Check list per il Codice di condotta privacy per il software gestionale

Qualche tempo fa avevo scritto della pubblicazione del "Codice di condotta per il trattamento dei dati personali effettuato dalle imprese di sviluppo e produzione di software gestionale": https://blog.cesaregallotti.it/2024/12/codice-di-condotta-privacy-per-le.html.

 

Ricordo che il Codice è stato approvato ai sensi dell'articolo 40 del GDPR.

 

Avevo scritto il mio apprezzamento in un post che avevo scritto malissimo e me ne scuso con i miei lettori.

 

Ne ho fatto una check list da utilizzare da chi sviluppa e mantiene il software e da chi lo acquisisce: https://www.cesaregallotti.it/Pubblicazioni.html.

La legge italiana sull'intelligenza artificiale

Approvata la Legge 132 del 2025, detta anche "legge italiana sulla intelligenza artificiale italiana". Ricordo che la normativa primaria è il AI Act (Regolamento UE 2024/1689).

Segnalo questo articolo dal titolo "Legge AI italiana: ecco che devono sapere le aziende": https://www.agendadigitale.eu/cultura-digitale/legge-ai-italiana-ecco-che-devono-sapere-le-aziende (fa riferimento al DDL, ma quello è).

Riassunto del riassunto: sono ribaditi i principi generali del Regolamento europeo sull'IA, attribuisce i compiti alle autorità nazionali (soprattutto AgID e  ACN), dà deleghe al Governo per preparare alcuni decreti legislativi più specifici.

 

Importante il principio per cui i decreti non devono introdurre obblighi ulteriori rispetto al Regolamento europeo (AI Act).

 

Altro articolo molto chiaro è questo di Chiara Ponti (segnalatomi da Franco Vincenzo Ferrari) dal titolo "L'Italia ha la sua legge sull'AI, gli impatti privacy e cyber:  tutti i punti chiave": https://www.cybersecurity360.it/news/litalia-ha-la-sua-legge-sullai-gli-impatti-privacy-e-cyber-tutti-i-punti-chiave/.

 

Nota: questo post accorpa 2 post precedenti che ho cancellato e li aggiorna con il numero di Legge.

Jaguar Land Rover ferma da un mese per un incidente di sicurezza IT

Da SANS NewsBites segnalo la notizia decisamente significativa "Jaguar Land Rover Shutdown in Wake of Cyber Incident is Having Significant Economic Impact".

Per saperne un po' di più, segnalo questo articolo dal titolo "Jaguar Land Rover says cyberattack shutdown to last 'at least' another week": https://therecord.media/jaguar-land-rover-another-week-shutdown-cyberattack.

Mi pare uno degli incidenti più gravi in ambito industriale fin qui ed è per questo che lo segnalo, anche se non sappiamo quale attacco sia stato condotto e quali vulnerabilità siano state sfruttate.

 

CMMC 2.0 al via

Mi ha scritto Giancarlo Caroti di Neumus per ricordarmi che dal 10 novembre 2025 entrerà in vigore la prima fase del CMMC 2.0: le nuove offerte al DoD devono essere conformi al CMMC 2.0, con self-assessment di livello 1 o 2.

Sono poi previste altre 3 fasi, con partenza ogni anno a novembre (2026, 2027 e 2028).

Lascio il link alla pagina ufficiale: https://dodcio.defense.gov/cmmc/.

Stato standard ISO/IEC 270xx

A metà settembre 2025 si è tenuto l'incontro semestrale dell'ISO/IEC JTC 1 SC 27 che si occupa della redazione di molti standard importanti per la sicurezza delle informazioni. Io non ho partecipato perché era a Kunming, in China, e gli standard discussi non erano di mio particolare interesse.

Però, con i rapporti prodotti, fornisco una sintesi delle decisioni più significative:

• ISO/IEC 27000, di panoramica delle norme della famiglia ISO/IEC 27000: aggiornamento previsto per febbraio 2027; le definizioni saranno però riportate nelle singole norme;
• ISO/IEC 27003, di guida alla ISO/IEC 27001: aggiornamento previsto per aprile 2027 (le bozze attuali hanno un testo migliore rispetto al precedente, ma senza nuove indicazioni tecniche particolarmente significative);
• ISO/IEC 27004, di guida alle misurazioni per i sistemi di gestione per la sicurezza delle informazioni: aggiornamento previsto per ottobre 2027 (le bozze attuali prevedono qualche esempio ulteriore, su cui ho qualche perplessità, rispetto alla passata edizione);
• ISO/IEC 27017, con controlli e linee guida per l'implementazione da aggiungere alla ISO/IEC 27002 per i fornitori di servizi cloud: aggiornamento previsto per luglio 2026 (l'importanza di questa norma è chiara perché è richiesta da ACN e in alcuni bandi);
• ISO/IEC 27701, con i requisiti per i sistemi di gestione per la privacy: pubblicazione prevista per fine settembre 2025 (ne ho già parlato in precedenza e ho già esposto le mie critiche);
• ISO/IEC 27706, con le regole per gli organismi di certificazione ISO/IEC 27701: pubblicazione prevista per fine settembre 2025;
• ISO/IEC 29151, con controlli e linee guida per la privacy: pubblicazione prevista per luglio 2026 (questa norma è più di interesse didattico che pratico, almeno in Italia).

In vigore il Data Act

Dal 12 settembre è applicabile il Data Act, ossia il Regolamento UE 2023/2854.

La questione è complessa, anche perché la norma è di difficile lettura. Indicativamente permette di potenziare l’economia dei dati e favorire un mercato più competitivo, rendendo i dati più accessibili e utilizzabili. Sono stabilite quindi responsabilità e misure per lo scambio di dati, incluse quelle contrattuali per evitare abusi e la portabilità tra fornitori di servizi cloud.

Cito dalla newsletter di Project:IN Avvocati: "la sua integrazione con le altre norme, come GDPR e AI Act, è chiara a livello teorico - la Commissione ha un piano globale - ma complessa a livello pratico: vedremo come, nella realtà del business dei dati, questa norma avrà un impatto". 

Le FAQ della Commissione: https://digital-strategy.ec.europa.eu/it/library/commission-publishes-frequently-asked-questions-about-data-act.

Privacy: necessario cancellare le e-mail dopo la cessazione del rapporto

Franco Vincenzo Ferrari mi ha segnalato il Provvedimento del 10 luglio 2025 [10162267]: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10162267.

Il Provvedimento ricorda, in sostanza, le "Linee Guida del Garante per posta elettronica ed internet" (https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1387522) e quindi che è opportuno procedere alla disattivazione dell’account di email e alla notifica ai mittenti di tale disattivazione e di indirizzi email alternativi.

Il Provvedimento non dice espressamente che la casella doveva essere cancellata immediatamente, ma lo sottintende dicendo, in sostanza, che le motivazioni addotte per non farlo non sono fondate. Infatti è interessante osservare che il titolare aveva detto di voler conservare le caselle di email per la possibile necessità di recuperare informazioni perché i documenti vanno posti in appositi archivi mentre "i messaggi di posta elettronica scambiati tramite le caselle di posta elettronica assegnate ai dipendenti, come noto, sono invece considerati, a tutti gli effetti, corrispondenza costituzionalmente tutelata".

Questo dell'uso dell'email come archivio aziendale è, lo sappiamo, ormai assodato, ma non posso che concordare con il Garante. Lo dico per questioni organizzative, posto che lasciare dati importanti nelle caselle di email personali vuol dire non averne il controllo.

Gli uomini possono fare tutto - Settembre 2025

Ho trovato questa citazione da una lettera di Italo Calvino da "L'Italia dei libri. L’editoria in dieci storie" di Tommaso Munari: "Gli uomini devono sapersi fare da mangiare, rifarsi il letto, spazzare la casa, senza aspettare che sia la mamma o la moglie che glielo fa; che finché il maschio italiano non impara questo, ..., sarà magari proletario, sarà magari intellettuale rivoluzionario, ma resterà sempre un piccolo sfruttatore".

 

Linee guida del Ministero per l'istruzione per l'uso dell'intelligenza artificiale

Ho ricevuto molte volte la notizia "Pubblicate le Linee guida per l’introduzione dell’Intelligenza Artificiale nelle istituzioni scolastiche – Allegato al DM n. 166 del 09/08/2025": https://www.mim.gov.it/web/guest/-/pubblicate-le-linee-guida-per-l-introduzione-dell-intelligenza-artificiale-nelle-istituzioni-scolastiche-allegato-al-dm-n-166-del-09-08-2025.

Sul MIM sono molto severo e già ne scrissi a luglio. Infatti, ben lontano dal dire "ben altro è il problema", dico che "ci sono anche altri problemi" molto più antichi, ma ignorati. Per esempio l'assenza di linee guida sugli alunni DSA e il fatto che le linee guida sugli alunni adottati sono sotto "Relazioni con il pubblico".

C'è anche il problema che le linee guida non sono raccolte in un'agile bacheca, ma vanno cercati solo nelle notizie.

Evidentemente, il MIM segue l'attualità, non la sua missione.

Sul punto delle linee guida, mi sembra che non dicano niente di più dell'IA Act (che a sua volta impone anche troppi obblighi, ma questa è un'altra storia).

L'assurdo è pensare che ciascun istituto scolastico abbia le competenze per poter fare quanto richiesto, a differenza del MIM, che potrebbe investire soldi in consulenze qualificate.

Il MIM non ha quindi messo a disposizione una guida pratica, ma si è limitato a riassumere le cose richiesta dall'AI Act (chissà se e quanto ha pagato dei consulenti...).

Guida alla lettura delle specifiche di base NIS di ACN

ACN ha pubblicato il documento "Linee Guida NIS. Specifiche di base. Guida alla lettura": https://www.acn.gov.it/portale/nis/modalita-specifiche-base.

Non si tratta di un documento che specifica meglio le misure di base, come se fosse una ISO/IEC 27002 per i controlli di sicurezza. Come dice il titolo, è una guida alla lettura soprattutto alle parole chiave del documento.

Io pensavo che "sistemi rilevanti" fosse una traduzione scorretta di "relevant systems" e quindi andava interpretata come "sistemi pertinenti". Invece si tratta dei "sistemi più critici", se così posso dire.

Questo per dire che ognuno troverà qualche spunto per interpretare meglio, ma non certamente un manuale per capire meglio le misure (e io continuo a non capire quella che chiede di stabilire i livelli di servizio per valutare gli incidenti). Meglio così, visto che ogni tanto queste iniziative aggiungono requisiti e creano più confusione.