Partiamo da cosa sappiamo. Sappiamo che Matteo Renzi vuole taggare i terroristi, che le tecnologie per il riconoscimento facciale che usano indicatori biometrici sono in pista dal 2001, se ne parla dall’11 settembre ma per essere efficaci richiedono investimenti e accorgimenti non banali. Sappiamo che verranno spesi 150 milioni di euro di investimenti in cybersicurezza, e, come ha precisato il premier (e vogliamo crederci) «nel rispetto della privacy”. Sappiamo, sempre dal capo del governo che a ogni euro investito in cybersicurezza deve crescere una startup. Se volessimo prenderlo alla lettera sarebbero 150 milioni di startup. Ma come scritto sul Sole 24 Ore, molto probabilmente nessuno di quei soldi arriverà alle startup ma sarà indirizzato ai big della sicurezza informatica. Poco male, verrebbe da dire, l’importante è che questi soldi arrivino in mani capaci. A questo proposito è partito in questi giorni la consultazione pubblica del Framework Nazionale per la Cyber Security, con la pubblicazione del Cyber Security Report 2015 realizzata dal Cis Sapienza e dal Laboratorio nazionale di Cyber Security.

È possibile scaricare il documento e inviare emendamenti, commenti o segnalazioni di errori dal sito www.cybersecurityframework.it.

 

 L’efficacia di questi strumenti è ancora tutta da dimostrare. Ma il documento, non semplice, certifica quantomeno una volontà di confronto.

sicurezzaf

 

 

Quello che accadrà in Italia da qui ad aprile resta quindi nebuloso, in Europa l’atmosfera è ancora più lunare. Il piano di sicurezza informatica dell’Unione europea è del 2013.  In collaborazione con l’Alta rappresentante dell’Unione europea per gli Affari esteri e la politica di sicurezza, la Commissione europea ha pubblicato una strategia sulla sicurezza informatica contestualmente alla proposta di direttiva della Commissione in materia di sicurezza delle reti e dell’informazione”. Di pratico è stato avviata l’istituzione di un Centro europeo per la lotta alla criminalità informatica (IP/13/13), la proposta di una normativa sugli attacchi ai sistemi d’informazione (IP/10/1239) e l’instaurazione di un’alleanza mondiale contro l’abuso sessuale di minori online (IP/12/1308).

Con l’attacco a Parigi il piano subirà ben più di una accelerazione. Venerdì scorso i ministri degli Affari interni hanno raggiunto un accordo sul Pnr, il registro dei dati personali di quanti viaggiano in aereo dentro e fuori l’Ue. Questa operazione è stata giudicato utile a «prevenire, identificare, e perseguire minacce terroristiche e forme gravi di crimini». L’accordo sara’ votato in Parlamento il 10 dicembre in commissione Liberta’ civili e poi a inizio gennaio dall’Aula. Secondo l’accordo  saranno registrati i dati di chi vola in Europa anche sui voli interni e sui charter. I dati poi conservati in chiaro per sei mesi e criptati per quattro anni e mezzo, ma le informazioni non saranno scambiate automaticamente.

Prima di giudicare questa misura occorre essere tutti d’accordo su un punto. Fino a quando le intelligence non si decideranno a parlarsi anche limitatamente alla sicurezza informatica c’è poco da essere ottimisti. Perché se è vero che pur non esistendo una Fbi europea esiste una scambio di documenti e segnalazioni tra le varie polizie locali quando si tratta di spiare nei server degli altri ognuno ragiona in base al proprio interesse nazionale. Quando poi si tira in ballo internet e i diritti di chi vive e fa business in rete la questione si complica enormemente. Perché la dentro, in rete, ci siamo tutti noi.

Quello che infatti sappiamo con certezza è che tutti i tentativi nazionali di controllare il web hanno generato mostri. Dal grande firewall cinese ai tentativi di mettere in sicurezza Twitter da parte di paesi più autoritari. Di esempi, ingerenze e censure ce ne sono fin troppe, e per averne contezza basta scartabellare i vari report sulla trasparenza che un po’ tutte le principali piattaforme tecnologiche hanno incominciato negli ultimi anni a pubblicare con regolarità.

Il vero nodo della sorveglianza globale è che non c’è punto di ritorno. E’ come il dentifricio, una volta uscito è impossibile rimetterlo nel tubetto. Più chiaramente, non sappiamo se una volta inserite le scatole nere sul web sarà possibile toglierle. Quando l’emergenza terrorismo sarà rientrata non sappiamo se le intelligence accetteranno di fare un passo indietro e uscire da telefonini, tablet e web? Ed è questo il rischio più grande rischio. E anche il paradosso di questi anni. I fatti di Parigi dimostrano che controllare tutto non serve a nulla se non si riesce a dare senso all’enorme mole di informazioni prodotta. Lo scenario peggiore è di avere terroristi in grado di sfuggire al Grande Fratello e ai controlli e cittadini controllati e sorvegliati come se fossero terroristi.