I dati personali vengono oggi elaborati in ogni ambito delle nostre vite, dal lavoro alle relazioni con le istituzioni e la sanità, dagli acquisti alla fruizione di beni e servizi e alla navigazione sul Web. Generalmente però le persone non conoscono i rischi associati alla protezione dei dati personali e sono ancora meno consapevoli di ciò che possono fare se ritengono che i propri diritti siano stati violati. Una scusante per gli utenti è che i loro diritti enunciati nelle norme di utilizzo dei servizi proposti si presentano spesso sotto forma di una lunga lista di condizioni legali e contrattuali che non invogliano la lettura e non aiutano la comprensione.
Pratiche di cybersecurity etiche
Per sensibilizzare l’opinione pubblica su questo fronte, il 28 gennaio, ogni anno si tiene la Giornata per la protezione dei dati (Data Protection Day) istituita nel 2006 dal Consiglio d’Europa e celebrata ormai in tutto il mondo come “Privacy Day“. Obiettivo è di stimolare il dialogo e accrescere la sensibilità sul tema in una società che non può più prescindere dai dati e nella quale i principi di protezione devono essere in linea con le esigenze odierne.
Esigenze legate oggi al tema dell’intelligenza artificiale: l’AI sta guidando una trasformazione senza precedenti, rivoluzionando molti settori e migliorando l’efficienza operativa delle imprese, ma presenta sfide importanti per quanto riguarda la sicurezza dei dati e la tutela della privacy. Gli algoritmi di AI, sempre più complessi, sono infatti in grado di prendere decisioni basate su criteri spesso incomprensibili per gli esseri umani, e possono portare a un uso inconsapevole dei dati personali nei processi decisionali che coinvolgono le persone. Non a caso, l’Europa è stata la prima a redigere e approvare l’AI Act, una regolamentazione definita sulla capacità dell’AI di causare danni alla società, seguendo un approccio basato sul livello di rischio: a maggiore rischio, regole più severe.
Nella diciottesima edizione del Privacy Day appena terminata è stata dunque ribadita la necessità di percorsi di resilienza nella cybersecurity e pratiche etiche che integrino il rispetto per la privacy individuale nella gestione e nell’implementazione dell’AI, per garantire un futuro in cui tecnologia e diritti individuali convivano.
Una sfida non semplice, alla quale governi, organismi per la protezione dei dati e attori dell’ecosistema del digitale cercano di dare risposte, indicazioni e suggerimenti. Come ha fatto per l’occasione Clusit ribadendo l’importanza di investire in data protection in uno scenario in cui negli ultimi 5 anni si è registrata a livello globale una crescita degli incidenti cyber dell’86%, con una media di quasi 8 attacchi gravi al giorno nel 2023 e un primo semestre in cui il 9,6% degli attacchi complessivi ha riguardato vittime italiane. “Tutelare la privacy oggi non riguarda solo il rispetto dei diritti individuali, ma ha profonde implicazioni per la società digitale e la stabilità delle istituzioni – afferma Gabriele Faggioli, presidente di Clusit -. Il lavoro delle istituzioni, con la creazione e l’aggiornamento di leggi robuste sulla privacy – per esempio a fronte della rapidissima integrazione di tecnologie di AI in prodotti e processi – con l’implementazione di misure di sicurezza avanzate e la promozione di una cultura della consapevolezza, saranno essenziali per garantire che la data protection rimanga al centro delle strategie di business e governance delle imprese”.
Data Protection Day, il ruolo delle aziende
In questo scenario, le organizzazioni hanno la responsabilità cruciale di salvaguardare le informazioni sensibili a tutela del mantenimento della privacy dei dati e a fronte dei rischi a cui espone l’uso delle nuove tecnologie. Servono misure di salvaguardia e soluzioni di mitigazione, con l’adozione di meccanismi trasparenti di acquisizione del consenso degli utenti, strategie di anonimizzazione dei dati, uso di soluzioni di crittografia avanzate e sistemi di gestione degli accessi più rigidi, per individuare e mitigare le vulnerabilità di sicurezza in ogni fase della creazione dei sistemi di AI, implementazione di patch e aggiornamenti di sicurezza, pratiche di archiviazione sicura, attività di monitoraggio costanti, elaborazione di piani di risposta agli incidenti e non da ultimo la creazione di consapevolezza attraverso attività di formazione degli utenti.
Best practice che le imprese devono mettere in campo sostenute dai player della sicurezza per fare quadrato sulla sicurezza nel nuovo scenario, come emerge da alcuni commenti e indicazioni che abbiamo raccolto dai vendor.
“I dati, rappresentano il cuore di ogni azienda e perderli significa subire un danno economico – sottolinea Stefania Prando, Business Sevelopment manager di Kingston Technology –. Se le organizzazioni iniziassero sempre più ad adottare un approccio proattivo verso la sicurezza informatica, investendo non solo in prodotti ma anche in formazione interna finalizzata a trasmettere conoscenze, competenze e consapevolezza, il rilevamento e la deterrenza delle minacce interne diventerà una procedura più semplice, portando ad una evidente diminuzione del rischio”.
“Mentre ci sforziamo di rendere il mondo un posto più sicuro ed equo, le aziende hanno la responsabilità nei confronti dei propri clienti, partner e utenti finali di implementare le giuste pratiche per garantire la protezione della loro privacy e dei loro dati – dichiara Tim Wade, deputy chief technology officer di Vectra AI–. Nel corso dell’anno appena cominciato, le aziende dovranno confrontarsi con aspettative più alte e dimostrare il proprio impegno nell’implementazione di misure complete e funzionali alla salvaguardia dei dati”.
“Le organizzazioni non dovrebbero mai dover scegliere tra privacy e sicurezza dei dati”, afferma Christian Morin, chief security officer di Genetec, che suggerisce alle imprese alcune pratiche basilari come “raccogliere e conservare solo le informazioni essenziali, limitare l’accesso ai dati sensibili, garantire la privacy senza compromettere le prove, scegliere un fornitore affidabile per l’archiviazione dei dati, stabilire rigide linee di condotta”.
“Siamo nel bel mezzo di un boom dell’intelligenza artificiale, con l’AI Generativa che promette di portarci in una nuova era di produttività e sviluppo. Tuttavia, i timori sono ancora molti, in particolare sul suo utilizzo responsabile – dichiara James Fisher, chief strategy officer di Qlik –. Ci sono rischi, infatti, legati alla violazione della privacy dei dati e del consenso individuale quando si tratta di quei dati su cui vengono costruiti gli algoritmi dell’intelligenza artificiale. La fiducia nella AI Generativa è fondamentale affinché questa tecnologia venga adottata dalle aziende. Con il rischio di disinformazione, l’uso di deepfake e altro ancora, sarà necessario un maggiore sforzo per costruire questa fiducia”.
“Nel 2024, la consapevolezza generale della preparazione informatica avrà la precedenza – è la previsione di Dave Russell, VP of Enterprise Strategy at Veeam “Le minacce informatiche come il ransomware giocano un ruolo fondamentale nella capacità delle organizzazioni di mantenere al sicuro i propri dati. Sapendo quanto sono diventati pubblici gli attacchi (il 76% delle organizzazioni attaccate almeno una volta nell’ultimo anno – Veeam Data Protection Trends report 2024 ) e considerando le richieste dei consumatori di una maggiore trasparenza sulle misure di sicurezza aziendali, nel 2024 si prevede una maggiore consapevolezza sul ransomware“.
© RIPRODUZIONE RISERVATA
