Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

Audizione di Antonello Soro, Presidente del Garante per la protezione dei dati personali, sulle problematiche legate alla difesa e alla sicurezza nello spazio cibernetico

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
6059229
Data:
07/03/17
Tipologia:
Audizione

VEDI ANCHE IL VIDEO DELL'INTERVENTO SULLA WEB TV DELLA CAMERA DEI DEPUTATI

 

Audizione di Antonello Soro, Presidente del Garante per la protezione dei dati personali, sulle problematiche legate alla difesa e alla sicurezza nello spazio cibernetico

presso le Commissioni riunite Affari costituzionali e Difesa della Camera dei Deputati (7 marzo 2017)

(testo dell'intervento)

 

Ringrazio le Commissioni che hanno voluto affrontare il tema della cybersecurity- tradizionalmente declinato in chiave esclusivamente pubblicistica - in una prospettiva che invece, giustamente, include anche il profilo dei diritti della persona.

E, in particolare, del diritto alla protezione dei dati che è tutt'altro che antagonista rispetto alla sicurezza collettiva nella dimensione cibernetica, rappresentandone anzi una delle principali componenti.

E' utile ricordare la funzione originaria della protezione dati nell'ordinamento europeo, considerata un bene giuridico che ciascuno Stato membro avrebbe dovuto tutelare adeguatamente per poter entrare nell'area Schengen, in quanto presupposto per la sicurezza dell'area stessa.

Gli sviluppi più recenti dimostrano quanto tale concezione originaria del rapporto sinergico tra protezione dati e sicurezza fosse lungimirante: in un'economia e in una società fondate sui dati, proteggere questi significa proteggere ad un tempo i singoli e la collettività.

In una prospettiva di sicurezza e difesa, è l'ambiente digitale che offre la principale superficie di attacco, contenitore di tutte le informazioni che riguardano le infrastrutture strategiche, dalla rete elettrica agli ospedali, agli aeroporti, alle nostre persone.

In questa nuova dimensione della vita, così come si è andata configurando,  le  persone sono più vulnerabili.

Per questo la protezione dei dati personali è essa stessa essenziale presupposto non solo della cybersecurity ma, più in generale della sicurezza pubblica.

Presupposto tanto più necessario se consideriamo che l'impostazione iniziale di Internet ha privilegiato la funzionalità rispetto alla sicurezza.

Le recenti inchieste in tema di spionaggio cibernetico ai danni di singoli rappresentanti di imprese o istituzioni e le stesse controverse interferenze straniere nel procedimento elettorale statunitense, confermano come quelli telematici siano i canali d'ingresso elettivi per l'attacco dei bersagli da parte degli hacker.

Perché tali canali sono incomparabilmente più fragili di quelli propri della dimensione materiale e allo stesso tempo assai più importanti per accedere al controllo dei centri strategici del soggetto da colpire.

In questi anni il cybercrime ha superato il mercato del narcotraffico: l'istituto interregionale delle Nazioni Unite per la ricerca su crimine e giustizia (Unicri) ne ha stimato in oltre 500 miliardi di dollari l'entità annua dei danni al business mondiale. Secondo le stime dell'associazione Clusit, il 72% degli attacchi verificatisi nell'ultimo anno a livello globale sarebbe stato effettuato a fini estorsivi o di sfruttamento di dati personali.

Le infrastrutture critiche sono state oggetto del 15% in più di attacchi rispetto allo scorso anno. E sarebbero cresciuti del 117% gli attacchi riconducibili ad attività di cyberwarfare, che utilizzano canali telematici per esercitare pressione su scelte geopoliticamente rilevanti.

Sarebbero cresciuti addirittura di più del 1.000% gli attacchi compiuti mediante phishing e tecniche di ingegneria sociale, che – come rileva anche la Relazione del Dis - sfruttano soprattutto l'inesperienza degli utenti.

A dimostrazione di come il fattore umano influenzi tuttora in maniera preponderante la sicurezza informatica.

Le diverse ricerche svolte in questo campo concordano nel sostenere che molte delle amministrazioni centrali e, ancor più, periferiche dello Stato   sono caratterizzate da una vulnerabilità intrinseca.

E questo dimostra come la resilienza informatica debba oggi costituire il primo obiettivo su cui soggetti pubblici e privati sono tenuti a investire con risorse umane e finanziarie, attraendo il rischio informatico e cibernetico all'interno del rischio aziendale, con un profilo di gestione di tali criticità mutuato da quello che il Regolamento generale sulla protezione dati impone ai titolari.

Ciò si spiega considerando che la rete è il centro nevralgico dell'economia digitale, nella quale le informazioni sono il bene più prezioso e come tale oggetto di conflitti: utilizzati, oltre che per fini di spionaggio, per scopi ritorsivi ed estorsivi.

Le relazioni ostili, tra gli stati e dentro gli stati, si svolgono prevalentemente nella dimensione digitale: sin dall'attacco informatico all'Estonia nel 2007 si è discusso se, appunto, in questi casi possa invocarsi un intervento della Nato, estendendo così alla realtà digitale gli strumenti pensati per la difesa dell'equilibrio internazionale da aggressioni tradizionali.

E con l'affaire del virus Stuxnet, una delle più potenti cyber-armi mai sviluppate, nel 2010, si  è dimostrato come un attacco informatico possa determinare, in via neppure indiretta, danni fisici ben maggiori di quelli di un attacco cinetico.

La porta d'ingresso e, a un tempo, il bersaglio di questi attacchi sono proprio dati non sufficientemente protetti.

E questo non solo per la coincidenza, in alcune figure bersaglio, di ruolo privato e pubblico, ma più in generale perché le minacce cibernetiche si snodano attraverso il flusso dei dati, la protezione dei quali è l'elemento fondativo della cybersecurity.

Non è un caso che la recente direttiva NIS, sulla sicurezza delle informazioni e delle reti, mutui proprio dalla disciplina di protezione dati alcuni istituti giuridici fondamentali quali, in particolare, la comunicazione all'Autorità competente in caso di incidenti che abbiano determinato violazioni di dati e sistemi (i c.d. data e security breach) e le misure di sicurezza, da adottarsi obbligatoriamente in chiave preventiva.

Ed è significativo che la sicurezza cibernetica sia stata definita bene comune, "non rivale", la cui tutela avvantaggia tutti, proprio perché attiene a una realtà, quale quella digitale, fondata sull'interdipendenza (oltre che sulla condivisione).

E' rilevante che la principale distinzione tra sicurezza informatica e cibernetica attenga proprio alla dimensione relazionale di quest'ultima e al valore che assegna alla protezione dell'infrastruttura e dei domini digitali, considerati non atomisticamente, ma nella loro interrelazione (cfr. Strategia Ue per la cybersicurezza).

Su questo orizzonte si proietta la nostra idea di protezione dei dati, come strettamente correlata alla protezione dei sistemi e delle infrastrutture, di cui abbiamo avuto modo di segnalare le vulnerabilità (anche al Governo) in varie occasioni.

Significativa, in questo senso, è in particolare l'attività che abbiamo svolto rispetto ai principali nodi di interscambio internet (ixp), gestiti da consorzi privati, verificando evidenti criticità nelle misure di  sicurezza.

Tali soggetti mettono a disposizione degli internet service provider un'infrastruttura di rete comune, cui gli operatori possano collegarsi per scambiare, in modo paritario, il traffico telematico.

Dalla sicurezza di quest'infrastruttura comune e dalla neutralizzazione del rischio che i gestori degli ixp accedano ai contenuti del traffico smistato, dipendono quindi non solo la riservatezza delle nostre comunicazioni, l'efficacia delle indagini, l'incolumità dei singoli ma la stessa sicurezza cibernetica, e quindi, una delle principali componenti della sicurezza nazionale.

Non a caso, in occasione delle indagini a seguito del Datagate, è emerso che dati particolarmente rilevanti (per quantità e qualità) sarebbero stati acquisiti dall'Nsa proprio accedendo ai centri d'interconnessione telematica.

Evidente, dunque, il rischio correlato alla permeabilità di tali infrastrutture, imputabile a una loro gestione inadeguata sotto il profilo delle policy di sicurezza, quale quella che abbiamo riscontrato in alcuni ixp, caratterizzati da una notevole vulnerabilità.

Proprio per non rendere la fase dell'instradamento verso i provider del traffico di dati una zona "franca", non governata da regole, abbiamo indicato ai gestori dei nodi d'interscambio le cautele minime per elevarne lo standard di sicurezza.

Perché essa va garantita anche nella fase di collegamento tra i sistemi e le reti, dunque di trasmissione del flusso telematico.

La sicurezza dei dati dev'essere insomma, sempre di più, un fattore abilitante per la stessa efficienza delle infrastrutture e un obiettivo da perseguire fin dalla progettazione dei canali di comunicazione, in modo da rendere la tecnologia parte  della soluzione, prima che del problema e da responsabilizzare i privati che di tali infrastrutture abbiano la disponibilità. È questa anche l'impostazione posta alla base della privacy by design, richiesta dal Regolamento generale sulla protezione dati.

Lo spazio cibernetico, pur essendo un bene d'interesse comune, non è invece, dal punto di vista dominicale, un bene comune, appartenendo a una serie di soggetti, imprese o Stati che ne controllano a vario titolo segmenti, tecnologie e nodi mediante i quali passano le comunicazioni.

La dipendenza da chi ha la titolarità di tali infrastrutture rende vulnerabili e dipendenti dalla loro azione.

Tanto che i "big tech" come Microsoft e Google starebbero cercando di rendersi indipendenti con propri nodi e cavi, temendo non solo la concorrenza ma soprattutto limitazioni e controlli ingiustificati da parte di terzi.

La questione degli ixp è, per certi versi, emblematica di quelli che sono alcuni degli aspetti essenziali della cybersecurity.

In primo luogo, di fronte a minacce che vanno dalla guerra cibernetica (cyberwarfare) all'antagonismo politico digitale (hacktivism), il salto di qualità che si impone nella nostra strategia difensiva sta nell'investire non soltanto sulla protezione del punto terminale in sé, ma anche delle infrastrutture e dell'"ecosistema digitale" nel suo complesso.

Altrimenti avremmo soltanto monadi perfettamente protette, immerse però in un reticolo di vulnerabilità.

E la stretta dipendenza della sicurezza della rete da chi ne gestisca i vari snodi e "canali" pone il tema della sovranità digitale, anche recentemente invocata a livello europeo.

Da non declinarsi tuttavia in chiave nazionalistica o autarchica (per riportare cioè, all'interno dei confini territoriali il baricentro digitale degli Stati), quanto piuttosto nel segno dell'assunzione di responsabilità pubbliche rispetto alla governance telematica.

Per altro verso, è ineludibile l'esigenza di una responsabilizzazione adeguata dei privati a vario titolo coinvolti nella complessa catena della sicurezza dei sistemi e delle reti, di cui gestiscono snodi importanti e dalla cui resilienza informatica dipende la protezione dei singoli e della collettività.

Ma il ruolo dei privati è cruciale anche rispetto alla sempre più frequente esternalizzazione di segmenti importanti dell'attività investigativa (si pensi alle intercettazioni e in particolare a quelle mediante captatori, forniti e in parte gestiti da privati) che ne rendono alquanto più permeabile, complessa e vulnerabile la filiera.

Come dimostra il caso di Hacking Team, la vulnerabilità dei sistemi utilizzati da tali privati espone a un rischio insostenibile i dati investigativi e a volte persino la sicurezza nazionale.

Solo l'adozione di adeguate misure di sicurezza, da parte di ciascun soggetto coinvolto in ogni fase dell'attività captativa, può dunque contribuire a minimizzare i rischi inevitabilmente connessi alla frammentazione dei centri di responsabilità, derivanti dal coinvolgimento di soggetti diversi nella "catena" delle attività investigative.

E' quanto persegue, in particolare, il nostro provvedimento del 2013 sulle misure di sicurezza dei dati trattati nell'ambito dell'attività di intercettazione, che pur con qualche vischiosità e ritardo sta per essere attuato quasi ovunque, uniformando gli standard di sicurezza.

Quello della parcellizzazione dei centri di responsabilità è del resto un rischio cui ovviare necessariamente con la  centralizzazione di competenze all'interno di una strategia unitaria, nazionale ed europea insieme, come del resto prevede la stessa direttiva NIS.

In tal senso significativa resta la necessità di attrarre la disciplina del coordinamento informativo e delle relative piattaforme informatiche nella competenza  statale esclusiva, così da superare quella frammentazione che ha caratterizzato sinora il processo d'informatizzazione del settore pubblico in Italia, il cui livello di sicurezza, come anche di innovazione, è alquanto disomogeneo.

Altrettanto ineludibile è un'organica razionalizzazione del patrimonio informativo (anzitutto pubblico), essendo la riduzione della superficie d'attacco e del suo intrinseco rischio sociale la migliore difesa, contro chi intende sfruttare le vulnerabilità inevitabilmente proprie di masse di dati difficilmente gestibili e, oltretutto, poco utili perché scarsamente selettive.

Ciò vale tanto per i big data di cui sempre più si alimenta la pubblica amministrazione, quanto per la "signal intelligence" e in generale l'attività d'indagine di tipo strategico, non immune dalla tentazione di allontanarsi da quel principio di proporzionalità tra privacy ed esigenze investigative ribadito più volte dalla Corte di giustizia.

E di recente confermato, con la sentenza Tele 2 dello scorso dicembre, così da rendere uno strumento investigativo, quale la data retention, ontologicamente massivo, una misura selettiva, da applicare a obiettivi mirati e in base a presupposti stringenti.

Ed alla garanzia del rispetto del principio di proporzionalità e di un elevato livello di tutela dei dati personali acquisiti anche nell'attività di intelligence mira, del resto, il protocollo d'intenti siglato dal Garante con il Dis nel 2013, anche in ragione dei nuovi poteri attribuiti agli Organismi, proprio in materia di cybersecurity, dalla l. 133/2012 e dalla direttiva "Monti".

L'elemento innovativo del protocollo consiste nella sistematicità e nello stesso ambito oggettivo degli accertamenti, inerente non uno specifico trattamento, ma le modalità organizzative e procedurali utilizzate per la legittimità delle operazioni complessivamente intese.

Tale forma di esercizio dei poteri di garanzia dell'Autorità è maggiormente compatibile con le peculiarità assunte dall'attività d'intelligence, incentrandosi più specificamente sulla sicurezza dei dati e dei sistemi con i quali i vari trattamenti sono svolti che non, invece, soltanto sulla legittimità del singolo, puntuale, trattamento.

Del resto, quello della funzione di garanzia delle Autorità di protezione dati in un contesto di progressivo ampliamento dei poteri informativi dell'intelligence, è  tema condiviso in ambito europeo e che ci è valso un apprezzamento particolare per il lavoro svolto con il protocollo.

Su questo terreno il nostro Codice - tra i pochi in Europa ad attribuire all'Autorità di protezione dati una specifica competenza sull'intelligence - ha rivelato tutta la sua lungimiranza e, in questa parte, resterà immutato anche nella vigenza del nuovo quadro giuridico europeo.