Il 28 novembre, nella sala dell’ex Conservatorio Sant’Anna di Lecce, il convegno “Etica e diritto – L’autenticità dei dati: il ‘nuovo’ pilastro della cybersecurity” ha riunito in uno stesso spazio tecnici, giuristi e specialisti di privacy per affrontare uno dei temi più sfuggenti dell’ecosistema digitale europeo: la fiducia nei dati. A moderare l’incontro è stato Livio Varriale, direttore di MatriceDigitale.it, giornalista e autore de “La Prigione dell’Umanità”, mentre sul palco si sono alternati Edoardo Limone, consulente informatico ed esperto di cybersecurity nella Pubblica Amministrazione centrale, Rosario Imperiali d’Afflitto, avvocato, DPO e fondatore del network Imperiali, Gerardo Costabile, presidente IISFA, Anna Cardetta, responsabile area compliance e servizi privacy, e Sarah Ungaro, avvocato del Foro di Lecce, esperta di diritto dell’informatica e privacy, partner di Studio Legale Lisi, vicepresidente ANORC Professioni e componente della Commissione sull’Intelligenza Artificiale dell’Ordine degli Avvocati di Lecce e dell’Osservatorio Agenda Digitale della Regione Puglia.
Dal primo intervento all’ultima domanda dal pubblico, è emersa con chiarezza una conclusione scomoda: abbiamo norme sempre più sofisticate, ma continuiamo a muoverci in un contesto dominato da fragilità culturali, organizzative e identitarie che rendono l’autenticità dei dati un obiettivo ancora lontano.
Cosa leggere
Autenticità e sicurezza: un problema prima di tutto culturale
Nel suo intervento, Edoardo Limone ha richiamato l’attenzione su un dato di fatto che nel dibattito pubblico si tende ancora a rimuovere: gli incidenti informatici non sono un’eccezione, ma una componente strutturale dei sistemi complessi. Ciò che distingue un’organizzazione resiliente da una vulnerabile non è l’assenza di incidenti, ma il modo in cui li prevede, li governa e li registra. L’esempio di una centrale elettrica esposta a un incidente a causa di procedure approssimative ha dato concretezza al problema. L’accesso remoto e il controllo dell’impianto erano stati di fatto indeboliti da pratiche di gestione “povere”: credenziali annotate in un documento Word, lasciato in una cartella interna e poi finito posizionabile e individuabile da chiunque sapesse cosa cercare. Dietro questo episodio non c’è solo un errore tecnico, ma un deficit culturale: la convinzione, ancora diffusa, che la sicurezza sia un tema delegabile ai tecnici, mentre la quotidianità organizzativa continua a seguire logiche analogiche, basate su abitudini, scorciatoie, archivi improvvisati. Limone lo ha sintetizzato con un passaggio chiaro: il problema non è meramente tecnologico, è un problema di cultura, di formazione, di responsabilità distribuite. Questo deficit diventa esplosivo se lo si osserva in settori come la sanità, che Limone individua come uno dei più esposti: ospedali, aziende sanitarie, fornitori software, tutti coinvolti in una filiera che gestisce dati di valore economico e strategico altissimo, e allo stesso tempo spesso dotata di processi, policy e competenze non allineati alla complessità del rischio.
Dal triangolo classico al quarto pilastro: l’autenticità
Sul piano teorico, la sicurezza delle informazioni è stata a lungo inquadrata nella triade confidenzialità, integrità, disponibilità. Limone ha ricordato come già alla fine degli anni Novanta fosse stato introdotto un quarto elemento: l’autenticità. In un mondo in cui gli stessi contenuti possono essere replicati, modificati e distribuiti da più uffici e sistemi, la domanda non è solo se il dato sia integro, ma quale versione del dato sia quella ufficiale, a quale fonte sia riconducibile, chi possa legittimamente farla valere come prova o come base di decisione. L’autenticità, in questo quadro, diventa un pilastro a sé: non si limita a dire se il dato è integro, ma stabilisce se è effettivamente “quel” dato, prodotto da “quel” soggetto, in “quel” contesto procedurale. È la differenza fra un’informazione qualsiasi e un atto autentico, fra una copia informale e un documento che può fondare diritti, obblighi, responsabilità giuridiche. Qui si innesta la riflessione più ampia sul quadro europeo: non basta parlare di autenticità in astratto, occorre vedere come essa venga garantita nei processi, nei sistemi, nelle architetture di gestione della prova digitale.
La lettura giuridica di Rosario Imperiali d’Afflitto: fiducia come architettura
Rosario Imperiali d’Afflitto ha spostato il baricentro della discussione dal piano tecnico a quello strettamente giuridico e sistemico. Autenticità, etica e sicurezza, ha sottolineato, hanno un filo comune sotterraneo: si reggono tutte su un elemento spesso dato per scontato, la fiducia. La fiducia non è una variabile che si possa disciplinare semplicemente con una norma: è il risultato di procedure, controlli, trasparenza e accountability. Proprio qui si colloca il ruolo del GDPR come primo grande testo orizzontale di diritto digitale dell’Unione Europea: una disciplina che non si concentra su una singola tecnologia, ma che attraversa, in orizzontale, tutti i settori in cui circolano dati personali. Imperiali ha richiamato come il GDPR continui a distinguersi, nonostante l’esplosione di nuove regole sulla cybersecurity, perché non si limita a dettare obblighi di notifica e scadenze, ma impone una logica gestionale: valutazioni d’impatto, misure tecnico–organizzative, dimostrabilità delle scelte. In questa prospettiva, l’autenticità assume due volti complementari. Da un lato è esattezza, pertinenza, necessità del dato, dall’altro è riconducibilità del contenuto a un autore e a una catena di responsabilità. Se questa riconducibilità si perde, l’autenticità si svuota e diventa retorica, più che architettura giuridica. Imperiali ha insistito su un punto chiave: l’autenticità non è un feticcio tecnico, ma un criterio di correttezza giuridica. Un dato autentico è quello che non perde di significato nel contesto per cui è stato raccolto, che rimane agganciato ai suoi presupposti, che non viene deformato da trattamenti successivi privi di coerenza o trasparenza.
Metadati, archivi digitali e ruolo delle pubbliche amministrazioni
La dimensione documentale e archivistica dell’autenticità è stata approfondita da Sarah Ungaro, che ha riportato il discorso alla concretezza dei sistemi di gestione documentale e dei flussi di comunicazione istituzionale. Nel mondo delle pubbliche amministrazioni, l’autenticità non dipende solo dal contenuto del documento, ma dal sistema complessivo che lo regge: linee guida sul documento informatico, codice dell’amministrazione digitale, sistemi di conservazione, regole sull’uso del protocollo informatico. In questo ecosistema, i metadati non sono un dettaglio tecnico, ma uno snodo giuridico e probatorio. È attraverso i metadati che si può ricostruire chi ha prodotto un atto, quando, con quali strumenti, in seguito a quale procedimento. Sono i metadati a garantire che una comunicazione registrata in un registro di protocollo non sia solo un file, ma un elemento di una catena amministrativa tracciabile. Ungaro ha evidenziato come alcuni recenti provvedimenti e interpretazioni abbiano dimostrato una sottovalutazione dei metadati, sia sul fronte della sicurezza informatica, sia su quello del valore giuridico. Intervenire su log, tracciamenti, registri di posta elettronica e gestionali senza comprendere fino in fondo la funzione dei metadati significa indebolire l’autenticità e, di conseguenza, la capacità di un ente di difendere le proprie azioni in sede di controllo o contenzioso. L’autenticità, in questo senso, non è solo verità del contenuto, ma continuità della memoria istituzionale: se i metadati vengono trattati come un ingombro anziché come una risorsa, il sistema perde la capacità di dimostrare a posteriori come sono stati utilizzati i dati, chi li ha toccati, con quali finalità.
Identità digitale, supply chain e debolezze strutturali
Sul fronte più marcatamente tecnico–operativo, Gerardo Costabile ha messo in evidenza le asimmetrie tra la raffinatezza del quadro regolatorio e la realtà quotidiana della sicurezza. Il paradosso è che mentre si moltiplicano norme e standard, una quota enorme delle organizzazioni continua a vivere con password deboli, identità non verificate, sistemi di autenticazione basati su logiche superate. La supply chain è il punto in cui queste fragilità diventano più pericolose. Ogni organizzazione è al tempo stesso cliente e fornitore: se cade un fornitore, si blocca un servizio; se l’ente colpito è a sua volta fornitore critico, l’effetto a catena può paralizzare interi segmenti di infrastruttura. Nei casi più gravi, soprattutto in ambito sanitario e nella pubblica amministrazione, il rischio è di generare shock sistemici che vanno ben oltre il singolo incidente. Costabile ha richiamato il ritardo nella diffusione di autenticazioni robuste, multi–fattore, identità rafforzate. Il GDPR, ha ricordato, non è un testo ossessivamente tecnico sulla sicurezza, ma nella sua vaghezza apparente lascia spazio per interpretazioni che possono essere sia ambiziose che minimaliste. Il problema è che in troppi casi si sceglie la via minima: si fa il necessario per “spuntare la casella” della conformità, più che per costruire una sicurezza sostanziale. In questo quadro, parlare di autenticità dell’identità digitale significa interrogarsi su un punto ancora più delicato: i dati personali statici, quelli che ci identificano in modo univoco, non sono modificabili come una password. Se questi dati vengono compromessi e circolano in modo incontrollato, il problema non è solo arginare il furto, ma trovare nuove architetture identitarie in grado di rendere l’identità più forte di un singolo dato trafugato.
IA, vero e falso: la consapevolezza come misura di sicurezza
Sia Ungaro sia altri relatori hanno posto l’accento sul ruolo dell’intelligenza artificiale nella ridefinizione del confine tra vero e falso. Deepfake vocali che imitano ministri, immagini fotorealistiche generate in pochi secondi, testi che riproducono stili riconoscibili: l’autenticità non può più essere affidata a una semplice percezione umana. Eppure, come ricordato con esempi concreti, in molti casi le vittime degli inganni non sono state persone ignare o prive di strumenti culturali, ma professionisti esperti, dirigenti, figure istituzionali che non hanno coltivato neppure il dubbio iniziale. Da qui il nodo centrale: nessuna tecnologia potrà mai sostituire la consapevolezza diffusa. È necessario formare utenti, funzionari, dirigenti a leggere la comunicazione digitale con spirito critico, a chiedersi se una voce può essere stata sintetizzata, se un documento troppo perfetto possa essere stato generato artificialmente, se un’informazione debba essere verificata tramite canali indipendenti. L’autenticità, nell’era dell’IA, non è soltanto una questione di algoritmi di verifica, ma una politica della competenza: senza formazione continua, la migliore infrastruttura tecnica resta vulnerabile al comportamento umano più prevedibile, quello che si fida troppo di ciò che appare credibile.
NFT, opere digitali e nuove forme di autenticità
Il tema dell’autenticità ha trovato una declinazione del tutto particolare nell’intervento di Anna Cardetta, dedicato alle opere digitali e alla parabola degli NFT. Per anni, gli artisti digitali sono stati considerati figure marginali, apprezzate dagli appassionati ma lontane dal circuito dell’arte “quotata”. La svolta è arrivata quando la tecnologia ha consentito di associare a un file digitale un certificato di unicità, trasformando un’immagine replicabile all’infinito in un pezzo collezionabile. Gli NFT hanno reso possibile stabilire che quella specifica immagine, quel determinato file, fosse la “prima” versione riconosciuta come autentica, attribuibile a uno specifico artista. Si è aperto così un mercato in cui opere digitali hanno raggiunto valori milionari, con una fase di vero e proprio boom speculativo. La successiva correzione del mercato, con il crollo di molte quotazioni, ha mostrato che la sola esistenza di un token non basta a garantire valore nel tempo. L’autenticità commerciale regge solo quando si innesta su una reale poetica artistica, su una riconoscibilità di stile, su una comunità che riconosce un autore e la sua ricerca. L’arrivo dell’intelligenza artificiale generativa ha riaperto il dibattito: quando un’opera nasce da un modello addestrato su miliardi di immagini, chi è l’autore autentico? Il sistema, il creatore del modello, chi ha formulato il prompt, oppure la comunità che seleziona e “canonizza” alcune opere come meritevoli di riconoscimento? Per Cardetta, la tutela autoriale ha senso solo se resta rintracciabile un fattore umano, una continuità di poetica che rende un’opera riconoscibile come parte di un percorso, non come mero prodotto di una macchina.
Etica del mercato, identità e il corpo nell’universo digitale
Nella parte conclusiva, il moderatore Livio Varriale ha riportato il dibattito alla dimensione più radicale: quella del rapporto tra identità, corpo e mercato in un mondo che si prepara alla diffusione massiva di visori, ambienti immersivi e piattaforme di realtà mista. L’identità, ha osservato, non sarà più unitaria, ma distribuita su piattaforme diverse, ognuna con le proprie regole di autenticazione, i propri criteri di reputazione, i propri modelli di business. In un simile scenario, parlare di autenticità “alla vecchia maniera” rischia di diventare impossibile: è autentico ciò che la piattaforma decide essere autentico, secondo logiche che seguono i flussi del mercato più che i principi astratti dell’etica. Da qui la critica a una retorica dell’“etica digitale” che spesso si schiaccia su una “etica del mercato”: si definiscono linee guida, principi, codici di condotta, ma poi si accetta di fatto che la direzione venga dettata dalle strategie dei grandi attori tecnologici, perché la dipendenza dalle infrastrutture è troppo forte per poter imporre regole davvero autonome. L’immagine di una “prigione dell’umanità” digitale non è solo una metafora: è la descrizione di un sistema in cui l’individuo è sempre più incapsulato in ambienti chiusi, dove identità e autenticità sono mediate da algoritmi proprietari, dove la possibilità di sottrarsi o di ridefinire i propri confini diventa minima. In questo contesto, l’autenticità dei dati non è più soltanto un requisito tecnico o giuridico, ma una questione politica e culturale di primo livello: significa decidere chi controlla i significati, chi gestisce le prove, chi scrive la storia digitale delle persone, delle istituzioni, delle opere.
Lecce, per un’ora intensa tra diritto, tecnica e visioni del futuro, ha mostrato che l’autenticità dei dati non è un capitolo tecnico da relegare agli addetti ai lavori, ma il nuovo terreno su cui si gioca la credibilità dell’intero ecosistema europeo della cybersecurity.
