COVID-19: SORVEGLIANZA, PRIVACY E SICUREZZA CIBERNETICA - ISPI DOSSIER Maggio 2020
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
ISPI DOSSIER Maggio 2020 COVID-19: SORVEGLIANZA, PRIVACY E SICUREZZA CIBERNETICA edited by Samuele Dominioni, Fabio Rugge
Maggio 2020 ITALIAN INSTITUTE FOR INTERNATIONAL POLITICAL STUDIES S tiamo vivendo la prima pandemia dell’era digitale. Ha colpito le nostre “nuove” vulnerabilità esponendoci, accanto ai rischi sanitari, alle crescenti minacce cibernetiche del mondo di oggi. La questione della cybersecurity delle piattaforme di tracciamento, della sorveglianza sanitaria, della sicurezza dei dati personali sanitari, sono solo alcuni dei temi sui quali si sta dibattendo molto in Italia e in molte altre parti del mondo. In gioco non c’è solo la lotta alla pandemia ma una sfida politica e securitaria cruciale per le nostre democrazie. Quali sono le implicazioni strategiche del contrasto tecnologico al Covid-19? Cosa è necessario fare affinché la tecnologia ci sia davvero d’aiuto? Quali sono i rischi di una “dipendenza” dal digitale nella lotta pandemia? E come si possono garantire privacy e diritti e allo stesso tempo la sicurezza cibernetica? * Samuele Dominioni is a Research Fellow at the ISPI Centre on Cybersecurity, in partnership with Leonardo. * Counselor Fabio Rugge is Head of ISPI's Centre on Cybersecurity, in partnership with Leonardo. 1. DOMINIO CIBERNETICO, SICUREZZA NAZIONALE E VALORI NELL’ERA COVID-19 Fabio Rugge (ISPI) 2. COVID-19: DEMOCRAZIA, TECNOLOGIA E FIDUCIA Samuele Dominioni (ISPI) 3. CONTACT TRACING: APPUNTI PER UNA RIFLESSIONE POLITICA E DI SICUREZZA NAZIONALE Stefano Mele (Carnelutti) 4. NON SOLO APP: IL NODO DELLA DIGITALIZZAZIONE DELLA SANITÀ Marco Mayer (LINK Campus University) 5. OLTRE AL CORONAVIRUS: I NOSTRI DATI SANITARI SONO SEMPRE PIÙ APPETIBILI Pierluigi Paganini (Cybaze) 6. DATI SANITARI: LA NECESSARIA EVOLUZIONE DEL DIRITTO INTERNAZIONALE 2.0 Diego Bolchini (Università di Firenze) |2
Maggio 2020 ITALIAN INSTITUTE FOR INTERNATIONAL POLITICAL STUDIES 7. CONTACT TRACING: UN’APP PER OGNI PAESE? Maria Sole Continiello (HSE) |3
Maggio 2020 ITALIAN INSTITUTE FOR INTERNATIONAL POLITICAL STUDIES L a pandemia COVID-19 si sta rivelando un acceleratore di dinamiche e fenomeni latenti dinnanzi al quale gli attori pubblici (istituzioni, scuole, ospedali, case di riposo…), quelli privati (imprese, piccole medie e grandi) Dominio cibernetico, e i cittadini si son trovati in qualche misura sicurezza nazionale e valori impreparati. La prima pandemia dell’era digitale ha colpito le nostre “nuove” vulnerabilità, nell’era Covid-19 esponendoci, accanto ai primari rischi di natura sanitaria, alla minaccia cibernetica e a quella derivante dalla manipolazione delle informazioni. Ciò è accaduto simultaneamente Fabio Rugge in molti Paesi, rivelando fragilità a livello globale ISPI quanto a livello nazionale. In questo contesto, il dominio cibernetico (per la sua intrinseca vulnerabilità, per la sua pervasività, per l’impunità ch’esso concede) si è confermato un terreno d’elezione per attività criminali e a varo titolo ostili – con effetti che vanno ben oltre il dominio dal quale promanano e finiscono per avere un diretto impatto sulla sicurezza nazionale. Ciò è probabilmente riconducibile a tre fondamentali ragioni. In primo luogo, il confino impostoci dal COVID Il Consigliere Fabio Rugge è Responsabile del Centre on Cybersecurity dell'ISPI, in collaborazione con Leonardo. Capo dell'Ufficio incaricato per la NATO e le questioni di sicurezza e politico-militari, Direzione generale per gli affari politici e la sicurezza, Ministero degli affari esteri e della cooperazione internazionale. ISPI | 4
COMMENTARY ha accresciuto la superficie d’attacco che ma anche alla manipolazione delle percezioni esponiamo ad attori ostili: per continuare del target per rendere questo modello più a lavorare ci colleghiamo di più alla rete, appetibile). Ciò, peraltro, è vero anche rispetto scambiamo più dati, e siamo dunque più alla minaccia eversiva di matrice interna: se esposti ai crimini informatici e alla penetrazione la crisi economica innalzerà - come pure dei nostri sistemi da parte di altri attori malevoli. è possibile - il livello dello scontro sociale, Siamo stati molto meno negli uffici, per le è possibile che la dimensione digitale strade e nei negozi, e proprio per questo siamo rappresenterà, anche qui, un palcoscenico sempre connessi, ed è quindi su internet che ci privilegiato dello scontro. La sicurezza del vengono a colpire. dominio cibernetico si confermerà critica per lo sviluppo economico e per la stabilità sociale, In secondo luogo, ci affidiamo sempre di oltre che per l’indipendenza e la salute dei più al dominio cibernetico per la nostra nostri processi democratici. L’Internet of Things resilienza economica (lo smart working, (IoT), lo sviluppo della capacità di computo ed l’e-commerce, eccetera) e sociale (social i progressi nel campo dell’Artificial Intelligence networks, insegnamento a distanza, eccetera). (AI) stanno arrivando: siamo e saremo preparati Eventuali interruzioni di servizio dunque a gestire l’impatto di questi acceleratori “costano”, a noi personalmente ed alla tecnologici? nostra società complessivamente, più caro (come plasticamente dimostrano gli attacchi Almeno inItalia, non siamo all’anno zero: le cibernetici ai danni degli ospedali) e, per nostre strutture sanitarie (ed il personale che converso, gli attacchi cibernetici divengono vi opera) hanno dato prova di straordinaria potenzialmente più vantaggiosi per chi li attua. capacità, devozione e tenuta; il Governo da tempo mette in guardia e lavora per rafforzare Infine, il dominio cibernetico ha ancora una gli strumenti normativi (golden power) ed volta dimostrato la sua intrinseca capacità operativi (Consob, Cdp, Sace, Banca d’Italia, di intervenire sui nostri processi cognitivi, di …) a protezione della minaccia che può modellare la nostra comprensione del mondo, derivare da investimenti predatori (ossia legali, di consentire un’efficace manipolazione ma inopportuni) da parte di attori stranieri delle narrative e dunque di influenzare le intenzionati a sfruttare il momento. Anche nel nostre opinioni pubbliche. La cyber-enabled campo della sicurezza cibernetica, da anni information warfare (ossia la guerra informativa lavoriamo attorno ad un’eccellente ed ancora fatta “su” e “grazie” al web) supporta la attualissima strategia nazionale (il Quadro ricerca da parte di diversi attori di uno “status” Strategico Nazionale per la sicurezza dello internazionale, e dunque essa diventa un spazio cibernetico, del dicembre 2013) e tutti efficacissimo “braccio armato” del soft power gli stakeholders - a partire dalla comunità (col quale ci si riferisce all’intrinseca attrattività intelligence e dalla Polizia Postale, ma anche nel del modello politico, sociale ed economico, settore privato, tanto sul lato dei “(cyber)security Covid-19: sorveglianza, privacy e sicurezza cibernetica ISPI | 5
COMMENTARY provider” che su quello degli operatori che sono di “cultura della sicurezza”. Questa più matura e in prima linea nella difesa degli assetti nazionali diffusa consapevolezza è condizione necessaria più sensibili - sono da tempo impegnati per per poter in futuro meglio mitigare e rispondere rafforzare la sicurezza e la resilienza nazionale, agli shock sistemici, ai “cigni neri” quale come peraltro dimostra il lavoro in corso per la indubbiamente è questo COVID. Ne va della messa in opera del c.d. “perimetro nazionale di tutela e alla promozione dell’interesse nazionale sicurezza cibernetica”. Se dunque da una parte – e in definitiva anche della nostra privacy sappiamo che la minaccia cibernetica è sempre individuale, quantomeno rispetto alle potenziali più sofisticata, pervasiva e potenzialmente ingerenze di soggetti non nazionali. dirompente, dall’altra ci conforta sapere di poter Infine, vale forse la pena soffermarsi sul contare su di un’architettura e capacità nazionali contesto internazionale in cui questa pandemia che, alla prova dei fatti, si stanno dimostrando interviene: la crisi COVID è un acceleratore all’altezza del compito. anche della Great Power Competition in corso. Se questa crisi sta facendo crescere un po’ L’ambiente securitario diviene più volatile ed ovunque il tasso di digitalizzazione del Paese, il confronto – anche nelle narrative nazionali matura inoltre – e questa è forse una delle – è sempre più aspro. Lo vediamo anche nel poche cose buone che emergono dalla dibattito internazionale di queste settimane, pandemia in corso – la comune consapevolezza troppo spesso “sopra le righe”, e nei fenomeni di quanto la nostra prosperità, libertà e stabilità globali che stanno emergendo e che in alcuni siano intimamente connesse alla sicurezza delle casi mai avremmo potuto nemmeno ipotizzate nostre reti. E siamo indotti forse a riconsiderare (il petrolio a costo negativo?). E ciò proprio in chiave evolutiva (nell’era di Facebook, Twitter mentre crescono le interdipendenze complesse e Google) la sempre più anacronistica antinomia (il c.d. entanglement, la compenetrazione, “privacy contro sicurezza”. Ad ogni emergenza ad esempio, tra dimensione cibernetica, nazionale (sia essa idro-geologica, sanitaria convenzionale e nucleare), e mentre il nostro o cibernetica) vediamo chiaramente come la orizzonte strategico diviene più imprevedibile, sicurezza sia il bene propedeutico al godimento anche per via della progressiva erosione dei di ogni libertà. Se questa crisi ridefinirà almeno tradizionali strumenti multilaterali, tra cui quelli in parte il ruolo dello Stato (magari, per certi per il controllo degli armamenti. Great Power versi, invertendo l’ubriacatura iper-liberalista Competition significa che sempre più si profila ed il progressivo depauperamento dello Stato a livello globale una competizione tra modelli centrale), forse si dovrà ripartire proprio dal alternativi ed una battaglia per vincere “hearts concetto di sicurezza, e specie di “sicurezza and minds”, per imporre la propria narrativa. Ma partecipata” o (nella definizione offerta con attenzione, perché se Great Power Competition straordinaria lungimiranza dal nostro legislatore significa politiche nazionali egoistiche, “my con la legge di rifondazione della nostra country first”, occorre considerare che esse comunità d’intelligence, la legge n. 124/2007) trovano un limite intrinseco nella misura in Dominio cibernetico, sicurezza nazionale e valori nell’era Covid-19 ISPI | 6
COMMENTARY cui esse polarizzano lo scontro, proprio nel momento in cui più urgente è la necessità di coesione a livello nazionale e di forgiare e avvantaggiarsi di approcci condivisi a livello internazionale. La cybersecurity è questione primariamente culturale, ed è uno “sport di squadra”. Credo sia dunque necessario ritrovare le ragioni valoriali di questi progetti comuni (anche infrastrutturali, si pensi al 5G), partendo dalle comunità di valori e dall’Alleanza a cui apparteniamo. Occorre, in altre parole, sviluppare approcci realmente condivisi, e rifuggire, anche in seno alle nostre alleanze più solide, visioni meramente transattive della nostra sicurezza. La radice valoriale è in ultima analisi il fondamento di ogni politica di sicurezza, inclusa quella per lo spazio cibernetico. Covid-19: sorveglianza, privacy e sicurezza cibernetica ISPI | 7
Maggio 2020 ITALIAN INSTITUTE FOR INTERNATIONAL POLITICAL STUDIES L a lotta mondiale alla pandemia di Covid-19 ha sicuramente avuto l’effetto di incrementare la presenza della tecnologia all’interno delle nostre vite. Dal lavoro da remoto ad una rinnovata socialità digitale fino Covid-19: democrazia, all’utilizzo di piattaforme per l’intrattenimento o lo shopping. L’uso di servizi digitali è aumentato tecnologia e fiducia esponenzialmente. Allo stesso tempo, nel corso degli ultimi mesi, si è assistito ad un crescente dibattito rispetto a quelle che sono le Samuele Dominioni potenzialità e le criticità della tecnologia per contribuire alla lotta contro la diffusione del ISPI coronavirus. Nel nostro paese si è dibattuto molto, sia a livello politico sia di opinione pubblica riguardo la piattaforma di tracciamento dei contagi. I pomi della discordia sono stati svariati, dalla procedura di selezione di “Immuni” alla composizione della Task Force, dalla scelta di quale protocollo utilizzare per lo sviluppo della piattaforma, a quale tipo di gestione del diario clinico del paziente. Per quanto di natura domestica questi dibattiti si inquadrano all’interno di cornici ben più ampie. Innanzitutto essi hanno avuto il merito di porre Samuele Dominioni è Research Fellow presso l'ISPI Center on Cybersecurity, in partnership con Leonardo. Ha conseguito un dottorato di ricerca in scienze politiche e storia politica presso l'Institut d’Etudes Politiques de Paris (Sciences Po) e presso la IMT School for Advanced Studies di Lucca, ISPI | 8
COMMENTARY l’accento su quello che è uno dei classici temi di valutare soluzioni che preservino i principi filosofia politica: “sicurezza contro diritti” (incluso fondamentali del nostro ordinamento, senza quello alla libertà e alla privacy). Intorno ad snaturarne il significato, e allo stesso tempo esso si risolve una questione fondamentale per adottare politiche restrittive che garantiscano la l’equilibrio delle società democratiche liberali sicurezza sanitaria del paese. Il rischio è di dare ma non solo. Inoltre, e qui la filosofia politica adito a normative liberticide che specialmente entra nel campo delle relazioni internazionali, la in regimi instabili possono determinare una questione si inserisce nell’attuale Great Power deriva illiberale. Competition, in particolare dalla prospettiva È necessario sottolineare che di fronte alla della sfida tra democrazie liberali e regimi pandemia di Covid-19 i cittadini italiani, come autoritari per quanto attiene a diversi indicatori quelli di quasi tutti gli altri paesi del mondo, di performance come quello della stabilità hanno accettato, tutto sommato, di buon politica, della crescita economica e della grado le misure restrittive ai movimenti e alle digitalizzazione della società. La competizione attività permesse. Il dibattito è piuttosto ruotato ha già, e avrà sempre più, conseguenze intorno all’utilizzo della tecnologia come fattore mondiali anche alla luce della capacità abilitante una maggior sorveglianza nell’ambito di gestire la crisi economica e sociale che delle attività di contrasto al Covid-19. Vi seguirà quella sanitaria. Le democrazie liberali, sono due principali motivazioni alla base in quanto tali, devono garantire lo stato di del clamore generato rispetto questa diritto e l’equilibrio tra sicurezza e diritti è un possibilità. Da un lato senza dubbio vi è stata esercizio continuo e non sempre facile. Infatti, la non lineare gestione del processo volto questo equilibrio si deve adattare agli eventi alla selezione della piattaforma Immuni e e agli sviluppi della società contemporanea. dei successivi passi per lo sviluppo della stessa. Un caso relativamente recente è quanto Dall’altro il rapporto tecnologia/libertà rimanda avvenuto negli Stati Uniti con il Patriotic Act emozionalmente ad una atavica paura/ nel post 11 settembre 2001. I sostenitori del eccitamento per la tecnologia, che si ritrova Patriotic Act rilevavano come la protezione in molti prodotti culturali di natura distopica, della sopravvivenza stessa dell’ordine costituito a partire dal classico 1984 di George Orwell necessitava una limitazione di alcune libertà fino alle acclamate e popolari serie Black e diritti individuali. Ovviamente, le implicazioni Mirror e Westworld. Le contrastanti emozioni per la sospensione di questi diritti possono generate da tali prodotti s’intersecano con essere di varia natura ed essere, in misura l’angoscia generata dalle rivelazioni e dai moniti variabile, sottoposte a scrutinio istituzionale riguardo allo sviluppo di una sorveglianza di e, infine, di breve o lungo termine. Di fronte massa mondiale fatte in primo luogo da Edward alla crisi in corso, in cui un bene comune – la Snowden. salute pubblica – è messo a repentaglio dalla diffusione di un agente patogeno, è necessario Covid-19: sorveglianza, privacy e sicurezza cibernetica ISPI | 9
COMMENTARY Ad ogni modo, in un ordinamento democratico, con qualcuno risultato positivo al Covid-19), per far sì che le soluzioni tecnologiche siano quest’ultimo s’identifichi al servizio sanitario di un qualche effetto nell’estenuante lotta nazionale per seguire le predisposizioni del contro il Coronavirus, è necessario superare caso. Su questo punto, fondamentale per un virtuosamente le preoccupazioni e le remore corretto uso del tracciamento, si attendono finora emerse e far sì che la app Immuni sia ancora sviluppi normativi. Si può tuttavia scaricata da quante più persone possibile. ipotizzare delle soluzioni win-win per tutti, Infatti, come già evidenziato una copertura altrimenti si rischia di non ottenere i risultati del 60% della popolazione è davvero difficile sperati. In altre parole, come argomentato da da raggiungere e pertanto serve innanzitutto Carlo Alberto Carnevale Maffé, è auspicabile coltivare la fiducia tra stato e cittadino. Una pensare un nuovo patto sociale tra cittadino fiducia profonda e ben delineata da Marco e Stato costruito sulla convinzione da parte di Mayer nel suo articolo che si instaura entrambi che il solo modo di combattere il virus innanzitutto tra il paziente e il medico per poi via è facendo squadra. L’idea è quella di favorire via svilupparsi intorno al sistema stesso di sanità la diffusione e l’accettazione di uno standard pubblica. Inoltre, per ottenere, incrementare e sanitario su base volontaria, come quello della mantenere la fiducia è necessario, come ben app Immuni, attraverso degli equi indennizzi. spiegato da Stefano Mele, che nell’ideazione Non si tratta d’incentivi o disincentivi che e nell’implementazione della piattaforma di hanno una natura contestabile e già esclusa tracciamento si osservino alcune imprescindibili dal governo; la logica è diversa e già utilizzata e solidissime garanzie specialmente per in altri settori secondo una giurisprudenza quanto riguarda il trattamento dei dati degli specifica (vedi ad esempio la sentenza della utenti. Infatti, ciò che deve sorreggere la Corte Costituzionale 107/2012) volta a risarcire partecipazione in massa a questo processo coloro impossibilitati a espletare le proprie di contact tracing è la necessaria convinzione attività perché in quarantena attraverso un di ciascuno rispetto l’utilità e la sicurezza della contributo automatico di welfare. stessa (e quindi dei nostri dati), anche perché È solo attraverso un aumento della fiducia verso non vi sono soluzioni alternative eticamente le istituzioni, anche pensando un nuovo patto sostenibili al suo uso volontario. sociale tra cittadini e stato per l’occasione, che Vi sono tuttavia ancora dei punti sui quali è si può accrescere la volontarietà e quindi la necessario fare chiarezza e auspicare delle partecipazione ai programmi di tracciabilità. soluzioni adeguate che vadano verso una Attualmente, è questa una delle sfide più maggior desiderabilità delle implicazioni importanti in cui è in gioco la credibilità delle socio-sanitarie che comporta la tracciabilità. democrazie liberali, in cui si deve preservare Ad esempio, è necessario che una volta e proteggere la sicurezza e il corpus di diritti che l’utente riceva la notifica riguardo al e libertà che ci contraddistinguono. Anche ai suo possibile contagio (è entrato in contatto tempi del Covid-19. Covid-19: democrazia, tecnologia e fiducia ISPI | 10
Maggio 2020 ITALIAN INSTITUTE FOR INTERNATIONAL POLITICAL STUDIES L 'emergenza sanitaria legata al Covid-19 sta da tempo dimostrando tutte le potenzialità tipiche di una pandemia globale di lunga durata, caratterizzata da un elevato tasso di mortalità e da un’altissima capacità d’impatto Contact Tracing: appunti sul sistema sanitario dei paesi colpiti. Pertanto, nell’attesa di un vaccino, gli stati colpiti sono per una riflessione politica impegnati nella gestione di questa emergenza e di sicurezza nazionale utilizzando una strategia tesa principalmente a contenere il diffondersi del virus e prevenire ulteriori contagi. La quasi totalità di essi, quindi, sta puntando da un lato sull’isolamento degli Stefano Mele infetti e sulla loro decontaminazione, dall’altro Carnelutti sulla quarantena, sul distanziamento sociale, sulle scrupolose misure igieniche e – in un numero sempre maggiore di casi – anche sul tracciamento dei contatti sociali attraverso l’utilizzo delle tecnologie. Tutti gli studi incentrati su quest’ultimo tema sono concordi nell’affermare che, dato il livello di contagiosità del Covid-19 e l’elevata percentuale di trasmissione attraverso individui pre- o a- sintomatici, il controllo dell’epidemia mediante il tracciamento manuale dei Stefano Mele è avvocato, Partner di Carnelutti Studio Legale Associato, ove è il Responsabile del Dipartimento di Diritto delle Tecnologie, Privacy e Cybersecurity.. ISPI | 11
COMMENTARY contatti sociali sia impossibile e quindi inutile. Nonostante le numerose criticità, il governo Contestualmente, però, questi stessi studi italiano ha comunque deciso di utilizzare sono altrettanto concordi nell’evidenziare che un sistema di allerta Covid-19 incentrato su l’utilizzo di una app per smartphone, capace di un’app per smartphone che utilizza tecnologia costruire un “ricordo” dei contatti di prossimità Bluetooth, basando la propria decisione sulla e di notificare immediatamente eventuali legittima necessità di dover trovare in casi di incontri con soggetti positivi, sarebbe utile per gravissima emergenza – come quella odierna fermare l’epidemia solo se fosse utilizzata da – un punto di equilibrio tra i diritti fondamentali un numero particolarmente elevato di cittadini della salute e della protezione dei dati personali, e solo qualora fosse abbinata a politiche di comprimendo in questo caso il secondo a rigido distanziamento sociale e a controlli favore del primo. Tuttavia, seppur legittimo, tale sanitari a tappeto sulla popolazione alla ricerca approccio necessita che il trattamento di questi dei contagiati (ad esempio, i tamponi). Occorre, dati debba obbligatoriamente sottostare ad quindi, delineare una strategia articolata su più alcune imprescindibili e solidissime garanzie, piani di intervento, che parta dal riconoscimento onde evitare che anche solo i rischi finora quanto più immediato possibile della tratteggiati possano impattare in maniera contagiosità del soggetto e arrivi al sistema di evidente tanto sul piano politico, quanto su allerta attraverso l’app per smartphone. Non quello giuridico e della sicurezza nazionale. viceversa. In tal senso, quindi, il governo dovrà Peraltro, l’impiego di un simile strumento quantomeno provvedere a: tecnologico solleva non pochi problemi • Garantire che solo norme primarie possano etici e giuridici riguardanti – solo per citarne incidere in maniera così profonda su un alcuni – l’accesso, la trasparenza, l’uso e la diritto fondamentale di libertà di tutti i protezione dei dati personali dei cittadini, dei cittadini italiani come quello alla protezione dati riguardanti il loro stato di salute, così come dei dati personali. Ciò, al fine di impedire che delle loro relazioni e interazioni sociali. Per di l’intero processo di creazione e gestione più, a poco possono servire processi tesi ad del sistema nazionale di allerta Covid-19 sia anonimizzare questi dati (e men che meno lasciato all’arbitrarietà di pochi e a semplici processi di “pseudonimizzazione”), in quanto atti di natura amministrativa, sfuggendo la letteratura è piena di evidenze sul valore e così al confronto parlamentare e alle sue l’utilità – anche commerciale – dei Big Data, garanzie. Inoltre, tali norme primarie, che così come sulla possibilità di de-anonimizzare dovranno entrare in vigore prima dell’utilizzo i dati relativi alla mobilità dei cittadini, tracciare dell’app di tracciamento da parte dei i loro dispositivi e acquisire informazioni (ad cittadini, dovranno avere come obiettivo esempio, nel caso di utilizzo della tecnologia quello di regolare complessivamente l’intero Bluetooth, tra i vari possibili, i cosiddetti sistema nazionale di allerta Covid-19 (quindi, ‘Bluetooth Beacons’). Contact Tracing: appunti per una riflessione politica e di sicurezza nazionale ISPI | 12
COMMENTARY sia l’app che i sistemi informatici di raccolta internazionali, sia pubblici sia privati, a vario dei dati e di allerta), le sue caratteristiche, titolo interessati. il suo funzionamento, le misure poste a (Rischio che impatta sul piano politico, salvaguardia dei diritti dei cittadini, i criteri giuridico e della sicurezza nazionale) precisi in conseguenza dei quali un contatto • Utilizzare solo sistemi informatici presenti con un soggetto giustifichi l’invio di un all’interno del territorio italiano per erogare alert, così come le procedure che i cittadini l’intero servizio, per conservare i dati dei dovranno seguire nel caso dovessero cittadini e i loro backup, prevedendo scoprire di essere entrati in contatto con un anche che siano gestiti dal governo in contagiato. maniera diretta ed esclusiva attraverso (Rischio che impatta sul piano politico e soggetti pubblici. Ciò, al fine di impedire giuridico) che simili informazioni – rilevanti sul piano • Garantire la totale trasparenza nei confronti della qualità, della quantità e soprattutto dei cittadini in ogni singola fase di vita della capillarità – possano più o meno del sistema nazionale di allerta Covid-19 direttamente entrare in possesso di attori (individuazione dell’esigenza e dei requisiti, europei e internazionali, sia pubblici che realizzazione, protezione, implementazione privati, interessati a vario titolo. e cessazione), esplicitando anche tutti i (Rischio che impatta sul piano politico, principi etici e normativi che guideranno giuridico e della sicurezza nazionale) questo percorso. Ciò, al fine di impedire che • Verificare che nessun attore nazionale e la mancanza di chiarezza in ciascuna delle soprattutto internazionale, ivi compresa fasi di questo processo possa dare adito a la società aggiudicataria dello sviluppo dubbi e strumentalizzazioni, soprattutto sul dell’app per smartphone, possa in piano legale e dell’utilizzo dei dati personali, qualsivoglia modo accedere direttamente minando così la fiducia dei cittadini nell’uso o incidentalmente ai dati raccolti, anche nel finale dell’app per smartphone. caso in cui questo soggetto abbia dato un (Rischio che impatta sul piano politico) qualsiasi apporto – anche tecnologico – per • Verificare in maniera approfondita le la realizzazione o per l’efficacia del sistema relazioni, soprattutto economiche e di nazionale di allerta Covid-19. Ciò, al fine di finanziamento, che la società aggiudicataria impedire che simili informazioni – rilevanti dello sviluppo dell’app per smartphone sia sul piano della qualità, della quantità e ha intrecciato nel tempo. Ciò, al fine di soprattutto della capillarità – possano più o impedire che simili informazioni – rilevanti meno direttamente entrare in possesso di sia sul piano della qualità, sia su quello attori europei e internazionali, sia pubblici della quantità e soprattutto della capillarità che privati, interessati a vario titolo. – possano più o meno direttamente (Rischio che impatta sul piano politico, entrare nel possesso di attori europei e giuridico e Covid-19: sorveglianza, privacy e sicurezza cibernetica ISPI | 13
COMMENTARY della sicurezza nazionale) catena della sicurezza. Pertanto, controllare • Rendere obbligatoriamente disponibile al le persone fisiche che garantiranno questi pubblico il codice sorgente del software servizi è altrettanto indispensabile quanto su cui si basa l’intera app per smartphone, proteggerle dagli attacchi informatici permettendone l’audit da parte della esterni. Statisticamente, infatti, la metà di comunità scientifica ed effettuando questi incidenti provengono dall’interno contestualmente anche dei penetration della struttura e sono causati, appunto, dagli test sulla stessa, prima del suo massivo individui per disattenzione e negligenza, utilizzo da parte dei cittadini. Ciò, sia per ma anche – sempre più spesso – perché una maggiore sicurezza dell’app per ricattati, costretti o pagati per ottenere le smartphone, sia per verificare che i dati dei informazioni. cittadini non vengano mai trasferiti su altri (Rischio che impatta sul piano politico, server che non siano esclusivamente quelli giuridico e della sicurezza nazionale) pubblici deputati ad accoglierli. Solo l’accoglimento e la reale implementazione (Rischio che impatta sul piano politico, da parte del governo italiano di queste prime giuridico e della sicurezza nazionale) e imprescindibili garanzie potranno far sì • Applicare misure di sicurezza rigide e che questo progetto incontri la fiducia dei stringenti all’intero sistema nazionale di cittadini, salvaguardando – pur nella necessità allerta Covid-19 (quindi, sia all’app che ai di risolvere quest’emergenza sanitaria – i sistemi informatici di raccolta dei dati e di loro diritti fondamentali e anche la sicurezza allerta), oltre che i principi di segregation nazionale. Se ciò non dovesse avvenire, ci of duty e need to know alle persone troveremmo dinanzi a un annunciato fallimento, fisiche destinate a tutte le fasi di questo colpevole peraltro di aver incredibilmente servizio. Ciò, al fine di impedire che simili provato a barattare un diritto fondamentale di informazioni – rilevanti sia sul piano libertà dei cittadini, com’è quello alla protezione della qualità, della quantità e soprattutto dei loro dati personali, con l’utilizzo di un’app della capillarità – possano più o meno per smartphone. Come se fossimo di fronte direttamente entrare nel possesso di attori a un qualsiasi software commerciale e non a europei e internazionali, sia pubblici che una delle possibili soluzioni utili a supportare la privati, a vario titolo interessati. Inoltre, risoluzione dell’emergenza sanitaria più vasta di soprattutto in questo caso, è importante cui la nostra generazione ha memoria. ricordare anche come l’essere umano rappresenti sempre l’anello più debole della Contact Tracing: appunti per una riflessione politica e di sicurezza nazionale ISPI | 14
Maggio 2020 ITALIAN INSTITUTE FOR INTERNATIONAL POLITICAL STUDIES I n questi giorni la rivista Tech del MIT mette in evidenza la vera e propria alluvione di app, dispositivi digitali e diavolerie tecnologiche spuntate da ogni parte per fronteggiare l'emergenza Coronavirus. Da una rapida Non solo app: il nodo della rassegna si osserva che pochi progetti cercano di rispondere ad esigenze mediche specifiche digitalizzazione della sanità o a ricerche epidemiologiche collegate all' andamento delle malattie infettive e in Marco Mayer particolare alle lezioni apprese nel combattere ISPI Sars, Mers, Ebola, ecc. La grande maggioranza dei progetti di e-health non affronta alla radice temi sanitari irrisolti, ma si limita a puntare a una espansione quantitativa delle tecnologie digitali come se la loro diffusione fosse di per sé la panacea di tutti i mali. Non è la prima volta che accade. Nella loro fase iniziale più o meno in ogni settore i processi di digitalizzazione sono promossi e venduti come processi magici. A sette anni di distanza basta rileggere con occhio critico il celebre libro del fondatore di Google, Eric Schmit1 per capire quanto sia importante distinguere da un lato i valori aggiunti che caratterizzano l'era digitale, dall’altro le Marco Mayer è professore a contratto al Master in cybersecurity presso l'Università LUISS Guido Carli di Roma, Ex consigliere speciale sulla sicurezza informatica del Ministro italiano degli Affari interni ISPI | 15
COMMENTARY promesse mancate e gli inconvenienti che essa le epidemie, Quando ad una persona viene comporta. diagnosticata la malattia infettiva (sia essa asintomatica o con sintomi più o meno gravi) Per operare questa distinzione in ambito è un preciso dovere degli operatori e del sanitario (da cui dipendono in buona misura la paziente fare il massimo sforzo per ricostruire salute fisica e mentale, le malattie e nei casi più i contatti personali, gli ambienti di lavoro e i gravi la vita o la morte delle persone) conviene luoghi frequentati nell’ultima settimana. Una sgombrare subito il campo dai complessi volta conclusa questa mappatura di contatti è risvolti di business che il diritto alla salute indispensabile informare le persone individuate inevitabilmente si porta dietro. Le cartelle perché esse possano sottoporsi nel più breve cliniche, i dati sui ricoveri, il consumo dei tempo possibile al tampone ed alla relativa farmaci, le visite specialistiche, le campagne sui analisi con i reagenti). Questa attività viene vaccini, per non parlare di aspetti più sofisticati gestita con la dovuta discrezione da parte degli (caratteristiche genetiche e profili psico- operatori sanitari con un giro di telefonate. comportamentali dei pazienti) costituiscono È superfluo aggiungere che é un preciso gigantesche e preziose miniere di informazioni dovere deontologico garantire a tutti i cittadini sia per i progressi della medicina, sia per il potenzialmente coinvolti l'assoluto anonimato. successo delle aziende private orientate al profitto. Nel momento in cui – con l’avvio della fase 2 – alcuni milioni di lavoratori riaquistano Una vasta letteratura scientifica ha messo la libertà di movimento la tempestività dei in rilievo da lungo tempo come la logica tamponi (e ovviamente delle analisi relative) dell’economia di mercato non può essere diventa ancora più importante. Non basta più meccanicamente trasposta nel comparto restare a casa, lavarsi le mani, indossare la della sanità. Sul versante dei consumatori (i mascherina e sanificare gli ambienti di lavoro; pazienti) un'intrinseca assimetria informativa per contenere e possibilmente sconfiggere il limita fortemente il loro potere di scelta rispetto Covid-19 occorre spengere sul nascere i focolai all’offerta (i medici). Sul piano della produzione effettuando i tamponi alle moltissime persone di beni e servizi le legittime esigenze del a rischio già identificate a cui abbiamo fatto profitto possono entrare in conflitto con cenno in precedenza. Per svolgere questo necessità fondamentali per la medicina, ma non compito assolutamente prioritario non c’è redditizie. Queste due peculiarità del comparto bisogno di un app; basta una comunicazione sanitario pongono un costante problema tecnologica elementare che già viene utilizata di bilanciamento tra logiche di mercato e per le prenotazioni dei Cup. Per non escludere imperativi della salute pubblica. i molti anziani che non possiedono uno È in questa complessa cornice che occorre smartphone basterebbe inoltrare un sms a inquadrare il tema del tracing, attività cruciale tutti gli interessati con la data, l'ora e il luogo – in assenza di vaccino – per sconfiggere dove fare i tamponi e le istruzioni relative. Non solo app: il nodo della digitalizzazione della sanità ISPI | 16
COMMENTARY I dati telefonici ci sono e i programmi di diagnostiche possono rimettere al centro il prenotazione anche, basta adattarli. Quando il medico di base e le strutture territoriali con commissario Domenico Arcuri ha dichiarato che grandi vantaggi operativi e risparmio di costi. tecnologie e mascherine sono indispensabili Tuttavia guai a dimenticare che anche con le per attuare la fase due moltissime persone protesi tecnologiche più avanzate la fiducia (in attesa da tempo) hanno pensato: “bene tra medici e pazienti resta l'indicatore più finalmente avremo a disposizione un sistema di importante per valutare il buon funzionamento prenotazione automatica dei tamponi; non resta di un sistema sanitario. La fiducia a cui faccio che aspettare la convocazione via sms”. riferimento non é esclusivamente quella con Purtroppo non è andata così. L’attenzione il medico di famiglia, ma con l'insieme dei si è viceversa concentrata su altro, non sui professionisti che i cittadini incontrano nel loro gravi pericoli derivanti da possibili ritardi percorso di vita: il pediatra, il geriatra, il medico nell’effettuazione dei tamponi, ma sulla parola del pronto soccorso, il chirurgo, gli specialisti magica “App”. In Italia da molte settimane delle diverse discipline. L'unità di misura della la celebre “App Immuni” è sotto i riflettori fiducia non deriva da un fattore momentaneo, dell’opinione pubblica e in questi giorni è ma essa si sviluppa in un processo di addirittura oggetto di attenzione da parte del interazione che i pazienti costruiscono in Copasir (Comitato Parlamentare di Controllo relazione al percorso diagnostico e terapeutico sull’operato dei nostri servizi segreti). Non proposto dal medico e/o dei medici a cui sono assolutamente contrario ai processi di si affidano oltre ovviamente al rispetto della digitalizzazione della sanità, i vantaggi della riservatezza e agli altri loro doveri deontologici. telemedicina sono sotto gli occhi di tutti. Ma Questa fiducia alimenta in modo rilevante la ancora una volta il punto centrale è come reputazione tecnico-scientifica che circonda avviene il processo e chi lo gestisce. Immuni i professionisti nel territorio, negli studi è partita con il piede sbagliato ed è inutile specialistici, nei presidi ospedalieri e nelle infierire. Ma ogni volta si ripete la stessa storia. Si cliniche universitarie. La fiducia (ragionata) è dimentica che è indispensabile prima cambiare alla base della cooperazione attiva del paziente l’organizzazione e poi digitalizzare e non fare con il medico, di una buona organizzazione l’inverso. I medici, i dirigenti sanitari, il personale del sistema sanitario a livello territoriale/ deve conoscere e sfruttare le opportunità ospedaliero e della partecipazione attiva offerte dalla rivoluzione digitale e tenerne conto dei cittadini alla tutela della salute pubblica. nei progetti di riorganizzazione delle strutture. L'emergenza pandemia ha appena dimostrato Gli informatici, gli esperti di AI e gli ingegneri quanto sia essenziale anche se non sufficiente. delle telecomunicazione devono seguire la In altre parole se il cittadino si chiude in casa, committenza della comunità medico-scientifica, o se rispetta la distanza fisica e indossa la del personale parasanitario e degli stessi mascherina quando esce blocca il contagio, pazienti e non viceversa. Le nuove tecnologie Covid-19: sorveglianza, privacy e sicurezza cibernetica ISPI | 17
COMMENTARY ma non sblocca il funzionamento della società. due fenomeni inquietanti – emersi con grande Troppe sono incognite: quanti sono i portatori drammaticità in questi mesi di pandemia. Da sani? E quanti sono già impegnati nella fase 2. un lato si registra l'assenza istituzionalizzata La verità è che risulta impossibile identificare di un medico dedicato nelle RSA; per inciso i positivi asintomatici (e i casi lievi) finché il le rette per gli assistiti sono peraltro pagate personale sanitario non attua i tamponi e per il 50% dal sistema sanitario, ma esso é le autorità sanitarie non procedono con le completamente estraneo alla loro gestione. analisi nei laboratori disponendo dei reagenti Dall'altro in alcune realtà del nostro paese necessari. Senza questo passaggio cruciale si assiste a una pianificazione del sistema la curva sta scendendo, ma può risalire sanitario centrato quasi esclusivamente perché probabilmente sono troppo numerosi sull'ospedale (pubblico o privato che sia) con i cittadini non controllati che hanno permesso un sostanziale abbandono della medicina di muoversi. D'altra parte non si può stare territoriale. L'emergenza per il Covid-19 ha fatto fermi all'infinito e si rischia di finire in un circuito emergere tali debolezze sistemiche. Ma al di vizioso perché in assenza di dati sanitari viviamo là della pandemia, è indispensabile prepararsi nella nebbia. In questa cornice la fiducia si a un cambiamento epocale che avverrà basa su quattro pilastri: A) distanza fisica; B) nel comparto sanitario con l'introduzione mascherine e igiene personale; C) tamponi; generalizzata di tecnologie digitali. Siamo D) analisi e reagenti. Riguardo ai punti A) e B) alla vigilia di una gigantesca rivoluzione i cittadini italiani sembra abbiano fatto il loro organizzativa che nel giro di pochi anni muterà dovere, salvo pochissime eccezioni. Purtroppo completamente lo scenario. Attenzione, il sui punti C) e D) – salvo lodevoli eccezioni, miglioramento non è automatico, l’intelligenza ancora non ci siamo, né il Ministero della Sanità artificiale è notoriamente stupida, saremo ha per ora indicato una deadline precisa in sempre più inondati da app di ogni genere. materia di tamponi. Chi è competente deve scegliere cosa serve davvero e cosa è superfluo per migliorare Nel passato il medico condotto – al pari del l’offerta sanitaria: solo così può guadagnarsi farmacista e del maresciallo dei carabinieri - era sul campo il bene più prezioso: la fiducia dei una figura di riferimento – talora mitica – per cittadini. intere comunità sociali con notevoli benefici sul piano dell'igiene pubblica. Negli ultimi decenni – con l'avvento delle nuove tecnologie diagnostiche – si é assistito viceversa a una "spersonalizzazione" della figura del medico di famiglia. In alcune situazioni inutile negarlo é stato erroneamente percepito come una mera figura "notarile": un compilatore delle ricette per 1. E. Schmit, La nuova era digitale: La sfida del futuro per diagnostica e farmaci. A ciò si collegano altri cittadini, imprese e nazioni, Rizzoli, 2013 Non solo app: il nodo della digitalizzazione della sanità ISPI | 18
Maggio 2020 ITALIAN INSTITUTE FOR INTERNATIONAL POLITICAL STUDIES Mentre gli stati di tutto il mondo si confrontano con l’emergenza riguardante la pandemica COVID-19, il dibattito politico e pubblico è sempre più orientato alle problematiche di privacy e sicurezza proprie del settore sanitario. Oltre al coronavirus: Prima di entrare nel merito degli attacchi i nostri dati sanitari sono osservati dall’inizio della pandemia, cerchiamo di comprendere chi, e perché, è intenzionato sempre più appetibili ad accedere ai dati sanitari e per quale motivo le organizzazioni del settore sono particolarmente esposte ad attacchi cibernetici. Pierluigi Paganini Purtroppo, il settore sanitario è da sempre CYBAZE un obiettivo privilegiato di gruppi dediti al crimine informatico. Secondo l’ultimo rapporto dell’associazione italiana di sicurezza CLUSIT il settore sanitario è tra quelli maggiormente interessati da attacchi informatici, addirittura è al terzo post nella graduatoria e presenta un trend in allarmante crescita (vedi Figura 1) I principali responsabili di attacchi a organizzazioni che operano nel settore sanitario sono senza alcun dubbio gruppi di cyber Pierluigi Paganini è Chief Technology Officer di Cybaze e membro dell'Agenzia dell'Unione Europea per la Cybersecurity. ISPI | 19
COMMENTARY criminali. Infatti, secondo i dati proposti dal sanitarie di vario genere. L’utilizzo di queste CLUSIT, il 97%, degli attacchi è stato attribuito informazioni potrebbe consentire ad un a gruppi dediti al crimine informatico, cyber criminale di rubare l’identità di un medico e di criminali, mentre solo un 2% è associato a operare in suo nome. Una tipica frode consiste campagne di cyber-spionaggio e un 1% ad nell’utilizzare l’identità di un medico per attacchi da parte di attivisti. presentare richieste di risarcimento assicurativo fraudolente o ottenere prescrizioni per farmaci I dati sanitari sono merce preziosa speciali, come gli oppioidi. nell’underground cyber criminale; talvolta il loro valore è superiore a quelle di informazioni Accanto al furto di dati si registrano con finanziarie commercializzate in hacking forum. estrema frequenza attacchi ransomware contro Infatti, i dati finanziari sono caratterizzati da strutture ospedaliere, attacchi che spesso una finestra temporale di utilizzo limitata; hanno portato alla paralisi di attività all’interno ad esempio, i dati associati ad una carta di delle aziende colpite. In questo caso i criminali credito devono essere utilizzati prima che la cercano di massimizzare il profitto richiedendo stessa sia bloccata dal proprietario accortosi il pagamento di ingenti somme di danaro per di una possibile frode o prima che la stessa consentire agli amministratori delle strutture sia scaduta. Diversamente i dati sanitari di decifrare i dati criptati a seguito dell’attacco. di un individuo sono utilizzabili per attività Negli ultimi messi numerosi ospedali americani criminali per tutto il tempo in cui è in vita un sono stati vittime di tali attacchi, e purtroppo individuo e talvolta anche dopo la sua morte. anche durante l’emergenza COVID-19 si sono I dati sanitari possono essere utilizzati per registrati episodi di tale natura nei confronti condurre molteplici attività illecite, quali attacchi di ospedali in tutto il mondo, come ad esempio di phishing, attacchi malware, e diversi tipi di in Spagna e Repubblica Ceca. frodi. Le cartelle cliniche possono essere molto Come già menzionato, anche gruppi mercenari, redditizie per i criminali informatici, si pensi ovvero che operano per conto di governi, sono che il loro valore nel dark web varia dai $70 ai spesso dietro ad attacchi contro organizzazioni $150, in funzione di quanto siano dettagliate, di che operano nel settore sanitario per tre quale nazione provengano e della tipologia di principali finalità: spionaggio, sabotaggio paziente cui appartengano. e auto-finanziamento attraverso crimini Di recente si è osservata un’allarmante informatici. tendenza, la disponibilità nei principali black Nel primo caso, gli hacker che operano market ed hacking forum di dati relativi ai per il governo sono alla ricerca di progetti, medici stessi. Questi dati sono offerti nei brevetti, risultati di sperimentazioni di farmaci principali mercati neri per circa US $500, o vaccini che potrebbero fornire allo stato per gli archivi includono documenti assicurativi, il quale operano un significativo vantaggio diplomi e licenze mediche, ed autorizzazioni competitivo nel settore della ricerca. Di Oltre al coronavirus: i nostri dati sanitari sono sempre più appetibili ISPI | 20
COMMENTARY Figura 1 – Fonte Rapporto Clusit 2020 Covid-19: sorveglianza, privacy e sicurezza cibernetica ISPI | 21
COMMENTARY recente la Cybersecurity and Infrastructure Pompeo, altri paesi stanno conducendo Security Agency (CISA) e il National Cyber campagne di disinformazione, tra cui Cina e Security Centre (NCSC) del Regno Unito Iran. Queste operazioni potrebbe avere effetti hanno annunciato di aver avviato investigazioni destabilizzanti sulla popolazione, soprattutto in su attacchi contro università, organizzazioni un momento critico come questo. di ricerca e società farmaceutiche. Secondo Infine, gruppi di hacker che operano per le agenzie gli attacchi sarebbero attribuibili governi possono operare per sabotare le a gruppi APT (Advanced Persistent Threat), infrastrutture di un paese avversario oppure ovvero attaccanti persistenti che operano per rubare informazioni e rivenderle nell’ecosistema conto di governi stranieri. criminale per auto-finanziare governi soggetti a Nel secondo scenario, quello di sabotaggio, sanzioni. In passato gruppi APT che operano per gruppi di hacker che operano per governi conto del governo della Corea del Nord si sono stranieri conducono attacchi intenzionati a specializzati in attacchi contro le banche ed destabilizzare il contesto politico di un paese exchange di crypto-valute allo scopo di rubare avversario. Efficaci quanto pericolose sono fondi ed utilizzarli per finanziare attività militari le campagne di disinformazione condotte del regime nonostante le sanzioni internazionali. su larga scala che hanno come obiettivo In un contesto come quello descritto è quello di delegittimare le politiche adottate necessario uno sforzo congiunto di agenzie dai governi per fronteggiare l’epidemia di governative, forze dell’ordine, aziende di cyber COVID-19. L’agenzia europea European External security e le stesse aziende del settore sanitario Action Service ha recentemente pubblicato per assicurare la loro protezione. Occorre che un rapporto che avverte di una “significativa siano condivise informazioni sugli attacchi e campagna di disinformazione operata da attori sugli attori malevoli e che si implementino di stato russi e che ha colpito gli Stati membri misure di sicurezza idonee ad incrementare la dell’UE”. Secondo il Segretario di Stato Mike resilienza delle infrastrutture sanitarie Oltre al coronavirus: i nostri dati sanitari sono sempre più appetibili ISPI | 22
Maggio 2020 ITALIAN INSTITUTE FOR INTERNATIONAL POLITICAL STUDIES I più recenti eventi di cronaca cyber fanno sempre più riflettere su come porsi rispetto al fenomeno degli attacchi informatici alla luce di un sistema di diritto internazionale pubblico ed umanitario pensato per agenti umani e Dati sanitari: la necessaria ancorato a criteri sovrani fisici. Le odierne vicende del cyber collidono in particolare con evoluzione del diritto l’“ossessione” originaria del diritto internazionale internazionale 2.0 per il territorio, essendo una disciplina interamente costruita sul concetto di spazio ed oggetti “tangibili”. Questa tangibilità fisica viene sempre più Diego Bolchini compressa ed erosa dalle nuove tecnologie, Università di Firenze banche dati e piattaforme digitali. Si pensi, sul piano dei dati sanitari, ai c.d. “fascicoli sanitari elettronici” di user-pazienti e dei sottesi spazi di conoscibilità degli stessi. Quando si parla di sanità elettronica e di moderne tecnologie dell’informazione nella sanità si introduce de facto un livello “terzo” di tipo tecnico nella linea di rapporto fiduciario medico/paziente. Un livello che presenta ontologicamente - nella sua stessa natura tecnica - potenziali rischi per accessibilità, integrità e protezione dei dati Diego Bolchini è docente di analisi delle informazioni per la sicurezza presso l’Università di Firenze - Corso di Perfezionamento Post-Laurea in Intelligence e Sicurezza Nazionale svolto in sinergia con la PcM e Research Associate Fellow presso l’Istituto Gino Germani di Scienze Sociali e Studi Strategici. ISPI | 23
COMMENTARY stessi rispetto ad attacchi cyber. Sono quindi sull’efficacia delle misure protettive potrebbero evidenti le implicazioni strategiche della loro sorgere se si distruggessero o confondessero protezione cibernetica. dati di tracking e contact tracing relativi all’epidemia di Covid-19. Da qui l’attenzione sul In senso più generale, non a caso, oggi il tema delle app anche da parte dell’organo di rapporto tra le nuove tecnologie e il diritto controllo parlamentare (COPASIR) previsto e internazionale, comunitario e nazionale appare istituto dalla Legge nr. 124 del 2007, per come in pieno fermento e ri-adattamento simbiotico, emersa su diversi organi di stampa nazionali Al aprendo diversi “coni di futuri” possibili. di là della tematica contingente delle app Un esempio ci viene fornito dal Manuale di tracciamento, sussistono ovviamente di Tallinn (Tallinn Manual on the International ulteriori categorie di dati oggi essenziali per Law Applicable to Cyber Warfare) - la popolazione civile, come dati bancari o pubblicato nel 2013 sotto la direzione del Prof. finanziari. Sono queste tutte dinamiche che Michael Schmitt, United States Naval War si svolgono nello spazio cibernetico e che College quale primo sforzo di codificazione di sempre più assumeranno rilievo nei rapporti un diritto internazionale applicabile al cyber. internazionali così come nelle dinamiche sociali In prospettiva, è lecito attendersi una continua delle comunità e di singoli individui. evoluzione delle cyber operations anche al di fuori di conflitti armati dichiarati sul piano Un ampio spazio di dibattito sussiste per “reale” (che diviene oggi sempre più un mondo la questione relativa alla protezione, gestione, “legacy”). Difatti, lo stesso Manuale di Tallinn visibilità, oscuramento o distruzione di dati. osserva come siano centrali gli effetti e non gli Ci troviamo qui in una regione di frontiera, strumenti fisici utilizzati. Il caso emblematico, incentrata sulla manipolazione e la trattazione classicamente inteso, di operazione cibernetica, del dato in sé, laddove l’infrastruttura di rete è rappresentato da un attacco informatico che li trasporta rimane sullo sfondo. Fino a che che faccia saltare la corrente elettrica in un punto allora i dati possono essere oggetto di ospedale, il che equivarrebbe (dal punto di attacco senza impunità? È di tutta evidenza vista dei soggetti e feriti ivi raccolti) a colpirlo che se si distruggono cartelle mediche digitali, fisicamente. con la conseguente impossibilità di ricostruire situazione terapeutiche, ciò può creare effetti A tal proposito, si pensi agli effetti che concreti sugli individui. un attacco alle infrastrutture sanitarie potrebbe avere ai tempi di lotta al Covid-19. I flussi e le associazioni di dati sono le Il contrasto alla pandemia ha incrementato nuove risorse da proteggere, essendo ormai esponenzialmente la superfice d’attacco fondamentali per la nostra società. Un nuovo anche per via di un ricorso crescente a sviluppo in termini di Opearational Law e piattaforme di tracciabilità. In tal senso, ulteriori di possibili precauzioni rispetto a potenziali problematiche potenzialmente impattanti interferenze digitali di attori malevoli va Dati sanitari: la necessaria evoluzione del diritto internazionale 2.0 ISPI | 24
Puoi anche leggere