Durante l’ultimo World Economic Forum di Davos, Angela Merkel ha affermato che il possesso dei Big Data segnerà le sorti della democrazia, della partecipazione e della prosperità economica. Tutti i dati che produciamo se confrontati tra di loro rappresentano un bene inestimabile e su chi ne possiede il dominio si gioca la partita tra Stati e colossi del web. I dati valgono perché sono la nostra identità e danno accesso a informazioni sensibili, come quelle sanitarie o finanziarie. Casi come la manipolazione dei post sui social network o il furto delle identità digitali sono solo l’avanguardia della criminalità informatica. Questi rappresentano alcuni esempi di cyberattacchi più frequenti che, con il tempo, hanno portato l’Europa a prendere importanti provvedimenti, primo fra tutti il Regolamento generale sulla protezione dei dati (o Gdpr) in vigore dal 25 maggio 2018 nei 28 Paesi dell’Unione Europea. Il suo scopo principale è stato quello di restituire agli individui il controllo dei dati personali. Il Gdpr obbliga infatti le imprese a informare chiaramente gli utenti sull’uso che sarà fatto delle loro informazioni e a chiedere sempre il consenso. Allo stesso tempo obbliga gli utenti a comunicare entro 72 ore le violazioni di dati subite e potenzialmente rischiose. Infine, il Gdpr autorizza le imprese a trasferire dati all’esterno dell’Ue solo a condizione che possano monitorare i trasferimenti e garantiscano la protezione degli stessi. La necessità di stabilire regole precise a tutela dei dati personali non è un fenomeno solo europeo: anche in diversi paesi della regione asiatica e in America sono in corso molteplici attività per modificare le norme di riferimento. Tuttavia, la tutela offerta dalla legge non sembra sufficiente e considerati i possibili impatti delle nuove tecnologie sulla vita degli individui si sente l’esigenza di considerare principi e regole ulteriori. In particolare si parla di profili etici. Desta, infatti, sempre più interesse il legame tra uso della tecnologia e profili etici: nel caso delle aziende e del commercio cambia il messaggio che queste vogliono trasmettere, non si concentrano più sul prodotto ma sul cliente, comunicando non più soltanto l’identità aziendale, ma anche i valori dell’azienda stessa.

In questa “etica” del web la Commissione Europea ha lanciato alcune linee guida individuando i mezzi tecnici per metterla in atto come liste di verifica, procedure tecniche ed etica by design, oltre a riproporre elementi già presenti alla base del Gdpr come la responsabilità, la trasparenza, la sicurezza, il data governance e la valutazione di impatto. In sostanza si tratterebbe di un’applicazione più allargata e diffusa del Gdpr, in modo tale da ricomprendere anche la prospettiva etica.

A livello internazionale le principali recenti soluzione ai cyberattacchi sono arrivate dall’ultimo G7, dove rispetto agli anni precedenti è emerso un cambio di passo sull’argomento. L’obiettivo complessivo delle strategie di deterrenza non è limitato a rafforzare le capacità di interdizione e di difesa dei Paesi del G7 e loro alleati, ma anche a creare un contesto internazionale che sia in grado di scoraggiare la messa in campo di azioni di questo tipo. Il documento ufficiale del G7 quindi, ha individuato due linee di azione, una che potremmo definire “classica”, ovvero la protezione dalle intrusioni. La seconda, più moderna nella forma e più problematica nella sostanza, che riguarda la necessità di contrastare la manipolazione delle informazioni all’interno di un paese, principalmente perpetrata attraverso l’uso dei social network. Ma è possibile sviluppare un efficace framework di deterrenza nel cybersapzio? Si. In che modo? In poche parole l’azione deterrente punta a far lievitare i costi di realizzazione dell’azione per il soggetto attaccante e per questo genere di attività esistono già diversi strumenti: Firewall e sistemi antivirus sofisticati per esempio.

Il problema sembrerebbe dunque risolto ma l’azione si complica se andiamo ad analizzare il luogo in cui avviene il possibile attacco, il cyberspazio. All’interno di quest’ultimo è decisamente difficile attribuire l’origine di un attacco, può essere complicato e dispendioso in termini di tempo oltre che mai totalmente infallibile.

Per la sua natura non cinetica e per la difficoltà di attribuzione, l’attacco cyber è particolarmente attraente negli scenari di guerre a bassa intensità o non dichiarate. Quindi, risulta evidente come introdurre uno spazio normativo e favorire la diffusione di una sensibilità politica sul tema dell’attacco informatico sia fondamentale per arrivare a stabilire le modalità con cui legittimamente attribuire un attacco, sviluppare le capacità tecniche per stabilire tale origine con un adeguato grado di confidenza, e infine, implementare delle azioni di risposta, che per ora il G7 limita a opzioni non cinetiche come le sanzioni economiche e commerciali. La strada che porta alla completa sicurezza dei Big Data è in fase di costruzione, molti mattoni sono stati posti nonostante l’obiettivo della completa tutela sia ancora molto lontano. La variabile rimane il continuo gioco tra forze contrapposte che anche in questo campo rincorrono il loro potere.

E’ di questi giorni la notizia sull’entrata in vigore di un nuovo strumento normativo europeo posto a tutela dei Big Data. Si tratta del Cybersecurity Act che prevede il ruolo specifico e fondamentale dell’Agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione (ENISA). Istituita nel 2004 l’ENISA conquista compiti concreti nel caso di cyberattacchi, soprattutto in chiave di certificazione di servizi, processi e prodotti di tutela. Infine la nuova normativa pone l’attenzione sulle certificazioni che, sino ad oggi, hanno avuto valenza nazionale mentre con le modifiche messe in atto dal Cybersecurity Act, unificando i processi, verranno dettate le linee guida necessarie per rendere le certificazioni omogenee e riconosciute a livello comunitario.