L'avvocato esperto di diritto delle tecnologie: "Cyber protection e security devono lavorare insieme. La sicurezza non è un costo, ma un investimento strategico per la sovranità nazionale".
ANTONIO SPERANZA - L'avvocato Andrea Lisi, tra le voci più autorevoli nel campo del diritto applicato all'informatica, titolare dello Studio Legale Lisi di Lecce, presidente di ANORC Professioni e direttore del progetto DIGEAT, interviene sul data breach che ha colpito Trenitalia, definendolo "un episodio gravissimo" e richiamando l'urgenza di rafforzare la cultura della sicurezza digitale nel nostro Paese.
«Lo stiamo apprendendo in queste ore. Ancora una volta, un'infrastruttura critica per il nostro Sistema Paese è stata oggetto di un attacco che non può essere minimizzato né derubricato a semplice incidente informatico. Si tratta di una violazione che colpisce il cuore della nostra resilienza nazionale, con implicazioni che vanno ben oltre i dati compromessi. Questo caso dimostra, con evidenza drammatica, quanto sia urgente e non più rinviabile elevare ai massimi livelli l'attenzione sulla cyber protection e sulla security. Non si tratta di compartimenti stagni, ma di due discipline che devono necessariamente operare in modo sinergico, attraverso team interdisciplinari capaci di presidiare non solo la componente tecnologica – pur fondamentale – ma soprattutto il fattore umano, che continua a rappresentare l'anello più debole nella catena della protezione dei dati. È positivo che si stia procedendo con la massima trasparenza nel comunicare l'accaduto e nell'allertare tutti i soggetti coinvolti. Si tratta di un obbligo previsto dagli articoli 33 e 34 del GDPR, ma anche di un dovere istituzionale ed etico: cittadini, imprese e professionisti devono essere messi nelle condizioni di difendersi dai prevedibili tentativi di phishing e di social engineering che inevitabilmente seguiranno questa violazione. Sul piano della completezza delle informazioni diffuse, tuttavia, resta qualche aspetto migliorabile: ad esempio, gli interessati dovrebbero poter contattare con maggiore facilità il Data Protection Officer (DPO) e conoscere con precisione la data in cui si è verificato l'evento. Occorre, però, anche affrontare il tema con schiettezza. Viviamo in un paradosso tipicamente contemporaneo: mentre giustamente ci indigniamo per la violazione di sistemi protetti, ogni giorno affidiamo volontariamente ai social network una quantità enorme di dati personali, spesso anche molto delicati. Condividiamo abitudini, relazioni, luoghi, opinioni, fotografie, geolocalizzazioni e informazioni sensibili con una leggerezza che, in altri contesti, giudicheremmo sconcertante. Questo è il vero paradosso dei nostri tempi: pretendiamo sicurezza dalle istituzioni e dalle infrastrutture, ma siamo i primi a indebolire, collettivamente, la nostra resilienza digitale e, di riflesso, quella delle infrastrutture di cui facciamo parte. La cultura della sicurezza non può essere soltanto reattiva, né può essere affidata esclusivamente a firewall, software e protocolli crittografici. Deve essere prima di tutto culturale: fondata sulla consapevolezza individuale e organizzativa, sulla formazione continua e sulla responsabilità condivisa. La protezione delle infrastrutture, soprattutto di quelle critiche ed essenziali, così come la tutela dei dati dei cittadini, non rappresentano un costo, ma un investimento strategico per la sovranità, la competitività e la sicurezza nazionale. È una responsabilità che riguarda tutti noi».

0 Commenti