LA CULTURA INFORMATICA IN ITALIA
a cura di Michele Sorrentino
(Relazione tenuta il 26 giugno 2018 al Convegno “Digital Forensics & Investigations Meeting 2018” presso l’Hotel Villa Eur Roma)
Nella premessa del “Rapporto ISTAT sulla conoscenza 2018” si sottolinea che, dal punto di vista globale, grazie ai progressi delle tecnologie digitali (ICT), la disponibilità di informazioni e la capacità di trattarle e trasformarle in apprendimenti sono cresciute a un ritmo senza precedenti nella storia umana. Stiamo quindi vivendo un periodo di accelerazione nell’accumulazione di conoscenza digitale, che è la base essenziale per la competitività delle imprese, per lo sviluppo sociale e delle persone, per il funzionamento dell’economia e delle istituzioni.
Oggi questa conoscenza è indispensabile sia per governare le opportunità offerte dalla tecnologia sia per gestire un sistema di interazioni che è divenuto più complesso anche nella sfera personale. Conoscenza che risulta prioritaria per entrare nel circuito degli scambi mondiali e concorrere con le economie avanzate, dove gran parte della manodopera è svolta dalle tecnologie di nuova generazione e gran parte delle transazioni commerciali avvengono attraverso la rete.
QUAL’ È LA SITUAZIONE IN ITALIA?
Nella Relazione 2017 sui progressi del settore digitale in Europa (EDPR: Europe’s Digital Progress Report), l’Italia viene collocata nel gruppo di paesi con basse prestazioni, insieme a Romania, Bulgaria, Grecia, Croazia, Polonia, Cipro, Ungheria e Slovacchia, evidenziando che la causa principale del ritardo nello sviluppo risiede soprattutto nella mancanza di due elementi fondamentali:
• l’approccio sistemico (Sistema Pubblico di Connettività);
• la governance.
In particolare, sul fronte pubblico le prestazioni risultano inferiori alla media soprattutto per quanto riguarda l’erogazione dei servizi digitali. Ciò a causa del ritardo dei progetti strategici nazionali come PagoPA (pagamenti elettronici) e SPID (Sistema Pubblico di identità Digitale) che, rispetto ad una previsione governativa di tre milioni di utenti al settembre 2015 e di dieci milioni al dicembre 2017, attualmente contano poco più di un milione e duecentomila di utenti effettivi. Ritardo che si ricollega, appunto, a carenze di coordinamento e di governance.
Sul fronte privato, invece, l’indice di intensità digitale, (indice composito che combina la disponibilità nell’impresa di 12 tecnologie, dall’utilizzo della rete da parte dei dipendenti alla fatturazione elettronica e al fatturato sul commercio elettronico) registra un valore molto basso per il 60% delle imprese, collocando l’Italia al quintultimo posto, davanti soltanto a quattro Paesi (Lituania, Bulgaria, Romania, Ungheria).
A questo risultato negativo contribuisce lo scarso uso del commercio elettronico che, sebbene in continua crescita, perde terreno rispetto ad altri paesi in cui le imprese iniziano a vendere online in numero sempre maggiore.
Inoltre viene posto l’accento sui costi molto elevati delle soluzioni informatiche per le imprese italiane di piccole dimensioni che, a causa della scarsità delle risorse, preferiscono soluzioni basate su cloud con tutti i rischi che ne derivano in termini di cyber security e privacy, continuità operativa del servizio, etc.
Diversa è la situazione delle grandi imprese italiane, che si avvalgono della gestione diretta dei big data e registrano prestazioni migliori di Germania, Francia e Spagna.
COSA SI PUO’ FARE?
Dal punto di vista della connettività, oltre ai citati problemi di approccio sistemico e di governance, occorre un’adeguata strategia nazionale con assegnazione significativa di fondi, che costituisce la condizione essenziale per lo sviluppo.
Infatti la Relazione suggerisce che “il completamento tempestivo delle procedure di gara in corso e un approccio più coordinato tra le iniziative esistenti, ad esempio il coordinamento tra i diversi esercizi di mappatura, sono entrambi importanti per raggiungere tale obiettivo, in particolare nelle zone rurali”.
In tale contesto sembra difficile realizzare (almeno in breve), così come è stato fatto per la banda larga ultraveloce in alcune aree industriali soggette al divario digitale, la buona pratica (premiata) del partenariato pubblico-privato che, secondo la Commissione Europea, è “un esempio di successo di collaborazione tra investimenti pubblici e privati che porta entrate e valore”.
È il caso della Regione Emilia-Romagna che investe nella creazione di una rete di banda larga ultra-veloce idonea a servire allo stesso tempo Pubblica Amministrazione e imprese.
Tale sistema, che è basato sulla costruzione di nuove reti con il riutilizzo di infrastrutture pubbliche esistenti passive, dovrebbe essere attuato anche in altre regioni con il coinvestimento delle imprese.
Un ulteriore difficoltà segnalata nella Relazione riguarda l’innovazione digitale prevista dall’attuazione del piano italiano Industria 4.0, che presenta le seguenti criticità:
– mancanza di coordinamento nell’attuazione;
– lentezza burocratica;
– sottovalutazione del problema culturale e della resistenza al cambiamento.
Viene rilevato infatti, che “solo alcuni dei poli di innovazione digitale progettati sono operativi e i centri di competenza non saranno aperti prima della seconda metà dell’anno, con il rischio che una quota importante delle deduzioni fiscali possa essere stanziata in modo improprio. La capacità di sensibilizzare le PMI in merito alle opportunità offerte dalle tecnologie digitali e, in ultima analisi, il successo della strategia Industria 4.0 dipenderanno dal corretto coordinamento tra i vari attori [..]”.
Probabilmente anche qui una gestione programmatica più attenta alle dinamiche del cambiamento e del project management potrebbe consentire di intervenire rapidamente sugli eventuali rischi.
Inoltre, vi è la carenza di competenze digitali circa l’uso di internet con dispositivi mobili, che pone l’Italia all’ultima posizione in Unione Europea con il 40% degli utenti rispetto all’88% della Spagna, che è prima.
Tutto ciò comporta risultati mediocri in diversi indicatori: “diffusione della banda larga, numero di utenti di internet, partecipazione in una serie di attività su internet (tra cui il governo elettronico), uso del commercio elettronico e numero di curriculum nel settore digitale (ossia, lauree in STEM – Scienze, Tecnologia, Ingegneria e Matematica – e specialisti delle ICT – tecnologie dell’informazione e della comunicazione)”, che non sufficiente a soddisfare le esigenze operative e di formazione.
Sebbene nel 2017 l’uso regolare di internet tra la popolazione è aumentato di 4 punti percentuali, le prestazioni sono ancora tra le più basse e inadeguate per le esigenze di un’economia vasta e avanzata come quella italiana.
Da ciò si evince che vi è una stretta correlazione tra il basso livello di competenze digitali e la difficoltà del sistema economico ad essere competitivo.
L’Italia soffre soprattutto di un numero insufficiente di specialisti delle ICT e di laureati in STEM e l’offerta di forza lavoro con competenze digitali è limitata. Fattore che restringe le possibilità del sistema economico italiano di progredire nella catena globale dei paesi più avanzati nel commercio digitale.
Il problema è cruciale e pervasivo, al punto che la Relazione riporta una riflessione che non si dovrebbe associare a un Paese tra i “Grandi” dell’Unione Europea: “considerato il basso livello di competenze digitali della popolazione italiana, è più che mai importante che i servizi di governo elettronico siano di semplice utilizzo per l’utente.” Insomma, la consapevolezza digitale è talmente bassa che bisogna abbassare il livello di difficoltà di interazione, consentendo l’uso dei servizi digitali senza pretendere che si possano realizzare operazioni complesse.
Di fronte a questa situazione sarebbe necessario uno sforzo strategico adeguato e complessivo. Un approccio sistemico, con la capacità di mobilitare tutte le energie verso uno sviluppo coordinato, solido e continuo.
La strategia italiana è idonea per quanto concerne l’offerta di competenze digitali destinata ai giovani ma la sua efficacia dipende in gran parte dall’allineamento con le esigenze delle imprese, dall’attuazione della strategia Industria 4.0, dalla rapidità e omogeneità di attuazione del Piano Nazionale Scuola Digitale e dalle misure su Ricerca e Università. Però la strategia si ferma qui perché non c’è una pianificazione strategica per colmare le lacune delle precedenti generazioni in termini di competenze digitali.
Il Piano Triennale per l’informatica della PA (2017-2019) inserisce un utile e positivo tassello di azione (per la definizione dei profili professionali e la realizzazione di moduli formativi) che non può essere chiaramente sufficiente. Manca, è evidente, non solo una strategia complessiva ma anche l’individuazione dei responsabili di questo processo.
Nel tempo sono state proposte più soluzioni, ma la mancanza di comprensione di questa emergenza a livello governativo diventa ogni anno sempre più problematica.
IL RAPPORTO DELL’OCSE
(Organizzazione per la Cooperazione e lo Sviluppo Economico)
Anche il rapporto OCSE sottolinea come l’Italia “sia oggi incagliata in un “equilibrio di basse competenze” in cui la scarsa offerta di competenze è accompagnata da una scarsa domanda di competenze da parte delle imprese”. Infatti, se gli attori principali del mercato del lavoro non hanno competenze elevate e innovative, non vengono nemmeno richieste competenze elevate e innovative e la spinta a svilupparle è molto bassa.
Le piccole aziende, in Italia, rappresentano oltre l’85% delle imprese e circa il 70% dell’occupazione. E i manager “di molte aziende a conduzione familiare non hanno le competenze necessarie per adottare e gestire tecnologie nuove e complesse”. Di conseguenza, “le remunerazioni dei lavoratori sono spesso più legate alla durata del contratto che ai risultati. Questo non incoraggia i lavoratori a utilizzare a pieno le loro competenze al lavoro e a investire nell’apprendimento di nuove competenze”.
Non solo le scarse competenze dei manager portano a una bassa valorizzazione delle competenze dei lavoratori, per cui si registra anche una situazione di loro sovraqualificazione rispetto ai lavori svolti (e una spinta forte per una loro fuga all’estero).
I dati rilevano che: “una percentuale non trascurabile della forza lavoro ha competenze superiori a quelle necessarie per svolgere le mansioni richieste (11.7%) o è sovraqualificato (18%). Inoltre, circa il 35% dei lavoratori svolgono la loro attività in settori che non corrispondono ai loro studi”. Inoltre, secondo l’OCSE un giovane italiano su quattro (tra i 15 e i 29 anni) non lavora, non studia né partecipa a un percorso di formazione.
La carenza di competenze, con un ruolo sempre più pervasivo di quelle digitali, mina d’altra parte sia l’efficacia nella realizzazione dei servizi digitali (per carenze nel settore pubblico e nelle imprese) sia la diffusione del loro utilizzo (resa difficile dalle scarse competenze della popolazione). Risulta infatti che è pari al 44,6% la percentuale di chi afferma di non aver fatto ricorso ai servizi online perché preferisce il rapporto diretto con l’operatore allo sportello.
Infine, la carenza di governance e di coordinamento in generale è uno dei problemi più rilevanti per consentire un reale cambiamento delle situazioni analizzate, che sono l’effetto di una scarsa competenza nell’utilizzare al meglio le tecnologie digitali all’interno di qualsiasi tipo di organizzazione ed è difficile non legare queste scarse competenze nel settore pubblico.
A fronte di tutto ciò l’OCSE propone dieci punti per lo sviluppo di una strategia nazionale sulle competenze (incluse quelle digitali, ormai pervasive e necessarie per tutti i lavori) che sono senz’altro una base da cui partire, anche perché recepiscono i risultati di alcuni incontri con tutti i soggetti, pubblici e privati, coinvolti nelle iniziative economiche.
Questi dieci punti sono articolati in quattro pilastri:
primo pilastro – sviluppare competenze significative
1- equipaggiare i giovani in tutto il Paese con competenze adeguate per l’apprendimento e le esigenze di lavoro e cittadinanza;
2- incrementare l’accesso all’istruzione terziaria (universitaria) allo stesso tempo migliorando la qualità e la rilevanza delle competenze;
3- sostenere lo sviluppo delle competenze degli adulti con basse competenze;
secondo pilastro – attivare la fornitura di competenze
4- sostenere dappertutto lo sviluppo delle assunzioni e della fornitura di competenze;
5- incoraggiare la partecipazione di donne, giovani e altri gruppi sottorappresentati attualmente nel mercato del lavoro;
terzo pilastro: utilizzare le competenze in modo efficace
6- fare miglior uso delle competenze nel lavoro;
7- omogeneizzare le competenze per promuovere innovazione;
quarto pilastro: abilitare le condizioni per un sistema di competenze efficace
8- rafforzare la governance e la partnership multilivello per migliorare i risultati sulle competenze;
9- promuovere assessment (la valutazione delle competenze individuali) e anticipazioni sulle competenze per ridurre la non corrispondenza tra offerta e domanda di competenze;
10- investire nel miglioramento delle competenze.
Ne viene fuori una sorta di programma di interventi certamente molto utile per avviare un programma nazionale per lo sviluppo delle competenze che faccia perno sull’e-leadership (necessaria per il governo del cambiamento) e sull’utilizzo efficace dei dati (necessari per l’analisi delle esigenze e delle opportunità, oltre che per la programmazione). Sarebbe utile, anzi, avviarlo rapidamente, riconoscendone lo stato di priorità.
L’Italia è anche uno dei Paesi OCSE dalla governance più frammentata (dietro soltanto alla Francia) e quello dove si registra la spesa più bassa sul sistema delle competenze a livello di governo sub-nazionale (di decentramento).
L’approccio necessario richiede capacità elevate e un’attenzione politica ai massimi livelli.
Per questa ragione il rapporto OCSE si sofferma sulla necessità di un coordinamento stabile a livello governativo, che deve basare la propria efficacia di concretizzazione sul riconoscimento di una responsabilità nazionale, e su sistemi informativi che consentano la disponibilità di dati (utili per l’analisi e la programmazione degli interventi).
LA CYBER SECURITY
In questo quadro non bisogna trascurare la cultura della cyber security.
In Italia ci sono pochi professionisti con capacità adeguate e questo rende vulnerabili aziende e PA. Vari organismi specializzati prevedono in questo campo una carenza di più di un milione e mezzo di unità di forza lavoro entro il 2029.
Una soluzione a questo problema può essere trovata realizzando un ampio programma per la formazione su sei direttrici, che sono state indicate nel libro bianco presentato nella Conferenza Nazionale sulla cyber security presentato a Milano dal 6 al 9 febbraio 2018. Un tema di cui la politica dovrebbe farsi carico.
LE DIRETTRICI
1. Alta formazione, finalizzata a fornire gli strumenti tecnici e metodologici fondamentali della cyber security mediante corsi di laurea, master universitari e programmi di dottorato offerti dai vari atenei.
2. Educazione di base, finalizzata a fornire i fondamentali della cyber security a partire almeno dalle scuole medie di secondo grado, indipendentemente dall’indirizzo specifico del percorso scolastico, con l’obiettivo di porre le basi per una migliore comprensione della tematica e per stimolare lo sviluppo formativo verso corsi universitari di specializzazione.
3. Formazione professionale, finalizzata alla formazione continua per tutte le professioni che sempre più dovranno confrontarsi con problematiche di cyber security.
4. Ricerca di talenti, finalizzata alla ricerca di giovani da indirizzare verso una carriera in cyber security, catalizzandone l’interesse mediante sfide informatiche, simulazioni in ambienti virtuali protetti e, in generale, attraverso iniziative che
consentano di sperimentare un possibile contesto operativo e valutare le opportunità di crescita professionale.
5. Addestramento finalizzato a consolidare, migliorare e valutare le capacità operative degli operatori e delle procedure preposte al contrasto e alla gestione degli incidenti informatici all’interno delle organizzazioni.
6.Formazione e sensibilizzazione dei cittadini, finalizzate a fornirgli le nozioni elementari di cyber security e i concetti base di quella che viene ormai comunemente chiamata igiene-cyber (cyber-hygiene).
COSA BISOGNA FARE
In generale, le iniziative di formazione nel nostro Paese sono purtroppo ancora insufficienti e scontano due grosse carenze: il numero limitato di ricercatori esperti che possano svolgere funzioni di docenza e un insufficiente coordinamento nazionale tra accademia, scuole superiori, parte pubblica e parte privata.
Sono quindi necessari significativi investimenti per formare esperti di sicurezza con solide competenze tecniche in grado di:
1. definire politiche, strategie e programmi di protezione e controllo per garantire la sicurezza dei dati, delle reti e dei sistemi;
2. gestire situazioni, eventi e persone in presenza di attacchi cyber;
3. contribuire a creare una cultura della sicurezza informatica nelle aziende e nella società.
Per il primo punto servono laureati in informatica o ingegneria informatiche che conoscano bene le tecnologie IT di base: Reti di Comunicazione, le Architetture hardware, Sistemi Operativi, Basi di dati, Linguaggi di programmazione, Crittografia.
Gli attacchi vengono portati avanti sfruttando le falle più diverse e, senza una conoscenza profonda dei sistemi da difendere è impossibile mettere a punto strategie di difesa.
Per il secondo, le competenze possono essere acquisite attraverso master che combinino competenze tecniche con competenze gestionali. Servono professionalità che siano in grado di comprendere la complessità di un sistema industriale, ma che abbiano un minimo di conoscenze tecniche per limitare i danni di eventuali attacchi e per poter evitare i cosiddetti attacchi di ingegneria sociale, portati avanti inducendo persone a fare azioni o rivelare informazioni, che permettono agli attaccanti di entrare nel perimetro aziendale.
Per il terzo, le conoscenze richieste sono minime, è necessario che in tutte le scuole si insegni quello che viene chiamato cyber-hygiene, per far capire che i dati personali sono importanti ed è bene proteggerli, per spiegare che si corrono rischi anche economici se non si protegge opportunamente l’accesso ai propri computer o smartphone, che comportamenti inappropriati ed apparentemente inoffensivi di singoli lavoratori sui PC in dotazione possono mettere a rischio la sicurezza delle aziende presso cui lavorano.
COME BISOGNA FARE
Possiamo immaginare tre vie per realizzare gli obiettivi preposti:
– identificare e attivare i meccanismi più adatti per la massima diffusione delle regole base di cyber-hygiene attraverso campagne pubblicitarie e di informazione di massa, sia sui media tradizionali (giornali, radio, tv) sia sui social media;
– aumentare la workforce di tecnici, ingegneri, esperti, ricercatori assicurandosi che essa sia distribuita sul territorio e che le professionalità formate in Italia non vadano ad ingrossare le fila dei giovani, formati nelle nostre università, ed attratti
da stipendi più appetibili all’estero;
– sviluppare sinergia tra ricerca, pubblica amministrazione e aziende anche attraverso opportuni meccanismi di partnership pubblico-privato.
Il ruolo della ricerca in questo contesto è fondamentalmente legato allo studio di nuove soluzioni per le sfide di volta in volta evidenziate. Le aziende avranno un ruolo fondamentale nella successiva creazione di modelli e nella industrializzazione
all’interno di un sistema integrato di tutte le soluzioni proposte. Le PA, il Parlamento, il Governo devono definire i contesti di collaborazione a livello locale, regionale, nazionale.
IL RUOLO DELLA POLITICA
In questo quadro, la politica deve:
– favorire la creazione di una serie di infrastrutture abilitanti alla cyber security nazionale nel pubblico e nel privato, anche attraverso partnership, e mettere a punto una strategia nazionale che coordini l’azione dei centri di competenza
verticali, connettendo poi a rete centri di competenza omologhi. Queste azioni debbono essere supportate da adeguati finanziamenti pubblici;
– mettere a punto delle strategie che rendano più attraente lavorare su tematiche di sicurezza informatica nel nostro Paese e per riportare in Italia i nostri migliori cervelli nell’ambito della scienza e dell’imprenditoria nel settore della sicurezza;
– avviare un piano straordinario per l’assunzione di ricercatori e professori universitari che si occupano di cyber security e, in generale, di trasformazione digitale in tutte le sue componenti: giuridiche, economiche e, soprattutto, tecnologiche;
– pensare a produzioni “nazionali” per applicazioni e/o settori di nicchia ritenuti strategici per la sicurezza nazionale, e individuare un approccio per integrare tecnologia straniera con la tecnologia nazionale all’interno di una architettura domestica della quale dobbiamo avere il completo controllo.
Roma 26.06.2018
Michele Sorrentino
