Cambia il mondo,
cambia la sicurezza?
Calcolare il rischio, investire in resilienza
Matteo Villa
Osservatorio Europa
ISPI – Milano
21 aprile 2015
Il contesto internazionale:
un mondo di crisi?
I conflitti alle porte
I conflitti alle porte
Fonte: Knoema
Aumentano i paesi in conflitto…
% di paesi «in conflitto» (1946 - 2013)
Fonte: UCDP / PRIO
… e la loro intensità?
Fonte: UCDP / PRIO
Intanto l’America arretra…
… l’Europa è divisa…
… e le minacce si diversificano
Minacce, rischio, incertezza
• Non esiste la protezione assoluta, o la «sicurezza infinita»:
esiste il rischio calcolato: dobbiamo considerare i costi e i
benefici delle azioni che accrescono la sicurezza.
• Il beneficio di una spesa per la sicurezza è funzione della
probabilità che assegniamo a un rischio da cui intendiamo
proteggerci:
Beneficio = riduzione attesa del danno – costo atteso=
= riduzione del danno – (costo totale * probabilità dell’evento)
Minacce, rischio, incertezza
• L’aumento delle minacce non tradizionali aumenta anche la
difficoltà di assegnare delle probabilità ai rischi.
• La complessità del mondo moderno rende difficile valutare
interazioni ed effetti a cascata.
• Diventa più difficile valutare i benefici degli investimenti in
sicurezza, anche per le imprese.
Un caso studio: migrazioni e
terrorismo islamico
• Distinguere tra cause differenti può essere molto complicato
• Il giudizio soggettivo modifica le decisioni sulla sicurezza
• Cosa succede se aumentano gli eventi HILP
Siria: un conflitto senza fine?
Siria e Iraq: le conseguenze del conflitto
Radicalizzazione: IS è un «pull factor»
Emergenza migratoria: la grande invasione?
Italia: i numeri dell’emergenza
Arrivi via mare in Italia (2008 - 2015)
180000
170757
160000
140000
120000
100000
80000
60000
40000
20000
4406
0
2008 2009 2010 2011 2012 2013 2014 2015
Dati: Ministero dell’Interno e IOM
Italia: l’emergenza è difficile da prevedere
Arrivi via mare in Italia (2015-2016)
160.000
2015
2016
120.000
13 maggio 2015: la Commissione europea
propone l'Agenda europea sulla migrazione
80.000
40.000
18 aprile 2015: naufragio nel
Canale di Sicilia: 700/900 morti
0
Dati: IOM
Anche in Grecia: 5 mesi, 750 mila arrivi
Arrivi via mare in Grecia (2015)
Dati: IOM
Distinguere tra «contagio» e cause strutturali
Arrivi via mare in Italia
60%
54%
48%
36%
40%
25%
20%
5%
0%
2014
siriani
2015
primi 4 paesi Africa subsahariana
Dati: Ministero dell’Interno, IOM
1%
gen-mar 2016
Terrorismo, migrazioni, probabilità
L’emergenza migratoria è un fenomeno che vediamo accadere
contemporaneamente a un altro (radicalizzazione + esercizio
effettivo di violenza in Europa).
Tuttavia i terroristi degli attentati in Francia e Belgio a oggi
identificati erano nati in Europa. Quando sono stati all’estero, sono
tornata in Europa prima di questa ondata migratoria. Hanno usato
l’aereo, non i barconi.
Eppure potenziali terroristi potrebbero nascondersi tra le persone
che approdano sulle nostre coste, approfittando del caos. Forse è
già successo.
Quest’ultima argomentazione ci sembra «di buon senso». Perché?
Terrorismo, migrazioni, probabilità
Il terrorismo (in Europa) è un tipico caso di evento high impact /
low probability (HILP).
In Francia ci sono circa 4 milioni di musulmani
1%
A rischio
radicalizzazione
Radicalizzati
40.000
200.000
5%
1%
400
Atto terroristico
5%
10.000
5%
1%
4
500
Lo stesso ragionamento può valere per i migranti (?)
Terrorismo, migrazioni, probabilità
Il terrorismo (in Europa) è un tipico caso di evento high impact /
low probability (HILP).
1372
1400
1200
"terroristi"
1000
864
800
600
500
400
200
0
256
4
32
1%
2%
108
3%
4%
5%
probabilità
6%
7%
En passant: sicurezza energetica
La stessa difficoltà di valutare costi e benefici di investimenti in
prevenzione si ritrova nella letteratura sulla sicurezza energetica:
• Diversificare fonti di gas naturale equivale a investire in resilienza
• Ma quanto farlo, e a che costo?
Capacità di importazione e consumi di gas naturale in UE (2015)
700
600
179
Gmc/anno
500
400
300
620
441
200
100
0
capacità
consumi 2015
Sicurezza oggi: alcune grandi questioni
Quanto e come dobbiamo investire in resilienza?
• Come misuriamo il rischio, per confrontarlo con la sua parte
«accettabile», in un contesto in cui proliferano eventi HILP?
• Qual è il ciclo di vita della minaccia? (ha senso investire oggi?)
• È così sbagliato «inseguire la sicurezza»?
 Learning by doing (per es. hacking contests, antivirus, …)
 Simulazioni / esercitazioni per awareness
• Come identificare i «bersagli paganti» che potrebbero essere
presi di mira?
Sicurezza oggi: alcune grandi questioni
È fattibile investire in resilienza?
• I sistemi sociali, tecnologici, infrastrutturali, mutano di continuo:
cosa ci aiuta ad aumentare la sicurezza nell’era ICT? Ci sono
variabili che possiamo controllare?
• È inevitabile che nei processi decisionali politici e privati si
privilegino atteggiamenti di tipo reattivo rispetto ad altri di tipo
preventivo?
 Cyber attacks giustificano meno investimenti che
«cyberwarfare»?
Sicurezza oggi: alcune grandi questioni
La sicurezza di un sistema non è mai superiore a quella del
suo punto più debole
• È così anche in cybersecurity?
• Quanto conta il fattore umano? (la famosa chiavetta di Stuxnet)
• Ma allora è meglio investire in formazione?
• O forse meglio limitare al massimo l’accesso a info sensibili?
Grazie per l’attenzione!