Il Safer Internet Day e l’Unione Europea: l’evoluzione di un uso (in)consapevole della rete
Sedici anni ci separano dalla prima celebrazione del “Safer Internet Day”, giornata mondiale per la sicurezza in rete istituita dalla Commissione Europea. Nel 2004 ben poco si sapeva di Privacy, Big Data e, più in generale, di Cyber Security. Questa ricorrenza venne istituita per diffondere consapevolezza e informazione sui rischi che si potevano riscontrare navigando in rete.
Nel periodo di crisi attraversato dal Kosovo (1996-1999) persino la NATO venne colta alla sprovvista sul tema: molti account di posta elettronica dell’organizzazione vennero bloccati e il sito web istituzionale di riferimento venne demolito in numerose occasioni. Una volta sventata una minaccia ritenuta un rischio limitatamente dannoso gli Stati Membri svilupparono consapevolezza circa la loro cooperazione in termini di “difesa”: essa si era rivelata non sufficientemente rapida a evolversi di pari passo con il mondo digitale.
La strategia di comunicazione adottata per sensibilizzare i cittadini sui danni presentati da queste nuove minacce si basò sulla diffusione di notizie su bassa scala tramite le rispettive stampe nazionali. Strumento che si rivelò non all’altezza del compito, specialmente all’interno dei confini comunitari dell’allora Comunità Europea.
È il 27 aprile 2007 quando ebbe inizio una serie di attacchi cibernetici diretti alle sedi politiche più importanti in Estonia. Le conseguenze non si riversarono esclusivamente sulla sfera pubblica del Paese, bensì incisero fortemente su larga scala anche sui dati dei singoli cittadini.
Fu proprio in seguito a questi avvenimenti che l’Unione Europea si rese conto di essere un mero spettatore passivo rispetto ad altre potenze internazionali nel settore della sicurezza in rete. Questo conflitto, denominato “Web War One”, diede una visione di più ampio raggio sul contemporaneo ed inconsapevole uso di Internet: molti ne conoscevano le qualità, pochi erano a conoscenza dei rischi.
In due decenni l’evoluzione tecnologica ha permesso lo sviluppo di una cultura digitale basata sui 2 pilastri fondamentali nel mondo della Cyber Security: Big Data e Privacy. La propensione della società verso lo scambio di grandi quantità di dati in tempo reale, però, non è giunta senza conseguenze. Episodi di cyberbullismo, cracking e phishing sono solo alcuni dei molteplici aspetti negativi che questo scambio porta con sé da molti anni. Per rendersi conto della rilevanza della situazione basta osservare cosa ci dicono le statistiche: secondo un’indagine conoscitiva sul cyberbullismo condotta dall’ISTAT, 3 giovani italiani su 10 sono vittime di questo fenomeno e il numero è in continuo rialzo.
I minori sono gli utenti più a rischio in questa lotta all’uso consapevole della rete. Secondo un report dell’EU Kids Online Italy di Gennaio 2018 «le attività online più diffuse fra i ragazzi sono quelle relative alla comunicazione e all’intrattenimento: il 79% dei ragazzi di 9-17 anni usa internet per comunicare con amici e famigliari, poco più della metà guarda video online e visita quotidianamente il proprio profilo sui social media». A un primo sguardo poco attento queste potrebbero sembrare informazioni innocue e in linea con la digitalizzazione. La realtà ci illustra, invece, più in generale, quanto la privacy, quale “diritto alla riservatezza delle informazioni personali e della propria vita privata” (art.1 D.lgs n.196/2003), sia destrutturata e perda di significato.
Affrontare singolarmente i diversi fenomeni di uso inconsapevole della rete non permette di avere una visione di insieme sui motivi per i quali il nostro ordinamento giuridico non riesca a garantire una forte tutela di fronte alla minaccia degli attacchi cibernetici, di qualsiasi genere essi siano. È doveroso, infatti, esaminare la normativa comunitaria vigente ed analizzarne le cause.
L’Unione Europea ha rivisitato la propria concezione del termine privacy solo di recente e dovendo affrontare più volte la discordanza di intenti tra i vari Stati membri. Il risultato delle misure adottate in materia di tutela dei propri dati sensibili è il “GDPR” (Regolamento Generale sulla Protezione dei Dati Personali), entrato in vigore nel Maggio del 2018. Questa norma si è rivelata fondamentale per stabilire una base di tutela da cui prendere spunto per orientarsi, per avere un quadro uniforme di leggi e per intervenire in singoli casi di pericoli online, ma non è abbastanza. Le previsioni raccolte in questo testo sono il frutto di un drafting legislativo durato anni, che non ha tenuto conto degli ultimi sviluppi circa la cyber security. Se nello scorso decennio era possibile definire l’intero percorso di un attacco cibernetico in rete, la situazione oggi è diventata estremamente complessa.
Facciamo un esempio: un malintenzionato che risiede in Germania decide di lanciare un attacco in rete per rubare i dati sensibili di un utente francese. La traccia da seguire parte dalla Germania, rimbalza su dei server in Italia e in Belgio, per poi giungere a destinazione in Francia. Il GDPR prevede un regime sanzionatorio unico da applicare a discrezione degli Stati membri per intervenire nei limiti della propria sovranità territoriale. In questo caso specifico non è definibile quale Stato possa esercitare la propria giurisdizione per risalire al colpevole proprio a causa di questa fitta rete che si è venuta a creare nello sviluppo dell’attacco. Con il passare dei mesi e con il confronto aperto tra le varie parti si arriva ad una decisione su chi debba occuparsene e, spesso, la risposta è tardiva. Un grafico interattivo di Kaspersky illustra la complessità di questi fenomeni contemporanei.
In tempi molto brevi gli Stati europei hanno elaborato una strategia a lungo termine che permetterà ai cittadini comunitari di poter utilizzare consapevolmente e consciamente la rete, riducendo i rischi e migliorando i servizi.
Il Regolamento n°881 del 2019, meglio conosciuto come “Cybersecurity Act”, ha rinnovato le funzioni dell’Agenzia europea per la sicurezza delle reti e dell’informazione” (ENISA), rinominandola “European Union Agency for Cybersecurity”. L’ENISA ne esce rafforzata perchè gli viene garantito un mandato permanente e gli si consente di svolgere non solo compiti di consulenza tecnica, come è stato fino ad ora, ma anche attività di supporto alla gestione operativa degli incidenti informatici da parte degli Stati membri.
La differenza principale tra un sistema di salvaguardia basato su una norma (GDPR) e un altro gestito interamente da un’agenzia sta nel fatto che l’ENISA svolge un lavoro tecnico e, per questo motivo, ha la possibilità di adattare le esigenze degli utenti in rete all’evoluzione della società senza “perdere” tempo per l’elaborazione di singole norme di riferimento. Nel caso del GDPR, invece, il contenuto è statico e per essere modificato necessita di lunghi procedimenti di revisione legislativa.
Per comprendere e diffondere i principi del Safer Internet Day è di fondamentale importanza far conoscere ai giovani queste realtà di riferimento comunitarie. Solo in questo modo si può sensibilizzare a 360 gradi la comunità digitale sul significato dei termini “privacy” e “dati sensibili”.
L’edizione della ricorrenza quest’anno verrà celebrata in tutta Italia dalle singole scuole per innovare e rinnovare la cultura digitale insieme agli studenti. Come riportato dal MIUR, «in occasione della giornata del SID 2020 e fino al mese di marzo le scuole di ogni ordine e grado sono invitate ad organizzare iniziative didattiche e attività di formazione e informazione, destinate agli alunni e alle famiglie, internamente alla scuola o sul proprio territorio, sulla sicurezza in rete, sulla protezione dei dispositivi e dei dati personali e la privacy, sulla tutela della salute e del benessere nell’utilizzo dei media digitali».
“Together for a better internet” è il titolo scelto dal MIUR per l’evento che darà il via a queste iniziative a partire dal Museo Nazionale delle Ferrovie dello Stato di Pietrarsa (Napoli). Incentivando la sinergia tra istituzioni, scuole e studenti come sta avvenendo in Italia, presto potremo parlare di reti e giovani europei uniti per raggiungere uno scopo comune: navigare sicuramente su Internet.
Sitografia:
https://www.istat.it/it/files/2019/03/Istat-Audizione-27-marzo-2019.pdf
https://www.nato.int/docu/review/2011/11-september/Cyber-Threads/IT/index.htm
https://cybermap.kaspersky.com/
https://www.generazioniconnesse.it/site/it/0000/00/00/uso-consapevole-della-rete/
https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32019R0881&from=EN
