(di Davide Maniscalco, Coordinatore regionale Aidr per la Sicilia, Privacy Officer e Capo delle relazioni istituzionali Swascan – Tinexta Group) Come previsto nel Work Programme 2022 della Commissione europea, la tecnologia e la sostenibilità rappresentano le priorità dell’agenda europea che, invero, ribadisce la convinta visione di un’Europa verde e digitale.
È noto che il decennio per realizzare il percorso di trasformazione digitale dell’UE avrà un orizzonte al 2030 e si caratterizzerà, tra l’altro, per lo sviluppo di:
- un’economia innovativa basata su una tecnologia umano-centrica, affidabile e sicura;
- una connettività ad internet sicura e resiliente;
- un sistema di comunicazione sicuro globale basato sullo spazio;
- un’identità digitale europea;
- sistemi di Intelligenza Artificiale affidabili, con sempre maggiori standard di calcolo computazionale.
Tuttavia, già adesso e, purtroppo con una preoccupante frequenza, frodi, attacchi di phishing e ransomware rappresentano una minaccia sistemica concreta per intere economie e governi.
A fronte di questo fenomeno, che nel tempo ha assunto anche connotazioni geo-politiche, talora con finalità di destabilizzazione e sabotaggio o, più spesso, di spionaggio industriale e scientifico-tecnologico, le risorse aziendali, laddove consistenti in budget concreti, restano ancora prevalentemente allocate sulla sicurezza informatica difensiva, principalmente focalizzata sulla protezione della riservatezza e dell’integrità dei dati e meno spesso sulla continuità operativa dei processi primari di business e dei sistemi informatici ed informativi.
È evidente che questa impostazione si sta rivelando insufficiente di fronte ad attacchi che diventano ogni giorno più pervasivi e richiedono non soltanto una risposta più strutturata di tipo preventivo ed anche predittivo, ma anche di un capitale umano più diversificato ed inclusivo.
In tale scenario, la collaborazione multilayers rimane un imperativo sempre più imprescindibile.
Ed infatti, la sicurezza informatica ha bisogno tanto dell’esperto sviluppatore quanto del sistemista e dell’End user, perché sono tutti imprescindibilmente players di una mission comune: la resilienza informatica.
Non ci sono altre strategie, tutti devono essere coinvolti all’interno della cybersecurity per rafforzarne l’intera filiera.
In tale direzione, il preannunciato European Cyber Resilience Act, il cui lancio è stimato per il terzo trimestre del 2022, proporrà in parte nuove regole per i dispositivi connessi al fine di affrontare potenziali vulnerabilità del software e stabilire standard comuni di sicurezza informatica per i dispositivi connessi.
Inoltre, linea con le priorità della Commissione europea, anche la proposta di Regolamento sulla resilienza operativa digitale (“DORA”) per i servizi finanziari dello scorso settembre 2020, che fornirà un quadro europeo di norme armonizzate diretto ad affrontare le esigenze di resilienza operativa digitale di tutti i soggetti finanziari regolamentati, stabilendo anche un quadro di supervisione per i fornitori ICT terzi critici.
Ma è chiaro che l’approccio normativo, pur necessario, non possa bastare.
Si tratta infatti di approcciare la sicurezza informatica con la consapevolezza di dover creare, con risorse e focus esecutivi adeguati, resilienza in ogni parte del business, dalla mappatura dei processi aziendali alla disponibilità dei servizi di ingegneria alla dipendenza spesso critica dai fornitori.
Tutto ciò richiede ed include inevitabilmente la correzione costante delle vulnerabilità, il rilevamento e la mitigazione delle minacce e la formazione continua del capitale umano.
Inoltre, gli sviluppatori dovrebbero comprendere quanto la sicurezza dei codici che scrivono e la loro distribuzione, per tutto il ciclo di vita delle applicazioni, siano funzionali ad un incremento del valore dei software, che devono tuttavia rimanere sensibili alla velocità del business.
Per questo il Regolatore europeo sta puntando sulla leadership tecnologica e digitale, perché solo attraverso regole europee certe ed armonizzate si creerà una virtuosa interazione tra chi progetta, chi sviluppa e chi gestisce i sistemi, determinando così le fondamenta per un nuovo paradigma della cybersecurity.
L’obiettivo della sovranità digitale europea sarà una logica conseguenza e passerà per la creazione di un sistema basato su regole che consentano una maggiore proprietà di risorse tecnologiche vitali, a livello locale, nazionale e regionale e, in ultimo, di avere un concreto controllo sul proprio destino digitale, ossia i dati, l’hardware e il software che si creano e su cui si fa affidamento.