Sotto il cappello della cybersecurity si tende a raggruppare molti fenomeni diversi: le cyberminacce, la guerra cibernetica, i crimini digitali (cyberthreats, cyberwarfare, cybercrimes) e però si continua a confondere la cybersecurity con la sicurezza nazionale. Non si deve infatti dimenticare che i fenomeni citati riguardano le persone e i loro comportamenti, definiscono i livelli di benessere e sicurezza degli individui ma anche i diritti e le opportunità di tutti i cittadini.
Per questo la cybersecurity riguarda sia gli individui che gli stati: sono gli individui singoli e associati a soffrire gli effetti di attacchi informatici in un mondo dove le agenzie di sicurezza degli stati e i giganti globali raccolgono e collezionano i dati dei comportamenti di tutti noi. E il modo in cui questi sono gestiti limita sempre di più il diritto alla privacy e alla libertà d’espressione.
Perciò non bisogna confondere la cybersecurity con la sicurezza nazionale
È sbagliato farlo perché questo approccio consente di eludere una riflessione globale su cosa significhi la sicurezza digitale in un contesto in cui i poteri di sorveglianza statuali vengono ampliati, l’anonimato e le tecnologie per la privacy limitate, messe fuorilegge, o addirittura i loro utilizzatori sorvegliati. Allo stesso tempo i sistemi di garanzia vengono indeboliti e le backdoor installate dentro i software più popolari con la compiacenza di aziende spregiudicate o ricattate nel loro business principale, la gestione dei dati e delle identità degli utenti.
La cybersecurity riguarda i diritti umani: di associazione, cooperazione, di spostamento e di comunicazione, diritti cui la privacy e la libera manifestazione del pensiero sono fondamento.
(Leggi anche: “Privacy, 10 motivi per opporsi alla sorveglianza di massa (che ha capito anche Facebook…“)
Le strategie nazionali di cybersecurity
Secondo l’Unione Internazionale delle Telecomunicazioni ITU, all’inizio del 2015, dei 193 paesi membri, 67 avevano una strategia nazionale di cybersecurity e 102 un team di risposta agli incidenti informatici, i famosi CIRTs (National Computer Incident Response Teams).
Ma è di pochi giorni fa la decisione della Commissione Europea di stabilire delle norme certe di analisi e contrasto alle minacce informatiche e il Parlamento europeo è orientato alla definizione di accordi e strategie di collaborazione tra gli stati membri che dovranno individuare i settori e le aziende (trasporti, sanità, imprese) da proteggere attraverso strumenti ad hoc.
Intanto organizzazioni internazionali come l’Unione Africana e quella degli stati americani lavorano da tempo a una serie di leggi e accordi di cooperazione validi a livello internazionale per confrontarsi con le sfide della cybersecurity ma spesso utilizzandole come uno strumento di ricatto economico e per stringere relazioni diplomatiche.
Il primo ministro cinese Xi Jinping nella sua ultima visita a Londra ha dedicato la parte centrale dei suoi incontri proprio alla definizione di una strategia comune sulla cybersecurity (Joint statement on cybersecurity), e lo stesso ha fatto poco dopo con gli Stati Uniti.
Le ultime leggi americane sulla cybersecurity riguardano tuttavia la gestione della sorveglianza dei propri cittadini, in patria e all’estero, e come lamentano la Electronic Frontier Foundation e Access Now, anche dei cittadini stranieri di altri paesi. La maggior parte delle leggi viene trattata a porte chiuse dai governi e da poche aziende selezionate organizzate in lobby di pressione.
Una nuova definizione di cybersecurity
Dal punto di vista dei diritti umani, non è possibile pensare che la sottrazione dei dati personali di 22 milioni di dipendenti americani con tanto di informazioni sulla salute, il reddito e l’abitazione possa essere inquadrata nella presunta guerra tra gli stati. In questo caso è stata incolpata la Cina, senza però fornirne le prove (US Personnel Department hack) e così si è preferito parlare di una potenza avversaria e delle future rappresaglie invece di pensare a come quei dati erano organizzati e conservati e su quale base legale.
Nonostante lo stato di guerra permanente con il terrorismo di matrice islamista, gli attentati nelle metropoli europee e gli allarmi per la sicurezza delle infrastrutture critiche, ci troviamo in una fase in cui abbiamo bisogno di maggiore sicurezza proprio nella quotidianità, visto che i criminali informatici sono in grado di entrare dentro il GPS dell’automobile, mandare un drone a sorvegliarci la casa, ascoltarci dalla smart tv ed entrare con un click nella nostra casa domotica.
Abbiamo bisogno di una cybersecurity orientata alla protezione dei dati personali che anticipano e definiscono i nostri comportamenti
Ne abbiamo bisogno perché le nostre vite sono definite dal nostro sé digitale che ogni giorno interagisce con realtà il cui core business è proprio l’estrazione e la raccolta dei dati che ci riguardano per rivenderli al miglior offerente e che le stesse agenzie di welfare gestiscono in digitale tutto quello che ci rende cittadini con dei diritti (la salute, la pensione, la disocupazione), mentre l’Internet of Things è sgovernata a causa di una legislazione insufficiente e arretrata.
Per questo occorre una nuova definizione di cybersecurity incentrata sui diritti delle persone e sugli utenti finali della tecnologia, non solo dei sistemi nazionali e infrastrutturali.
Le politiche pubbliche e il coinvolgimento dei cittadini
Cosa possiamo fare? Secondo due ricercatori di Open Democracy, Andrew Puddephatt e Lea Kaspar occorre:
1. Definire un quadro legale e normativo, certo e dettagliato. sulla proprietà dei dati in grado di rimettere in mano alle persone il controllo delle proprie informazioni e non dei fornitori di servizi internet
2. Garantire la possibilità di usare la crittografia end to end nelle comunicazioni
3. Avviare dei progetti per aumentare la consapevolezza dell’importanza dell’educazione alla privacy e alla protezione dei dati personali
4. Costruire delle agenzie di monitoraggio che garantiscano la tutela dei diritti fondamentali nella raccolta dei dati fatta da chiunque e per qualsiasi scopo in modo da limitarne e controllarne l’operato
5. Chiedere ai governi di mettere in campo risorse umane e strumentali con personale competente in grado di intervenire a livello giudiziario sui data breaches della privacy aziendale e delle persone
6. Coinvolgere i cittadini nella definizione delle policies pubbliche che li riguardano, a ogni livello, con un approccio multistakeholder
7. Sviluppare un ampio dibattito pubblico su cosa significa essere sicuri in un mondo digitale e interconnesso dove l’apertura e la resilienza di Internet siano una risorsa anziché un limite alla gestione delle vite delle persone
Dal nostro punto di vista è difficile dargli torto.
ARTURO DI CORINTORoma, 17 Luglio 2016
