SA 8000:2026 - Standard per il lavoro dignitoso

Andrea Berni, degli Idraulici della privacy, mi ha segnalato la pubblicazione della nuova versione della SA 8000 " Standard for decent work": https://sa-intl.org/resources/sa8000-standard/.

Riporto il commento di Andrea:

Il SAI ha emesso la nuova versione dello standard SA 8000, è lo standard più diffuso in materia di Corporate Social Responsibility. Nella nuova versione dello standard è stata introdotta, nei Core Criteria, la privacy come nuovo requisito; pertanto questo sistema di gestione, che copre i temi giuslavoristici e di salute e sicurezza, ora si estende anche alla protezione dei dati.

 

Garante e non solo, ruolo, visibilità e rischi per l'innovazione

Giuseppe Alverone degli Idraulici della privacy ha segnalato questo post su LinkedIn di Giuseppe Corasaniti: https://www.linkedin.com/posts/giuseppe-corasaniti-95832515b_autoritaeqindipendenti-regolazione-innovazione-activity-7363435070356971522-rSjz.

In poche parole, critica l'eccesso di protagonismo mediatico del Garante e i rischi per l'innovazione.

E in effetti la situazione richiede una riflessione approfondita. Innanzi tutto, ripeto che a me, tutta questa regolamentazione, fa bene agli affari. Però qui si corre il rischio di curare troppo il paziente e perderlo.

Dovrei averlo già scritto: le entità legislative vogliono regolamentare e spesso esagerano (basti pensare all'AI Act, che introduce notevoli complessità in parte non necessarie, il Data act introduce altre cose relative alla privacy ma a parte; si pensi anche al pasticcio italiano su NIS2 e PSNC), le autorità di controllo in parte regolamentano (il Provvedimento sugli amministratori di sistema è l'esempio più chiaro di ciò possa essere fatto male; ma nei miei molti post ho dato evidenza delle critiche al Garante privacy e ad ACN) e in parte sanzionano (gli assurdi di questa estate del Garante, oltre che quelli relativi ai mitici metadati sono una dimostrazione di quanto ciò possa essere fatto in modo difficile da seguire), gli organismi di standardizzazione continuano a pubblicare standard (l'ultimo di cui ho avuto notizia è la ISO 56001 sull'innovazione, quasi un ossimoro), auditor e formatori e consulenti di tutti i tipi impongono loro modelli, ogni tanto non adeguati all'organizzazione e ogni tanto obsoleti (ho già scritto sui modelli di valutazione del rischio e su quelli di selezione dei fornitori, ma avrei innumerevoli esempi).

Tutto questo fa sì che le organizzazioni devono rincorrere la cosiddetta "compliance", in italiano "conformità", ma propriamente "condiscendenza" o "remissività", come dice la Treccani: https://www.treccani.it/vocabolario/compliance/. 

E infatti, remissivamente, molte spendono soldi ed energie per adeguarsi, spesso con l'approccio "non si sa mai", ossia facendo anche più di quanto richiesto perché tanti hanno paura di un'autorità inquisitoria (basti vedere quanti rallentano a 50 km/h quando sono presenti autovelox impostati a 70).

Capisco che l'Europa voglia regolamentare. Lo fa per impostazione filosofica, che tende a proteggere i cittadini, e di questo ne sono grato e non cambierei mai con gli Stati Uniti, tanto generosi nei media, tanto spietati nella realtà. Lo fa come strategia di mercato, sperando in qualche modo di rallentare l'invasione straniera.

Ma in tutto questo, almeno dal punto di vista informatico, nessuno ha sviluppato sistemi alternativi a quelli made in USA. L'ha fatto la Cina (non so più citare un articolo sul Corriere della Sera di fine luglio) e infatti si contrappone fieramente alle provocazioni di Trump, non l'ha fatto l'Europa che ha promosso l'industria 4.0, l'informatizzazione delle scuole (e lasciamo perdere le garanzie dove sono finite, con i giganti USA che ci sguazzano, oltre al modello educativo non ponderato) e... cosa? Alcuni Paesi hanno attuato facilitazioni per l'ingresso dei giganti USA. Ma queste sono strategie miopi.

Non lo dico perché voglio l'Europa (o l'Italia) ancora grandi perché penso alla superiorità dell'uomo europeo (che discende anche dal Neanderthal e quindi non avrebbe senso), ma perché il destino di un Paese colonizzato è quello di essere sfruttato e di deperire e non è quello che voglio per i miei figli.

Allora cosa fare? Non ne ho idea, ovviamente. So solo che, come minimo, su queste cose bisogna essere consapevoli.

Ecco, finalmente ho scritto più o meno quello che ha frullato in testa in questi mesi estivi.

Alberghi, documenti di identità e l'approccio del "non si sa mai"

Dalla newsletter Project:IN Avvocati dell'11 agosto 2025 trovo una notizia interessante: https://www.linkedin.com/feed/update/urn:li:activity:7360536866254729216/.

La notizia è ripresa da Wired e ha titolo "Hotel italiani, nel dark web in vendita migliaia di documenti di identità trafugati": https://www.wired.it/article/dark-web-documenti-identita-trafugati-hotel-italiani/.

Io che sono pigro, copio e incollo il commento della newsletter: "nei giorni scorsi sono emersi sul dark web (grazie al lavoro di CERT-AgID, come riporta Wired) database contenenti copie di documenti d’identità di tre hotel italiani. Al di là del breach, evidente e delicatissimo: ma perché queste strutture avevano e hanno in memoria i documenti, quando la normativa non lo impone e anzi lo vieta?".

Ho chiesto chiarimenti e Francesco Di Maio (uno degli avvocati dietro alla newsletter) mi ha risposto che "L'art. 109 del Testo Unico delle Leggi di Pubblica Sicurezza, più volte novellato, impone a tutti gli esercenti di strutture ricettive di comunicare giornalmente le generalità delle persone alloggiate, da effettuare oggi in via esclusiva attraverso un'applicazione telematica messa a disposizione dal Dipartimento della P.S., che non richiede né prevede alcun caricamento di immagine di documenti, ma solo dati ricavabili da essi, che devono essere inseriti a cura della struttura ricettiva. Va da sé che l'acquisizione di copie di documenti costituisce un trattamento eccedente e, come tale, deve essere valutato poiché non sorretto da alcuna base giuridica. Il manuale utente dell'applicazione è esplicativo https://alloggitiweb.poliziadistato.it/PortaleAlloggiati/SupManuali.aspx". 

Allora io ho generalizzato la questione pensando che questo dimostra l'approccio del "non si sa mai". Nel caso specifico, le strutture ricettive tenevano copie dei documenti per timore che le forze dell'ordine potessero chiedere prove delle comunicazioni effettuate.

Purtroppo l'atteggiamento "non si sa mai" è troppo diffuso. Lo vedo negli audit e lo vedo nell'applicazione della normativa e questo è un problema perché l'applicazione dei requisiti viene appesantita (quando già il requisito non è troppo pesante di suo). Relativamente agli standard, vedo che la loro adozione viene quindi percepita come un onere fastidioso e solo un lavoro paziente di alcuni consulenti e auditor guida le organizzazioni verso un'adozione pragmatica ed efficace degli standard. Dico "alcuni" e intendo "molti", purtroppo non "tutti".

Lo stesso approccio, ahinoi, riguarda anche la normativa e qui la situazione è più delicata, perché fare ricorso ha costi anche significativi e molti preferiscono fare anche cose inutili che correre il rischio di sanzioni. Qui dovremmo quindi ragionare sul ruolo delle autorità di vigilanza, che dovrebbero sì vigilare e, se il caso, anche sanzionare, ma anche accompagnare. Il ragionamento dovrebbe quindi essere esteso al bilanciamento tra regolamentazione e innovazione. Lo faccio in un altro post. 

Disobbedire, una competenza

Lorenzo Foffani fa anche l'allenatore di calcio (di un mio figlio). Lo fa volontariamente ed è molto bravo.

Ha fatto questo intervento dal titolo "Disobbedire: la nuova competenza dell’innovazione?": https://www.youtube.com/watch?v=4cnGZjMieMY.

E' in italiano ed è in video. E' anche di promozione per la società per cui lavora. Però è interessante.

La sua prima versione era in inglese e in formato testo: https://www.linkedin.com/pulse/hard-discipline-creative-disobedience-lorenzo-foffani-mbnkf.

In sintesi: per disubbidire bisogna essere (molto) competenti. Penso però che questo concetto sia capito da pochi.

Chi fa il mio lavoro sa che tanti non seguono le procedure o, peggio, le contestano senza però capire le motivazioni che hanno portato a quei processi e quelle regole. 

Ricordo il magnifico racconto Cromo di Primo Levi che, dall'altra parte, ci ricorda che le procedure vanno ridiscusse.

Fediverso

Io sono sempre affascinato dalle alternative ai grandi potenti dei social. La più promettente è il cosiddetto Fediverso.

Questo articolo dal titolo "Il Fediverso a scuola: uno strumento didattico per la cittadinanza digitale" mi pare un'ottima introduzione: https://www.agendadigitale.eu/cultura-digitale/il-fediverso-a-scuola-uno-strumento-didattico-per-la-cittadinanza-digitale/.

In realtà non parla solo di scuola. Presenta soprattutto i problemi etici che pone l'uso dei grandi fornitori di servizi informatici, economicamente gratuiti.

Il Manifesto della comunicazione non ostile

So che esco un po' di tema, ma l'iniziativa de "Il Manifesto della comunicazione non ostile" mi sembra molto interessante: https://www.paroleostili.it/manifesto-della-comunicazione-non-ostile.

Riguarda anche la comunicazione online ed è stato declinato per aziende, l'inclusione, l'infanzia, l'intelligenza artificiale, la politica, la pubblica amministrazione, la scienza e lo sport. E' stato anche tradotto in diverse lingue.

Alternative europee

Segnalo questo sito con alternative europee ai servizi informatici più diffusi e residenti negli USA: https://european-alternatives.eu/.

In questo periodo meglio essere preparati.

Grazie ad Alessandro Vallega di Rexilience per la segnalazione.

Dossieraggi

Sappiamo essere notizia il fenomeno dei dossieraggi.

Evito di entrare troppo nel merito e raccomando la lettura dell'analisi di Guerre di rete, visto che è difficile fare di meglio: https://guerredirete.substack.com/p/guerre-di-rete-se-le-banche-dati.

Io e Chiara Ponti abbiamo scritto un articolo per riflettere sulle misure di sicurezza: https://www.cybersecurity360.it/cultura-cyber/dossieraggio-bene-la-task-force-del-garante-privacy-per-vederci-chiaro-in-quanto-successo/.

Come sempre, se qualcuno dovesse avere idee diverse, mi piacerebbe discuterne.

European Accessibility Act: D. Lgs. 82 del 2022

Claudio Nasti di Chantecler mi ha segnalato che è stato approvato, ormai diverso tempo fa, il D. Lgs. 82 del 2022, di recepimento del European Accessibility Act (Direttiva europea 882 del 2019), con requisiti di accessibilità dei prodotti e dei servizi.

Questo D. Lgs. estende quanto previsto dalla Legge Stanca (L. 4 del 2004) a diversi prodotti e servizi. Tali prodotti e servizi devono quindi assicurare l'accessibilità a persone con disabilità.

Il link al D. Lgs. 82 del 2022 da Normattiva: https://www.normattiva.it/uri-res/N2Ls?urn:nir:stato:decreto.legislativo:2022-05-27;82!vig=2024-04-23.

Un articolo che mi sembra utile per iniziare a capire: https://scuderimottaeavvocati.it/accessibility-act-verso-uneuropa-piu-inclusiva/.

La pagina AgID sull'accessibilità: https://www.agid.gov.it/it/design-servizi/accessibilita.

Un punto importante, a mio avviso, riguarda i siti di e-commerce. Infatti anche questi devono rispettare la normativa dal 28 giugno 2025. Però, se ho capito correttamente, per i siti già attivi, l'adeguamento va assicurato dal 28 giugno 2030.

Vanno comunque analizzati i servizi e prodotti che devono rispettare la normativa.

Atlante dell'Infanzia (a rischio) - Tempi Digitali

Segnalo il XIV Atlante dell'Infanzia (a rischio) - Tempi Digitali di Save the children: https://www.savethechildren.it/cosa-facciamo/pubblicazioni/14-atlante-dell-infanzia-a-rischio-tempi-digitali.

Notoriamente, in questo periodo mi sto occupando, anche perché coinvolto personalmente, del rapporto tra digitale e minori. Questa pubblicazione è forse troppo ricca (ammetto di averla solo sfogliata), ma riporta tante cose interessanti.

Nota divertente: è stato suggerito a me e ad altri genitori da un signore che avevamo involontariamente circondato al bar dopo aver condotto i bambini a scuola. Ci aveva sentito parlare del rapporto con il digitale, ovviamente.

Licenziamento per aver parlato male del datore di lavoro sui social

Segnalo questo articolo dal titolo "Parla male del datore di lavoro sui social? Sì al licenziamento per giusta causa": https://www.altalex.com/documents/news/2024/01/18/parla-male-datore-di-lavoro-su-social-si-a-licenziamento-per-giusta-causa.

Questo genere di notizie mi interessa sempre perché dimostrano (anche se con pochi casi) il rapporto curioso che molti hanno con i social media, dove si sentono in diritto di poter dire qualsiasi cosa, incuranti (o forse spinti) da chi possa venirne a conoscenza. La questione non è solo sociale, è anche di sicurezza delle informazioni: se manca un autocontrollo su quello che si scrive, potrebbero anche essere scritte cose riservate.

In Francia vietatata WhatsApp ai ministri in favore di Olvid

Segnalo un articolo dal titolo molto chiaro: "App e cybersecurity, la Francia vieta WhatsApp ai ministri. Dall’8 dicembre si utilizzerà Olvid": https://www.cybersecitalia.it/app-e-cybersecurity-la-francia-vieta-whatsapp-ai-ministri-dall8-dicembre-si-utilizzera-olvid/27716/.

La notizia l'ho avuta dalla newsletter di Project:IN Avvocati.

Il caso è interessante, considerando gli impatti sulla sicurezza, l'avanzare delle proposte tecnologiche europee e le modalità con cui queste sono promosse. In particolare: questo dimostra che l'Italia è indietro? questa pratica porterà a una vera concorrenza verso gli OTT made in USA? questo dimostra la validità delle scelte normative EU, non solo per i diritti dei cittadini ma anche per lo sviluppo economico?

Parental control nazionale dal 21 novembre

Segnalo questo articolo dal titolo "Minori, come funziona il parental control automatico nelle sim": https://www.agendadigitale.eu/sicurezza/minori-online-piu-tutele-con-il-parental-control-di-stato-dal-21-novembre/.

Dal 21 novembre, gli operatori telefonici devono attivare sistemi di controllo parentale gratuiti.

Iniziativa lodevole, ma temo che i ragazzi non seguiti sapranno come aggirarli, i genitori che invece seguono i ragazzi sanno benissimo che il blocco non è sufficiente: bisogna osservare cosa fanno e come usano il dispositivo (oltre a limitare anche il tempo e gli orari).

Digital Security Festival

Luca Moroni mi ha segnalato il Digital Security Festival, che si tiene, con partecipazione gratuita, dal 17 al 27 ottobre in Veneto e Friuli Venezia Giulia: https://www.digitalsecurityfestival.it/.

I temi sono tanti e interessanti. Luca, a sua volta, parlerà il 26 ottobre pomeriggio a Vicenza in una tavola rotonda dal titolo "Rischi, opportunità e futuro della cybersecurity".

Formazione gratuita sulla sicurezza online per cittadini, imprese e Istituzioni

Il Comune di Milano (dove risiedo) promuove il portale web Cyber Secure City: https://cybersecurecity.it/.

Il portale, che non richiede neanche registrazione, mette a disposizione materiale di formazione gratuito sulla sicurezza informatica.

Sono presenti percorsi per Over 65, Studenti e tutti i cittadini e corsi in lingue diverse dall'italiano.

Iniziativa lodevole (e, in milanese, piutost che nient, l’è mei piutost) però i percorsi non sono progettati con cura: sembrano più una raccolta di materiale messo a disposizione, sempre lodevolmente, da alcune aziende, senza un vero filo conduttore.

Altro problema è che alcune istituzioni, piuttosto che organizzare incontri, rimandano a questo sito. Invece gli incontri e i confronti sono fondamentali per una migliore consapevolezza.

Gli uomini possono fare tutto

La mia amica Viviana, con cui parlo anche delle questioni organizzative con i bambini, mi ha chiesto di ritagliarmi un angolino della mia newsletter e del mio blog per raccontare come un uomo, ossia io, riesce a dedicarsi alla famiglia senza per questo essere discriminato, come invece succede alle donne.

Infatti succede che, quando io chiedo di finire le riunioni alle 16 per poter andare a prendere il figlio a scuola, tutti sono disponibili e, anzi, mi fanno i complimenti per l'impegno. So di casi in cui, quando lo chiede una donna, questa è troppo spesso ignorata (nei casi peggiori anche con sbuffi o commenti poco simpatici).

Io sono un libero professionista con competenze, a torto o ragione, riconosciute. Questo mi dà margini di manovra diversi da una dipendente. Però ho fatto anche un'altra riflessione: oggi molti vogliono dimostrare che le donne possono fare tutto (la serie Lida Poët è uno degli ultimi esempi), ma questo è solo un lato della medaglia, che permette ancora di spingere le donne a fare cose che "gli uomini non fanno" e, quindi, piano piano, a relegarle in quel ruolo. Invece siamo in tanti che stiriamo, ci occupiamo della lavatrice, aiutiamo i bambini con la scuola (per non dire dei bisogni al gabinetto), eccetera. Ovviamente, tranne Marco Mazzetti, solo una cosa non possiamo fare, ma è solo una.

E allora ho pensato che ogni mese potrei raccontare qualcosa che mi è successa e che dimostra che un uomo può far tutto. Non vorrò per niente essere auto-celebrativo (nel caso, vi chiedo di richiamarmi all'ordine), perché faccio tante cose senza infamia e senza lode, come quasi tutte le donne. Solo che le faccio e senza drammi. E forse è il caso di raccontarlo.

Un semplice episodio mi permette di ringraziare il gruppo di traduzione della ISO/IEC 27001 e ISO/IEC 27002, che mi ha permesso di partecipare ai lavori, e senza rimostranze, anche quando accompagnavo i bambini a karate, al calcio, al Catechismo e dai dottori, scollegandomi dal pc e ricollegandomi dal cellulare, restando assente per alcuni minuti se dovevo rispondere a qualcun altro.

Ho iniziato così, un 8 marzo. Cercherò di continuare ogni mese e di rimanere nelle poche righe (molte meno di questo primo episodio).

Dispositivi (e smartphone) a scuola

Mi rendo conto che sono leggermente fuori tema, però il discorso sugli "smartphone a scuola" introduce molti elementi importanti anche per chi si occupa di qualità e sicurezza nelle aziende e, in generale, nelle organizzazioni.

Intanto un link (grazie a un tweet di Filippo Bianchini) a un articolo dal titolo "Quando la disinformazione arriva dal Ministero dell'Istruzione e del Merito: il caso dei dispositivi elettronici a scuola":
- https://www.valigiablu.it/cellulari-scuola-circolare/.

Poi un video di un incontro dal titolo "Incontro aspettando lo smartphone" tenuto presso una scuola. Per chi non si occupa di bambini e ragazzi è comunque interessante la prima parte (dal minuto 10 all'ora) perché fornisce dati interessanti sugli effetti o i non-effetti dell'uso dello smartphone:
- https://www.youtube.com/watch?v=ndYFEGrRDYc.

Penso ci siano alcune cose significative:
- le diverse tipologie di attenzione che impongono gli strumenti digitali, che vanno considerate attentamente;
- il livello di distrazione che gli strumenti introducono;
- il fatto che vedere violenza non ci fa diventare più violenti, ma più impauriti.

Insomma, ci sono cose che fanno riflettere. Non ho ancora ben sedimentato queste riflessioni, ma so che ci sono.

Mio articolo sulle competenze per la sicurezza delle informazioni

Segnalo questo mio articolo dal titolo "Sicurezza delle informazioni: come formare le competenze che servono":
- https://www.agendadigitale.eu/cultura-digitale/competenze-digitali/sicurezza-delle-informazioni-le-competenze-necessarie-e-le-opportunita-di-formazione/.

Mi sono molto divertito a scriverlo e spero sia di interesse.

I rischi umani di sicurezza informatica

Segnalo questo articolo da un tweet di Rebus dal titolo "Errori, stanchezza, computer smarriti: quando il fattore umano mette a rischio la sicurezza informatica":
- https://www.wired.it/article/fattore-umano-sicurezza-informatica/.

Nulla di nuovo, ma è bene ripassarlo.

A mio parere, poi, troppi puntano sulla formazione e la consapevolezza delle persone, ma queste sono, per nostra natura, inaffidabili. Io ritengo che la sicurezza debba essere innanzitutto tecnologica, da ovviamente affiancare a quella umana. Continuo a dirlo: già le persone non bloccano i propri dispositivi e, se possono, non impostano una password; figuriamoci stare attenti.

Mio articolo sulle competenze in ambito di sicurezza informatica

Ho scritto un articolo dal titolo "La cybersecurity e la ricerca delle competenze nel 2022". Si può leggere seguendo il link da questa pagina di lancio:
- https://digitalaw.it/alla-ricerca-delle-competenze-digitali-nel-2022/.

Si tratta di riflessioni senza pretesa di essere conclusive. Anzi. Mi farà piacere se altri vorranno condividere con me altre riflessioni in materia (anche se diverse dalle mie).