Gli uomini possono fare tutto (Aprile 2025)

Marzo e aprile sono stati mesi impegnativi per l'uomo che può fare tutto, ma non sempre ce la fa: consigli di classe, incoraggiamento per qualche test dei figli, visite mediche, eccetera.

Questo mese ho però notato che i figli chiamano sempre me per dire che stanno tornando a casa. Ogni tanto tornano nel tempo previsto (per esempio scuola - casa), ogni tanto ci mettono molto di più e mi chiedo perché mi chiamino per non dirmelo. Ogni tanto chiedono cosa c'è da mangiare e io regolarmente non lo dico (e vorrei preparare spinaci e broccoli, ma evito), ma questo non sembra influire sui tempi.

Ogni tanto mi telefonano anche per chiedere se possono stare fuori a pranzo o cena con gli amici. Ogni tanto rispondo di sì, altre volte rispondo di no, a seconda dell'ora e degli impegni previsti.

Perché telefonino a me è un mistero. Forse perché sono più spesso a casa di mia moglie.

Brevissima analisi del FNCDP 2025

Ricordo che è stato pubblicato il Framework Nazionale per la Cybersecurity e la Data Protection - Edizione 2025 (v2.1): https://www.cybersecurityframework.it/.

Ho già scritto le mie critiche (e neanche tutte, per fortuna dei lettori, che ne hanno già abbastanza).

In realtà sono stati pubblicati solo i controlli di sicurezza. Li ho letti e ho trovato che sono la traduzione dei controlli del NIST Cybersecurity Framework 2.0. Viene da pensare che bastava chiamarlo "traduzione del NIST CSF 2.0", non "Framework Nazionale per la Cybersecurity e la Data Protection - Edizione 2025 (v2.1)".

Però il lavoro ha una parte originale, ossia 9 controlli aggiuntivi sulla privacy (preceduti dalla sigla "DP"). Qui poi trovo una "informazione dell'interessato" che sarebbe le "informazioni da fornire agli interessati". Di più non ho voluto approfondire per evitare ulteriori lamentazioni. Mi sembra manchino però alcune cose come la cancellazione al termine dei trattamenti, un "eventualmente" sulla DPIA, la valutazione del rischio relativa alla protezione dei dati personali eccetera.

Misure tecniche NIS2

Il 14 aprile ACN ha inviato PEC per comunicare i vari soggetti se sono NIS o meno.

Sempre il 14 aprile, ACN ha pubblicato le misure tecniche e i criteri per stabilire se un incidente è significativo per i soggetti NIS: https://www.acn.gov.it/portale/w/nis-avviata-la-seconda-fase.

Ma attenzione che nella pagina indicata si trovano solo:

- Determina ACN n. 164179 del 14 aprile 2025 con le indicazioni più generali;

- Determina ACN nr. 136117/2025 con le indicazioni per i soggetti NIS affinché forniscano ulteriori informazioni sul portale ACN;

- Determina ACN nr. 136118/2025 per i soggetti NIS che hanno attivi accordi di condivisione delle informazioni sulla sicurezza informatica (qui entriamo in casi particolari che non approfondisco).

Per le misure di sicurezza e la descrizione degli incidenti significativi, è necessario andare da un'altra parte, ossia nella pagina: https://www.acn.gov.it/portale/nis/la-normativa.

Si trovano (comodamente) in fondo alla tabella "Principali provvedimenti attuativi D.Lgs. 138/2024".

Per i soggetti NIS che erogano servizi informatici (scusate la semplificazione) ricordo che va seguito l'implementing act 2024/2690 della Commissione europea.

Ora passiamo alle lamentele, che riassumo per non ricevere a mia volta altre lamentele:

- ovviamente la notizia sulle misure poteva riportare il link agli allegati tecnici, ma sappiamo che ACN vuole soggetti svegli (io non lo sono perché ho dovuto chiedere aiuto agli Idraulici della privacy);

- il manuale utente per fornire le informazioni sul portale ACN è alla versione 0.9, senza data (che avrebbe fatto comodo, perché così avrei capito al volo che non è stato aggiornato con la nuova richiesta di informazioni; questa volta l'ho capito da solo);

- le misure sono sempre impostate come da framework nazionale e sulla scelta ormai ne ho scritto e detto più che a sufficienza;

- le misure sono in due documenti diversi per i soggetti importanti e quelli essenziali; la bozza che avevo visto le riportava nello stesso documento ed era decisamente più pratico.

Ringrazio gli Idraulici della privacy, che lavorano anche come Idraulici della NIS2, per gli scambi proficui di informazioni (confesso che io non ho "scambiato", ho solo "recepito").

Il caso Signal usato dal Governo USA

Mi scuso per il titolo forse fuorviante. Per la notizia, do il link dell'articolo "The Trump Administration Accidentally Texted Me Its War Plans", preso da Guerre di rete: https://www.theatlantic.com/politics/archive/2025/03/trump-administration-accidentally-texted-me-its-war-plans/682151/.

In pochissime parole, un giornalista è stato inserito accidentalmente in una chat su Signal in cui i vertici del Governo USA discutevano degli attacchi militari (poi avvenuti) nello Yemen.

La notizia, a mio parere, non sta tanto nell'errore, per quanto grave. La notizia sta che viene usato un prodotto commerciale per discutere di questioni di rilevanza mondiale.

E' vero che oggi, come in passato, dobbiamo usare servizi terzi per comunicare. Ieri era il telefono, il fax o il telegrafo, oggi sono l'email, i social network e gli instant messaging. Però l'errore dimostra che forse non sono ben controllati dagli stessi partecipanti.

Forse Signal è uno strumento ottimale per comunicazioni riservate di quel livello, ma rimane la domanda se è stato selezionato accuratamente oppure, come quasi sempre succede, il potente di turno decide senza pensarci troppo ed esegue con due clic.

Il problema è che se il potente non crede alle procedure di selezione dei servizi, neanche i suoi sottoposti ci crederanno. Le conseguenze sono facilmente intuibili.

Il ragionamento andrà esteso ai servizi di intelligenza artificiale, oggi usati da tanti gratuitamente. Infatti tanti inviano documenti riservati e dati personali a questi servizi, senza pensare che saranno riutilizzati per addestrare il sistema e che potranno poi riemergere in forme impreviste e potenzialmente dannose.

Il punto è che va tutto regolamentato, ma i primi a doverci credere sono proprio i vertici dell'organizzazione. Andrebbero anche fornite valide alternative, se no le persone cercheranno comunque di seguire la strada più facile.

Per concludere, il link all’articolo di Guerre di rete: https://guerredirete.substack.com/p/guerre-di-rete-il-signalgate-oltre.

Framework Nazionale per la Cybersecurity e la Data Protection - Edizione 2025 (v2.1)

E' stata pubblicata la nuova versione del Framework Nazionale per la Cybersecurity e la Data Protection. Per ora le misure sono in formato tabellare (Excel e altri): https://www.cybersecurityframework.it/.

Ho criticato spesso l'iniziativa, sin da quando in qualche strategia nazionale si volevano proporre schemi nazionali. Non penso che questo framework sia fatto male (come tutti ha cose migliorabili), ma penso che sia anacronistico e provinciale spingere su iniziative "nazionali" su questi temi.

Non sono neanche un promotore della globalizzazione a tutti i costi, ma ormai il mercato è globale, le aziende sono globali, anche la privacy è europea e tante altre iniziative di sicurezza sono europee o internazionali. Noi invece continuiamo ad avere regole nazionali e non promuoviamo neanche iniziative internazionali (qualcuno ho visto qualcuno di ACN nei comitati ISO? no, però stanno lavorando a una norma UNI, accipicchia!).

Inizialmente pensavo ci fossero problemi di fondi o di competenze. Invece alcuni articoli dicono che i soldi ci sono e le ricerche di personale di ACN dicono che le competenze elevate ci sono. Quindi i comitati tecnici internazionali dovrebbero essere invasi da queste persone. E invece no.

Adesso hanno anche tolto i riferimenti alla ISO/IEC 27001 perché non si tratta di una norma disponibile gratuitamente. Ovviamente si tratta di un espediente per continuare a promuovere questa iniziativa nazionale basata su un'altra iniziativa nazionale (USA), contrariamente a quanto richiesto dalla normativa italiana (il D. Lgs. 138 del 2024 chiede di promuovere standard internazionali ed europei). Infatti ACN continua a promuovere certificazioni sugli stessi standard che cerca di evitare.

La questione è ridicola anche se si pensa che si potrebbero riciclare i titoli dei controlli della ISO/IEC 27001 perché tanto ormai li conoscono tutti. Insomma: una soluzione si poteva trovare.

La questione è ovviamente nata male nel 2016 e adesso non sembra più possibile tornare indietro. Meglio permanere nel provincialismo che dichiarare che si poteva fare prima con tante scuse.

E così le aziende che dovrebbero investire nell'innovare devono spendere soldi in check list, riferimenti incrociati e questionari dei clienti basati su ulteriori schemi.

Scusate lo sfogo.

Assicurazione obbligatoria per danni ambientali

La L. 213/2023 (articolo 1, comma 101), impone alle imprese di stipulare contratti assicurativi per eventi sismi, alluvioni, frane, inondazioni e esondazioni: https://www.normattiva.it/eli/id/2023/12/30/23G00223/CONSOLIDATED/20250403.

I beni da assicurare sono quelli indicati nell'articolo 2424, primo comma, sezione Attivo, voce B-II, numeri 1), 2) e 3), del codice civile (ossia Regio Decreto 16 marzo 1942, n. 262 e successive modificazioni). Sono gentile e riporto che si tratta di 1) terreni e fabbricati; 2) impianti e macchinario; 3) attrezzature industriali e commerciali.

Immagino che negli impianti o nelle attrezzature industriali si possano rintracciare i sistemi informatici. Quindi questa è una novità che riguarda molto la sicurezza delle informazioni e le misure di sicurezza.

La notizia l'ho avuta perché, con il DL 39/2025, c'è stata una proroga (figuriamoci!): per le imprese di medie dimensioni, il termine è rinviato al 1° ottobre 2025, per le piccole e microimprese, la stipula deve effettuarsi entro il 31 dicembre 2025, per le grandi imprese, la scadenza è rimasta quella del 31 marzo.