The Science of Where Magazine incontra Franco Pizzetti, professore emerito di diritto costituzionale all’Università di Torino, già Garante Privacy
– Anche in conseguenza della guerra in Ucraina, ma già ben prima, il tema cyber è oggetto di attenzione strategica. E’ un tema complesso, che richiama un dibattito sulla finalizzazione dell’innovazione tecnologica e chiede un atteggiamento proattivo, e collaborativo, delle istituzioni e delle imprese. A che punto siamo, in Italia, su questi temi ? Come giudichi l’istituzione dell’Agenzia Nazionale per la Cybersicurezza ?
Come dice Luciano Floridi nel suo recente volume “Etica dell’intelligenza artificiale” (Raffaello Cortina Editore, Milano 2022), traduzione di “The Ethics of Artificial Intelligence, Principles, Challenges and Opportunities”, la guerra in Ucraina, avvenuta subito dopo i primi cenni di indebolimento della Sars II-Covid 19, ha definitivamente segnato la transizione del mondo e dell’umanità dall’epoca off line all’epoca on line. Come dice Floridi, noi siano l’ultima generazione ad aver vissuto una parte della nostra vita off line; i nostri figli e i nostri nipoti potranno sapere cosa significa vivere unicamente off line soltanto dai nostri racconti così come accade alle generazioni passate che assistettero all scoperta del telegrafo e del telefono o, nei trasporti, del motore a scoppio.
Siamo dunque una generazione chiamata, come molte altre nella storia degli uomini, ad affrontare e vincere una sfida enorme: quella del passaggio da una realtà antica a una del tutto nuova o, comunque, profondamente diversa.
A noi e alle generazioni future toccherà dunque affrontare e vincere tale sfida, che comporta nuove regole e nuove organizzazioni sociali così come nuove modalità di relazione tra le persone e di costruzione degli stessi gruppi sociali.
Elemento fondamentale della società on line è che le relazioni sociali e economiche si basano su una continua comunicazione digitale, quindi on line, tra le persone e i gruppi: tutto questo comporta ovviamente la produzione di un numero costantemente crescente di dati e di informazioni che viaggiano sulla rete e che, a loro volta, costituiscono l’elemento essenziale della conoscenza basata sui trattamenti dei dati circolanti in rete e forniti dagli utenti (e trattati dai fornitori dei servizi) grazie appunto alla trasmissione digitale.
Tutto questo, per un verso, è alla base delle economica digitale come economia dei dati, basata in misura crescente sull’accumulo di informazioni relative a utenti e fornitori utilizzando le quali è più facile, più efficiente e più economico (quindi anche più competitivo) fornire prestazioni adeguate alle esigenze presenti o future degli utenti.
Allo stesso tempo, però, la economia dei dati e la società on line richiedono reti di trasmissione dei dati ad alta capacità, interconnesse e adeguatamente protette sia da attacchi illeciti, che possono consentire furti di dati o la immissione in rete di dati falsi e fuorvianti, sia una difesa adeguata della loro struttura, e delle interconnessioni che le rendono operative e in generale degli usi illeciti di dati che esse possono altrimenti facilitare.
È su questo terreno che si colloca la cyber security, la quale ha proprio nella protezione delle reti di trasmissione di dati e di accesso alle banche dati il suo aspetto centrale. La cyber security, inoltre, è l’altro aspetto della conservazione e del trattamento dei dati con la tecnologia cloud proprio perché questa consente la creazione a costi relativamente bassi di enormi banche dati e il trattamento contemporaneo di grandi quantità di dati.
Insomma, cyber security e società digitale vano mano nella mano così come, per fare un esempio puramente indicativo, la velocità consentita ai veicoli che transitano su reti ferroviarie o stradelli va mano nella mano con la adozione di misure di sicurezza adeguate a proteggere i binari o le sedi stradali da accessi o usi impropri che mettano in pericolo i veicoli che vi transitano e i passeggeri che se ne servono.
In questo quadro è evidente che un efficiente sistema di cyber security non può basarsi solo su forme repressive di comportamenti illeciti (pure necessarie) ma deve incentrarsi innanzitutto sulla produzione di regole di tutela delle reti e dei dati adeguate agli sviluppi tecnologici che man mano si manifestano. Non solo: proprio in virtù del fatto che la trasmissione delle informazioni nella società digitale richiede forte interoperabilità tra i sistemi di trasmissione e trattamento dei dati, anche le regole che devono presiedere alla cyber security devono basarsi su un elevato e costantemente aggiornato quadro regolatorio di protezione e su un tasso non meno elevato di cooperazione tra le diverse strutture competenti in ciascun sistema digitale a sovraintendere alla sicurezza delle reti.
Come la società digitale richiede la interoperabilità delle reti così richiede anche la interoperabilità o comunque la cooperazione delle strutture regolatorie e di quelle di vigilanza deputate a garantire un grado elevato e condiviso di cyber security.
L’ Agenzia Nazionale per la cyber sicurezza italiana, istituita con decreto legge 14 giugno n.82, si inscrive in questo quadro e non a caso è stata istituita dallo stesso decreto legge che ha concorso a ridisegnare l’architettura nazionale cyber e a rafforzare la tutela degli interessi nazionali nel campo della cyber security.
Tra i compiti di maggior rilievo di questa nuova Agenzia vi è quello di assicurare il coordinamento tra i soggetti pubblici coinvolti in questa materia.
Spetta a questa Agenzia anche promuovere azioni comuni e rafforzare la collaborazione tra gli operatori per implementare la sicurezza e la resilienza cibernetica e cooperare con le strutture analoghe degli altri Stati della Unione a garantire autonomia strategica nazionale ed europea nel settore digitale considerato in una prospettiva che coinvolge anche il sistema produttivo nazionale e il mondo della ricerca.
Da ultimo è compito di questa Agenzia anche favorire la formazione di esperti e di lavoratori capaci nel settore e sostenere campagne di diffusione della cultura della cyber security.
Le tappe relative alla costituzione in concreto dell’Agenzia sono state relativamente veloci e già il 5 agosto 2021 il Presidente del Consiglio Mario Draghi ha nominato il prof. Roberto Baldoni Direttore dell’Agenzia dopo aver acquisito la delibera del Consiglio dei Ministri e aver dato adeguata comunicazione della intenzione di nomina al Presidente del Copasir e alle Commissioni parlamentari competenti.
Il 7 settembre 2021 è stato pubblicato il documento sinettico di indirizzo strategico finalizzato ad implementare la cyber security e il controllo cloud nella PA e il 13 settembre 2021 Il Presidente Draghi ha conferito la delega in materia di cyber security al Prefetto Franco Gabrielli, Sottosegretario di Stato-Autorità delegata pe la sicurezza della Repubblica. Già il 14 settembre 2021 ha avuto inizio il trasferimento all’Agenzia delle funzioni previste dal Decreto legge istitutivo (art.7) comprese quelle relative al CSIRT Italia, alla istituzione del Nucleo per la cyber sicurezza e all’attuazione della legge relativa al Perimetro di sicurezza nazionale cibernetica. L’Agenzia costituisce anche il punto unico di contatto per la Direttiva NIS dell’Unione Europea. Il 24-27 Dicembre 2021 sono stati pubblicati in G.U. i regolamenti attuativi dell’Agenzia e successivamente, il 18 gennaio 2022, l’Agenzia ha provveduto a definire il modello per la classificazione dei dati e dei servizi della PA e i requisiti dei servizi digitali e delle strutture cloud relative a servizi strategici, critici e ordinari.
Con il bando di concorso del 22 febbraio 2022 si è aperto il procedimento per l’assunzione di 50 unità a tempo indeterminato mentre col bando del 1 marzo è stato pubblicato l’avviso per l’assunzione a tempo indeterminato di 11 professionisti. Nel marzo 2022 si è avviato il procedimento per il trasferimento all’Agenzia di funzioni in materia di cyber sicurezza precedentemente esercitate dal MISE e da AGID e il 30 giugno 2021 ha avuto inizio la operatività del Centro di Valutazione e Certificazione Nazionale per la valutazione di beni e sistemi di servizi ICT da impiegare su infrastrutture per servizi essenziali o funzioni essenziali per lo Stato.
È previsto che a fine 2023 abbia termine la prima fase di reclutamento del personale e che l’Agenzia possa cominciare a funzionare a pieno regime.
In sostanza, l’Agenzia italiana appare strettamente legata a una attuazione della Direttiva NIS attenta ma, allo stesso tempo, molto statica e, soprattutto, sembra segnata inevitabilmente dalle carenze italiane in materia di cloud e, in particolare, di piattaforma cloud per la PA.
Ritardo, questo, che sembra perdurare malgrado che proprio la gara per la piattaforma cloud della PA fosse al centro della prima fase di attuazione del PNRR nel quadro della digitalizzazione della PA.
In questa situazione il rischio è che mentre la Agenzia italiana può avvalersi di persone certamente molto esperte nel campo della sicurezza e di una rete di interconnessioni solida e ben collegata con le strutture di sicurezza nazionale, in particolare il DIS, le perduranti carenze tecnologiche del sistema Italia mettano a rischio la possibilità concreta di garantire una tutela della cyber sicurezza adeguata alla Direttiva NIS e all’ambizioso, ma condivisibilissimo, disegno di sovranità digitale che è al centro dell’attività cybernetica della UE in questa fase storica.
Come sappiamo, la Direttiva NIS è destinata ad essere sostituita presto dalla Direttiva Nis 2 e, dunque, possiamo sperare che nell’attuazione di questa nuova Direttiva il decisore italiano presti maggiore attenzione alla concreta efficacia della tutela e della resilienza delle reti italiane ed europee di trasmissione dei dati che alla attuazione formale della Direttiva europea.
Per questo, però, è molto importante che gli studiosi e i decisori che si occupano di questa materia siano non solo esperti ma anche davvero indipendenti e capaci di fare barriera alla impressionante attività lobbistica che, in larga misura di provenienza extra UE, caratterizza anche tutta l’attività cyber nel contesto dell’Unione.
– Da tempo intervieni sulla questione sensibile della tutela dei dati personali e sulla regolamentazione conseguente. Come si stanno muovendo Europa e Stati Uniti ? Quale modello, invece, propone la Cina ?
Effettivamente oggi il pianeta si presenta, dal punto di vista digitale, sostanzialmente diviso in tre grandi ecosistemi: quello che ha negli USA il punto di riferimento, quello organizzato intorno alla Cina e quello che, con grande difficoltà, sta cercando di costruire l’Europa.
Tra i tre sistemi esistono differenze molto rilevanti che, però, vanno oltre quello che di solito si sottolinea quando si affronta questo tema.
Il sistema USA è sostanzialmente caratterizzato dal c.d. “Washington consensus”, per usare una fortunata espressione utilizzata per indicare i principi intorno ai quali la scienza economica USA e il Fondo monetario Internazionale hanno organizzato le relazioni economiche negli ultimi venti anni. La caratteristica principale di questo sistema consiste nella sostanziale rinuncia dei decisori pubblici a organizzare e regolare il mercato salvo che per quanto riguarda la tutela della libertà di concorrenza, vista come il pilastro intorno al quale organizzare un mercato fair, libero e realmente attento ai bisogni dei consumatori. In questo quadro si rimette ovviamente al mercato il compito fondamentale di assicurare un sistema economico e produttivo adeguato a soddisfare le esigenze degli utenti e quindi a promuovere lo sviluppo economico ben oltre quanto potrebbe fare un decisore pubblico basato sulla rappresentanza politica degli elettori. E’ in questo quadro, anche, che si spiega la scarsa attenzione data dal sistema USA alla protezione dei dati personali e dei diritti fondamentali a questo diritto collegati: si pensa, infatti, che se il mercato funziona correttamente saranno gli utenti stessi a selezionare i fornitori di servizi che assicurino il maggiore rispetto dei dati dei loro utenti e quindi, anche sotto questo aspetto, le migliori qualità dei servizi offerti e resi. Inoltre, il modello americano rifiuta ideologicamente l’idea di un mercato dominato da un decisore politico, temendo che questo sia la fine stessa del mercato come inteso secondo l’ideologia liberale che ha dato vita al formarsi degli USA.
Il modello cinese, invece, è, come ben sappiamo, esattamente l’opposto di quello americano perché considera essenziale che lo Stato protegga i cittadini in ogni aspetto del loro vivere, anche a costo di sviluppare un controllo persino ossessivo dei loro comportamenti.
Banalizzando si può dire che il modello cinese si basa su uno degli aspetti fondamentali della cultura cinese: quello di considerare ogni persona come un ingranaggio di una macchina enorme, costituita appunto dal sistema cinese. In questa concezione, il problema fondamentale è che ogni persona trovi il suo giusto posto nell’ingranaggio complessivo e riceva in cambio dalla società la soddisfazione dei suoi bisogni, compreso quello fondamentale alla tutela della vita e della sicurezza.
Si può dire che il mondo digitale è perfetto per questo approccio culturale, il che spiega anche perché la Cina e in genere i Paesi orientali che fanno parte del suo ecosistema culturale e tecnologico siano all’avanguardia nell’uso di queste tecnologie, prima fra tutte quella relativa al controllo dei e sui comportamenti e alla massimizzazione delle opportunità che ciascuno può offrire al benessere comune.
L’Europa, o meglio l’Unione Europea, si colloca invece a metà strada tra questi due modelli perché mette al primo posto non il mercato e la sua tutela ma la persona e i suoi diritti che non si esauriscono né si concentrano sui diritti del consumatore.
Di qui l’attenzione data dall’Europa alla privacy e alla sua tutela e di qui la sfida che la Unione Europea ha lanciato nell’ultimo decennio alla riconquista di una propria sovranità digitale, intesa come capacità non solo di offrire ai propri cittadini tutti i vantaggi dell’epoca digitale, assicurandone però anche la piena tutela dei diritti, ma la sfida a porsi, proprio per queste sue peculiarità, alla guida della transizione digitale globale.
Fanno storia a sé la Russia e in genere l’ecosistema legato ai Paesi già appartenenti alla galassia marxista che, come la guerra in Ucraina ha dimostrato, possiedono tecnologie in grado di competere con quelle degli altri ecosistemi ma mancano di un proprio disegno e di una propria capacità di progettazione del loro stesso futuro.
Le stesse differenze esistenti tra i diversi sistemi rispetto alla tutela o anche allo stesso riconoscimento della privacy come diritto trovano le loro radici in queste differenze sistemiche.
Sarebbe limitativo, dunque, aneare alla ricerca delle differenze solo guardano alla protezione dei dati personali, così come sarebbe inutile fare lo stesso per cogliere oggi le vere differenze esistenti sul piano globale fra i diversi ecosistemi che si stanno contendendo il pianeta.
– La trasformazione digitale tocca, in maniera radicale, anche l’impianto stesso dello Stato e, di conseguenza, le corde più profonde della democrazia. Verso quale trasformazione ci stiamo avviando ? Le nostre classi dirigenti hanno colto il senso di questa metamorfosi in atto ?
La trasformazione digitale, proprio per le sue caratteristiche e le sue dimensioni, sfida a fondo il nostro modo di vivere e di organizzare la convivenza sociale. Di conseguenza sfida a fondo anche i nostri principi democratici e le forme di democrazia che abbiamo messo a punto nei secoli.
La democrazia rappresentativa non si è sviluppata solo per la difficoltà di consentire che tutti partecipassero contemporaneamente ad assumere le decisioni di volta in volta necessarie per garantire la conservazione e lo sviluppo della società né solo per ovviare alla difficoltà di trasporto delle persone in un ambito territoriale ampio come gli Stati moderni. Essa è nata anche, e soprattutto, per la convinzione che l’attività del decisore politico comporti la conoscenza e l’utilizzo di competenze specifiche e, almeno in parte, specializzate rispetto ai singoli temi e argomenti di volta in volta in gioco.
In questo senso si può dire che la democrazia rappresentativa è esattamente l’opposto della democrazia diretta come l’uso contro di essa dello slogan classico del M5S, secondo il quale “uno vale uno”, dimostra.
La democrazia rappresentativa si basa infatti sulla convinzione che assumere decisioni relative alla società tutta comporti forme specifiche e ampie di responsabilità che richiedono competenze e visioni adeguate. Se si vuole i partiti rivoluzionari, che sono anch’essi la negazione della democrazia, si basano rispetto alla democrazia rappresentativa esattamente al polo opposto rispetto alla democrazia diretta. Tutti i partiti rivoluzionari, sorti proprio come risposta alle carenze delle autarchie ma anche delle democrazie rappresentative, si basano infatti sul principio che l’azione politica deve spettare a gruppi ideologicamente molto forti e coesi e molto specializzati anche nell’uso delle armi o comunque degli strumenti di azione rispetto alla trasformazione ideologicamente progettata della società.
La democrazia rappresentativa, invece, è stata la risposta alla necessità di affidare, attraverso una selezione basata sul voto libero, eguale e segreto, la capacità di selezionare decisori dotati delle competenze e dei poteri necessari a garantire lo sviluppo delle società secondo progetti condivisi e fatti propri sia dagli elettori che dagli eletti.
Se questa analisi è corretta è evidente perché la società digitale tenda a mettere in discussione anche le forme di rappresentanza politica. La rete, e comunque la comunicazione digitale, consente infatti, come i social dimostrano, un continuo e costante cambio di opinioni e manifestazione di giudizi (spesso anche solo usando i likes). Di conseguenza, da un lato incentivano la partecipazione di tutti a una sorta di assordante discussione continua e dall’altro rafforzano la convinzione, ahimè assai diffusa, che tutti possano esprimere le proprie opinioni indipendentemente dalle loro competenze, favorendo così una lettura inedita e molto pericolosa del diritto classico alla libertà di opinione che le istituzioni moderne riconoscono a tutti i cittadini.
Ne conseguono fenomeni molto preoccupanti che sfociano sostanzialmente nella convinzione sempre più diffusa che l’importante sia esprimere la propria opinione e ricevere, se possibile, il più altro numero di consensi possibile.
In questo modo, purtroppo, la società digitale tende non già ad ampliare le frontiere della democrazia ma a favorire la spettacolarizzazione del vivere insieme, trasformando la partecipazione non già nel prendere parte a un processo decisionale consapevole ma a uno spettacolo continuo e “drogante” così come sono “droganti” i social, specie nella società degli smartphones, dei devices mobili che consentono di essere costantemente connessi e quindi di prendere costantemente parte allo spettacolo continuo che la società digitale rinnova senza pause e senza consentire agli utenti un tempo adeguato di riflessione.
Si verifica, dunque, qualcosa di simile a quanto accade nella comunicazione. Così come la informazione mediata dai devices digitali diventa sostanzialmente spettacolo messo in scena costantemente dai media e dai social, i processi democratici, almeno dal punto di vista del dibattito pubblico e dei processi di formazione delle pubblica opinione (che interferiscono immediatamente sul giudizio che si dà della democrazia rappresentativa e sul suo scollamento con l’elettorato) producono un costante rumore di fondo e una informazione circolare autoprodotta nella quale è facilissimo inserire fake news che diventano veri e propri bias del dibattito democratico. Tanto che, unita alla fragilità delle reti di trasmissione dei dati e delle informazioni, la produzione di fake news che disinformano o che orientano, nella direzione voluta, l’informazione pubblica e il dibattito collettivo sono ormai una vera e propria arma bellica, come anche la guerra in corso in Ucraina sta dimostrando.
Indicare soluzioni utili ed efficaci non è facile e certamente richiede anche mettere in conto una evoluzione tecnologica possente, specialmente rispetto alla protezione delle reti cyber.
Certamente un grande aiuto può essere dato sia dalla consapevolezza di quanto sta accadendo sia da un massiccio sforzo di formazione degli ordini professionali dei media. È urgente sottolineare che essere un buon operatore dei media, e soprattutto di quelli digitali, non significa essere capaci di fare degli spettacoli che emozionino gli ascoltatori, ritrasmettono come fatti accertati da chi trasmette spezzoni recuperati in rete dalle emittenti e dalle fonti più diverse ma significa, invece, come è sempre stato detto, accertare con sforzi ragionevoli la veridicità di quanto trasmesso, specialmente quando si tratti di informazioni o immagini raccolte in rete.
I media anglosassoni pretendono attenzione crescente a questi aspetti mentre quelli europei e italiani sembrano seguire una direzione opposta.
Quanto alle fake news, i regolatori stanno cercando di imporre obblighi alle grandi piattaforme di informazione e ai social più diffusi ma è ovvio che si tratta di un terreno assai scivoloso, anche per evitare di cadere in forme private e legittimate di censura.
Tuttavia, non vi è dubbio che si tratta di una tematica che deve essere sempre tenuta presente, soprattutto da chi utilizza i social per diffondere opinioni che ottengano consenso dalla rete. Chi si comporta così, credendo di essere protagonista di una informazione più libera nel dibattito pubblico, rischia facilmente di essere un figurante eterodiretto che partecipa inconsapevolmente a un grande spettacolo collettivo basato sulla volontà di ottenere consenso fino a diventare, se possibile, un influencer. Una ambizione che sfocia facilmente nella pura volontà di autogratificazione. Uno spettacolo continuo e permanente che, fondato su queste basi, deforma la visione del mondo e quindi anche i fondamenti stessi delle società democratiche di democrazia liberale.
La strada da fare e ancora molto lunga ma è importantissimo esserne consapevoli anche per sviluppare tutti gli anticorpi disponibili e possibili sia implementano la ricerca tecnologica che la formazione dei cittadini e, soprattutto, degli operatori dei media digitali.