Durante una riunione formale con i responsabili della cybersicurezza di un'importante Pubblica Amministrazione italiana, è emersa una questione di “determinante” importanza per la sicurezza della rete e la salvaguardia dei dati aziendali. Sebbene il presupposto alla base della richiesta si rivelasse in gran parte errato, l'intera vicenda in chi scrive ha sollevato profonde riflessioni, in particolare per quanto riguarda il Diritto al Lavoro delle persone con disabilità visiva.

I responsabili dell'ente ci hanno sottoposto il caso di un Computer destinato a un dipendente con disabilità visiva, il quale utilizza uno screen reader specifico: NVDA. Il problema evidenziato riguardava l'intercettazione, da parte del sistema di sicurezza, di un file appartenente a un nostro modulo sviluppato per NVDA. Tale file, trattato come potenziale minaccia, veniva automaticamente rimosso, compromettendo l'operatività del Software assistivo.

Inizialmente, abbiamo ipotizzato che la riunione fosse finalizzata a fornire una semplice Assistenza Tecnica, ad esempio, suggerendo il ripristino del file dalla cronologia del sistema. Tuttavia, la discussione si è immediatamente evoluta in una richiesta ben più articolata e complessa, con implicazioni che, se non adeguatamente affrontate, potrebbero interessare tutti i dipendenti con disabilità visiva che si affidano a strumenti assistivi come gli screen reader NVDA o Jaws.

Durante la riunione, un responsabile della cybersecurity dell’ente, dopo aver rilevato la presenza di file di scripting Python (con estensioni .PY e .PYD) all’interno del modulo da noi sviluppato per NVDA – dimostrando, con tutta evidenza, una mancata comprensione del funzionamento e dello scopo stesso dello screen reader – ha proposto una soluzione Tecnica radicale: compilare e pacchettizzare l’intero modulo in un unico file eseguibile (.EXE). La motivazione addotta era di semplificare l’analisi del Software attraverso il sistema di sicurezza interno, isolando il codice in un Formato “controllabile” per validarne l’esecuzione in ambienti protetti.

Tuttavia, questa richiesta ha rivelato un duplice fraintendimento. Da un lato, è emersa una scarsa familiarità con NVDA, strumento open source globale che, per sua Natura, si basa proprio su un ecosistema controllato di scripting Python. Dall’altro, è stata ignorata la logica stessa delle tecnologie assistive: bloccare gli script dinamici (essenziali per il funzionamento di NVDA) in nome della sicurezza avrebbe reso lo screen reader inutilizzabile, vanificandone lo scopo.

La preoccupazione del responsabile era incentrata esclusivamente sul rischio teorico legato all’esecuzione di codice Python nei sistemi aziendali, interpretato come potenziale Vettore di attacchi. Tuttavia, tale approccio non teneva conto né della diffusione e affidabilità di NVDA (utilizzato senza incidenti di sicurezza in migliaia di organizzazioni), né del fatto che la richiesta di “blindare” il modulo in un .EXE - semmai fosse stato possibile farlo - avrebbe introdotto nuovi problemi, paradossalmente, sull'opacità del codice proprio laddove l’open source garantisce trasparenza e verificabilità.

A questo punto, è emerso un evidente malinteso riguardo al funzionamento di NVDA e al suo ecosistema di scripting open source. Ho avuto modo di spiegare in maniera dettagliata, non solo al responsabile che aveva avanzato la richiesta, ma a tutti i responsabili coinvolti, che NVDA è un Software consolidato e diffuso a livello globale. Il suo sistema di scripting, basato su Python, è stato sviluppato e testato in numerosi contesti aziendali e, fino ad oggi, nessun ente al mondo ha registrato problematiche di sicurezza riconducibili a questo specifico utilizzo.

Nonostante tali spiegazioni, il principio sostenuto dal responsabile della cybersicurezza rimaneva ancorato alla possibilità teorica che malintenzionati possano sfruttare il sistema di scripting degli screen reader per eseguire script dannosi, mettendo a rischio l'integrità dei dati aziendali. Il paradosso sta nel fatto che tale principio si estende a qualsivoglia sistema di scripting utilizzato da uno screen reader, sia NVDA o Jaws.

La sicurezza di una rete aziendale dipende primariamente dalle politiche di gestione delle autorizzazioni di esecuzione (execution control) implementate a livello di endpoint, regolate da protocolli come il principio del privilegio minimo e sistemi di Application Allowlisting. Questi meccanismi, gestiti dai team di cybersecurity, definiscono quali processi e script possono essere eseguiti sui dispositivi, riducendo il rischio di attacchi legati a codice non autorizzato.

Al contrario, l’ecosistema di scripting di uno screen reader come NVDA opera in un contesto delimitato e sicuro: gli script Python (estensioni .PY/.PYD) sono progettati per interagire esclusivamente con l’interfaccia utente e le funzionalità accessibili del sistema, senza accesso diretto a risorse critiche o privilegi elevati. Questo approccio è validato dalla sua adozione in contesti sensibili come enti governativi (ad esempio, il governo australiano ne raccomanda l’uso) e istituzioni finanziarie, senza casi rilevati di compromissioni legate agli script.

Bloccare tali script in nome della sicurezza equivale a confondere risk assessment con risk paranoia. Infatti, strumenti come NVDA sono open source, sottoposti a revisioni esterne continue (es. repository GitHub con oltre 1.500 contributori), e allineati a standard internazionali di accessibilità come la Sezione 508 (USA) e la EN 301 549 (UE). Limitare il loro funzionamento non solo viola il Diritto al Lavoro dei disabili visivi (art. 27 della Convenzione ONU sui Diritti delle Persone con Disabilità), ma ignora un principio cardine della cybersecurity moderna: proteggere senza ostacolare.

Le best practice, come quelle delineate dal NIST SP 800-213, suggeriscono di integrare le tecnologie assistive nei framework di sicurezza attraverso whitelisting mirato e monitoraggio comportamentale, anziché bloccarne a priori l’esecuzione. Questo bilanciamento è già applicato con successo in grandi organizzazioni, dove l’uso controllato di NVDA/Jaws coesiste con politiche Zero Trust, dimostrando che sicurezza e inclusione non sono antagoniste.

La problematica in esame va ben oltre la mera questione Tecnica relativa a NVDA o Jaws. Essa evidenzia una lacuna critica nella conoscenza delle tecnologie assistive da parte di alcuni responsabili della sicurezza nelle Pubbliche Amministrazioni italiane. Se tutte le amministrazioni adottassero il medesimo approccio prudenziale, basato su ipotesi infondate, si rischierebbe di bloccare o limitare in modo ingiustificato l'uso degli screen reader, penalizzando così il Diritto al Lavoro delle persone con disabilità visiva.

Una simile mancanza di cultura assistiva non solo minerebbe l'efficacia degli strumenti di supporto, ma potrebbe compromettere l'inclusione lavorativa di una fetta importante della popolazione con disabilità visiva. Perciò, è essenziale che le istituzioni, pur mantenendo elevati standard di sicurezza, acquisiscano una comprensione approfondita delle tecnologie assistive e delle loro modalità operative, al fine di evitare decisioni che possano arrecare danno ai lavoratori con disabilità.

Alla luce di quanto esposto, abbiamo chiarito che, in qualità di sviluppatori del modulo, possiamo garantire la sicurezza e l'integrità del Componente da noi realizzato. Tuttavia, non possiamo assumerci la responsabilità per eventuali rischi derivanti da un utilizzo improprio dello screen reader o da una configurazione inadeguata dei sistemi di sicurezza a livello aziendale. È pertanto necessario che il problema di sicurezza venga affrontato a livello di infrastruttura IT dell'ente, adottando misure idonee a monitorare e proteggere l'intera rete, senza imputare il rischio al Software assistivo. Un approccio integrato, che preveda l'aggiornamento delle policy di sicurezza e una Formazione specifica sui sistemi assistivi, rappresenta la soluzione più equilibrata e funzionale per tutelare sia l'integrità dei dati aziendali sia il Diritto al Lavoro delle persone con disabilità visiva.

Infine, è fondamentale promuovere una cultura della sicurezza Informatica che sia al contempo inclusiva, riconoscendo l'importanza degli strumenti assistivi e garantendo a tutti i lavoratori, indipendentemente dalle loro necessità specifiche, un Ambiente di Lavoro sicuro e Accessibile. Solo attraverso una sinergia tra competenze tecniche e una profonda sensibilità verso le esigenze degli utenti finali potremo assicurare un futuro Digitale in cui la sicurezza non vada mai a discapito dell'inclusione Sociale e lavorativa.

• Principio del privilegio minimo: https://it.wikipedia.org/wiki/Principio_del_privilegio_minimo
• Blocklist e allowlist: https://www.zerounoweb.it/techtarget/searchsecurity/blocklist-e-allowlist-sfide-e-vantaggi-delle-liste-bloccate-e-consentite/
• Repository ufficiale NVDA su GitHub: https://github.com/nvaccess/nvda
• Risk assessment: https://www.dogma.it/it/news/cyber-security-risk-assessment--cos-e-e-come-funziona
• Standard EN 301 549: https://www.etsi.org/standards
• NIST SP 800-213: https://www.nist.gov/itl/applied-cybersecurity/nist-cybersecurity-iot-program/sp-800-213-series