Sulla cibersicurezza come bene comune

cibersecurity act e bene comune

Un “bene pubblico” (public good), per gli economisti, è una risorsa che un individuo o un impresa possono consumare senza ridurne la disponibilità per altri (proprietà detta di non-rivalità; cioè il fatto che un soggetto usi una risorsa non ne riduce la disponibilità per un altro soggetto) e senza che altri siano esclusi dalla fruizione (proprietà detta di non-esclusività). I beni pubblici comprendono beni ad appartenenza pubblica necessaria, beni sociali, beni fruttiferi e possono essere finanziati tramite prelievo fiscale (es. difesa militare) o tramite finanziamenti indiretti (es. on air television).

Si parla di “bene comune” (common goods o commons) o di risorsa comune quando la proprietà di non-rivalità (es. foreste, pesca oceanica) è meno generale e si parla di “beni collettivi” o “beni tariffabili” (club goods) quando la minore generalizzazione attiene alla proprietà di non-esclusività (es. autostrade, pay television).

Non necessariamente un bene comune è posseduto e gestito dal settore pubblico e di solito la sua natura di riserva comune di risorse porta a ritenere che la gestione sia tanto più efficace quanto più è collettiva: il bene comune non solo è di tutti ma per essere fruito postula una certa convergenza di fruizione che può essere materiale o spirituale, a seconda dei casi (es. acqua pubblica, sanità). I beni comuni sono considerati utili per riformare la gestione della sovranità pubblica e, giuridicamente, possono rivelarsi un potente strumento interpretativo <1> per il ripensamento dell’intero ordinamento dei beni pubblici.

Da anni si discute sui commons da svariati punti di vista, oltre a quello economico: filosofico, etico, giuridico, politico e anche religioso. In questi ultimi mesi sono apparsi numerosi contributi scientifici <2>, saggi <3>, sessioni di convegni <4> che argomentano la opportunità`di considerare la cibersicurezza, o addirittura Internet nel suo insieme, come un bene comune soprattutto a fronte della crescita enorme degli attacchi e incidenti informatici, della crescente diffusione di Internet of Things, e di soluzioni orientate alla memorizzazione di dati nei cloud. A fronte di una comunità di utenti che arriverà presto a tre miliardi, la disponibilità della conoscenza in rete (analogamente all’ accesso ad acqua, cibo, farmaci essenziali, tutela del territorio) è indispensabile per il soddisfacimento di bisogni fondamentali delle persone <5>. Nel caso italiano l’art. 43 della Costituzione ha aperto e apre la via.

L’inefficacia complessiva delle misure di sicurezza attualmente implementate porta utenti e imprese a ritenere che le tecnologie dell’informazione possano essere inaffidabili e quindi, perfino, a perdere fiducia nella possibilità di sviluppo complessivo dei sistemi produttivi ed economici.

Lo sviluppo di una società interconnessa impone dunque una crescente attenzione alla protezione dei dati e ai requisiti di conformità per la sicurezza delle infrastrutture informatiche, non disgiunta da un irrinunciabile rispetto delle regole e delle linee guida rigorose per proteggere i dati e le informazioni personali identificabili degli utenti, di cui il GDPR.

Il Cibersecurity Act

Il  Cibersecurity Act del 2017 che è entrato in vigore nel giugno 2019 <6> rappresenta un punto di partenza fondamentale per considerare la cibersicurezza come un bene comune. Infatti, l’evidente interesse pubblico sovranazionale, l’interdipendenza delle azioni, l’approccio sistemico e bilanciato tra le iniziative nazionali esistenti può e dovrebbe portare alla collaborazione e condivisione delle responsabilità e di procedure tra gli Stati e gli stakeholder: imprese e utenti. Si delinea un modello che, da un lato, assegna al settore pubblico la competenza su standard, certificazioni, predisposizione di test e procedure di verifica, misure di indirizzo e, d’altro canto, attribuisce al settore privato la progettazione e realizzazione di sistemi informativi robusti e la collaborazione con il settore pubblico per test e controlli nella prospettiva di passaggio progressivo da una visone della sicurezza come club goods a common goods. Un ruolo importante spetta alle organizzazioni di utilizzatori e di professionisti e sviluppatori di soluzioni: queste organizzazioni intermedie curano la cosiddetta ciberigiene intesa come l’insieme delle linee guida che, a seconda del tipo e scopi delle imprese, riguardano i temi degli aggiornamenti, autenticazioni, crittografia, stratificazione degli accessi ai sistemi.

La visione appena accennata, può applicarsi ai sistemi informativi delle imprese; seguendo il Cibersecurty Act si  possono distinguere:

  • 1 – sistemi di difesa dagli attacchi
  • 2- resilienza dei sistemi
  • 3 – deterrenza e risposta agli attacchi

Riteniamo che quanto al punto 1 (robustezza dei sistemi informati) possa essere pienamente considerato un bene comune mentre le attività proattive dei punti 2 e 3 lo siano in prospettiva e solo parzialmente in termini operativi; infatti esse coprono attività di rilevamento delle minacce, risoluzione delle anomalie e contrasto efficiente ai ciberattacchi che per tipologie ed esigenze delle imprese (es. criticità delle informazioni, risorse umane e finanziarie coinvolgibili) richiedono diversissimi livelli investimenti per la gestione dei rischi.

In ogni caso si rende necessaria, per tutte le organizzazioni, l’adozione di paradigmi “di comunità” per la cibersicurezza che promuovano la consapevolezza dei requisiti di conformità cui fare riferimento in ambito di prodotti, processi e sicurezza delle informazioni, al fine di garantire idonei livelli di gestione del rischio in un contesto sempre più variegato e complesso.

di Cesare Maioli e Raffaella Brighi

Bibliografia citata

Permalink link a questo articolo: https://www.csigbologna.it/referenze/governance-di-internet/sulla-cibersicurezza-come-bene-comune/