Assobim spiega perché, con l’adozione diffusa del BIM, la sicurezza e protezione dei dati è diventata un tema centrale e imprescindibile.
Con l’adozione ormai diffusa del BIM (Building Information Modeling) per la progettazione, costruzione e gestione degli edifici, la tutela dei dati è diventata un tema centrale. Usare la metodologia BIM significa produrre, elaborare e condividere una grande quantità di informazioni che spaziano dai dati geometrici fino ai parametri tecnici, ambientali, economici, fino a includere anche informazioni personali, documenti normativi e proprietà intellettuale. Qualsiasi compromissione nella gestione di questi dati può avere effetti negativi rilevanti: errori progettuali, danni economici, danni reputazionali, rischi per la sicurezza fisica e digitale.
La normativa internazionale recepita in Italia attribuisce al tema della sicurezza dei dati una disciplina esplicita: la norma UNI EN ISO 19650-5:2020 definisce un approccio orientato alla sicurezza per la gestione informativa. Essa stabilisce principi e requisiti per l’identificazione e la protezione delle informazioni sensibili che vengono create, ottenute, archiviate o scambiate durante l’intero ciclo di vita di un’opera. Questo standard richiede che ogni attore coinvolto nel processo BIM adotti una mentalità “security-minded”, implementando misure tecniche, organizzative e contrattuali adeguate.
Il rapporto tra BIM e Internet of Things (IoT) amplifica le vulnerabilità. Sensori e dispositivi connessi generano dati in tempo reale su ambiente, stato delle strutture, condizioni operative. L’integrazione di questi dispositivi col modello informativo porta con sé rischi concreti: accessi non autorizzati, manipolazioni, perdita, rivelazione involontaria di dati sensibili. Anche reti di comunicazione, memorie di archiviazione, piattaforme di condivisione dati diventano potenziali punti di attacco.
Tra i principi fondamentali imposti dal quadro normativo e dalle linee guida richieste emerge la necessità di garantire riservatezza, integrità e disponibilità dei dati. La riservatezza assicura che solo persone o sistemi autorizzati possano accedere alle informazioni; l’integrità impedisce alterazioni non volute o dannose; la disponibilità garantisce l’accesso ai dati quando necessario, anche in situazioni di emergenza o malfunzionamenti. Questi principi impongono che il progetto BIM, sin dalle sue fasi iniziali, includa il piano di valutazione del rischio informatico, la gestione degli accessi, la crittografia, il controllo dei dispositivi hardware/software, nonché procedure di backup e disaster recovery.
Le disposizioni normative, nazionali e internazionali, presuppongono che gli attori del ciclo BIM definiscano ruoli e responsabilità chiare in materia di sicurezza dei dati. È necessario che il committente, il progettista, il coordinatore dei modelli informativi, il gestore dell’ambiente di condivisione dati abbiano incarichi ben definiti circa la protezione delle informazioni. Il Common Data Environment (CDE), o piattaforma analoga, funge da hub centrale per lo scambio informativo e per la gestione collaborativa del progetto. La sicurezza del CDE è cruciale: deve prevedere controlli sugli accessi, autorizzazioni differenziate, registrazioni delle attività, protezione della rete, monitoraggio delle anomalie.
Sul fronte pratico il rispetto del GDPR e delle leggi nazionali sulla privacy è requisito imprescindibile. I dati personali trattati all’interno dei modelli BIM, o raccolti tramite dispositivi IoT, richiedono misure di protezione conformi, compresa la nomina del responsabile del trattamento, e la previsione di misure tecniche e organizzative adeguate in base al rischio. Non basta che il modello sia funzionante: il trattamento dei dati deve essere documentato, tempestivo, proporzionato e verificabile.
Infine, l’approccio alla cybersecurity deve essere dinamico: non si tratta di predisporre misure una volta per tutte, ma di gestire un processo in cui la norma ISO 19650-5 prevede la periodicità delle verifiche, audit interni, monitoraggio costante delle minacce e modifica continua dei controlli in risposta all’evoluzione tecnologica e agli attacchi emergenti. La resilienza informativa diventa quindi parte integrante della qualità progettuale.
