L’importanza della formazione nel campo della sicurezza informatica – Intervista a Pierluigi Perri
Intervista a Pierluigi Perri, Avvocato, professore aggregato di Informatica Giuridica Avanzata presso l’Università degli Studi di Milano e Coordinatore del Corso di perfezionamento in Computer forensics e Data protection
Occupandosi di cybercrime e strumenti di prova informatica su un piano sia formativo sia operativo, come valuterebbe lo stato dell’arte in questo settore? Gli attori investigativi e giudiziari appaiono sufficientemente preparati alle sfide imposte dal crimine digitale di ultima generazione?
Il principale problema delle investigazioni digitali è l’estrema diffusione degli strumenti informatici, che ormai s’impongono anche in indagini aventi ad oggetto reati “tradizionali” e sollevano numerosi problemi: pensiamo solo ai modelli di smartphone, o o0Pc, che impongono di richiedere determinate specifiche tecniche al produttore prima di poter procedere a un’attività d’indagine. Anche pubblici ministeri bravissimi talvolta si trovano privi degli strumenti necessari per contrastare il crimine digitale. Registro inoltre negli operatori del diritto un lento ricambio, sia generazionale (in questo senso, credo che l’entrata in servizio di professionisti che siano nativi digitali imporrà un’accelerazione al processo) sia in termini di competenze. Il nostro Paese, purtroppo, sconta una forma di arretratezza digitale piuttosto diffusa, soprattutto nell’ambito della Pubblica Amministrazione. A fronte di esempi virtuosi come la Procura di Milano, dove esiste un pool di specialisti dedicato al crimine digitale, vedo ancora lontana la prospettiva di avere numerosi laboratori informatico forensi attrezzati presso le varie Procure.
Dobbiamo infine considerare i massicci processi di smaterializzazione di documenti pubblici e privati in corso: oltre ai numerosi e indubbi vantaggi, dalla digitalizzazione derivano anche nuove vulnerabilità, imponendoci sempre maggiori responsabilità, specialmente in termini di attenzione e formazione, sui temi della sicurezza informatica.
Cosa si apetta, sul piano dell’innovazione delle policies pubbliche e aziendali, dall’entrata in vigore del GDPR europeo?
Il GDPR contiene innovazioni estremamente interessanti, a cominciare dalla figura del Data Protection Officer, tra i cui compiti vi è proprio lo sviluppo di una cultura in materia di protezione dei dati personali all’interno dell’organizzazione dove si trova ad operare. Inoltre, il Regolamento contiene degli strumenti specifici di coordinamento a livello europeo tra le diverse Autorità Garanti (definite nel testo “Autorità di controllo”) per promuovere un’uniforme tutela della privacy nei diversi Stati membri. Credo, e mi auguro, che l‘entrata in vigore del GDPR possa rappresentare un’opportunità in molte direzioni: innanzitutto come strumento di competitività sul mercato europeo, dove tradizionalmente le aziende italiane scontano un certo deficit di internazionalizzazione; in secondo luogo come occasione per implementare efficaci regole di protezione dei dati personali degli utenti, il che aumenterebbe fiducia e fedeltà dei consumatori, premiando le aziende capaci di investire in sicurezza informatica.
Lei riveste l’incarico di docente presso numerose Università ed enti di ricerca, sia italiani sia esteri. Quanto è importante il piano formativo nel campo della sicurezza informatica? Ritiene che i programmi delle università italiane siano all’altezza del loro compito?
Non è un caso se il Data protection officer di cui abbiamo parlato sarà investito anche di doveri relativi alla formazione continua degli operatori, per i quali i titolari del trattamento dei dati personali dovranno fornirgli un adeguato budget. È proprio il digitale a insegnarci e dimostrarci quotidianamente quanto la realtà possa cambiare in modo repentino: di conseguenza l’investimento formativo, così come l’aggiornamento costante e progressivo di tutte le figure professionali coinvolte, in questo campo risulta assolutamente centrale.
Quanto all’università, mi sento di dire che il nostro Paese è sensibilmente più avanti dal punto di vista della formazione tecnica (io insegno alla Statale di Milano, al Dipartimento di Informatica ci sono colleghi bravissimi i cui allievi infatti non incontrano difficoltà nel trovare lavoro, sia Italia sia all’estero) che non rispetto ai programmi rivolti ai futuri operatori giuridici: questo avviene anche perché, per sua natura, la legge – penso ad esempio al settore del diritto penale – interviene su fenomeni sociali già in essere e richiede lunghi tempi di ponderazione e di armonizzazione con le altre leggi dell’ordinamento giuridico, il che si traduce nella conseguente fatica a tenere il passo dell’innovazione tecnologica e digitale.
Fra i trend di criminalità informatica attualmente più diffusi quali individuerebbe come ambiti prioritari e quali strumenti ritiene più utili per contrastarli?
Attualmente, come testimonia anche l’attenzione che ha voluto riservargli il Consiglio d’Europa, problemi centrali sono rappresentati dal cyberbullismo e dalla cyberviolence verso le categorie deboli, fenomeni che vedono particolarmente a rischio gli utenti più giovani, le donne e anche talune categorie professionali (come i giornalisti). Qui si richiede un livello di attenzione alto, perché si tratta di reati che possono avere conseguenze drammatiche (pensiamo ai numerosi casi in cui le vittime di una campagna d’odio sui social si sono tolte la vita); la loro enorme diffusione è dovuta anche alla circostanza che, diversamente dal cybercrime specializzato, gli strumenti necessari per commettere questi reati sono alla portata di tutti. In queste ipotesi – ma anche più in generale – la prova digitale va necessariamente inserita in un contesto probatorio più ampio che integri nelle indagini strumenti tecnici e non, a partire dalla ricostruzione del contesto sociale di appartenenza di vittime e autori del reato.
Sul fronte delle indagini informatiche credo siano da tenere in conto anche l’internazionalizzazione delle reti criminali e il campo della tecnologia mobile, su cui avviene gran parte delle comunicazioni digitali ma che, in termini investigativi, risulta ancora molto complesso. Lo stesso può dirsi per il cloud, che da sempre pone agli investigatori delicate questioni di territorialità, giurisdizione e competenza.
Ritengo che, per contrastare i fenomeni criminali e incrementare l’attenzione verso la sicurezza informatica, la regolamentazione giuridica sia l’unica vera risposta possibile; magari proprio relativamente alla sicurezza sarebbe opportuno – per evitare che le regole si trasformino in costi insostenibili – privilegiare strumenti di regolamentazione che prevedano meccanismi di delega alle aziende, sia rispetto alla risk analysis sia rispetto al raggiungimento in concreto degli obiettivi di sicurezza fissati dalle normative. Sono molto favorevole anche alla condivisione di informazioni, agli incontri multi-stakeholder e a tutte le attività di standard setting promosse dagli accordi internazionali: ne è un esempio l’istituzione dei punti di contatto nazionali attivi 24 ore su 24 prevista dalla Convenzione di Budapest sulla criminalità informatica, la cui efficacia si estende peraltro al di fuori dei confini europei, dal momento che la Convenzione è stata firmata e ratificata anche da Paesi extraeuropei quali Canada e Stati Uniti d’America.
A cura della Redazione