di Francesco Pagano, Consigliere Aidr e Responsabile servizi informatici Ales spa e Scuderie del Quirinale

Una parte fondamentale del piano Next Generation EU riguarda la digitalizzazione e, in particolare, il processo di ammodernamento a livello di Pubblica Amministrazione e istituzioni pubbliche. Nel settore culturale, questa prospettiva rappresenta sicuramente un’opportunità per accelerare (in alcuni casi avviare) l’introduzione di sistemi informatizzati per una migliore gestione del patrimonio, dei siti e della fruizione da parte de cittadini. Un’ottima notizia, che apre però a una serie di preoccupazioni.

 Il rischio, infatti, è che in assenza di una accurata pianificazione l’occasione vada sprecata. Se l’obiettivo è quello di creare un sistema ampio e condiviso, la definizione delle strategie per la digitalizzazione nel settore culturale richiede di partire da una prospettiva che metta come priorità assoluta la sicurezza.

Dalla privacy alla resilienza ai cyber attacchi

A imporre una particolare attenzione per la cyber security nella pianificazione delle infrastrutture digitali sono due elementi. Il primo è legato al concetto di privacy e tutela dei dati dei cittadini. Uno degli ambiti di applicazione delle nuove tecnologie nel settore culturale, e in primis in quello museale, è quello della fruizione da parte del pubblico. La gestione delle prenotazioni e degli accessi comporta necessariamente il trattamento di dati personali. Un’attività estremamente delicata, che richiede la predisposizione di standard rigorosi e procedure che consentano di assicurare l’integrità dei dati trattati. 

Non solo: l’utilizzo di strumenti di comunicazione “smart”, come la realtà aumentata, comportano forme di interazione con gli stessi dispositivi utilizzati dai visitatori per accedere ai contenuti digitali. In altre parole, gli amministratori dei sistemi digitali si troveranno a gestire quotidianamente una rete estremamente estesa e mutevole, in cui la gestione della sicurezza rappresenta una priorità assoluta. In condizioni del genere, infatti, gli effetti di un cyber attacco possono avere conseguenze estremamente gravi.

Dietro le quinte: garantire l’integrità del sistema

La precondizione per un efficace utilizzo dei sistemi digitali è la creazione di un sistema a livello nazionale che consenta l’aggregazione e l’analisi dei dati disponibili su larga scala. In altre parole, la massima efficacia del processo di digitalizzazione si ottiene nel momento in cui ogni soggetto si trasforma in un “nodo” che consente di mettere in comune i dati e di accedere al resto della rete. Un concetto che può apparire persino ovvio, ma che nel panorama attuale pone una serie di problemi sotto il profilo della cyber security. La mappa degli istituti museali nel nostro paese, infatti, è estremamente variegata e comprende, accanto a eccellenze che hanno investito in risorse e competenze per garantire la sicurezza dei sistemi informatici, molte (troppe) realtà che scontano un pesante ritardo in questo senso. 

Affidandoci alla teoria per cui il livello di resilienza complessivo di una rete è pari a quello del suo punto più debole, il problema diventa evidente. Prima di raggiungere l’obiettivo di una gestione condivisa ed estesa dei sistemi informatici, sarà necessario assicurare un livello adeguato di sicurezza di tutti i nodi che fanno parte della rete. Un obiettivo, questo, che allo stato delle cose appare utopistico. Un possibile approccio al processo, di conseguenza, può essere quello di un’implementazione per gradi, che preveda la precisa definizione degli standard che gli enti devono sodisfare per poter “entrare” nel sistema.

L’importanza del fattore umano

A definire il successo di questo percorso saranno, oltre alle risorse stanziate, le modalità con cui verrà predisposto il quadro di cyber security nell’ambito culturale. Se l’implementazione di strumenti tecnici adeguati rappresenta il primo e più ovvio adempimento per centrare l’obiettivo, il vero discrimine riguarda la capacità di dotare tutti gli operatori del settore di quelle competenze che consentono un utilizzo consapevole degli strumenti informatici e, di conseguenza, il rispetto delle procedure di sicurezza. Si tratta di un compito di medio-lungo termine, che è bene approntare al più presto. Nel farlo, infine, sarà necessario tenere conto da subito delle previsioni che emergeranno nella nuova versione della direttiva europea e-Privacy, oggetto di negoziato proprio in queste settimane. Lavorare su un orizzonte diverso, infatti, ci esporrebbe al rischio di dover rifare tutto da capo.

 Meglio, per una volta, pensarci prima.