Intervista a Rita Rossi
Questa settimana abbiamo dedicato l’intervista a Rita Rossi, responsabile dal 1998 dell’Unità aspetti legali e contrattuali del Registro.it Dal 2004 è membro della Commissione Regole del Registro.it, oggi Comitato Consultivo di Indirizzo del Registro.it. Tra le altre cose è anche membro del Legal and Regulatory Working Group del Council of European National Top-Level Domains Registries. Sarà una dei docenti del master in Cyber Security e abbiamo voluto scoprire un po’ di curiosità sul suo corso in Legal Aspects of Cyber security.
A chi consiglia il master in cyber security?
In primo luogo, ai giovani laureati in ingegneria informatica e delle comunicazioni e ai possessori di laurea in informatica i quali hanno la preparazione di base per poter trarre dal master il massimo vantaggio. Lo consiglio anche ai manager delle aziende pubbliche e private, agli amministratori di sistema e a coloro che hanno compiti di Data Protection Officer in ambiti aziendali. La frequentazione del corso, peraltro, per la ricchezza dei contenuti che offre, in rapporto all’attualità dei problemi, è consigliabile a chiunque voglia farsi una preparazione adeguata nel settore della cyber security. D’altro canto, oggi, ciò che più conta è la capacità di capire e interpretare nuovi problemi e nuove esigenze, appassionarsi, perfezionando la propria preparazione, al fine di un’occupazione lavorativa.
Quali sono gli sbocchi professionali?
Sono significativi, ed anche se non arriviamo ai milioni di posti di lavoro annunciati, è certo che il settore della cyber security richiederà un investimento considerevole in risorse umane di elevata professionalità. Le minacce portate alle infrastrutture critiche e ai servizi essenziali rappresentano un elemento estremamente critico e centrale in tutti i paesi; l’Agenda Digitale Europea pone al centro dello sviluppo di un mercato unico digitale strumenti tecnici, giuridici ed organizzativi idonei a contrastare la diffusione della criminalità informatica ritenuto un fattore franante dello sviluppo. Si deve pertanto investire nella formazione perché questa consentirà di preparare professionisti in grado di capire e gestire le minacce portate alle infrastrutture produttive, economiche e sociali di ciascun Paese.
In che cosa consiste il suo corso in Legal aspects of cyber security?
Il corso si caratterizzerà per una fase introduttiva nella quale saranno esaminati gli organismi che operano nell’ambito della cyber security nel contesto internazionale, europeo e nazionale. Il quadro generale non potrà prescindere dall’esaminare normative, linee guida, raccomandazioni e buone pratiche che negli anni si sono susseguite; mi riferisco alla direttiva NIS recentemente approvata dal Parlamento Europeo, alle raccomandazioni e alle linee guida di ENISA, l’Agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione, al ruolo dei CERT nazionali, alle raccomandazioni dell’Ente statunitensi NIST, che fa riferimento ai protocolli in questo settore.
Definito il quadro generale le lezioni si incentreranno sui vari tipi di minacce e violazioni e conseguentemente sui vari tipi di reato che ne discendono, quali il danneggiamento di sistemi hadware e software, il furto di codici di accesso ai sistemi informatici e telematici, l’accesso abusivo a un sistema informatico e telematico protetto da misure di sicurezza, l’attentato a impianti di pubblica utilità, la diffusione di programmi diretti a interrompere o danneggiare un sistema informatico o telematico, la frode informatica. Particolare attenzione sarà poi dedicata alle minacce alla riservatezza e alle comunicazioni informatiche e telematiche. Si affronteranno anche i problemi di violazioni transfrontaliere e le problematiche giuridiche che ne conseguono, con una particolare attenzione alla Convenzione di Budapest sulla criminalità informatica. Ampio spazio sarà dato alle esperienze degli studenti e agli esempi pratici che gli stessi vorranno portare affinché il corso si traduca in un effettivo progresso anche sotto il profilo legale.
Come il suo settore di approfondimento contribuisce alla cyber security?
Il ruolo del legislatore in questo settore è strategico sotto un duplice profilo. In primo luogo, non è possibile prescindere da una legislazione che fissi principi comuni transnazionali per combattere le minacce e gli attacchi alle strutture e infrastrutture di Internet; la direttiva NIS, per citare un documento certamente rilevante, prevede particolari obblighi e disciplina per gli operatori di servizi essenziali e per i fornitori di servizi digitali. In secondo luogo, l’opera del legislatore è imprescindibile nell’identificare le condotte da perseguire e i rimedi. Essendo questo settore fortemente influenzato dalle innovazioni tecnologiche va altrettanto detto che il legislatore inevitabilmente sconta un ritardo nella messa a fuoco dei problemi e delle relative, possibili, soluzioni. A questo va aggiunto il ruolo di leadership dell’Unione Europea nel campo della legislazione sulla tutela della privacy, delle comunicazioni elettroniche e e dei servizi della società dell’informazione e della identità digitale; tutti settori la cui disciplina deve essere conosciuta da chi si occupa di cyber security per la loro complementarietà e talvolta sovrapposizione con la materia.
Verso quale direzione stiamo andando?
La direzione è quella di dedicare sempre maggiori sforzi sia sotto il profilo tecnologico che giuridico che sociale al fine di mettere a punto strumenti adeguati a fronteggiare un problema che, alla luce dell’importanza e del ruolo di Internet nell’odierna società, rischia di mettere in crisi servizi essenziali della nostra società, con i danni di cui parlavo sopra.
In questa direzione, ad esempio, anche lo sviluppo di un’offerta formativa adeguata costituisce uno strumento rilevante affinché le aziende pubbliche e private, gli operatori di servizi essenziali e i fornitori di servizi digitali siano in grado di disporre di personale adeguatamente preparato.
Che cosa manca nella realtà italiana?
In Italia manca ciò che è carente anche in altri Paesi, ossia una cultura della sicurezza che, unita alla sottovalutazione del problema, espone tutti i paesi, non solo l’Italia, a danni i alle strutture e infrastrutture di Internet con ripercussioni gravissime sull’economia proprio per gli alti costi che gli attacchi alla cyber security generano sulla politica economia della UE e delle imprese che nella UE operano.
Le vulnerabilità di Internet, e di ciò deve prendersi coscienza, non sono limitate e non colpiscono soltanto persone fisiche o aziende, ma possono concretizzarsi in un pregiudizio serio per una parte considerevole dei servizi essenziali che della rete si servono.