Marco Fabbrini mi ha segnalato questo articolo dal titolo "Forse le passkey non sono così sicure come sembrano": https://www.ilsoftware.it/forse-le-passkey-non-sono-cosi-sicure-come-sembrano/.
Il commento di Marco: "In effetti sono cose che sapevamo già....".
Come dargli torto? I browser sono molto insicuri e i meccanismi di sicurezza che si basano su di essi possono avere anch'essi problemi.
Segnalo questo articolo dal titolo "Un'IA ha cancellato per sbaglio un intero database aziendale": https://www.tomshw.it/hardware/piattaforma-ai-cancella-database-aziendale-per-errore-2025-07-21.
Ringrazio Carlo Venditto degli Idraulici della privacy per la segnalazione.
Se continuo così, sembra che sia un luddista dell'IA. Non è così: come tutti gli strumenti va usato con estrema prudenza e per quello che è giusto che faccia. E io mi occupo soprattutto di rischi e di questi scrivo.
Stefania Algerio degli Idraulici della privacy ha segnalato un articolo su La Repubblica dal titolo "Un uomo con probblemi di pressione alta si rivolge a ChatGpt per chiedere consigli alimentari: ricoverato in ospedale per intossicazione da bromuro". Non ho ritrovato il link all'articolo, ma ho trovato questo: https://tech.icrewplay.com/seguire-i-consigli-alimentari-di-chatgpt-psicosi/.
Che l'IA possa sbagliare è un dato di fatto. Preoccupa vedere che le persone si affidano più a un sistema generalista che a un professionista. Ho trovato anche articoli per me inquietanti:
- "Ecco come creare la dieta perfetta con ChatGPT: il tuo piano alimentare su misura in pochi passi!": https://torinocronaca.it/news/tendenze/504826/ecco-come-creare-la-dieta-perfetta-con-chatgpt-il-tuo-piano-alimentare-su-misura-in-pochi-passi.html;
- "Navigatore Nutrizionale" su ChatGPT: https://chatgpt.com/g/g-6X2mwvquO-navigatore-nutrizionale;
- "ChatGPT, come creare un piano di allenamento personalizzato per mantenersi in forma": https://www.punto-informatico.it/chatgpt-come-creare-piano-allenamento-personalizzato/.
Anche i professionisti possono sbagliare, ma si spera che lo facciano un po' meno, essendosi specializzati in una certa materia.
Sul perché le persone sono sempre più sospettose dei professionisti hanno scritto altri (in sintesi: l'eccesso di competenze crea timore e gli specialisti tendono a commiserare le persone che non hanno le loro competenze).
A maggio o giugno sul Corriere della Sera avevo letto un articolo di Gramellini su un caso di una ragazza che aveva chiesto aiuto a ChatGPT perché aveva un fidanzato violento e alla fine il problema non solo non fu risolto, ma la ragazza fu uccisa. Ho trovato questo articolo simile: https://www.fanpage.it/innovazione/tecnologia/ma-questo-e-amore-tossico-ragazza-di-13-anni-chiedeva-aiuto-a-chatgpt-ora-lex-e-accusato-del-suo-omicidio/.
Tutto ciò dà da pensare. Io sono specializzato in ambito aziendale, ma penso che certe tendenze ci debbano interessare. Ho già sentito di esperienze di procedure e documenti fatti con l'IA. Bisogna pensare anche all'altra parte della medaglia.
Giuseppe Alverone degli Idraulici della privacy ha segnalato questo post su LinkedIn di Giuseppe Corasaniti: https://www.linkedin.com/posts/giuseppe-corasaniti-95832515b_autoritaeqindipendenti-regolazione-innovazione-activity-7363435070356971522-rSjz.
In poche parole, critica l'eccesso di protagonismo mediatico del Garante e i rischi per l'innovazione.
E in effetti la situazione richiede una riflessione approfondita. Innanzi tutto, ripeto che a me, tutta questa regolamentazione, fa bene agli affari. Però qui si corre il rischio di curare troppo il paziente e perderlo.
Dovrei averlo già scritto: le entità legislative vogliono regolamentare e spesso esagerano (basti pensare all'AI Act, che introduce notevoli complessità in parte non necessarie, il Data act introduce altre cose relative alla privacy ma a parte; si pensi anche al pasticcio italiano su NIS2 e PSNC), le autorità di controllo in parte regolamentano (il Provvedimento sugli amministratori di sistema è l'esempio più chiaro di ciò possa essere fatto male; ma nei miei molti post ho dato evidenza delle critiche al Garante privacy e ad ACN) e in parte sanzionano (gli assurdi di questa estate del Garante, oltre che quelli relativi ai mitici metadati sono una dimostrazione di quanto ciò possa essere fatto in modo difficile da seguire), gli organismi di standardizzazione continuano a pubblicare standard (l'ultimo di cui ho avuto notizia è la ISO 56001 sull'innovazione, quasi un ossimoro), auditor e formatori e consulenti di tutti i tipi impongono loro modelli, ogni tanto non adeguati all'organizzazione e ogni tanto obsoleti (ho già scritto sui modelli di valutazione del rischio e su quelli di selezione dei fornitori, ma avrei innumerevoli esempi).
Tutto questo fa sì che le organizzazioni devono rincorrere la cosiddetta "compliance", in italiano "conformità", ma propriamente "condiscendenza" o "remissività", come dice la Treccani: https://www.treccani.it/vocabolario/compliance/.
E infatti, remissivamente, molte spendono soldi ed energie per adeguarsi, spesso con l'approccio "non si sa mai", ossia facendo anche più di quanto richiesto perché tanti hanno paura di un'autorità inquisitoria (basti vedere quanti rallentano a 50 km/h quando sono presenti autovelox impostati a 70).
Capisco che l'Europa voglia regolamentare. Lo fa per impostazione filosofica, che tende a proteggere i cittadini, e di questo ne sono grato e non cambierei mai con gli Stati Uniti, tanto generosi nei media, tanto spietati nella realtà. Lo fa come strategia di mercato, sperando in qualche modo di rallentare l'invasione straniera.
Ma in tutto questo, almeno dal punto di vista informatico, nessuno ha sviluppato sistemi alternativi a quelli made in USA. L'ha fatto la Cina (non so più citare un articolo sul Corriere della Sera di fine luglio) e infatti si contrappone fieramente alle provocazioni di Trump, non l'ha fatto l'Europa che ha promosso l'industria 4.0, l'informatizzazione delle scuole (e lasciamo perdere le garanzie dove sono finite, con i giganti USA che ci sguazzano, oltre al modello educativo non ponderato) e... cosa? Alcuni Paesi hanno attuato facilitazioni per l'ingresso dei giganti USA. Ma queste sono strategie miopi.
Non lo dico perché voglio l'Europa (o l'Italia) ancora grandi perché penso alla superiorità dell'uomo europeo (che discende anche dal Neanderthal e quindi non avrebbe senso), ma perché il destino di un Paese colonizzato è quello di essere sfruttato e di deperire e non è quello che voglio per i miei figli.
Allora cosa fare? Non ne ho idea, ovviamente. So solo che, come minimo, su queste cose bisogna essere consapevoli.
Ecco, finalmente ho scritto più o meno quello che ha frullato in testa in questi mesi estivi.
Grazie a un post su LinkedIn di Giovanni Ciano (che conosco e ringrazio), segnalo che l'EDPB ha pubblicato un documento dal titolo "AI Privacy Risks & Mitigations Large Language Models (LLMs)": https://www.edpb.europa.eu/our-work-tools/our-documents/support-pool-experts-projects/ai-privacy-risks-mitigations-large_en.
Con le sue 102 pagine è un po' lungo e stavo temendo una vuota verbosità. Invece descrive sinteticamente cosa sono gli LLM e, per chi vuole correre, nelle pagine 29-32, 35-37 e 39-42 riporta i rischi e le azioni per provider (sviluppatori) e deployer (utilizzatori). Ci sono poi 3 esempi molto significativi.
Non l'ho letto per bene, ma dovrò farlo.
Da un post su LinkedIn di Severiano Maria Moiso (che non conosco, ma ringrazio), inoltrato da Sergio Insalaco (che ugualmente non conosco, ma ugualmente ringrazio), segnalo che è stato pubblicato il Regolamento Delegato (UE) 2025/1190 sulle regole per i VA-PT secondo quanto previsto dal Regolamento DORA: https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32025R1190.
Intanto una cosa interessante è che il Regolamento non usa il termine di "PT", ma "test di penetrazione guidati da minacce (threat-led penetration testing)" e usa la sigla "TLPT". La definizione si trova nel DORA: "un quadro che imita le tattiche, le tecniche e le procedure di attori reali della minaccia che sono percepiti come minaccia informatica autentica, che consente di eseguire un test dei sistemi di produzione attivi e critici dell’entità finanziaria in maniera controllata, mirata e basata sull’analisi della minaccia (red team)".
Il link al post di Sergio Insalaco: https://www.linkedin.com/feed/update/urn:li:activity:7341571875870773248/.
A mio parere è interessante leggere le regole stabilite per la selezione del fornitore di PT, sulla composizione dei tester, sui rischi da valutare, per il processo.
Dalla newsletter Project:IN Avvocati dell'11 agosto 2025 trovo una notizia interessante: https://www.linkedin.com/feed/update/urn:li:activity:7360536866254729216/.
La notizia è ripresa da Wired e ha titolo "Hotel italiani, nel dark web in vendita migliaia di documenti di identità trafugati": https://www.wired.it/article/dark-web-documenti-identita-trafugati-hotel-italiani/.
Io che sono pigro, copio e incollo il commento della newsletter: "nei giorni scorsi sono emersi sul dark web (grazie al lavoro di CERT-AgID, come riporta Wired) database contenenti copie di documenti d’identità di tre hotel italiani. Al di là del breach, evidente e delicatissimo: ma perché queste strutture avevano e hanno in memoria i documenti, quando la normativa non lo impone e anzi lo vieta?".
Ho chiesto chiarimenti e Francesco Di Maio (uno degli avvocati dietro alla newsletter) mi ha risposto che "L'art. 109 del Testo Unico delle Leggi di Pubblica Sicurezza, più volte novellato, impone a tutti gli esercenti di strutture ricettive di comunicare giornalmente le generalità delle persone alloggiate, da effettuare oggi in via esclusiva attraverso un'applicazione telematica messa a disposizione dal Dipartimento della P.S., che non richiede né prevede alcun caricamento di immagine di documenti, ma solo dati ricavabili da essi, che devono essere inseriti a cura della struttura ricettiva. Va da sé che l'acquisizione di copie di documenti costituisce un trattamento eccedente e, come tale, deve essere valutato poiché non sorretto da alcuna base giuridica. Il manuale utente dell'applicazione è esplicativo https://alloggitiweb.poliziadistato.it/PortaleAlloggiati/SupManuali.aspx".
Allora io ho generalizzato la questione pensando che questo dimostra l'approccio del "non si sa mai". Nel caso specifico, le strutture ricettive tenevano copie dei documenti per timore che le forze dell'ordine potessero chiedere prove delle comunicazioni effettuate.
Purtroppo l'atteggiamento "non si sa mai" è troppo diffuso. Lo vedo negli audit e lo vedo nell'applicazione della normativa e questo è un problema perché l'applicazione dei requisiti viene appesantita (quando già il requisito non è troppo pesante di suo). Relativamente agli standard, vedo che la loro adozione viene quindi percepita come un onere fastidioso e solo un lavoro paziente di alcuni consulenti e auditor guida le organizzazioni verso un'adozione pragmatica ed efficace degli standard. Dico "alcuni" e intendo "molti", purtroppo non "tutti".
Lo stesso approccio, ahinoi, riguarda anche la normativa e qui la situazione è più delicata, perché fare ricorso ha costi anche significativi e molti preferiscono fare anche cose inutili che correre il rischio di sanzioni. Qui dovremmo quindi ragionare sul ruolo delle autorità di vigilanza, che dovrebbero sì vigilare e, se il caso, anche sanzionare, ma anche accompagnare. Il ragionamento dovrebbe quindi essere esteso al bilanciamento tra regolamentazione e innovazione. Lo faccio in un altro post.
Grazie a un post di Fabrizio Cirilli su LinkedIn, segnalo che è stata pubblicata la SO/IEC 27018:2025 con titolo "Guidelines for protection of personally identifiable information (PII) in public clouds acting as PII processors": https://www.iso.org/standard/27018.
Si tratta della precedente versione del 2019 aggiornata per allineamento alla versione del 2022 della ISO/IEC 27002. In pochissime parole: non c'è nessun cambiamento significativo, ma ovviamente andrà prestata attenzione alle differenze per evitare pasticci.
Per chi non lo sapesse, la ISO/IEC 27018 aggiunge alla ISO/IEC 27002 i controlli di sicurezza dei dati personali, applicabili ai fornitori di servizi cloud pubblici. Questi controlli, per chi li volesse applicare, possono essere utilizzati anche per le certificazioni ISO/IEC 27001 e l’organizzazione certificata può avere sul certificato ISO/IEC 27001 una frase del tipo “Certificazione ISO/IEC 27001 con l’aggiunta dei controlli della ISO/IEC 27018”.
Per alcuni controlli già presenti nella ISO/IEC 27002, sono fornite linee guida per l’implementazione aggiuntive, specifiche per la sicurezza dei dati personali nell’ambito dei servizi cloud pubblici.
In questi ultimi anni, questa aggiunta è stata richiesta in molti contesti e in particolare per la Pubblica amministrazione. Purtroppo però la norma è stata interpretata in modo piuttosto fantasioso (per esempio con certificazioni dedicate o richiedendo di includere nel SOA anche le linee guida per l’implementazione aggiuntive), ma spero che l’ultima circolare Accredia in materia porti ordine.
Rimando a questo post di Bruce Schneier dal titolo "Another Supply Chain Vulnerability": https://www.schneier.com/blog/archives/2025/07/another-supply-chain-vulnerability.html.
In poche parole, Microsoft usava programmatori cinesi per i sistemi della Difesa USA. La Cina, ricordiamolo, per gli USA è un'avversaria potente nell'ambito dell'informatica. Allora Microsoft aveva previsto dei controlli da parte di personale USA, che però erano ex militari pagati al minimo e senza vere competenze di programmazione.
Ahinoi, per vincere una gara si fa quasi di tutto e per accettare il prezzo minimo si accetta quasi di tutto.
Ricordo ancora il mio amico che in campeggio ricordava ad alcuni: "hai voluto pagare poco la tenda, eh?".
Segnalo questo articolo dal titolo "AI Act: la visione europea sull’intelligenza artificiale": https://www.hermescse.eu/ai-act-la-visione-europea-sullintelligenza-artificiale/.
Fornisce una buona sintesi del Regolamento europeo per l'IA.
Sul commento finale sono in parte d'accordo con l'autore. Sulla relazione tra regolamentazione e innovazione vorrei fare una ulteriore riflessione (anche se qualcosa l'avevo già scritta in passato).
Andrea Solimeno di Selexi mi ha segnalato la OWASP AI Testing Guide: https://github.com/OWASP/www-project-ai-testing-guide/tree/main/Document.
La lettura ha le sue complessità, ma i project leader (Matteo Meucci e Marco Morana) sono di prim'ordine. Io penso che sia particolarmente interessante la lista dei test (https://github.com/OWASP/www-project-ai-testing-guide/tree/main/Document/content/tests) perché li propone per ciascuna minaccia e descrive bene anche ciascuna minaccia.
Nella lettura ho trovato il riferimento all'OWAS AI Exchange: https://owaspai.org/.
Qui sono chiare le relazioni tra minacce e controlli di sicurezza, anche se non presentati in modo proprio semplice.
Ecco: non chiedetemi di raccontarvi cosa ho capito perché non ci farei una bella figura. Magari con il tempo imparerò meglio le varie cose. Più che altro, mi piacerebbe trovare un libro che spieghi queste cose perché un conto è destreggiarsi tra pagine web, un altro è avere un libro, con i pregi e i difetti di una presentazione consecutiva degli argomenti (purtroppo c'è tantissima letteratura su come sarà il mondo con la diffusione dei sistemi con IA, ma sembra poca e dispersa quella su come mettere in sicurezza questi sistemi).
Ho scritto un articolo dal titolo "Nis2, ecco le misure dell’Acn per la sicurezza delle imprese": https://www.agendadigitale.eu/sicurezza/nis2-ecco-le-misure-dellacn-per-la-sicurezza-delle-imprese/.
Mi ha aiutato Monica Perego, Idraulica della privacy.
Nulla di nuovo, nulla di innovativo. Se qualcuno ha però qualcosa da segnalarmi, lo prego di farlo.
Copio e incollo direttamente dalla newsletter di Project:IN Avvocati:
Non poteva mancare una determina il giorno di chiusura del periodo di notifica dei dati da parte di soggetti essenziali e importanti ai sensi della "Direttiva NIS 2": così ACN ha pubblicato la determina n. 283727 del 22 luglio 2025 che sostituisce la n. 136117 del 10 aprile 2025. Il testo aggiusta e amplia le precedenti posizioni dell'Agenzia, ponendo le basi per l'implementazione pratica ed effettiva delle norme di cybersicurezza poste a protezione del "perimetro nazionale", in particolare riguardo all'utilizzo della piattaforma digitale di comunicazione tra soggetti NIS e Autorità.
Di mio aggiungo il link alla pagina web di ACN: https://www.acn.gov.it/portale/nis/aggiornamento-informazioni.
Non ho trovato nulla di particolarmente significativo.
E' stato pubblicato il DPCM 111 del 2025 che aggiorna il DPCM 81 del 2021: https://www.normattiva.it/eli/id/2025/08/01/25G00116/ORIGINAL.
In sostanza, quando le organizzazioni del PSNC notificano un incidente, devono anche classificarlo secondo una tassonomia stabilita dal DPCM 81 del 2021 (che aveva 19 tipi), ora aggiornata con il DPCM 111 del 2025. La modifica è stata l'aggiunta di un solo tipo, ossia il "Accesso non autorizzato o con abuso dei privilegi concessi".
Non ho mai apprezzato questa tassonomia, in troppi punti troppo generica (però non l'avevo mai studiata con attenzione). Avevo ragione a non apprezzare, visto che l'accesso abusivo prima non ci fosse e ci abbiano messo 4 anni a intervenire.
ACN ha pubblicato il "Vademecum: Buone pratiche di cybersecuritydibase per i dipendenti delle PP.AA.": https://www.acn.gov.it/portale/vademecum-dipendenti.
Si tratta, a farla breve, di una presentazione di 28 slide divisa in due parti: la prima riguarda il perché la sicurezza informatica è importante, la seconda presenta 12 "buone pratiche".
Nulla di nuovo sotto il sole, ma mi pare materiale ben fatto. Per chi ha già del materiale proprio, può valere la pena verificare se include tutte e 12 le buone pratiche. Io dovrò sicuramente inserire qualcosa sull'uso di sistemi IA, prendendo spunto dall'ultima slide.
Visto che mi piace criticare ACN, lo faccio anche adesso:
- il documento non è datato e neanche la pagina web di riferimento; neanche "2025" c'è, accipicchia;
- sono andato sulla home page per cercare questo vademecum (l'avevo inizialmente ignorato, poi però ho pensato che dovevo ripensarci e volevo ritrovarlo) e non l'ho trovato neanche con la ricerca (che mette i documenti in ordine casuale di data); però dalla home page sappiamo che Frattasi ha fatto i complimenti agli italiani delle Cyber olimpiadi e ACN ha incontrato la Repubblica del Mozambico; tutto bene.
