Cybersecurity, privacy e le frontiere del diritto contemporaneo.

05.04.2020

di Lucilla De Biase

Si parla di guerra informatica già da più di un decennio, sebbene ciò sia avvenuto lontano dall'attenzione del grande pubblico e, molto spesso, lontano dal territorio italiano. Ad oggi, il termine "guerra informatica" (cyber warfare) concerne per lo più attacchi informatici volti a creare propaganda politica o disinformazione, ma anche a bloccare il funzionamento di server istituzionali o privati con il fine di mettere in pericolo l'andamento dei servizi di cui un paese dispone. Attraverso un attacco informatico si possono carpire informazioni sensibili, intralciare attività militari o di ricerca e tali azioni sono caratterizzate da un'altissima percentuale di riuscita. Così evidenzia uno studio dell'Istituto di Ricerca delle Nazioni Unite sul disarmo (UNIDIR, 2011): "più di 30 paesi hanno adottato misure per includere la guerra informatica nei loro piani e strutture militari".

La tecnologia, inoltre, ha ridistribuito il potere bellico, rendendo possibile per un ente privato attaccare un ente pubblico e per un cittadino attaccare una nazione, tutto ciò in totale anonimato: scenari, questi, molto diversi dal tradizionale assetto che siamo abituati a studiare sui banchi di scuola.

Il primo tentativo in territorio europeo di regolamentare l'area dei crimini informatici risale al 2001 (anno che portò all'attenzione delle masse la pericolosità delle nuove tattiche militari in via di sviluppo, che ora possono trovare un valido campo di battaglia nel cyberspace), ma si parlava di attacchi informatici ai danni di server istituzionali e privati fin dagli ultimi anni del Ventesimo secolo. La Convenzione di Budapest, firmata nel 2001 ed entrata in vigore nel 2004, cita come "nuovi crimini" violazioni del diritto d'autore, frodi informatiche, violazioni di network privati e atti di pedo-pornografia online, sorvolando però su un'eventuale "jus in bello" da impiegare in situazioni critiche. Inutile, in tale ambito, ricorrere alle tradizionali fonti legislative di guerra, come la Convenzione di Genova e la Carta delle Nazioni Unite (quest'ultima, infatti, si limita a riconoscere l'alto grado di lesività di "pericoli non tradizionali").

Dal 2001 ad oggi poco è cambiato. Problematiche di cybersecurity rimangono fra le più pressanti in agenda e non solo perché le tecnologie che permettono tali attacchi sono in costante evoluzione, ma perché si tende ad ignorare il contributo umano e quindi la colpa e il dolo, oltre che il delicato fattore psicologico, che stanno alla base di simili reati, come sottolinea Rose McDermott in un articolo pubblicato sul Journal of Cyber Policy (2019). Nondimeno, l'urgenza di questi temi non deve dare luogo a legislazioni obsolete, come invece è accaduto in Inghilterra: in un articolo del Guardian dal titolo allarmante ("Cybercrime laws need urgent reform to protect UK") si sottolinea come le cyber-difese inglesi siano state minacciate dal Computer Misuse Act emanato nel 1990. Secondo un report del Criminal Law Reform Now Network (CLRNN), "Reforming the Computer Misuse Act", stilato da avvocati accademici delle università di Birmingham e Cambridge, sono molteplici i problemi che il paese riscontra nella messa in atto della legislazione riguardo i crimini informatici, enfatizzando come ostacoli del genere mettano in pericolo l'economia e la stabilità del paese. Tale riforma giudica dovrebbe, secondo il CLRNN, incrementare la flessibilità delle condanne per crimini informatici, introducendo ammende, sanzioni e multe e fornendo di specifiche linee guida i giudici del Sentencing Council nel trattamento di imputati minorenni o affetti da autismo (un esempio: il caso della hacker Lauri Love, a cui è stata diagnosticata la sindrome di Asperger).

Durante l'Internet Governance Forum (IGF) tenutosi a Berlino, nel Novembre 2019, si è sottolineato come l'avanzamento delle tecnologie digitali e delle intelligenze artificiali sia spesso accompagnato da un senso crescente di ansia da parte di individui e gruppi vulnerabili, i cui diritti sovente vengono sacrificati in nome del progresso.

Ed è proprio su questo tema che ad oggi i giuristi si concentrano: come bilanciare i diritti umani e la pubblica sicurezza online?

Al di là delle questioni etiche, che sono di difficile risoluzione, è indubbia l'importanza della protezione dei dati e della privacy (diritto che per eccellenza in questi anni viene messo in pericolo dal progresso tecnologico): il singolo cittadino ha poco potere, sebbene anch'egli giochi un ruolo fondamentale nella protezione dei propri dati (astenendosi, ad esempio, dall'aderire a contratti vincolanti e poco chiari che potrebbero risultare nocivi per l'utenza stessa); infatti, sta alle agenzie e alle aziende il compito di proteggere, attraverso un adeguato sistema di cybersecurity, i dati dei propri clienti e del proprio personale. Secondo un'indagine condotta dalla Lloyd's Assicurazioni, eseguita su un campione di 350 aziende europee, nove aziende su dieci hanno subito un attacco informatico che le ha colte impreparate.

Un esempio, sebbene non europeo, della scarsa preparazione di alcune imprese in ambito della protezione-dati è il caso Equifax, il cui processo sta avendo luogo in questi mesi. L'accusa, formalizzata il 10 febbraio 2020 dal Dipartimento di Giustizia degli Stati Uniti, è di aver rubato dati personali di cittadini americani per conto dell'Esercito Cinese, che avrebbe sfruttato una falla nel sistema di sicurezza dell'azienda. In un articolo di Charlie Wrezel, del New York Times, risulta che, sebbene gli attacchi cinesi al server di Equifax fossero altamente sofisticati (gli hacker avrebbero coperto le loro tracce attraverso l'utilizzo di 34 server in una dozzina di paesi di tutto il mondo), di fatto gli archivi dell'azienda non erano protetti da alcun sistema di cybersecurity: i dati dei cittadini erano conservati in quelli che vengono definiti "plain text", ovvero documenti non criptati. Durante il processo contro Equifax, sarebbe emersa anche la mancanza di un valido sistema di password che, seguendo il buon senso, è essenziale per un'agenzia reportistica come Equifax (che raccoglie informazioni su circa una novantina di aziende internazionali e su più di 500 milioni di singoli consumatori).

Ma la lontananza geografica di tali episodi non si traduce in una lontananza effettiva dalle nostre vite: in territorio italiano, secondo il Rapporto Clusit, stilato dall'Associazione Italiana per la Sicurezza Informatica, nell'ultimo biennio "il tasso di crescita del numero di attacchi gravi è aumentato di 10 volte rispetto al precedente". Non solo gli attacchi informatici sono aumentati in senso numerico, sottolinea il Rapporto, ma essi si sono evoluti anche qualitativamente. A settembre 2019, il 2018 si è profilato come "l'anno peggiore": 1552 attacchi informatici definiti "gravi", un incremento del +37,7% rispetto al 2017. Sempre secondo il Rapporto Clusit, il bersaglio maggiore degli attacchi informatici del 2018 è stata la sanità, con un incremento del +99%, seguita da un incremento del +58% degli atti di spionaggio.

Sebbene le minacce informatiche sembrino ancora far parte di un mondo di fantascienza scaturito dalla mente di un Asimov un po' meno virtuoso dell'originale, non possiamo prendere sotto gamba il ginepraio che è la realtà virtuale. Di fatto, internet e il cyberspace hanno conseguenze concrete nelle nostre vite ed è innegabile la tendenza degli utenti a vedere la vita come un "eterno presente", cedendo così gran parte delle proprie informazioni personali in modo consapevole ma disinformato e sopratutto senza tenere conto delle possibili ripercussioni sul proprio futuro, o su quello altrui. A tale proposito, bisognerebbe sensibilizzare l'utenza, rendendo i service providers i principali educatori dell'individuo alle prese con la realtà informatica [questo il fine del "Gruppo art. 29", oggi Comitato Europeo per la Protezione dei Dati (EDPB)].

La Repubblica ha condotto un esperimento, lasciando un computer collegato ad internet senza alcuna protezione per una settimana (febbraio 2019). I risultati? circa 2000 minacce al pc ogni ora, con "picchi di 38 mila minacce al giorno". Senza creare allarmismi, dunque, vi consiglio di munirvi di un buon antivirus.

© 2019 Glossa Moderna. Tutti i diritti riservati.
Creato con Webnode
Crea il tuo sito web gratis! Questo sito è stato creato con Webnode. Crea il tuo sito gratuito oggi stesso! Inizia