Le nuove direttive e regolamenti europei, come il GDPR, la NIS2, l’AI Act e la più recente CER2, hanno introdotto un quadro normativo che garantisce la protezione della privacy, la sicurezza informatica e la resilienza delle infrastrutture critiche, ma che al contempo pone limiti significativi per gli analisti OSINT, soprattutto nel contesto delle investigazioni pubbliche e private. L’OSINT, basato sulla raccolta e analisi di informazioni da fonti aperte, diventa sempre più complesso da gestire a causa delle stringenti regole imposte dalle normative. Il GDPR, con le sue forti limitazioni sulla raccolta e l’utilizzo di dati personali, costringe gli analisti OSINT a muoversi con estrema cautela, limitando di fatto l’accesso a informazioni indispensabili per le indagini. Il diritto all’oblio e la necessità di ottenere il consenso per il trattamento dei dati personali sono ostacoli che complicano l’attività di ricerca e riducono l’efficacia delle investigazioni, sia in ambito pubblico che privato.
Anche l’AI Act impone restrizioni sull’utilizzo dell’intelligenza artificiale, complicando ulteriormente l’adozione di strumenti avanzati di automazione per l’analisi dei dati. Per un analista OSINT, l’AI è essenziale per elaborare grandi volumi di informazioni rapidamente e con precisione, ma le norme sulla trasparenza e la spiegabilità dell’AI possono rallentare l’implementazione di queste tecnologie, rendendo meno immediato l’uso di strumenti indispensabili per l’elaborazione di dati critici. La direttiva NIS2, con il suo obiettivo di rafforzare la sicurezza delle reti, spinge le organizzazioni a limitare l’accesso alle informazioni sensibili, riducendo di fatto la quantità di dati accessibili agli analisti OSINT. Queste restrizioni, sebbene necessarie per proteggere le infrastrutture essenziali, creano un ulteriore ostacolo per chi si occupa di investigazioni, rallentando il processo di raccolta e analisi delle informazioni.
A queste limitazioni si aggiunge la Direttiva CER2, che amplia ulteriormente il quadro delle restrizioni normative, includendo la protezione delle infrastrutture critiche non solo dal punto di vista digitale, ma anche da minacce fisiche, come attacchi terroristici o catastrofi naturali. Anche se questo rafforzamento della sicurezza è fondamentale per proteggere settori strategici come l’energia, i trasporti, e la sanità, pone nuove sfide per gli analisti OSINT e gli investigatori, che vedono ulteriormente ridotto l’accesso a informazioni legate a questi settori. La CER2 obbliga le entità critiche a implementare misure di sicurezza più rigide e a segnalare incidenti significativi, ma nel farlo rende più difficile ottenere dati utili per le investigazioni, creando una barriera anche nell’accesso ai dati incidentali che potrebbero rivelarsi preziosi per prevenire o rispondere a minacce imminenti.
Le investigazioni, che dipendono dall’accesso rapido e diretto ai dati, diventano più lente e meno efficaci in un contesto in cui le informazioni sono fortemente protette o criptate. Questo scenario crea una sorta di paradosso: da un lato, la protezione dei dati e delle infrastrutture è essenziale per la sicurezza, ma dall’altro, queste stesse norme rischiano di compromettere la capacità degli investigatori di prevenire minacce gravi o di rispondere tempestivamente a incidenti di sicurezza, sia fisici che digitali.
Si dovrebbe riflettere su possibili modifiche normative per adattare meglio queste regole alle esigenze degli investigatori. È importante trovare un equilibrio che permetta di proteggere i diritti individuali e la privacy, senza soffocare il potenziale dell’OSINT e dell’intelligenza artificiale nel migliorare la capacità di risposta alle minacce. Un esempio potrebbe essere l’introduzione di “deroghe specifiche” per le indagini legittime, consentendo un accesso limitato e regolamentato ai dati personali o alle informazioni criptate, ma sotto la supervisione di un’autorità competente che ne garantisca l’uso corretto. Inoltre, la rigidità dell’AI Act potrebbe essere attenuata con eccezioni mirate per l’uso dell’intelligenza artificiale in contesti investigativi, mantenendo trasparenza e controllo ma permettendo una maggiore flessibilità operativa per gli analisti.
Anche la Direttiva CER2 potrebbe essere integrata con misure di accesso controllato ai dati critici in situazioni di emergenza o per finalità investigative, assicurando che la protezione delle infrastrutture essenziali non limiti eccessivamente la capacità degli investigatori di ottenere informazioni rilevanti. Un’eccessiva rigidità normativa rischia di compromettere la capacità degli analisti di fare il loro lavoro in modo efficace e tempestivo. La sicurezza e la privacy sono basilari, ma la normativa dovrebbe anche consentire a chi si occupa di indagini di accedere alle informazioni necessarie per prevenire e combattere minacce crescenti in modo rapido e responsabile.
Differenze tra direttive e regolamento:
- NIS2 – Direttiva
- La Direttiva NIS2 (Network and Information Security Directive) è una direttiva. Questa normativa aggiorna e sostituisce la precedente Direttiva NIS (2016) e mira a rafforzare la sicurezza delle reti e dei sistemi informativi in tutta l’Unione Europea. Essendo una direttiva, richiede che gli Stati membri recepiscano le norme all’interno delle proprie leggi nazionali, adattandole alle peculiarità locali.
- GDPR (Regolamento generale sulla protezione dei dati) – Regolamento
- Il GDPR (General Data Protection Regulation) è un regolamento. È direttamente applicabile in tutti gli Stati membri dell’UE senza necessità di leggi di recepimento. Il GDPR regola il trattamento dei dati personali e ha un’applicazione uniforme in tutti i Paesi dell’Unione Europea.
- CER2 – Direttiva
- La Direttiva CER2 (Cybersecurity of Critical Entities Directive) è una direttiva. Essa riguarda la protezione e la resilienza delle infrastrutture critiche nell’UE contro minacce fisiche e digitali. Come direttiva, richiede agli Stati membri di recepirla nel loro ordinamento nazionale e adottare leggi che attuino gli obiettivi della norma.
- AI Act – Regolamento
- L’AI Act (Artificial Intelligence Act) è un regolamento proposto dall’Unione Europea. Questo regolamento ha l’obiettivo di disciplinare l’uso dell’intelligenza artificiale in vari settori, garantendo che venga utilizzata in modo sicuro, trasparente e etico. Essendo un regolamento, sarà direttamente applicabile in tutti gli Stati membri senza necessità di recepimento nazionale, una volta adottato.
- ePrivacy Regulation (Regolamento sulla Privacy nelle Comunicazioni Elettroniche) – Regolamento
- Il Regolamento ePrivacy, noto anche come Privacy & Electronic Communications Regulation, è un regolamento proposto, destinato a regolare la privacy e la protezione dei dati nelle comunicazioni elettroniche. Completa il GDPR e, una volta adottato, sarà direttamente applicabile in tutti gli Stati membri dell’UE.
Comments are closed