Troppo spesso capita che le “parole” siano utilizzate con leggerezza. Un atteggiamento che diventa molto grave quando l’uso improprio dei termini riguarda ambiti in cui si sta faticosamente cercando di trovare un linguaggio comune e condiviso, complice la loro relativa gioventù. Nel caso di specie, il colpevole del misfatto ha un’aggravante, quella di essere un’importante istituzione europea che si pronuncia sulla materia di cui è competente, inciampando in una topica decisamente grossolana. Mi riferisco alla European Union Agency for Cybersecurity (ENISA) che qualche settimana orsono ha pubblicato l’indicazione di quali saranno le dieci principali minacce cyber da qui al 2030.
L’indicazione è molto interessante, peccato che contenga due macroscopici errori “linguistici” perché quelle che ENISA colloca al sesto e all’ottavo posto della sua classifica come minacce, tali non sono; si tratta, in realtà, di vulnerabilità. Per chi si occupa di sicurezza (informatica, cyber o delle informazioni non è rilevante) si tratta di una distinzione non trascurabile. Facciamo chiarezza. La minaccia è tipicamente fattore esogeno, cioè esterno e indipendente nel suo essere dal soggetto che può subirne le conseguenze. In questa categoria rientrano eventi come terremoti, alluvioni e anche attacchi hacker. Tutto questo può succedere, ma il fatto che possa produrre i suoi effetti nefasti dipende dalla misura in cui la vittima non è preparata a prevenire o contenere l’accadimento. Si parla quindi di vulnerabilità del soggetto, ovvero di un elemento endogeno. In sintesi, la minaccia accade, la vulnerabilità rende possibile il suo verificarsi: la prima sfrutta la seconda per produrre i suoi effetti più deleteri. Chiarito questo, rileviamo che al sesto posto tra le minacce viene citata la “mancanza di analisi e controllo su oggetti e infrastrutture spaziali” e all’ottavo posto la “carenza di competenze”. Termini come “shortage” (carenza) e “lack” (mancanza) sono chiaro indice di debolezza e quindi vulnerabilità e non di minaccia. In termini molto pratici, una carenza di competenze (vulnerabilità) favorisce l’errore umano (minaccia). Una mancanza di analisi e controllo (vulnerabilità) agevolerà attacchi mirati a quel dato ambito (minaccia). Mi domando se ENISA non ritenga opportuna aggiustare il tiro, giusto per evitare di rendere ancora più difficile il lavoro di chi, ogni santo giorno, combatte per rendere comprensibile la cyber security a chi non se ne occupa e vorrebbe evitare di preoccuparsene.
