Lo sviluppo delle tecnologie dell’informazione ha consentito la produzione di beni e servizi a costi sempre minori e dalle prestazioni e funzionalità sempre crescenti. In questo contesto si sono sviluppate tutta una serie di figure professionali che a vario titolo e con differente qualificazione professionale, danno il loro importante contributo. L’ICT ha però abbattuto ogni barriera geografica e ogni sistema di protezione dei dati e della persona tradizionali: il dato della propria carta di credito usato per pagare una cena in Italia il giorno dopo può essere usata per frodi negli USA; ed ancora,  passando da una consolle di videogiochi in Giappone posso generare migliaia di Carte di Identità vere intestate a persone inesistenti in Australia.

La sicurezza della persona è quindi messa in discussione quando si sta sotto un tetto pericolante ma anche quando, quotidianamente, si utilizza la tecnologia dell’informazione e della comunicazione. Può essere messa in discussione la sua sicurezza economica, la sua sicurezza sociale e anche la sicurezza fisica. Si pensi per l’aspetto economico alle frodi di cui quotidianamente si ha notizia per operazioni illegittime su conti correnti o con carte di credito, per la sicurezza sociale ai danni che derivano al cittadino dalla violazione di dati personali e sensibili, ma anche, e non va assolutamente sottovalutato, le conseguenze sulla sicurezza fisica. Si pensi a un impianto di domotica impazzito, a un guasto al sistema informatico di un ospedale, a un errore nel software che individua il ricevente ottimale per una donazione di organi.

Tutti questi aspetti necessitano di approfondita riflessione e va capito se e in che modo è necessario introdurre nel settore ICT specifiche norme a tutela della sicurezza delle persone.

Ad oggi, nell’attuale panorama normativo italiano le uniche figure professionali ICT sono:

• responsabile dei sistemi informativi automatizzati – art. 10 DLgs n. 39/1993,
• responsabile dell’accessibilità – art. 9 DPR 75/2005,
• amministratore di sistema – Provv. Garante della Privacy – GU n. 300 del 24/12/2008.

Nella normativa penale è presente la figura dell’operatore di sistema intesa come utente abilitato all’utilizzo di un sistema ma solo come aggravante nel caso di utilizzo improprio dello stesso.

In realtà la figura del Responsabile dei Sistemi Informativi e del Responsabile dell’Accessibilità nel settore privato non sono previsti in quanto richiamati in norma che si applicano esclusivamente alla PA.

La figura dell’Amministratore di Sistema è invece obbligatoria sia nel pubblico che nel provato ed è una figura centrale per garantire la privacy.

Tuttavia questa normativa non dà alcuna indicazione relativamente alla formazione, esperienza, titoli accademici o altro che le suddette figure devono possedere. E’ perciò demandato al singolo ente pubblico o privato la libertà di individuare la persona più idonea al ruolo.

Il primo intervento normativo che prevede specifici requisiti curriculari per le figure professionali del settore dell’informazione è il DPR 328/01 che all’art. 46 comma 2 regolamenta la figura professionale dell’Ingegnere dell’Informazione definendo oggetto dell’attività professionale “la pianificazione, la progettazione, lo sviluppo, la direzione lavori, la stima, il collaudo e la gestione di impianti e sistemi elettronici, di automazione e di generazione, trasmissione ed elaborazione delle informazioni.”.

In ogni caso ad oggi non vi è alcun provvedimento normativo o regolamentare che formalizzi, espliciti o rafforzi tale disposto.

Proprio per questo motivo il settore dell’ICT è una ampia arena nella quale l’ingresso di competitor è libero e la discriminante è il ribasso piuttosto che la qualità.

Ciò non è accettabile in un sistema sociale ed economico come quello attuale interamente basato sulle tecnologie della comunicazione e dell’informazione formato da innumerevoli piccoli sistemi fortemente interconnessi tra di loro e retti in una posizione di equilibrio altamente instabile e precario.

Non deve quindi sorprendere se passando dal cavo di una consolle di videogiochi in Giappone si riesca a svuotare il conto corrente di un utente italiano ovvero che il guasto di un piccolo gruppo di continuità possa arrecare danni a 10 milioni di siti internet.

Questo sistema che si è venuto a creare ha bisogno di un controllo che ad oggi manca e che deva valere sia a livello di controllo del singolo sistema (da quello più piccolo a quello più grande) sia a livello di interazione di sistemi.

Eppure l’uomo ha dimostrato in tante occasioni di essere in grado di progettare sistemi di telecomunicazione ed elaborazione dell’informazione sicuri: si pensi al sistema di controllo di un aereo o al sistema dei robot per interventi chirurgici.

È quindi necessario che questo sistema di puzzle infinito che si è venuto a creare venga normato da specifiche cogenti su ciascun singolo tassello. Ciascuna parte deve essere sicura se presa individualmente e deve essere sicura nel momento in cui la si inserisce nel puzzle unendola ad altri tasselli già presenti. Conseguentemente, anomalie in un tassello devono restare circoscritte allo stesso e non propagarsi ai tasselli vicini e poi ad altri ancora.

Per fare questo è necessario adottare adeguate metodologie di progettazione, implementazione, messa in esercizio e gestione di tutti i sistemi. Ciò richiede un impegno importante in termine di formazione e di aggiornamento professionale per poter sfruttare al meglio le più recenti tecnologie ed essere in ogni caso pronti ad accogliere le nuove soluzioni del futuro.  Ciò ovviamente ha dei costi ma che sono ampiamente ripagati dalla percezione di maggiore sicurezza.

Il paragone con un settore “maturo” dal punto di vista della sicurezza appare opportuno e necessario.

Tutti siamo in grado di disegnarci la casa come più ci piace ma poi ci rivolgiamo al professionista qualificato per effettuare gli opportuni calcoli ed essere certi che le mura e il solaio non crollino. In questo caso la percezione del tutto è di un investimento e non di un costo. Si sa che si sta costruendo qualcosa di importante che si vuole che duri nel tempo e quindi nulla osta a spendere di più per un ulteriore pilastro o per un solaio più spesso. Si distingue quindi tra la struttura che deve essere solida e quello che poi sarà il risultato finale dato da imbiancatura, controsoffitto ecc..

Nel caso della costruzione di un sistema di telecomunicazione e di elaborazione dell’informazione, invece, la percezione sociale che ne è data è di un semplice costo da minimizzare con grande importanza al layout grafico della soluzione proposta.

Va quindi compreso nella sua reale portata i rischi che le nuove tecnologie portano intrinsecamente e capire che la tecnologia deve in ogni caso garantire della libertà personale e della sicurezza della persona e della società.

Queste garanzie devono essere imprescindibili e devono essere assunte a vincolo incondizionato di progettazione, sviluppo e messa in esercizio di ciascun sistema di trasmissione ed elaborazione delle informazioni sia esso isolato o interconnesso ad altri sistemi.

Ciò vale sia per piccoli sistemi come può essere il dispositivo di pagamento POS di un supermercato sia al mega sistema di gestione dei certificati medici italiani.

Il sistema delle figure professionali ICT deve quindi conciliare la situazione di fatto che nel tempo si è creata consentendo l’ingresso e la crescita di soggetti dalle più svariate esperienze e competenze con la necessaria e doverosa esigenza di garanzie per il singolo e per la collettività.

Nella costruzione di una casa sono coinvolte svariate figure professionali, dai manovali che rispondono della corretta esecuzione delle indicazioni ricevute, ai loro responsabili che invece hanno una qualche autonomia decisionale purché nell’ambito dei vincoli progettuali assegnati. A un livello di responsabilità superiore sono i professionisti abilitati e poi ancora, nel caso di costruzioni non semplici, è necessario il professionista laureato. Ma la laurea e l’abilitazione non sono ancora ritenute socialmente sufficiente a garantire la sicurezza di persone se è vero che sono previsti registri speciali (antincendio, ecc.) per cui il professionista già laureato e abilitato vi accede solo dopo specifica formazione e previo esame.

Ecco, il sistema di garanzie per la collettività che esiste nel settore edile e che all’aumentare dei rischi della costruzione richiede per i responsabili maggiori requisiti accademici, formativi e professionali, nel settore ICT non esiste.

Quando un cittadino entra in una scuola sa che quell’edificio è stato progettato in modo sicuro, sa che vi è un piano di sicurezza, sa che ha un piano anti-incendio redatto e gestito da personale qualificato. Quando di entra in un sito, si accende il cellulare, si striscia la carta di credito in un POS, i dati della persona e la sua sicurezza fisica ed economica saltano nel vuoto. Sicuramente molti di questi vuoti saranno stati progettati e gestiti da persone capaci, tuttavia vi sono non pochi casi di prodotti/servizi che di vuoto hanno tutto.

Ma la scalabilità in ambito civile è ancora ampiamente prevista: uno stesso edificio ha bisogno di certificazioni e impianti specifici in relazione ad esempio al numero di persone in contemporanea che vi possono accedere.

Su una cassaforte vi è scritto un numero che indica quanti minuti può resistere ad un attacco ad esempio con fiamma ossidrica.

In un sistema di trasmissione ed elaborazione delle informazioni non so quanti utenti ci possono essere in contemporanea, non so quanto un sito può resistere ad attacchi, e soprattutto non ho garanzia della preparazione, competenza ed esperienza di chi ha progettato o gestisce il tutto.

È allora urgente un intervento normativo, regolamentare e deontologico finalizzato a prevedere anche nel settore ICT figure professionali specifiche in funzione di ciascun livello di responsabilità e di complessità del prodotto/servizio/sistema da progettare, realizzare o gestire non è più rimandabile.

E’ necessario adottare metodologie di valutazione del rischio che tengano conto dei rischi interni ed esterni di ciascun sistema e di ciascun servizio che ne è parte. È necessario adottare metodologie che quantifichino i disservizi e la criticità di ciascun sistema e di ciascun servizio in termini economici, umani e sociali. In relazione ai livelli di criticità è necessario imporre vincoli progettuali e gestionali.

In conclusione è necessario comprendere sino a fondo che la tecnologia non è una opportuna a sicurezza totale. La tecnologia può essere sicura ponendo dei vincoli. A criticità differenti vincoli progettuali differenti. A criticità gestionali figure professionali differenti.

Pensare che i requisiti minimi professionali e curriculari dell’amministratore di sistema di un centro bocciofilo con 10 soci siano gli stessi dell’amministratore di sistema di un comune, di un ministero, dell’INPS, di un ospedale o di ogni altra struttura pubblica o private con migliaia di sedi, utenti e servizi è non più sostenibile.