L’intervista: Alessandro Trivilini

Intervista ad Alessandro Trivilini, esperto di informatica forense e docente ricercatore presso il Dipartimento tecnologie innovative della SUPSI

Buongiorno Sig. Trivilini, col 2020 ormai alle porte, come vede il presente, rispettivamente futuro,tecnologico a livello globale; verso quale rive stiamo navigando?

Alla soglia del 2020 siamo di fronte ad importanti cambiamenti di carattere strutturale, che toccano da vicino tutta la società. Parliamo quindi del settore economico, formativo, sociale e tecnologico. Abbiamo la fortuna di raccogliere e vivere sulla nostra pelle molti frutti di investimenti fatti con grandi sforzi nei decenni precedenti, in ambito tecnologico, ma ci siamo fatti trovare impreparati da un punto di vista comportamentale, legale e soprattutto umano. Da sempre l’economia ha guardato alla politica per affrontare il futuro attraverso investimenti e scelte strategiche importanti; ebbene, oggi le dinamiche sono cambiate. L’economia guarda sì alla politica, ma la politica per decidere guarda al mondo tecnologico, fatto da un oligopolio che attraverso la profilazione dei dati di massa ha il pieno (o quasi) controllo delle persone, dei loro gusti e dei loro comportamenti. Ed è proprio qui che ci siamo fatti trovare impreparati. La politica, i cittadini e anche molte aziende hanno trascurato l’impatto che il valore economico dei dati potesse avere sulle scelte quotidiane, sociali e culturali. Oggi i buoi sono fuori dal recinto, ma le opportunità da cogliere sono moltissime. Credo fermamente che non siamo più nell’era tecnologica, quella ormai è matura e pronta, bensì in quella antropologica in cui politica, società e cittadini devono trovare nuove regole di convivenza con tecnologie sempre più invasive, invisibili e capaci di condizionare in tempi non sospetti i comportamenti di noi esseri umani. Dobbiamo investire nella formazione continua, in forma interdisciplinare, valorizzando la cultura scientifica e l’attitudine che da sempre ci distingue come Paese in tutto il mondo.

E ragionando invece più in piccolo, la Svizzera come crede si presenterà all’appello?

La Svizzera è un piccolo grande hub al centro dell’Europa, e in un mondo sempre più multipolare potrebbe conquistarsi un ruolo centrale come “mediatore” scientifico-tecnologico. Abbiamo due tra i politecnici migliori del mondo, abbiamo studenti che parlano 4 lingue e un’attitudine molto positiva verso lo studio, l’apprendimento, l’apprendistato e l’innovazione in generale. Ci sono ancora molti aspetti strutturali che aspettano di essere rinnovati, ma non possiamo aspettare che il cambiamento arrivi magicamente dall’alto. Mai come ora la partecipazione di ogni cittadino è fondamentale per traghettare e plasmare a nostro piacimento questo straordinario periodo storico. Fare la battaglia alle nuove tecnologie, penso al 5G, non ha alcun senso. Porre le giuste domande invece, per capire e sostenere, alimenta un dibattito positivo che può portare a grandi vantaggi, benessere e prosperità per tutti. Ma perché questo avvenga, ognuno di noi nel suo piccolo deve rimboccarsi le maniche, informarsi, studiare e partecipare in continuazione, perché se non lo facciamo noi ora lo farà l’intelligenza artificiale in un futuro non molto lontano, capace di decidere in modo autonomo stereotipando il nostro comportamento sociale (gusti, emozioni), perché lei, rispetto a noi umani, non deve dormire, mangiare o litigare con il 5G. Non so se mi spiego…

Per Lei cosa significa “digitalizzazione”?

Il termine digitalizzazione è stato ampiamente abusato nei mesi scorsi, associandolo spesso alla percezione che una nuova piattaforma da sola potesse arricchire tutti velocemente. Niente di più falso. Dobbiamo uscire una volta per tutte dal limbo della “sexybility” della tecnologia, fatta da termini sexy ma fritti, per collocare il termine digitalizzazione a qualcosa di più profondo, pragmatico e strutturale. Digitalizzazione non significa usare una nuova piattaforma, bensì cambiare i processi di produzione e di gestione affinché, a posteriori, con la giusta applicazione si possano trarre dei vantaggi produttivi e operativi. Sembra un paradosso, ma nella trasformazione digitale le nuove tecnologie vengono posizionate all’ultimo stadio di una filiera molto complessa. Diventano commodities (tools) al servizio dei nuovi processi. E non il contrario. Questo porta inevitabilmente ad un rinnovamento aziendale non sempre facile, perché prevede una certa resilienza personale e culturale di tutte le persone coinvolte, affinché il cambiamento non diventi controproducente o addirittura fonte di continui conflitti e litigi. Ecco perché i tempi della digitalizzazione non possono e non devono essere immediati come qualcuno può pensare. Inoltre, in tutto questo, cambia anche il concetto di fiducia, la quale deve contemplare nel cambiamento nuovi paradigmi fortemente condizionati dall’inserimento di nuove tecnologie e dal riposizionamento (non licenziamento!) delle persone coinvolte lungo tutta la filiera produttiva aziendale.

Digitalizzare la documentazione ha chiaramente aspetti positivi (tempistiche, ecologia, sicurezza); da esperto in sicurezza informatica, come può un’azienda che vuole digitalizzarsi, diminuire i rischi di attacchi informatici e di diffusione di dati sensibili? 

Il tema della sicurezza è sicuramente un aspetto centrale della digitalizzazione. I dati oggi hanno un valore strategico importante e devono essere trattati secondo certi regolamenti, framework e decreti, che portano a nuove responsabilità e che in passato non esistevano. L’approccio alla sicurezza dei dati sensibili e delle infrastrutture critiche deve cambiare il suo paradigma, non può più essere focalizzata solo all’installazione e all’aggiornamento di antivirus e firewall, ma deve inserirsi in un nuovo processo interdisciplinare, da gestire e considerare sin dalla prima fase di progettazione (security by design). Questo significa che dal primo istante in cui penso ad un prodotto o ad un servizio aziendale, devo pensare anche alla gestione della sicurezza, come fosse un processo continuo che cambia forma passando di fase in fase nell’arco della sua realizzazione. In questo modo i vantaggi saranno molteplici e la sicurezza finalmente potrà uscire dalla gabbia dei “costi” per ritrovarsi magicamente nel prato verde degli investimenti. Cosi facendo la gestione dei rischi cyber cambia la sua natura e il suo impatto, lasciando ampio spazio di manovra alla formazione continua di tutti gli impiegati aziendali, i quali saranno confrontati con nuove forme di responsabilità.

Mobile Device Management, autenticazione a due fattori, ransomware e chi più ne ha più ne metta: stiamo assistendo ad una rivoluzione globale nell’ambito della sicurezza dove il termine cybercriminal è oramai parte della nostra quotidianità lavorativa. Proprio recentemente vi sono stati dei casi di aziende messe in ginocchio da questi attacchi, talvolta prevedibili. Cosa si sente di suggerire ad un’azienda per poter affrontare in modo proattivo tali tipi di exploit? 

Ci sono due suggerimenti da formulare: il primo è partire dal presupposto che presto o tardi l’azienda potrebbe subire un attacco informatico, è quindi è solo un questione di tempo; mentre il secondo è pensare come un hacker (che non è un cyber criminale), ossia una persona con una forma mentis brillante capace di trovare soluzioni tecniche e creative interessanti. Queste due condizioni consentono di posizionarsi in uno scenario reale per trovare le giuste e proporzionate attività da intraprendere per mettere adeguatamente in sicurezza l’infrastruttura critica aziendale e i dati sensibili. Tengo a precisare, contro il mio interesse, che i costi post incidente di un attacco informatico, quando i tecnici forensi entrano in gioco, sono almeno due volte e mezzo superiori agli investimenti mancati in termini di preparazione all’incidente informatico. Speculare nel dire “tanto a noi non succederà mai”, oppure “noi siamo un’azienda piccola e quindi immune da questi scenari” è la miglior condizione per rendere vulnerabile la propria azienda. Il fattore umano è e sarà per molto tempo la leva determinante, per questo la formazione continua dei tecnici aziendali non deve essere trascurata, e la comunicazione interna deve evolvere per incrementare la capacità di reazione e rilevazione degli incidenti. La cyber criminalità è sempre più organizzata, disciplinata e dispone di numerose risorse, tutti elementi da non trascurare per affrontare un contesto in grandissima evoluzione e di una certa complessità come la sicurezza cibernetica.

Introduciamo un argomento che scorre su binari paralleli, la blockchain. È una parola di moda oggi, cos’è e quali cambiamenti radicali dovrebbe comportare nei flussi di lavoro quotidiani? 

Questo è un altro termine da ricondurre alla “sexybility” della tecnologia. Tutti ne parlano ma poi fatica ad esplodere. In breve, la blockchain è un registro distribuito che consente di tracciare le attività che noi umani desideriamo registrare durante il giorno, affinché il loro valore rimanga immutato nel tempo. Anche in questo caso il fenomeno non è più di carattere tecnologico, questo è ormai maturo. Pensiamo che la blockchain è ampiamente usata dal 2008 nel Dark Web per la compravendita di prodotti illeciti da parte della cyber criminalità. E tecnicamente funziona molto bene, non c’è alcun dubbio. Ma allora, perché fatica a emergere? Semplice, perché contrariamente al Dark Web, dove le regole non esistono, nessuno vuole conoscersi e nessuno deve sottostare ad alcun regolamento, nelle attività ordinarie della nostra società civile e imprenditoriale gli organi preposti a conoscere, legiferare e regolamentare queste nuove tecnologie hanno bisogno di tempo per farlo correttamente. Il concetto di fiducia è centrale e i tempi necessari per mettere d’accordo “domanda e offerta” non sono immediati. Gli interessi sono diversi e diversificati. Serve il tempo tecnico per creare la struttura legale e sociale afnché queste nuove tecnologie possano essere usate in sicurezza e legalità con le giuste garanzie e responsabilità. Questo spiega il motivo principale per cui stenta a esplodere. Pensiamo al campo “fintech” (tecnologia al servizio della finanza NdR.), ormai obsoleto. Oggi siamo nel campo “RegTech”, dove leggi, decreti, e regolamenti cercano in molti modi di governare queste nuove tecnologie, con il rischio di ridurre fortemente i loro superpoteri naturali. Serve una nuova concezione di fiducia e di relazione, affinché possano essere messe in condizione di dare il loro meglio, tecnicamente parlando. In altro modo, rimarranno nel limbo della “sexybility” e sarebbe davvero un gran peccato per tutti.

Se ogni transazione è garantita dalla catena, non avremo più bisogno di controlli umani? 

No, questa è un’altra bufala da smentire. Introdurre la blockchain non significa eliminare l’intervento umano, anzi. Con la blockchain cambiano i processi e quindi le attività delle persone, che a loro volta vengono riposizionate (non licenziate!) in altre zone della filiera produttiva dove il loro contributo in termini di esperienza e fattore umano risulti ancor più importante e necessario, e venga utilizzato per migliorare la qualità del prodotto finale.

Possiamo dire che ormai è più sicuro dimenticare la porta di casa aperta che lasciare un pc o una rete senza protezione? 

Sì, direi di sì. Potremmo anche dire che la miglior strategia per nascondere o proteggere qualcosa è renderla visibile o accessibile. Scherzi a parte, stiamo affrontando un periodo storico davvero eccezionale, caratterizzato da molti fenomeni nuovi, che disorientano chi deve decidere (politica), chi deve produrre benessere (aziende) e chi deve partecipare attivamente con i proprio contributi (cittadini). Mai come ora vi sono così tante variabili che cambiano e mai come ora nessuno ha mai fatto un giro di vita “digitale” per poter dire quale sia la strada giusta. La realtà indica che di soluzioni precotte non ce ne sono, ma insieme tra pubblico e privato si possono cogliere nuove opportunità fondate su un nuovo concetto di condivisione, fiducia e partecipazione, in cui niente deve essere dato per scontato. È in questa prospettiva che la sicurezza offre un ottimo spunto di riflessione: attenzione a non isolarsi e a non abbassare la guardia, perché è sufficiente un solo elemento debole della catena per compromettere la sicurezza di tutta la catena. Dobbiamo investire nella formazione continua, nella condivisione di buone pratiche ed esperienze per ridurre i tempi necessari per preparare adeguatamente la nuova società digitale, fatta sicuramente di molteplici opportunità che sono in attesa di essere colte.

Si sente spesso accostare il termine “digitalizzazione” al taglio di posti di lavoro, come se questo processo dovesse sostituire l’uomo. Secondo lei lo “human factor” rimarrà invece imprescindibile? 

Lo “human factor” non solo rimarrà imprescindibile, ma addirittura diventerà determinante se ben gestito, preparato e collocato in azienda e nella nuova società digitale. Oggi tutti rivendicano di saper girare “una vite” perché credono di aver studiato nelle migliori università del mondo, il che potrebbe anche essere in parte vero ma non più sufficiente. In futuro queste dinamiche dovranno affrontare una sorta di selezione naturale, in cui non conterà più solo il titolo di studio, ma la differenza la farà l’attitudine personale e culturale di fronte alla risoluzione di un nuovo problema. E con nuove generazioni cariche a pallettoni di aspettative non sarà cosa facile dar loro uno stand di tiro conforme alle loro aspettative. Sarà sempre più importante saper dimostrare di saper girare la vite giusta al momento giusto e nel minor tempo possibile, il fatto “meccanico” di girarla è una lavoro a basso valore aggiunto che potrà essere delegato facilmente e a basso rischio a un robot. L’intelligenza artificiale non potrà mai, almeno per i prossimi cinquanta anni, riuscire ad interpretare un contesto e validare un risultato, un prodotto o un servizio in funzione di esso. L’interpretazione e la comprensione preliminare delle situazioni, ossia ciò che darà valore aggiunto alle soluzioni, passerà per molto tempo dalle mani dell’uomo. Il problema semmai è preparare i quadri aziendali affinché siano capaci e pronti a gestire questo cambiamento, senza ostinarsi a giocare al “manager” vecchio stile. E dall’altra parte, mettere i propri collaboratori nelle condizioni di capire che il cambiamento non significa perdere qualcosa, bensì rinnovarsi per poter stare nel mondo del lavoro, e questo a qualsiasi età.

Si parla da tempo di guida autonoma e sono già in atto progetti e sperimentazioni anche nel traffico pesante. Dal punto di vista della sicurezza, non solo stradale, quali aspetti saranno determinanti per una effettiva regolamentazione a livello legislativo (presupponendo se mai ci sarà… )?

Anche in questo caso bisogna fare una precisazione importante. La tecnologia per far girare autonomamente un’automobile per le strade è matura ormai già da qualche anno. Non è più una questione innovativa di carattere tecnologico, bensì sociale, legale, culturale e infrastrutturale. Se parliamo del traffico ordinario fatto da automobili credo che dovremo aspettare almeno una ventina d’anni prima di veder girare le auto da sole per i nostri paesi, valli e città, e questo perché la nostra struttura sociale, legale e comportamentale non è affatto pronta a rinnovarsi a tal punto da riscrivere le norme di comportamento e relazione tra uomo e robot. In altre città del mondo invece potrebbe avvenire più velocemente, ma credo che alle nostre latitudini se una persona oggi dovesse vedere per le strade un’auto senza autista, verosimilmente chiamerebbe la Polizia impaurita dicendo di aver visto un extraterrestre girare per le strade. Non siamo pronti. Serve un appiglio di alfabetizzazione digitale senza precedenti, speriamo arrivi presto. Altra cosa invece per i mezzi pesanti, qui credo che i trasporti possano trarre molti vantaggi dalle nuove tecnologie, a beneficio anche del clima, del traffico, della salute e degli autisti stessi. Costruire linee veloci per automezzi pesanti in gran parte autonomi potrebbe sicuramente essere un primo passo concreto, realizzabile in tempi brevi, per integrare un sistema ibrido di trasporto fatto da uomo-macchina e intelligenza artificiale.