Roma
Virus: droni termici e controllo dei telefoni, la Cina ha tenuto tutti in casa
Il modello cinese per tenere le persone in casa: droni dotati di telecamere a alta definizione, capaci di rilevare la temperatura corporea. Parla l'esperta
di Alexandra Javarone *
Sono giunti a Roma aiuti e dispositivi medici dalla Cina, mentre il Governo italiano si appresta a varare ulteriori misure volte a tutela della popolazione, colpita dal nuovo virus sconosciuto. Le restrizioni appaiono necessarie: lo certifica il modello cinese che sembrerebbe quasi essere uscito dallo stato di emergenza anche grazie all’impiego di strumenti di altissima tecnologia: droni dotati di telecamere a alta definizione, capaci di rilevare la temperatura corporea del cittadino, colto in fallo in uscita non autorizzata.
Sono applicazioni capaci di definire il rischio di contagio di una persona (per approfondire www.agendadigitale.eu) e, sopratutto, un sistema di localizzazione utile a mappare spostamenti del contagiato prima e dopo la comparsa dei sintomi.
La Cina, a vederci bene, è un Paese molto diverso dal nostro in quanto a tradizione democratica, tuttavia è possibile che anche uno stato come il nostro presti il fianco all’istinto dominante della paura, inducendo l’esecutivo a passare dal modello Rousseau a quello cinese. Ne abbiamo parlato con Andrea Puligheddu, avvocato specializzato in protezione dei dati personali e diritto delle nuove tecnologie, Partner di Orlandi&Partners e socio del Centro Studi Esercito.
La Cina ha messo in campo una tecnologia per contrastare il virus: pensiamo ai droni, i caschi capaci di rilevare la temperatura di un individuo a 5 metri e un sistema di localizzazione che grazie al telefono permette di verificare spostamenti dei cittadini. É di pochi giorni fa la notizia che forse lo utilizzerà anche Israele. La legislazione italiana che disciplina il diritto alla privacy esclude il ricorso alla localizzazione, tuttavia esiste una eccezione al generale divieto posto dalla nostra normativa. Pensa sia possibile che venga invocata questa eccezione a causa di situazione di emergenza sanitaria nazionale?
IL TEMA DELLA PRIVACY
A mio giudizio, lo scenario a dir poco drammatico in atto in queste settimane si sta rivelando essere un importante punto di verifica per tutti i diritti fondamentali riconosciuti in capo ai singoli cittadini da parte dell’Unione Europea, e la protezione dei dati personali (art. 8 della Convenzione Europea sui diritti dell’uomo) rientra fra questi.
Sotto il profilo tecnico va detto che a livello normativo anche l’Italia, come ogni altro Stato Membro dell’Unione, è sottoposta alla normativa europea in materia (il Reg. UE 2016/679 noto con l’acronimo inglese GDPR).
La norma in questione prevede (in presenza di specifiche finalità quali ad esempio sicurezza sanitaria, prevenzione o il controllo di malattie trasmissibili e altre minacce gravi alla salute) deroghe espresse al generale divieto di trattare alcune categorie particolari di dati personali. Tra questi rientrano i dati di localizzazione, i dati sulla salute e altre tipologie di dati c.d. “sensibili” appartenenti alla sfera più intima della persona.
Quindi, l’eccezione non va invocata: è già esplicitamente prevista e applicabile. Il punto sul quale si gioca il cuore della differenza tra la nostra situazione e quella cinese o, in prospettiva e con le dovute distinzioni, quella israeliana è la condizione a cui il ricorso alla deroga è sottoposta: la presenza di adeguate garanzie, per proteggere i dati personali e altri diritti fondamentali dei cittadini dell’Unione.
L’utilizzo delle tecnologie di monitoraggio delle persone fisiche, rilevamento di dati biometrici rispetto alla gestione del COVID-19 in Cina, si inscrive in un percorso e in una visione precisi, in atto già da tempo nel Paese del Dragone attraverso vari sistemi: si pensi al SCS (il Sistema di Credito Sociale per persone e imprese) o il progetto di videosorveglianza massiva denominato Skynet.
Non stupisce il ricorso a queste tecnologie per le azioni di contenimento e gestione dell’emergenza sanitaria operato dalla Cina. Già il contesto israeliano si muove su binari completamente diversi. Israele possiede una esperienza attiva e molto solida sul tema cyber, sviluppata a partire dai primi anni 80 anche grazie ai corposi investimenti erogati ai centri universitari che si occupano di sicurezza informatica. Inoltre, ha una conoscenza diretta di cosa voglia dire convivere quotidianamente con uno stato di emergenza e conosce il potenziale di utilizzo delle tecnologie di raccolta informazioni in ambito intelligence. Queste tre direttrici consentono di mantenere una posizione ibrida, contemperando –almeno ufficialmente- il potenziale delle tecnologie di controllo informatico con specifiche previsioni su tempi di conservazione e modalità d’uso dei dati raccolti.
In Italia il contesto storico, culturale e giuridico è completamente diverso. Il trattamento dei dati di localizzazione e di salute dei cittadini può essere realizzato solo se permangono le adeguate garanzie di tutela di cui parla la normativa (in Italia ad oggi rappresentate dal DPCM 11 marzo 2020). Viceversa, si creerebbe un precedente molto pericoloso, da cui l’European Data Protection Board ci ha già messo in guardia (http://bit.ly/33rh74b).
Sarebbe inoltre inverosimile pensare di applicare al nostro Paese gli stessi metodi e strumenti utilizzati in Cina, se non altro per il fatto che una buona parte delle nostre infrastrutture informative oggi non sono orientate ad un simile utilizzo. Oggi nel Paese stiamo assistendo si al ricorso ad alcuni strumenti utili alle forze dell’ordine nelle operazioni di contenimento del virus (ad esempio sistemi di videosorveglianza e droni). Tuttavia non vanno affatto confusi con gli strumenti utilizzati dalla Cina per le sue operazioni: nel nostro caso si tratta solo di strumenti (peraltro già normati da tempo) attraverso i quali individuare i trasgressori delle misure e sono utilizzati già da alcuni anni da alcune polizie locali per rendere più efficaci gli accertamenti ex art. 13 l. 689/1981.
L’Italia si è organizzata con lo Smart Working o telelavoro, per evitare il diffondersi del contagio. Lo studio Cyber del Centro Studi Esercito può spiegarci quali sono le implicazioni dello smart working in termini di sicurezza per la privacy e dati di aziende e enti amministrativi?
I rischi privacy connessi all’ambiente di lavoro sono da sempre stati sotto l’occhio attento dell’Autorità Garante per la protezione dei dati personali, che già dal 2006 ha provveduto a fornire specifiche indicazioni in materia.
Con lo smart working, fenomeno che sin dai primi giorni di quarantena ha conosciuto una crescita a dir poco esponenziale, occorrerà un cambio di passo sul tema della sicurezza informatica. Una buona parte delle realtà produttive che compongono il tessuto socio-economico del nostro Paese ha infatti puntato a potenziare la sicurezza e la sorveglianza del luogo di lavoro: controllo accessi, videosorveglianza, perimetrazione della rete, sicurezza CED e backup che sono la base di partenza di ogni comparto sicurezza.
Questo approccio ha portato molte Organizzazioni a trascurare le misure di sicurezza legate al lavoro agile, come per esempio i disciplinari per regolamentare l’uso della strumentazione informatica, uso di sistemi di mobile device management, sistemi IPS per il rilevamento delle intrusioni o creazione di canali VPN, solo per citarne alcuni.
Senza contare l’assenza di formazione dedicata sul tema nei confronti del dipendente, ora particolarmente difficile. Pertanto, in questo momento di urgenza, in cui centinaia di migliaia di lavoratori sono chiamati per necessità ad utilizzare forme di lavoro da remoto come mai era successo prima d’ora è fisiologico che aumenti il numero di attacchi informatici.
Le violazioni di dati (personali e non) aumentano esponenzialmente, così come il rischio di subire attacchi informatici in assenza di un presidio strutturato.
Il punto chiave sul quale occorre interrogarsi tuttavia è: si tratta davvero solo di un problema delle singole Organizzazioni? Quando in un anno vengono registrati più di 10,000 attacchi noti di particolare gravità (*Fonte Rapporto Clusit 2020) nei confronti delle Organizzazioni di un Paese costituito da piccole-medie imprese (peraltro dotate di competenze digitali spesso non adeguate stando agli ultimi dati ISTAT disponibili in materia) e strettamente legato all’export di beni e servizi. Si può veramente dire che si tratti di un problema del mondo privato?
Chiaramente no. Occorre acquisire la consapevolezza che il nostro tessuto produttivo deve essere protetto come un bene appartenente all’intero sistema Paese, curato e difeso dal comparto specializzato in cyber defence, come si farebbe con qualsiasi altro oggetto di interesse strategico nazionale.
Una maggior attenzione al tema, insieme ad una serie di ipotesi di lavoro concrete legate alla formazione e all’incontro tra il mondo cyber dell’industria privata e comparto Difesa, è quello che desideriamo realizzare grazie allo Studio per le capacità Cyber dell’Esercito Italiano, progetto che mi vede coinvolto in prima persona come socio del Centro Studi Esercito in collaborazione con lo Stato Maggiore Esercito.
L’intento dello Studio è proprio quello di verificare lo stato dell’arte delle capacità cyber della componente militare terrestre, e formulare attraverso alcune riflessioni di natura tecnica, legale, economica e militare sui punti chiave per costruire percorsi di incontro tra le esigenze del mondo militare e quello civile, nel solco di una crescita complessiva della sicurezza comune e una maggior protezione degli asset strategici nazionali.
Anche la creazione di protocolli di sicurezza cyber condivisi, che apportino l’esperienza in ambito cyber del mondo militare in situazioni di rischio come quella descritta e che stiamo vivendo, potrebbe contribuire a una difesa più capillare del sistema Paese. Una direzione verso la quale, che lo reputiamo utile o meno, saremo via via sempre più chiamati a orientarci.
L’Italia è molto debole in questo momento, gli altri paesi potrebbero approfittarne utilizzando quello che è comunemente noto come soft power o tramite cyber?
In realtà sotto questo profilo mi sembra che l’Italia con il passare dei giorni stia riuscendo a limitare il rischio che questo scenario si verifichi in modo incontrollato. Sappiamo che il dominio cyber è spesso adoperato dalle Potenze come leva di soft power, data l’impossibilità di poterlo dimensionare entro dei limiti fisici e la sostanziale commistione tra gli attori pubblici e privati in gioco. Non dimentichiamoci però che rispetto alla gestione della situazione di emergenza sanitaria oggi in atto l’Italia segue un capofila d’eccellenza che in parte ha già conosciuto misure simili e ben più stringenti delle nostre: la Cina. Ed è proprio dalla Cina che stanno arrivando in questi giorni le mosse più interessanti che investono anche il dominio cyber presidiato dall’Italia e mitigano il rischio che si verifichino particolari ingerenze da parte dei nostri competitori, anche e soprattutto in ambito UE, scoraggiati dal fatto di potersi trovare in una simile situazione senza un simile affiancamento.
Mi riferisco alle reazioni di Alibaba, Zte e Huawei (solo per citarne alcune), che sia attraverso la fornitura di materiale medicale (su più di 1 milione e mezzo di mascherine donate da Jack Ma, 500.000 sono state destinate al Bel Paese) sia attraverso l’offerta di supporti di natura più infrastrutturale si sono attivate per supportare lo Stato in questo momento particolarmente delicato.
Huawei per esempio ha proposto lo sviluppo di una rete cloud based dedicata all’emergenza, al fine interconnettere fra loro alcune delle strutture ospedaliere presenti nelle zone più colpite del Paese con le unità di crisi governative, e di mettere in comunicazione in tempo reale i centri di ricerca sanitari italiani con le strutture sanitarie di Wuhan per uno scambio attivo di informazioni.
La medaglia, tuttavia, ha sempre due facce: da un lato la predisposizione di questo strumento costituirebbe un oggettivo miglioramento della comunicazione tra i singoli centri italiani e quelli esteri. Dall’altro lato, tuttavia, far curare la predisposizione e gestione di uno strumento del genere a Huawei significherebbe lasciare il campo ad una serie di criticità niente affatto secondarie in ambito data governance (sarebbero infatti trattati sia i dati personali che di salute di una fetta considerevole della popolazione italiana) e tutela delle infrastrutture critiche, come peraltro stava già da tempo accadendo in tutta Europa nell’ambito dell’affidamento dei servizi 5G.
Di sicuro queste misure rafforzano il dialogo già in atto tra il mondo dell’industria hi-tech sanitaria italiana e cinese, nel solco del memorandum BRI (Belt and Road Initiative) firmato dal Governo. Quanto poi esse saranno in grado di incrementare in concreto il soft power italiano in ambito cyber è ancora molto presto per dirlo, così come per ogni altra considerazione legata alle potenzialità inesplorate che l’Italia in questa crisi, pur nella sua drammaticità, sta finalmente facendo emergere.
* Alexandra Javarone, giornalista, esperta del Centro Studi Esercito