di Francesco Borgesano
Sommario
- L’evoluzione tecnologica e l’affermazione della cybersecurity
- Cybersecurity e intelligenza artificiale
1. L’evoluzione tecnologica e l’affermazione della cybersecurity
Il cyberspazio è un ambito artificiale, multimediale, senza frontiere, a-temporale, a-territoriale, a-sensoriale: Facebook definisce chi siamo; Amazon cosa vogliamo; Google cosa pensiamo; tutte le restanti nostre preferenze vengono captate dai vari assistenti domestici. Siamo, oggi, in piena evoluzione digitale: è l’era dell’internet of things, delle archiviazioni in cloud, della velocità 5G. Questo è il contesto con il quale, oggi, bisogna necessariamente confrontarsi, anche e soprattutto in ambito giuridico. Nuovi strumenti, portano necessariamente a dover sviluppare nuovi mezzi di tutela contro dei nemici del tutto nuovi (hacker, cybersopionaggio, cyberwarfare, cybernuisance). La figura dell’hacker è quella che oggi ci costringe a porre al centro delle nostre discussioni il concetto di cybersecurity. Si immagina l’hacker come una giovane mente geniale, capace, attraverso le sue capacità, di manipolare, insediare, spiare. Sono veri e propri criminali informatici che compiono illeciti spinti da ragioni economiche, sociali o politiche. Oltre agli hacker, sono illimitati gli ambiti di rischio, le manomissioni alle quali si potrebbe essere sottoposti quando si ha a che fare con tecnologie così avanzate. Il cybercrime di anno in anno è sempre più in crescita e gli attacchi diventano sempre più sofisticati.
L’analisi posta in essere finora ha riguardato le situazioni pregiudizievoli derivanti da «attacchi», bisogna però anche tener conto di tutti quei rischi derivanti dal cosiddetti «fattore umano», ovvero quei comportamenti, adottati dagli utenti-utilizzatori, che, a causa della scarsa conoscenza del mondo digitale, mista all’incapacità di individuare minacce, rischiano di auto-danneggiarsi. Proprio in ragione dei numerosi pericoli nei quali si rischia di incappare, la cybersecurity diventa una priorità assoluta non solo da un punto di vista tecnico, ma anche e soprattutto da un punto di vista giuridico.
Il presidente dell’ISSA Advuairy Board ha così spiegato il concetto di cybersecurity «Security in information Technology is like locking your house or car: it doesn’t stop the bad guys but if it’s good enough they may move on to an easier targer». Per cybersecurity si possono intendere, pertanto, tutte quelle azioni volte a difendere computer, server, dispositivi mobili, sistemi elettronici, reti e dati da attacchi potenzialmente dannosi. Il concetto è quindi «totalizzante», in quanto la sicurezza informatica non è solo quella riguardante i sistemi informatici ma si occupa anche di tutelare tutte quelle che sono le informazioni e le attività svolte in «rete»1.
Sono anche le istituzioni europee a sottolineare la rilevanza strategica della cybersecurity soprattutto ai fini del recupero della cosiddetti «sovranità digitale2 da parte dell’Unione. Cosa si intende con tale espressione? I dati digitali degli attori istituzionali ed economici dell’area Europea, oggi, sono detenuti da multinazionali private o da altri Stati, a tale situazione, l’Unione dovrà porre rimedio nel più breve tempo possibile, gestire i propri dati, fornirà all’Europa anche un potere differente nei confronti delle super potenze tecnologiche (Giappone, USA )3.
Con la speranza di riappropriarsi del proprio futuro – tecnologicamente sovrano – l’Unione Europea ha elaborato una strategia per la sicurezza informatica segnata dalla Direttiva NIS del 2016 (Direttiva UE/2016/1148), attuata dal d.lg. 18 maggio 2018, n. 65 e dal Cybersecurity Act del 17 aprile 2019 (Regolamento 2019/881 UE)4 nella quale si innestano ulteriori interventi normativi di settore5.
Atti, questi, con i quali s’è definito un modello complesso di cybersecurity, multilivello, fondato sulla cooperazione tra soggetti pubblici e soggetti privati e sull’interazione tra fattori normativi, tecnici ed organizzativi, finalizzati alla prevenzione ed alla minimizzazione del rischio digitale.
Dall’analisi del dato normativo, ancora molto frammentato ed in divenire, è possibile e necessario – in via di astrazione induttiva – individuare la configurazione generale che i modelli di cybersecurity tendono ad assumere nella dimensione digitale, nella quale convergono fattori giuridici, tecnici ed organizzativi, tra loro coordinati in un sistema a struttura – almeno in via generale – «quadrifasica» e «procedimentalizzata»6.
2. Cybersecurity e intelligenza artificiale
La Commissione nella Comunicazione dell’8 Aprile 2019 (COM-2019/168) afferma sostanzialmente che parlando di IA sia necessario – in virtù della convergenza di fattori «normativi» con fattori «tecnico-organizzativi» – porre l’uomo al centro della visione dell’intero ciclo vitale dell’IA.
Questa nuova «rivoluzione copernicana» in ambito tecnologico è essenziale per quanto riguarda tutti quegli aspetti relativi alla sicurezza ed alla supervisione della macchina. Siamo di fronte a macchine in grado di apprendere nozioni autonomamente, sfruttando i cosiddetti programmi di machine learning. Tuttavia, la sorveglianza umana risulta elemento ineludibile per corretto funzionamento del sistema, affinché quest’ultimo non prenda il sopravvento rischiando di sostituirsi alla capacità ragionevole dell’operatore umano di far fronte ai problemi verosimilmente verificabili.
È lapalissiano come le macchine oggi abbiano favorito i processi industriali, sbaragliando la concorrenza dell’uomo sia in termini economici che in termini di efficienza ed efficacia.
Questo, però, non può prescindere dall’utilizzare la macchina sempre in termini di «autonomia supervisionata»7 – come afferma la Commissione UE – integrando così, già in fase di progettazione del sistema dell’IA la componente umana, ovvero quella facoltà dell’operatore umano di intervenire al fine di controllarne ed eventualmente di correggerne l’esecuzione.
La macchina deve essere «affidabile» ed infatti la Commissione8 ha dettato le linee guida per raggiungere tale scopo. Da quanto emerge, il principale problema che si vuole evitare è quello della discriminazione che potrebbe essere posta in essere dalla macchina stessa. A tal proposito ci viene in aiuto quello che è l’aspetto tecnico-legislativo assunto dal design e dalle sue declinazioni.
Il design attiene a quella capacità regolativa della tecnica, ovvero l’inserimento in fase progettuale di standard tecnici, inibizioni per l’utente e di principi etici tali da conformare a priori il comportamento dell’utilizzatore e della macchina al fine di evitare il verificarsi di potenziali eventi dannosi.
Quando si parla di sicurezza si parla di gestione del rischio digitale (accountability) e si realizza proprio attraverso il ricorso ai criteri tecnici del design. Questi sono tre: il criterio tecnico architettonico della security by design si realizza inserendo misure tecniche nella fase di progettazione, volte a consentire o inibire determinate condotte a priori; essenziale è, successivamente, il criterio dell’ ethics by design al fine di evitare che l’IA possa operare con modalità discriminatorie, incorporando nel programma principi etici9; ulteriore declinazione del design è quella che si occupa delle segnalazioni di allarme trasmesse dal programma, in maniera tempestiva ed efficace, catalogando e classificando le informazioni a seconda del grado di urgenza e distinguendo eventuali “errori” della macchina, questo è il design dell’informazione, che soprattutto in ambiti come quello militare, dove le informazioni devono viaggiare rapidamente e senza errori, può diventare di importanza vitale.
Nell’era dell’intelligenza artificiale, il modello di cybersecurity si basa sui principi di precauzione e di prevenzione che devono interagire con il principio di responsabilità, il quale opera più sul piano della minimizzazione del rischio di verificazione del pregiudizio – in un’ottica proattiva – che non su quella funzione classica, reattiva, di compensazione e riparazione del danno.
Tale impostazione è possibile mediante la responsabilizzazione dei soggetti che intervengono dalla fase di progettazione a quella di funzionamento del sistema.
Il principio di responsabilità si manifesta prima come accountability e, solo in un secondo momento, come liability. La fase che attiene all’accountability si manifesta nell’obbligo di dover dimostrare di aver adottato misure appropriate, negli obblighi di analisi e di gestione del rischio alla sicurezza, tramite l’adozione di misure tecniche e di controlli adeguati, il livello di adeguatezza, invece, è rimesso alla valutazione del gestore del sistema.
Sostanzialmente si crea una forma di responsabilizzazione dei diversi soggetti coinvolti nella progettazione e nel funzionamento del sistema che influisce in via proattiva sulle probabilità di verificazione del pregiudizio.
In relazione alla liability, per converso, il principio di responsabilità torna ad avere la sua funzione reattiva e diventa un mezzo di riparazione del danno e di riattribuzione della perdita economica che è derivata dalla violazione.
Giova precisare che quest’ultima è una questione molto problematica nel campo dell’IA, in cui l’autonomia decisionale della macchina pone seri problemi di imputabilità della condotta10.
Il duro lavoro di giuristi e tecnici informatici non potrà mai essere esauriente. Nessun modello elaborato di cybersecurity, neanche il più sofisticato, potrà prevenire la moltitudine di violazioni che potrebbero verificarsi a causa del continuo progresso e sviluppo tecnologico.
Come abbiamo visto, quindi, azzerare del tutto il rischio tecnologico è impossibile ma occorre lavorare il più possibile per minimizzare tale rischio, al fine di aumentare anche la fiducia dell’utilizzatore nella macchina stessa.
_
Note
1 B. Panattoni, Compliance, Cybersecurity e sicurezza dei dati personali, Milano, 2020, p. 5 ss.
2 L. Rebuffi, La sovranità digitale europea passa dalla sicurezza informatica: ecco le misure necessarie, 24 dicembre 2019, in www.agendadigitale.eu; B. Calderini, Sovranità digitale, le mosse dei Paesi Ue e perché è una pericolosa deriva, 12 novembre 2019, ivi; J.P. Darnis, Europa e Italia alla prova della sovranità tecnologica e digitale, 23 gennaio 2020, in www.affarinternazionali.it.
3 L. Rebuffi, La sovranità digitale europea passa dalla sicurezza informatica: ecco le misure necessarie, 24 dicembre 2019, in www.agendadigitale.eu; B. Calderini, Sovranità digitale, le mosse dei Paesi Ue e perché è una pericolosa deriva, 12 novembre 2019, ivi; J.P. Darnis, Europa e Italia alla prova della sovranità tecnologica e digitale, 23 gennaio 2020, in www.affarinternazionali.it.
4 Pur in via di estrema sintesi descrittiva può osservarsi come la Direttiva NIS abbia: imposto agli Stati membri la definizione di un programma nazionale in materia di cybersecurity, intensificando le forme di coordinamento a livello europeo ed internazionale; dettato specifici obblighi di sicurezza a carico di operatori di servizi essenziali (energetici, sanitari, bancari, infrastrutturali) e di fornitori di servizi digitali, quali l’apprestamento di misure tecniche e organizzative adeguate alla prevenzione e alla gestione del rischio ed a minimizzare l’impatto di incidenti a carico della sicurezza della rete, da doversi determinare secondo le linee guida definite dal gruppo di cooperazione europeo; l’obbligo di notificare all’autorità nazionale ed a quella europea gli incidenti aventi un impatto rilevante sulla continuità di servizi essenziali e sulla fornitura di servizi digitali. Il Cybersecurity Act ha, poi, completato il quadro, rafforzando il ruolo dell’ENISA (l’Agenzia europea per la sicurezza delle reti e dell’informazione), a cui ha demandato lo svolgimento di attività di supporto nella gestione operativa degli incidenti informatici; introducendo un sistema europeo di certificazione della sicurezza informatica dei prodotti e dei servizi digitali che ne attesti la rispondenza a determinati requisiti tecnici.
Si v. M. Mariscoli, Direttiva Nis e ordinamento giuridico-economico italiano. Per non dimenticare la vulnerabilità delle piccole e medie imprese da attacchi cyber, in V. De Luca, G. Terzi di Sant’Agata e F. Voce, Il ruolo dell’Italia nella sicurezza cibernetica, Milano, 2018, p. 96 ss.
5 Tra cui una posizione di primo piano riveste il Regolamento 2016/679/UE (GDPR) del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (regolamento generale sulla protezione dei dati).
6 A livello pur generale il concorso tra fattori giuridici, tecnici ed organizzativi è ravvisabile, oltre che nel Regolamento 2016/679/UE (GDPR), negli artt. 12 e 14 del d.lg. 18 maggio 2018, n. 65. In particolare, l’art. 12, relativo alla sicurezza della rete e dei sistemi informativi degli operatori di servizi essenziali, stabilisce «1. Gli operatori di servizi essenziali adottano misure tecniche e organizzative adeguate e proporzionate alla gestione dei rischi posti alla sicurezza della rete e dei sistemi informativi che utilizzano nelle loro operazioni. Tenuto conto delle conoscenze più aggiornate in materia, dette misure assicurano un livello di sicurezza della rete e dei sistemi informativi adeguato al rischio esistente. 2. Gli operatori di servizi essenziali adottano misure adeguate per prevenire e minimizzare l’impatto di incidenti a carico della sicurezza della rete e dei sistemi informativi utilizzati per la fornitura dei servizi essenziali, al fine di assicurare la continuità di tali servizi. 3. Nell’adozione delle misure di cui ai commi 1 e 2, gli operatori di servizi essenziali tengono conto delle linee guida predisposte dal gruppo di cooperazione di cui all’articolo 10, nonché delle linee guida di cui al comma 7. 4. Fatto salvo quanto previsto dai commi 1, 2 e 3, le autorità competenti NIS possono, se necessario, definire specifiche misure, sentiti gli operatori di servizi essenziali. 5. Gli operatori di servizi essenziali notificano al CSIRT italiano e, per conoscenza, all’autorità competente NIS, senza ingiustificato ritardo, gli incidenti aventi un impatto rilevante sulla continuità dei servizi essenziali forniti. 6. Il CSIRT italiano inoltra tempestivamente le notifiche all’organo istituito presso il Dipartimento informazioni per la sicurezza incaricato, ai sensi delle direttive del Presidente del Consiglio dei ministri adottate sentito il Comitato interministeriale per la sicurezza della Repubblica (CISR), delle attività di prevenzione e preparazione ad eventuali situazioni di crisi e di attivazione delle procedure di allertamento. 7. Le notifiche includono le informazioni che consentono al CSIRT italiano di determinare un eventuale impatto transfrontaliero dell’incidente. La notifica non espone la parte che la effettua a una maggiore responsabilità rispetto a quella derivante dall’incidente. Le autorità competenti NIS possono predisporre linee guida per la notifica degli incidenti. 8. Per determinare la rilevanza dell’impatto di un incidente si tiene conto in particolare dei seguenti parametri: a) il numero di utenti interessati dalla perturbazione del servizio essenziale; b) la durata dell’incidente; c) la diffusione geografica relativamente all’area interessata dall’incidente. 9. Sulla base delle informazioni fornite nella notifica da parte dell’operatore di servizi essenziali, il CSIRT italiano informa gli eventuali altri Stati membri interessati in cui l’incidente ha un impatto rilevante sulla continuità dei servizi essenziali. 10 Ai fini del comma 9, il CSIRT italiano preserva, conformemente al diritto dell’Unione europea e alla legislazione nazionale, la sicurezza e gli interessi commerciali dell’operatore di servizi essenziali, nonché la riservatezza delle informazioni fornite nella notifica secondo quanto previsto dall’articolo 1, comma 5. 11. Ove le circostanze lo consentano, il CSIRT italiano fornisce all’operatore di servizi essenziali, che effettua la notifica, le pertinenti informazioni relative al seguito della notifica stessa, nonché le informazioni che possono facilitare un trattamento efficace dell’incidente. 12. Su richiesta dell’autorità competente NIS o del CSIRT italiano, il punto di contatto unico trasmette, previa verifica dei presupposti, le notifiche ai punti di contatto unici degli altri Stati membri interessati. 13. Previa valutazione da parte dell’organo di cui al comma 6, l’autorità competente NIS, d’intesa con il CSIRT italiano, dopo aver consultato l’operatore dei servizi essenziali notificante, può informare il pubblico in merito ai singoli incidenti, qualora ne sia necessaria la sensibilizzazione per evitare un incidente o gestire un incidente in corso. 14. Dall’attuazione del presente articolo non devono derivare nuovi o maggiori oneri a carico della finanza pubblica. Gli operatori di servizi essenziali provvedono agli adempimenti previsti dal presente articolo a valere sulle risorse finanziarie disponibili sui propri bilanci». Simile il dettato dell’art. 14 relativo alla sicurezza della rete e dei sistemi informativi dei fornitori di servizi digitali.
7 Risoluzione del Parlamento europeo del 16 febbraio 2017 recante raccomandazioni alla Commissione concernenti norme di diritto civile sulla robotica (2015/2103(INL)), ha definito questo principio seppur con riguardo ai robot medici, ritenendo «fondamentale rispettare il principio dell’autonomia supervisionata dei robot, in base al quale la programmazione iniziale di cura e la scelta finale sull’esecuzione spetteranno sempre a un chirurgo umano».
8 Nella Comunicazione della Commissione dell’8 aprile 2019 (COM-2019/168) (Creare fiducia nell’intelligenza artificiale antropocentrica), si legge «La tecnologia dell’IA dovrebbe invece essere sviluppata in modo da porre al centro l’essere umano e permetterle di conquistare la fiducia del pubblico. Di conseguenza, le applicazioni di IA dovrebbero non solo rispettare la legge, ma anche osservare i principi etici e garantire che le loro attuazioni pratiche non comportino danni indesiderati. La diversità in termini di sesso, razza o origine etnica, religione o convinzioni personali, disabilità ed età dovrebbe essere garantita in ogni fase dello sviluppo dell’IA. Le applicazioni di IA dovrebbero dare potere alle persone e rispettarne diritti fondamentali; dovrebbero puntare a rafforzare le capacità dei cittadini, non a sostituirsi a loro, e consentire l’accesso anche alle persone con disabilità».
Per tali ragioni la Commissione ha dichiarato di appoggiare – favorendone ed incentivandone l’adozione benché non vincolati – i requisiti fondamentali per un’IA affidabile contenuti negli orientamenti elaborati dal gruppo di esperti ad alto livello sull’IA appositamente dalla stessa nominati. Tali «orientamenti partono dal presupposto che per ottenere un’“intelligenza artificiale affidabile” sono necessari tre elementi: 1) l’IA dovrebbe rispettare la legge, 2) dovrebbe osservare i principi etici e 3) dovrebbe dimostrare robustezza. Sulla base di questi tre elementi e dei valori europei (…) gli orientamenti individuano sette requisiti fondamentali che le applicazioni di IA dovrebbero soddisfare per essere considerate affidabili. Gli orientamenti contengono anche una lista di controllo che aiuta a verificare nella pratica se tali requisiti sono soddisfatti. I sette requisiti fondamentali sono: intervento e sorveglianza umani, robustezza tecnica e sicurezza, riservatezza e governance dei dati, trasparenza, diversità, non discriminazione ed equità, benessere sociale e ambientale, accountability».
9 R. Angelini, Intelligenza Artificiale e governance. Alcune riflessioni di sistema, in F. Pizzetti (a cura di), Intelligenza artificiale, protezione dei dati personali e regolazione, Torino, 2018, p. 310, osserva condivisibilmente come «per la cybersicurezza, dove si sta promuovendo un approccio basato sulla sicurezza sin dalla progettazione dei sistemi digitali, occorrerebbe imporre l’adozione di cautele etico-tecnologiche sin dal momento della ideazione dei sistemi di IA: una sorta di “AI ethics by design” che operi secondo una logica di prevenzione e responsabilizzazione»; A.F. Winfield, K. Michael, J. Pitt e V. Evers, Machine Ethics: The Design and Governance of Ethical AI and Autonomous Systems [Scanning the Issue], in Proceedings of the IEEE, 3, 2019, p. 509 ss.
10 M. Costanza, L’Intelligenza Artificiale e gli stilemi della responsabilità civile, in Giur. it., 2019, p. 1686 ss.; U. Ruffolo, Intelligenza Artificiale, machine learning e responsabilità da algoritmo, ivi, p. 1689 ss.; Id., E. Al Mureden, Autonomous vehicles e responsabilità nel nostro sistema e in quello statunitense, ivi, p. 1704 ss.