giovedì 28 dicembre 2023

Data Act: il link

Glauco Rampogna (Idraulico della privacy e non solo) mi ha segnalato il link per il Data Act: https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32023R2854.

Del Data Act, poco tempo fa, avevo già riassunto gli obiettivi (norme finalizzate a consentire agli utilizzatori di prodotti e servizi di accedere e utilizzare i dati personali generati dai loro dispositivi connessi) e riportato il link alla pagina del comunicato stampa del Consiglio UE: https://www.consilium.europa.eu/en/press/press-releases/2023/11/27/data-act-council-adopts-new-law-on-fair-access-to-and-use-of-data/.

Saranno scritti fiumi di parole in merito e quindi evito di farlo io.

ISO/IEC 42001 sull'intelligenza artificiale

Monica Perego (Idraulica della privacy) mi ha segnalato la pubblicazione della ISO/IEC 42001:2023 "Information technology - Artificial intelligence - Management system": https://www.iso.org/standard/81230.html.

Riporta i requisiti per un sistema di gestione per l'intelligenza artificiale.

La norma richiede di valutare il rischio non solo relativo all'efficacia del sistema di gestione (come tutte le altre norme relative ai sistemi di gestione come la ISO 9001 e la ISO/IEC 27001), ma anche di condurre valutazioni del rischio relative all'intelligenza artificiale, quindi più tecniche (anche se le due valutazioni potrebbero, almeno in teoria, essere integrate). Richiede anche una valutazione d'impatto dell'IA (ossia una valutazione relativa agli impatti sugli individui e sulla società).

La norma fa riferimento anche alle ISO/IEC 38507 (Governance implications of the use of artificial intelligence by organizations) e ISO/IEC 23894 (Guidance on risk management), che non ho letto e quindi non posso commentare.

I requisiti di valutazione del rischio sono organizzati come nella ISO/IEC 27001, ossia in gran parte nel capitolo 6 (relativo alla pianificazione) e poi richiamati nel capitolo 8 (relativo alle attività operative).

Importanti, infine, gli Annex. Infatti la ISO/IEC 42001 funzione come la ISO/IEC 27001 e ha un Annex A con i controlli da considerare per il trattamento del rischio. Anche da questo punto di vista, introduce elementi tecnici interessanti.

Oltre a ciò, c'è un Annex B con la guida per l'implementazione dei controlli (come la ISO/IEC 27002) e un Annex C con alcuni obiettivi organizzativi relativi all'IA e alcune sorgenti di rischio (qui chiaramente e, finalmente e correttamente, assimilabili alle minacce e non agli agenti di minaccia).

C'è infine un Annex D sull'uso dei sistemi di gestione per l'intelligenza artificiale in diversi domini e settori e sulla loro integrazione con altri sistemi di gestione, a mio parere inutile (ma occupa fortunatamente solo due pagine).

martedì 19 dicembre 2023

Certificazioni OpenSM

Francesco Cagno di Deloitte (e mio collega nel lontano 2008) mi ha segnalato l'iniziativa dell'OpenSM Foundation: https://www.opensm.org/ (il sito va certamente migliorato e l'ho già comunicato a Francesco).

Si tratta, in pochissime parole, di un modello alternativo a ITIL. Nelle intenzioni, dovrebbe anche essere meno pesante di ITIL, proponendo solo 3 certificazioni e un modello meno complicato.

Gli faccio i miei migliori auguri di riuscire a diffondersi e far tornare la "gestione dei servizi" a essere pragmatica.

Condannato per aver danneggiato la rete aziendale dopo licenziamento (negli USA)

Notizia dal SANS Newsbytes: Uno specialista cloud della First Republic Bank (California, USA) è stato condannato a due anni di prigione e a risarcire circa 500mila dollari; dopo essere stato licenziato nel marzo 2020, con le sue credenziali (non disabilitate immediatamente) e il computer aziendale (a casa sua al momento del licenziamento), potè installare malware, cancellare archivi di codice sorgente, bloccare utenti dai servizi cloud e fare altre attività dannose.

Un articolo: https://www.theregister.com/2023/12/12/cloud_engineer_bank_prison/

domenica 17 dicembre 2023

ACN e Garante privacy: Linee guida per la conservazione delle password

Il Garante Privacy e l'Agenzia per la cybersicurezza nazionale (ACN) hanno pubblicato delle "Linee Guida per la conservazione delle #password": https://www.gpdp.it/home/docweb/-/docweb-display/docweb/9962240.

Devo dire che avevo ignorato l'annuncio fino a quando non ho visto un tweet di Filippo Bianchini, che ringrazio.

Però devo richiamare l'attenzione sul fatto che il titolo vero del documento è "Linee guida funzioni crittografiche: Conservazione delle Password" e si capisce immediatamente che non si tratta di un documento con raccomandazioni per tutti i cittadini, ma di qualcosa di più tecnico.

Sono presentati algoritmi crittografici robusti che potrebbero essere usati dai diversi prodotti per la sicurezza delle password. Considerando che oggi gli sviluppatori non sviluppano quasi più meccanismi di conservazione delle password, ma utilizzano librerie fatte da altri, è quindi compito degli sviluppatori e degli amministratori di sistema verificare quali algoritmi sono usati dai prodotti che gestiscono e configurarli opportunamente.

Materia non facile e devo dire che mi sarebbe piaciuta un'analisi dei prodotti più diffusi.

lunedì 11 dicembre 2023

Garante, ASL, Tribunale di Udine e DPIA

Segnalo questo articolo di Silvia Stefanelli dal titolo "Medicina di iniziativa, perché anche il tribunale di Udine ha detto no al Garante privacy": https://www.agendadigitale.eu/sicurezza/privacy/medicina-di-iniziativa-perche-anche-il-tribunale-di-udine-ha-detto-no-al-garante-privacy/.

La lettura è decisamente interessante, ma orientata soprattutto a questioni legate alle ASL.

Però lo segnalo perché c'è un passaggio in cui il Tribunale di Udine non concorda con il Garante circa la necessità di avere una DPIA per una selezione di pazienti fragili in relazione alle complicanze in caso di infezione da Covid-19.

Segnalo infatti, dalle conclusioni di Stefanelli, questo passaggio: "sulla carenza di DPIA ci si chiede quale mai possa essere l’impatto sulla sfera giuridica degli interessati se vengono create liste di pazienti fragili con l’obiettivo di alzare il livello di prevenzione. Tale approccio concreto va appoggiato".

Per approfondimenti rimando all'articolo originale.

AI Act della UE - Accordo del trilogo

Come è noto, è stato raggiunto un accordo tra le istituzioni europee sul cosiddetto AI Act, ossia sulla normativa europea che governerà l'intelligenza artificiale.

Il Parlamento Europeo indica così gli obiettivi della normativa: https://www.europarl.europa.eu/news/it/headlines/society/20230601STO93804/normativa-sull-ia-la-prima-regolamentazione-sull-intelligenza-artificiale.

Come scrive Guerre di Rete: "L’accordo uscito dal trilogo (negoziazioni tra Parlamento, Consiglio e Commissione) in questo momento manca ancora di un testo definitivo a disposizione del pubblico, e molto si giocherà sui dettagli. Per questo motivo anche chi sosteneva la regolamentazione, specie la bozza più attenta alla difesa dei diritti uscita dal Parlamento a giugno, in questo momento sta sospendendo il giudizio in attesa di capire quanto i dettagli daranno margine di manovra agli Stati, alle eccezioni previste, e quanto alla difesa di quei diritti. Senza contare che molti aspetti tecnici saranno messi a terra nelle prossime settimane".

Segnalo questo articolo di Matteo Sironi, che spiega bene lo stato dell'arte e il fatto che non c'è nulla di definitivo: https://formiche.net/2023/12/ai-act-europeo-sironi/.

lunedì 4 dicembre 2023

In Francia vietatata WhatsApp ai ministri in favore di Olvid

Segnalo un articolo dal titolo molto chiaro: "App e cybersecurity, la Francia vieta WhatsApp ai ministri. Dall’8 dicembre si utilizzerà Olvid": https://www.cybersecitalia.it/app-e-cybersecurity-la-francia-vieta-whatsapp-ai-ministri-dall8-dicembre-si-utilizzera-olvid/27716/.

La notizia l'ho avuta dalla newsletter di Project:IN Avvocati.

Il caso è interessante, considerando gli impatti sulla sicurezza, l'avanzare delle proposte tecnologiche europee e le modalità con cui queste sono promosse. In particolare: questo dimostra che l'Italia è indietro? questa pratica porterà a una vera concorrenza verso gli OTT made in USA? questo dimostra la validità delle scelte normative EU, non solo per i diritti dei cittadini ma anche per lo sviluppo economico?

Data Act per l'uso dei dati personali da parte degli interessati

Segnalo la pagina del Consiglio UE dal titolo "Data Act: Council adopts new law on fair access to and use of data": https://www.consilium.europa.eu/en/press/press-releases/2023/11/27/data-act-council-adopts-new-law-on-fair-access-to-and-use-of-data/.

La notizia l'ho presa dalla newsletter Project:IN Avvocati e quindi copio-incollo parte del suo commento: "La nuova legge europea fissa norme finalizzate a consentire agli utilizzatori di prodotti e servizi di accedere e utilizzare i dati personali generati dai loro dispositivi connessi. Il Data Act dovrà ora essere pubblicato nella Gazzetta Ufficiale dell’Unione e entrerà ufficialmente in vigore il ventesimo giorno successivo a tale pubblicazione. La gran parte delle disposizioni della nuova normativa europea cominceranno ad applicarsi 20 mesi dopo l’entrata in vigore".

ISO Survey 2022

L'ISO pubblica annualmente i dati relativi alle certificazioni ISO 9001, ISO IEC 27001, ISO 20000-1, ISO 22301, ISO 28000 e altre, per un totale di 16 sistemi di gestione.

La notizia l'ho avuto dalla newsletter di Accredia, che fa riferimento alla sua analisi: https://www.accredia.it/2023/11/27/iso-survey-2022-italia-1-in-europa-e-2-al-mondo-per-numero-di-certificati.

I dati possono essere scaricati direttamente, anche in formato Excel, dal sito ISO: https://www.iso.org/the-iso-survey.html.

venerdì 1 dicembre 2023

Accredia: equivalenza delle certificazioni UKAS

Ivana Calì di SGS mi ha segnalato questo post di Accredia: https://it.linkedin.com/posts/accredia_valutazioni-organismi-ue-activity-7132749470907138048-ZEu7.

Si fa riferimento a una notizia che avevo dato a maggio con titolo "Accreditamento UKAS non più valido per gli appalti pubblici": http://blog.cesaregallotti.it/2023/05/accreditamento-ukas-non-piu-valido-per.html.

L'aggiornamento attuale è che "Il Consiglio di Stato ha concluso quindi che le certificazioni di qualità rilasciate da organismi stranieri accreditati dall'Ente unico nazionale di accreditamento di altro Stato europeo, firmatario dell'accordo EA MLA, qual è l'ente britannico UKAS, sono equivalenti alle certificazioni di qualità rilasciate da organismi accreditati dagli enti nazionali degli stati membri".