Tra Stati Uniti ed Europa ci sono differenze significative in materia di protezione dei dati, anche per ciò che concerne la normativa riguardante la cybersecurity. Nei Paesi dell’Unione Europea attraverso il GDPR sono stati definiti degli standard precisi in relazione alla privacy e si è focalizzata l’attenzione sulla necessità che gli utenti prestino in maniera esplicita il proprio consenso al trattamento dei dati personali, affinché gli stessi possano essere protetti in maniera adeguata. Lo scenario negli Stati Uniti è diverso, a causa di una normativa che nel complesso è decisamente più frammentata, con differenze non solo tra uno Stato e l’altro, ma anche tra un settore e l’altro: si può affermare che quello americano sia un approccio più mirato verso il business rispetto a quello europeo e anche per questo motivo meno restrittivo. Come dire: un divario regolamentare che è anche e soprattutto la conseguenza di una differenza culturale. Il risultato, però, è che per le aziende specializzate in materia e che operano sulle due sponde dell’Atlantico, come Boolebox, debbano essere in grado di cambiare le strategie di gestione del rischio e le procedure da attuare per adattarsi alle varie norme.
La cybersecurity negli Usa
Negli Stati Uniti un importante punto di riferimento è rappresentato dal DHS, vale a dire il Department of Homeland Security, il dipartimento della sicurezza nazionale. La condivisione delle informazioni relative a potenziali minacce fra le aziende private e gli enti governativi è favorita dal CISA, il Cybersecurity Information Sharing Act, mentre il Federal Risk and Authorization Management Program fornisce le linee guida che è necessario rispettare per garantire gli standard di sicurezza dei servizi cloud che vengono adottati dalle agenzie governative. Al di là dei riferimenti federali, poi, i singoli Stati hanno la facoltà di studiare regolamenti supplementari o di far entrare in vigore altre leggi con l’intento di rendere ancora più forte e affidabile la cybersecurity su scala locale. Quella che ne deriva è una decentralizzazione che porta con sé, in maniera inevitabile, dei pro e dei contro: da un lato una più significativa flessibilità dal punto di vista operativo, e dall’altro lato alcune incoerenze rispetto a un approccio univoco nei confronti della protezione dei dati. Tale punto debole non si riscontra, almeno per il momento, in ambito europeo, grazie all’entrata in vigore del Regolamento Generale sulla Protezione dei Dati, che ha contribuito a centralizzare il panorama normativo, all’insegna di una maggiore coerenza.
La tutela del mercato
Non si deve dimenticare che stiamo parlando di due realtà territoriali differenti: gli Stati Uniti sono una nazione sola, mentre la UE è un insieme di più nazioni. Il paradosso, però, è che l’organizzazione sovranazionale pare essere quella con un quadro più coerente: la necessità di tutelare il mercato unico ha previsto un coinvolgimento anche del contesto digitale, con l’intenzione non solo di proteggere le infrastrutture, ma soprattutto di tenere i dati al sicuro, per esempio con la crittografia end-to-end. Ecco spiegato il motivo per il quale sono state programmate e messe in atto delle best practice di sicurezza informatica in relazione all’applicazione delle minime misure di sicurezza e per tenere le minacce sotto controllo. Si parla, nello specifico, di resilienza rispetto alle minacce digitali, che derivano anche dalla diffusione delle fake news.
La strategia degli Stati Uniti
Per quel che riguarda gli Stati Uniti, il filo conduttore della strategia adottata in questo ambito pare essere costituito dalla necessità di riallineare gli stimoli a effettuare investimenti sul lungo periodo per tutelare la sicurezza informatica: il che vuol dire anche pensare a proteggere il cyberspazio. Una dinamica si interseca con l’altra: la National Cybersecurity Strategy che è stata implementata pochi mesi fa coinvolge e prende in considerazione più istituzioni e si fonda sulla cyberdifesa collaborativa. In ambito americano, si segue un approccio che si fonda soprattutto sull’obiettivo di tutelare le infrastrutture critiche, secondo una prospettiva che si concentra sulla cooperazione tra l’ambito privato e quello pubblico. Se è vero che l’innovazione è il focus dei progetti americani, ecco che il governo si propone come partner e strumento di supporto delle imprese attive in questo contesto, come dimostra il caso del NIST, noto anche come National Institute of Standards and Technology.
La cooperazione per la cybersicurezza
Mettere in evidenza le differenze, tuttavia, non deve portare a sottovalutare il progetto di cooperazione che UE e Usa hanno avviato: una collaborazione informatica che, come si può immaginare, ha basi e al tempo stesso effetti geopolitici. Tra i flussi di lavoro che sono stati intrapresi a partire dal 2023 si ricordano la reazione alle crisi informatiche, la condivisione delle informazioni e la sicurezza di software e hardware. Coordinare le piattaforme tecnologiche tra realtà differenti è cruciale per non risentire degli effetti negativi che possono scaturire da una eccessiva frammentazione delle iniziative. L’integrazione di informazioni è il punto di partenza per una cybersicurezza efficace.