Guerra, il decreto Ucraina ed il “caso Karspersky”

di Luisa Di Giacomo, Avv.
PDF

È in vigore da questa settimana il decreto legge n. 21/2022, recante “Misure urgenti per contrastare gli effetti economici e umanitari della crisi Ucraina”.

A dimostrazione di quanto ormai ampiamente acclarato, e cioè che la guerra oggi è diventata una guerra ibrida, che si combatte tanto sul campo, quanto nel web, a colpi di attacchi cyber, tweet e diffusione di fake news, tra le misure adottate dal Governo c’è anche il pacchetto relativo alla sicurezza e protezione informatica, previsto al Capo II del decreto, relativo alla Cybersicurezza delle reti, dei sistemi informativi e dei servizi informatici e degli approvvigionamenti”.

Dunque ciò di cui si parlava ormai da giorni si è tradotto in norma di legge ed è stato visto da molti come una “dichiarazione di guerra” ai software ed antivirus di provenienza russa, alla cui testa c’è ovviamente Kaspersky, il noto antivirus super sicuro, super utilizzato, super incensato dagli addetti ai lavori come uno dei più sicuri al mondo. Si parla addirittura di decreto Kaspersky, anche se la nota marca non viene ovviamente mai nominata nel testo di legge.

Occorre tuttavia cercare di dare una lettura più articolata al decreto, che apparentemente si colloca nel solco della caccia alle streghe russe, ma che, a ben interpretare, pone invece l’accento su un problema diverso.

E nemmeno a interpretare, ma basterebbe anche solo leggere con un minimo di attenzione e senza pregiudizio, perché l’art. 28 del decreto Ucraina, quando parla delle pubbliche amministrazioni e delle misure adottate per incrementare i livelli di sicurezza informatica nazionale (un intento più che mai lodevole ed attuale, e non solo a causa della guerra, come ci insegna l’aumento esponenziale degli attacchi informatici a cui abbiamo assistito in questi ultimi due anni) non dice di “sostituire” Kaspersky o qualsivoglia altro software russo: prescrive invece, testualmente, che “le medesime amministrazioni procedono tempestivamente alla diversificazione dei prodotti in uso”.

Il problema, dunque, non è che i prodotti russi siano utilizzati tout court per porre in atto azioni criminali ai danni dei nostri sistemi: ipotesi suggestiva e in linea con l’ostracismo a cui qualsiasi cosa, persona, prodotto o servizio proveniente dalla Federazione Russa è sottoposto da quando è scoppiata la guerra. Ma è, molto più verosimilmente, il timore che i suddetti prodotti, a causa della guerra, non possano più essere tempestivamente e costantemente aggiornati, dando luogo a falle di sicurezza. L’aggiornamento dei sistemi informativi, dei software antivirus ed antispam, infatti, rappresenta una delle buone prassi che qualsiasi elementare strategia di sicurezza informatica dovrebbe adottare. Il rischio di mancato aggiornamento, dunque, esporrebbe i sistemi ad attacchi, ed è per questo che il decreto impone la diversificazione dei prodotti. Non sostituzione, ma diversificazione e affiancamento di più soluzioni diverse.

Si chiama principio della ridondanza, non nuovo alle strategie di sicurezza informatica, e funziona, come dice la parola stessa, con la sovrabbondanza.

Avere due paracadute, perché se il principale non si apre c’è quello di sicurezza ed evita che la persona si spiaccichi al suolo; avere una camicia di ricambio quando si sta via anche solo per un giorno, perché se la prima si macchia non possiamo andare all’appuntamento di lavoro con una medaglia in pieno petto; avere due backup, perché se anche il primo dovesse risultare compromesso, c’è sempre il secondo che può salvare il nostro lavoro; avere due prodotti antivirus, affinchè il secondo verifichi il corretto funzionamento del primo ed in ogni momento possa subentragli in caso di problemi. In altre parole, avere per ogni funzionalità critica almeno due programmi diversi che la svolgono, contando sul fatto che, a livello di probabilità, l’ipotesi che entrambi i sistemi smettano di funzionare nello stesso momento o presentino le medesime criticità in contemporanea è assai scarsa.

Come facilmente intuibile, tuttavia, raddoppiare le soluzioni tecnologiche vuol dire anche raddoppiare i costi, e siccome le pubbliche amministrazioni di solito non navigano nell’oro (così come le aziende private devono sempre e comunque fare attenzione al budget) è facile ipotizzare che la conseguenza pratica del decreto Ucraina sarà non l’affiancamento, ma la sostituzione. Un altro problema spesso è rappresentato dalla compatibilità tra diversi sistemi, che spesso faticano a dialogare tra loro e rischiano di non fare funzionare né la prima né la seconda soluzione, motivo per cui, di nuovo, sarà più facile per le PA sostituire i sistemi, piuttosto che ottemperare al principio della ridondanza.

E’ un peccato, perché Kaspersky, a parte l’oggettiva difficoltà di pronuncia del nome, è davvero un ottimo prodotto, che oggi ha il difetto di provenire da un Paese che viene considerato nemico. Non è l’unico prodotto di cui stiamo sperimentando la dipendenza: succede lo stesso col gas proveniente dalla Russia, e col petrolio, e lo abbiamo ben visto in questi giorni in cui il prezzo della benzina è schizzato alle stelle, prima di rientrare in ranghi più decorosi grazie all’intervento governativo.

La dipendenza nei confronti di Paesi terzi per l’approvvigionamento di risorse fondamentali oggi riguarda più che mai anche il settore tecnologico, per cui a gran voce si richiede da più parti la cosiddetta sovranità digitale.

E sbaglia chi pensa che questi siano problemi secondari, di risibile valore, rispetto alle vite umane che si stanno perdendo in questa guerra, ogni giorno sotto i nostri occhi. Certo, la perdita di vite umane è sempre e comunque il primo nodo ed il più importante, ma le implicazioni economiche di ogni guerra impattano in maniera diretta sulla vita di miliardi di persone nel mondo, e il problema tecnologico è tra questi uno dei più importanti e fondamentali e sempre maggiormente lo sarà. Diversità e compatibilità, oltre che sviluppo di nuove soluzioni, sono le migliori risposte che il nostro Paese, e l’intera Unione Europea, può pensare di dare al problema della dipendenza tecnologica e per giungere all’agognato stato di sovranità digitale, per evitare di doversi piegare a soluzioni di compromesso, difficili da digerire in tempo di pace, intollerabili in tempo di guerra.

Leggi anche:

Diventa autore di Diritto.it

© RIPRODUZIONE RISERVATA

luisa-di-giacomo

Luisa Di Giacomo

Laureata in giurisprudenza a pieni voti nel 2001, avvocato dal 2005, ho studiato e lavorato nel Principato di Monaco e a New York. Dal 2012 mi occupo di compliance e protezione dati, nel 2016 ho conseguito il Master come Consulente Privacy e nel 2020 ho conseguito il titolo Maestro per la Protezione dei Dati e Data Protection Designer dell’Istituto Italiano per la Privacy. Mi occupo di protezione dei dati e Cybersecurity, sono docente e formatore per Maggioli s.p.a. e coordino la sezione Cybersecurity della pagina diritto.it. Sono Data Protection Officer e consulente per la protezione e sicurezza dei Dati in numerose società nel nord Italia. Ho una pagina Instagram e un Canale YouTube in cui parlo dell’importanza dei Dati e della Cybersecurity, con l'obiettivo di contribuire a diffondere una maggiore cultura e consapevolezza digitale. Mi piace definirmi Cyberavvocato. I miei social: LinkedIn Instagram YouTube


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it

  • Rimani aggiornato sulle novità del mondo del diritto
  • Leggi i commenti alle ultime sentenze in materia civile, penale, amministrativo
  • Acquista con lo sconto le novità editoriali – ebook, libri e corsi di formazione

Rimani sempre aggiornato iscrivendoti alle nostre newsletter!

Iscriviti alla newsletter di Diritto.it e