Il fatto è noto: venerdì un baco del software di sicurezza di Crowdstrike, legato all’aggiornamento per Windows, ha mandato in tilt sistemi di banche, borse, aeroporti, media, provider, ospedali che utilizzano il sistema operativo di Microsoft. Un danno su larga scala, dall’Italia (Ita Airways ha lasciato a terra 60 aerei tra Milano e Roma) agli Stati Uniti (United, Delta e American Airlines hanno cancellato 2mila voli in entrata e in uscita) passando per l’Australia (stop delle compagnie Virgin e Qantas).
E così, di punto in bianco, siamo tornati attenti alle nostre storiche fragilità. Legate al software. Agli aggiornamenti. Alla quotidianità del lavoro che non parla ancora di intelligenza artificiale ma che fa affidamento a sistemi operativi, update, software di sicurezza. Da quando faccio questo lavoro il secondo martedì del mese ha un appuntamento fisso: la notizia delle patch di sicurezza rilasciate da Microsoft per i suoi sistemi, perché si sa quanto siano necessari. Ed è sempre stata una notizia attesa, che ha perso il suo fascino in tempi di cloud – arrivato molto dopo rispetto ai martedì delle patch – perché le aziende nella logica di utilizzare la tecnologia come un servizio, as a service, si sentono sempre al passo con l’ultima novità, l’ultima protezione.
Ma a quanto pare la fragilità è dietro l’angolo, in una società dove tutto è governato dal software, dal digitale. E l’evento scatenatosi venerdì – con code nei disservizi anche nel weekend – ci riporta con i piedi per terra.
Perché non si è trattato di un errore legato all’intelligenza artificiale (parliamo tutti dei bias che l’AI può provocare, la normiamo, la limitiamo). Non si è trattato di un attacco hacker, di bande criminali ben strutturate. Non è stato un mancato aggiornamento di Microsoft sul suo sistema operativo Windows.
E’ stato semplicemente – e dico semplicemente per sottolinearne la banalità – un errore di aggiornamento di un software. Una banalità che non diminuisce le responsabilità. Ed è questo il punto vero della questione.
Crowdstrike ha ammesso che il proprio software di sicurezza Falcon Sensor ha smesso di aggiornarsi in modo corretto per un errore di configurazione, provocando il blocco dei pc Windows sui quali era installato. Il Ceo dell’azienda (George Kurts) si è scusato.
Microsoft ha risposto subito annunciando azioni di mitigazione per far fronte al problema sui sistemi e aiutare gli utenti.
Ma bastano le scuse e le azioni di mitigazione? Certo la legge impone alle software house di stare attente a non causare danni con i loro prodotti (ci mancherebbe), ma quando gli imprevisti si verificano – e si verificano come abbiamo appena visto – cosa sarebbe giusto pretendere da chi ha causato il danno? Si sentono sanzioni per abusi di posizioni dominanti, per violazioni di privacy, per mancato rispetto delle normative (le ultime riguardano il Digital Markets Act o l’AI Act europei) ma non ricordo multe esemplari per questi errori o risarcimento dei danni. Forse ho la memoria corta anche se ricordo i martedì delle patch. Siamo davvero tutti severi (giustamente) nel capire e normare l’impatto dell’AI su vita, aziende, Paesi, mi pare lo siamo meno nel frenare danni che oggi intralciano la nostra quotidianità.
© RIPRODUZIONE RISERVATA