COVID-19: SORVEGLIANZA, PRIVACY E SICUREZZA CIBERNETICA - ISPI DOSSIER Maggio 2020

Pagina creata da Fabio Mazzola
 
CONTINUA A LEGGERE
COVID-19: SORVEGLIANZA, PRIVACY E SICUREZZA CIBERNETICA - ISPI DOSSIER Maggio 2020
ISPI DOSSIER Maggio 2020

COVID-19: SORVEGLIANZA,
PRIVACY E SICUREZZA
CIBERNETICA
edited by Samuele Dominioni, Fabio Rugge
COVID-19: SORVEGLIANZA, PRIVACY E SICUREZZA CIBERNETICA - ISPI DOSSIER Maggio 2020
Maggio 2020
     ITALIAN INSTITUTE
     FOR INTERNATIONAL
     POLITICAL STUDIES

S
      tiamo vivendo la prima pandemia dell’era digitale. Ha colpito le nostre “nuove”
      vulnerabilità esponendoci, accanto ai rischi sanitari, alle crescenti minacce cibernetiche
      del mondo di oggi. La questione della cybersecurity delle piattaforme di tracciamento,
della sorveglianza sanitaria, della sicurezza dei dati personali sanitari, sono solo alcuni dei temi
sui quali si sta dibattendo molto in Italia e in molte altre parti del mondo. In gioco non c’è solo la
lotta alla pandemia ma una sfida politica e securitaria cruciale per le nostre democrazie. Quali
sono le implicazioni strategiche del contrasto tecnologico al Covid-19? Cosa è necessario
fare affinché la tecnologia ci sia davvero d’aiuto? Quali sono i rischi di una “dipendenza” dal
digitale nella lotta pandemia? E come si possono garantire privacy e diritti e allo stesso tempo
la sicurezza cibernetica?

* Samuele Dominioni is a Research Fellow at the ISPI Centre on Cybersecurity, in partnership with Leonardo.
* Counselor Fabio Rugge is Head of ISPI's Centre on Cybersecurity, in partnership with Leonardo.

1. DOMINIO CIBERNETICO, SICUREZZA NAZIONALE E VALORI NELL’ERA COVID-19
   Fabio Rugge (ISPI)

2. COVID-19: DEMOCRAZIA, TECNOLOGIA E FIDUCIA
   Samuele Dominioni (ISPI)

3.     CONTACT TRACING: APPUNTI PER UNA RIFLESSIONE POLITICA E DI SICUREZZA NAZIONALE
       Stefano Mele (Carnelutti)

4.     NON SOLO APP: IL NODO DELLA DIGITALIZZAZIONE DELLA SANITÀ
       Marco Mayer (LINK Campus University)

5.     OLTRE AL CORONAVIRUS: I NOSTRI DATI SANITARI SONO SEMPRE PIÙ APPETIBILI
       Pierluigi Paganini (Cybaze)

6.     DATI SANITARI: LA NECESSARIA EVOLUZIONE DEL DIRITTO INTERNAZIONALE 2.0
       Diego Bolchini (Università di Firenze)

                                                                                                         |2
Maggio 2020
     ITALIAN INSTITUTE
     FOR INTERNATIONAL
     POLITICAL STUDIES

7.     CONTACT TRACING: UN’APP PER OGNI PAESE?
       Maria Sole Continiello (HSE)

                                                 |3
Maggio 2020
  ITALIAN INSTITUTE
  FOR INTERNATIONAL
  POLITICAL STUDIES

                                                                  L
                                                                        a pandemia COVID-19 si sta rivelando un
                                                                        acceleratore di dinamiche e fenomeni
                                                                        latenti dinnanzi al quale gli attori pubblici
                                                                  (istituzioni, scuole, ospedali, case di riposo…),
                                                                  quelli privati (imprese, piccole medie e grandi)
Dominio cibernetico,                                              e i cittadini si son trovati in qualche misura
sicurezza nazionale e valori                                      impreparati. La prima pandemia dell’era digitale
                                                                  ha colpito le nostre “nuove” vulnerabilità,
nell’era Covid-19                                                 esponendoci, accanto ai primari rischi di
                                                                  natura sanitaria, alla minaccia cibernetica e
                                                                  a quella derivante dalla manipolazione delle
                                                                  informazioni. Ciò è accaduto simultaneamente
Fabio Rugge                                                       in molti Paesi, rivelando fragilità a livello globale
ISPI                                                              quanto a livello nazionale.
                                                                  In questo contesto, il dominio cibernetico
                                                                  (per la sua intrinseca vulnerabilità, per la sua
                                                                  pervasività, per l’impunità ch’esso concede) si
                                                                  è confermato un terreno d’elezione per attività
                                                                  criminali e a varo titolo ostili – con effetti che
                                                                  vanno ben oltre il dominio dal quale promanano
                                                                  e finiscono per avere un diretto impatto sulla
                                                                  sicurezza nazionale. Ciò è probabilmente
                                                                  riconducibile a tre fondamentali ragioni.
                                                                  In primo luogo, il confino impostoci dal COVID
Il Consigliere Fabio Rugge è Responsabile del Centre on
Cybersecurity dell'ISPI, in collaborazione con Leonardo.
Capo dell'Ufficio incaricato per la NATO e le questioni di
sicurezza e politico-militari, Direzione generale per gli
affari politici e la sicurezza, Ministero degli affari esteri e
della cooperazione internazionale.                                                                               ISPI | 4
COMMENTARY

ha accresciuto la superficie d’attacco che                ma anche alla manipolazione delle percezioni
esponiamo ad attori ostili: per continuare                del target per rendere questo modello più
a lavorare ci colleghiamo di più alla rete,               appetibile). Ciò, peraltro, è vero anche rispetto
scambiamo più dati, e siamo dunque più                    alla minaccia eversiva di matrice interna: se
esposti ai crimini informatici e alla penetrazione        la crisi economica innalzerà - come pure
dei nostri sistemi da parte di altri attori malevoli.     è possibile - il livello dello scontro sociale,
Siamo stati molto meno negli uffici, per le               è possibile che la dimensione digitale
strade e nei negozi, e proprio per questo siamo           rappresenterà, anche qui, un palcoscenico
sempre connessi, ed è quindi su internet che ci           privilegiato dello scontro. La sicurezza del
vengono a colpire.                                        dominio cibernetico si confermerà critica per
                                                          lo sviluppo economico e per la stabilità sociale,
In secondo luogo, ci affidiamo sempre di
                                                          oltre che per l’indipendenza e la salute dei
più al dominio cibernetico per la nostra
                                                          nostri processi democratici. L’Internet of Things
resilienza economica (lo smart working,
                                                          (IoT), lo sviluppo della capacità di computo ed
l’e-commerce, eccetera) e sociale (social
                                                          i progressi nel campo dell’Artificial Intelligence
networks, insegnamento a distanza, eccetera).
                                                          (AI) stanno arrivando: siamo e saremo preparati
Eventuali interruzioni di servizio dunque
                                                          a gestire l’impatto di questi acceleratori
“costano”, a noi personalmente ed alla
                                                          tecnologici?
nostra società complessivamente, più caro
(come plasticamente dimostrano gli attacchi               Almeno inItalia, non siamo all’anno zero: le
cibernetici ai danni degli ospedali) e, per               nostre strutture sanitarie (ed il personale che
converso, gli attacchi cibernetici divengono              vi opera) hanno dato prova di straordinaria
potenzialmente più vantaggiosi per chi li attua.          capacità, devozione e tenuta; il Governo da
                                                          tempo mette in guardia e lavora per rafforzare
Infine, il dominio cibernetico ha ancora una
                                                          gli strumenti normativi (golden power) ed
volta dimostrato la sua intrinseca capacità
                                                          operativi (Consob, Cdp, Sace, Banca d’Italia,
di intervenire sui nostri processi cognitivi, di
                                                          …) a protezione della minaccia che può
modellare la nostra comprensione del mondo,
                                                          derivare da investimenti predatori (ossia legali,
di consentire un’efficace manipolazione
                                                          ma inopportuni) da parte di attori stranieri
delle narrative e dunque di influenzare le
                                                          intenzionati a sfruttare il momento. Anche nel
nostre opinioni pubbliche. La cyber-enabled
                                                          campo della sicurezza cibernetica, da anni
information warfare (ossia la guerra informativa
                                                          lavoriamo attorno ad un’eccellente ed ancora
fatta “su” e “grazie” al web) supporta la
                                                          attualissima strategia nazionale (il Quadro
ricerca da parte di diversi attori di uno “status”
                                                          Strategico Nazionale per la sicurezza dello
internazionale, e dunque essa diventa un
                                                          spazio cibernetico, del dicembre 2013) e tutti
efficacissimo “braccio armato” del soft power
                                                          gli stakeholders - a partire dalla comunità
(col quale ci si riferisce all’intrinseca attrattività
                                                          intelligence e dalla Polizia Postale, ma anche nel
del modello politico, sociale ed economico,
                                                          settore privato, tanto sul lato dei “(cyber)security

Covid-19: sorveglianza, privacy e sicurezza cibernetica                                                 ISPI | 5
COMMENTARY

provider” che su quello degli operatori che sono                 di “cultura della sicurezza”. Questa più matura e
in prima linea nella difesa degli assetti nazionali              diffusa consapevolezza è condizione necessaria
più sensibili - sono da tempo impegnati per                      per poter in futuro meglio mitigare e rispondere
rafforzare la sicurezza e la resilienza nazionale,               agli shock sistemici, ai “cigni neri” quale
come peraltro dimostra il lavoro in corso per la                 indubbiamente è questo COVID. Ne va della
messa in opera del c.d. “perimetro nazionale di                  tutela e alla promozione dell’interesse nazionale
sicurezza cibernetica”. Se dunque da una parte                   – e in definitiva anche della nostra privacy
sappiamo che la minaccia cibernetica è sempre                    individuale, quantomeno rispetto alle potenziali
più sofisticata, pervasiva e potenzialmente                      ingerenze di soggetti non nazionali.
dirompente, dall’altra ci conforta sapere di poter
                                                                 Infine, vale forse la pena soffermarsi sul
contare su di un’architettura e capacità nazionali
                                                                 contesto internazionale in cui questa pandemia
che, alla prova dei fatti, si stanno dimostrando
                                                                 interviene: la crisi COVID è un acceleratore
all’altezza del compito.
                                                                 anche della Great Power Competition in corso.
Se questa crisi sta facendo crescere un po’                      L’ambiente securitario diviene più volatile ed
ovunque il tasso di digitalizzazione del Paese,                  il confronto – anche nelle narrative nazionali
matura inoltre – e questa è forse una delle                      – è sempre più aspro. Lo vediamo anche nel
poche cose buone che emergono dalla                              dibattito internazionale di queste settimane,
pandemia in corso – la comune consapevolezza                     troppo spesso “sopra le righe”, e nei fenomeni
di quanto la nostra prosperità, libertà e stabilità              globali che stanno emergendo e che in alcuni
siano intimamente connesse alla sicurezza delle                  casi mai avremmo potuto nemmeno ipotizzate
nostre reti. E siamo indotti forse a riconsiderare               (il petrolio a costo negativo?). E ciò proprio
in chiave evolutiva (nell’era di Facebook, Twitter               mentre crescono le interdipendenze complesse
e Google) la sempre più anacronistica antinomia                  (il c.d. entanglement, la compenetrazione,
“privacy contro sicurezza”. Ad ogni emergenza                    ad esempio, tra dimensione cibernetica,
nazionale (sia essa idro-geologica, sanitaria                    convenzionale e nucleare), e mentre il nostro
o cibernetica) vediamo chiaramente come la                       orizzonte strategico diviene più imprevedibile,
sicurezza sia il bene propedeutico al godimento                  anche per via della progressiva erosione dei
di ogni libertà. Se questa crisi ridefinirà almeno               tradizionali strumenti multilaterali, tra cui quelli
in parte il ruolo dello Stato (magari, per certi                 per il controllo degli armamenti. Great Power
versi, invertendo l’ubriacatura iper-liberalista                 Competition significa che sempre più si profila
ed il progressivo depauperamento dello Stato                     a livello globale una competizione tra modelli
centrale), forse si dovrà ripartire proprio dal                  alternativi ed una battaglia per vincere “hearts
concetto di sicurezza, e specie di “sicurezza                    and minds”, per imporre la propria narrativa. Ma
partecipata” o (nella definizione offerta con                    attenzione, perché se Great Power Competition
straordinaria lungimiranza dal nostro legislatore                significa politiche nazionali egoistiche, “my
con la legge di rifondazione della nostra                        country first”, occorre considerare che esse
comunità d’intelligence, la legge n. 124/2007)                   trovano un limite intrinseco nella misura in

Dominio cibernetico, sicurezza nazionale e valori nell’era Covid-19                                            ISPI | 6
COMMENTARY

cui esse polarizzano lo scontro, proprio nel
momento in cui più urgente è la necessità
di coesione a livello nazionale e di forgiare e
avvantaggiarsi di approcci condivisi a livello
internazionale. La cybersecurity è questione
primariamente culturale, ed è uno “sport
di squadra”. Credo sia dunque necessario
ritrovare le ragioni valoriali di questi progetti
comuni (anche infrastrutturali, si pensi al 5G),
partendo dalle comunità di valori e dall’Alleanza
a cui apparteniamo. Occorre, in altre parole,
sviluppare approcci realmente condivisi, e
rifuggire, anche in seno alle nostre alleanze
più solide, visioni meramente transattive
della nostra sicurezza. La radice valoriale è
in ultima analisi il fondamento di ogni politica
di sicurezza, inclusa quella per lo spazio
cibernetico.

Covid-19: sorveglianza, privacy e sicurezza cibernetica                ISPI | 7
Maggio 2020
  ITALIAN INSTITUTE
  FOR INTERNATIONAL
  POLITICAL STUDIES

                                                                 L
                                                                        a lotta mondiale alla pandemia di
                                                                        Covid-19 ha sicuramente avuto l’effetto di
                                                                        incrementare la presenza della tecnologia
                                                                 all’interno delle nostre vite. Dal lavoro da
                                                                 remoto ad una rinnovata socialità digitale fino
Covid-19: democrazia,                                            all’utilizzo di piattaforme per l’intrattenimento o
                                                                 lo shopping. L’uso di servizi digitali è aumentato
tecnologia e fiducia                                             esponenzialmente. Allo stesso tempo, nel
                                                                 corso degli ultimi mesi, si è assistito ad un
                                                                 crescente dibattito rispetto a quelle che sono le
Samuele Dominioni                                                potenzialità e le criticità della tecnologia per
                                                                 contribuire alla lotta contro la diffusione del
ISPI
                                                                 coronavirus. Nel nostro paese si è dibattuto
                                                                 molto, sia a livello politico sia di opinione
                                                                 pubblica riguardo la piattaforma di tracciamento
                                                                 dei contagi. I pomi della discordia sono stati
                                                                 svariati, dalla procedura di selezione di “Immuni”
                                                                 alla composizione della Task Force, dalla scelta
                                                                 di quale protocollo utilizzare per lo sviluppo
                                                                 della piattaforma, a quale tipo di gestione del
                                                                 diario clinico del paziente.
                                                                 Per quanto di natura domestica questi dibattiti si
                                                                 inquadrano all’interno di cornici ben più ampie.
                                                                 Innanzitutto essi hanno avuto il merito di porre
Samuele Dominioni è Research Fellow presso l'ISPI
Center on Cybersecurity, in partnership con Leonardo. Ha
conseguito un dottorato di ricerca in scienze politiche e
storia politica presso l'Institut d’Etudes Politiques de Paris
(Sciences Po) e presso la IMT School for Advanced Studies
di Lucca,                                                                                                     ISPI | 8
COMMENTARY

l’accento su quello che è uno dei classici temi di        valutare soluzioni che preservino i principi
filosofia politica: “sicurezza contro diritti” (incluso   fondamentali del nostro ordinamento, senza
quello alla libertà e alla privacy). Intorno ad           snaturarne il significato, e allo stesso tempo
esso si risolve una questione fondamentale per            adottare politiche restrittive che garantiscano la
l’equilibrio delle società democratiche liberali          sicurezza sanitaria del paese. Il rischio è di dare
ma non solo. Inoltre, e qui la filosofia politica         adito a normative liberticide che specialmente
entra nel campo delle relazioni internazionali, la        in regimi instabili possono determinare una
questione si inserisce nell’attuale Great Power           deriva illiberale.
Competition, in particolare dalla prospettiva
                                                          È necessario sottolineare che di fronte alla
della sfida tra democrazie liberali e regimi
                                                          pandemia di Covid-19 i cittadini italiani, come
autoritari per quanto attiene a diversi indicatori
                                                          quelli di quasi tutti gli altri paesi del mondo,
di performance come quello della stabilità
                                                          hanno accettato, tutto sommato, di buon
politica, della crescita economica e della
                                                          grado le misure restrittive ai movimenti e alle
digitalizzazione della società. La competizione
                                                          attività permesse. Il dibattito è piuttosto ruotato
ha già, e avrà sempre più, conseguenze
                                                          intorno all’utilizzo della tecnologia come fattore
mondiali anche alla luce della capacità
                                                          abilitante una maggior sorveglianza nell’ambito
di gestire la crisi economica e sociale che
                                                          delle attività di contrasto al Covid-19. Vi
seguirà quella sanitaria. Le democrazie liberali,
                                                          sono due principali motivazioni alla base
in quanto tali, devono garantire lo stato di
                                                          del clamore generato rispetto questa
diritto e l’equilibrio tra sicurezza e diritti è un
                                                          possibilità. Da un lato senza dubbio vi è stata
esercizio continuo e non sempre facile. Infatti,
                                                          la non lineare gestione del processo volto
questo equilibrio si deve adattare agli eventi
                                                          alla selezione della piattaforma Immuni e
e agli sviluppi della società contemporanea.
                                                          dei successivi passi per lo sviluppo della stessa.
Un caso relativamente recente è quanto
                                                          Dall’altro il rapporto tecnologia/libertà rimanda
avvenuto negli Stati Uniti con il Patriotic Act
                                                          emozionalmente ad una atavica paura/
nel post 11 settembre 2001. I sostenitori del
                                                          eccitamento per la tecnologia, che si ritrova
Patriotic Act rilevavano come la protezione
                                                          in molti prodotti culturali di natura distopica,
della sopravvivenza stessa dell’ordine costituito
                                                          a partire dal classico 1984 di George Orwell
necessitava una limitazione di alcune libertà
                                                          fino alle acclamate e popolari serie Black
e diritti individuali. Ovviamente, le implicazioni
                                                          Mirror e Westworld. Le contrastanti emozioni
per la sospensione di questi diritti possono
                                                          generate da tali prodotti s’intersecano con
essere di varia natura ed essere, in misura
                                                          l’angoscia generata dalle rivelazioni e dai moniti
variabile, sottoposte a scrutinio istituzionale
                                                          riguardo allo sviluppo di una sorveglianza di
e, infine, di breve o lungo termine. Di fronte
                                                          massa mondiale fatte in primo luogo da Edward
alla crisi in corso, in cui un bene comune – la
                                                          Snowden.
salute pubblica – è messo a repentaglio dalla
diffusione di un agente patogeno, è necessario

Covid-19: sorveglianza, privacy e sicurezza cibernetica                                                ISPI | 9
COMMENTARY

Ad ogni modo, in un ordinamento democratico,           con qualcuno risultato positivo al Covid-19),
per far sì che le soluzioni tecnologiche siano         quest’ultimo s’identifichi al servizio sanitario
di un qualche effetto nell’estenuante lotta            nazionale per seguire le predisposizioni del
contro il Coronavirus, è necessario superare           caso. Su questo punto, fondamentale per un
virtuosamente le preoccupazioni e le remore            corretto uso del tracciamento, si attendono
finora emerse e far sì che la app Immuni sia           ancora sviluppi normativi. Si può tuttavia
scaricata da quante più persone possibile.             ipotizzare delle soluzioni win-win per tutti,
Infatti, come già evidenziato una copertura            altrimenti si rischia di non ottenere i risultati
del 60% della popolazione è davvero difficile          sperati. In altre parole, come argomentato da
da raggiungere e pertanto serve innanzitutto           Carlo Alberto Carnevale Maffé, è auspicabile
coltivare la fiducia tra stato e cittadino. Una        pensare un nuovo patto sociale tra cittadino
fiducia profonda e ben delineata da Marco              e Stato costruito sulla convinzione da parte di
Mayer nel suo articolo che si instaura                 entrambi che il solo modo di combattere il virus
innanzitutto tra il paziente e il medico per poi via   è facendo squadra. L’idea è quella di favorire
via svilupparsi intorno al sistema stesso di sanità    la diffusione e l’accettazione di uno standard
pubblica. Inoltre, per ottenere, incrementare e        sanitario su base volontaria, come quello della
mantenere la fiducia è necessario, come ben            app Immuni, attraverso degli equi indennizzi.
spiegato da Stefano Mele, che nell’ideazione           Non si tratta d’incentivi o disincentivi che
e nell’implementazione della piattaforma di            hanno una natura contestabile e già esclusa
tracciamento si osservino alcune imprescindibili       dal governo; la logica è diversa e già utilizzata
e solidissime garanzie specialmente per                in altri settori secondo una giurisprudenza
quanto riguarda il trattamento dei dati degli          specifica (vedi ad esempio la sentenza della
utenti. Infatti, ciò che deve sorreggere la            Corte Costituzionale 107/2012) volta a risarcire
partecipazione in massa a questo processo              coloro impossibilitati a espletare le proprie
di contact tracing è la necessaria convinzione         attività perché in quarantena attraverso un
di ciascuno rispetto l’utilità e la sicurezza della    contributo automatico di welfare.
stessa (e quindi dei nostri dati), anche perché
                                                       È solo attraverso un aumento della fiducia verso
non vi sono soluzioni alternative eticamente
                                                       le istituzioni, anche pensando un nuovo patto
sostenibili al suo uso volontario.
                                                       sociale tra cittadini e stato per l’occasione, che
Vi sono tuttavia ancora dei punti sui quali è          si può accrescere la volontarietà e quindi la
necessario fare chiarezza e auspicare delle            partecipazione ai programmi di tracciabilità.
soluzioni adeguate che vadano verso una                Attualmente, è questa una delle sfide più
maggior desiderabilità delle implicazioni              importanti in cui è in gioco la credibilità delle
socio-sanitarie che comporta la tracciabilità.         democrazie liberali, in cui si deve preservare
Ad esempio, è necessario che una volta                 e proteggere la sicurezza e il corpus di diritti
che l’utente riceva la notifica riguardo al            e libertà che ci contraddistinguono. Anche ai
suo possibile contagio (è entrato in contatto          tempi del Covid-19.

Covid-19: democrazia, tecnologia e fiducia                                                        ISPI | 10
Maggio 2020
  ITALIAN INSTITUTE
  FOR INTERNATIONAL
  POLITICAL STUDIES

                                                              L
                                                                     'emergenza sanitaria legata al Covid-19 sta
                                                                     da tempo dimostrando tutte le potenzialità
                                                                     tipiche di una pandemia globale di lunga
                                                              durata, caratterizzata da un elevato tasso di
                                                              mortalità e da un’altissima capacità d’impatto
Contact Tracing: appunti                                      sul sistema sanitario dei paesi colpiti. Pertanto,
                                                              nell’attesa di un vaccino, gli stati colpiti sono
per una riflessione politica                                  impegnati nella gestione di questa emergenza
e di sicurezza nazionale                                      utilizzando una strategia tesa principalmente
                                                              a contenere il diffondersi del virus e prevenire
                                                              ulteriori contagi. La quasi totalità di essi, quindi,
                                                              sta puntando da un lato sull’isolamento degli
Stefano Mele                                                  infetti e sulla loro decontaminazione, dall’altro
Carnelutti                                                    sulla quarantena, sul distanziamento sociale,
                                                              sulle scrupolose misure igieniche e – in un
                                                              numero sempre maggiore di casi – anche sul
                                                              tracciamento dei contatti sociali attraverso
                                                              l’utilizzo delle tecnologie.
                                                              Tutti gli studi incentrati su quest’ultimo tema
                                                              sono concordi nell’affermare che, dato il
                                                              livello di contagiosità del Covid-19 e l’elevata
                                                              percentuale di trasmissione attraverso individui
                                                              pre- o a- sintomatici, il controllo dell’epidemia
                                                              mediante il tracciamento manuale dei

Stefano Mele è avvocato, Partner di Carnelutti Studio
Legale Associato, ove è il Responsabile del Dipartimento di
Diritto delle Tecnologie, Privacy e Cybersecurity..                                                          ISPI | 11
COMMENTARY

contatti sociali sia impossibile e quindi inutile.                Nonostante le numerose criticità, il governo
Contestualmente, però, questi stessi studi                        italiano ha comunque deciso di utilizzare
sono altrettanto concordi nell’evidenziare che                    un sistema di allerta Covid-19 incentrato su
l’utilizzo di una app per smartphone, capace di                   un’app per smartphone che utilizza tecnologia
costruire un “ricordo” dei contatti di prossimità                 Bluetooth, basando la propria decisione sulla
e di notificare immediatamente eventuali                          legittima necessità di dover trovare in casi di
incontri con soggetti positivi, sarebbe utile per                 gravissima emergenza – come quella odierna
fermare l’epidemia solo se fosse utilizzata da                    – un punto di equilibrio tra i diritti fondamentali
un numero particolarmente elevato di cittadini                    della salute e della protezione dei dati personali,
e solo qualora fosse abbinata a politiche di                      comprimendo in questo caso il secondo a
rigido distanziamento sociale e a controlli                       favore del primo. Tuttavia, seppur legittimo, tale
sanitari a tappeto sulla popolazione alla ricerca                 approccio necessita che il trattamento di questi
dei contagiati (ad esempio, i tamponi). Occorre,                  dati debba obbligatoriamente sottostare ad
quindi, delineare una strategia articolata su più                 alcune imprescindibili e solidissime garanzie,
piani di intervento, che parta dal riconoscimento                 onde evitare che anche solo i rischi finora
quanto più immediato possibile della                              tratteggiati possano impattare in maniera
contagiosità del soggetto e arrivi al sistema di                  evidente tanto sul piano politico, quanto su
allerta attraverso l’app per smartphone. Non                      quello giuridico e della sicurezza nazionale.
viceversa.
                                                                  In tal senso, quindi, il governo dovrà
Peraltro, l’impiego di un simile strumento                        quantomeno provvedere a:
tecnologico solleva non pochi problemi
                                                                  •   Garantire che solo norme primarie possano
etici e giuridici riguardanti – solo per citarne
                                                                      incidere in maniera così profonda su un
alcuni – l’accesso, la trasparenza, l’uso e la
                                                                      diritto fondamentale di libertà di tutti i
protezione dei dati personali dei cittadini, dei
                                                                      cittadini italiani come quello alla protezione
dati riguardanti il loro stato di salute, così come
                                                                      dei dati personali. Ciò, al fine di impedire che
delle loro relazioni e interazioni sociali. Per di
                                                                      l’intero processo di creazione e gestione
più, a poco possono servire processi tesi ad
                                                                      del sistema nazionale di allerta Covid-19 sia
anonimizzare questi dati (e men che meno
                                                                      lasciato all’arbitrarietà di pochi e a semplici
processi di “pseudonimizzazione”), in quanto
                                                                      atti di natura amministrativa, sfuggendo
la letteratura è piena di evidenze sul valore e
                                                                      così al confronto parlamentare e alle sue
l’utilità – anche commerciale – dei Big Data,
                                                                      garanzie. Inoltre, tali norme primarie, che
così come sulla possibilità di de-anonimizzare
                                                                      dovranno entrare in vigore prima dell’utilizzo
i dati relativi alla mobilità dei cittadini, tracciare
                                                                      dell’app di tracciamento da parte dei
i loro dispositivi e acquisire informazioni (ad
                                                                      cittadini, dovranno avere come obiettivo
esempio, nel caso di utilizzo della tecnologia
                                                                      quello di regolare complessivamente l’intero
Bluetooth, tra i vari possibili, i cosiddetti
                                                                      sistema nazionale di allerta Covid-19 (quindi,
‘Bluetooth Beacons’).

Contact Tracing: appunti per una riflessione politica e di sicurezza nazionale                                 ISPI | 12
COMMENTARY

    sia l’app che i sistemi informatici di raccolta           internazionali, sia pubblici sia privati, a vario
    dei dati e di allerta), le sue caratteristiche,           titolo interessati.
    il suo funzionamento, le misure poste a                    (Rischio che impatta sul piano politico,
    salvaguardia dei diritti dei cittadini, i criteri         giuridico e della sicurezza nazionale)
    precisi in conseguenza dei quali un contatto          •   Utilizzare solo sistemi informatici presenti
    con un soggetto giustifichi l’invio di un                 all’interno del territorio italiano per erogare
    alert, così come le procedure che i cittadini             l’intero servizio, per conservare i dati dei
    dovranno seguire nel caso dovessero                       cittadini e i loro backup, prevedendo
    scoprire di essere entrati in contatto con un             anche che siano gestiti dal governo in
    contagiato.                                               maniera diretta ed esclusiva attraverso
     (Rischio che impatta sul piano politico e                soggetti pubblici. Ciò, al fine di impedire
    giuridico)                                                che simili informazioni – rilevanti sul piano
•   Garantire la totale trasparenza nei confronti             della qualità, della quantità e soprattutto
    dei cittadini in ogni singola fase di vita                della capillarità – possano più o meno
    del sistema nazionale di allerta Covid-19                 direttamente entrare in possesso di attori
    (individuazione dell’esigenza e dei requisiti,            europei e internazionali, sia pubblici che
    realizzazione, protezione, implementazione                privati, interessati a vario titolo.
    e cessazione), esplicitando anche tutti i                  (Rischio che impatta sul piano politico,
    principi etici e normativi che guideranno                 giuridico e della sicurezza nazionale)
    questo percorso. Ciò, al fine di impedire che         •   Verificare che nessun attore nazionale e
    la mancanza di chiarezza in ciascuna delle                soprattutto internazionale, ivi compresa
    fasi di questo processo possa dare adito a                la società aggiudicataria dello sviluppo
    dubbi e strumentalizzazioni, soprattutto sul              dell’app per smartphone, possa in
    piano legale e dell’utilizzo dei dati personali,          qualsivoglia modo accedere direttamente
    minando così la fiducia dei cittadini nell’uso            o incidentalmente ai dati raccolti, anche nel
    finale dell’app per smartphone.                           caso in cui questo soggetto abbia dato un
     (Rischio che impatta sul piano politico)                 qualsiasi apporto – anche tecnologico – per
•   Verificare in maniera approfondita le                     la realizzazione o per l’efficacia del sistema
    relazioni, soprattutto economiche e di                    nazionale di allerta Covid-19. Ciò, al fine di
    finanziamento, che la società aggiudicataria              impedire che simili informazioni – rilevanti
    dello sviluppo dell’app per smartphone                    sia sul piano della qualità, della quantità e
    ha intrecciato nel tempo. Ciò, al fine di                 soprattutto della capillarità – possano più o
    impedire che simili informazioni – rilevanti              meno direttamente entrare in possesso di
    sia sul piano della qualità, sia su quello                attori europei e internazionali, sia pubblici
    della quantità e soprattutto della capillarità            che privati, interessati a vario titolo.
    – possano più o meno direttamente                          (Rischio che impatta sul piano politico,
    entrare nel possesso di attori europei e                  giuridico e

Covid-19: sorveglianza, privacy e sicurezza cibernetica                                                 ISPI | 13
COMMENTARY

      della sicurezza nazionale)                                       catena della sicurezza. Pertanto, controllare
•   Rendere obbligatoriamente disponibile al                           le persone fisiche che garantiranno questi
    pubblico il codice sorgente del software                           servizi è altrettanto indispensabile quanto
    su cui si basa l’intera app per smartphone,                        proteggerle dagli attacchi informatici
    permettendone l’audit da parte della                               esterni. Statisticamente, infatti, la metà di
    comunità scientifica ed effettuando                                questi incidenti provengono dall’interno
    contestualmente anche dei penetration                              della struttura e sono causati, appunto, dagli
    test sulla stessa, prima del suo massivo                           individui per disattenzione e negligenza,
    utilizzo da parte dei cittadini. Ciò, sia per                      ma anche – sempre più spesso – perché
    una maggiore sicurezza dell’app per                                ricattati, costretti o pagati per ottenere le
    smartphone, sia per verificare che i dati dei                      informazioni.
    cittadini non vengano mai trasferiti su altri                      (Rischio che impatta sul piano politico,
    server che non siano esclusivamente quelli                         giuridico e della sicurezza nazionale)
    pubblici deputati ad accoglierli.
                                                                  Solo l’accoglimento e la reale implementazione
     (Rischio che impatta sul piano politico,
                                                                  da parte del governo italiano di queste prime
    giuridico e della sicurezza nazionale)
                                                                  e imprescindibili garanzie potranno far sì
•   Applicare misure di sicurezza rigide e
                                                                  che questo progetto incontri la fiducia dei
    stringenti all’intero sistema nazionale di
                                                                  cittadini, salvaguardando – pur nella necessità
    allerta Covid-19 (quindi, sia all’app che ai
                                                                  di risolvere quest’emergenza sanitaria – i
    sistemi informatici di raccolta dei dati e di
                                                                  loro diritti fondamentali e anche la sicurezza
    allerta), oltre che i principi di segregation
                                                                  nazionale. Se ciò non dovesse avvenire, ci
    of duty e need to know alle persone
                                                                  troveremmo dinanzi a un annunciato fallimento,
    fisiche destinate a tutte le fasi di questo
                                                                  colpevole peraltro di aver incredibilmente
    servizio. Ciò, al fine di impedire che simili
                                                                  provato a barattare un diritto fondamentale di
    informazioni – rilevanti sia sul piano
                                                                  libertà dei cittadini, com’è quello alla protezione
    della qualità, della quantità e soprattutto
                                                                  dei loro dati personali, con l’utilizzo di un’app
    della capillarità – possano più o meno
                                                                  per smartphone. Come se fossimo di fronte
    direttamente entrare nel possesso di attori
                                                                  a un qualsiasi software commerciale e non a
    europei e internazionali, sia pubblici che
                                                                  una delle possibili soluzioni utili a supportare la
    privati, a vario titolo interessati. Inoltre,
                                                                  risoluzione dell’emergenza sanitaria più vasta di
    soprattutto in questo caso, è importante
                                                                  cui la nostra generazione ha memoria.
    ricordare anche come l’essere umano
    rappresenti sempre l’anello più debole della

Contact Tracing: appunti per una riflessione politica e di sicurezza nazionale                                ISPI | 14
Maggio 2020
  ITALIAN INSTITUTE
  FOR INTERNATIONAL
  POLITICAL STUDIES

                                                            I
                                                               n questi giorni la rivista Tech del MIT mette
                                                               in evidenza la vera e propria alluvione di app,
                                                               dispositivi digitali e diavolerie tecnologiche
                                                            spuntate da ogni parte per fronteggiare
                                                            l'emergenza Coronavirus. Da una rapida
Non solo app: il nodo della                                 rassegna si osserva che pochi progetti cercano
                                                            di rispondere ad esigenze mediche specifiche
digitalizzazione della sanità                               o a ricerche epidemiologiche collegate
                                                            all' andamento delle malattie infettive e in
Marco Mayer                                                 particolare alle lezioni apprese nel combattere
ISPI                                                        Sars, Mers, Ebola, ecc. La grande maggioranza
                                                            dei progetti di e-health non affronta alla radice
                                                            temi sanitari irrisolti, ma si limita a puntare a
                                                            una espansione quantitativa delle tecnologie
                                                            digitali come se la loro diffusione fosse di per
                                                            sé la panacea di tutti i mali. Non è la prima volta
                                                            che accade. Nella loro fase iniziale più o meno
                                                            in ogni settore i processi di digitalizzazione sono
                                                            promossi e venduti come processi magici. A
                                                            sette anni di distanza basta rileggere con occhio
                                                            critico il celebre libro del fondatore di Google,
                                                            Eric Schmit1 per capire quanto sia importante
                                                            distinguere da un lato i valori aggiunti che
                                                            caratterizzano l'era digitale, dall’altro le

Marco Mayer è professore a contratto al Master in
cybersecurity presso l'Università LUISS Guido Carli di
Roma, Ex consigliere speciale sulla sicurezza informatica
del Ministro italiano degli Affari interni                                                              ISPI | 15
COMMENTARY

promesse mancate e gli inconvenienti che essa               le epidemie, Quando ad una persona viene
comporta.                                                   diagnosticata la malattia infettiva (sia essa
                                                            asintomatica o con sintomi più o meno gravi)
Per operare questa distinzione in ambito
                                                            è un preciso dovere degli operatori e del
sanitario (da cui dipendono in buona misura la
                                                            paziente fare il massimo sforzo per ricostruire
salute fisica e mentale, le malattie e nei casi più
                                                            i contatti personali, gli ambienti di lavoro e i
gravi la vita o la morte delle persone) conviene
                                                            luoghi frequentati nell’ultima settimana. Una
sgombrare subito il campo dai complessi
                                                            volta conclusa questa mappatura di contatti è
risvolti di business che il diritto alla salute
                                                            indispensabile informare le persone individuate
inevitabilmente si porta dietro. Le cartelle
                                                            perché esse possano sottoporsi nel più breve
cliniche, i dati sui ricoveri, il consumo dei
                                                            tempo possibile al tampone ed alla relativa
farmaci, le visite specialistiche, le campagne sui
                                                            analisi con i reagenti). Questa attività viene
vaccini, per non parlare di aspetti più sofisticati
                                                            gestita con la dovuta discrezione da parte degli
(caratteristiche genetiche e profili psico-
                                                            operatori sanitari con un giro di telefonate.
comportamentali dei pazienti) costituiscono
                                                            È superfluo aggiungere che é un preciso
gigantesche e preziose miniere di informazioni
                                                            dovere deontologico garantire a tutti i cittadini
sia per i progressi della medicina, sia per il
                                                            potenzialmente coinvolti l'assoluto anonimato.
successo delle aziende private orientate al
profitto.                                                   Nel momento in cui – con l’avvio della fase
                                                            2 – alcuni milioni di lavoratori riaquistano
Una vasta letteratura scientifica ha messo
                                                            la libertà di movimento la tempestività dei
in rilievo da lungo tempo come la logica
                                                            tamponi (e ovviamente delle analisi relative)
dell’economia di mercato non può essere
                                                            diventa ancora più importante. Non basta più
meccanicamente trasposta nel comparto
                                                            restare a casa, lavarsi le mani, indossare la
della sanità. Sul versante dei consumatori (i
                                                            mascherina e sanificare gli ambienti di lavoro;
pazienti) un'intrinseca assimetria informativa
                                                            per contenere e possibilmente sconfiggere il
limita fortemente il loro potere di scelta rispetto
                                                            Covid-19 occorre spengere sul nascere i focolai
all’offerta (i medici). Sul piano della produzione
                                                            effettuando i tamponi alle moltissime persone
di beni e servizi le legittime esigenze del
                                                            a rischio già identificate a cui abbiamo fatto
profitto possono entrare in conflitto con
                                                            cenno in precedenza. Per svolgere questo
necessità fondamentali per la medicina, ma non
                                                            compito assolutamente prioritario non c’è
redditizie. Queste due peculiarità del comparto
                                                            bisogno di un app; basta una comunicazione
sanitario pongono un costante problema
                                                            tecnologica elementare che già viene utilizata
di bilanciamento tra logiche di mercato e
                                                            per le prenotazioni dei Cup. Per non escludere
imperativi della salute pubblica.
                                                            i molti anziani che non possiedono uno
È in questa complessa cornice che occorre                   smartphone basterebbe inoltrare un sms a
inquadrare il tema del tracing, attività cruciale           tutti gli interessati con la data, l'ora e il luogo
– in assenza di vaccino – per sconfiggere                   dove fare i tamponi e le istruzioni relative.

Non solo app: il nodo della digitalizzazione della sanità                                               ISPI | 16
COMMENTARY

I dati telefonici ci sono e i programmi di                diagnostiche possono rimettere al centro il
prenotazione anche, basta adattarli. Quando il            medico di base e le strutture territoriali con
commissario Domenico Arcuri ha dichiarato che             grandi vantaggi operativi e risparmio di costi.
tecnologie e mascherine sono indispensabili
                                                          Tuttavia guai a dimenticare che anche con le
per attuare la fase due moltissime persone
                                                          protesi tecnologiche più avanzate la fiducia
(in attesa da tempo) hanno pensato: “bene
                                                          tra medici e pazienti resta l'indicatore più
finalmente avremo a disposizione un sistema di
                                                          importante per valutare il buon funzionamento
prenotazione automatica dei tamponi; non resta
                                                          di un sistema sanitario. La fiducia a cui faccio
che aspettare la convocazione via sms”.
                                                          riferimento non é esclusivamente quella con
Purtroppo non è andata così. L’attenzione                 il medico di famiglia, ma con l'insieme dei
si è viceversa concentrata su altro, non sui              professionisti che i cittadini incontrano nel loro
gravi pericoli derivanti da possibili ritardi             percorso di vita: il pediatra, il geriatra, il medico
nell’effettuazione dei tamponi, ma sulla parola           del pronto soccorso, il chirurgo, gli specialisti
magica “App”. In Italia da molte settimane                delle diverse discipline. L'unità di misura della
la celebre “App Immuni” è sotto i riflettori              fiducia non deriva da un fattore momentaneo,
dell’opinione pubblica e in questi giorni è               ma essa si sviluppa in un processo di
addirittura oggetto di attenzione da parte del            interazione che i pazienti costruiscono in
Copasir (Comitato Parlamentare di Controllo               relazione al percorso diagnostico e terapeutico
sull’operato dei nostri servizi segreti). Non             proposto dal medico e/o dei medici a cui
sono assolutamente contrario ai processi di               si affidano oltre ovviamente al rispetto della
digitalizzazione della sanità, i vantaggi della           riservatezza e agli altri loro doveri deontologici.
telemedicina sono sotto gli occhi di tutti. Ma
                                                          Questa fiducia alimenta in modo rilevante la
ancora una volta il punto centrale è come
                                                          reputazione tecnico-scientifica che circonda
avviene il processo e chi lo gestisce. Immuni
                                                          i professionisti nel territorio, negli studi
è partita con il piede sbagliato ed è inutile
                                                          specialistici, nei presidi ospedalieri e nelle
infierire. Ma ogni volta si ripete la stessa storia. Si
                                                          cliniche universitarie. La fiducia (ragionata) è
dimentica che è indispensabile prima cambiare
                                                          alla base della cooperazione attiva del paziente
l’organizzazione e poi digitalizzare e non fare
                                                          con il medico, di una buona organizzazione
l’inverso. I medici, i dirigenti sanitari, il personale
                                                          del sistema sanitario a livello territoriale/
deve conoscere e sfruttare le opportunità
                                                          ospedaliero e della partecipazione attiva
offerte dalla rivoluzione digitale e tenerne conto
                                                          dei cittadini alla tutela della salute pubblica.
nei progetti di riorganizzazione delle strutture.
                                                          L'emergenza pandemia ha appena dimostrato
Gli informatici, gli esperti di AI e gli ingegneri
                                                          quanto sia essenziale anche se non sufficiente.
delle telecomunicazione devono seguire la
                                                          In altre parole se il cittadino si chiude in casa,
committenza della comunità medico-scientifica,
                                                          o se rispetta la distanza fisica e indossa la
del personale parasanitario e degli stessi
                                                          mascherina quando esce blocca il contagio,
pazienti e non viceversa. Le nuove tecnologie

Covid-19: sorveglianza, privacy e sicurezza cibernetica                                                  ISPI | 17
COMMENTARY

ma non sblocca il funzionamento della società.              due fenomeni inquietanti – emersi con grande
Troppe sono incognite: quanti sono i portatori              drammaticità in questi mesi di pandemia. Da
sani? E quanti sono già impegnati nella fase 2.             un lato si registra l'assenza istituzionalizzata
La verità è che risulta impossibile identificare            di un medico dedicato nelle RSA; per inciso
i positivi asintomatici (e i casi lievi) finché il          le rette per gli assistiti sono peraltro pagate
personale sanitario non attua i tamponi e                   per il 50% dal sistema sanitario, ma esso é
le autorità sanitarie non procedono con le                  completamente estraneo alla loro gestione.
analisi nei laboratori disponendo dei reagenti              Dall'altro in alcune realtà del nostro paese
necessari. Senza questo passaggio cruciale                  si assiste a una pianificazione del sistema
la curva sta scendendo, ma può risalire                     sanitario centrato quasi esclusivamente
perché probabilmente sono troppo numerosi                   sull'ospedale (pubblico o privato che sia) con
i cittadini non controllati che hanno permesso              un sostanziale abbandono della medicina
di muoversi. D'altra parte non si può stare                 territoriale. L'emergenza per il Covid-19 ha fatto
fermi all'infinito e si rischia di finire in un circuito    emergere tali debolezze sistemiche. Ma al di
vizioso perché in assenza di dati sanitari viviamo          là della pandemia, è indispensabile prepararsi
nella nebbia. In questa cornice la fiducia si               a un cambiamento epocale che avverrà
basa su quattro pilastri: A) distanza fisica; B)            nel comparto sanitario con l'introduzione
mascherine e igiene personale; C) tamponi;                  generalizzata di tecnologie digitali. Siamo
D) analisi e reagenti. Riguardo ai punti A) e B)            alla vigilia di una gigantesca rivoluzione
i cittadini italiani sembra abbiano fatto il loro           organizzativa che nel giro di pochi anni muterà
dovere, salvo pochissime eccezioni. Purtroppo               completamente lo scenario. Attenzione, il
sui punti C) e D) – salvo lodevoli eccezioni,               miglioramento non è automatico, l’intelligenza
ancora non ci siamo, né il Ministero della Sanità           artificiale è notoriamente stupida, saremo
ha per ora indicato una deadline precisa in                 sempre più inondati da app di ogni genere.
materia di tamponi.                                         Chi è competente deve scegliere cosa serve
                                                            davvero e cosa è superfluo per migliorare
Nel passato il medico condotto – al pari del
                                                            l’offerta sanitaria: solo così può guadagnarsi
farmacista e del maresciallo dei carabinieri - era
                                                            sul campo il bene più prezioso: la fiducia dei
una figura di riferimento – talora mitica – per
                                                            cittadini.
intere comunità sociali con notevoli benefici
sul piano dell'igiene pubblica. Negli ultimi
decenni – con l'avvento delle nuove tecnologie
diagnostiche – si é assistito viceversa a una
"spersonalizzazione" della figura del medico di
famiglia. In alcune situazioni inutile negarlo é
stato erroneamente percepito come una mera
figura "notarile": un compilatore delle ricette per         1. E. Schmit, La nuova era digitale: La sfida del futuro per
diagnostica e farmaci. A ciò si collegano altri             cittadini, imprese e nazioni, Rizzoli, 2013

Non solo app: il nodo della digitalizzazione della sanità                                                         ISPI | 18
Maggio 2020
  ITALIAN INSTITUTE
  FOR INTERNATIONAL
  POLITICAL STUDIES

                                                          Mentre gli stati di tutto il mondo si confrontano
                                                          con l’emergenza riguardante la pandemica
                                                          COVID-19, il dibattito politico e pubblico è
                                                          sempre più orientato alle problematiche di
                                                          privacy e sicurezza proprie del settore sanitario.
Oltre al coronavirus:                                     Prima di entrare nel merito degli attacchi
i nostri dati sanitari sono                               osservati dall’inizio della pandemia, cerchiamo
                                                          di comprendere chi, e perché, è intenzionato
sempre più appetibili                                     ad accedere ai dati sanitari e per quale
                                                          motivo le organizzazioni del settore sono
                                                          particolarmente esposte ad attacchi cibernetici.

Pierluigi Paganini                                        Purtroppo, il settore sanitario è da sempre
CYBAZE                                                    un obiettivo privilegiato di gruppi dediti
                                                          al crimine informatico. Secondo l’ultimo
                                                          rapporto dell’associazione italiana di
                                                          sicurezza CLUSIT il settore sanitario è tra
                                                          quelli maggiormente interessati da attacchi
                                                          informatici, addirittura è al terzo post nella
                                                          graduatoria e presenta un trend in allarmante
                                                          crescita (vedi Figura 1)
                                                          I principali responsabili di attacchi a
                                                          organizzazioni che operano nel settore sanitario
                                                          sono senza alcun dubbio gruppi di cyber

Pierluigi Paganini è Chief Technology Officer di Cybaze
e membro dell'Agenzia dell'Unione Europea per la
Cybersecurity.                                                                                        ISPI | 19
COMMENTARY

criminali. Infatti, secondo i dati proposti dal                      sanitarie di vario genere. L’utilizzo di queste
CLUSIT, il 97%, degli attacchi è stato attribuito                    informazioni potrebbe consentire ad un
a gruppi dediti al crimine informatico, cyber                        criminale di rubare l’identità di un medico e di
criminali, mentre solo un 2% è associato a                           operare in suo nome. Una tipica frode consiste
campagne di cyber-spionaggio e un 1% ad                              nell’utilizzare l’identità di un medico per
attacchi da parte di attivisti.                                      presentare richieste di risarcimento assicurativo
                                                                     fraudolente o ottenere prescrizioni per farmaci
I dati sanitari sono merce preziosa
                                                                     speciali, come gli oppioidi.
nell’underground cyber criminale; talvolta il
loro valore è superiore a quelle di informazioni                     Accanto al furto di dati si registrano con
finanziarie commercializzate in hacking forum.                       estrema frequenza attacchi ransomware contro
Infatti, i dati finanziari sono caratterizzati da                    strutture ospedaliere, attacchi che spesso
una finestra temporale di utilizzo limitata;                         hanno portato alla paralisi di attività all’interno
ad esempio, i dati associati ad una carta di                         delle aziende colpite. In questo caso i criminali
credito devono essere utilizzati prima che la                        cercano di massimizzare il profitto richiedendo
stessa sia bloccata dal proprietario accortosi                       il pagamento di ingenti somme di danaro per
di una possibile frode o prima che la stessa                         consentire agli amministratori delle strutture
sia scaduta. Diversamente i dati sanitari                            di decifrare i dati criptati a seguito dell’attacco.
di un individuo sono utilizzabili per attività                       Negli ultimi messi numerosi ospedali americani
criminali per tutto il tempo in cui è in vita un                     sono stati vittime di tali attacchi, e purtroppo
individuo e talvolta anche dopo la sua morte.                        anche durante l’emergenza COVID-19 si sono
I dati sanitari possono essere utilizzati per                        registrati episodi di tale natura nei confronti
condurre molteplici attività illecite, quali attacchi                di ospedali in tutto il mondo, come ad esempio
di phishing, attacchi malware, e diversi tipi di                     in Spagna e Repubblica Ceca.
frodi. Le cartelle cliniche possono essere molto
                                                                     Come già menzionato, anche gruppi mercenari,
redditizie per i criminali informatici, si pensi
                                                                     ovvero che operano per conto di governi, sono
che il loro valore nel dark web varia dai $70 ai
                                                                     spesso dietro ad attacchi contro organizzazioni
$150, in funzione di quanto siano dettagliate, di
                                                                     che operano nel settore sanitario per tre
quale nazione provengano e della tipologia di
                                                                     principali finalità: spionaggio, sabotaggio
paziente cui appartengano.
                                                                     e auto-finanziamento attraverso crimini
Di recente si è osservata un’allarmante                              informatici.
tendenza, la disponibilità nei principali black
                                                                     Nel primo caso, gli hacker che operano
market ed hacking forum di dati relativi ai
                                                                     per il governo sono alla ricerca di progetti,
medici stessi. Questi dati sono offerti nei
                                                                     brevetti, risultati di sperimentazioni di farmaci
principali mercati neri per circa US $500,
                                                                     o vaccini che potrebbero fornire allo stato per
gli archivi includono documenti assicurativi,
                                                                     il quale operano un significativo vantaggio
diplomi e licenze mediche, ed autorizzazioni
                                                                     competitivo nel settore della ricerca. Di

Oltre al coronavirus: i nostri dati sanitari sono sempre più appetibili                                           ISPI | 20
COMMENTARY

     Figura 1 – Fonte Rapporto Clusit 2020

Covid-19: sorveglianza, privacy e sicurezza cibernetica                ISPI | 21
COMMENTARY

recente la Cybersecurity and Infrastructure                          Pompeo, altri paesi stanno conducendo
Security Agency (CISA) e il National Cyber                           campagne di disinformazione, tra cui Cina e
Security Centre (NCSC) del Regno Unito                               Iran. Queste operazioni potrebbe avere effetti
hanno annunciato di aver avviato investigazioni                      destabilizzanti sulla popolazione, soprattutto in
su attacchi contro università, organizzazioni                        un momento critico come questo.
di ricerca e società farmaceutiche. Secondo
                                                                     Infine, gruppi di hacker che operano per
le agenzie gli attacchi sarebbero attribuibili
                                                                     governi possono operare per sabotare le
a gruppi APT (Advanced Persistent Threat),
                                                                     infrastrutture di un paese avversario oppure
ovvero attaccanti persistenti che operano per
                                                                     rubare informazioni e rivenderle nell’ecosistema
conto di governi stranieri.
                                                                     criminale per auto-finanziare governi soggetti a
Nel secondo scenario, quello di sabotaggio,                          sanzioni. In passato gruppi APT che operano per
gruppi di hacker che operano per governi                             conto del governo della Corea del Nord si sono
stranieri conducono attacchi intenzionati a                          specializzati in attacchi contro le banche ed
destabilizzare il contesto politico di un paese                      exchange di crypto-valute allo scopo di rubare
avversario. Efficaci quanto pericolose sono                          fondi ed utilizzarli per finanziare attività militari
le campagne di disinformazione condotte                              del regime nonostante le sanzioni internazionali.
su larga scala che hanno come obiettivo
                                                                     In un contesto come quello descritto è
quello di delegittimare le politiche adottate
                                                                     necessario uno sforzo congiunto di agenzie
dai governi per fronteggiare l’epidemia di
                                                                     governative, forze dell’ordine, aziende di cyber
COVID-19. L’agenzia europea European External
                                                                     security e le stesse aziende del settore sanitario
Action Service ha recentemente pubblicato
                                                                     per assicurare la loro protezione. Occorre che
un rapporto che avverte di una “significativa
                                                                     siano condivise informazioni sugli attacchi e
campagna di disinformazione operata da attori
                                                                     sugli attori malevoli e che si implementino
di stato russi e che ha colpito gli Stati membri
                                                                     misure di sicurezza idonee ad incrementare la
dell’UE”. Secondo il Segretario di Stato Mike
                                                                     resilienza delle infrastrutture sanitarie

Oltre al coronavirus: i nostri dati sanitari sono sempre più appetibili                                            ISPI | 22
Maggio 2020
  ITALIAN INSTITUTE
  FOR INTERNATIONAL
  POLITICAL STUDIES

                                                             I più recenti eventi di cronaca cyber fanno
                                                             sempre più riflettere su come porsi rispetto al
                                                             fenomeno degli attacchi informatici alla luce
                                                             di un sistema di diritto internazionale pubblico
                                                             ed umanitario pensato per agenti umani e
Dati sanitari: la necessaria                                 ancorato a criteri sovrani fisici. Le odierne
                                                             vicende del cyber collidono in particolare con
evoluzione del diritto                                       l’“ossessione” originaria del diritto internazionale
internazionale 2.0                                           per il territorio, essendo una disciplina
                                                             interamente costruita sul concetto di spazio ed
                                                             oggetti “tangibili”.
                                                             Questa tangibilità fisica viene sempre più
Diego Bolchini                                               compressa ed erosa dalle nuove tecnologie,
Università di Firenze                                        banche dati e piattaforme digitali. Si pensi, sul
                                                             piano dei dati sanitari, ai c.d. “fascicoli sanitari
                                                             elettronici” di user-pazienti e dei sottesi spazi
                                                             di conoscibilità degli stessi. Quando si parla
                                                             di sanità elettronica e di moderne tecnologie
                                                             dell’informazione nella sanità si introduce de
                                                             facto un livello “terzo” di tipo tecnico nella linea
                                                             di rapporto fiduciario medico/paziente. Un
                                                             livello che presenta ontologicamente - nella
                                                             sua stessa natura tecnica - potenziali rischi
                                                             per accessibilità, integrità e protezione dei dati
Diego Bolchini è docente di analisi delle informazioni
per la sicurezza presso l’Università di Firenze - Corso di
Perfezionamento Post-Laurea in Intelligence e Sicurezza
Nazionale svolto in sinergia con la PcM e Research
Associate Fellow presso l’Istituto Gino Germani di Scienze
Sociali e Studi Strategici.                                                                                ISPI | 23
COMMENTARY

stessi rispetto ad attacchi cyber. Sono quindi                       sull’efficacia delle misure protettive potrebbero
evidenti le implicazioni strategiche della loro                      sorgere se si distruggessero o confondessero
protezione cibernetica.                                              dati di tracking e contact tracing relativi
                                                                     all’epidemia di Covid-19. Da qui l’attenzione sul
In senso più generale, non a caso, oggi il
                                                                     tema delle app anche da parte dell’organo di
rapporto tra le nuove tecnologie e il diritto
                                                                     controllo parlamentare (COPASIR) previsto e
internazionale, comunitario e nazionale appare
                                                                     istituto dalla Legge nr. 124 del 2007, per come
in pieno fermento e ri-adattamento simbiotico,
                                                                     emersa su diversi organi di stampa nazionali Al
aprendo diversi “coni di futuri” possibili.
                                                                     di là della tematica contingente delle app
Un esempio ci viene fornito dal Manuale
                                                                     di tracciamento, sussistono ovviamente
di Tallinn (Tallinn Manual on the International
                                                                     ulteriori categorie di dati oggi essenziali per
Law Applicable to Cyber Warfare) -
                                                                     la popolazione civile, come dati bancari o
pubblicato nel 2013 sotto la direzione del Prof.
                                                                     finanziari. Sono queste tutte dinamiche che
Michael Schmitt, United States Naval War
                                                                     si svolgono nello spazio cibernetico e che
College quale primo sforzo di codificazione di
                                                                     sempre più assumeranno rilievo nei rapporti
un diritto internazionale applicabile al cyber.
                                                                     internazionali così come nelle dinamiche sociali
In prospettiva, è lecito attendersi una continua
                                                                     delle comunità e di singoli individui.
evoluzione delle cyber operations anche al
di fuori di conflitti armati dichiarati sul piano                    Un ampio spazio di dibattito sussiste per
“reale” (che diviene oggi sempre più un mondo                        la questione relativa alla protezione, gestione,
“legacy”). Difatti, lo stesso Manuale di Tallinn                     visibilità, oscuramento o distruzione di dati.
osserva come siano centrali gli effetti e non gli                    Ci troviamo qui in una regione di frontiera,
strumenti fisici utilizzati. Il caso emblematico,                    incentrata sulla manipolazione e la trattazione
classicamente inteso, di operazione cibernetica,                     del dato in sé, laddove l’infrastruttura di rete
è rappresentato da un attacco informatico                            che li trasporta rimane sullo sfondo. Fino a che
che faccia saltare la corrente elettrica in un                       punto allora i dati possono essere oggetto di
ospedale, il che equivarrebbe (dal punto di                          attacco senza impunità? È di tutta evidenza
vista dei soggetti e feriti ivi raccolti) a colpirlo                 che se si distruggono cartelle mediche digitali,
fisicamente.                                                         con la conseguente impossibilità di ricostruire
                                                                     situazione terapeutiche, ciò può creare effetti
A tal proposito, si pensi agli effetti che
                                                                     concreti sugli individui.
un attacco alle infrastrutture sanitarie
potrebbe avere ai tempi di lotta al Covid-19.                        I flussi e le associazioni di dati sono le
Il contrasto alla pandemia ha incrementato                           nuove risorse da proteggere, essendo ormai
esponenzialmente la superfice d’attacco                              fondamentali per la nostra società. Un nuovo
anche per via di un ricorso crescente a                              sviluppo in termini di Opearational Law e
piattaforme di tracciabilità. In tal senso, ulteriori                di possibili precauzioni rispetto a potenziali
problematiche potenzialmente impattanti                              interferenze digitali di attori malevoli va

Dati sanitari: la necessaria evoluzione del diritto internazionale 2.0                                          ISPI | 24
Puoi anche leggere