Articoli

Creare opportunità proteggendo l’ingegno e l’impresa è il leitmotiv che guida il mercato attraverso un labirinto che si divide tra cybersicurezza, intelligenza artificiale e privacy compliance.
Le imprese 5.0 hanno necessità di orientarsi in una dimensione sopraffatta da una iperconnettività che regola le leggi del mercato e che oggi impone una nuova etica che passa per la formazione e un trial normativo che arranca all’inseguimento delle applicazioni per la gestione e la tutela dei dati. Intelligenza artificiale e sicurezza informatica, come sopravvivere in una realtà sempre più complessa fatta di regolamenti sovrannazionali.
In questa giungla di informazioni e globalità in cui lo scambio culturale e scientifico è sempre più necessario per conquistare un posto nella nuova realtà economico finanziaria - virtuale e reale - Pierluigi Perri racconta uno scenario che propone soluzioni e traccia una road map che guarda oltre l’immediato e crea connessioni per lo sviluppo di competenze, tecnologie e impresa.

Professor Perri, oggi le imprese devono confrontarsi necessariamente con la tecnologia, l’innovazione e la tutela dei dati. Quanto è importante e quanto costa alle imprese sviluppare il proprio mindset per la crescita?
Siamo in un momento storico molto particolare perché c’è tantissima attenzione verso una modernizzazione dell’impresa, che sia in grado di cogliere le opportunità date dal digitale, questo fa parte di un pacchetto che l’Unione Europea sta sponsorizzando da diversi anni, che si muove su diversi piani. Un piano regolamentare: sono state promulgate moltissime leggi in questi anni specifiche sul digitale; un piano di supporto alle imprese per l’acquisizione di competenze e strumenti utili a cavalcare questa rivoluzione digitale che vede il suo picco nell’esplosione dell’intelligenza artificiale.

Quello che le imprese possono fare per creare delle connessioni e quindi sfruttare un po’ quest’onda di modernizzazione è innanzitutto quella di dare un valore ai propri dati, cioè riuscire a capire quanto valgono e quanto meritano di essere protetti i dati sui quali fondano le loro attività. È innegabile che ormai la maggior parte delle imprese per sviluppare, per accrescere il proprio business si basa sui dati. Possono essere i dati dei clienti, dati di prodotto, dati di analisi per sviluppare un prodotto. I dati sono fondamentali perché consentono una capacità predittiva sugli investimenti in termini di ricerca, di sviluppo e anche economici molto più oculati. Sotto questo aspetto però non siamo sufficientemente maturi per attribuire valore ai dati. Individuerei due categorie di attori principali in questo processo.

Da un lato gli attori istituzionali: il Garante per la protezione dei dati personali, l’Agenzia Nazionale per la Cyber Security, che si sono sempre mostrate, soprattutto quest’ultima, molto favorevole anche ad avere degli incontri con le imprese e le associazioni di categoria, ovviamente attraverso le camere di commercio. Dall’altro lato gli imprenditori, sottoposti ad una normativa che li tuteli. La novità è il processo di semplificazione che si sta strutturando a livello europeo, che pone un occhio di riguardo per le piccole e medie imprese.

La difesa degli asset aziendali è strategica e diventa quindi il core business di un pacchetto di semplificazioni che riduca gli obblighi di conformità mantenendo la sicurezza e riducendo i costi per l’impresa? E le piccole e micro imprese italiane quanto sono coinvolte in questa trasformazione?
Una delle proposte che quasi sempre salta fuori è l’idea di defiscalizzazione degli investimenti in ambito cyber security, in ambito protezione dei dati, non solo dei dati personali, ma parliamo proprio dei dati dell’impresa che hanno valori economici molto elevati. Questa potrebbe essere una strada, perché le istituzioni (Regioni o enti dello Stato), fatti salvi fondi speciali per sviluppare competenze specifiche, non riescono a sostenere le imprese che sono lasciate piuttosto sole. Inoltre le stesse istituzioni dovrebbero farsi carico di spiegare in maniera semplice gli adempimenti che una determinata categoria di imprese o un determinato livello di azienda, si trova a dover porre in essere.
Dall’altro lato è necessario studiare degli strumenti di accompagnamento delle imprese che al momento purtroppo non ci sono, se non per qualche iniziativa molto occasionale legata a determinate disponibilità di fondi. Quindi vista l’importanza del tema, sarebbe forse il caso di pensare a qualche progetto integrato e a diffusione nazionale, non a diffusione regionale o comunque localizzato un po’ nelle aree geografiche del Paese più industrializzate, perché altrimenti il rischio è di continuare a generare dei gap all’interno del Paese che non fanno sicuramente bene in un’ottica macroeconomica. Il processo di semplificazione deve rivolgersi proprio alle piccole medie imprese che devono percepirla come una opportunità. Prendiamo ad esempio l’esclusione delle piccole imprese dalla normativa NIS2, questa deve essere percepita come un’agevolazione economica (la sua applicazione sarebbe troppo dispendiosa in termini di energie e fondi) e non come un disinteresse ad attuare una politica di protezione dei propri asset che comunque è fondamentale. Buona parte degli attacchi informatici sono rivolti verso i grandi enti ma spesso vengono usati i piccoli enti, magari fornitori di un grande ente, per scalare e arrivare poi a colpire anche i sistemi informatici più grandi.

Quanto vale oggi il cybercrime in Italia e cosa si sta facendo?
A luglio ha fatto scalpore la notizia di una grande operazione internazionale di polizia che ha portato all’arresto di una gang criminale che faceva estorsioni bloccando il sistema informatico di aziende e chiedendo riscatti in criptovalute di varia natura. Questi cyber criminali erano specializzati proprio per colpire il tessuto delle piccole e medie imprese dell’area del nord Italia, quindi erano state moltissime le vittime, per cui possiamo immaginare che il cybercrime comporti danni per svariati milioni di euro. Ci sono stati altri due casi, anche questi piuttosto recenti dell’inizio dell’anno, dove addirittura due aziende, in conseguenza di un attacco informatico per il blocco dell’attività lavorativa, hanno dovuto mettere in cassa integrazione i loro dipendenti. Gli impatti sono di entità notevole. Una perdita di dati, una violazione, hanno un impatto economico che è non solamente diretto. L’impatto reputazionale è molto elevato, siamo in un momento storico dove la reputazione è diventata un po’ il criterio di scelta: tutti quanti analizzano le valutazioni di un’impresa o di un fornitore. La reputation è estremamente esposta, se prima si basava un po’ sul passaparola o sulla conoscenza specialistica di chi operava in un determinato mercato, adesso passa attraverso i social e il web. Una violazione dei dati ha un impatto maggiore che non si concretizza ‘solo’ con la fuga del cliente, ma molte volte ha degli effetti anche sul mercato, perché quel determinato fornitore viene visto come un fornitore non sufficientemente affidabile e quindi si innestano una serie di meccanismi tali per cui magari quel fornitore si trova a perdere delle commesse o a non poter accedere a delle commesse che invece potrebbero essere di suo interesse. Si genera quindi un’azione a catena i cui effetti sono difficili da prevedere. Oggi nei processi di due diligence l’analisi dello stato della cyber security è diventata prassi, alla stregua dell’analisi finanziaria, si redige l’analisi dello stato informatico.

Quanto conta oggi, in Italia, aprire dei canali di ricerca e sviluppo universitari in processi di informatizzazione, innovazione, sicurezza, sicurezza informatica e tutela dei dati?
Secondo me è fondamentale. Sappiamo che l’Italia soffre di una gap di competenze nel digitale, le università italiane sono tutte molto preparate, ci sono delle facoltà di informatica che nei ranking internazionali sono estremamente quotate. Le offerte formative sono sufficienti e addirittura superiori alle esigenze di base di una nazione che deve inevitabilmente muoversi in un mondo sempre più digitalizzato. Il mio invito, per chi si trova ancora in una fase formativa della sua vita, è quello di investire nelle nuove discipline e nell’utilizzo di questi strumenti innovativi, perché queste saranno le competenze che verranno richieste sempre di più dal mercato del lavoro. É vero anche che in un mondo così complesso tutte le competenze, tutti i background di natura tecnica, scientifica in primis, ma anche di natura umanistica, regolamentare, economica, possono trovare il loro posto e la loro collocazione.

In questo mondo di innovazione, digitalizzazione, intelligenza artificiale, come si colloca l’Italia e come si collocano gli studiosi italiani che vogliono portare innovazione?
Gli studiosi italiani si collocano bene, l’Italia ancora ha dei punti di eccellenza, ma secondo me manca una visione, una politica, una strategia focalizzata proprio sullo sviluppo dell’intelligenza artificiale a 360 gradi. Attualmente il Governo si sta concentrando sul disegno di legge sull’intelligenza artificiale, che si va a innestare sull’Artificial Intelligence Act di natura europea. In questo testo normativo sono presenti alcune norme che dovrebbero, per certi versi, facilitare l’attività di ricerca scientifica, di sviluppo, di accesso alle imprese a questi strumenti di intelligenza artificiale. Questo è un primo passo fondamentale. Per il resto, a mio avviso, quello su cui dovremmo investire in maniera importante è anche una politica di individuazione e richiamo dei talenti, abbiamo tantissimi talenti presenti in Italia ma anche all’estero. Sarebbe bellissimo se ci fosse una politica di lungo periodo che veda la possibilità di richiamare queste persone, queste menti pensanti, all’interno del nostro Paese e riunirli in una commissione, in un gruppo di studio, di lavoro, come ha fatto del resto l’Unione Europea. Il primo passo che l’Unione Europea ha fatto per regolamentare l’intelligenza artificiale è stato quello di chiamare un gruppo di esperti che ha definito ‘gruppo di esperti di alto livello sull’intelligenza artificiale’, perché è chiaro che le persone che hanno competenze di altissimo livello sono quelle che possono tracciare quantomeno le linee di profilo elevato, di policy making, che poi vengono declinate nelle diverse attività. Il risultato è stato l’approccio etico all’intelligenza artificiale. È il rapporto tra l’uomo e la macchina, mediato dall’etica. Le cosiddette “teste pensanti” italiane meriterebbero di ritornare in patria e di aiutare anche nello sviluppo di questa politica nazionale. Nelle istituzioni ci sono punte di diamante, penso all’Istituto Italiano per la Tecnologia, per esempio, però continuiamo ad avere una situazione a macchia di leopardo.

Come definirebbe oggi l’ingegno italiano nell’intelligenza artificiale?
L’intelligenza artificiale rientra perfettamente nei canoni dell’ingegno italiano, perché è una materia nella quale la capacità di sviluppare delle idee, il colpo di genio, è fondamentale, Già abbiamo avuto degli esempi di strumenti di intelligenza artificiale che nascono da menti italiane e che hanno dimostrato di essere molto attraenti per il mercato. È un game changer: la possibilità di sviluppare, di creare competenze e di portare anche prodotti in aree geografiche che magari sono state tipicamente escluse dalle grandi industrializzazioni.
Secondo me questa è un’opportunità da accogliere e si coniuga perfettamente con la modalità di pensare e di agire tipica dell’italiano che è fatta per l’appunto di questi colpi di genio, di queste intuizioni.

Bio Pierluigi Perri
Esperto nella strutturazione di piani di data governance, che si declinano nei contratti, nella definizione di regolamenti e piani di audit e nel contesto di operazioni societarie. Ha assistito aziende e multinazionali nella transizione al Regolamento Generale sulla Protezione dei Dati (GDPR) e nella definizione della data strategy aziendale. Avvocato cassazionista, ha maturato esperienza come responsabile della protezione dei dati e come presidente e membro di organismi di vigilanza. È esperto per EuroJust sul tema della protezione dei dati nella cooperazione giudiziaria e dell’European Data Protection Board per i settori “Technical expertise in new technologies and information security” e “Legal expertise in new technologies”. È professore associato in “Sicurezza informatica, privacy e protezione dei dati sensibili” presso la Facoltà di Scienze Giuridiche dell’Università degli Studi di Milano, dove coordina il Corso di perfezionamento in “Data Protection e Data Governance” e in “Big Data, Artificial Intelligence e piattaforme”; presso lo stesso Ateneo è professore di “Cybersecurity and protection of personal data: legal and policies issues” nel Corso di laurea magistrale in Data Science and Economics e di “Data protection, law and AI” nel Corso di laurea magistrale in Human Centered Artificial Intelligence. É stato inoltre Visiting Postdoctoral Associate presso l’Information Society Project della Yale Law School (2012-2013), Non-Residential Fellow del Center for Internet and Society della Stanford University (2006-2010) e Visiting Researcher nel Dipartimento Corporate and Legal Affairs di Microsoft Inc. (2009).