Il bando degli antivirus Kaspersky e l’istruttoria aperta dal Garante dei dati personali sono passi importanti verso sicurezza e indipendenza delle infrastrutture nazionali. Rimane l’incognita Usa, dopo la denuncia del provider francese Ovh contro Microsoft all’Antitrust europea. L’analisi di Andrea Monti, professore incaricato di Digital Law nel corso di laurea in Digital Marketing dell’università di Chieti-Pescara – Inizialmente pubblicato da Formiche.net
Il governo italiano ha annunciato un provvedimento per escludere i prodotti Kaspersky dalle infrastrutture italiane. Successivamente, il Garante per la protezione dei dati personali ha annunciato l’avvio di un’istruttoria sullo stesso prodotto per verificare le modalità di trattamento dei dati degli italiani.
Le (minoritarie) polemiche sui ritardi e sulle omissioni che avrebbero consentito la diffusione incontrollata di queste tecnologie nei gangli di istituzioni e aziende non oscurano l’importanza di questa ulteriore tappa verso l’indipendenza tecnologica nazionale iniziata, in modo pur confuso, con il Dpcm del 2020 dell’allora presidente del Consiglio Giuseppe Conte su Huawei.
La gestione degli appalti tecnologici
Il cambio di approccio del governo rispetto alle tecnologie dell’informazione non è, infatti, limitato a un semplicistico ostracismo di questo o quel prodotto. Esso implica, infatti, una vera e propria rivoluzione nella gestione degli appalti pubblici e nella definzione delle caratteristiche non solo tecnologiche ma anche organizzative che costituiscono una parte essenziale delle necessità informatiche della pubblica amministrazione.
Correttamente il governo e l’Agenzia per la cybersicurezza hanno evidenziato che continuare a utilizzare prodotti e servizi legati alla Russia implica un rischio assoluto (e che dunque non è necessario quantificare) legato all’indisponibilità di aggiornamenti e correzioni di vulnerabilità. Per non parlare dell’ipotesi di deliberati ritardi nel rilascio di fix o inserimenti di codice malfunzionante.
Benché queste valutazioni siano formulate sulla base della contingenza scaturita dalla crisi ucraina, la loro rilevanza è strutturale rispetto alla pervasività delle tecnologie nel settore pubblico.
È auspicabile, quindi, che da questa fase di emergenza si esca stabilendo norme chiare e vincolanti nei confronti di qualsiasi fornitore di tecnologia per garantire allo Stato il controllo sulle proprie infrastrutture.
Quattro punti irrinunciabili per garantire la sicurezza istituzionale
Una riforma in questo senso dovrebbe prevedere, almeno, quattro punti.
Il primo è l’obbligo per i produttori di istituire un transparence centre indipendente, tramite il quale rendere accessibili all’Agenzia per la cybersicurezza e ai soggetti interessati tutte le informazioni necessarie per valutare la rischiosità dei prodotti messi a gara.
In secondo luogo, dovrebbe essere imposto il divieto di obsolescenza programmata sia in termini di software sia di hardware. Questo significa che non dovrebbe essere possibile, per un fornitore della pubblica amministrazione, mettere “fuori supporto” delle tecnologie solo per ragioni commerciali, costringendo l’amministrazione a sostenere continui costi di aggiornamento e instabilità operative. Scelte come quelle “deprecare” (come dicono i tecnici) questa o quella library, di destandardizzare un certo protocollo o, banalmente, di cambiare la forma di un connettore e renderlo incompatibile con standard di scambio dati incidono pesantemente su efficienza, costi e sicurezza di un’infrastruttura. Tuttavia, sono assunte per ragioni puramente commerciali o necessità tecniche senza alcuna valutazione del loro impatto sugli utenti istituzionali.
In terzo luogo, i produttori di tecnologie dell’informazione dovrebbero essere assoggettati al regime di responsabilità per attività pericolosa personali basato sull’articolo 2050 del Codice civile, analogamente a quello previsto —ai tempi— nel vecchio codice dei dati personali. Il rispetto delle prescrizioni di sicurezza imposte dalla normativa sulla protezione dei dati personali impone di verificare attivamente se una tecnologia dell’informazione fornisce adeguate garanzie in termi di confidenzialità, integrità e disponibilità delle informazioni. Nei fatti, questo difficilmente accade in parte per la scarsa preparazione delle figure professionali coinvolte in parte (maggioritaria) per l’effettiva impossibilità di compiere queste verifiche. Solo rendendo i produttori oggettivamente responsabili degli eventi causati dai loro prodotti e servizi sarà possibile incrementarne la sicurezza. È auspicabile che l’istruttoria aperta dall’Autorità garante per la protezione dei dati personali rimetta ordine in questo ambito, individuando anche le responsabilità di chi, ai sensi degli articoli 32 e 35 del Regolamento Ue 679/16, avrebbe dovuto valuta la sicurezza di specifiche tecnologie prima di iniziare a utilizzarle.
Infine, dovrebbero essere vietate pratiche di bundling —accorpamento— con le quali un produttore che si aggiudica una gara per la fornitura di un servizio, include ulteriori componenti fuori capitolato come incluse nel prezzo. In questo modo, infatti, si realizzerebbe un indebita alterazione del mercato nei confronti di altri soggetti che subirebbero una riduzione della propria capacità di competere.
Il tema non è affatto nuovo nel settore delle tecnologie dell’informazione. Basta soltanto pensare alla “guerra dei browser” combattuta alla fine degli anni Novanta del secolo scorso negli Stati Uniti per il predominio nel mercato dei “navigatori” di siti Internet. L’utilizzo di strategie commerciali per assicurarsi il controllo tecnologico di un mercato ha avuto, nel corso degli anni, diverse recrudescenze e proprio in questo periodo si è aperto un nuovo fronte, quello delle piattaforme cloud. È infatti trapelata da poco la notizia della denuncia che il provider francese Ovh ha presentato all’Antitrust europeo contro le strategie commerciali di Microsoft in questo comparto.
Indipendenza tecnologica e tecnologie dell’informazione
La querelle Ovh-Microsoft non è collegata al contenimento del rischio geopolitico dell’uso di tecnologie russe, ma rileva in questo ambito perché pone in termini più generali la necessità di un bilanciamento fra la incomprimibile libertà di impresa e le necessità di difesa e sicurezza dello Stato che questa libertà (insieme alle altre) tutelano.
Fatti salvi aiuti esterni, il bando tecnologico a danno della Russia è una misura che nell’immediato ha già ridotto la sua capacità offensiva nell’infosfera e, nel medio-lungo periodo, inciderà significativamente sulla capacità di sviluppare un ecosistema produttivo, finanziario e scientifico in grado di competere con l’Occidente.
Il successo di questa strategia è stato garantito dal ruolo, anche indiretto, giocato dalle aziende Big Tech che, tuttavia, sono per la maggior parte extracomunitarie e dunque non necessariamente in linea con l’agenda politica di un’Unione europea che, finalmente, sta consolidando il proprio ruolo politico.
Conclusioni
Indipendenza tecnologica non vuol dire, necessariamente, autarchia. Sarebbe impensabile —e in ogni caso altamente inefficiente— rifiutare tecnologie non europee solo perché, appunto, sono tali.
Al contrario, proprio recuperando i principi fondanti dell’Unione europea, l’imposizione di regole chiare in materia di sicurezza, stabilità e trasparenza a chiunque voglia operare all’interno del perimetro comunitario getterebbe un ponte fra sicurezza e mercato.
Possibly Related Posts:
- Perché Apple ha ritirato la causa contro la società israeliana dietro lo spyware Pegasus?
- Le sanzioni UE ad Apple e Google aprono un altro fronte nella guerra contro Big Tech (e incrinano quello interno)
- La rottura tra Stati e big tech non è mai stata così forte
- Le accuse mosse a Pavel Durov mettono in discussione la permanenza in Europa di Big Tech
- Cosa significa l’arresto di Pavel Durov per social media e produttori di smart device