Usare l'IA per la vita personale

Stefania Algerio degli Idraulici della privacy ha segnalato un articolo su La Repubblica dal titolo "Un uomo con probblemi di pressione alta si rivolge a ChatGpt per chiedere consigli alimentari: ricoverato in ospedale per intossicazione da bromuro".  Non ho ritrovato il link all'articolo, ma ho trovato questo: https://tech.icrewplay.com/seguire-i-consigli-alimentari-di-chatgpt-psicosi/.

 

Che l'IA possa sbagliare è un dato di fatto. Preoccupa vedere che le persone si affidano più a un sistema generalista che a un professionista. Ho trovato anche articoli per me inquietanti:

- "Ecco come creare la dieta perfetta con ChatGPT: il tuo piano alimentare su misura in pochi passi!": https://torinocronaca.it/news/tendenze/504826/ecco-come-creare-la-dieta-perfetta-con-chatgpt-il-tuo-piano-alimentare-su-misura-in-pochi-passi.html;

- "Navigatore Nutrizionale" su ChatGPT: https://chatgpt.com/g/g-6X2mwvquO-navigatore-nutrizionale;

- "ChatGPT, come creare un piano di allenamento personalizzato per mantenersi in forma": https://www.punto-informatico.it/chatgpt-come-creare-piano-allenamento-personalizzato/.

 

Anche i professionisti possono sbagliare, ma si spera che lo facciano un po' meno, essendosi specializzati in una certa materia.

 

Sul perché le persone sono sempre più sospettose dei professionisti hanno scritto altri (in sintesi: l'eccesso di competenze crea timore e gli specialisti tendono a commiserare le persone che non hanno le loro competenze).

 

A maggio o giugno sul Corriere della Sera avevo letto un articolo di Gramellini su un caso di una ragazza che aveva chiesto aiuto a ChatGPT perché aveva un fidanzato violento e alla fine il problema non solo non fu risolto, ma la ragazza fu uccisa. Ho trovato questo articolo simile: https://www.fanpage.it/innovazione/tecnologia/ma-questo-e-amore-tossico-ragazza-di-13-anni-chiedeva-aiuto-a-chatgpt-ora-lex-e-accusato-del-suo-omicidio/.

 

Tutto ciò dà da pensare. Io sono specializzato in ambito aziendale, ma penso che certe tendenze ci debbano interessare. Ho già sentito di esperienze di procedure e documenti fatti con l'IA. Bisogna pensare anche all'altra parte della medaglia.

Garante e non solo, ruolo, visibilità e rischi per l'innovazione

Giuseppe Alverone degli Idraulici della privacy ha segnalato questo post su LinkedIn di Giuseppe Corasaniti: https://www.linkedin.com/posts/giuseppe-corasaniti-95832515b_autoritaeqindipendenti-regolazione-innovazione-activity-7363435070356971522-rSjz.

 

In poche parole, critica l'eccesso di protagonismo mediatico del Garante e i rischi per l'innovazione.

 

E in effetti la situazione richiede una riflessione approfondita. Innanzi tutto, ripeto che a me, tutta questa regolamentazione, fa bene agli affari. Però qui si corre il rischio di curare troppo il paziente e perderlo.

 

Dovrei averlo già scritto: le entità legislative vogliono regolamentare e spesso esagerano (basti pensare all'AI Act, che introduce notevoli complessità in parte non necessarie, il Data act introduce altre cose relative alla privacy ma a parte; si pensi anche al pasticcio italiano su NIS2 e PSNC), le autorità di controllo in parte regolamentano (il Provvedimento sugli amministratori di sistema è l'esempio più chiaro di ciò possa essere fatto male; ma nei miei molti post ho dato evidenza delle critiche al Garante privacy e ad ACN) e in parte sanzionano (gli assurdi di questa estate del Garante, oltre che quelli relativi ai mitici metadati sono una dimostrazione di quanto ciò possa essere fatto in modo difficile da seguire), gli organismi di standardizzazione continuano a pubblicare standard (l'ultimo di cui ho avuto notizia è la ISO 56001 sull'innovazione, quasi un ossimoro), auditor e formatori e consulenti di tutti i tipi impongono loro modelli, ogni tanto non adeguati all'organizzazione e ogni tanto obsoleti (ho già scritto sui modelli di valutazione del rischio e su quelli di selezione dei fornitori, ma avrei innumerevoli esempi).

 

Tutto questo fa sì che le organizzazioni devono rincorrere la cosiddetta "compliance", in italiano "conformità", ma propriamente "condiscendenza" o "remissività", come dice la Treccani: https://www.treccani.it/vocabolario/compliance/.

 

E infatti, remissivamente, molte spendono soldi ed energie per adeguarsi, spesso con l'approccio "non si sa mai", ossia facendo anche più di quanto richiesto perché tanti hanno paura di un'autorità inquisitoria (basti vedere quanti rallentano a 50 km/h quando sono presenti autovelox impostati a 70).

 

Capisco che l'Europa voglia regolamentare. Lo fa per impostazione filosofica, che tende a proteggere i cittadini, e di questo ne sono grato e non cambierei mai con gli Stati Uniti, tanto generosi nei media, tanto spietati nella realtà. Lo fa come strategia di mercato, sperando in qualche modo di rallentare l'invasione straniera.

 

Ma in tutto questo, almeno dal punto di vista informatico, nessuno ha sviluppato sistemi alternativi a quelli made in USA. L'ha fatto la Cina (non so più citare un articolo sul Corriere della Sera di fine luglio) e infatti si contrappone fieramente alle provocazioni di Trump, non l'ha fatto l'Europa che ha promosso l'industria 4.0, l'informatizzazione delle scuole (e lasciamo perdere le garanzie dove sono finite, con i giganti USA che ci sguazzano, oltre al modello educativo non ponderato) e... cosa? Alcuni Paesi hanno attuato facilitazioni per l'ingresso dei giganti USA. Ma queste sono strategie miopi.

 

Non lo dico perché voglio l'Europa (o l'Italia) ancora grandi perché penso alla superiorità dell'uomo europeo (che discende anche dal Neanderthal e quindi non avrebbe senso), ma perché il destino di un Paese colonizzato è quello di essere sfruttato e di deperire e non è quello che voglio per i miei figli.

 

Allora cosa fare? Non ne ho idea, ovviamente. So solo che, come minimo, su queste cose bisogna essere consapevoli.

 

Ecco, finalmente ho scritto più o meno quello che ha frullato in testa in questi mesi estivi.

Guida EDPB sui rischi degli LLM

Grazie a un post su LinkedIn di Giovanni Ciano (che conosco e ringrazio), segnalo che l'EDPB ha pubblicato un documento dal titolo "AI Privacy Risks & Mitigations Large Language Models (LLMs)": https://www.edpb.europa.eu/our-work-tools/our-documents/support-pool-experts-projects/ai-privacy-risks-mitigations-large_en.

 

Con le sue 102 pagine è un po' lungo e stavo temendo una vuota verbosità. Invece descrive sinteticamente cosa sono gli LLM e, per chi vuole correre, nelle pagine 29-32, 35-37 e 39-42 riporta i rischi e le azioni per provider (sviluppatori) e deployer (utilizzatori). Ci sono poi 3 esempi molto significativi.

 

Non l'ho letto per bene, ma dovrò farlo.

Specifiche per i VA-PT secondo DORA

Da un post su LinkedIn di Severiano Maria Moiso (che non conosco, ma ringrazio), inoltrato da Sergio Insalaco (che ugualmente non conosco, ma ugualmente ringrazio), segnalo che è stato pubblicato il Regolamento Delegato (UE) 2025/1190 sulle regole per i VA-PT secondo quanto previsto dal Regolamento DORA: https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32025R1190.

 

Intanto una cosa interessante è che il Regolamento non usa il termine di "PT", ma "test di penetrazione guidati da minacce (threat-led penetration testing)" e usa la sigla "TLPT". La definizione si trova nel DORA: "un quadro che imita le tattiche, le tecniche e le procedure di attori reali della minaccia che sono percepiti come minaccia informatica autentica, che consente di eseguire un test dei sistemi di produzione attivi e critici dell’entità finanziaria in maniera controllata, mirata e basata sull’analisi della minaccia (red team)".

 

Il link al post di Sergio Insalaco: https://www.linkedin.com/feed/update/urn:li:activity:7341571875870773248/.

 

A mio parere è interessante leggere le regole stabilite per la selezione del fornitore di PT, sulla composizione dei tester, sui rischi da valutare, per il processo.

 

 

Alberghi, documenti di identità e l'approccio del "non si sa mai"

Dalla newsletter Project:IN Avvocati dell'11 agosto 2025 trovo una notizia interessante: https://www.linkedin.com/feed/update/urn:li:activity:7360536866254729216/.

 

La notizia è ripresa da Wired e ha titolo "Hotel italiani, nel dark web in vendita migliaia di documenti di identità trafugati": https://www.wired.it/article/dark-web-documenti-identita-trafugati-hotel-italiani/.

 

Io che sono pigro, copio e incollo il commento della newsletter: "nei giorni scorsi sono emersi sul dark web (grazie al lavoro di CERT-AgID, come riporta Wired) database contenenti copie di documenti d’identità di tre hotel italiani. Al di là del breach, evidente e delicatissimo: ma perché queste strutture avevano e hanno in memoria i documenti, quando la normativa non lo impone e anzi lo vieta?".

 

Ho chiesto chiarimenti e Francesco Di Maio (uno degli avvocati dietro alla newsletter) mi ha risposto che "L'art. 109 del Testo Unico delle Leggi di Pubblica Sicurezza, più volte novellato, impone a tutti gli esercenti di strutture ricettive di comunicare giornalmente le generalità delle persone alloggiate, da effettuare oggi in via esclusiva attraverso un'applicazione telematica messa a disposizione dal Dipartimento della P.S., che non richiede né prevede alcun caricamento di immagine di documenti, ma solo dati ricavabili da essi, che devono essere inseriti a cura della struttura ricettiva. Va da sé che l'acquisizione di copie di documenti costituisce un trattamento eccedente e, come tale, deve essere valutato poiché non sorretto da alcuna base giuridica. Il manuale utente dell'applicazione è esplicativo https://alloggitiweb.poliziadistato.it/PortaleAlloggiati/SupManuali.aspx".

 

Allora io ho generalizzato la questione pensando che questo dimostra l'approccio del "non si sa mai". Nel caso specifico, le strutture ricettive tenevano copie dei documenti per timore che le forze dell'ordine potessero chiedere prove delle comunicazioni effettuate.

 

Purtroppo l'atteggiamento "non si sa mai" è troppo diffuso. Lo vedo negli audit e lo vedo nell'applicazione della normativa e questo è un problema perché l'applicazione dei requisiti viene appesantita (quando già il requisito non è troppo pesante di suo). Relativamente agli standard, vedo che la loro adozione viene quindi percepita come un onere fastidioso e solo un lavoro paziente di alcuni consulenti e auditor guida le organizzazioni verso un'adozione pragmatica ed efficace degli standard. Dico "alcuni" e intendo "molti", purtroppo non "tutti".

 

Lo stesso approccio, ahinoi, riguarda anche la normativa e qui la situazione è più delicata, perché fare ricorso ha costi anche significativi e molti preferiscono fare anche cose inutili che correre il rischio di sanzioni. Qui dovremmo quindi ragionare sul ruolo delle autorità di vigilanza, che dovrebbero sì vigilare e, se il caso, anche sanzionare, ma anche accompagnare. Il ragionamento dovrebbe quindi essere esteso al bilanciamento tra regolamentazione e innovazione. Lo faccio in un altro post.

 

Pubblicata la ISO/IEC 27018:2025

Grazie a un post di Fabrizio Cirilli su LinkedIn, segnalo che è stata pubblicata la SO/IEC 27018:2025 con titolo "Guidelines for protection of personally identifiable information (PII) in public clouds acting as PII processors": https://www.iso.org/standard/27018.

 

Si tratta della precedente versione del 2019 aggiornata per allineamento alla versione del 2022 della ISO/IEC 27002. In pochissime parole: non c'è nessun cambiamento significativo, ma ovviamente andrà prestata attenzione alle differenze per evitare pasticci.

 

Per chi non lo sapesse, la ISO/IEC 27018 aggiunge alla ISO/IEC 27002 i controlli di sicurezza dei dati personali, applicabili ai fornitori di servizi cloud pubblici. Questi controlli, per chi li volesse applicare, possono essere utilizzati anche per le certificazioni ISO/IEC 27001 e l’organizzazione certificata può avere sul certificato ISO/IEC 27001 una frase del tipo “Certificazione ISO/IEC 27001 con l’aggiunta dei controlli della ISO/IEC 27018”.

 

Per alcuni controlli già presenti nella ISO/IEC 27002, sono fornite linee guida per l’implementazione aggiuntive, specifiche per la sicurezza dei dati personali nell’ambito dei servizi cloud pubblici.

 

In questi ultimi anni, questa aggiunta è stata richiesta in molti contesti e in particolare per la Pubblica amministrazione. Purtroppo però la norma è stata interpretata in modo piuttosto fantasioso (per esempio con certificazioni dedicate o richiedendo di includere nel SOA anche le linee guida per l’implementazione aggiuntive), ma spero che l’ultima circolare Accredia in materia porti ordine.

Microsoft usava programmatori cinesi per i sistemi della Difesa USA

Rimando a questo post di Bruce Schneier dal titolo "Another Supply Chain Vulnerability": https://www.schneier.com/blog/archives/2025/07/another-supply-chain-vulnerability.html.

 

In poche parole, Microsoft usava programmatori cinesi per i sistemi della Difesa USA. La Cina, ricordiamolo, per gli USA è un'avversaria potente nell'ambito dell'informatica. Allora Microsoft aveva previsto dei controlli da parte di personale USA, che però erano ex militari pagati al minimo e senza vere competenze di programmazione.

 

Ahinoi, per vincere una gara si fa quasi di tutto e per accettare il prezzo minimo si accetta quasi di tutto.

 

Ricordo ancora il mio amico che in campeggio ricordava ad alcuni: "hai voluto pagare poco la tenda, eh?".

Sintesi dell'AI Act

Segnalo questo articolo dal titolo "AI Act: la visione europea sull’intelligenza artificiale": https://www.hermescse.eu/ai-act-la-visione-europea-sullintelligenza-artificiale/.

 

Fornisce una buona sintesi del Regolamento europeo per l'IA.

 

Sul commento finale sono in parte d'accordo con l'autore. Sulla relazione tra regolamentazione e innovazione vorrei fare una ulteriore riflessione (anche se qualcosa l'avevo già scritta in passato).

Guide OWASP su IA (AI Exchange e AI Testing Guide)

Andrea Solimeno di Selexi mi ha segnalato la OWASP AI Testing Guide: https://github.com/OWASP/www-project-ai-testing-guide/tree/main/Document.

 

La lettura ha le sue complessità, ma i project leader (Matteo Meucci e Marco Morana) sono di prim'ordine. Io penso che sia particolarmente interessante la lista dei test (https://github.com/OWASP/www-project-ai-testing-guide/tree/main/Document/content/tests) perché li propone per ciascuna minaccia e descrive bene anche ciascuna minaccia.

 

Nella lettura ho trovato il riferimento all'OWAS AI Exchange: https://owaspai.org/.

 

Qui sono chiare le relazioni tra minacce e controlli di sicurezza, anche se non presentati in modo proprio semplice.

 

Ecco: non chiedetemi di raccontarvi cosa ho capito perché non ci farei una bella figura. Magari con il tempo imparerò meglio le varie cose. Più che altro, mi piacerebbe trovare un libro che spieghi queste cose perché un conto è destreggiarsi tra pagine web, un altro è avere un libro, con i pregi e i difetti di una presentazione consecutiva degli argomenti (purtroppo c'è tantissima letteratura su come sarà il mondo con la diffusione dei sistemi con IA, ma sembra poca e dispersa quella su come mettere in sicurezza questi sistemi).

Mio articolo sulle misure ACN per NIS2

Ho scritto un articolo dal titolo "Nis2, ecco le misure dell’Acn per la sicurezza delle imprese": https://www.agendadigitale.eu/sicurezza/nis2-ecco-le-misure-dellacn-per-la-sicurezza-delle-imprese/.

 

Mi ha aiutato Monica Perego, Idraulica della privacy.

 

Nulla di nuovo, nulla di innovativo. Se qualcuno ha però qualcosa da segnalarmi, lo prego di farlo.

 

NIS2: Aggiornamento determina ACN per aggiornamento annuale

Copio e incollo direttamente dalla newsletter di Project:IN Avvocati:

Non poteva mancare una determina il giorno di chiusura del periodo di notifica dei dati da parte di soggetti essenziali e importanti ai sensi della "Direttiva NIS 2": così ACN ha pubblicato la determina n. 283727 del 22 luglio 2025 che sostituisce la n. 136117 del 10 aprile 2025. Il testo aggiusta e amplia le precedenti posizioni dell'Agenzia, ponendo le basi per l'implementazione pratica ed effettiva delle norme di cybersicurezza poste a protezione del "perimetro nazionale", in particolare riguardo all'utilizzo della piattaforma digitale di comunicazione tra soggetti NIS e Autorità.

 

Di mio aggiungo il link alla pagina web di ACN: https://www.acn.gov.it/portale/nis/aggiornamento-informazioni.

 

Non ho trovato nulla di particolarmente significativo.

Aggiornato il DPCM 81 del 2021 del PSNC

E' stato pubblicato il DPCM 111 del 2025 che aggiorna il DPCM 81 del 2021: https://www.normattiva.it/eli/id/2025/08/01/25G00116/ORIGINAL.

 

In sostanza, quando le organizzazioni del PSNC notificano un incidente, devono anche classificarlo secondo una tassonomia stabilita dal DPCM 81 del 2021 (che aveva 19 tipi), ora aggiornata con il DPCM 111 del 2025. La modifica è stata l'aggiunta di un solo tipo, ossia il "Accesso non autorizzato o con abuso dei privilegi concessi".  

 

Non ho mai apprezzato questa tassonomia, in troppi punti troppo generica (però non l'avevo mai studiata con attenzione). Avevo ragione a non apprezzare, visto che l'accesso abusivo prima non ci fosse e ci abbiano messo 4 anni a intervenire.

Buone pratiche di cybersecurity di base per i dipendenti delle PP.AA.

ACN ha pubblicato il "Vademecum: Buone pratiche di cybersecuritydibase per i dipendenti delle PP.AA.": https://www.acn.gov.it/portale/vademecum-dipendenti.

 

Si tratta, a farla breve, di una presentazione di 28 slide divisa in due parti: la prima riguarda il perché la sicurezza informatica è importante, la seconda presenta 12 "buone pratiche".

 

Nulla di nuovo sotto il sole, ma mi pare materiale ben fatto. Per chi ha già del materiale proprio, può valere la pena verificare se include tutte e 12 le buone pratiche. Io dovrò sicuramente inserire qualcosa sull'uso di sistemi IA, prendendo spunto dall'ultima slide.

 

Visto che mi piace criticare ACN, lo faccio anche adesso:

- il documento non è datato e neanche la pagina web di riferimento; neanche "2025" c'è, accipicchia;

- sono andato sulla home page per cercare questo vademecum (l'avevo inizialmente ignorato, poi però ho pensato che dovevo ripensarci e volevo ritrovarlo) e non l'ho trovato neanche con la ricerca (che mette i documenti in ordine casuale di data); però dalla home page sappiamo che Frattasi ha fatto i complimenti agli italiani delle Cyber olimpiadi e ACN ha incontrato la Repubblica del Mozambico; tutto bene.

Gli uomini possono fare tutto (luglio 2025)

Voglio qui parlare della scuola media, dopo 3 anni vissuti come padre, perché gli uomini possono aiutare i ragazzi con i compiti, partecipare alle assemblee di classe e discutere con gli altri genitori anche sulle temutissime chat dei genitori.

Cercherò di evitare l’effetto Dunning – Kruger. Cercherò anche di collegare alcune riflessioni sui sistemi di gestione, di cui invece ho qualche competenza. Premetto anche che la mia esperienza è limitata ai miei figli (e uno non le ha ancora finite) e a confronti con altri genitori.

Uno. Il nozionismo è aumentato, nonostante già negli anni Ottanta era criticato (è anche aumentato il peso dei libri, anch’esso criticato all’epoca).

Due. I temi, e quindi l’esercizio di esprimere opinioni ed esercitare la creatività, non sono più necessari, anche se poi l’esame di terza ne prevede uno con 3 tracce (a mio figlio è stato assegnato un solo tema, neanche argomentativo, e ha avuto un libro da leggere all’anno, non di più).

Tre. I test Invalsi sono spesso scollegati dalle solite verifiche, soprattutto in Italiano (comprensione del testo, mentre nei 3 anni le verifiche erano state di grammatica e di storia della letteratura) e matematica (30 domande a cui rispondere in 75 minuti, mentre le verifiche nei 3 anni consistevano in alcune domande puntuali, un paio di problemi di geometria e un paio di espressioni o equazioni di algebra).

Quattro. La scarsa considerazione dei ragazzi con DSA. Infatti nei test Invalsi, gestiti dal Ministero, non valgono le misure compensative, tranne l’aggiunta di tempo e la lettura sintetica al computer.

Cinque. Ai ragazzi non sono insegnate le modalità per organizzarsi. Non è insegnato come si usa il diario, come si presentano le verifiche (ho visto usare fogli di ogni tipo e gran sorpresa per la professoressa che in terza voleva che scrivessero bene nome e cognome e data nell’intestazione), come si organizzano i quaderni e gli appunti.

Sei. Gli stessi insegnanti sono disorganizzati e lo si vede da come assegnano i compiti: a voce o alla lavagna di fretta a fine lezione, sul registro elettronico o su un sistema di condivisione file a qualsiasi orario anche nel fine settimana.

Sette. I ragazzi sono deresponsabilizzati rispetto agli anni Ottanta. Infatti adesso sul registro elettronico vengono scritti i compiti, i voti e le note, spesso senza neanche dirlo ai ragazzi. In passato erano i ragazzi a doverli comunicare (o nascondere) ai genitori, ora sono i genitori, e non gli insegnanti, a comunicarli al ragazzo.

Otto. Gli insegnanti non hanno ricevuto istruzione su come insegnare, né sulle caratteristiche dei ragazzi con DSA (disturbi specifici di apprendimento). Questo ha poi una conseguenza: se loro dimostrano di non essersi impegnati a capire le difficoltà di questi ragazzi, sono ritenuti ipocriti, e quindi ignorati, quando richiedono impegno.

Questo ha anche impatti sociali importanti. Infatti i più bravi, con famiglie che li seguono bene, vanno avanti, mentre i meno bravi (in particolare quelli con DSA e gli immigrati o i figli di immigrati che hanno difficoltà di lingua e di capacità di supporto) vengono anche umiliati. Il risultato è che iniziano ad allontanarsi dalla scuola e a frequentare “cattive compagnie”, con tutte le difficoltà che ne conseguono.

Una prima analisi delle cause è che alcune deviazioni si siano presentate piano piano senza però una vera riflessione sulle conseguenza finali. Per esempio: l’aumento del carico di lavoro, da “ingozzatoio”, come dice Daniela Lucangeli, è corretto? l’uso incontrollato degli strumenti informatici da parte dei professori che effetti positivi e negativi potrebbe avere? Le 6 ore di scuola al giorno per 5 giorni al posto di 5 ore in 5 giorni sono adeguate per i ragazzi (a parte i genitori e gli insegnanti)? Anche strumenti come le interrogazioni a sorpresa dovrebbero essere analizzati se veramente utili, anche perché all’università non ci sono. Insomma: manca una pianificazione.

A mio parere, una seconda analisi delle cause, riguarda l’aumento del nozionismo, che lo ha reso centrale rispetto a tutto il resto e riempie completamente il tempo disponibile, con una conseguente frenesia e disorganizzazione anche da parte degli insegnanti.

Però alla fine sappiamo che la causa profonda è il mancato impegno della Direzione. In questo caso il Ministero dell’istruzione. Infatti, più o meno nell’ordine:

• non sono chiari gli obiettivi delle medie (ingozzatoio di nozioni o apprendimento di un’organizzazione?);
• le poche indicazioni per le competenze reperibili sono incomprensibili (il Decreto del MIUR 254 del 2012 con titolo “Regolamento recante indicazioni  nazionali  per  il  curricolo  della scuola  dell'infanzia  e  del  primo  ciclo  d'istruzione” non dice quasi nulla, ma in 74 pagine);
• gli Invalsi costituiscono un’eccezione alle misure compensative per i ragazzi con DSA; se il Ministero non le ritiene valide, non si capisce perché debbano farlo i professori;
• gli insegnanti sono selezionati sulle nozioni relative alle materie di insegnamento, non sulle modalità di insegnamento, sulla pedagogia, sulla psicologia, su come affrontare i ragazzi con difficoltà, eccetera;
• non sono fornite indicazioni chiare e semplici da leggere agli insegnanti e alle famiglie (su questo bisogna riflettere che i professori della secondaria inferiore sono circa 155 mila ed è assurdo pensare che ciascuno possa inventarsi una professionalità senza un supporto, che non può neanche essere fornito dalle scuole, sempre più accorpate con la presenza di tanti ordini di studio);
• c’è l’illusione che si possa seguire un approccio personalizzato per alunno e istituto e professore e materia, quando sappiamo che così non è né può essere, considerando i grandissimi numeri;
• le poche indicazioni sono difficili da reperire (sul sito del MIM ho trovato solo le “Linee di indirizzo per favorire il diritto allo studio degli alunni adottati”, sotto la voce “URP”, ufficio relazioni con il pubblico, come se non riguardassero l’insegnamento), a differenza delle esternazioni sporadiche del ministro di turno;
• sono chiesti ai professori sempre più adempimenti burocratici, che tolgono loro tempo ed energie all’insegnamento (lungi da me criticare ogni forma di burocrazia, ma un esempio emblematico è la “certificazione delle competenze”, documento scorretto teoricamente e inutile da un punto di vista pratico, ma fa carta).

Linee guida CNIL per sviluppare i sistemi con IA

La CNIL ha pubblicato la pagina web con titolo "Développement des systèmes d’IA : les recommandations de la CNIL pour respecter le RGPD": https://www.cnil.fr/fr/developpement-des-systemes-dia-les-recommandations-de-la-cnil-pour-respecter-le-rgpd.

Sì, è in francese, ma credo si capisca abbastanza.

Sì, non dice niente di troppo nuovo, ma è tutto in buon ordine, sintetico e abbastanza pragmatico, quindi è apprezzabile.

Grazie alla newsletter di Project:IN Avvocati per averlo segnalato.

Codice di condotta per i modelli di IA per finalità generali

A inizio luglio la Commissione europea ha pubblicato "The General-Purpose AI Code of Practice": https://digital-strategy.ec.europa.eu/en/policies/contents-code-gpai.

La definizione di modello di IA per finalità generali è data del Regolamento IA: modello di IA che sia caratterizzato una generalità significativa e sia in grado di svolgere con competenza un'ampia gamma di compiti distinti.

Non l'avevo segnalato subito per due motivi:

• credo che debba ancora esserne pubblicata la versione definitiva (a breve, comunque);
• non credo che siano molti gli sviluppatori di tali modelli.

Però alcune indicazioni sulla trasparenza e la gestione del diritto d'autore mi sembrano interessanti per tutti. La parte sulla sicurezza è invece troppo generica.

ISO/IEC 27031:2025 sulla continuità operativa per l'ICT

E' stata pubblicata la ISO/IEC 27031:2025 "Information and communication technology readiness for business continuity": https://www.iso.org/standard/27031.

Ringrazio Chiara Ponti per avermelo segnalato.

Alcune mie riflessioni:

• temevo fosse troppo basata sui documenti, invece no;
• richiede di condurre una valutazione del rischio del tipo FMEA per ogni componente del sistema e questo è invece un po' eccessivo;
• se capisco bene, la norma prevede 3 fasi: interruzione totale, ripristino con MBCO, ritorno alla normalità; sappiamo bene che in realtà ce ne sono di più, però il modello di base è questo;
• a mio parere si confonde perché da una parte dice che l’RTO riguarda tutto il tempo di ripristino, ma (in figura 1) dice che il recovery finisce con il ritorno alla normalità;
• rimane un po’ antico, considerando solo tecnologie di hot standby, warm standby, cold standby e ship-in arrangements, senza citare i sistemi active-active o il possibile ricorso al cloud.

Trovo interessante la lista dei possibili test: ripristino di un solo file o di un database, ripristino di un singolo server, ripristino di un'applicazione, guasto di servizi su una piattaforma ad alta affidabilità, guasto di rete.

Quando il cloud crolla

Segnalo questo articolo dal titolo "Quando le nuvole fanno PLOP!": https://www.linkedin.com/comm/pulse/quando-le-nuvole-fanno-plop-antonio-ieran%C3%B2-h7swf.

Il tono è sarcastico, forse c'è un pelo di pubblicità alla soluzione di Proofpoint (immagino perché Ieranò l'abbia sperimentata personalmente), sicuramente ci sono cose che val la pena ripassare anche se in modo sintetico (fare i test di DR, prepararsi i comunicati verso i clienti, eccetera).

 

UNI 11980:2025 sulla distruzione supporto di dati

E' stata pubblicata la  UNI 11980:2025 "Distruzione supporto di dati - Requisiti e indicatori di conformità per i processi di distruzione di supporti di dati": https://store.uni.com/uni-11980-2025.

Si tratta di una specificazione ulteriore di quanto richiesto dalla ISO/IEC 21964 "Destruction of data carriers".

E' stato molto interessante partecipare ai lavori e ringrazio Luciano Quartarone per averli guidati.

Una richiesta: non segnalatemi quanto sia assurdamente alto il prezzo (85 €) per questo documento di 22 pagine.

DORA e regole per i subfornitori (utili per tutti)

La Commissione Europea ha emesso, il 25 marzo, il Regolamento delegato (UE) 2025/532 con le "norme tecniche di regolamentazione che specificano gli elementi che l’entità finanziaria deve determinare e valutare quando subappalta servizi TIC": https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32025R0532.

Penso sia interessante per tutti. Ricordo che TIC (Tecnologie dell’informazione e della comunicazione) è la traduzione in italiano di ITC (o ancora più semplicemente IT).

Trovo soprattutto interessante come richiede di valutare la criticità della fornitura e del subappalto dei servizi IT. Gli elementi da considerare sono (sintetizzo):

• il tipo di servizi IT offerti dal fornitore e dai suoi subappaltatori;
• la sede del subappaltatore di TIC e dove sono trattati i dati;
• la lunghezza e la complessità della catena di subappaltatori;
• la natura dei dati condivisi con i subappaltatori;
• se i subappaltatori sono soggetti a vigilanza o sorveglianza da parte di un’autorità competente in uno Stato membro o di uno Stato non membro;
• se il servizio IT è concentrato su un numero ridotto o meno di subappaltatori;
• se il subappalto incide sulla trasferibilità dei servizi a un altro fornitore di servizi;
• il potenziale impatto di perturbazioni sulla continuità e sulla disponibilità dei servizi.

Viene quindi richiesto, all'organizzazione che usa i servizi, di valutare e monitorare le capacità del proprio fornitore di controllare la catena di approvvigionamento.

Mi sembra poi interessante la richiesta di valutare se il fornitore e i subfornitori permettono l’esercizio dei diritti di audit, ispezione e accesso da parte delle autorità competenti.

Ringrazio Franco Vincenzo Ferrari per avermi segnalato la pubblicazione di tale regolamento.

28 giugno: Guasto ai radar del Nord Italia

Il 28 giugno, dicono, c'è stato un sovraccarico delle linee di comunicazione negli aeroporti del nord e che ha bloccato il loro sistema radar. Il risultato: tantissimi voli non decollati deviati in altri aeroporti (Firenze e Pisa, principalmente).

Christian Bernieri ha scritto il suo pezzo su come un'emergenza così è stata mal gestita: https://garantepiracy.it/blog/emergenza/.

C'ero anch'io e non ci siamo incontrati all'aeroporto Pisa per puro caso. 

Le mie riflessioni sono diverse rispetto a quella di Christian. Io penso all'incidente, di cui ho trovato qui una descrizione: https://tg24.sky.it/cronaca/2025/06/28/traffico-aereo-sospeso-italia.

ENAV attribuisce la responsabilità a TIM, ma vengono in mente almeno due questioni. La prima è che la linea principale e quella di backup fossero sempre di TIM (una terza, quella che poi aveva funzionato, seppur in modo limitato era invece con un altro operatore). Solitamente si consiglia di usare sempre operatori diversi, anche se poi in Italia quasi tutti usano l'infrastruttura TIM. 

La seconda è che sembra che la linea di backup fosse in stand-by. Questa non è una soluzione ottimale, soprattutto se consideriamo la criticità del servizio. Infatti in casi come questi sarebbe opportuno avere due linee sempre attive in load balancing. Per questa riflessione ringrazio un mio cliente.

Un'ultima riflessione riguarda la valutazione del rischio, sicuramente fatta da ENAV. Io, senza troppa fantasia, avrei selezionato solo 5 scenari: mancanza di sede, mancanza dei sistemi IT, mancanza di connettività, mancanza di personale, mancanza di fornitori. Questo approccio semplicistico avrebbe permesso di identificare il rischio, alla faccia di chi propone modelli più complessi (poi, lo ammetto, avrei accettato come valida la soluzione active-standby).

Queste riflessioni sono fatte in mancanza di dettagli certi, ma solo su "sentito dire". C'è un'indagine in corso da parte di ENAC. Penso che sia sempre opportuno riflettere su questi incidenti, purché sia fatto rispettando gli attori coinvolti sia perché le informazioni sono incerte sia perché non sono sicuro che sarei stato capace di fare meglio.

Cervello e ChatGPT

Segnalo questo articolo (grazie alla newsletter di DFA) dal titolo "Il tuo cervello e ChatGPT: il prezzo del debito cognitivo e come evitarlo": https://www.thesundayprompt.com/il-tuo-cervello-e-chatgpt-il-prezzo-del-debito-cognitivo-e-come-evitarlo/.

Esso riassume uno studio del MIT di 206 pagine dal titolo "Your Brain on ChatGPT: Accumulation of Cognitive Debt when Using an AI Assistant for Essay Writing Task": https://arxiv.org/abs/2506.08872. 

La sostanza è semplice: usare gli LLM atrofizza, in qualche modo, le capacità intellettuali ed è quindi opportuno attivare strategie per evitare questo effetto.

Guide ENISA per NIS2 (per fornitori di servizi IT)

ENISA, la European Union Agency for Cybersecurity, ha pubblicato, come richiesto dalla Direttiva NIS 2, due guide per l'implementazione della Direttiva stessa.

La prima è destinata ai fornitori di servizi IT ed è la "NIS2 Technical Implementation Guidance": https://www.enisa.europa.eu/publications/nis2-technical-implementation-guidance.

Più precisamente, si tratta di una guida per l'implementazione della Commission Implementing Regulation (EU) 2024/2690, destinata a fornitori di servizi DNS, registri dei nomi di dominio di primo livello, fornitori di servizi di cloud computing, fornitori di servizi di data center, fornitori di reti di distribuzione dei contenuti, fornitori di servizi gestiti, fornitori di servizi di sicurezza gestiti, fornitori di mercati online, di motori di ricerca online e di piattaforme di servizi di social network e prestatori di servizi fiduciari.

Il documento è lungo 170 pagine e non mi sembra riporti cose inutilmente fantasiose. Anzi, mi sembra che riporti misure pragmatiche al punto giusto, con descrizioni destinate a non esperti di sicurezza informatica.

La seconda è destinata a tutti i soggetti NIS 2 e ha titolo "Cybersecurity roles and skills for NIS2 Essential and Important Entities": https://www.enisa.europa.eu/publications/cybersecurity-roles-and-skills-for-nis2-essential-and-important-entities.

Questa seconda riporta qualche esempio ed elenca 12 ruoli che coinvolti nell'implementazione e nel mantenimento della sicurezza informatica. Non mi sembra una guida particolarmente illuminante.

CEN TS 18170:2025 per i servizi di archiviazione

Franco Vincenzo Ferrari mi ha segnalato questo post su LinkedIn relativo alla CEN TS 18170:2025 Functional requirements for the electronic archiving services, ossia una delle norme che dovrà regolamentare i servizi di conservazione a livello europeo: https://www.linkedin.com/posts/danielalucia-calabrese-422a036b_eaqtsp-eidas2-sip-activity-7333160308481384448-UaVA.

Quindi la strada verso una conservazione a livello europeo è in corso. Quanto tempo ci si metterà non so né posso dire, visto che la REM è stata immaginata nel Regolamento eIDAS ormai nel 2014 e noi stiamo ancora usando tutti la PEC.

 

Circolare Accredia e certificazioni ISO/IEC 27017, ISO/IEC 27018 eccetera

A novembre 2024, Accredia ha pubblicato la Circolare tecnica DC N° 39/2024 - Disposizioni e aggiornamenti in merito all’accreditamento ISO/IEC 17021-1 degli Organismi di Certificazione a fronte della ISO/IEC 27001 e ISO/IEC 27701: https://accredia.it/documenti/circolare-tecnica-dc-n-39-2024-accreditamento-iso-iec-17021-1-a-fronte-della-iso-iec-27001-e-iso-iec-27701/.

Con un certo ritardo ha finalmente regolato il fatto che per le linee guida che estendono i controlli della ISO/IEC 27001 non vanno emessi certificati, ma l'estensione va indicata nell'ambito della certificazione.

Poi ci sono, ahinoi, ancora auditor che chiedono di indicare sul SOA anche come si applicano le linee guida aggiuntive per l'implementazione dei controlli ISO/IEC 27001. E vai a spiegare che sono, appunto, linee guida e non controlli da inserire nel SOA (ci sono già).

Cronologia per l'attuazione dell'AI Act

Dalla newsletter di Project:IN Avvocati: "Il Parlamento europeo ha pubblicato una cronologia per l'attuazione dell’AI Act, descrivendone in dettaglio la storia, lo scopo, le disposizioni e le fasi di attuazione. La legge sull'intelligenza artificiale, entrata in vigore nel 2024, ha una data di applicazione generale fissata al 2 agosto 2026, con piena efficacia prevista entro il 2027. Tra le date chiave figurano l'entrata in vigore dei capitoli sulle disposizioni generali e sulle pratiche di intelligenza artificiale vietate nel febbraio 2025 e la pubblicazione delle linee guida per i sistemi di intelligenza artificiale ad alto rischio nel febbraio 2026. La cronologia include anche il completamento dei codici di condotta GPAI e l'entrata in vigore delle disposizioni relative a governance, sanzioni e riservatezza".

Il documento in pdf, in inglese, è scaricabile da qui: https://www.europarl.europa.eu/thinktank/en/document/EPRS_ATA(2025)772906.

Garante privacy e conservazione email e metadati 05 - Provvedimento Regione Lombardia

Il Garante privacy ha pubblicato il Provvedimento del 29 aprile 2025 [10134221]: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10134221.

Esso riporta valutazioni (e sanzioni) relativamente ad alcuni trattamenti svolti da Regione Lombardia nell'ambito del lavoro agile. Fornisce importanti indicazioni e anche elementi di riflessione. Provo a sintetizzare quanto ho capito e i miei dubbi.

Il primo punto riguarda la necessità di accordo sindacale e DPIA per raccogliere i log di navigazione Internet, di uso dell'email e di tracciamento delle richieste di assistenza. In pratica è richiesto accordo sindacale e DPIA per poter usare questi strumenti, ossia sempre. Interessante osservare che la DPIA non era prevista così esplicitamente dall'elenco dell’11 ottobre 2018 [doc. web n. 9058979].

Il secondo punto riguarda i tempi di conservazione dei log dell'email pari a 21 giorni e dei log di navigazione Internet pari a 90 giorni. Il Garante l'aveva esplicitato a giugno 2024 e Regione Lombardia segnala che il Provvedimento riguarda trattamenti precedenti. Il Garante ha risposto che dovevano arrivarci da soli. Insomma: sapevatelo! 

Il terzo punto è figlio del precedente: il Garante in sostanza ha fatto lui l'analisi del rischio del trattamento dei log e la impone a tutti, alla faccia dell'accountability che evidentemente non permea il GDPR (ricordate la parola magica degli anni 2016-2018?). Viene solo accennato al fatto che il rischio è l'indiretto controllo a distanza dell’attività dei lavoratori, mentre non è detto se tale rischio era stato considerato. In altre parole: il GDPR chiede di valutare i rischi e non impone i tempi di conservazione, ma dal Provvedimento non si capisce se tale rischio era stato valutato, vero elemento di mancato rispetto o meno del GDPR.

Su questo, Christian Bernieri ha diffuso un post su LinkedIn con un ulteriore commento di Marco Marazza: https://www.linkedin.com/posts/bernieri_garante-provvedimento-29-aprile-2025-activity-7338612228230725633-kR9R

Il quarto punto è anch'esso collegato ai precedenti. Mi pare che anche per il sistema di ticketing i ticket andrebbero anonimizzati dopo 90 giorni e questo sembra non tenere conto della tracciabilità delle attività a scopo operativo, di ricostruzione degli eventi in caso di problemi e di tracciamento a scopo audit. Io faccio audit e se chiedo chi ha fatto i test di una determinata messa in esercizio e quando, è necessario saperlo, anche per dimostrare la separazione dei compiti. Mi pare che il Provvedimento non rifletta sul bilanciamento delle esigenze e degli effettivi rischi per gli interessati.

Il quinto punto riguarda il fatto che Regione Lombardia si era dimenticata di dire a un fornitore subentrante che avrebbe avuto accesso al precedente sistema di ticketing con tanto di dati personali degli operatori che avevano trattato i ticket. Da ricordarsene la prossima volta.

Il sesto punto riguarda il fatto che richiede che i log dei tentativi di accesso a siti proibiti vanno anonimizzati. Da ricordarsene, sempre che il sistema di logging lo permetta.

Il settimo punto riguarda le verifiche graduali e progressive. C'erano già nella Delibera del 2017 su email e Internet. Come poi si possano fare con i dati anonimizzati è per me un mistero.

Infine (ottavo punto) dice che le persone vanno designate, mentre il GDPR dice che vanno autorizzate. Mi pare ci sia un certo disallineamento, anche concettuale (tra designazione e autorizzazione ci sono differenze).

Mi pare che con questa sentenza si evidenzino alcune esagerazioni di interpretazione. Però se qualcuno volesse discuterne, ne sarò ben lieto (anche perché penso che forse qualche cosa mi sia sfuggita).

NIS2: Gestione incidenti significativi

Il D. Lgs. 138 di recepimento della NIS2, sulla base della definizione della Direttiva NIS2, dice che un incidente è considerato significativo se: a) ha causato o è in grado di causare  una  grave  perturbazione operativa  dei  servizi  o  perdite  finanziarie  per   il   soggetto interessato; b) ha avuto ripercussioni o è idoneo a  provocare  ripercussioni su altre persone fisiche o giuridiche causando  perdite  materiali  o immateriali considerevoli".

ACN, con la determina del 14 aprile, oltre a fornire "misure minime", fornisce anche le definizioni di "Incidenti significativi di base per i soggetti importanti" e "Incidenti significativi di base per i soggetti essenziali". Le definizioni sono decisamente generiche. La prima è "IS-1. Il soggetto NIS ha evidenza della perdita di riservatezza, verso l’esterno, di dati digitali di sua proprietà o sui quali esercita il controllo, anche parziale". Le altre sono altrettanto generiche.

Con la definizione di ACN, andrebbe mandata notifica per ogni evento, anche minimale, con impatto su riservatezza, integrità o disponibilità delle informazioni in formato digitale.

Immagino si debba applicare il combinato disposto, che in definitiva è la definizione del D. Lgs. 138. Ho ricevuto poche risposte in merito.

Ovviamente questo non si applica ai fornitori di servizi IT in ambito NIS2 perché devono usare anche le definizioni dell'Implementing Act 2024/2690, decisamente più specifico.

VERA 8

Dovrei aver finito. Il VERA 8 è qui: https://github.com/CesareGallotti/VERA.

In italiano e in inglese e anche con i manuali aggiornati.

Se mai qualcuno dovesse sentirsi in colpa e troverà il coraggio per affrontare i sensi di colpa, potrà cancellarli da questo viaggio sottoscrivendo alla mia newsletter: https://infosecandquality.substack.com/.

Se no, continui a usarlo gratuitamente che va bene lo stesso. Almeno ho la soddisfazione di fare audit e consulenze e vedere meno modelli assurdi e complicatissimi (ce ne sono anche di ottimi diversi dal mio e danno anch'essi soddisfazione).

Accessibilità digitale

Segnalo questo articolo dal titolo "Accessibilità digitale: quadro normativo europeo e italiano, tecnologie e opportunità di mercato": https://www.hermescse.eu/accessibilita-digitale-quadro-normativo-europeo-e-italiano-tecnologie-e-opportunita-di-mercato/.

Parla delle normative relative all'accessibilità (WAD e EAA, recepite in Italia e di cui avevo parlato a loro tempo).

Gli uomini possono fare tutto (Giugno 2025)

Il Milanese imbruttito, uomo, ha potuto pubblicare sul suo sito un articolo dal titolo "Festa della mamma, cose che vorremmo DAVVERO al posto dei fiori del caz*o": https://imbruttito.com/2025/05/07/festa-della-mamma-cose-vorremmo-davvero.

Ovviamente non l'ho segnalato a maggio, in modo da poterci pensare anche a giugno.

Disobbedire, una competenza

Lorenzo Foffani fa anche l'allenatore di calcio (di un mio figlio). Lo fa volontariamente ed è molto bravo.

Ha fatto questo intervento dal titolo "Disobbedire: la nuova competenza dell’innovazione?": https://www.youtube.com/watch?v=4cnGZjMieMY.

E' in italiano ed è in video. E' anche di promozione per la società per cui lavora. Però è interessante.

La sua prima versione era in inglese e in formato testo: https://www.linkedin.com/pulse/hard-discipline-creative-disobedience-lorenzo-foffani-mbnkf.

In sintesi: per disubbidire bisogna essere (molto) competenti. Penso però che questo concetto sia capito da pochi.

Chi fa il mio lavoro sa che tanti non seguono le procedure o, peggio, le contestano senza però capire le motivazioni che hanno portato a quei processi e quelle regole. 

Ricordo il magnifico racconto Cromo di Primo Levi che, dall'altra parte, ci ricorda che le procedure vanno ridiscusse.

Virus nei driver di una stampante

Claudio Sartor, che ringrazio, mi ha segnalato questo podcast (anche in formato scritto) dal titolo "Il cripto-ladro è nella stampante e ruba un milione di dollari": https://attivissimo.me/2025/05/26/podcast-rsi-il-cripto-ladro-e-nella-stampante-e-ruba-1-milione-di-dollari/.

Il testo è scritto in modo molto piacevole (e già questo è inconsueto, ahinoi, nel nostro mondo), oltre che interessante.

In brevissimo: un gruppo di ladri di criptovalute è riuscito ad infettare i driver di una stampante. Questo ci insegna a stare sempre attenti, per quanto improbabile possa sembrare l'attacco.

Guida CISA per la sicurezza dell'OT

Chiara Ponti ha segnalato agli Idraulici della privacy la guida "Primary Mitigations to Reduce Cyber Threats to Operational Technology" della Cybersecurity and Infrastructure Security Agency (CISA) statunitense: https://www.cisa.gov/resources-tools/resources/primary-mitigations-reduce-cyber-threats-operational-technology.

Il CISA è un esempio di sinteticità. Forse eccessiva, ma compensa la prolissità di troppi altri.

L'IA è più persuasiva degli esseri umani

Segnalo l'articolo con titolo "AI is more persuasive than people in online debates" da Nature: https://www.nature.com/articles/d41586-025-01599-7.

Il titolo dice tutto e così la parte di articolo liberamente disponibile.

ISO/IEC 22989 su terminologia e concetti IA disponibile gratuitamente

Mi informa Fabrizio Cirilli che lo standard SO/IEC 22989:2022 "Information technology — Artificial intelligence — Artificial intelligence concepts and terminology" è disponibile gratuitamente.

Il link: https://www.iso.org/standard/74296.html.

Grazie mille a Fabrizio.

PEC e obbligo amministratori delle società

Le società NIS2 devono fornire ad ACN, tra le tante informazioni, anche gli indirizzi PEC degli amministratori.

In effetti "a decorrere dal 1° gennaio 2025, l'obbligo di comunicare al registro delle imprese il domicilio digitale / indirizzo di posta elettronica certificata (PEC) – già previsto per le società e per le imprese individuali". Questo per il DL 179 del 2012, art. 5 comma 1, modificato dalla Legge di bilancio 2025.

Questo vuol dire che amministratori e liquidatori delle società di capitali, società cooperative, società consortili e società di persone devono avere la PEC. Unioncamere ha però interpretato dicendo che si può usare anche la PEC della società stessa.

Tutto questo l'ho riassunto da una pagina della Camera di commercio di Milano, Monza Brianza e Lodi: https://www.milomb.camcom.it/obbligo-di-iscrivere-il-domicilio-digitale-degli-amministratori-e-liquidatori-delle-societa.

Alfabetizzazione sull'intelligenza artificiale (AI literacy)

Il Regolamento sull'IA richiede che fornitori e utilizzatori di sistemi AI assicurino, da febbraio 2025, al proprio personale un adeguato livello di alfabetizzazione sull'IA. Un'ottima iniziativa.

Credo quindi che si tratti di prevedere corsi relativi ai diversi tipi di IA, ai loro pro e contro, ai loro rischi. La formazione va differenziata per le diverse figure professionali, per quanto applicabile. Attenzione che la formazione non riguarda solo il personale interno, ma "qualsiasi altra persona che si occupa del funzionamento e dell'utilizzo dei sistemi di IA per loro conto".

La Commissione europea ha quindi pubblicato una pagina con domande e risposte in merito: https://digital-strategy.ec.europa.eu/en/faqs/ai-literacy-questions-answers. Sta girando anche una versione in pdf, ma è generato da questa pagina.

Devo dire che speravo in qualcosa di meglio: le indicazioni sono generiche e il "living repository on AI literacy" è una raccolta di esperienze di alcune imprese ma senza i dettagli (insomma, è materiale promozionale, per quanto sobrio).

Eppure avrei voluto una risposta più esaustiva sul punto "What should be the minimum content to consider for an AI literacy programme?".

Ho trovato, sempre della UE, la pagina Learning Content della Digital Skills & Jobs Platform: https://digital-skills-jobs.europa.eu/en/learning-content. Si seleziona il filtro per "Artificial intelligence" e viene proposto materiale. Forse troppo e troppo disomogeneo, oltre che fatto solo di video e presentazioni. Pochissimo sui rischi.

Invece vorrei saperne molto di più. Qualcuno ha uno o più libri, non eccessivamente tecnici, da suggerire?

Altruismo dei dati

Segnalo questo articolo dal titolo "Altruismo dei dati: cos’è e perché l’Italia rischia di perdere tempo": https://www.agendadigitale.eu/cittadinanza-digitale/altruismo-dei-dati-cose-e-perche-litalia-rischia-di-perdere-tempo/l

Non è materia che seguo come in generale non seguo il Data Governance Act (regolamento UE 2022/868), ma penso che sia comunque importante sapere più o meno di cosa si tratta.

European Vulnerability Database (EUVD) di ENISA

Da un post di Rosario Piazzese su LinkedIn: ENISA ha sviluppato il European Vulnerability Database (EUVD), come richiesto dalla Direttiva NIS2. Il servizio è attualmente operativo in versione beta: https://euvd.enisa.europa.eu/.

Come Cesare, invece, chiedo se qualcuno vuole fare un confronto con altri servizi simili. Per esempio se le informazioni sono più o meno facili da fruire.

 

Articolo (non mio!) su NIS2

Marcello Davi di Hermes - Centro Studi Europeo mi ha segnalato un suo articolo dal titolo "Normativa NIS2: requisiti, scadenziario, opportunità e sfide future": https://www.hermescse.eu/normativa-nis2-requisiti-scadenziario-opportunita-e-sfide-future/.

L'analisi dei requisiti e lo scadenziario sono sicuramente in linea con altri articoli. Trovo interessanti le riflessioni nella terza parte (Opportunità e sfide future per le imprese coinvolte ed il sistema Paese).

Fediverso

Io sono sempre affascinato dalle alternative ai grandi potenti dei social. La più promettente è il cosiddetto Fediverso.

Questo articolo dal titolo "Il Fediverso a scuola: uno strumento didattico per la cittadinanza digitale" mi pare un'ottima introduzione: https://www.agendadigitale.eu/cultura-digitale/il-fediverso-a-scuola-uno-strumento-didattico-per-la-cittadinanza-digitale/.

In realtà non parla solo di scuola. Presenta soprattutto i problemi etici che pone l'uso dei grandi fornitori di servizi informatici, economicamente gratuiti.

DPCM 30 aprile su acquisti di beni e servizi IT

Il 30 aprile 2025 è stato approvato il DPCM dal titolo "Disciplina dei contratti di beni e servizi informatici impiegati in un contesto connesso alla tutela degli interessi nazionali strategici e della sicurezza nazionale": https://www.gazzettaufficiale.it/atto/serie_generale/caricaDettaglioAtto/originario?atto.dataPubblicazioneGazzetta=2025-05-05&atto.codiceRedazionale=25A02717.

Estrema sintesi fornitami da Chiara Ponti (che ringrazio): dal 21 maggio 2025 entrano in vigore nuove regole per l’acquisto di beni e servizi informatici destinati a contesti legati alla tutela dell’interesse strategico nazionale.

Si applicano a pubbliche amministrazioni, gestori di servizi pubblici e società a controllo pubblico (da CAD) e soggetti nel PNSC (perimetro nazionale di sicurezza cibernetica).

Le regole richiedono di "prendere in considerazione", in fase di acquisto, alcune caratteristiche dei prodotti e servizi informatici presenti Allegato 2. Le misure sono in Allegato 1 e mi sembrano molto generiche (e non sempre comprensibili), anche se ci sono tutte quelle che avrei messo io (da ITSEC: Identification and Authentication, Access Control, Accountability, Audit, Accuracy, Reliability of Service, Data Exchange).

Gli uomini posso fare tutto (Maggio 2025)

Questa volta, il papà che cerca di fare il bravo papà si è trovato in difficoltà con i compiti delle vacanze di Pasqua.

Infatti alcuni professori li hanno assegnati dopo la chiusura della scuola e in alcuni casi anche dopo che la famiglia aveva programmato le attività, inclusi i compiti.

Il problema non è solo organizzativo per le famiglie, per quanto già questo sia importante. E' un problema anche sociale perché promuove la costante connessione delle famiglie e, soprattutto, dei ragazzi. Penso sia importante promuovere il diritto (e, forse, anche il dovere) di disconnettersi. Finito l'orario scolastico, andrebbero vietate le comunicazioni tra scuola e ragazzi e famiglie.

Il diritto alla disconnessione è necessario per diversi motivi. Il primo è per evitare un sovraccarico e per educare i ragazzi a evitarlo. Il secondo è perché la stimolazione continua è dannosa e porta ansia, soprattutto se avviata da "superiori".

Su questo, e stranamente mi ci trovo d'accordo, si è espresso anche il ministro Valditara. Per i curiosi: https://www.corriere.it/scuola/25_aprile_28/troppi-compiti-e-verifiche-valditara-raccomanda-vietato-assegnarli-la-sera-prima-piu-coordinamento-fra-i-prof-3b7a9d60-1130-4662-a183-436fb3409xlk.shtml.

Nota a margine: molti genitori, quando il libro è stato lasciato a casa o a scuola, chiedono ancora ad altri genitori le foto delle pagine assegnate. Questo vuol dire che tanti non hanno ancora capito la magia dei libri in digitale.

Articolo su WAD e EAA sull'accessibilità

Segnalo questo articolo, di cui sono co-autore, dal titolo "WAD e EAA: guida alle normative europee per l’accessibilità digitale": https://www.agendadigitale.eu/cultura-digitale/wad-e-eaa-guida-alle-normative-europee-per-laccessibilita-digitale/.

Senza presunzione, io, Chiara Ponti e Arturo Messina l'abbiamo scritto soprattutto come occasione di studiare queste due norme e capire in cosa si differenziano.

UNI/PdR 174:2025 per ISO/IEC 27001 e NIST CSF

Alessandro Cosenza mi ha segnalato la pubblicazione della  UNI/PdR 174:2025 "Sistema di gestione per la cybersicurezza e la sicurezza delle informazioni armonizzato alla norma UNI CEI EN ISO/IEC 27001 e al Framework NIST CSF 2.0 - Requisiti": https://store.uni.com/uni-pdr-174-2025.

Come tutte le PdR è gratuita (e non lo sapevo e su questo ho già fatto una figura di palta su LinkedIn) e questo è bene.

Si tratta di una proposta per mettere insieme ISO/IEC 27001 e le misure del NIST CSF. Non ho nulla da obiettare sulla correttezza, anzi, apprezzo il lavoro fatto.

Sono un inguaribile pessimista e temo queste cose:

1. la difficoltà di leggibilità (p.e. al 5.1 "raggiungere gli obiettivi previsti dalla sottocategoria GV.RR-01 appartenente alla funzione GOVERN e alla categoria RUOLI, RESPONSABILITÀ E AUTORITÀ");
2. l'eccesso di relazioni molti-a-molti, che rende poi difficilissimo il lavoro operativo;
3. che Accredia e ACN spingano alla certificazione su questa norma.

Ribadisco, ahinoi, il problema che ACN continua a promuovere riferimenti nazionali e non, come previsto dal D. Lgs. 138 e anche dalla necessità dei tempi, riferimenti internazionali o almeno europei. Meno male che nel gruppo di lavoro c'era almeno Fabio Guasconi che  è attivo a livello internazionale sugli standard di sicurezza delle informazioni. Sarebbe bello vedere partecipare anche ACN e Accredia, per dirne due (questa mattina, a parlare della futura ISO/IEC 27004, per l'Italia eravamo... due; un consulente e un'organizzazione utilizzatrice, nessun rappresentante di organismi di accreditamento o di certificazione e neppure delle grandi società di consulenza).

Mio tentativo di correlazione controlli ISO/IEC 27001 e VERA

Ahimè, dovrò aggiornare il VERA con i controlli NIS2. Non credo sia possibile evitarlo.

La prima tappa è quindi cercare di correlare i controlli ISO/IEC 27001:2022 con quelli dell'implementation regulation 2024/2690 e quelli ACN.

Ho provato a farlo e ho caricato il mio tentativo qui: https://github.com/CesareGallotti/VERA.

Nella colonna "Riflessioni CEG" ho inserito alcune cose che penso di fare. Se qualcuno vuole riesaminare, criticare e dare qualche suggerimento è benvenuto. Direi entro il 25 maggio. Che poi dovrò aggiornare il tutto e poi dovrò anche aggiornare il libro e già mi sento affaticato (ma almeno su quello qualche euro lo guadagno).

PS: la prima versione di questo post è del 29 aprile. Ho aggiornato il file il 30 aprile includendo tutto il FNCDP 2025 (e ho notato che è tradotto in un italiano orrendo; chissà se non ci fosse stata di mezzo un’università cosa sarebbe stato) e ripristinando le mie note interpretative, così che possiate commentare anch’esse.

Altre criticità della determinazione ACN del 14/04/2025 N. 164179

Segnalo questo articolo di Gianluca Dalla Riva dal titolo "Direttiva NIS 2: criticità della Determinazione ACN del 14/04/2025 N. 164179": https://www.studiodallariva.it/blog/perma/1745405040/article/determinazione-acn-164179.html.

Segnala ulteriori criticità relative all'applicabilità della Determinazione.

ISO 37001:2025 sull'antifrode

E' stata pubblicata la nuova versione della norma ISO 37001 dal titolo "Anti-bribery management systems — Requirements with guidance for use": https://www.iso.org/standard/37001.

Ringrazio Monica Perego, Idraulica della privacy, per la notizia.

Non sono un esperto di questa norma, ma oggi è sempre più richiesta anche dai bandi di gara. Quindi è meglio esserne a conoscenza, anche perché alcuni punti potrebbero intersecare la sicurezza delle informazioni (separazione dei compiti, valutazione del rischio, controlli operativi), oltre a quelli dell'HLS.

Verizon 2025 Data Breach Investigations Report

In primavera sono pubblicate alcune analisi sulla sicurezza informatica e sugli incidenti. Una delle più riconosciute è quella di Verizon e può essere scaricata qui: https://www.verizon.com/business/resources/reports/dbir/.

Il rapporto è molto lungo e confesso di non averlo letto ma solo sfogliato. Leggo i 4 dati più significativi:

• sono raddoppiati gli incidenti collegati all'uso di terze parti;
• sono cresciuti gli attacchi che sfruttano vulnerabilità (ammetto di non capirlo bene);
• metà delle vulnerabilità NON sono state risolte dalle organizzazioni nel corso del 2024;
• quasi metà degli incidenti hanno comportano l'uso di ransomware.

Qualche mia considerazione:

• questo rapporto mi sembra che tratti solo di attacchi, non di guasti o errori;
• sull'uso delle terze parti, anche se ritengo essere una questione importantissima, mi chiedo quanto il dato allarmante sia effetto dell'importanza che sempre più gli viene attribuita (queste ricerche mi lasciano sempre il dubbio se i dati sono causa o effetto delle "parole d'ordine" più recenti) e quanto sull'aumento dell'esternalizzazione verso il cloud;
• sulle vulnerabilità non risolte, è chiaro che risolverle chiede investimenti; non posso non collegare questo dato su una telefonata che ho ricevuto proprio questa mattina da un utilizzatore di VERA che aveva l'auditor che gli chiedeva di abbandonarlo e rifare tutta la valutazione del rischio e quindi di investire in adempimenti non tecnici.

Non dimentichiamoci dei topi

Sandro Sanna, che ringrazio, mi ha segnalato questo articolo dal titolo "Tranciato cavo in fibra: a Maiori aziende e hotel senza internet a Pasqua": https://www.ilvescovado.it/it/tecnologia-31/tranciato-cavo-in-fibra-a-maiori-aziende-e-hotel-154273/article.

Ci ricorda che spesso ormai si utilizzano servizi cloud, però qualche cavo potremmo averlo ancora e va protetto anche dai topi.

ISO/IEC 42001 in italiano

La norma ISO/IEC 42001 è stata tradotta in italiano e recepita come norma UNI CEI ISO/IEC 42001 con titolo "Tecnologie informatiche – Intelligenza artificiale – Sistema di gestione".

Si può trovare qui (a pagamento): https://store.uni.com/uni-cei-iso-iec-42001-2024.

Gli uomini possono fare tutto (Aprile 2025)

Marzo e aprile sono stati mesi impegnativi per l'uomo che può fare tutto, ma non sempre ce la fa: consigli di classe, incoraggiamento per qualche test dei figli, visite mediche, eccetera.

Questo mese ho però notato che i figli chiamano sempre me per dire che stanno tornando a casa. Ogni tanto tornano nel tempo previsto (per esempio scuola - casa), ogni tanto ci mettono molto di più e mi chiedo perché mi chiamino per non dirmelo. Ogni tanto chiedono cosa c'è da mangiare e io regolarmente non lo dico (e vorrei preparare spinaci e broccoli, ma evito), ma questo non sembra influire sui tempi.

Ogni tanto mi telefonano anche per chiedere se possono stare fuori a pranzo o cena con gli amici. Ogni tanto rispondo di sì, altre volte rispondo di no, a seconda dell'ora e degli impegni previsti.

Perché telefonino a me è un mistero. Forse perché sono più spesso a casa di mia moglie.

Brevissima analisi del FNCDP 2025

Ricordo che è stato pubblicato il Framework Nazionale per la Cybersecurity e la Data Protection - Edizione 2025 (v2.1): https://www.cybersecurityframework.it/.

Ho già scritto le mie critiche (e neanche tutte, per fortuna dei lettori, che ne hanno già abbastanza).

In realtà sono stati pubblicati solo i controlli di sicurezza. Li ho letti e ho trovato che sono la traduzione dei controlli del NIST Cybersecurity Framework 2.0. Viene da pensare che bastava chiamarlo "traduzione del NIST CSF 2.0", non "Framework Nazionale per la Cybersecurity e la Data Protection - Edizione 2025 (v2.1)".

Però il lavoro ha una parte originale, ossia 9 controlli aggiuntivi sulla privacy (preceduti dalla sigla "DP"). Qui poi trovo una "informazione dell'interessato" che sarebbe le "informazioni da fornire agli interessati". Di più non ho voluto approfondire per evitare ulteriori lamentazioni. Mi sembra manchino però alcune cose come la cancellazione al termine dei trattamenti, un "eventualmente" sulla DPIA, la valutazione del rischio relativa alla protezione dei dati personali eccetera.

Misure tecniche NIS2

Il 14 aprile ACN ha inviato PEC per comunicare i vari soggetti se sono NIS o meno.

Sempre il 14 aprile, ACN ha pubblicato le misure tecniche e i criteri per stabilire se un incidente è significativo per i soggetti NIS: https://www.acn.gov.it/portale/w/nis-avviata-la-seconda-fase.

Ma attenzione che nella pagina indicata si trovano solo:

• Determina ACN n. 164179 del 14 aprile 2025 con le indicazioni più generali;
• Determina ACN nr. 136117/2025 con le indicazioni per i soggetti NIS affinché forniscano ulteriori informazioni sul portale ACN;
• Determina ACN nr. 136118/2025 per i soggetti NIS che hanno attivi accordi di condivisione delle informazioni sulla sicurezza informatica (qui entriamo in casi particolari che non approfondisco).

Per le misure di sicurezza e la descrizione degli incidenti significativi, è necessario andare da un'altra parte, ossia nella pagina: https://www.acn.gov.it/portale/nis/la-normativa.

Si trovano (comodamente) in fondo alla tabella "Principali provvedimenti attuativi D.Lgs. 138/2024".

Per i soggetti NIS che erogano servizi informatici (scusate la semplificazione) ricordo che va seguito l'implementing act 2024/2690 della Commissione europea.

Ora passiamo alle lamentele, che riassumo per non ricevere a mia volta altre lamentele:

• ovviamente la notizia sulle misure poteva riportare il link agli allegati tecnici, ma sappiamo che ACN vuole soggetti svegli (io non lo sono perché ho dovuto chiedere aiuto agli Idraulici della privacy);
• il manuale utente per fornire le informazioni sul portale ACN è alla versione 0.9, senza data (che avrebbe fatto comodo, perché così avrei capito al volo che non è stato aggiornato con la nuova richiesta di informazioni; questa volta l'ho capito da solo);
• le misure sono sempre impostate come da framework nazionale e sulla scelta ormai ne ho scritto e detto più che a sufficienza;
• le misure sono in due documenti diversi per i soggetti importanti e quelli essenziali; la bozza che avevo visto le riportava nello stesso documento ed era decisamente più pratico.

Ringrazio gli Idraulici della privacy, che lavorano anche come Idraulici della NIS2, per gli scambi proficui di informazioni (confesso che io non ho "scambiato", ho solo "recepito").

Il caso Signal usato dal Governo USA

Mi scuso per il titolo forse fuorviante. Per la notizia, do il link dell'articolo "The Trump Administration Accidentally Texted Me Its War Plans", preso da Guerre di rete: https://www.theatlantic.com/politics/archive/2025/03/trump-administration-accidentally-texted-me-its-war-plans/682151/.

In pochissime parole, un giornalista è stato inserito accidentalmente in una chat su Signal in cui i vertici del Governo USA discutevano degli attacchi militari (poi avvenuti) nello Yemen.

La notizia, a mio parere, non sta tanto nell'errore, per quanto grave. La notizia sta che viene usato un prodotto commerciale per discutere di questioni di rilevanza mondiale.

E' vero che oggi, come in passato, dobbiamo usare servizi terzi per comunicare. Ieri era il telefono, il fax o il telegrafo, oggi sono l'email, i social network e gli instant messaging. Però l'errore dimostra che forse non sono ben controllati dagli stessi partecipanti.

Forse Signal è uno strumento ottimale per comunicazioni riservate di quel livello, ma rimane la domanda se è stato selezionato accuratamente oppure, come quasi sempre succede, il potente di turno decide senza pensarci troppo ed esegue con due clic.

Il problema è che se il potente non crede alle procedure di selezione dei servizi, neanche i suoi sottoposti ci crederanno. Le conseguenze sono facilmente intuibili.

Il ragionamento andrà esteso ai servizi di intelligenza artificiale, oggi usati da tanti gratuitamente. Infatti tanti inviano documenti riservati e dati personali a questi servizi, senza pensare che saranno riutilizzati per addestrare il sistema e che potranno poi riemergere in forme impreviste e potenzialmente dannose.

Il punto è che va tutto regolamentato, ma i primi a doverci credere sono proprio i vertici dell'organizzazione. Andrebbero anche fornite valide alternative, se no le persone cercheranno comunque di seguire la strada più facile.

Per concludere, il link all’articolo di Guerre di rete: https://guerredirete.substack.com/p/guerre-di-rete-il-signalgate-oltre.

Framework Nazionale per la Cybersecurity e la Data Protection - Edizione 2025 (v2.1)

E' stata pubblicata la nuova versione del Framework Nazionale per la Cybersecurity e la Data Protection. Per ora le misure sono in formato tabellare (Excel e altri): https://www.cybersecurityframework.it/.

Ho criticato spesso l'iniziativa, sin da quando in qualche strategia nazionale si volevano proporre schemi nazionali. Non penso che questo framework sia fatto male (come tutti ha cose migliorabili), ma penso che sia anacronistico e provinciale spingere su iniziative "nazionali" su questi temi.

Non sono neanche un promotore della globalizzazione a tutti i costi, ma ormai il mercato è globale, le aziende sono globali, anche la privacy è europea e tante altre iniziative di sicurezza sono europee o internazionali. Noi invece continuiamo ad avere regole nazionali e non promuoviamo neanche iniziative internazionali (qualcuno ho visto qualcuno di ACN nei comitati ISO? no, però stanno lavorando a una norma UNI, accipicchia!).

Inizialmente pensavo ci fossero problemi di fondi o di competenze. Invece alcuni articoli dicono che i soldi ci sono e le ricerche di personale di ACN dicono che le competenze elevate ci sono. Quindi i comitati tecnici internazionali dovrebbero essere invasi da queste persone. E invece no.

Adesso hanno anche tolto i riferimenti alla ISO/IEC 27001 perché non si tratta di una norma disponibile gratuitamente. Ovviamente si tratta di un espediente per continuare a promuovere questa iniziativa nazionale basata su un'altra iniziativa nazionale (USA), contrariamente a quanto richiesto dalla normativa italiana (il D. Lgs. 138 del 2024 chiede di promuovere standard internazionali ed europei). Infatti ACN continua a promuovere certificazioni sugli stessi standard che cerca di evitare.

La questione è ridicola anche se si pensa che si potrebbero riciclare i titoli dei controlli della ISO/IEC 27001 perché tanto ormai li conoscono tutti. Insomma: una soluzione si poteva trovare.

La questione è ovviamente nata male nel 2016 e adesso non sembra più possibile tornare indietro. Meglio permanere nel provincialismo che dichiarare che si poteva fare prima con tante scuse.

E così le aziende che dovrebbero investire nell'innovare devono spendere soldi in check list, riferimenti incrociati e questionari dei clienti basati su ulteriori schemi.

Scusate lo sfogo.

Assicurazione obbligatoria per danni ambientali

La L. 213/2023 (articolo 1, comma 101), impone alle imprese di stipulare contratti assicurativi per eventi sismi, alluvioni, frane, inondazioni e esondazioni: https://www.normattiva.it/eli/id/2023/12/30/23G00223/CONSOLIDATED/20250403.

I beni da assicurare sono quelli indicati nell'articolo 2424, primo comma, sezione Attivo, voce B-II, numeri 1), 2) e 3), del codice civile (ossia Regio Decreto 16 marzo 1942, n. 262 e successive modificazioni). Sono gentile e riporto che si tratta di 1) terreni e fabbricati; 2) impianti e macchinario; 3) attrezzature industriali e commerciali.

Immagino che negli impianti o nelle attrezzature industriali si possano rintracciare i sistemi informatici. Quindi questa è una novità che riguarda molto la sicurezza delle informazioni e le misure di sicurezza.

La notizia l'ho avuta perché, con il DL 39/2025, c'è stata una proroga (figuriamoci!): per le imprese di medie dimensioni, il termine è rinviato al 1° ottobre 2025, per le piccole e microimprese, la stipula deve effettuarsi entro il 31 dicembre 2025, per le grandi imprese, la scadenza è rimasta quella del 31 marzo.

Labirinto normativo (e qualche riflessione)

Antonio Ieranò ha scritto un articolo dal titolo "Multiutility italiane nel labirinto normativo: tra GDPR, NIS2, CRA e AI Act": https://www.linkedin.com/comm/pulse/multiutility-italiane-nel-labirinto-normativo-tra-gdpr-antonio-ieran%C3%B2-ylo4f.

Non ostante il titolo, è interessante anche per le non-multiutility: spiega bene cosa sono GDPR, NIS2, CRA e AI Act.

Su un successivo articolo di Ieranò ho avuto modo di lamentarmi che fa sembrare tutto più facile di quello che è. Anche su questo ho la stessa impressione. Ciò non toglie che ne vale la lettura.

Vorrei iniziare a fare una riflessione sulla massa di normativa che è uscita e che piano piano va applicata. Forse è troppa ma, soprattutto, come mi ha confermato Monica Perego "è il percorso burocratico che affossa".

I miei timori di qualche anno fa si stanno avverando: troppa gente incompetente (e inconsapevole di esserlo) sta producendo normativa secondaria o terziaria (se esiste; ma forse mi sono inventato io il termine), sta fornendo consigli e sta conducendo verifiche. Causa incompetenza, si concentrano di più sulla "sicurezza di carta" e sulla "sicurezza per sentito dire" che su una seria valutazione del rischio e oculate scelte di processo e tecnologiche.

Troppi sono incompetenti perché la richiesta di figure professionali sulla sicurezza è incrementata velocemente e consulenti di sicurezza di carta sono stati chiamati a formare le giovani leve che quindi continuano a proporre modelli degli anni Ottanta, misure inefficaci (spesso burocratiche) ma che richiedono tanto tempo ed energie, scarsa competenza tecnologica. Purtroppo misure dettate dall'idea che, se c'è un problema, va aumentato il controllo, non migliorato il sistema.

I tecnici si sono defilati? No, perché non hanno sviluppato le attitudini dei consulenti di fare conoscenze e rete e quindi non sono conosciuti da chi avvia i corsi di formazione e le altre iniziative. Chi ha girato per fiere, convegni e roba simile lo sa (un mio cliente era terrorizzato all'idea di andare ai convegni perché saturi di consulenti che, appena lo riconoscevano come potenziale cliente, gli si appiccicavano).

Purtroppo sono anche gli stessi che partecipano e hanno più voce nei tavoli "tecnici". Per i risultati, basti vedere come sono scritte le linee guida ACN (non entro nel merito del contenuto tecnico, ogni tanto anche apprezzabili; troppo spesso sature di inutili richieste documentali). Anche molti standard ISO e non ISO soffrono dello stesso problema.

Così stiamo creando un mostro burocratico e non un circolo virtuoso di innovazione. Questo è un vero peccato.

Per intenderci: io stesso sono un consulente di "sicurezza di carta" e penso che "un po'" di carta sia utile e necessaria per governare e controllare. Sono il primo ad applaudire alle norme che proteggono la privacy e la sicurezza delle persone. Il problema è quando si esagera.