La sovrapposizione tra sicurezza in senso tradizionale e sicurezza umana è dibattuta da tempo nel mondo accademico. Tuttavia, la tendenza generale è quella per cui la prima tende a fagocitare la seconda. Nel ‘mondo cyber’, ad esempio, la sicurezza dei dati personali è stata utilizzata dall’amministrazione Trump come argomento per limitare le attività di Huawei negli USA. Dove si posiziona l’Unione Europea?
L’articolo è disponibile anche su Spotify!
Da qualche anno a questa parte, l’iniziativa del “mese della sensibilizzazione alla sicurezza informatica” (cybersecurity awareness month) dedica ottobre all’educazione all’uso sicuro di Internet da parte delle persone di ogni età ed estrazione per ridurre i rischi legati alle frodi informatiche e agli attacchi cyber. Sebbene la sicurezza individuale nel suo senso “civile”, inteso come “non militare”, sia sempre più legata nel discorso pubblico alla sicurezza in senso tradizionale, come nel caso di Huawei e dei sospetti di collusione col governo cinese, l’Unione Europea si è adoperata nel mettere in atto misure di protezione individuale di natura più quotidiana. Il Regolamento sull’Intelligenza Artificiale in fase di discussione e il General Data Protection Regulation (GDPR) in vigore dal 2018 sono solo due esempi.
Tralasciando per un momento gli aspetti più geopolitici di questa normativa, dove l’aspetto extraterritoriale del GDPR può essere letto come strumento di sovranità digitale, l’obiettivo di queste due normative è quello di tutelare gli individui nelle loro interazioni quotidiane con le tecnologie digitali. Si è mossa in tal senso anche la Cina, tralasciando anche in questo caso gli obiettivi più geopolitici, le recenti normative sulla sicurezza dei dati e la protezione delle informazioni personali, assieme alla nascente normativa sugli algoritmi di profilazione online, si muovono in una direzione antropocentrica. Pur non intervenendo in materia giuridica di protezione dei dati personali, gli Stati Uniti hanno a loro volta introdotto normative che limitano l’azione degli attori economici cinesi motivandole con la necessità di creare un ambiente online sicuro per i cittadini e le cittadine statunitensi.
Cyber-awareness e sicurezza umana: a che punto siamo?
L’efficacia di queste misure nel raggiungere l’obiettivo dichiarato non può essere analizzata qui per ragioni di spazio. Tuttavia, è possibile osservare alcune tendenze in Italia e in Europa. In particolare, la tutela individuale sembra seguire un processo dall’alto verso il basso, dove l’autorità pubblica protegge l’utente tramite la legge, ma all’utente non sono forniti gli strumenti per prevenire i rischi se non tramite la stessa esperienza online. In altre parole, i programmi di alfabetizzazione digitale nelle scuole così come per gli adulti, ad esempio, ancora scarseggiano in molte parti d’Europa e l’Italia si trova agli ultimi posti d’Europa per alfabetizzazione digitale, al netto dei difetti identificati da più parti negli indici di valutazione.
Va da sé che in democrazia è l’autorità pubblica a dover difendere l’individuo con la legge e sulla base di essa, ma resta vero che in contesti specifici, come quello digitale, la sensibilizzazione al riconoscimento dei rischi è parte della prevenzione.
Sicurezza umana e nazionale: una lettura geopolitica
Delle normative e delle pratiche illustrate resta pertanto l’aspetto geopolitico, che consente ai paesi e agli attori sovranazionali che le adottano una capacità di controllo su risorse essenziali per lo sviluppo di nuove tecnologie.
Del resto, l’applicazione extraterritoriale del GDPR ha fatto scuola ed è stata “presa in prestito” dalla Cina nella sua Personal Information Protection Law (PIPL), in vigore da novembre 2021.
Tuttavia, la stessa alfabetizzazione digitale individuale ha una rilevanza geopolitica. Al di là della sovrapposizione concettuale tra sicurezza umana e nazionale già illustrata, è bene sottolineare che, oggi come negli anni Novanta, i più efficaci cyberattacchi sono basati sullo sfruttamento dell’errore umano: un link a un nome a dominio simile ad un sito fidato ricevuto via PEC può spingere una persona che sta lavorando sotto stress a cliccare, provocando una fuoriuscita di dati sensibili o la loro cifratura – con ingenti danni economici, e potenzialmente umani, quando a cliccare sul link è ad esempio un’alta figura di governo.
In altre parole, il tema della sensibilizzazione informatica, anche a livello di uso quotidiano, è d’importanza focale anche per ridurre il rischio di attacchi ai servizi essenziali e alle infrastrutture pubbliche.
Il “cybersecurity awareness month” diventa quindi un’occasione di dibattito e confronto per comprendere le carenze strutturali nell’educazione informatica nella società in cui viviamo per poter affrontare le minacce informatiche presenti e future e tutelare la sicurezza individuale e collettiva, uscendo (si spera) dall’appiattimento di quest’ultima sul più astratto e militarizzato concetto di sicurezza nazionale.
