Nella sicurezza digitale
con Francesca Bosco

Il mondo digitale ruota attorno alle persone, e la sicurezza informatica è prima di tutto una questione di diritti. Trattarla secondo una prospettiva puramente tecnica, soprattutto con i cambiamenti introdotti dall'uso dell'intelligenza artificiale, significa esporre le comunità al rischio che vulnerabilità e disuguaglianze vengano amplificate, anziché ridotte.

Sono questi i principi che muovono il lavoro di Francesca Bosco, Chief Strategy Officer del CyberPeace Institute di Ginevra, un'organizzazione internazionale no-profit indipendente che opera per comprendere, esporre e ridurre l’impatto degli attacchi informatici su persone, organizzazioni e comunità vulnerabili, promuovendo responsabilità, cooperazione e resilienza digitale.

Con una formazione in diritto internazionale e diritti umani, Francesca Bosco ha maturato quasi 20 anni di esperienza nel lavoro per organizzazioni internazionali (Nazioni Unite, World Economic Forum, CyberPeace Institute) su strategia e sviluppo di partenariati, ricerca orientata all’azione, assistenza tecnica e rafforzamento delle capacità nei settori della giustizia internazionale, dei diritti umani e della sicurezza.

All’interno del CyberPeace Institute guida l'impegno strategico in programmi e iniziative che fanno leva sulla cooperazione e su partnership tra società civile, mondo accademico, aziende, filantropia e istituzioni pubbliche per rafforzare la resilienza informatica e garantire una trasformazione digitale sicura, limitare i danni derivanti da attacchi informatici e disinformazione, anticipare le sfide poste dall’intelligenza artificiale e dalle tecnologie emergenti e promuovere la sostenibilità informatica. 

Le abbiamo rivolto alcune domande per capire meglio in cosa consiste il suo lavoro e approfondire il concetto di "pace informatica" (cyberpeace) e le sue implicazioni per le persone e le comunità.

Quali sono state le tappe più significative del suo percorso nel settore della cybersicurezza?

Dal 2020, quando abbiamo fondato il CyberPeace Institute, nel mio ruolo di Chief Strategy Officer contribuisco alla definizione delle priorità strategiche dell’istituto, allo sviluppo di partnership internazionali e alla connessione tra ricerca, advocacy e intervento operativo. Ho sempre sognato di lavorare nell’ambito dei diritti umani e della cooperazione internazionale. Il mio percorso verso la cybersecurity non è stato quindi lineare. È iniziato durante un’esperienza di ricerca presso l’Istituto internazionale delle Nazioni Unite per la ricerca sul crimine e la giustizia (Unicri), dove mi occupavo di crimini emergenti e nuove minacce digitali. Lì ho iniziato a lavorare sull’hacker profiling e sul contrasto alla criminalità informatica, ampliando progressivamente l’attenzione alle connessioni tra tecnologia, sicurezza e diritti umani. Quell’esperienza ha definito l’orientamento che ancora oggi guida il mio lavoro: considerare la cybersicurezza non solo come protezione tecnica, ma come una questione di sicurezza umana.

Le tecnologie digitali sono spesso raccontate come una minaccia in termini puramente tecnici. Perché questo approccio è insufficiente?

Perché la cybersicurezza non è solo una questione tecnica: è un fenomeno sistemico, e, sorprendentemente, profondamente umano. La tecnologia non è più un’infrastruttura separata, ma una componente centrale della nostra vita quotidiana, delle istituzioni e delle economie. Questo significa che la sicurezza digitale non riguarda soltanto dati e server, ma fiducia pubblica, accesso ai servizi essenziali, diritti fondamentali e opportunità sociali. Limitarsi a soluzioni puramente tecniche equivale a trattare i sintomi senza affrontare le cause strutturali. Vulnerabilità istituzionali, disuguaglianze nell’accesso digitale, dinamiche informative distorte e modelli di governance fragili sono fattori determinanti nella capacità di un sistema di resistere a un attacco, ma spesso restano invisibili se il dibattito rimane confinato a firewall, antivirus o sistemi di detection.

Può farci degli esempi di come un sistema che resiste ad attacchi di questo tipo dovrebbe preservare anche il lato umano della vita digitale?

Gli attacchi ransomware – che bloccano i dati sensibili o il dispositivo di una persona, minacciando di tenerli bloccati a meno che quest'ultima non paghi un riscatto, ndr – a ospedali e reti sanitarie, ad esempio, mostrano come un approccio esclusivamente tecnico possa salvare dati, ma non tutelare la continuità dei servizi e la sicurezza dei pazienti. Oppure pensiamo alle campagne di disinformazione online che hanno avuto impatti reali su elezioni e fiducia pubblica: strumenti tecnici di rilevamento non sono sufficienti se non sono accompagnati da alfabetizzazione digitale, policy e regolamentazioni efficaci. La protezione di infrastrutture critiche in paesi diversi invece dimostra che strategie tecnologiche identiche producono risultati molto differenti se ignorano contesto sociale, cultura organizzativa e dinamiche geopolitiche.

Che caratteristiche dovrebbe avere quindi, secondo lei, un approccio alla cybersicurezza che sia davvero efficace?

Richiede strumenti tecnici solidi integrati con politiche pubbliche, governance internazionale, educazione digitale e tutela dei diritti. La cybersicurezza deve essere considerata un bene pubblico globale, che richiede visione sistemica, cooperazione tra attori diversi e attenzione agli effetti sociali delle tecnologie. In altre parole, la sicurezza digitale non è mai un prodotto isolato: è un ecosistema di resilienza collettiva, in cui tecnologia, governance e valori umani devono agire in sinergia per proteggere non solo dati, ma persone e società.

In questo senso, tecnologie emergenti come l’intelligenza artificiale aprono nuove opportunità ma anche nuovi rischi...

L’intelligenza artificiale sta trasformando la cybersecurity su più livelli: aumenta la capacità di rilevare anomalie e attacchi in tempo reale, automatizza processi di difesa complessi e consente analisi predittive che prima erano impossibili su scala globale. Gli algoritmi possono identificare pattern nascosti, anticipare comportamenti malevoli e supportare decisioni strategiche a livello organizzativo e governativo. Allo stesso tempo, l’AI introduce rischi senza precedenti: può essere utilizzata per attacchi altamente scalabili e sofisticati, per la creazione di malware adattivo o di deepfake informativi credibili, e persino per manipolare la percezione pubblica attraverso contenuti sintetici che confondono cittadini e cittadine, decision-maker e media. In un contesto globale in cui la velocità dell’innovazione tecnologica supera quella delle regolazioni, l’AI può amplificare le vulnerabilità esistenti se non viene governata consapevolmente.

Quali principi dovrebbero guidarne l’uso in ambito cybersecurity?

L’uso dell’AI in cybersecurity deve essere ancorato a principi chiari e non negoziabili, in primis la centralità dei diritti umani e dell’impatto sociale: ogni progetto tecnologico deve valutare le conseguenze sulla vita delle persone e garantire che la protezione digitale rafforzi la fiducia, l’equità e la sicurezza dei cittadini e delle cittadine. In secondo luogo, responsabilità e trasparenza: le decisioni automatizzate devono poter essere comprese, monitorate e attribuite, affinché gli algoritmi non diventino “scatole nere” incontrollabili, potenzialmente amplificatori di bias o discriminazioni. Infine, resilienza sistemica e cooperazione internazionale: le soluzioni tecnologiche devono essere integrate in strategie globali, capaci di affrontare minacce transnazionali attraverso standard condivisi, collaborazione tra stati e settore privato, e strumenti di governance adattivi.

Ci sono casi concreti che mostrano l’urgenza di questi principi?

Modelli AI per rilevare attacchi ransomware possono diventare vulnerabili se addestrati su dataset incompleti o non rappresentativi, lasciando alcune tipologie di organizzazioni più esposte. L’uso di chatbot o generatori di contenuti per diffondere disinformazione politica o sanitaria ha invece dimostrato come strumenti pensati per l’analisi possano essere deviati verso attacchi informativi, influenzando opinione pubblica e decisioni politiche. Infine, soluzioni AI implementate senza governance condivisa rischiano di generare dipendenze tecnologiche critiche, creando punti di fragilità sistemica invece di rafforzare la resilienza complessiva.

Cosa possiamo capire davvero da queste dinamiche?

Che l’AI nella cybersecurity non è solo uno strumento tecnico: è una responsabilità strategica e sociale. La sua efficacia dipende non dalla sofisticazione degli algoritmi, ma dalla capacità di integrarli in un ecosistema sicuro, equo e trasparente, in cui tecnologia, governance e valori umani si rafforzano a vicenda.

In che modo secondo lei i bias culturali, sociali e di genere possono incidere anche sulla progettazione delle strategie di cybersecurity?

La cybersicurezza non è mai pienamente neutrale. Le priorità di rischio, i modelli di minaccia e le architetture di risposta riflettono inevitabilmente i contesti culturali, sociali e istituzionali in cui vengono concepiti. Ciò significa che anche i bias – spesso impliciti – possono tradursi in scelte tecniche, organizzative e strategiche con effetti concreti sulla protezione di persone, dati e infrastrutture. Quando la definizione delle minacce e delle soluzioni avviene all’interno di ecosistemi professionali poco diversificati, il rischio non riguarda solo l’equità, ma la qualità stessa della sicurezza prodotta. La letteratura empirica mostra che composizione dei team, pluralità di competenze e varietà delle esperienze influenzano in modo diretto la valutazione del rischio, i processi decisionali e la capacità di innovazione tecnologica. In assenza di tale pluralità, alcune vulnerabilità restano invisibili, determinati impatti sociali non vengono considerati e le strategie risultano meno adattive rispetto alla complessità del cyberspazio contemporaneo.

Questo come si traduce nella realtà? 

Nei sistemi di sicurezza per applicazioni sanitarie, ad esempio, team omogenei hanno spesso sottovalutato le esigenze di utenti con disabilità o di fasce di popolazione marginalizzate, creando piattaforme sicure dal punto di vista tecnico ma escluse da un uso equo. Oppure, nella progettazione di modelli di intelligenza artificiale per rilevare frodi o attacchi phishing, la mancanza di diversità culturale nei dati di addestramento può portare a falsi negativi su segmenti di popolazione specifici, lasciando vulnerabile una parte significativa degli utenti. Negli attacchi informatici a organizzazioni non governative internazionali invece, strategie di difesa sviluppate senza prospettiva interculturale hanno ignorato modalità di attacco tipiche di certi contesti regionali, compromettendo la resilienza delle reti critiche locali. I bias culturali e di genere influenzano anche la definizione delle priorità di protezione: quali utenti sono considerati “critici”, quali minacce vengono ritenute plausibili, quali scenari vengono simulati. Questo orienta non solo la progettazione tecnica dei sistemi, ma anche le politiche pubbliche, gli investimenti e i modelli di governance della sicurezza digitale.

Che valore assume la diversità in questo contesto?

La diversità non può essere interpretata esclusivamente come un obiettivo di equità o rappresentanza. È, piuttosto, una condizione operativa della sicurezza: amplia il campo visivo delle organizzazioni, migliora la qualità delle decisioni strategiche e rafforza la resilienza degli ecosistemi digitali. In un contesto globale segnato da minacce ibride, interdipendenze sistemiche e crescente complessità tecnologica, integrare prospettive differenti diventa parte integrante dell’infrastruttura stessa della cybersicurezza. La sfida, quindi, non è solo aumentare la partecipazione, ma trasformare i processi con cui definiamo cosa significa “essere sicuri” nel mondo digitale. È in questa trasformazione – culturale prima ancora che tecnica – che si gioca la qualità della sicurezza del futuro.

Cosa pensa di quello che indicano i dati, vale a dire che che nonostante la crescente centralità della cybersecurity nelle politiche pubbliche e nella governance globale, la presenza femminile resta limitata soprattutto nei ruoli decisionali?

Le evidenze più recenti mostrano progressi reali ma ancora insufficienti. Diverse analisi indicano che le donne rappresentano oggi tra il 12% e il 22% della forza lavoro globale in cybersecurity, con alcune stime che arrivano al 24% nei contesti più avanzati: una crescita rispetto al passato, ma ancora lontana dall’equilibrio di genere. Le proiezioni mostrano un miglioramento generazionale – con una presenza femminile più alta tra le professioniste under-30 e una possibile salita verso il 30% entro il 2025 – segnale positivo che tuttavia non colma il divario strutturale né l’accesso limitato ai ruoli di leadership. Permangono inoltre asimmetrie territoriali e salariali: ad esempio, la quota di donne nella forza lavoro cyber varia sensibilmente tra paesi (circa 26,7% in Italia contro percentuali inferiori al 20% in altre economie avanzate) e si registra ancora un differenziale retributivo medio tra professioniste e professionisti.

Qual è il quadro a livello internazionale?

Questi dati si inseriscono in un quadro più ampio di disuguaglianze di genere nell’economia digitale globale. Il Global Gender Gap Report 2025 del World Economic Forum evidenzia infatti come i progressi verso la piena partecipazione economica e tecnologica delle donne restino lenti, fragili e disomogenei tra regioni e settori, confermando la natura strutturale del divario. Allo stesso tempo, cresce la visibilità di leadership femminili che stanno trasformando l’IT security e aprendo nuove traiettorie professionali, contribuendo a ridefinire modelli organizzativi, cultura della sicurezza e accesso alle carriere tecnologiche – segnale che il cambiamento è possibile quando inclusione e innovazione vengono integrate nelle strategie di settore.

Ci sono azioni che ritiene prioritarie per colmare questo divario?

Le azioni prioritarie devono essere sistemiche e di lungo periodo, e dovrebbero comprendere: rafforzare l’accesso inclusivo all’educazione tecnico-scientifica e alle competenze digitali avanzate; sostenere percorsi professionali e di leadership realmente diversificati lungo tutto l’arco della carriera; riconoscere la diversità come leva strategica per colmare la carenza globale di competenze in cybersecurity e migliorare la qualità delle decisioni. Promuovere una maggiore partecipazione femminile non è soltanto una questione di equità: è una condizione per la resilienza, l’innovazione e la sicurezza stessa degli ecosistemi digitali in un contesto di rischio crescente e di persistente carenza di competenze.

Alla luce delle molteplici dimensioni che coinvolge, che significato attribuirebbe nel complesso concetto di 'cyberpeace'? 

Cyberpeace non è semplicemente l’assenza di conflitti nel cyberspazio. È, piuttosto, la costruzione di un ecosistema digitale resiliente, in cui sicurezza, diritti umani, fiducia e accesso equo alle opportunità tecnologiche si rafforzano reciprocamente. Non si tratta solo di prevenire attacchi o violazioni di dati, ma di creare le condizioni perché la tecnologia diventi un fattore di empowerment e non di vulnerabilità. In termini concreti, significa: garantire che l’innovazione tecnologica riduca, e non amplifichi, le disuguaglianze – ad esempio, quando piattaforme digitali per servizi pubblici o educativi vengono progettate tenendo conto della diversità degli utenti, si prevengono esclusioni e si promuove inclusione; integrare protezione digitale e tutela dei diritti fondamentali, come privacy, libertà di espressione e dignità, fin dalle fasi di progettazione dei sistemi; promuovere fiducia e cooperazione a livello globale, sviluppando standard condivisi, interoperabilità e capacità di risposta collettiva di fronte alle minacce ibride e transnazionali. Cyberpeace è dunque un progetto politico, sociale e tecnico insieme. La sicurezza digitale non può essere concepita come un obiettivo isolato o puramente tecnologico: deve essere integrata in strategie che considerino impatti economici, sociali e geopolitici.

Come potrebbe migliorare la protezione degli spazi digitali nel prossimo futuro?

La protezione delle infrastrutture sanitarie durante crisi globali mostra come soluzioni tecniche senza attenzione alla continuità dei servizi e all’equità d’accesso possano aumentare le vulnerabilità sociali. Gli attacchi informatici durante elezioni evidenziano che strumenti di cybersecurity devono essere combinati con alfabetizzazione digitale, trasparenza e governance multilivello per proteggere la fiducia pubblica. Progetti di collaborazione internazionale per la gestione dei rischi cyber (come le iniziative di condivisione di threat intelligence tra paesi e settore privato) dimostrano che la resilienza non è mai locale: è globale e richiede fiducia reciproca. In definitiva, cyberpeace è una visione di futuro digitale sostenibile e umano: una prospettiva in cui tecnologia, governance, valori sociali e diritti umani coesistono, creando sistemi capaci di proteggere persone, comunità e società nel lungo termine. 

Che consiglio darebbe a chi desidera intraprendere una carriera nell'ambito della cybersecurity?

Direi innanzitutto di prepararsi a un percorso non lineare, che richiede curiosità costante, resilienza e disponibilità a muoversi tra discipline, contesti istituzionali e culture diverse. Oggi le competenze tecniche restano fondamentali, ma non sono più sufficienti: servono pensiero critico, visione sistemica e la capacità di tradurre la complessità tecnologica in impatto sociale concreto. È fondamentale imparare a collegare tecnologia e valore pubblico: comprendere le dinamiche geopolitiche del cyberspazio, contribuire alla definizione di politiche e standard internazionali e lavorare in modo interdisciplinare con istituzioni, ricerca e settore privato. Una carriera globale in questo campo non si costruisce solo accumulando competenze, ma sviluppando la capacità di generare fiducia, cooperazione e impatto duraturo. Suggerirei infine di misurare il successo non soltanto nei traguardi personali raggiunti, ma nell’impatto prodotto sulle persone, sulle istituzioni e sugli ecosistemi che si contribuisce a rafforzare. È questa dimensione trasformativa – più che la sola eccellenza tecnica – a definire oggi la vera leadership nella cybersecurity.