Quando la rete diventa trappola

Nei giorni scorsi si è celebrata la Giornata Mondiale del Backup, un’occasione fondamentale per sensibilizzare sull’importanza della salvaguardia dei dati digitali, sia per gli utenti individuali che per le aziende. Un problema ormai comune e all'ordine del giorno, considerata la sempre più ampia diffusione e l'utilizzo delle nuove tecnologie nel nostro vissuto quotidiano.

---

Non perdere i nostri aggiornamenti, segui il nostro canale Telegram: VAI AL CANALE

---

Come prevenire i rischi, ne parliamo in modo più approfondito con Francesco Buccafurri, professore ordinario di ingegneria informatica presso l’Università Mediterranea di Reggio Calabria ed esperto di cybersecurity e l'avvocato Antonino Polimeni, specializzato nel diritto di internet.

Fotografie e documenti cosa rubano gli hacker

intervista a cura di Davide Imeneo

Professore ordinario di ingegneria informatica presso l’Università Mediterranea di Reggio Calabria, Francesco Buccafurri è titolare di diversi corsi di cybersecurity ed è prorettore delegato alla Transizione digitale e alla semplificazione dell’Ateneo.

Professore, quali sono le minacce informatiche più comuni che possono mettere a rischio i nostri dati?

Gli attacchi di tipo ransomware sono certamente quelli che mettono a maggiore rischio i dati di cittadini, pubblica amministrazione e imprese. In tale tipologia di attacchi la disponibilità e, ormai molto spesso, la confidenzialità di tali dati sono compromesse, in maniera condizionata al pagamento di un riscatto (ransom, in inglese), che tipicamente deve avvenire in criptovaluta. È pertanto una forma di estorsione che spesso si basa su due o tre livelli di pressione verso la vittima, al fine di farla cedere, visto l’ingente danno che altrimenti riceverebbe.

Come è possibile educare i cittadini e le organizzazioni a una maggiore consapevolezza dei rischi informatici?

È necessario intensificare le campagne di awareness, attraverso piani di sensibilizzazione rivolti a cittadini e organizzazioni. Per le organizzazioni è opportuno progettare tali piani utilizzando non solo attività formative organizzate in vario modo (lezioni in aula, videolezioni, pillole formative, newsletter, etc.), ma anche piani di rilevazione della awareness, attraverso survey e campagne di phishing. È giunto il momento di rendere queste pratiche di uso comune nelle organizzazioni, sia pubbliche sia private. La pandemia ha portato ad un aumento del lavoro da remoto e della digitalizzazione.

Come si è evoluta la minaccia informatica in questo contesto?

In generale, oltre alla necessità di aziende e pubbliche amministrazioni di consentire l’accesso da remoto alle proprie reti, vi è stata una spinta (peraltro estremamente positiva) verso l’incremento dei servizi digitali, non sempre però accompagnata da un’adeguata attenzione verso la cybersecurity. Ciò ha pertanto aggravato il quadro delle minacce cyber in maniera determinante, anche perché l’allargamento della platea di utenti di servizi digitali ha incrementato la possibilità per gli attaccanti di sfruttare le vulnerabilità del fattore umano attraverso tecniche di social engineering. Ne sono una prova i crescenti casi di frodi bancarie basati su social engineering, tra cui il vishing (voice phishing).

In che modo l’intelligenza artificiale può essere utilizzata per migliorare la sicurezza informatica?

L’intelligenza artificiale può migliorare molto la capacità di difesa, rendendo sempre più efficaci le strategie di early detection (rilevamento precoce) di attacchi e di minacce, e allargando maggiormente l’attenzione delle strategie di difesa dal semplice perimetro dell’organizzazione verso gli utenti finali, attraverso “assistenti digitali” capaci di proteggere l’utente.

Quali consigli darebbe a un giovane che desidera intraprendere una carriera nella cybersecurity?

Il consiglio è certamente quello di intraprendere studi universitari inerenti al tema. Ma sarebbe importante accendere l’interesse verso l’informatica e la cybersecurity ancor prima della formazione universitaria, e cioè durante gli anni della scuola superiore. Conseguire poi una laurea che fornisce competenze in cybersecurity (e questo è certamente il caso dei percorsi di laurea del dipartimento Diies dell’Università Mediterranea di Reggio Calabria, nei quali opero) assicura eccellenti opportunità lavorative e fornisce anche un contributo al sistema paese, visto il consistente gap di professionalità in ambito cybersecurity che affligge il nostro paese e che rappresenta di fatto un problema globale.

Legge & digital. AI Act, «regolamentare significa far crescere»

intervista a cura di Mariarita Sciarrone

Lo scorso 14 marzo il Parlamento europeo ha approvato il testo del Regolamento sull’Intelligenza Artificiale (AI Act). La legge sull’AI rappresenta in assoluto il primo quadro normativo completo sul tema in tutto il mondo. L’obiettivo delle nuove norme è promuovere un’intelligenza artificiale affidabile, garantendo che i sistemi di AI rispettino i diritti fondamentali, la sicurezza e i principi etici dell’uomo. Allo stesso tempo, il regolamento mira a ridurre gli oneri amministrativi e finanziari per le imprese. Con l’avvocato Antonino Polimeni, specializzato nel diritto di internet, vediamo cosa cambia e quali sono le tutele che avranno cittadini e imprese.

Perché avevamo bisogno di questa legge e quali scenari si aprono oggi per le aziende che lavorano nel settore digitale?

Rispondo partendo da lontano: quando gli e-commerce scoprirono che dovevano permettere ai consumatori di rendere i prodotti, si presentarono problemi logistici, burocratici ed economici.

Eppure, oggi non riusciremmo a immaginare l’e-commerce senza la possibilità del reso. Questo è stato possibile perché il settore ecommerce è stato sottoposto a una regolamentazione molto specifica e attenta ai diritti in generale, non solo ai diritti del consumatore. Regolamentare equivale a far crescere qualcosa, non a distruggerla. Alcune aziende pensano che l’AI Act possa essere un freno all’innovazione, ma non è così.

---

PER APPROFONDIRE: Calabria, l’intelligenza artificiale a supporto dei comuni in difficoltà finanziaria

---

Le regole creano il futuro, il caos porta al fallimento. Partendo da questo presupposto, l’AI Act avrà un impatto finalmente definitivo dal punto di vista della spendibilità su tutti i mercati e in tutti i tipi di business, cosa che fino a oggi non è stato possibile perché non c’era nessuna regola. Avremo, quindi, la certezza di utilizzare dei modelli che sono a norma di legge e di non commettere nessun reato.

Quali tutele avrà l’utente con l’AI Act?

Ci sarà un approccio basato su una categorizzazione dell’intelligenza artificiale che prevede quattro livelli di rischio: minimo, limitato, elevato, inaccettabile. I sistemi di IA che comportano un rischio inaccettabile sono vietati. Si profilano due tipi di tutela: da un lato la tutela dei nostri dati, tutto ciò che noi creiamo e scriviamo all’interno dell’intelligenza artificiale non potrà essere utilizzato per effettuare determinate operazioni, perché saranno vietate. Il riconoscimento biometrico è quello di cui si parla più spesso, ma mi riferisco anche al divieto di categorizzarci sulla base della nostra forza economica, prendere decisioni sulla base di quello che facciamo, scriviamo.

---

Adesso siamo anche su WhatsApp, non perdere i nostri aggiornamenti: VAI AL CANALE

---

Non sarà possibile estrapolare i nostri dati per realizzare un qualcosa che possa avere degli impatti sui diritti o mettere a rischio la nostra vita e la nostra salute. Il secondo tipo di tutela riguarderà l’authority, composta da tecnici specializzati, che controlleranno che le normative siano rispettate e si occuperanno di valutare il rischio di ogni processo basato sull’intelligenza artificiale. Un’altra cosa importante riguarda la pubblicazione delle fonti. Con questa legge tutte le intelligenze artificiali che arriveranno in Europa dovranno dichiarare quali fonti hanno utilizzato per l’apprendimento.