Cybersecurity e antiterrorismo: la tutela dei cittadini oltre gli strumenti normativi. Report del convegno in Cassazione

La necessità di un approccio multilivello, globale e in grado di contemperare diritti e interessi in gioco è emersa dal convegno "Cybersecurity e tutela dei cittadini", promosso ieri a Roma dall'Accademia Italiana del Codice di Internet. Dalle reti inter-istituzionali al counter-speech fino all'auto e co-regolamentazione degli attori in gioco, l'obiettivo è non svincolare la ricerca di sicurezza dal bene che deve essere protetto. Apruzzese (Polizia Postale): "Manca in Italia una cultura della sicurezza informatica". Busia (Garante Privacy): "Nelle indagini occorre una selezione dei dati che siano realmente utili. L'overload di informazioni raccolte spesso ha l'effetto opposto". Prof. Romolo: "Nuovi spazi di indagine sulle informazioni che circolano online sui precursori di esplosivi" A distanza di poco più di un mese dai drammatici episodi di Parigi e all'indomani dell'annuncio di nuove misure adottate dal Consiglio dei ministri in materia di contrasto al terrorismo internazionale, ci si interroga su quali siano gli strumenti normativi in materia di cybersecurity che garantiscano i diritti fondamentali e quali i modelli d’intervento efficaci per il contemperamento degli interessi in gioco. Questi i quesiti che hanno animato "Cybersecurity e tutela dei cittadini: strumenti normativi, modelli d’intervento e interessi in gioco”, convegno promosso a Roma dall'Accademia Italiana del Codice di Internet in occasione del Safer Internet Day e ospitato nel pomeriggio di ieri presso l'Aula Giallombardo della Suprema Corte di Cassazione. Un incontro tra giuristi, esperti della materia, rappresentanti delle istituzioni e stakeholder per un evento introdotto dal Prof. Alberto Gambino, Presidente dell'Accademia e Ordinario di Diritto privato presso l'Università Europea di Roma, e moderato Prof.ssa Giusella Finocchiaro, Presidente del gruppo lavoro sul commercio elettronico della Commissione Onu per il diritto commerciale internazionale (Uncitral). 1b "Lo scenario che si propone - ha esordito il Prof. Gambino - risulta molto complesso: da un lato la necessità, attualmente quanto mai pressante, di tutelare l’interesse collettivo della sicurezza pubblica, dall’altro la constatazione che le ingerenze del regolatore potrebbero direttamente comprimere diritti individuali inviolabili, ovvero limitare i diritti degli operatori economici, fornitori di servizi della società dell’informazione. La vera sfida consiste, dunque, nel raggiungere quell’equo contemperamento che, a fronte di quanto esposto, risulta essere non solo imprescindibile ma altresì assai delicato, avuto riguardo al rango degli interessi in gioco: tutti di livello costituzionale, ognuno tutelato da diverse fonti nazionali e sovranazionali che, talvolta sull’onda di un particolare contesto storico-politico, hanno approntato diverse soluzioni". PositionPaperIAIC11febbraio2015"La complessità delle questioni suggerisce, come già anticipato, di considerare anche strade alternative agli strumenti normativi, in particolare usando a favore della collettività accorgimenti tecnici e divulgativi: strumenti di carattere informativo che, con gli opportuni correttivi, potrebbero essere in grado di finalizzare le intenzioni del legislatore. Ciò a cominciare dalla realizzazione e dall’implementazione delle reti inter-istituzionali che potrebbero essere individuate quale modelli di intervento idoneo per realizzare un equo bilanciamento tra tutti gli interessi coinvolti, riducendo peraltro il rischio di esposizione dei fornitori di connettività e di servizi globali alle rivendicazioni di tutela del diritto alla riservatezza e alla protezione dei dati personali avanzate dagli utenti. L’esperienza statunitense relativa all’applicazione del Patriot Act, ha mostrato come anche l’adozione di tecniche di criptazione dei dati conduca ad un equo bilanciamento tra tutela della sicurezza pubblica e tutela dei diritti e delle libertà costituzionalmente garantite: i dati criptati possono, infatti, essere raccolti e detenuti dalle competenti autorità governative le quali 'usano' tali informazioni solo in presenza di un sospetto fondato di una minaccia alla sicurezza proveniente da un individuo in particolare. Infine, potrebbero tornare utili altri strumenti di carattere tecnico informativo, come ad esempio i cosiddetti counter-speech i quali, apparendo in sovrapposizione alla pagina web a contenuto critico, perseguono l’obiettivo di veicolare messaggi positivi, non necessariamente confutando i contenuti visionati, cosa che paradossalmente potrebbe provocare un rafforzamento delle convinzioni dell’utente". "Questi appena elencati - ha chiosato il Prof. Gambino - sono solamente taluni degli strumenti non normativi che potrebbero limitare e contrastare nel medesimo scenario del cyberspazio gli attacchi terroristici sulla e alla Rete e che si ritiene il legislatore nazionale, o sovranazionale, non possa ignorare nell’ottica di un’efficace repressione di fenomeni pericolosi come il cyberterrorismo senza per questo porre a detrimento diritti inviolabili faticosamente conquistati. Appare, d’altronde, più facile condividere globalmente uno strumento tecnico, quale ad esempio la criptazione dei dati, o politiche di educazione degli utenti della Rete, quale il counter-speech, piuttosto che un testo normativo. Tale carattere deve essere tenuto in massima considerazione in quanto organizzazioni terroristiche che operano su scala globale richiedono e impongono altrettanto globali e unitarie risposte. In questo scenario, dunque, emerge come la tutela del cyberspazio possa essere efficacemente e proficuamente demandata ad iniziative di auto e co-regolamentazione degli operatori economici che, nell’ambito di politiche legislative condivise da parte di vari Paesi, risultano essere maggiormente celeri nel dare una precisa risposta alle istanze di risoluzione dei conflitti".

Leggi il Position Paper dell'Accademia

Guarda i video degli interventi

Il dato culturale emerge anche dalle parole di Antonio Apruzzese, Direttore del Servizio di Polizia Postale e delle Comunicazioni: "In Italia manca una cultura della sicurezza informatica. Il problema della sicurezza cibernetica è soprattutto legato ai danni che subisce il cittadino nella sua individualità. Ma oltre agli utenti come vittime rileva anche la posizione di quei cittadini che si ritrovano inconsapevolmente a fornire la loro dotazione tecnologica ai criminali. Parlo delle cosidette botnet, batterie di computer utilizzare per commettere crimini come quello che ha interessato la Sony nelle scorse settimane. Una vicenda nella quale sono state coinvolte diverse macchine italiane e talvolta appartenenti ai complessi dell'apparato pubblico. Più in generale, sono ormai più della metà i casi in cui noi andiamo a bussare a casa di persone dalle cui macchine sono partiti attacchi e fatti criminosi ma che con essi c'entrano nulla. La scarsa consapevolezza dei rischi informatici - ha chiosato Apruzzese - crea grandi rischi che si ripercuotono con pesanti effetti sulla società e anche sull'economia. In questo senso, l'Italia ha avviato un cammino virtuoso per la tutela delle infrastrutture pubbliche, dotandosi di un piano per la sicurezza cibernetica, anche se restano da sciogliere i reali compiti di ogni ente coinvolto nel percorso. Fondamentale, sotto un altro punto di vista, la sensibilizzazione ad un uso consapevole dei mezzi per superare un problema che è prima di tutto di cultura". Anche Corrado Giustozzi, membro del Permanent Stakeholders’ Group dell'ENISA, ha sottolineato come "un corretto utilizzo del mezzo è fondamentale per la creazione di un ambiente più sicuro" e che "la soluzione non è mai solo di tipo tecnologico". Andrea Stazi di Google ha così evidenziato: "La nostra azienda è impegnata per la promozione di strumenti che garantiscono una navigazione più sicura, come l’autenticazione a due step per i servizi come gmail e l’utilizzo del safe browsing, che allerta gli utenti quando cercano di accedere a siti pericolosi per la sicurezza del loro dispositivo". Orientato alle nuove tecniche di indagine è stato invece l'intervento del Professor Francesco Saverio Romolo della Université de Lausanne: "Il terrorista oggi non è più un personaggio che va a reperire le armi a migliaia di chilometri dal luogo in cui intende agire e le trasporta tra mille peripezie, ma è un soggetto che sta nella sua cucina e prepara ordigni letali con comuni elementi che trova al supermercato, seguendo alla lettera ricette che trova abbondantemente sul web. Gli elementi di questo tipo sono conosciuti come precursori di esplosivi, e la loro conoscenza, così come la possibilità di analizzare le informazioni ad essi connesse scambiate in rete, aprono nuovi spazi di indagine che permettono di intercettare un tentativo di fatto criminoso nel momento in cui prendono vita le sue premesse. Senza contare l'occasione economica che si crea per le aziende innovative che siano in grado di mettere a punto strumenti in grado di svolgere questo lavoro". [caption id="attachment_14463" align="aligncenter" width="650"]Prof.Romolo Consulta le slide del Prof. Romolo[/caption] Sul valore delle informazioni raccolte si è concentrato anche l'Avv. Giuseppe Busia, Segretario Generale Autorità Garante per la protezione dei dati personali: "L'esperienza della 'pesca a strascico' della Nsa ci ha insegnato che spesso l'overload di dati raccolti li rende inutili, perché gli investigatori sono costretti a metterne da parte di significativi. Come del resto accaduto con gli attentatori di Parigi, supersospettati che erano stati tenuti d'occhio nei loro spostamenti e che in ogni caso hanno potuto mettere in atto il loro piano criminoso. Questo ci indica la strada, peraltro già tratteggiata nelle norme sulla privacy, verso una selezione dei dati realmente significativi da raccogliere per svolgere indagini e scongiurare sul nascere alcuni pericoli. E se centrale appare anche garantire la sicurezza degli spazi fisici nei quali sono conservati e tramite i quali circolano i dati, bisogna sempre eludere la possibilità che sia l'emotività a guidare l'azione normativa. Perché ciò che ci differenzia da chi ci attacca è un sistema di valori dove alle autorità non è permesso esercitare un controllo generalizzato, asfissiante al tal punto da condizionare e compromettere a monte la libertà di soggetti come Charlie Hebdo, che in uno stato di polizia non avrebbero certo potuto sorgere". Punto di vista simile per Alessandro Politi, direttore del NATO Defense College Foundation, quando afferma: "Quando la sicurezza si svincola dal bene che protegge il rischio è grande". Nelle sue conclusioni la Prof.ssa Giusella Finocchiaro, Presidente del gruppo lavoro sul commercio elettronico della Commissione Onu per il diritto commerciale internazionale (Uncitral), ha affermato: "Emerge la necessità di un approccio consapevole dei diritti in gioco costituzionalmente tutelati, ma bisogna altresì essere consapevoli che, data la dimensione globale dei temi, non c'è sempre condivisione tra i vari Paesi sui diritti e sui valori in questione. Il secondo dato fondamentale è che, sotto il profilo normativo, non si può non adottare un approccio a più livelli e insieme giuridico e tecnologico. Infine, la sicurezza non può non essere integrata, nel senso che deve essere tecnologica, giuridica e anche umana, con un forte richiamo al ruolo politico, perché le politiche di sicurezza in questo ambito non possono essere considerate soluzioni meramente tecnlogiche". Ai lavori hanno preso parte anche il Min. Plen. Giovanni Brauzzi (Vice Direttore Generale per gli Affari Politici e Direttore Centrale per la Sicurezza), il Tenente Colonnello Antonio Colella (Presidenza del Consiglio dei Ministri – Ufficio del Consigliere Militare), l’Ing. Mario Terranova (Area Sistemi e Tecnologie – AgID), Anna Cataleta (H3G) e Roberto Fermani (Telecom Italia). [gallery type="slideshow" ids="14374,14375,14376,14377,14378,14379,14380,14381,14382,14383"]   12 febbraio 2014