L’Unione Europea, da tempo, sta adottando una serie di misure allo scopo di aumentare la sua resilienza e la preparazione nel settore della sicurezza informatica. Già nel 2013, ha definito una serie di obiettivi e azioni volte a ridurre la criminalità informatica e sviluppare, inoltre, una maggiore capacità di autodifesa indirizzando le industrie verso una politica coerente di sviluppo del settore IT. La direttiva NIS, emanata nel 2016 dall’Unione Europea, è il primo tassello fondamentale che promuove una cultura della gestione dei rischi. La Direttiva introduce, infatti, requisiti di sicurezza obbligatori per i principali operatori economici e in particolare per tutti gli operatori appartenenti alle infrastrutture critiche. Nel frattempo, gli attacchi informatici sono in aumento e ogni volta che gli impatti sono significativi, viene sollecitato l’intervento da parte del legislatore attraverso l’emanazione di nuove leggi e regolamenti.
Queste richieste sono dovute alla trasformazione della società di oggi, che sta diventando sempre più dipendente dal digitale, e ai danni su larga scala che possono essere causati dagli attacchi informatici.
In questo scenario, l’intervento legislativo dovrebbe considerare anche l’impatto dei costi monetari che la società è disposta a sostenere, oltre a comprendere il livello della minaccia.
La valutazione dei costi, da parte del legislatore, servirà a capire dove questi potranno essere assorbiti, se dai consumatori attraverso l’aumento dei prezzi, dal legislatore o dalle aziende produttrici.
Sempre su questo tema gli investimenti nazionali, come la difesa, sono difficili da valutare in modo puramente obiettivo. Inoltre, occorre tenere presente che gli investimenti nella sicurezza IT sono ricorrenti. Prodotti e software sono come gli edifici, hanno un costo iniziale di progettazione e un costo di manutenzione e aggiornamento.
Sicurezza e usabilità andranno poi sempre più di pari passo; sino ad oggi i sistemi di sicurezza hanno sempre influenzato l’esperienza dell’utente. Basti pensare come ancora oggi il tema dell’autenticazione in molte applicazioni richieda iterazioni che limitano di molto la flessibilità e spesso non sono proponibili in ambienti mobile. Nello scenario digitale l’usabilità e la semplicità saranno fattori chiave per il successo, il nuovo business digitale non può accettare limitazioni della flessibilità dell’utente. Questo scenario richiede spesso una nuova progettazione dei sistemi e delle infrastrutture a supporto del digitale, un altro spunto per il legislatore su come guidare la trasformazione digitale del Paese.
Un tema degno di nota è inoltre quello della dissuasione, che è particolarmente complessa nel dominio del cyberspazio rispetto al mondo fisico. La deterrenza dipende dal poter attribuire atti a persone o Istituzioni e quindi la possibilità di punire i colpevoli.
Nell’attuale scenario digitale, l’attribuzione di attacchi informatici sulla rete è complessa, le fonti possono essere falsificate o riscritte lungo il percorso. L’attribuzione, molto spesso, richiede un’analisi molto costosa. Punire gli attaccanti può quindi essere problematico se lavorano al di fuori della giurisdizione del governo. Siamo pronti per una discussione che coinvolga investimenti pubblici e privati per supportare la sicurezza IT a tutto tondo? Possiamo quantificare, tenendo conto dei vari aspetti, il valore da investire a livello nazionale? Credo che oggi sia giunto il momento di avviare un dialogo nazionale che inserisca questo tema nella logica degli investimenti del Paese e che coinvolga in questo processo le aziende e gli operatori del settore …
Buona lettura