazia, tecnologia e fiducia ISPI | 10Maggio 2020
ITALIAN INSTITUTE
FOR INTERNATIONAL
POLITICAL STUDIES
L
'emergenza sanitaria legata al Covid-19 sta
da tempo dimostrando tutte le potenzialità
tipiche di una pandemia globale di lunga
durata, caratterizzata da un elevato tasso di
mortalità e da un’altissima capacità d’impatto
Contact Tracing: appunti sul sistema sanitario dei paesi colpiti. Pertanto,
nell’attesa di un vaccino, gli stati colpiti sono
per una riflessione politica impegnati nella gestione di questa emergenza
e di sicurezza nazionale utilizzando una strategia tesa principalmente
a contenere il diffondersi del virus e prevenire
ulteriori contagi. La quasi totalità di essi, quindi,
sta puntando da un lato sull’isolamento degli
Stefano Mele infetti e sulla loro decontaminazione, dall’altro
Carnelutti sulla quarantena, sul distanziamento sociale,
sulle scrupolose misure igieniche e – in un
numero sempre maggiore di casi – anche sul
tracciamento dei contatti sociali attraverso
l’utilizzo delle tecnologie.
Tutti gli studi incentrati su quest’ultimo tema
sono concordi nell’affermare che, dato il
livello di contagiosità del Covid-19 e l’elevata
percentuale di trasmissione attraverso individui
pre- o a- sintomatici, il controllo dell’epidemia
mediante il tracciamento manuale dei
Stefano Mele è avvocato, Partner di Carnelutti Studio
Legale Associato, ove è il Responsabile del Dipartimento di
Diritto delle Tecnologie, Privacy e Cybersecurity.. ISPI | 11COMMENTARY
contatti sociali sia impossibile e quindi inutile. Nonostante le numerose criticità, il governo
Contestualmente, però, questi stessi studi italiano ha comunque deciso di utilizzare
sono altrettanto concordi nell’evidenziare che un sistema di allerta Covid-19 incentrato su
l’utilizzo di una app per smartphone, capace di un’app per smartphone che utilizza tecnologia
costruire un “ricordo” dei contatti di prossimità Bluetooth, basando la propria decisione sulla
e di notificare immediatamente eventuali legittima necessità di dover trovare in casi di
incontri con soggetti positivi, sarebbe utile per gravissima emergenza – come quella odierna
fermare l’epidemia solo se fosse utilizzata da – un punto di equilibrio tra i diritti fondamentali
un numero particolarmente elevato di cittadini della salute e della protezione dei dati personali,
e solo qualora fosse abbinata a politiche di comprimendo in questo caso il secondo a
rigido distanziamento sociale e a controlli favore del primo. Tuttavia, seppur legittimo, tale
sanitari a tappeto sulla popolazione alla ricerca approccio necessita che il trattamento di questi
dei contagiati (ad esempio, i tamponi). Occorre, dati debba obbligatoriamente sottostare ad
quindi, delineare una strategia articolata su più alcune imprescindibili e solidissime garanzie,
piani di intervento, che parta dal riconoscimento onde evitare che anche solo i rischi finora
quanto più immediato possibile della tratteggiati possano impattare in maniera
contagiosità del soggetto e arrivi al sistema di evidente tanto sul piano politico, quanto su
allerta attraverso l’app per smartphone. Non quello giuridico e della sicurezza nazionale.
viceversa.
In tal senso, quindi, il governo dovrà
Peraltro, l’impiego di un simile strumento quantomeno provvedere a:
tecnologico solleva non pochi problemi
• Garantire che solo norme primarie possano
etici e giuridici riguardanti – solo per citarne
incidere in maniera così profonda su un
alcuni – l’accesso, la trasparenza, l’uso e la
diritto fondamentale di libertà di tutti i
protezione dei dati personali dei cittadini, dei
cittadini italiani come quello alla protezione
dati riguardanti il loro stato di salute, così come
dei dati personali. Ciò, al fine di impedire che
delle loro relazioni e interazioni sociali. Per di
l’intero processo di creazione e gestione
più, a poco possono servire processi tesi ad
del sistema nazionale di allerta Covid-19 sia
anonimizzare questi dati (e men che meno
lasciato all’arbitrarietà di pochi e a semplici
processi di “pseudonimizzazione”), in quanto
atti di natura amministrativa, sfuggendo
la letteratura è piena di evidenze sul valore e
così al confronto parlamentare e alle sue
l’utilità – anche commerciale – dei Big Data,
garanzie. Inoltre, tali norme primarie, che
così come sulla possibilità di de-anonimizzare
dovranno entrare in vigore prima dell’utilizzo
i dati relativi alla mobilità dei cittadini, tracciare
dell’app di tracciamento da parte dei
i loro dispositivi e acquisire informazioni (ad
cittadini, dovranno avere come obiettivo
esempio, nel caso di utilizzo della tecnologia
quello di regolare complessivamente l’intero
Bluetooth, tra i vari possibili, i cosiddetti
sistema nazionale di allerta Covid-19 (quindi,
‘Bluetooth Beacons’).
Contact Tracing: appunti per una riflessione politica e di sicurezza nazionale ISPI | 12COMMENTARY
sia l’app che i sistemi informatici di raccolta internazionali, sia pubblici sia privati, a vario
dei dati e di allerta), le sue caratteristiche, titolo interessati.
il suo funzionamento, le misure poste a (Rischio che impatta sul piano politico,
salvaguardia dei diritti dei cittadini, i criteri giuridico e della sicurezza nazionale)
precisi in conseguenza dei quali un contatto • Utilizzare solo sistemi informatici presenti
con un soggetto giustifichi l’invio di un all’interno del territorio italiano per erogare
alert, così come le procedure che i cittadini l’intero servizio, per conservare i dati dei
dovranno seguire nel caso dovessero cittadini e i loro backup, prevedendo
scoprire di essere entrati in contatto con un anche che siano gestiti dal governo in
contagiato. maniera diretta ed esclusiva attraverso
(Rischio che impatta sul piano politico e soggetti pubblici. Ciò, al fine di impedire
giuridico) che simili informazioni – rilevanti sul piano
• Garantire la totale trasparenza nei confronti della qualità, della quantità e soprattutto
dei cittadini in ogni singola fase di vita della capillarità – possano più o meno
del sistema nazionale di allerta Covid-19 direttamente entrare in possesso di attori
(individuazione dell’esigenza e dei requisiti, europei e internazionali, sia pubblici che
realizzazione, protezione, implementazione privati, interessati a vario titolo.
e cessazione), esplicitando anche tutti i (Rischio che impatta sul piano politico,
principi etici e normativi che guideranno giuridico e della sicurezza nazionale)
questo percorso. Ciò, al fine di impedire che • Verificare che nessun attore nazionale e
la mancanza di chiarezza in ciascuna delle soprattutto internazionale, ivi compresa
fasi di questo processo possa dare adito a la società aggiudicataria dello sviluppo
dubbi e strumentalizzazioni, soprattutto sul dell’app per smartphone, possa in
piano legale e dell’utilizzo dei dati personali, qualsivoglia modo accedere direttamente
minando così la fiducia dei cittadini nell’uso o incidentalmente ai dati raccolti, anche nel
finale dell’app per smartphone. caso in cui questo soggetto abbia dato un
(Rischio che impatta sul piano politico) qualsiasi apporto – anche tecnologico – per
• Verificare in maniera approfondita le la realizzazione o per l’efficacia del sistema
relazioni, soprattutto economiche e di nazionale di allerta Covid-19. Ciò, al fine di
finanziamento, che la società aggiudicataria impedire che simili informazioni – rilevanti
dello sviluppo dell’app per smartphone sia sul piano della qualità, della quantità e
ha intrecciato nel tempo. Ciò, al fine di soprattutto della capillarità – possano più o
impedire che simili informazioni – rilevanti meno direttamente entrare in possesso di
sia sul piano della qualità, sia su quello attori europei e internazionali, sia pubblici
della quantità e soprattutto della capillarità che privati, interessati a vario titolo.
– possano più o meno direttamente (Rischio che impatta sul piano politico,
entrare nel possesso di attori europei e giuridico e
Covid-19: sorveglianza, privacy e sicurezza cibernetica ISPI | 13COMMENTARY
della sicurezza nazionale) catena della sicurezza. Pertanto, controllare
• Rendere obbligatoriamente disponibile al le persone fisiche che garantiranno questi
pubblico il codice sorgente del software servizi è altrettanto indispensabile quanto
su cui si basa l’intera app per smartphone, proteggerle dagli attacchi informatici
permettendone l’audit da parte della esterni. Statisticamente, infatti, la metà di
comunità scientifica ed effettuando questi incidenti provengono dall’interno
contestualmente anche dei penetration della struttura e sono causati, appunto, dagli
test sulla stessa, prima del suo massivo individui per disattenzione e negligenza,
utilizzo da parte dei cittadini. Ciò, sia per ma anche – sempre più spesso – perché
una maggiore sicurezza dell’app per ricattati, costretti o pagati per ottenere le
smartphone, sia per verificare che i dati dei informazioni.
cittadini non vengano mai trasferiti su altri (Rischio che impatta sul piano politico,
server che non siano esclusivamente quelli giuridico e della sicurezza nazionale)
pubblici deputati ad accoglierli.
Solo l’accoglimento e la reale implementazione
(Rischio che impatta sul piano politico,
da parte del governo italiano di queste prime
giuridico e della sicurezza nazionale)
e imprescindibili garanzie potranno far sì
• Applicare misure di sicurezza rigide e
che questo progetto incontri la fiducia dei
stringenti all’intero sistema nazionale di
cittadini, salvaguardando – pur nella necessità
allerta Covid-19 (quindi, sia all’app che ai
di risolvere quest’emergenza sanitaria – i
sistemi informatici di raccolta dei dati e di
loro diritti fondamentali e anche la sicurezza
allerta), oltre che i principi di segregation
nazionale. Se ciò non dovesse avvenire, ci
of duty e need to know alle persone
troveremmo dinanzi a un annunciato fallimento,
fisiche destinate a tutte le fasi di questo
colpevole peraltro di aver incredibilmente
servizio. Ciò, al fine di impedire che simili
provato a barattare un diritto fondamentale di
informazioni – rilevanti sia sul piano
libertà dei cittadini, com’è quello alla protezione
della qualità, della quantità e soprattutto
dei loro dati personali, con l’utilizzo di un’app
della capillarità – possano più o meno
per smartphone. Come se fossimo di fronte
direttamente entrare nel possesso di attori
a un qualsiasi software commerciale e non a
europei e internazionali, sia pubblici che
una delle possibili soluzioni utili a supportare la
privati, a vario titolo interessati. Inoltre,
risoluzione dell’emergenza sanitaria più vasta di
soprattutto in questo caso, è importante
cui la nostra generazione ha memoria.
ricordare anche come l’essere umano
rappresenti sempre l’anello più debole della
Contact Tracing: appunti per una riflessione politica e di sicurezza nazionale ISPI | 14Maggio 2020
ITALIAN INSTITUTE
FOR INTERNATIONAL
POLITICAL STUDIES
I
n questi giorni la rivista Tech del MIT mette
in evidenza la vera e propria alluvione di app,
dispositivi digitali e diavolerie tecnologiche
spuntate da ogni parte per fronteggiare
l'emergenza Coronavirus. Da una rapida
Non solo app: il nodo della rassegna si osserva che pochi progetti cercano
di rispondere ad esigenze mediche specifiche
digitalizzazione della sanità o a ricerche epidemiologiche collegate
all' andamento delle malattie infettive e in
Marco Mayer particolare alle lezioni apprese nel combattere
ISPI Sars, Mers, Ebola, ecc. La grande maggioranza
dei progetti di e-health non affronta alla radice
temi sanitari irrisolti, ma si limita a puntare a
una espansione quantitativa delle tecnologie
digitali come se la loro diffusione fosse di per
sé la panacea di tutti i mali. Non è la prima volta
che accade. Nella loro fase iniziale più o meno
in ogni settore i processi di digitalizzazione sono
promossi e venduti come processi magici. A
sette anni di distanza basta rileggere con occhio
critico il celebre libro del fondatore di Google,
Eric Schmit1 per capire quanto sia importante
distinguere da un lato i valori aggiunti che
caratterizzano l'era digitale, dall’altro le
Marco Mayer è professore a contratto al Master in
cybersecurity presso l'Università LUISS Guido Carli di
Roma, Ex consigliere speciale sulla sicurezza informatica
del Ministro italiano degli Affari interni ISPI | 15COMMENTARY
promesse mancate e gli inconvenienti che essa le epidemie, Quando ad una persona viene
comporta. diagnosticata la malattia infettiva (sia essa
asintomatica o con sintomi più o meno gravi)
Per operare questa distinzione in ambito
è un preciso dovere degli operatori e del
sanitario (da cui dipendono in buona misura la
paziente fare il massimo sforzo per ricostruire
salute fisica e mentale, le malattie e nei casi più
i contatti personali, gli ambienti di lavoro e i
gravi la vita o la morte delle persone) conviene
luoghi frequentati nell’ultima settimana. Una
sgombrare subito il campo dai complessi
volta conclusa questa mappatura di contatti è
risvolti di business che il diritto alla salute
indispensabile informare le persone individuate
inevitabilmente si porta dietro. Le cartelle
perché esse possano sottoporsi nel più breve
cliniche, i dati sui ricoveri, il consumo dei
tempo possibile al tampone ed alla relativa
farmaci, le visite specialistiche, le campagne sui
analisi con i reagenti). Questa attività viene
vaccini, per non parlare di aspetti più sofisticati
gestita con la dovuta discrezione da parte degli
(caratteristiche genetiche e profili psico-
operatori sanitari con un giro di telefonate.
comportamentali dei pazienti) costituiscono
È superfluo aggiungere che é un preciso
gigantesche e preziose miniere di informazioni
dovere deontologico garantire a tutti i cittadini
sia per i progressi della medicina, sia per il
potenzialmente coinvolti l'assoluto anonimato.
successo delle aziende private orientate al
profitto. Nel momento in cui – con l’avvio della fase
2 – alcuni milioni di lavoratori riaquistano
Una vasta letteratura scientifica ha messo
la libertà di movimento la tempestività dei
in rilievo da lungo tempo come la logica
tamponi (e ovviamente delle analisi relative)
dell’economia di mercato non può essere
diventa ancora più importante. Non basta più
meccanicamente trasposta nel comparto
restare a casa, lavarsi le mani, indossare la
della sanità. Sul versante dei consumatori (i
mascherina e sanificare gli ambienti di lavoro;
pazienti) un'intrinseca assimetria informativa
per contenere e possibilmente sconfiggere il
limita fortemente il loro potere di scelta rispetto
Covid-19 occorre spengere sul nascere i focolai
all’offerta (i medici). Sul piano della produzione
effettuando i tamponi alle moltissime persone
di beni e servizi le legittime esigenze del
a rischio già identificate a cui abbiamo fatto
profitto possono entrare in conflitto con
cenno in precedenza. Per svolgere questo
necessità fondamentali per la medicina, ma non
compito assolutamente prioritario non c’è
redditizie. Queste due peculiarità del comparto
bisogno di un app; basta una comunicazione
sanitario pongono un costante problema
tecnologica elementare che già viene utilizata
di bilanciamento tra logiche di mercato e
per le prenotazioni dei Cup. Per non escludere
imperativi della salute pubblica.
i molti anziani che non possiedono uno
È in questa complessa cornice che occorre smartphone basterebbe inoltrare un sms a
inquadrare il tema del tracing, attività cruciale tutti gli interessati con la data, l'ora e il luogo
– in assenza di vaccino – per sconfiggere dove fare i tamponi e le istruzioni relative.
Non solo app: il nodo della digitalizzazione della sanità ISPI | 16COMMENTARY
I dati telefonici ci sono e i programmi di diagnostiche possono rimettere al centro il
prenotazione anche, basta adattarli. Quando il medico di base e le strutture territoriali con
commissario Domenico Arcuri ha dichiarato che grandi vantaggi operativi e risparmio di costi.
tecnologie e mascherine sono indispensabili
Tuttavia guai a dimenticare che anche con le
per attuare la fase due moltissime persone
protesi tecnologiche più avanzate la fiducia
(in attesa da tempo) hanno pensato: “bene
tra medici e pazienti resta l'indicatore più
finalmente avremo a disposizione un sistema di
importante per valutare il buon funzionamento
prenotazione automatica dei tamponi; non resta
di un sistema sanitario. La fiducia a cui faccio
che aspettare la convocazione via sms”.
riferimento non é esclusivamente quella con
Purtroppo non è andata così. L’attenzione il medico di famiglia, ma con l'insieme dei
si è viceversa concentrata su altro, non sui professionisti che i cittadini incontrano nel loro
gravi pericoli derivanti da possibili ritardi percorso di vita: il pediatra, il geriatra, il medico
nell’effettuazione dei tamponi, ma sulla parola del pronto soccorso, il chirurgo, gli specialisti
magica “App”. In Italia da molte settimane delle diverse discipline. L'unità di misura della
la celebre “App Immuni” è sotto i riflettori fiducia non deriva da un fattore momentaneo,
dell’opinione pubblica e in questi giorni è ma essa si sviluppa in un processo di
addirittura oggetto di attenzione da parte del interazione che i pazienti costruiscono in
Copasir (Comitato Parlamentare di Controllo relazione al percorso diagnostico e terapeutico
sull’operato dei nostri servizi segreti). Non proposto dal medico e/o dei medici a cui
sono assolutamente contrario ai processi di si affidano oltre ovviamente al rispetto della
digitalizzazione della sanità, i vantaggi della riservatezza e agli altri loro doveri deontologici.
telemedicina sono sotto gli occhi di tutti. Ma
Questa fiducia alimenta in modo rilevante la
ancora una volta il punto centrale è come
reputazione tecnico-scientifica che circonda
avviene il processo e chi lo gestisce. Immuni
i professionisti nel territorio, negli studi
è partita con il piede sbagliato ed è inutile
specialistici, nei presidi ospedalieri e nelle
infierire. Ma ogni volta si ripete la stessa storia. Si
cliniche universitarie. La fiducia (ragionata) è
dimentica che è indispensabile prima cambiare
alla base della cooperazione attiva del paziente
l’organizzazione e poi digitalizzare e non fare
con il medico, di una buona organizzazione
l’inverso. I medici, i dirigenti sanitari, il personale
del sistema sanitario a livello territoriale/
deve conoscere e sfruttare le opportunità
ospedaliero e della partecipazione attiva
offerte dalla rivoluzione digitale e tenerne conto
dei cittadini alla tutela della salute pubblica.
nei progetti di riorganizzazione delle strutture.
L'emergenza pandemia ha appena dimostrato
Gli informatici, gli esperti di AI e gli ingegneri
quanto sia essenziale anche se non sufficiente.
delle telecomunicazione devono seguire la
In altre parole se il cittadino si chiude in casa,
committenza della comunità medico-scientifica,
o se rispetta la distanza fisica e indossa la
del personale parasanitario e degli stessi
mascherina quando esce blocca il contagio,
pazienti e non viceversa. Le nuove tecnologie
Covid-19: sorveglianza, privacy e sicurezza cibernetica ISPI | 17COMMENTARY
ma non sblocca il funzionamento della società. due fenomeni inquietanti – emersi con grande
Troppe sono incognite: quanti sono i portatori drammaticità in questi mesi di pandemia. Da
sani? E quanti sono già impegnati nella fase 2. un lato si registra l'assenza istituzionalizzata
La verità è che risulta impossibile identificare di un medico dedicato nelle RSA; per inciso
i positivi asintomatici (e i casi lievi) finché il le rette per gli assistiti sono peraltro pagate
personale sanitario non attua i tamponi e per il 50% dal sistema sanitario, ma esso é
le autorità sanitarie non procedono con le completamente estraneo alla loro gestione.
analisi nei laboratori disponendo dei reagenti Dall'altro in alcune realtà del nostro paese
necessari. Senza questo passaggio cruciale si assiste a una pianificazione del sistema
la curva sta scendendo, ma può risalire sanitario centrato quasi esclusivamente
perché probabilmente sono troppo numerosi sull'ospedale (pubblico o privato che sia) con
i cittadini non controllati che hanno permesso un sostanziale abbandono della medicina
di muoversi. D'altra parte non si può stare territoriale. L'emergenza per il Covid-19 ha fatto
fermi all'infinito e si rischia di finire in un circuito emergere tali debolezze sistemiche. Ma al di
vizioso perché in assenza di dati sanitari viviamo là della pandemia, è indispensabile prepararsi
nella nebbia. In questa cornice la fiducia si a un cambiamento epocale che avverrà
basa su quattro pilastri: A) distanza fisica; B) nel comparto sanitario con l'introduzione
mascherine e igiene personale; C) tamponi; generalizzata di tecnologie digitali. Siamo
D) analisi e reagenti. Riguardo ai punti A) e B) alla vigilia di una gigantesca rivoluzione
i cittadini italiani sembra abbiano fatto il loro organizzativa che nel giro di pochi anni muterà
dovere, salvo pochissime eccezioni. Purtroppo completamente lo scenario. Attenzione, il
sui punti C) e D) – salvo lodevoli eccezioni, miglioramento non è automatico, l’intelligenza
ancora non ci siamo, né il Ministero della Sanità artificiale è notoriamente stupida, saremo
ha per ora indicato una deadline precisa in sempre più inondati da app di ogni genere.
materia di tamponi. Chi è competente deve scegliere cosa serve
davvero e cosa è superfluo per migliorare
Nel passato il medico condotto – al pari del
l’offerta sanitaria: solo così può guadagnarsi
farmacista e del maresciallo dei carabinieri - era
sul campo il bene più prezioso: la fiducia dei
una figura di riferimento – talora mitica – per
cittadini.
intere comunità sociali con notevoli benefici
sul piano dell'igiene pubblica. Negli ultimi
decenni – con l'avvento delle nuove tecnologie
diagnostiche – si é assistito viceversa a una
"spersonalizzazione" della figura del medico di
famiglia. In alcune situazioni inutile negarlo é
stato erroneamente percepito come una mera
figura "notarile": un compilatore delle ricette per 1. E. Schmit, La nuova era digitale: La sfida del futuro per
diagnostica e farmaci. A ciò si collegano altri cittadini, imprese e nazioni, Rizzoli, 2013
Non solo app: il nodo della digitalizzazione della sanità ISPI | 18Maggio 2020
ITALIAN INSTITUTE
FOR INTERNATIONAL
POLITICAL STUDIES
Mentre gli stati di tutto il mondo si confrontano
con l’emergenza riguardante la pandemica
COVID-19, il dibattito politico e pubblico è
sempre più orientato alle problematiche di
privacy e sicurezza proprie del settore sanitario.
Oltre al coronavirus: Prima di entrare nel merito degli attacchi
i nostri dati sanitari sono osservati dall’inizio della pandemia, cerchiamo
di comprendere chi, e perché, è intenzionato
sempre più appetibili ad accedere ai dati sanitari e per quale
motivo le organizzazioni del settore sono
particolarmente esposte ad attacchi cibernetici.
Pierluigi Paganini Purtroppo, il settore sanitario è da sempre
CYBAZE un obiettivo privilegiato di gruppi dediti
al crimine informatico. Secondo l’ultimo
rapporto dell’associazione italiana di
sicurezza CLUSIT il settore sanitario è tra
quelli maggiormente interessati da attacchi
informatici, addirittura è al terzo post nella
graduatoria e presenta un trend in allarmante
crescita (vedi Figura 1)
I principali responsabili di attacchi a
organizzazioni che operano nel settore sanitario
sono senza alcun dubbio gruppi di cyber
Pierluigi Paganini è Chief Technology Officer di Cybaze
e membro dell'Agenzia dell'Unione Europea per la
Cybersecurity. ISPI | 19COMMENTARY
criminali. Infatti, secondo i dati proposti dal sanitarie di vario genere. L’utilizzo di queste
CLUSIT, il 97%, degli attacchi è stato attribuito informazioni potrebbe consentire ad un
a gruppi dediti al crimine informatico, cyber criminale di rubare l’identità di un medico e di
criminali, mentre solo un 2% è associato a operare in suo nome. Una tipica frode consiste
campagne di cyber-spionaggio e un 1% ad nell’utilizzare l’identità di un medico per
attacchi da parte di attivisti. presentare richieste di risarcimento assicurativo
fraudolente o ottenere prescrizioni per farmaci
I dati sanitari sono merce preziosa
speciali, come gli oppioidi.
nell’underground cyber criminale; talvolta il
loro valore è superiore a quelle di informazioni Accanto al furto di dati si registrano con
finanziarie commercializzate in hacking forum. estrema frequenza attacchi ransomware contro
Infatti, i dati finanziari sono caratterizzati da strutture ospedaliere, attacchi che spesso
una finestra temporale di utilizzo limitata; hanno portato alla paralisi di attività all’interno
ad esempio, i dati associati ad una carta di delle aziende colpite. In questo caso i criminali
credito devono essere utilizzati prima che la cercano di massimizzare il profitto richiedendo
stessa sia bloccata dal proprietario accortosi il pagamento di ingenti somme di danaro per
di una possibile frode o prima che la stessa consentire agli amministratori delle strutture
sia scaduta. Diversamente i dati sanitari di decifrare i dati criptati a seguito dell’attacco.
di un individuo sono utilizzabili per attività Negli ultimi messi numerosi ospedali americani
criminali per tutto il tempo in cui è in vita un sono stati vittime di tali attacchi, e purtroppo
individuo e talvolta anche dopo la sua morte. anche durante l’emergenza COVID-19 si sono
I dati sanitari possono essere utilizzati per registrati episodi di tale natura nei confronti
condurre molteplici attività illecite, quali attacchi di ospedali in tutto il mondo, come ad esempio
di phishing, attacchi malware, e diversi tipi di in Spagna e Repubblica Ceca.
frodi. Le cartelle cliniche possono essere molto
Come già menzionato, anche gruppi mercenari,
redditizie per i criminali informatici, si pensi
ovvero che operano per conto di governi, sono
che il loro valore nel dark web varia dai $70 ai
spesso dietro ad attacchi contro organizzazioni
$150, in funzione di quanto siano dettagliate, di
che operano nel settore sanitario per tre
quale nazione provengano e della tipologia di
principali finalità: spionaggio, sabotaggio
paziente cui appartengano.
e auto-finanziamento attraverso crimini
Di recente si è osservata un’allarmante informatici.
tendenza, la disponibilità nei principali black
Nel primo caso, gli hacker che operano
market ed hacking forum di dati relativi ai
per il governo sono alla ricerca di progetti,
medici stessi. Questi dati sono offerti nei
brevetti, risultati di sperimentazioni di farmaci
principali mercati neri per circa US $500,
o vaccini che potrebbero fornire allo stato per
gli archivi includono documenti assicurativi,
il quale operano un significativo vantaggio
diplomi e licenze mediche, ed autorizzazioni
competitivo nel settore della ricerca. Di
Oltre al coronavirus: i nostri dati sanitari sono sempre più appetibili ISPI | 20COMMENTARY
Figura 1 – Fonte Rapporto Clusit 2020
Covid-19: sorveglianza, privacy e sicurezza cibernetica ISPI | 21COMMENTARY
recente la Cybersecurity and Infrastructure Pompeo, altri paesi stanno conducendo
Security Agency (CISA) e il National Cyber campagne di disinformazione, tra cui Cina e
Security Centre (NCSC) del Regno Unito Iran. Queste operazioni potrebbe avere effetti
hanno annunciato di aver avviato investigazioni destabilizzanti sulla popolazione, soprattutto in
su attacchi contro università, organizzazioni un momento critico come questo.
di ricerca e società farmaceutiche. Secondo
Infine, gruppi di hacker che operano per
le agenzie gli attacchi sarebbero attribuibili
governi possono operare per sabotare le
a gruppi APT (Advanced Persistent Threat),
infrastrutture di un paese avversario oppure
ovvero attaccanti persistenti che operano per
rubare informazioni e rivenderle nell’ecosistema
conto di governi stranieri.
criminale per auto-finanziare governi soggetti a
Nel secondo scenario, quello di sabotaggio, sanzioni. In passato gruppi APT che operano per
gruppi di hacker che operano per governi conto del governo della Corea del Nord si sono
stranieri conducono attacchi intenzionati a specializzati in attacchi contro le banche ed
destabilizzare il contesto politico di un paese exchange di crypto-valute allo scopo di rubare
avversario. Efficaci quanto pericolose sono fondi ed utilizzarli per finanziare attività militari
le campagne di disinformazione condotte del regime nonostante le sanzioni internazionali.
su larga scala che hanno come obiettivo
In un contesto come quello descritto è
quello di delegittimare le politiche adottate
necessario uno sforzo congiunto di agenzie
dai governi per fronteggiare l’epidemia di
governative, forze dell’ordine, aziende di cyber
COVID-19. L’agenzia europea European External
security e le stesse aziende del settore sanitario
Action Service ha recentemente pubblicato
per assicurare la loro protezione. Occorre che
un rapporto che avverte di una “significativa
siano condivise informazioni sugli attacchi e
campagna di disinformazione operata da attori
sugli attori malevoli e che si implementino
di stato russi e che ha colpito gli Stati membri
misure di sicurezza idonee ad incrementare la
dell’UE”. Secondo il Segretario di Stato Mike
resilienza delle infrastrutture sanitarie
Oltre al coronavirus: i nostri dati sanitari sono sempre più appetibili ISPI | 22Maggio 2020
ITALIAN INSTITUTE
FOR INTERNATIONAL
POLITICAL STUDIES
I più recenti eventi di cronaca cyber fanno
sempre più riflettere su come porsi rispetto al
fenomeno degli attacchi informatici alla luce
di un sistema di diritto internazionale pubblico
ed umanitario pensato per agenti umani e
Dati sanitari: la necessaria ancorato a criteri sovrani fisici. Le odierne
vicende del cyber collidono in particolare con
evoluzione del diritto l’“ossessione” originaria del diritto internazionale
internazionale 2.0 per il territorio, essendo una disciplina
interamente costruita sul concetto di spazio ed
oggetti “tangibili”.
Questa tangibilità fisica viene sempre più
Diego Bolchini compressa ed erosa dalle nuove tecnologie,
Università di Firenze banche dati e piattaforme digitali. Si pensi, sul
piano dei dati sanitari, ai c.d. “fascicoli sanitari
elettronici” di user-pazienti e dei sottesi spazi
di conoscibilità degli stessi. Quando si parla
di sanità elettronica e di moderne tecnologie
dell’informazione nella sanità si introduce de
facto un livello “terzo” di tipo tecnico nella linea
di rapporto fiduciario medico/paziente. Un
livello che presenta ontologicamente - nella
sua stessa natura tecnica - potenziali rischi
per accessibilità, integrità e protezione dei dati
Diego Bolchini è docente di analisi delle informazioni
per la sicurezza presso l’Università di Firenze - Corso di
Perfezionamento Post-Laurea in Intelligence e Sicurezza
Nazionale svolto in sinergia con la PcM e Research
Associate Fellow presso l’Istituto Gino Germani di Scienze
Sociali e Studi Strategici. ISPI | 23COMMENTARY
stessi rispetto ad attacchi cyber. Sono quindi sull’efficacia delle misure protettive potrebbero
evidenti le implicazioni strategiche della loro sorgere se si distruggessero o confondessero
protezione cibernetica. dati di tracking e contact tracing relativi
all’epidemia di Covid-19. Da qui l’attenzione sul
In senso più generale, non a caso, oggi il
tema delle app anche da parte dell’organo di
rapporto tra le nuove tecnologie e il diritto
controllo parlamentare (COPASIR) previsto e
internazionale, comunitario e nazionale appare
istituto dalla Legge nr. 124 del 2007, per come
in pieno fermento e ri-adattamento simbiotico,
emersa su diversi organi di stampa nazionali Al
aprendo diversi “coni di futuri” possibili.
di là della tematica contingente delle app
Un esempio ci viene fornito dal Manuale
di tracciamento, sussistono ovviamente
di Tallinn (Tallinn Manual on the International
ulteriori categorie di dati oggi essenziali per
Law Applicable to Cyber Warfare) -
la popolazione civile, come dati bancari o
pubblicato nel 2013 sotto la direzione del Prof.
finanziari. Sono queste tutte dinamiche che
Michael Schmitt, United States Naval War
si svolgono nello spazio cibernetico e che
College quale primo sforzo di codificazione di
sempre più assumeranno rilievo nei rapporti
un diritto internazionale applicabile al cyber.
internazionali così come nelle dinamiche sociali
In prospettiva, è lecito attendersi una continua
delle comunità e di singoli individui.
evoluzione delle cyber operations anche al
di fuori di conflitti armati dichiarati sul piano Un ampio spazio di dibattito sussiste per
“reale” (che diviene oggi sempre più un mondo la questione relativa alla protezione, gestione,
“legacy”). Difatti, lo stesso Manuale di Tallinn visibilità, oscuramento o distruzione di dati.
osserva come siano centrali gli effetti e non gli Ci troviamo qui in una regione di frontiera,
strumenti fisici utilizzati. Il caso emblematico, incentrata sulla manipolazione e la trattazione
classicamente inteso, di operazione cibernetica, del dato in sé, laddove l’infrastruttura di rete
è rappresentato da un attacco informatico che li trasporta rimane sullo sfondo. Fino a che
che faccia saltare la corrente elettrica in un punto allora i dati possono essere oggetto di
ospedale, il che equivarrebbe (dal punto di attacco senza impunità? È di tutta evidenza
vista dei soggetti e feriti ivi raccolti) a colpirlo che se si distruggono cartelle mediche digitali,
fisicamente. con la conseguente impossibilità di ricostruire
situazione terapeutiche, ciò può creare effetti
A tal proposito, si pensi agli effetti che
concreti sugli individui.
un attacco alle infrastrutture sanitarie
potrebbe avere ai tempi di lotta al Covid-19. I flussi e le associazioni di dati sono le
Il contrasto alla pandemia ha incrementato nuove risorse da proteggere, essendo ormai
esponenzialmente la superfice d’attacco fondamentali per la nostra società. Un nuovo
anche per via di un ricorso crescente a sviluppo in termini di Opearational Law e
piattaforme di tracciabilità. In tal senso, ulteriori di possibili precauzioni rispetto a potenziali
problematiche potenzialmente impattanti interferenze digitali di attori malevoli va
Dati sanitari: la necessaria evoluzione del diritto internazionale 2.0 ISPI | 24Puoi anche leggere
