UniCa - Università degli studi di Cagliari
ICT4Law&Forensics Laboratorio di "Diritto dell’Informatica" e di "Informatica Forense" del DIEE di Cagliari

Lo “Scudo Giuridico Adattivo”. Intelligenza artificiale, cybersecurity e diritti fondamentali nell’ecosistema SERICS

Il ciberspazio non è più un luogo virtuale separato dalla vita reale. È l’infrastruttura su cui poggiano ospedali, banche, reti elettriche, servizi pubblici. E anche i nostri diritti fondamentali. Un nuovo libro nato dal progetto SERICS prova a costruire il primo modello formale per difendere tutto questo.

Nel tempo della trasformazione digitale, la cybersicurezza non è più una materia confinata agli specialisti dell’informatica. È diventata una questione che investe direttamente i diritti fondamentali, la tenuta delle istituzioni, la resilienza delle infrastrutture pubbliche e private, la sicurezza dei dati e l’affidabilità dei processi decisionali automatizzati.

In questo scenario si colloca il Volume curato dal Prof. Massimo Farina, Lo “Scudo Giuridico Adattivo”. Intelligenza artificiale, cybersecurity e diritti fondamentali nell’ecosistema SERICS, pubblicato da G. Giappichelli Editore nel 2026 in open access, liberamente consultabile e scaricabile al seguente

Link

https://www.giappichelli.it/lo-scudo-giuridico-adattivo-9791221119596

Il volume nasce all’interno del progetto SERICS – Security and Rights in the CyberSpace. In particolare, il libro si inserisce nelle attività dello Spoke 3, dedicato al tema “Attacchi e difese”, coordinato dall’Università degli Studi di Cagliari, e coordinato dal Prof. Giorgio Giacinto.

Il «deficit di prova»: perché le leggi non bastano

La minaccia informatica non è un evento sporadico. È un avversario che osserva, apprende, si adatta. Il diritto non può permettersi di rincorrerla: deve anticiparla.

Il volume muove da una constatazione critica: nonostante l’Unione Europea abbia prodotto negli ultimi anni un corpus normativo di straordinaria ampiezza (NIS2, AI Act, DORA, Cyber Resilience Act), il sistema continua a non funzionare come dovrebbe. Il motivo non è la mancanza di regole.

È il deficit di prova.

Il problema centrale del diritto della cybersicurezza non consiste tanto nella mancanza di norme, quanto nella difficoltà di trasformare i principi giuridici in misure tecniche effettivamente verificabili e dimostrabili. Le organizzazioni vengono chiamate ad adottare misure “adeguate” e “proporzionate”, ma spesso manca un’infrastruttura capace di mostrare in modo oggettivo perché una scelta tecnica sia stata adottata, su quali basi e con quali garanzie.

Accanto al deficit di prova, il volume introduce un’altra categoria teorica di grande interesse: quella di “incertezza avversa”. Il ciberspazio viene descritto non come un ambiente in cui si manifestano semplici rischi probabilisticamente calcolabili, ma come uno spazio in cui l’avversario osserva, apprende, modifica i propri comportamenti e agisce in funzione delle difese altrui.

L’attacco informatico, in questa prospettiva, non è un evento isolato o una devianza accidentale. È l’espressione di una dinamica interattiva e adattiva in cui l’attore ostile è in grado di manipolare attivamente il contesto di rischio. Per questo il volume dialoga con la teoria del rischio di Frank Knight, con la sociologia di Ulrich Beck e con la teoria dei sistemi di Niklas Luhmann, mostrando come le categorie tradizionali del diritto e dell’organizzazione siano oggi messe sotto pressione dalla struttura stessa delle minacce digitali.

Da qui discende una criticità evidente: la conformità normativa rischia di diventare una semplice etichetta formale, una dichiarazione astratta, invece di tradursi in un sistema sostanziale di responsabilità, tracciabilità e controllo. Il diritto, pertanto, non può più accontentarsi di regole rigide e standard statici. Deve diventare capace di incorporare l’adattività come caratteristica strutturale.

Il libro muove allora da questa frattura tra diritto dichiarato e pratica effettiva delle architetture digitali, proponendo un modello che mira a colmarla.

Lo Scudo Giuridico Adattivo: non una metafora, un modello

La risposta proposta dal volume è appunto lo Scudo Giuridico Adattivo (SGA), presentato non come semplice metafora, ma come modello formale articolato in cinque livelli:

Il primo livello, S0, riguarda le invarianti normative: quei principi fondamentali che non possono essere sacrificati neppure in presenza di esigenze difensive, come la non discriminazione, la proporzionalità e la presunzione d’innocenza. Questi principi operano come vincoli strutturali di qualsiasi risposta tecnica o organizzativa.

Il secondo livello, S1, introduce il tema delle regole eseguibili, cioè delle norme tradotte in sistemi di policy-as-code, versionabili, documentabili e gestibili all’interno di processi controllabili. Qui il diritto smette di essere solo testo e prova a diventare architettura operativa.

Il terzo livello, S2, è rappresentato dalle metriche di proporzionalità, che collegano la gestione del rischio alla decisione tecnica. Non basta fare qualcosa: bisogna poter dimostrare che quella misura era adeguata rispetto al contesto, necessaria e non eccedente.

Il quarto livello, S3, riguarda le asserzioni verificabili e i registri tamper-evident, cioè sistemi di memoria probatoria capaci di preservare la tracciabilità delle decisioni e delle azioni nel tempo.

Infine, il quinto livello, S4, è dedicato al defensive due process, cioè all’insieme di garanzie procedurali che consentono la contestazione, la revisione e la verifica delle decisioni difensive, specialmente quando siano automatizzate.

Il punto cruciale è che questo modello non è pensato per sostituire i framework tecnici di sicurezza esistenti (ISO 27001, NIST, ecc.), ma per dialogare con loro.

È, come scrivono gli autori, una “grammatica comune tra giuristi e ingegneri” — qualcosa che da entrambe le parti si capisca, si misuri, si contesti.

La struttura del libro

L’opera è organizzata in tre parti, che si sviluppano in modo progressivo:

  • La prima parte è dedicata ai fondamenti giuridici e all’architettura tecnica dello Scudo Giuridico Adattivo.
  • La seconda presenta alcuni campi di prova settoriali, nei quali il modello viene applicato a contesti concreti.
  • La terza affronta i temi dell’implementazione, della verifica e delle prospettive future.

Il volume si chiude infine guardando avanti, verso le sfide poste dal quantum computing, dall’IA avanzata e dai sistemi ciberfisici, ribadendo che lo Scudo Giuridico Adattivo dovrà rimanere fedele ai suoi principi di base, ma anche incorporare meccanismi di aggiornamento strutturale che lo rendano capace di accompagnare l’evoluzione tecnologica futura.

Il volume è completato da una bibliografia molto ampia, da un apparato di acronimi e da un Glossario tecnico-giuridico finale, composto da circa ottanta voci. Non si tratta di un semplice repertorio terminologico, ma di uno strumento di vera mediazione interdisciplinare. Concetti come data poisoning, fuzzing, air-gapped storage, zero-knowledge proof, defensive due process o liability gaps vengono definiti in modo tale da risultare immediatamente rilevanti all’interno del modello SGA. Glossario tecnico-giuridico finale, composto da circa ottanta voci. Non si tratta di un semplice repertorio terminologico, ma di uno strumento di vera mediazione interdisciplinare. Concetti come data poisoning, fuzzing, air-gapped storage, zero-knowledge proof, defensive due process o liability gaps vengono definiti in modo tale da risultare immediatamente rilevanti all’interno del modello Scudo Giuridico Adattivo.

Gli autori e il carattere interdisciplinare del volume

Uno dei principali punti di forza dell’opera risiede nella qualificata pluralità delle competenze coinvolte. Il volume raccoglie infatti i contributi di sei studiosi, in larga parte afferenti all’Università di Cagliari e alla rete di ricerca sviluppata nell’ambito del progetto SERICS. Tra questi, si distinguono per il loro ruolo accademico il Prof. Massimo Farina, Professore Associato di Informatica Giuridica, la Prof.ssa Maria Novella Campagnoli, Professoressa Associata di Filosofia del diritto, e la Prof.ssa Fernanda Faini, Professoressa Associata di Informatica Giuridica. Hanno altresì contribuito Gianluca Satta, Alessia Palladino e Floriana Murrali, che svolgono attività di ricerca presso il Dipartimento di Ingegneria Elettrica ed Elettronica (DIEE) dell’Università degli Studi di Cagliari, a conferma di un lavoro che integra competenze giuridiche, filosofiche e tecnico-informatiche.

Conclusioni

Lo «Scudo Giuridico Adattivo» non si limita a descrivere il problema: lo affronta con un modello formale, applicazioni settoriali concrete e una vocazione esplicitamente interdisciplinare. Il suo principale obiettivo consiste nell’aver superato la tradizionale descrizione normativa della cybersicurezza per proporre un modello strutturato, dotato di una forte coerenza teorica e di una chiara spendibilità applicativa.