Servizi PA digitale, istruire il cittadino alla sicurezza: l’esempio dalle banche
I nuovi servizi richiedono una elevata maturità sull’utilizzo che spesso i cittadini non hanno. Ciò induce a modalità d’uso diverse da quelle previste, vanificando il livello di sicurezza
richiesto
1 Aprile 2016
Garibaldi Conte, Clusit
In questi anni stiamo assistendo ad una forte diffusione di strumenti e servizi per il cittadino basati sulle nuove tecnologie della informazione e, in particolare, sull’utilizzo molto spinto di Internet.
I principali driver per l’implementazione di questi nuovi servizi sono la necessità di offrire dei servizi ai cittadini sempre più efficienti e veloci e, nel contempo, informatizzare il più possibile le procedure della PA per ridurre i costi di gestione.
Tutti questi nuovi servizi sottendono però una elevata maturità sull’utilizzo dei nuovi media che molto spesso non è presente nei cittadini cui i servizi sono rivolti e questo può indurre delle modalità di utilizzo del servizio diverse da quelle previste vanificando il livello di sicurezza richiesto.
Questo è legato al fatto che non esiste, a mio avviso, una diffusa consapevolezza dei pericoli e dei rischi che si corrono nell’uso dei nuovi media anche perché molto spesso si è portati a pensare che la tecnologia possa proteggerci in maniera adeguata, trascurando invece che è il fattore umano l’anello più debole della catena. Infatti, indipendentemente dal tipo di sicurezza di cui si parla, le misure messe in campo perdono sempre di efficacia se non si presta attenzione alle persone che quotidianamente ne fanno uso.
Tale aspetto diventa ancor più rilevante quando parliamo di servizi on line e, in genere, di Cyber Security: la presenza di milioni di dispositivi elettronici collegati in rete può trasformare dei fenomeni di natura malevole in vere e proprie emergenze nazionali e non (vedi ad esempio la massiccia ondata di Cryptolocker che ha colpito il nostro Paese negli ultimi mesi).
In tale scenario un ruolo primario può essere assunto dalla PA la quale, nel lancio dei propri servizi verso il cittadino, potrebbe prevedere dei veri e propri programmi di sensibilizzazione (chiamati “piani di awareness”) che hanno l’obiettivo di aumentare la consapevolezza dei utilizzatori verso la sicurezza informatica al fine di ottenere un utilizzo del servizio sempre più consapevole e sicuro.
Le modalità di erogazione dalla campagna dovrebbero essere differenziate in base alla tipologia dell’utilizzatore, alla dimensione del bacino di utenza e alla tipologia del servizio introdotto: si va quindi dalla predisposizione di semplici opuscoli informativi sulla sicurezza informatica a vere e proprie sessioni/incontri di formazione, ove ovviamente questo sia possibile.
A titolo esemplificativo, un servizio professionale diretto ai professionisti e alle aziende (es. utilizzo della firma elettronica dei documenti, comunicazioni con la PEC, etc) può sottendere una maturità nell’utilizzo dei nuovi media abbastanza elevata e quindi un piano di sensibilizzazione basato su una semplice informativa sulla sicurezza informatica da includere nel package del servizio.
Viceversa, un servizio diretto al comune cittadino (es. registro elettronico nella scuola) potrebbe avere degli utilizzatori molto variegati che vanno dal nativo digitale che usa quotidianamente computer/smartphone/tablet, ad una persona che non ha neanche un indirizzo di posta elettronica.
In questo caso il piano di awareness dovrebbe essere più articolato e prevedere diverse modalità di erogazioni quali, ad esempio:
- campagne di formazione dirette ai docenti per l’utilizzo del registro elettronico;
- opuscoli informativi e/o incontri con i genitori degli studenti sull’utilizzo sicuro dell’accesso al registro elettronico (es. modalità di custodia delle credenziali, come e quando effettuare i cambi password, come accedere al registro, etc);
- implementazione di sistemi di notifica (es. invio di SMS) per consentire il monitoraggio dell’accesso del servizio. Tale elemento, come dimostrato in ambito bancario, si è rivelato essere un fattore chiave per l’incremento nell’utilizzatore della consapevolezza e della padronanza dello strumento tecnologico.
E proprio in ambito bancario che troviamo degli spunti utili da utilizzare in ambito piani di awareness per gli utilizzatori dei servizi on line.
Negli ultimi anni, anche sotto la spinta de legislatore , quasi tutte le banche hanno realizzato delle iniziative di sensibilizzazione degli utilizzatori dei propri servizi di pagamento via internet (es. Home Banking, Corporate banking, etc) per fronteggiare le massive campagne di phishing che periodicamente comparivano su Internet. Queste iniziative hanno affiancato l’introduzione di soluzioni tecnologiche più sicure (es. sistemi di accesso in Strong Authentication, sistemi di notifica su accessi e disposizioni, etc) e l’attivazione, da parte di enti istituzionali e non, di servizi di prevenzione e monitoraggio dei principali fenomeni malevoli che comparivano in Internet. Non è quindi una sorpresa che negli ultimi anni si sia registrata una significativa riduzione degli attacchi di phishing diretti ai servizi di pagamento delle banche; tale fattore ha spinto molte di queste ad introdurre nuovi servizi di pagamento on line sempre più efficienti e sofisticati (vedi ad esempio i Mobile Payments).
Da questa esperienza si possono trarre, a mio avviso, degli spunti di riflessione utili anche i servizi della PA:
- il successo dell’introduzione di un servizio verso il cittadino basato sulle nuove tecnologie della informazione non può prescindere da un approccio integrato che contempli sia elementi tecnologici che piani di awareness dei propri utilizzatori;
- visto che tutti i programmi di awareness, indipendentemente da chi e per quale servizio vengono promossi, aumentano di fatto il livello di consapevolezza dei cittadini (ad es. chi usa i servizi di home banking ha sicuramente un livello di maturità tecnologica e una consapevolezza della sicurezza informatica superiore a quelli che non li usano), vanno promossi approcci coordinati tra enti pubblici e società private interessate ad offrire servizi on line, nonché con gli enti, istituzionali e non, che operano in ambito Cyber Security;
- come dimostrato in ambito bancario, un programma di sensibilizzazione dei propri clienti per un utilizzo consapevole di un servizio on line diventa spesso una chiave di successo del servizio ed un elemento di fidelizzazione del cliente, creando così una solida base per l’introduzione di nuovi servizi.