Parlamento Europeo, Consiglio dell’Unione Europea e Commissione Europea stanno spingendo su un nuovo Regolamento Europeo in materia di cybersecurity che, in linea con l’articolo 5 del GDPR, dovrebbe garantire un salto di qualità in tema di sicurezza a livello continentale.
Un framework che oltre a imprimere un importante cambio di prospettiva – da una sicurezza vista come opzione a una sicurezza intesa come principio – servirà a incrementare un mercato che ancora si attesta su cifre di nicchia quale quello dell’intelligenza artificiale.
Proviamo a illustrare quali saranno le sinergie e le prospettive tra questo nuovo Regolamento e il Gdpr, partendo da una riflessione sul nuovo principio di accountability
I vantaggi della compliance al Gdpr
Che il GDPR dovesse comportare una profonda revisione del mode d’être dei titolari del trattamento (categoria che oggi, per la pervasività dei trattamenti di dati personali, ricomprende un’amplissima, se non l’intera, platea di soggetti economici, nonché le pubbliche amministrazioni centrali e locali) era abbastanza prevedibile.
GDPR, l’importanza di certificazioni e codici di condotta: il Garante acceleri
Una volta andata a regime la “questione adempimenti” (la nomina dei DPO, l’approntamento di procedure per la notifica dei data breach ecc.), si avverte ora la necessità di avviare una riflessione sul nuovo principio di accountability e sulla sua capacità di innescare dinamiche di mercato nuove e tali da consentire ai titolari di ottenere vantaggi competitivi dalla compliance.
Le possibilità di differenziare questo mode d’être in base alle scelte sull’attuazione dei principi, come è nello spirito dell’accountability, in effetti esistono: si può certamente puntare alla riduzione dei costi della compliance, ma anche al rafforzamento della fiducia con gli interessati, o ancora al miglioramento delle prestazioni nelle molte aree in cui i trattamenti di dati personali possono essere proficuamente impiegati nei processi produttivi (dalla personalizzazione dei beni o dei servizi, alla determinazione dei prezzi, alla distribuzione logistica, all’assistenza).
D’altro canto, anche dal punto di vista del legislatore, l’introduzione del concetto di accountability era, potremmo dire, inevitabile. Un approccio puramente prescrittivo, infatti, mal si presta a fare emergere i fattori di rischio, che per loro natura sono fortemente legati al contesto, mutevole nel tempo e tale da non essere facilmente rappresentabile in un catalogo di buone prassi, le quali, seppure valide oggi, difficilmente potranno essere valide per sempre.
La scelta del legislatore italiano di abrogare l’Allegato B del Codice privacy, contenente le famose misure minime di sicurezza, ad esempio, risponde a questa logica “risk based” che informa tutto il GDPR, non certo per mettere a rischio i dati eliminando regole, ma al contrario per rimettere al titolare, che meglio di chiunque altro conosce il contesto in cui opera, le scelte più idonee per mitigare rischi contestuali con misure di sicurezza tecniche e organizzative altrettanto contestuali, che risultino efficaci proprio per quei rischi, e che in più siano anche cost effective, come a più riprese il GDPR ribadisce.
L’accountability oltre il Gdpr
Questo dunque l’impianto. Ma sarebbe sbagliato limitarsi alla lettura del solo GDPR se volessimo provare a intuire come l’accountability prenderà concretamente forma nel tempo. Il GDPR non si occupa infatti del complesso meccanismo di incentivi (prevalentemente economici) che condurranno i titolari a realizzare l’accountability. Non è una dimenticanza: il GDPR offre uno scenario di lungo termine per il mantenimento della centralità della persona nella futura economia digitale, attraverso il rispetto del diritto fondamentale alla protezione dei dati personali, verso il quale non ci si potrà non muovere per le ragioni succintamente richiamate.
Sulle motivazioni contingenti che spingeranno i titolari a scegliere l’una o l’altra modalità di attuazione dei principi, molto conteranno le tecnologie disponibili, la loro efficacia e il loro costo, ma anche, forse soprattutto, una visione strategica che accompagni le scelte in modo da non farle percepire come un adempimento formale, guidato prevalentemente dalla forza deterrente delle sanzioni, ma piuttosto come un passaggio necessario, benefico a livello individuale e collettivo, verso una compiuta digitalizzazione della società. Obiettivo quest’ultimo rispetto al quale molti sforzi devono ancora essere compiuti[1].
Il Gdpr e la sicurezza come principio del trattamento
Il primo terreno sul quale le istituzioni europee stanno molto lavorando per offrire ai titolari questa visione strategica è certamente quello della sicurezza. Anche qui il GDPR ha, per così dire, “fatto la sua parte” elevando la sicurezza a principio del trattamento. Non è una novità di poco conto: introdurre la sicurezza tra i principi equivale a dire che tutti i titolari dovranno sempre pensare alla sicurezza dei dati prima di procedere ai trattamenti. La sicurezza non è dunque una semplice opzione, ma una necessità.
Il punto è come fare percepire la sicurezza come una necessità (ancor più che un come un obbligo), tenuto conto che tra i principi del trattamento la sicurezza richiede certamente maggiori investimenti da parte dei titolari. Se osserviamo la quota di spesa per la sicurezza delle informazioni, i dati numerici non danno luogo a dubbi: la sicurezza è ancora vista dai titolari come un’opzione, non come un principio.
In Italia (ma non si tratta di una questione nazionale) la spesa per cybersecurity è nell’ordine del miliardo di euro[2]. È una cifra molto bassa, pari appena allo 0,05% del PIL. Sulle ragioni di questa scarsa propensione agli investimenti in sicurezza molto si può argomentare: vi sono aspetti soggettivi, quali la mancanza di consapevolezza dei rischi o l’assenza di competenze, ma molto contano aspetti oggettivi e di sistema, quali l’impossibilità di controllare pienamente tutti i fattori di rischio da parte dell’investitore e soprattutto il ritorno incerto degli investimenti effettuati per mitigare l’impatto di eventi avversi per loro natura aleatori, su cui interi libri di management science si sono a lungo soffermati negli ultimi venti anni[3].
Una strategia continentale per la sicurezza
In questo contesto, e per incentivare con interventi a carattere sistemico il passaggio da una sicurezza vista come opzione a una sicurezza intesa come principio, in linea con l’art. 5 del GDPR, si colloca la proposta di una strategia continentale per la sicurezza, sulla cui necessità Parlamento Europeo, Consiglio dell’Unione Europea e Commissione Europea si sono dichiarati concordi lo scorso mese di Dicembre, con uno statement congiunto in cui veniva annunciato l’accordo sul testo di un nuovo Regolamento Europeo[4]. Il processo legislativo sembra essere in dirittura d’arrivo, anche tenuto conto dell’imminente tornata elettorale europea: lo scorso 12 Marzo infatti il testo della proposta di Regolamento Europeo in materia di cybersecurity è stato approvato dal Parlamento[5] ed è lecito attendersi l’approvazione del Consiglio a breve. Il Cybersecurity Act.
I lineamenti della strategia
È istituito un framework di certificazione di sicurezza valido a livello europeo per prodotti, processi e servizi ICT. La creazione di tale quadro di certificazione promuove gli elementi di sicurezza (integrità, confidenzialità, disponibilità, resilienza) nelle fasi iniziali della progettazione e dello sviluppo tecnico (security by design) e consente inoltre agli utenti di appurare il livello di affidabilità della sicurezza, garantendo che tali elementi di sicurezza siano verificati in modo indipendente.
Si tratta di una certificazione volontaria, articolata su più livelli (“di base”, “sostanziale” o “elevato”), sotto la supervisione dell’Agenzia ENISA a cui è assegnato il compito di elaborare schemi di certificazione, di svolgere il ruolo di collettore di informazioni sugli incidenti di sicurezza in raccordo con gli Stati membri e di disseminare buone prassi operative. Questa articolazione flessibile della certificazione potrà servire in una seconda fase come presupposto per stabilire criteri più specifici per l’impiego e l’importazione di prodotti in Europa, nonché per la partecipazione a gare pubbliche.
Un altro aspetto importante è la creazione entro 24 mesi dall’entrata in vigore del Regolamento di una rete nazionale di organismi di accreditamento e di organismi di valutazione della conformità a schemi di sicurezza europea, così come la raccomandazione rivolta agli Stati membri di evitare la frammentazione del mercato interno che potrebbe derivare dall’elaborazione di sistemi nazionali di certificazione di cybersecurity in conflitto con quelli europei.
È una strategia fortemente centralizzata a livello continentale che contribuisce in modo sostanziale a realizzare l’accountability dei titolari, i quali sarebbero sollevati dalla necessità di farsi carico per ogni prodotto della complessa valutazione del rischio d’investimento in sicurezza.
In questo disegno, grazie all’intervento di soggetti terzi esperti (ENISA che individua i criteri, gli organismi di accreditamento e di certificazione che effettuano le verifiche e vigilano sull’intero processo), i titolari sono incentivati a investire, potremmo dire, by default in sicurezza, grazie all’acquisto di prodotti già certificati e pronti a essere interconnessi con altri prodotti certificati in modo da generare fiducia nei servizi digitali. È appena il caso di accennare all’idoneità di questo schema a dare adempimento al requisito dell’art. 32 del GDPR, che obbliga i titolari a un assessment sullo stato dell’arte tecnologico prima di scegliere le misure di sicurezza tecniche e organizzative commisurate al livello di rischio su diritti e libertà a cui sono esposti gli interessati.
Cybersecurity Act, ecco le nuove norme in arrivo su certificazione dei prodotti e servizi ICT
Un cambio di prospettiva per la sicurezza
Siamo in presenza di un rilevante cambio di prospettiva: non più soltanto una “sicurezza da”, ovvero una sicurezza difensiva, opzionale e non avvertita come priorità da tutti i titolari, che ha come scopo prevalente la tutela da attacchi informatici, ma una “sicurezza di”, ovvero una sicurezza funzionale necessaria a ciascuno, che si pone primariamente lo scopo di garantire il corretto funzionamento dei dispositivi e delle reti, la loro interoperabilità, la loro affidabilità nell’interesse della persona ma anche con l’obiettivo generale della creazione e del rafforzamento della fiducia nei fornitori di servizi digitali e nel mercato unico digitale.
“Sicurezza di” che genererebbe automaticamente, è questa l’altra sfida della strategia, la “sicurezza da” come un suo prodotto naturale, consentendo agli utilizzatori di tecnologie anche di beneficiare di più efficaci difese dal crescente numero di attacchi informatici che aumentano in livello di sofisticazione.
I tempi sono maturi per lo sviluppo di una strategia europea sull’impiego delle tecnologie digitali, in particolare le più avanzate come l’intelligenza artificiale[6]. Si tratta di tecnologie onnivore di dati, che saranno generati da una molteplicità di sensori diffusi e interconnessi attraverso reti di telecomunicazioni sempre più capillari, sempre più broadband e sempre più software oriented. È dunque questa l’epoca storica per un salto di qualità del tema sicurezza, non soltanto per darle il rango di principio che il GDPR le riserva, ma anche per incrementare un mercato che ancora si attesta su cifre di nicchia. Da questo punto di vista, si può solo migliorare.
Siamo ai primi passi di un percorso regolamentare che si annuncia molto interessante per i soggetti più dinamici dell’economia digitale, se sapranno coglierne le notevoli opportunità che offre.
_________________________________________________________________
- https://www.agendadigitale.eu/cultura-digitale/la-persona-al-centro-dello-sviluppo-tecnologico-ecco-le-sfide-della-nuova-societa-digitale/ ↑
- Il digitale in Italia 2018. Mercati, dinamiche, policy, a cura di Confindustria Digitale, Anitec-Assinform ↑
- Lawrence Gordon e Martin Loeb, The Economics of Information Security Investment, in ACM Transactions on Information and System Security, vol. 5, nº 4, November 2002, pp. 438–457 ↑
- EU negotiators agree on strengthening Europe’s cybersecurity, Brussels, 10 December 2018, http://europa.eu/rapid/press-release_IP-18-6759_en.htm ↑
- European Parliament legislative resolution of 12 March 2019 on the proposal for a regulation of the European Parliament and of the Council on ENISA, the “EU Cybersecurity Agency”, and repealing Regulation (EU) 526/2013, and on Information and Communication Technology cybersecurity certification (”Cybersecurity Act”) (COM(2017)0477 – C8-0310/2017 – 2017/0225(COD)) (Ordinary legislative procedure: first reading), http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+TA+P8-TA-2019-0151+0+DOC+XML+V0//EN&language=EN ↑
- Communication from the Commission to the European Parliament, the European Council, the Council, the European Economic and Social Committee and the Committee of the Regions, Communication Artificial Intelligence for Europe, Brussels 25 April 2018, https://ec.europa.eu/digital-single-market/en/news/communication-artificial-intelligence-europe ↑