NEWS

RPA: una nuova sfida in tema di sicurezza

Per RPA (Robotic Process Automation) si intende l’insieme delle tecnologie software che permettono l’automazione di processi operativi che possono eseguire in modo automatico attività effettuate da operatori umani in base a regole definite imitandone il comportamento ed interagendo con gli applicativi informatici esattamente nello stesso modo degli operatori. Tale tecnologia permette di approcciare il tema dell’automazione e dell’integrazione dei sistemi in modo sicuramente più facile, meno costoso e meno invasivo rispetto allo sviluppo di applicazioni tradizionali.

Difatti il costo di un processo robotizzato (pur considerandolo nel suo complesso e quindi riferito alle componenti HW, SW, di progetto, ecc.) è inferiore al costo del lavoro umano anche qualora quest’ultimo fosse organizzato in modo efficace ed effettuato da maestranze specializzate e/o a basso costo.

Questo aspetto risulta essere molto chiaro soprattutto se si considerano gli aspetti legati a produttività ed efficienza (si pensi ad esempio al lavoro dei BOT). Ma oltre a questi aspetti bisogna considerare che un processo automatizzato è disponibile sempre, non ha bisogno di pause né di ferie ed il suo rendimento lungo tutte le 24 ore è assolutamente costante. La disponibilità continua di tale forza lavoro è un aspetto che ha un impatto dirompente, poiché permette di aumentare almeno tre volte la capacity elaborativa e quindi non solo un bot può equivalere ad almeno 15 human nelle ore di lavoro ma, essendo disponibile anche fuori dal normale orario lavorativo, potrebbe equivalere in teoria a 45 risorse impiegatizie.

Inoltre la velocità elaborativa che è alla base della maggiore produttività è un fattore molto importante poiché permette di soddisfare molti temi legati alla tempestività.

La riduzione degli errori è un altro ovvio vantaggio della RPA. Infatti, come qualsiasi altra applicazione software, la RPA non incorre negli errori connessi e connaturati alle attività manuali. Tale aspetto innalza la qualità dei processi, dei relativi output ed ha anche una ricaduta sui costi dei processi poiché riduce i “rework” determinati dagli errori e velocizza i controlli determinando così un ulteriore fattore di risparmio.

Il controllo e l’auditibility dei processi è poi un altro aspetto che sta diventando molto importante in un’epoca in cui le esigenze ed i requisiti di compliance impongono che i processi siano perfettamente trasparenti ed abbiano un livello di controllo molto alto. I sistemi RPA, se ben implementati, posseggono funzioni e sistemi di log che rilevano e registrano in modo dettagliato tutte le attività eseguite in modo da permettere l’analisi puntuale di cosa e come è stato eseguito, supportando un audit completo.

L’avvento di queste nuove tecnologie robotiche creerà inevitabilmente non pochi problemi dal punto di vista sia etico che giuridico poiché normative eccessivamente rigide potrebbero soffocare l'innovazione, ma la mancanza di chiarezza giuridica lascerebbe tutti gli operatori nel buio. 

L'uso di dispositivi robotici potrebbe, innanzitutto, far nascere maggiori problemi in tema di sicurezza e di privacy. Si pensi, ad esempio, a tecnologie che comportino un trattamento automatico di dati personali (come la RPA ad esempio) talvolta anche molto delicati. In tal caso appare evidente l’importanza dell’approccio tipico della privacy by design già disciplinata dall'art. 25 del GDPR.

In virtù di tale principio è necessario che la protezione dei dati sia integrata nell'intero ciclo di vita della tecnologia, dalla primissima fase di progettazione fino alla sua ultima distribuzione, all'utilizzo e all'eliminazione finale.

Dal punto di vista della sicurezza i processi RPA, in particolare, hanno vari aspetti peculiari che impattano tale tema. Si tratta, in realtà, come si è visto, di processi software che supportano vari utenti e che operano su specifici ambiti. E’ naturale che comportino problematiche di riservatezza per cui è importante ricordare che processi automatizzati con la RPA devono essere supervisionati e controllati. I bot, ad esempio, emulano degli utenti che utilizzano varie applicazioni, ma che sono abilitati solo a certe funzioni ed a certi ambiti attraverso uno specifico profilo utente.

Di conseguenza, è quindi, necessario prevedere tutta una serie di profili particolari di sicurezza per:

1. gli utenti robotici;
2. chi monitora i processi robotici.

Gli utenti robotici dovrebbero avere un profilo limitato alle funzioni utili ai processi che esplicano, ma a questo riguardo è necessario definire in modo rigoroso il tipo di approccio seguito per definire e gestire al meglio i profili robotici (definire un unico profilo molto preciso oppure definire profili robotici che assolvono più processi).

E’ indubbio, inoltre, che sia necessario gestire in modo completo i profili di sicurezza di chi utilizza gli strumenti di monitoraggio e controllo dei processi robotici. Per tali profili occorre predisporre delle specifiche abilitazioni che garantiscano e limitino l’utilizzo delle funzioni degli strumenti di monitoraggio e governo e la visione dei corretti ambiti.

Note Autore

Michele Iaselli Michele Iaselli

Coordinatore del Comitato Scientifico di Federprivacy. Avvocato, docente di logica ed informatica giuridica presso l’Università degli Studi di Napoli Federico II. Docente a contratto di informatica giuridica presso LUISS - dipartimento di giurisprudenza. Specializzato presso l'Università degli Studi di Napoli Federico II in "Tecniche e Metodologie informatiche giuridiche". Presidente dell’Associazione Nazionale per la Difesa della Privacy. Funzionario del Ministero della Difesa - Twitter: @miasell

Prev Allarme dagli Usa: attenti alle app “spione”
Next Alexa chiamata a "testimoniare" in Tribunale. Ed è solo l’inizio

Cyber e Privacy Forum 2023, il trailer dell'evento

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy