Sempre più spesso, l’informazione generalista ci mostra quanto la cybersicurezza sia ormai un tema all’ordine del giorno. Lo dicevo già in tempi non sospetti su questo canale, ma ora sta diventando evidente per tutti: la cybersicurezza è importante, ma non solo!

Solo negli ultimi due mesi ci sono stati scandali per intrusioni nei dati sensibili dei cittadini per colpa di dipendenti troppo curiosi. Da una parte, abbiamo Equalize, una società di business intelligence coinvolta in pratiche decisamente poco legali, con accessi abusivi a sistemi di pubblica utilità a vari livelli, comprese aree riservate solo alle forze dell’ordine. Dall’altra parte, c’è Intesa San Paolo, dove un dipendente si è improvvisato investigatore, frugando nei dati bancari di più di 3.500 clienti.

Ora forse è arrivato il momento di mostrare anche con i media generalisti il tema della cybersicurezza. Infatti, il ministro Nordio ha deciso di agire, stanziando 715 milioni di euro per rafforzare la cybersicurezza della pubblica amministrazione. L’idea sembra essere quella di potenziare le difese con qualche progettino e qualche lezione di consapevolezza sulle minacce cyber, per farci sentire tutti più sicuri.

Bello, no? Sì, bello, ma in realtà qui, come sempre, ci concentriamo sulla tecnologia. Perché sia Equalize sia Intesa San Paolo dimostrano un problema comune: l’elemento umano. Anche il sistema più sicuro può essere compromesso dall’elemento umano: basta una persona con accessi privilegiati o poca etica per mettere a rischio l’intera sicurezza. È l’uso consapevole e responsabile, più della tecnologia perfetta, a garantire la protezione, perché una cattiva condotta umana compromette inevitabilmente la sicurezza di qualsiasi sistema. Tutti i sistemi informativi di infrastrutture critiche hanno meccanismi di tracciamento per monitorare chi accede o gestisce i dati, di solito al fine diagnostico. Ma, senza sistemi di allerta attivi, i problemi si manifestano solo una volta compiuto il danno. Il rischio principale non è un hacker sconosciuto, ma il dipendente con accessi privilegiati e scarsa etica, che può sfruttare il sistema in modo scorretto.

È difficile capire che molti problemi di sicurezza sono legati al fattore umano, non alla tecnologia. Tant’è che continuiamo a rifugiarci nelle soluzioni facili. E la soluzione facile, nel 2024, si chiama “tecnologia”! Si pensa che un algoritmo o un’app possano risolvere ogni errore umano e problema sociale. Ma è un approccio irrealistico e semplicistico, come credere che basti lo SPID per impedire l’accesso dei minorenni ai siti porno o un sistema per bloccare i siti pirata, o anche un software per eliminare l’evasione fiscale. Avere una soluzione nata per semplificare questioni complesse di base non può aderire al contesto sociale, non riesce ad arginare le disuguaglianze… le implicazioni etiche non sono piccole! Viviamo in un mondo super digitalizzato, dove tutto sembra più facile grazie alla tecnologia; ma in realtà i problemi sociali sono molto più intricati di un semplice codice, e capisco sia facile lasciarsi sedurre dalla tecnologia come strumento, ma si finisce per eludere le responsabilità umane. È solo un senso di tranquillità, ma mette in secondo piano il ruolo fondamentale delle persone.

Ma non dobbiamo diventare solo osservatori passivi delle decisioni prese dagli algoritmi, se no finiamo per percepire la tecnologia come un oracolo infallibile. Immagina di avere un’app che decide tutto per te, dalle canzoni che ascolti ai film che guardi. È facile lasciarsi andare e pensare che quello che dice l’algoritmo sia sempre giusto. E questo mondo incoraggia tutto questo; perché ci stiamo abituando a lasciare che siano gli algoritmi a decidere per noi. Questo significa che non ci prendiamo più la responsabilità delle nostre scelte: per mancanza di voglia? Boh ma la scusa diventa “Ah, è colpa dell’algoritmo se ho scelto quel film brutto!” Avete saputo di quei parlamentari italiani le cui e-mail istituzionali sono finite nel dark web? Hanno usato gli indirizzi ufficiali per scopi personali, esponendo le informazioni agli hacker. Un altro esempio è il leak subito da Game Freak, la casa madre di Pokémon, che ha rivelato dettagli su giochi non annunciati e dati sensibili a causa di password deboli nei loro sistemi. Questo dimostra una mancanza di attenzione alla sicurezza informatica in un’azienda che, in teoria, dovrebbe possedere competenze solide in materia di cybersicurezza.

Capisco che ormai ogni soluzione tecnologica sembri automaticamente la migliore, proprio perché tecnologica, ma il punto chiave è che le macchine non possono sostituire il nostro modo di pensare critico e consapevole. Dobbiamo essere attenti e riconoscere i limiti della tecnologia. Se non lo facciamo, rischiamo di usare un’infrastruttura in modo improprio perché ci sembra in realtà sensata.

Soluzionismo – Concetti Contrastivi

Huge Pokémon leak as developer Game Freak says servers were hacked | Polygon

Gli impatti della tecnologia sulla società e come affrontarli - Previdir

Il dipendente di Intesa Sanpaolo accusato di spiare i conti correnti di molti politici - Il Post

I dati dei parlamentari italiani in vendita sul dark web | Wired Italia

C’è una grossa inchiesta su una serie di furti dalle più importanti banche dati italiane - Il Post

Nordio, su cybersicurezza Pa già disposti 715 milioni euro - Notizie - Ansa.it