Chi governa la vita digitale? E cosa significa, oggi, «governare i dati»? Per rispondere a queste domande, bisogna prima capirne davvero il significato. Perché se i dati vivono ormai una vita parallela, come si può pensare di gestirli con un’unica regola o un unico soggetto? Valentina Casola, professoressa ordinaria di Ingegneria informatica all’Università di Napoli Federico II, invita a cambiare prospettiva. «Governare i dati – spiega – significa innanzitutto comprendere come si muovono, chi li tocca, chi li trasforma». E questo vuol dire guardare al ciclo di vita del dato, da quando nasce a quando viene elaborato, aggregato e restituito all’utente finale. In ogni fase ci sono attori diversi, regole diverse, rischi diversi.

Per questo, osserva Casola, quando si parla di sicurezza e di governance dei sistemi digitali, non si può più pensare in termini centralizzati. Le infrastrutture sono complesse, distribuite, spesso nelle mani di soggetti privati, e soggette a politiche di accesso ed elaborazione che cambiano nel tempo e nello spazio. «È anche per questo – sottolinea – che i regolamenti europei arrivano sempre un po’ in ritardo: perché devono tenere insieme competenze diverse e prospettive molto lontane tra loro». La sicurezza dei sistemi digitali, quindi, non può essere ridotta a un insieme di regole statiche. Occorre considerare l’interazione costante tra infrastrutture, processi e comportamenti. E soprattutto, ammettere che buona parte delle infrastrutture che usiamo ogni giorno non sono sotto il nostro controllo: «I dati che inseriamo su piattaforme social, cloud o sistemi distribuiti – sottolinea – spesso sfuggono alla nostra supervisione, sia per ignoranza degli utenti, sia per limiti di trasparenza da parte dei gestori».

Quando si entra nel campo dell’Intelligenza Artificiale, il quadro si complica ulteriormente. I dati utilizzati per addestrare i modelli provengono da fonti eterogenee, pubbliche o private, talvolta raccolti per finalità completamente diverse da quelle per cui vengono poi impiegati. Il rischio? Che dati manipolati, distorti o sbilanciati compromettano la bontà dell’output generato. Casola fa l’esempio del data poisoning, una tecnica ormai diffusa che consiste nell’introdurre informazioni false nei dataset per alterare le risposte del modello. E ricorda anche il problema dei bias: «Se chiedo a un’IA di generare l’immagine di un bambino, probabilmente mi proporrà un bambino bianco, con occhi chiari. È l’effetto di dataset dominati da contenuti prodotti in contesti occidentali».

Ma la questione non si esaurisce nella qualità dei dati. Anche la privacy rischia di essere compromessa, spesso in modo silenzioso. Casola mette in guardia da un falso senso di anonimato: «La violazione della privacy può avvenire anche per inferenza. Se condivido la mia posizione e mi trovo in un ospedale oncologico, un algoritmo può facilmente dedurre informazioni mediche sensibili». Lo stesso vale per abitudini, preferenze, orientamenti: a volte basta un dettaglio per rivelare molto più di quanto si intendeva comunicare. Per questo, chiarisce, la governance della sicurezza non può basarsi su misure reattive o regole generiche. Serve un approccio basato sul rischio, adottato ormai da tutti i principali standard europei e internazionali. Significa effettuare un assessment iniziale, valutando la postura di sicurezza del sistema, e identificare misure minime per proteggerlo. Ma soprattutto, significa aggiornare continuamente queste misure in base alle minacce emergenti. «Ogni nuova tecnologia introduce nuove vulnerabilità. Migliora la performance, ma amplia anche la superficie di attacco».

Tra i fronti critici, Casola richiama anche la questione geopolitica dei data center. Non tutti i provider garantiscono lo stesso livello di protezione: «Alcuni colossi come Amazon e Google ospitano i dati europei in server localizzati in Irlanda, ma altri operatori – magari meno trasparenti o più economici – utilizzano strutture in Paesi con leggi sulla privacy molto più deboli. E questo espone gli utenti europei a rischi concreti e poco visibili». Non meno importante è la formazione degli utenti, spesso l’anello debole della catena. «L’attacco più efficace, ancora oggi, è il phishing. Basta una mail ben congegnata per spingere qualcuno a cedere password, accessi, dati bancari. E questo vale per i cittadini, per i dipendenti pubblici, persino per le aziende più strutturate». La cultura della sicurezza, dunque, deve essere continua, diffusa e non demandata solo agli specialisti IT.

L’Europa ha cominciato a reagire, con regolamenti come il NIS2 e l’eIDAS2, che promuovono formazione, consapevolezza e standard minimi per gli operatori di servizi essenziali. Ma Casola avverte: non è sufficiente. «Investire in sicurezza non dà risultati immediati. Non ti accorgi del valore finché non subisci un attacco. È un investimento culturale, prima ancora che tecnologico». E proprio la cultura della prevenzione, conclude, è il vero nodo su cui puntare. Perché in una catena digitale sempre più articolata, la sicurezza si misura – sempre – sull’anello più fragile.

Ilaria Donatio

Avatar photo

Ho scritto “Opus Gay", un saggio inchiesta su omofobia e morale sessuale cattolica, ho fondato GnamGlam, progetto sull'agroalimentare. Sono tutrice volontaria di minori stranieri non accompagnati e mi interesso da sempre di diritti, immigrazione, ambiente e territorio. Lavoro al The Watcher Post.

© Riproduzione riservata