Nella valutazione del rischio cibernetico, la considerazione di una larga fetta di vulnerabilità si fonda su evidenze e studi di natura vittimologica. Le organizzazioni e le Autorità, infatti, nel mitigare i rischi inerenti la sicurezza informatica e la protezione cibernetica, oltre a soppesare la eventualità di disfunzioni di tipo elettronico, fisico ed ambientale, hanno da considerare anche le debolezze che - inevitabilmente - il fattore umano introduce in qualsiasi sistema informativo.
In questo senso, la valutazione di impatto della componente umana comporta la considerazione di tre aspetti: il divario digitale, cioè la carenza generalizzata di competenze informatiche tra la popolazione; la minaccia interna, cioè l’evidenza criminologica di dipendenti infedeli o non collaborativi; la fragilità digitale, cioè la realtà di persone con condizioni di debolezza psico-fisica - età, salute, capacità cognitive - che non permettono un accesso equivalente alla tecnologia.
Sui primi due aspetti non mi soffermo in questa sede. Accenno soltanto che sul “digital divide” - da mitigare investendo in programmi strutturati di alfabetizzazione digitale - il nostro Paese si è dato l'obiettivo strategico di colmare il gap di competenze informatiche entro il 2026, rendendo digitalmente abile per quella data almeno il 70% della popolazione. Sul fronte, invece, della tematica dell'inaffidabilità personale, l’esperienza consiglia l’implementazione di programmi di insider threat prevention & response, tipicamente basati su approcci e risorse di intelligence.
La terza considerazione, invece, è relativa alla minaccia asimmetrica portata da cyber-criminali verso tre specifiche fasce di popolazione: gli anziani, generalmente carenti di conoscenze informatiche ed affetti da problemi geriatrici che riducono le performance cognitive ed aumentano le difficoltà di memorizzazione; i bambini, naturalmente limitati nel comprendere concetti astratti, con comprensibili problemi nella lettura dei testi e limitate capacità cognitive e di controllo corporeo (ad esempio nella gestione del mouse); i disabili, con deficit visivi, daltonismi oppure con disabilità cognitive o motorie.
Per ciascuna delle categorie individuate, esistono studi di settore che, muovendo dalla considerazione delle fisiologie e delle patologie costituenti impedimento o rallentamento, suggeriscono le soluzioni assistive oppure immersive più utili per abbattere le relative barriera di accesso.
Sul fronte della tecnologia, ad esempio, uno studio apparso sul Journal of Computer Science ha preso in esame un campione di anziani, uno di bambini dai 3 agli 8 anni ed un gruppo di disabili. Sottoponendoli ad interviste finalizzate ad individuare le difficoltà ad interagire con i software, l’analisi è pervenuta ad individuare le linee programmatiche di sviluppo di nuove interfacce utente che assicurino maggiore accessibilità e inclusione e, dunque - aggiungo io - maggiore sicurezza in rete. È emerso ad esempio che gli anziani potrebbero meglio padroneggiare la tecnologia, se si limitasse la terminologia informatica e si riducesse l’ingombro di informazioni sugli schermi; i bambini potrebbero meglio interagire coi software, qualora si diminuisse la complessità informativa e si eliminassero i testi, sostituendoli con disegni e foto; ed infine i disabili potrebbero meglio relazionarsi coi dispositivi elettronici grazie all’utilizzo di soluzioni di riconoscimento testuale e di sintesi vocale, oppure ancora di traduzione in braille del testo che appare sullo schermo.
Altri studi, più focalizzati sulle tecniche di interfaccia utente, hanno permesso di ipotizzare l’utilizzo di tecniche già note in ambito militare e medico-chirurgico, come la augmented reality - tecnologia che permette l’arricchimento della percezione umana - o delle metodiche di virtual reality che consentono la simulazione digitale della realtà.
Sul fronte invece di chi fornisce assistenza - tipicamente i caregiver e le famiglie - sono state evidenziate alcune suggestioni di natura socio-culturale. Ad esempio, specificamente per i più piccoli, è di interesse particolare uno studio del National Institute of Standards and Technology che ha sondato le conoscenze e le prassi di un campione di bambini in età scolare. Le risultanze hanno fatto emergere che i bimbi esaminati - generalmente adusi ad effettuare i log-in sui computer di scuola o di casa e dunque già in possesso di buone competenze di igiene digitale - hanno dimostrato però idee non chiare sulla funzione della password, confondendo i concetti di autenticazione con quello di protezione delle credenziali di accesso (password security), piuttosto che tra il diritto alla riservatezza (privacy) ed il diritto alla sicurezza della navigazione on-line (safety). La maggior parte degli scolari, ad esempio, ha affermato che la password "è importante perché ci salva la vita”: ciò ha ingenerato nei ricercatori la convinzione che sarebbe in atto un approccio educativo fondato sulla paura che - creando modelli mentali inaccurati - comprometterebbe alla lunga lo sviluppo in età adulta di adeguate competenze di autotutela cibernetica. Al contrario, altri studi in tema di "human-centred security" hanno acclarato quanto siano più efficaci nel lungo periodo gli approcci formativi basati su creatività e fiducia, piuttosto che quelli fondati sul timore di conseguenze nefaste.
Insomma, la comunità scientifica ha le idee piuttosto chiare sulle soluzioni tecniche, pedagogiche e organizzative necessarie per rendere più robusta la difesa in rete dei fragili digitali.
Il problema, però, è che nella pratica non si tengono ancora in debito conto le necessità della fascia di popolazione in esame: il web ed i software di computer, tablet e smartphone sono sviluppati per esaltarne l’usabilità generale, intesa come la capacità di massimizzare la soddisfazione, l’efficacia e l’efficienza dell’esperienza dell’utente medio. Di contro, la sicurezza cibernetica di chi è più debole in rete deve far leva su due altre caratteristiche che si possono ottenere a scapito della usabilità generale e cioè: l'accessibilità, intesa come la possibilità del disabile di riuscire comunque, in modo equivalente, a percepire, comprendere, navigare ed interagire con gli applicativi, nonché di contribuire (per il loro tramite) in modo equo e senza barriere; l’inclusività, definibile come la capacità dei programmi informatici di assicurare il massimo coinvolgimento possibile per chiunque.
Insomma, la soluzione del problema passa per approcci socio-economici e culturali che assicurino un corretto bilanciamento tra usabilità, accessibilità ed inclusività della tecnologia.
Non è solo un problema di equità sociale. È un fattore strategico di sicurezza: la possibilità che gli utenti con fragilità digitale - sotto questo aspetto, l’anello più debole della catena - siano nelle condizioni di difendersi in rete, nonché di riconoscere e segnalare incidenti, pericoli e preoccupazioni, garantisce un dominio cibernetico più sicuro per tutti!
Per approfondire:
https://www.helpage.it/?s=anziani+divario+digitale
https://innovazione.gov.it/notizie/articoli/competenze-digitali/
https://www.w3.org/WAI/fundamentals/accessibility-usability-inclusion/
https://csrc.nist.gov/publications/detail/conference-paper/2019/02/24/ex...
https://www.researchgate.net/publication/277589616_A_review_on_user_inte...
https://www.wsj.com/articles/why-companies-should-stop-scaring-employees...
Foto: Twitter
