C’è una convinzione diffusa, raramente espressa in modo esplicito ma profondamente radicata nel modo in cui le persone usano le reti di comunicazione, secondo cui una rete ben costruita dovrebbe funzionare sempre. Che esistano soluzioni tecniche sufficientemente avanzate da eliminare, almeno in linea di principio, la possibilità di un’interruzione. Questa convinzione non è solo sbagliata. È sbagliata nel modo più pericoloso possibile: sembra ragionevole. Il punto non è che le reti siano progettate male, né che chi le gestisce non faccia il proprio lavoro. Il punto è che ogni rete, indipendentemente dalla sua complessità, dal suo costo e dalla cura con cui è stata realizzata, ha un punto oltre il quale smette di funzionare. Non per negligenza, ma per legge fisica, economica e logica.
Il primo motivo è fisico. Ogni componente di una rete, nodo o collegamento, ha una capacità massima. Un cavo in fibra può trasportare una certa quantità di informazioni al secondo, non una quantità illimitata. Un apparato di instradamento può processare un certo numero di operazioni in un dato intervallo di tempo. Un’antenna può gestire un certo numero di comunicazioni simultanee prima che il segnale cominci a degradare. Questi limiti non sono difetti di progettazione: sono conseguenze dirette delle proprietà fisiche dei materiali e delle leggi dell’elettronica. È possibile aumentare le capacità, sostituire gli apparati, potenziare le infrastrutture. Non è possibile eliminarle. Il limite fisico esiste sempre, anche quando è collocato molto più in alto della domanda ordinaria.
Il secondo motivo è economico. Una rete può essere progettata per reggere carichi molto superiori a quelli attesi in condizioni normali. Ma ogni incremento di capacità ha un costo. A un certo punto, il costo di aggiungere ridondanza o capacità supera il beneficio atteso, soprattutto se i casi d’uso per cui servirebbe quella capacità aggiuntiva sono rari o estremi. Le reti commerciali vengono dimensionate per gestire il carico tipico, con un margine di sicurezza ragionevole. Non vengono dimensionate per il caso peggiore immaginabile. La differenza tra il carico normale e il carico straordinario, come quello che si produce durante un evento di massa o un’emergenza, è spesso sufficiente a mandare in saturazione una rete costruita con criteri ordinari.
Il terzo motivo è logico. In qualsiasi sistema complesso, la ridondanza richiede risorse. Quelle risorse hanno un costo e un peso. Più si vuole proteggere un sistema da eventi rari, più diventa costoso proteggerlo dall’evento successivo, ancora più raro. Esiste sempre un livello di sollecitazione che nessun sistema è stato progettato per sostenere. Un terremoto di intensità sufficiente distrugge le infrastrutture fisiche. Un attacco coordinato può saturare i sistemi di instradamento. Una tempesta geomagnetica intensa può compromettere i collegamenti satellitari e i sistemi di navigazione. Questi eventi non rientrano nei parametri di progetto. Non perché siano trascurati, ma perché renderli gestibili richiederebbe un investimento sproporzionato rispetto alla loro probabilità.
Esiste poi una quarta considerazione, meno intuitiva ma tecnicamente rilevante. Le reti moderne sono sistemi interconnessi: dipendono l’una dall’altra in modi che non sempre sono visibili. Una rete cellulare dipende dalla rete elettrica per alimentare le sue stazioni. Dipende dalla rete di trasporto in fibra per portare il traffico verso il nucleo. Dipende da sistemi di sincronizzazione temporale che spesso si appoggiano a segnali satellitari. Ogni dipendenza esterna è un potenziale punto di rottura indiretto. Un guasto alla rete elettrica non è un guasto della rete cellulare, ma ne può causare l’interruzione con la stessa efficacia. La complessità delle interdipendenze moltiplica i modi in cui un sistema può smettere di funzionare, anche quando la sua struttura interna è integra.
Il punto di rottura, quindi, non è un’anomalia. È una caratteristica strutturale di qualsiasi sistema reale. La domanda corretta non è se una rete abbia un punto di rottura, ma dove si trova quel punto, in quali condizioni viene raggiunto, e cosa succede quando viene superato. Questo cambiamento di prospettiva è fondamentale. Significa passare da un approccio basato sull’illusione dell’affidabilità assoluta a un approccio basato sulla comprensione dei limiti reali. Una rete non è affidabile perché non si rompe mai. Una rete è affidabile perché il suo punto di rottura è collocato abbastanza lontano dalle condizioni operative ordinarie, e perché il suo degrado, quando inizia, è controllato e prevedibile.
Questa distinzione ha conseguenze pratiche dirette. Chi dipende da una rete di comunicazione per attività critiche deve sapere dove si trovano i punti di rottura di quella rete, non per alimentare una preoccupazione fine a se stessa, ma per costruire le proprie procedure e i propri sistemi di backup tenendo conto di quei limiti reali. Una comunicazione che funziona in condizioni normali può non funzionare nel momento in cui è davvero necessaria, esattamente perché quel momento coincide spesso con le condizioni di maggiore stress per la rete. Emergenze, eventi di massa, situazioni straordinarie sono per definizione le condizioni in cui la rete è più probabile che si trovi al proprio limite.
Concludere il Capitolo 2 con questo articolo non è casuale. Tutto ciò che è stato introdotto fin qui, il concetto di rete, i nodi e i collegamenti, l’instradamento, le architetture centralizzate e distribuite, la ridondanza, la resilienza e i colli di bottiglia, converge in questa considerazione finale. Le reti sono sistemi reali, fisici, limitati. Funzionano perché qualcuno le ha progettate, costruite e le mantiene. Smettono di funzionare quando le condizioni superano i limiti per cui sono state costruite. Comprendere questa realtà non è pessimismo. È il punto di partenza per qualsiasi ragionamento serio sull’affidabilità delle comunicazioni, che è esattamente ciò di cui si occuperanno i capitoli successivi.
Siamo su TELEGRAM!
