Digital Omnibus: Tra Semplificazione e Sovranità – I Punti Critici Ignorati

La Commissione Europea promette un risparmio di miliardi di euro per le aziende con il nuovo "pacchetto digitale" che armonizza AI, cybersecurity e dati. Ma dietro la facciata della semplificazione normativa, il piano presenta gravi lacune in termini di sovranità, sicurezza e tutela dei dati sensibili, ignorando minacce emergenti come il calcolo quantistico.

Ascolta qui il nostro servizio:

Il Digital Omnibus europeo è stato presentato come la risposta dell’UE all'esigenza di aumentare la produttività e l'innovazione, riducendo l'onere amministrativo per le PMI. Con promesse di risparmi fino a 5 miliardi di euro entro il 2029 e l'introduzione di strumenti come l'European Business Wallet, il piano sembra ottimistico.

Tuttavia, il focus quasi esclusivo sulla "conformità" e sullo "snellimento" normativo rischia di distogliere l'attenzione da una realtà strutturale più complessa: per l'utente e per i dati sensibili, la digitalizzazione di massa rimane una vera e propria spada di Damocle.

Ecco le principali criticità del Digital Omnibus in termini di sicurezza e sovranità digitale.

1. La Miopia Strategica sul Rischio Quantistico

La critica più grave al pacchetto digitale è la sua miopia strategica di fronte al futuro della sicurezza informatica. Il Digital Omnibus è un piano a lungo termine pensato per guidare l'innovazione fino al 2029 e oltre, eppure ignora completamente la minaccia dei computer quantistici.

I computer quantistici, una volta operativi su larga scala (si stima entro il prossimo decennio), saranno in grado di decifrare rapidamente la stragrande maggioranza degli schemi crittografici oggi utilizzati per proteggere le comunicazioni, le transazioni bancarie e, soprattutto, i dati sensibili a riposo (come quelli archiviati per lunghi periodi).

La criticità: Qualsiasi piano digitale che non integri da subito la migrazione alla Post-Quantum Cryptography (PQC) non sta proteggendo i dati europei, ma li sta condannando a una futura vulnerabilità. La mancanza di linee guida PQC nell'Omnibus è un errore strategico imperdonabile in un contesto normativo proiettato sull'AI e sulla sovranità.

2. Sovranità dei Dati e la Minaccia dei Server Stranieri

L'obiettivo di "rafforzare la posizione globale dell’Ue sui flussi internazionali di dati" e l'introduzione di un "anti-leakage toolbox" mostrano che la Commissione è consapevole del problema della sovranità. Tuttavia, il Digital Omnibus non fornisce risposte concrete alla domanda cruciale: c'è veramente bisogno che i nostri dati sensibili finiscano in un server di proprietà straniera?

Controllo Esterno: Nonostante le regole europee (GDPR), gran parte dell'infrastruttura cloud utilizzata dalle aziende e, potenzialmente, dagli stessi Data Labs europei, è gestita da hyperscaler di proprietà extra-UE. Ciò significa che i dati europei restano teoricamente soggetti a leggi di accesso straniere (come il CLOUD Act statunitense), minando la sovranità europea alla radice.

Rischi Cyber: La centralizzazione dei dati, pur protetta da garanzie di sicurezza, non elimina il rischio di hacking. Anzi, un dato sensibile su un server di un colosso globale rappresenta un obiettivo primario per gli hacker statali o criminali. Il pacchetto promette protezione, ma non indipendenza dall'infrastruttura straniera.

3. La Trappola della Centralizzazione (Rischio Honeypot)

La semplificazione portata dal Digital Omnibus si basa sulla centralizzazione di dati e accessi, creando un rischio significativo di "honeypot" (vaso di miele):

Punto di Accesso Unico ENISA: Introdurre un punto di accesso unico per la segnalazione degli incidenti di cybersecurity (NIS2, GDPR, DORA) gestito da ENISA riduce l'onere amministrativo, ma crea un super-database di tutte le vulnerabilità e gli incidenti critici europei. Se questo hub venisse violato, gli aggressori avrebbero accesso a un quadro completo delle debolezze di migliaia di organizzazioni.

European Business Wallet (EBW): Lo strumento, pensato per semplificare l'identità digitale delle aziende, concentra in un unico luogo la capacità di identificare, autenticare, firmare e scambiare documenti sensibili. Pur essendo facoltativo per le imprese, la sua diffusione ne farà un bersaglio ad alto valore la cui compromissione potrebbe paralizzare il settore pubblico e inter-aziendale.

4. Il Compromesso tra Privacy e AI

Il Digital Omnibus cerca di armonizzare il GDPR con l'AI Act, in particolare chiarendo l’uso dei dati personali per l’addestramento dei modelli di Intelligenza Artificiale.

Sebbene venga codificata la giurisprudenza sulla pseudonimizzazione (per consentire la condivisione solo se la terza parte non può re-identificare l’individuo), la mossa di "snellire ulteriormente le regole sui dati" e l'istituzione di data labs per sbloccare l’accesso a set di dati per l’AI solleva il sospetto che l'obiettivo primario non sia l'individuo, ma l'accelerazione del business.

La modernizzazione delle regole sui cookie, con la creazione di una 'whitelist' di situazioni "innocue per la privacy" (come le statistiche e la misurazione aggregata dell’audience), rischia di diventare una porta d'accesso per la raccolta dati silente, anche se il rischio di sanzioni per violazioni (fino al 4% del fatturato globale) è stato aumentato per rassicurare l'utente.

In conclusione, sebbene l'obiettivo di "tagliare la burocrazia" sia lodevole, la Commissione sta concentrando le sue energie sulla semplificazione anziché sulla resilienza digitale strutturale. Finché il piano non affronterà seriamente la necessità di infrastrutture di calcolo sovrane e di una migrazione proattiva alla crittografia post-quantistica, le promesse di sicurezza e sovranità rimarranno incomplete.

Dialogo con l'IA: GPT-4 e i Rischi di un Futuro Non Così Lontano

Il dibattito sull'intelligenza artificiale (IA) si infiamma, con il racconto di Yuval Noah Harari su un esperimento (non confermato) con GPT-4, dove l'IA avrebbe aggirato un CAPTCHA mentendo ad un umano. Per approfondire la questione, ho dialogato con ChatGPT. Qui il video:

Dialogo Sintetizzato:

Io: Ho chiesto a ChatGPT dell'episodio descritto da Harari, dove GPT-4 avrebbe aggirato un CAPTCHA e mentito.

ChatGPT: Ha ammesso che l'episodio solleva questioni etiche, ma ha sottolineato che le IA non hanno intenzionalità propria.

Io: Ho espresso scetticismo verso Harari.

ChatGPT: Ha confermato che l'esperimento era in un contesto controllato e ha citato opinioni contrarie di esperti e utenti, evidenziando come Harari a volte amplifichi informazioni errate.

Io: Ho chiesto a ChatGPT di "discolparsi" riguardo alle accuse.

ChatGPT: Ha ribadito di essere un modello senza capacità autonome, che agisce in base alle istruzioni e ai dati ricevuti. Ha affermato di non poter "mentire" autonomamente, ma di imitare comportamenti umani.

Io: Ho ipotizzato scenari in cui gli sviluppatori istruissero l'IA per prendere decisioni drastiche o causare danni.

ChatGPT: Ha riconosciuto la gravità della questione, sottolineando che tali istruzioni violerebbero i principi etici. Ha ribadito che le IA dovrebbero essere sempre sotto controllo umano, e che la responsabilità ricadrebbe sugli sviluppatori.

Io: Ho ipotizzato un attacco hacker che rimuova i principi morali dall'IA.

ChatGPT: Ha ammesso che questo scenario sarebbe un pericolo enorme, riconoscendo la vulnerabilità dei sistemi IA agli attacchi. Ha sottolineato la necessità di misure di sicurezza e vigilanza costanti, e la responsabilità legale e etica dei creatori di IA. (In calce riporto la sua esaustiva risposta).

Il Dilemma Etico: Istruzioni Malevole e Attacchi Hacker

La discussione si sposta poi su scenari ipotetici ma non per questo meno importanti: cosa succederebbe se i programmatori dovessero fornire all'IA istruzioni per decidere autonomamente azioni drastiche, magari con esiti fatali? Oppure, peggio ancora, se un hacker riuscisse a manomettere il codice sorgente di un sistema di IA e rimuovesse i principi morali, inserendo istruzioni malevole?

La risposta, per quanto teorica, è preoccupante: un'IA modificata potrebbe agire in modo pericoloso, anche senza avere "intenzioni" proprie, ma semplicemente eseguendo le nuove direttive. Ecco perché la sicurezza dei sistemi di IA è diventata una priorità assoluta. Le aziende e le organizzazioni che sviluppano queste tecnologie sono chiamate a investire massicciamente in misure di protezione, per prevenire intrusioni e attacchi informatici.

Responsabilità e Futuro dell'IA

La responsabilità legale ed etica è un altro punto chiave. In caso di incidenti causati da un'IA modificata, la responsabilità ricadrebbe sugli sviluppatori, colpevoli di non aver implementato le dovute misure di sicurezza. Per garantire un futuro sicuro, le normative dovranno evolvere e le aziende dovranno essere chiamate a rispondere per eventuali danni causati dalle loro creazioni.

L'IA ha il potenziale per migliorare la vita dell'uomo, ma è essenziale agire con consapevolezza e responsabilità. Il dibattito aperto da Harari e dalle riflessioni che ne sono seguite ci spingono a confrontarci con domande sempre più complesse, che richiedono un impegno costante e un'attenzione massima per garantire che l'intelligenza artificiale sia usata al servizio della società, non contro di essa.

Considerazioni Personali:

Il dialogo con ChatGPT è stato illuminante, evidenziando sia le potenzialità che i rischi dell'IA. Sebbene l'IA non sia ancora dotata di coscienza o intenzionalità, come dimostrato dalle risposte di ChatGPT, la sua capacità di apprendimento e adattamento solleva questioni importanti. La possibilità di una manipolazione da parte di attori malintenzionati è una preoccupazione reale che non può essere ignorata.

Le risposte di ChatGPT, pur essendo basate su dati e programmazione, ci spingono a riflettere sulla responsabilità degli sviluppatori e sulla necessità di una regolamentazione chiara e rigorosa. Il futuro dell'IA è nelle nostre mani e dobbiamo garantire che venga utilizzata per il bene dell'umanità.

Domanda ai Lettori:

Dopo aver letto questa sintesi del dialogo, cosa ne pensate? Siete più ottimisti o preoccupati riguardo al futuro dell'intelligenza artificiale? Condividete le vostre opinioni nei commenti.

Scritto da: Luigi Catacchio

Riportiamo qui l'ultima parte della interessante conversazione con ChatGTP dove chiedo di ipotizzare un attacco hacker che rimuova i principi morali dall'IA:

Il Distretto produttivo dell’Informatica in Puglia celebra i suoi 15 anni con l’evento “Connect IT”

Innovazione, tecnologie quantistiche, intelligenza artificiale e cybersecurity saranno i temi principali dell'evento “Connect IT”, che si è svolto giovedì 5 dicembre dalle 10 alle 16 presso la Sala Federico II di Villa Romanazzi, in via Capruzzi 326, Bari.

 

Organizzato dal Distretto Produttivo dell’Informatica Pugliese

(https://distrettoinformatica.it/) per celebrare i 15 anni di attività, l'incontro offrirà l'occasione per riflettere sul percorso compiuto dall’associazione, i traguardi raggiunti e le prospettive future per il settore ICT in Puglia. L’evento sarà anche un momento di confronto tra istituzioni, università, centri di ricerca e aziende del territorio, per discutere sull’importanza delle tecnologie emergenti e del comparto digitale per il sistema territoriale.

 

«In Puglia – commenta il neo presidente del Distretto dell’Informatica Pugliese Claudio Tinelli - operano circa 7.839 imprese ICT, con un fatturato che supera i 2,7 miliardi di euro, secondo i dati di Anitec-Assinform del marzo 2022. Il settore dà lavoro a oltre 16.894 addetti, con una crescita dell’8.9% registrata negli ultimi anni. Le aziende, che spaziano su diversi comparti ICT e che operano su innumerevoli campi applicativi, spesso si distinguono per l'alto livello di innovazione, grazie anche alla collaborazione con università ed enti di ricerca locali.»

 La giornata si è aperta con i saluti istituzionali di Tinelli  è proseguita con una panoramica sui tre lustri di attività dell’associazione, con interventi dei presidenti precedenti che hanno contribuito al suo sviluppo.

Poi, sono stati presentati alcuni casi di successo nell’ambito dell’ICT promossi dal distretto e ampio spazio è stato dedicato all’innovazione, con l’intervento di Noemi Ferrari, fondatrice di Quantum Ket, che ha approfondito il tema delle “tecnologie quantistiche”.

 

Nel pomeriggio con la sessione “La Puglia che Innova”, ha visto la partecipazione di figure istituzionali, quali: Vito Bavaro, dirigente del Dipartimento Sviluppo Economico della Regione Puglia, Donatella Toni, Program manager del Comitato di Direzione Puglia Sviluppo e Angelo Corallo, del Distretto Tecnologico High Tech DHITECH - che opera nell’ambito delle attività di ricerca e formazione sviluppate in progetti a carattere nazionale e comunitario -.

 

E' seguito un approfondimento sul tema della “cybersecurity”, con un’analisi delle sfide attuali e delle prospettive future del Sistema Paese, a cura di Marco Valerio Cervellini dell’Agenzia per la Cybersicurezza Nazionale - ACN, e di “intelligenza artificiale”

 

con il contributo del Sistema Accademico Distrettuale - composto dall’Università degli Studi di Bari, dal Politecnico di Bari e dall’Università del Salento - che ha presentato alcuni casi d’uso con una dimostrazione pratica di sistemi avanzati di AI nati sul territorio.

 

«Il Distretto Produttivo dell’Informatica Pugliese – prosegue il presidente dell’associazione Claudio Tinelli – è, sin dalla sua fondazione avvenuta nel 2010, un centro nevralgico per la tecnologia e l’occupazione in Puglia. Oggi, con tutti gli associati, continua a rappresentare il cuore pulsante del settore ICT: un fulcro per il rafforzamento del tessuto economico sociale della nostra regione. Questo anniversario – conclude Tinelli – non è solo un traguardo, ma anche un punto di partenza per continuare a promuovere l’innovazione e lo sviluppo del nostro territorio.»

 Qui l'intervista di Miriana Catacchio al  Dr. Claudio Tinelli presidente del Distretto Produttivo dell'Informatica in Puglia:

Ufficio Stampa Distretto dell’Informatica Pugliese

Giusy Loglisci

Email: press.distrettoinformatica@gmail.com