Il report 2019 dell’attività dell’Agid contiene aspetti interessanti, oltre per l’aggiornamento sullo stato dei servizi da essa vigilati, anche per l’implementazione sperimentale di un software di tipo predittivo nell’esercizio delle proprie funzioni di vigilanza.
Esaminiamo brevemente il report e proviamo a comprendere pro e contro dell’utilizzo di questi software di intelligenza artificiale da parte della PA.
Vediamo come nel report venga evidenziato il cambio di modalità di verifica del servizio di vigilanza partendo da alcuni eventi negativi occorsi nell’anno di riferimento. L’attività di ispezione ha avuto il supporto del Nucleo di Prevenzione delle Frodi Tecnologiche della Guardia di Finanza del Computer Emergency Response Team della Pubblica Amministrazione (CERT-PA). Viene evidenziato altresì che le verifiche svolte nello spirito di miglioramento dei processi sopra delineato hanno permesso di rilevare e ottenere importanti spunti per il miglioramento della sicurezza dei soggetti vigliati e migliorare le loro capacità di individuare vulnerabilità, prevenire attacchi e proteggere i sistemi.
Irregolarità e sanzioni
Guardando il numero di violazioni, si vede come il servizio per il quale sono state rilevate maggiori criticità è quello della PEC: come forse qualcuno ricorderà da articoli di stampa usciti durante l’anno, difatti per un operatore ci sono stati dei problemi rilevati anche dal garante privacy, quanto, invece, ai problemi riscontrati da AGID sono quelli relativi alle politiche e alle procedure di sicurezza. Sempre con riferimento alla PEC vediamo come alcune delle segnalazioni pervenute dagli utenti hanno riguardato la diffusione o il tentativo di diffondere malware.
Quanto alle sanzioni vediamo che nel 2019 sono state erogate due sanzioni per un totale di 600.000,00 euro a fronte di 6 procedimenti aperti (4 ancora in corso) così suddivisi: 1 in ambito Prestatori di servizi fiduciari qualificati (QTSP); 4 in ambito PEC; 1 in ambito Conservazione.
Le irregolarità riscontrate hanno riguardato: (i) l’adozione di pratiche operative e gestionali inadeguate, non conformi con le procedure autorizzate o corrispondenti a norme internazionali, (ii) l’utilizzo di sistemi in alcuni casi non in grado di garantire l’affidabilità e la sicurezza tecnica, (iii) l’utilizzo di subcontraenti non dotati della necessaria affidabilità e sui quali il gestore non esercitava un adeguato controllo.
Introduzione dell’analisi predittiva
Passando alla modifica delle modalità di analisi con l’introduzione dell’analisi predittiva, questa si basa prima di tutti sull’attribuzione di un profilo di rischio sempre aggiornato e calcolato su diversi fattori come verifiche precedenti ed i relativi esiti, le dimensioni del gestore (ad esempio il capitale sociale e il numero dei dipendenti), le caratteristiche dell’utenza (customer base), i dati periodici trasmessi, le segnalazioni degli incidenti o delle interruzioni di servizio, le soluzioni tecnologi-che adottate, la numerosità dei subcontraenti o dei partner commerciali e tecnologici. Tutti questi dati sono stati inseriti in un sistema automatizzato in grado di calcolare il cambio dell’indice di rischio del soggetto vigilato (l’impresa fornitrice i servizi).
A questa attività di scoring è stato affiancato un sistema in via sperimentale in grado di analizzare il cosìddetto sentiment in rete riguardo ai servizi vigilati. Per sentiment s‘intende il monitoraggio della rete internet, ossia di quanto viene scritto dagli utenti nei diversi canali social, siti web e blog. Il monitoraggio, di cui Agid garantisce l’uso aggregato dei relativi dati, cioè senza prevedere alcun trattamento di dati personali (in altre parole la profilazione di persone), è diretta esclusivamente a monitorare eventi o percezioni degli utenti relativi ai servizi vigilati.
L’utilizzo di questi strumenti si dichiara abbiano lo scopo di migliorare la capacità di individuazione di potenziali problemi in via preventiva, attivando ispezioni prima che alcuni problemi rilevati in rete possano provocare eventi negativi ulteriori. A tal proposito risulta evidente come il sistema sia ancora in fase sperimentale difatti viene utilizzato in corrispondenza di eventi noti relativi a un soggetto e alla luce di questi in altre parole “addestrare” il software a riconoscere i commenti positivi, negativi, o neutri, per le scansioni future, al fine di ricavare e addestrare la capacità predittiva.
Ad esempio, viene portata l’analisi del noto evento di data breach di un gestore PEC nel 2019 e si confronta quel periodo con l’analisi del sentiment in rete relativo a due canali social che vede una certa corrispondenza, anche se con un’incidenza maggiore su Twitter, dove però è anche maggiore la presenza di bot che hanno lo scopo di rimbalzare (o rendere più virale che dir si voglia) una informazione.
Luci e ombre della relazione
Vista in breve la relazione possiamo vedere come sempre luci e ombre, che possiamo così riassumere. Sicuramente il numero di incidenti registrati non è molto alto, ma qui si inserisce il problema risaputo sia della conoscenza reale da parte del provider del problema, sia della sua volontà di comunicare l’evento stesso (ad esempio in ambito data breach per profili privacy è nota la ritrosia a non notificare i data breach o farlo in maniera tardiva o parziale), forse l’analisi della rete serve anche a bypassare questo problema unitamente alla non conoscenza da parte degli utenti di poter segnalare i problemi riguardo ai servizi vigilati da Agid.
Ma detto ciò, anche prendendo per corrispondenti alla reale situazione esistente le problematiche riscontrate, ricordiamo che anche un singolo incidente di sicurezza può coinvolgere migliaia di utenti a causa dell’estrema concentrazione utenti su pochi operatori.
Premesso che ormai come accertato in diversi report la criminalità informatica è sempre al lavoro nonché molto aggiornata, si può però ipotizzare anche una probabile mancanza (o insufficienza) di risorse, da dedicare alla sicurezza informatica: difatti i problemi più grossi si sono riscontrati nelle politiche di organizzazione e prevenzione relative a questa area.
Pro e contro delle tecnologie predittive nella PA
Finita la breve analisi su questo report abbiamo l’occasione di svolgere, invece, diverse considerazioni di natura generale sull’uso di queste tecnologie predittive da parte della PA, quelle positive sono certo l’ottimizzazione dei servizi di vigilanza, la riduzione dei costi e la possibilità di svolgere la propria funzione considerando che spesso nella PA a fronte di molti soggetti con qualifiche di vario genere di tipo amministrativo-contabile sono sempre troppo pochi quelli con qualifiche tecnico informatiche.
Dall’altra c’è sempre il tema della conformità legislativa dell’uso di questi strumenti di intelligenza artificiale, sia per il rispetto della normativa privacy e/o la conformità alla disciplina amministrativa, ad esempio ricordiamo i problemi avuti dal ministero dell’istruzione sull’uso di un algoritmo per ridistribuire gli insegnanti sul territorio? In quell’occasione il Consiglio di Stato con la nota sentenza n.2270/2019, pur lodando la digitalizzazione della PA, aveva dato ragione agli insegnanti in quanto la PA utilizzatrice non era stata in grado di spiegare il funzionamento di quel determinato software ossia di adempiere al proprio obbligo di trasparenza e motivazione dei propri atti. In quell’occasione il Consiglio aveva enucleato una serie di elementi mutuati in parte dal GDPR, che letti bene danno ai fornitori di software alla PA degli spunti molto interessanti su come produrre e fornire i propri software a questa.
Infine, altro aspetto (futuribile?) riguarda la tutela delle aziende monitorate. Difatti, soprattutto in certi ambiti dove – quale che ne sia la motivazione – c’è una concentrazione del mercato in mano a pochi operatori, questi hanno grosso valore (a volte sono quotate in borsa) e potrebbero subirne un nocumento nel caso di rilevamenti, veritieri o meno, circa alcuni accadimenti negativi per il loro business. Ad esempio, sull’uso degli strumenti di sentiment analysis bisogna tenere presente che una azienda potrebbe essere oggetto di campagne denigratorie online (a prescindere da quale che ne sia il motivo), per tale motivo è importante che la PA, nell’usare questi strumenti, sia in grado di discernere i risultati veritieri riscontrati da quelli che non lo sono. Anche solo la notizia dell’avvio di una istruttoria di per sé può provocare un danno d’immagine per una impresa.
Detto in altre parole sicuramente è una buona notizia l’uso da parte della PA della tecnologia, ma al contempo deve essere conscia del modo corretto di utilizzarla reclutando il personale eventualmente necessario e formando quello presente negli organici.
