Decreto sulle certificazioni richieste dal perimetro di sicurezza

Giancarlo Caroti di Neumus mi ha segnalato la pubblicazione del decreto del Presidente della Repubblica numero 54 del 5 febbraio 2021.

Giancarlo mi sintetizza: "sono definite le procedure, le modalità e i termini da seguire ai fini delle valutazioni da parte del CVCN (Mise) ed i CV (MinInt e Difesa)". E commenta: "Pare molto impattante sulle dinamiche di acquisizione di prodotti e servizi ICT dei soggetti nel perimetro e dunque merita attenzione e credo che sarà spesso invocato (non sempre per lodarlo)!".

Dove reperirlo:
- www.gazzettaufficiale.it/eli/id/2021/04/23/21G00060/sg.

Qualche mio commento:
- gli enti all'interno del perimetro dovranno fare un'analisi del rischio e della sicurezza di ciascun prodotto o servizio ICT che intendono acquistare; credo che in molti copi-incolleranno, ma penso che sarà comunque una pratica utile (purché l'approccio richiesto, che dovrà essere pubblicato tra un paio di mesi, non sarà inutilmente oneroso);
- CV e CVCN potranno specificare quali test dovranno essere condotti prima di approvare un acquisto; anche questi saranno pubblicati tra un paio di mesi e, secondo me, permetteranno, nel tempo, di innalzare il livello complessivo della sicurezza informatica, grazie alla condivisione delle competenze, anche a chi è fuori dal perimetro.

Sicurezza dei servizi cloud MS

Segnalo questa interessante presentazione sulla sicurezza (e su come configurare) dei servizi cloud di microsoft:
- https://drive.google.com/file/d/13Hmi2lSZEZfrvaAfc72EEsmK1iDcuNtM/.

C'è anche il video della presentazione fatta il 28 aprile 2021:
- https://www.youtube.com/watch?v=XOF8fw_aW5E.

Privacy: Sulle sanzioni del Garante

Andrea Veneziani di Yioroi mi ha scritto in merito alle mie riflessioni sulle sanzioni del Garante privacy:
- http://blog.cesaregallotti.it/2021/03/sulle-sanzioni-del-garante.html.

Secondo lui le sanzioni non sono abbastanza elevate perché "la nostra storia ci ha insegnato che, a fronte di sanzioni basse o lievi, poco o nulla si è ottenuto in tema di applicazione della protezione dei dati personali. Mi riferisco alle leggi anteriori al GDPR".

Aggiunge poi: "capisco che le aziende sono tartassate su molteplici fronti (costi per sicurezza sul lavoro, diritti dei lavoratori, agenzia entrate, ecc.), non capisco però le aziende che continuano a fare finta di niente in un mondo dove il singolo cittadino subisce attacchi e tentativi di frode, spamming di pubblicità da società di ogni genere, chiamate da call center al limite dello sfinimento, ecc.".

Io però vorrei ricordare che non chiedo sanzioni meno elevate. Solo mi sembra che, se le sanzioni sono elevate anche per chi si auto-denuncia (anzi, sembra che siano le più elevate in Europa), è inutile lamentarsi se le auto-denunce sono poche.

Comunque la si voglia leggere, rimane una conclusione di Andrea che condivido: "Le sanzioni fanno sì che ogni tanto ci sia una scossa e qualcuno prenda maggiori (o migliori) provvedimenti rispetto alla protezione dei dati personali e delle informazioni in genere".

ISO 37301:2021 - Compliance management systems

Monica Perego mi ha segnalato la pubblicazione della norma ISO 37301:2021 dal titolo "Compliance management systems — Requirements with guidance for use":
- https://www.iso.org/standard/75080.html.

E' facile immagirare i requisiti che riporta, visto che si basa sull'High level structure. E' però chiaro che, a chi intende certificarsi, è richiesto un livello di rigore superiore rispetto al "ogni tanto controllo qualche sito" per dimostrare la propria gestione della conformità. Per questo ci sono alcuni requisiti interessanti.

La norma ha un'Appendice A con anche una guida per l'interpretazione dei requisiti.

Non so che successo avrà questa norma, ma la trovo interessante.

Minacce e attacchi: caso di SIM swap - Commento

Gabriele Marelli mi ha inviato un commento sul post "Minacce e attacchi: caso di SIM swap":
http://blog.cesaregallotti.it/2021/03/caso-di-sim-swap.html.

Riporto nel seguito le sue parole e lo ringrazio.

Condivido la sua osservazione sul fatto che appaia strano che la banca abbia risarcito il cliente pur non avendo una reale colpa per l'attacco e, aggiungo, pur avendo negato le proprie responsabilità nella risposta fornita al cliente. E in effetti in casi simili è raro leggere notizie di rimborsi, anche in relazione a presunte o potenziali corresponsabilità del correntista.

In questo caso mi sembrano però dirimenti i punti 3, 4 e 15.7 della perizia del Dott. Rapetto (e forse anche l'autorevolezza del perito…), che si riferiscono ad una procedura di "Recall", forse colpevolmente non eseguita o eseguita fuori termine da parte della Banca, o forse eseguita correttamente e che quindi ha consentito di recuperare i fondi indebitamente sottratti.

E' infatti evidente che in questo caso specifico sussistessero le condizioni per l'applicazione della suddetta procedura (BEU eseguito in modo fraudolento + richiesta di "Recall" entro 10 giorni lavorativi).

Senza questo elemento a mio avviso l'esito non sarebbe stato così scontato. Temo che il diffuso e ormai annoso problema dello "SIM Swap" permanga…

Stato delle norme ISO/IEC 270xx - Aprile 2021

Si è concluso il 14 aprile 2021 il meeting semestrale dell'ISO/IEC JTC 1 SC 27. Si è svolto tutto in virtuale.

Come al solito indico le cose che a me hanno interessato di più.

Per i lavori collegati alla ISO/IEC 27001:
- la ISO/IEC 27002, sui controlli di sicurezza, sarà discussa a metà giugno e si spera passi in FDIS e quindi sia pubblicata entro fine 2021 (ma penso che più probabilmente sarà pubblicata a inizio 2022);
- proseguono i lavori sulla ISO/IEC 27005 sulla valutazione del rischio (pubblicazione prevista per fine 2022);
- ripartiranno i lavori per aggiornare la sola appendice A della ISO/IEC 27001 in modo che sia allineata alla nuova ISO/IEC 27002 (si cercherà di seguire una strada veloce, che prevede anche il fatto che la norma non cambierà edizione e rimarrà quindi ISO/IEC 27001:2013);
- partiranno i lavori per aggiornare la ISO/IEC 27006-1 in modo che sia progettata in modo da rendere meglio gestibili le altre parti (l'attuale ISO/IEC 27006-2 e le eventuali future parti dedicate ad altri schemi di estensione della ISO/IEC 27001);
- si è anche discusso dei lavori che dovranno riguardare alcune norme (p.e. la ISO/IEC 27017) strettamente collegate alla ISO/IEC 27002.

Per quanto riguarda le norme sulla privacy, segnalo:
- la discussione sulla ISO/IEC 27006-2 (regole di accreditamento, e quindi di certificazione, per la ISO/IEC 27701), perché si ha l'intenzione di riprenderla in mano in modo da correggere alcune cose, migliorare il calcolo delle giornate di audit e farla uscire come International standard e non più come TS entro fine 2023; non penso che per noi italiani questo aggiornamento sia particolarmente urgente, ma sembra che per altri Paesi lo sia e quindi dobbiamo rispettare le loro esigenze;
- i lavori della ISO/IEC 27557 (Organizational privacy risk management), che ho seguito per il dibattito su alcuni concetti interessanti e non per l'importanza della norma;
- la prossima pubblicazione in autunno 2021 della ISO/IEC 27555 sulla cancellazione dei dati personali.

Sicuramente avrò dimenticato qualcosa per colpa della fretta e me ne scuso
con tutti i lettori.

Not boring privacy

Un'iniziativa degli Idraulici della privacy è il canale Instagram notboringprivacy:
- https://www.instagram.com/notboringprivacy/.

Io dico che mi sono iscritto a Instagram solo per seguirlo.

L'iscrizione però è inquietante e non la capisco: se inserisco la mia email (cesare@dominio.it), mi dice "Another account is using cesare@dominio.it". Allora gli dico che ho dimenticato la password e mi dice "No users found". Boh...

Ma la cosa importante, dicevo, è che il canale raccoglie vignette amene sulla privacy. Lo raccomando.

Anche perché si tratta di un'iniziativa degli Idraulici della privacy (e in particolare di Glauco Rampogna).

Android e iOS inviano dati anche se non vogliamo

E' stata pubblicata una ricerca in cui si dimostra che i dispositivi con Android e iOS inviano molti dati a Google e Apple anche quando gli utenti li configurano affinché non lo facciano:
- https://www.theregister.com/2021/04/01/android_ios_location/.

L'articolo segnalato riporta il link alla ricerca completa (in pdf) e le risposte, sempre inquietanti, di Google.

App medicali e sicurezza

A metà 2017 avevo segnalato un articolo sul "futuro" regolamento UE sui dispositivi medici. Poi il regolamento è stato pubblicato, ma non ho più trattato l'argomento, anche se, in questi anni, ho collaborato in alcuni progetti relativi ai dispositivi medici e all'attenzione che il nuovo regolamento pone sulla sicurezza informatica.

Mi ha risvegliato Enos D'Andrea che ringrazio. Mi ha ricordato che il 26 maggio 2021 scade il termine per l'applicazione del regolamento europeo sui dispositivi medici approvato nel 2017. La scadenza era inizialmente prevista per l'anno scorso ed è stata posticipata di un anno causa COVID.

Il regolamento include anche requisiti di privacy e sicurezza per il software con finalità diagnostiche, incluse le applicazioni che monitorano i parametri di salute con finalità diagnostiche, che dovranno quindi obbligatoriamente certificarsi. Complesso è capire la differenza tra app di fitness e mediche.

Innanzi tutto ricordo l'articolo "iniziale" che avevo segnalato nel 2017:
- https://www.filodiritto.com/app-medicali-e-nuovo-regolamento-ue-sui-dispositivi-medici.

Poi segnalo dove trovare il Regolamento aggiornato ad oggi (ultimo aggiornamento del 23 aprile 2020):
- https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:02017R0745-20200424.

Quindi segnalo la "MDCG 2019-16 - Guidance on Cybersecurity for medical devices":
- https://ec.europa.eu/docsroom/documents/41863.

Comunque io non sono esperto di questa materia, ma credo sia giusto tenerla monitorata.

Materiale di formazione su OWASP Top 10 per il web

Glauco Rampogna (questo mese mi ha fornito molte indicazioni interessanti!) mi ha segnalato questo sito dove sono disponibili applicazioni interattive per formazione delle OWASP Top 10 per il web:
- https://application.security/free/owasp-top-10.

Come dice Glauco, può essere usato "al posto di mille webinar a pagamento". E in effetti ho trovato più indicazioni utili e approfondite qui che nelle presentazioni che ho sentito finora, tranne una di Paolo Perego (https://codiceinsicuro.it/) ormai troppi anni fa.

Io confesso di aver guardato solo la ricostruzione dell'attacco a Capital One con un attacco SSRF e la "Vertical Privilege Escalation". Non ho capito proprio tutto, ma penso proprio si tratti di un buon approccio per spiegare ai non tecnici come me alcune possibili vulnerabilità e ai tecnici come mitigarle.

Il furto di dati personali da Facebook

Glauco Rampogna mi ha segnalato questo articolo sul furto di dati personali da Facebook:
- https://www.businessinsider.com/stolen-data-of-533-million-facebook-users-leaked-online-2021-4?IR=T.

Ormai questa è una notizia super nota e richiamata da tutte le testate giornalistiche. Non mi sembra però di aver letto articoli tecnicamente significativi.

Tranne questo (sempre segnalato da Glauco qualche giorno dopo):
- https://www.reuters.com/article/us-facebook-data-leak/facebook-does-not-plan-to-notify-half-billion-users-affected-by-data-leak-idUSKBN2BU2ZY.

La cosa interessante è che Glauco ha cercato il mio nome e l'ha trovato con il numero di cellulare. Ora... non mi sembra di averlo mai dato a Facebook. Mi sa che l'ha reperito da WhatsApp e infatti sul profilo di Facebook il mio cellulare non risulta disponibile. Quindi vuol dire che ha aggregato dati credo senza una vera necessità. Ottimo...

Tra l'altro, in questi giorni ci sono stati altri attacchi (dati rubati a LinkedIn, blocco dei servizi a Brescia per ransomware e del servizio Axios per le scuole sempre per ransomware, analisi del Garante dell'incidente a Booking.com a inizio 2019), però nessuno degli articoli che ho visto ci insegna veramente qualcosa, tranne la necessità di stare attenti.

Risoluzione del Parlamento EU sull'applicazione del GDPR

Glauco Rampogna (un Idraulico della privacy) ha segnalato la pubblicazione della "Valutazione della Commissione sull'applicazione del regolamento generale sulla protezione dei dati due anni dopo la sua attuazione" e la "Risoluzione del Parlamento europeo" in merito alla valutazione della Commissione:
- https://www.europarl.europa.eu/doceo/document/TA-9-2021-0111_IT.html.

Il testo è di 14 pagine (il link proposto riporta all'edizione italiana). Io però preferisco riportare quello che mi ha segnalato Glauco.

Glauco segnala il punto 7:
esprime preoccupazione per il fatto che il "legittimo interesse" è molto spesso citato in modo improprio come base giuridica del trattamento; rileva che i titolari del trattamento continuano a basarsi sul legittimo interesse senza effettuare il necessario esame del bilanciamento degli interessi, che comprende una valutazione dei diritti fondamentali; esprime particolare preoccupazione per il fatto che alcuni Stati membri stanno adottando una legislazione nazionale per determinare le condizioni per il trattamento sulla base del legittimo interesse, prevedendo il bilanciamento dei rispettivi interessi del titolare del trattamento e delle persone interessate, mentre il GDPR obbliga ogni singolo titolare del trattamento a effettuare tale esame del bilanciamento a livello individuale e ad avvalersi di tale fondamento giuridico; teme che alcune interpretazioni nazionali del legittimo interesse non rispettino il considerando 47 e vietino di fatto il trattamento sulla base del legittimo interesse; si compiace che l'EDPB abbia già avviato i lavori per aggiornare il parere del gruppo di lavoro "Articolo 29" sull'applicazione del legittimo interesse quale base giuridica per il trattamento, al fine di affrontare le questioni evidenziate nella relazione della Commissione.

e il punto 23:
si rammarica del fatto che il ricorso, da parte degli Stati membri, alle clausole di specificazione facoltative (ad esempio, il trattamento nell'interesse pubblico o da parte delle autorità pubbliche sulla base del diritto dello Stato membro e dell'età del consenso dei minori) abbia pregiudicato il conseguimento di una piena armonizzazione della protezione dei dati e l'eliminazione di condizioni di mercato divergenti per le imprese in tutta l'UE, ed esprime preoccupazione in relazione al fatto che ciò può far aumentare il costo della conformità al GDPR.

Personalmente trovo particolarmente interessante il fatto che l'EDPB voglia aggiornare l'opinione del WP Art. 29 del 2014 in merito al legittimo interesse, in quanto basato sulla precedente Direttiva privacy.

Rapporto Clusit 2021

Come ogni anno, anche nel 2021 il Clusit ha pubblicato il suo rapporto:
- https://clusit.it/rapporto-clusit/.

I numeri, di per sé stessi, non mi entusiasmano molto, anche perché sono sempre alti e, oltre una certa soglia, non dicono altro che "bisogna stare attenti". Da questo punto di vista, il rapporto Clusit ogni anno trova un messaggio nuovo e nel 2021 è "siamo sotto assedio".

Alcuni aspetti sono però degni di nota. Ovviamente le tipologie di attacco più diffuse, che confermano il malware e il social engineering e quindi la necessità di educare le persone a riconoscere ed evitare questi attacchi (sempre più difficile, anche per la qualità sempre più alta delle email di accompagnamento di questi attacchi).

Vedo che anche l'attacco BEC (Business email compromise) è molto diffuso e devo dire che in questi anni l'ho sempre sottovalutato, ma nel 2020 un paio di miei clienti ne sono rimasti vittima e quindi sbagliavo. Questo mi impone di proporre alle organizzazioni per cui lavoro qualche forma di formazione su questo tema (accetto suggerimenti). Ed ecco quindi che già questo rapporto Clusit si è dimostrato per me molto utile.

Ho trovato anche molto interessante lo speciale sulla supply chain security, altro argomento a mio avviso o sottovalutato o trattato molto male (vedo ancora troppi questionari inutili che girano, come se potessero risolvere la situazione).

Io ho segnalato gli argomenti che a me hanno interessato maggiormente, ma sono sicuro che ciascuno troverà pane per i suoi denti e quindi ne raccomando la lettura.

EN 50518:2020 per i centri di monitoraggio

Monica Perego (Idraulici della privacy) mi ha segnalato l'esistenza della UNI CEI EN 50518:2020 dal titolo "Centro di monitoraggio e di ricezione di allarme":
- http://store.uni.com/catalogo/uni-cei-en-50518-2020/.

E' interessante perché propone requisiti per centri di due categorie: una più robusta (la categoria I) e una meno (la categoria II).

Lo standard permette di certificare questi centri come prodotto, servizio o processo (ISO/IEC 17065).

La versione in inglese (EN 50518:2019 "Monitoring and Alarm Receiving Centre"):
- https://www.cenelec.eu/dyn/www/f?p=104:110:2529540743028801::::FSP_ORG_ID,FSP_PROJECT,FSP_LANG_ID:1257171,46163,25.

Illegale usare un fornitore di servizi IT USA senza ulteriori analisi

Da una segnalazione di Pierfrancesco Maistrello (con supporto di Biagio Lammoglia) degli Idraulici della privacy, segnalo questa notizia.

L'Autorità per la Protezione dei Dati bavarese (BayLDA) ha ritenuto che l'uso dello strumento di newsletter Mailchimp da parte di una società tedesca illegale in quanto Mailchimp potrebbe qualificarsi come "fornitore di servizi di comunicazione elettronica" soggetto alla legge di sorveglianza degli Stati Uniti.

Attenzione che il trasferimento era basato sulle clausole contrattuali tipo (standard contractual clauses, SCC), ma l'azienda non aveva valutato se erano necessarie ulteriori misure per assicurare la protezione dei dati dalla sorveglianza USA.

Una sintesi in inglese:
- https://gdprhub.eu/index.php?title=BayLDA_-_LDA-1085.1-12159/20-IDV.

Questo varrebbe un approfondimento. Infatti dice che le SCC sono insufficienti (e già si evinceva dalle linee guida EDPB). Ma un DPO o consulente medio (e magari mediocre come me), come fa a fare analisi approfondite sulla possibilità che i dati siano visti dalle agenzie di sorveglianza statunitensi? e quali misure potrebbe mai mettere in campo?

Perché allora tanto vale dire che, per le PMI, è vietato trasferire i dati negli USA in tutti i casi, visto che non possono permettersi valutazioni significative.

Poi ancora, mi pare che si limiti a una società usa con dati negli USA. Chissà se si estende a società USA con dati in EU?

Contributi e segnalazioni sono ben accetti.

Caso di SIM swap

Franco Vincenzo Ferrari di DNV mi ha segnalato questa notizia:
- https://www.infosec.news/2021/03/19/news/campanello-di-allarme/sapete-che-intesa-sanpaolo-ha-restituito-77-000-euro-ad-una-vittima-di-sim-swap/.

In breve, un cliente di Intesa Sanpaolo è stato vittima di un attacco SIM swap (un tizio ottiene una SIM sostitutiva al posto del legittimo intestatario) e successivamente di prelievi fraudolenti dal proprio conto bancario.

La cosa buffa, da quello che capisco, è che Intesa Sanpaolo ha risarcito il cliente pur non avendo una reale colpa per l'attacco, visto che è stato un centro TIM a consegnare una SIM senza i necessari controlli.

Attenzione che oggi, poi, le banche stanno sostituendo gli SMS con specifiche app, che hanno maggiori livelli di sicurezza, almeno allo stato attuale delle conoscenze, visto che la loro attivazione richiede una password.

Come sminuire il valore delle certificazioni

In questi giorni mi sono arrivate due segnalazioni sulle certificazioni. Allora provo a scrivere due righe in merito (temo di aver inserito qualche inesattezza, ma la sostanza è questa).

La prima me l'ha girata Fabio Guasconi di BlackSwan riguarda la certificazione ISO/IEC 27037:
- https://www.csqa.it/Sicurezza-ICT/News/Digital-Evidence-ISO-IEC-27037,-CSQA-rilascia-il-p.

In realtà ci sono anche molti altri casi e il problema non è CSQA, che, conoscendoli, hanno sicuramente fatto il loro lavoro con scrupolo e correttezza, ma di Accredia, che deciso di inventarsi delle "certificazioni estese" rispetto alla ISO/IEC 27001. Alcune di queste estensioni sono previste da standard come le ISO/IEC 27017 e ISO/IEC 27018, che hanno una parte di controlli scritti apposta per integrare una Dichiarazione di applicabilità già prevista dalla ISO/IEC 27001. Purtroppo hanno deciso di estendere questo meccanismo per tutti gli standard della famiglia ISO/IEC 27000, anche se non scritti con quell'intenzione e quindi usati e interpretati male.

Accredia ha fatto questo perché alcuni fantasisti avevano chiesto, in bandi di gara, certificazioni inesistenti come sulla ISO/IEC 27035. Però, così facendo, Accredia non ha fatto un buon lavoro di regolamentazione del mercato, visto che avalla un uso scorretto delle linee guida che, appunto, sono state scritte con uno spirito diverso da quello previsto per uno standard di requisiti.

Se si ritiene necessario uno standard di requisiti per i laboratori di analisi forense, allora sarebbe opportuno fare in modo che venga preparato ed elaborato (magari inizialmente con il supporto di UNI e UNINFO per poi essere presentato a livello internazionale), non inventarsi ciofeche che sembrano confermare il mito degli italiani fantasiosi (anche a sproposito).

Ma Accredia non è nuova a certi colpi di fantasia, come abbiamo visto con il regolamento sulla ISO/IEC 27701 (che verrà cambiato presto, con l'uscita della ISO/IEC 27006-2) e altri requisiti bizzarri quando richiede competenze ITIL a auditor di sicurezza (che è sempre bene avere, ma non obbligatoriamente).

La seconda me l'ha girata Paolo Sferlazza di Gerico e riguarda le certificazioni personali:
- https://www.skillfront.com/ISO-IEC-27001-Information-Security-Lead-Auditor.

Questi almeno sono svizzeri. Si sono inventati i certificati auditor e lead auditor ISO/IEC 27001 "veloci": con 70 Euro ti danno un libretto di 63 pagine (non l'ho visto, sarà anche fatto benissimo) e un audio libro di 58 minuti e poi ti puoi fare comodamente a casa l'esame con 40 domande a scelta multipla.

Io sono convinto che sia un fastidio per alcuni farsi un corso di 5 giornate su una materia che, magari, già conoscono. Io mi sono trovato in condizioni simili con la ISO 22301 (in questo caso ho fatto l'esame del The BCI). Però ridursi a un questionario di 40 domande (con rimborso se non si passa!) squalifica prima di tutto il professionista che accetta questa offerta.

Chi chiede i "certificati LA ISO/IEC 27001" dovrebbe innanzi tutto chiedersi se sono utili quando si cerca un consulente. Poi dovrebbe richiederli emessi da organismi accreditati dagli enti previsti dal Regolamento europeo 765 del 2008 (a questo proposito, il sito di SkillFront dice che sono accreditati, ma non si capisce da chi e, anzi, confonde un po' le cose mettendo la parola "accreditamento" vicino a un "accreditamento" svizzero che però è equivalente alla nostra registrazione di un'azienda alla  Camera di commercio).

Io continuo a pensare che dobbiamo chiedere il rispetto delle regole e ad Accredia di svolgere gli opportuni controlli (visto che anche io pago Accredia, essendo iscritto a due registri di persone certificate e accreditati proprio da Accredia), però dobbiamo anche pensare che non vale la pena competere con questi soggetti. Fatte le dovute proporzioni, è come se la Ferrari volesse competere con la Tata. Io non posso equipararmi alla Ferrari e non voglio offendere la Tata, però spero di aver reso l'idea.

Sulle sanzioni del Garante

Pierfrancesco Maistrello mi ha segnalato questo intervento di Guido Scorza, membro del Garante privacy:
- https://www.youtube.com/watch?v=LEv1Z_IBk1k.

Me lo ha segnalato soprattutto perché dice che l'Italia è il paese UE con le sanzioni più alte e, contemporaneamente, quello con meno notifiche di violazioni. L'analisi è che i titolari si astengono dal notificare, pensando di farla franca. Questo però comporta che l'autorità sia costretta, in molti casi, a scavare per recuperare informazioni, cosa che comporta il reperimento di una bella quantità di informazioni non sempre a vantaggio del titolare.

Di fatto, senza dirlo palesemente, suggerisce a tutti di essere onesti in ciò che si notifica, tenendo conto che spesso loro sono informati ("dai giornali, ma anche via whatsapp…") di certe situazioni.

Io però dico che forse si potrebbe ragionare in altro modo, ossia che proprio le sanzioni elevate (più elevate che negli altri Paesi) sconsigliano ai titolari di segnalare le violazioni, tanto più che, come ho già segnalato in precedenza, i provvedimenti di sanzione fanno emergere un approccio basato sul principio "se c'è stata violazione, vuol dire che le misure non sono adeguate e quindi sei in difetto".

Io ovviamente non ho tutti i dati e forse i provvedimenti non chiariscono tutte le analisi fatte e forse il rapporto tra causa ed effetto (ossia che le mancate violazioni portano a sanzioni più elevate) è proprio quello indicato da Scorza e non viceversa (ossia che le sanzioni elevati portano a meno sanzioni). Però il dubbio mi rimane.

Libro "Intelligenza artificiale e sicurezza"

Il 18 sarà disponibile il libro "Intelligenza artificiale e sicurezza" della Community for Security del Clusit:
- https://iasecurity.clusit.it/.

Io ho avuto l'opportunità e il privilegio di fare da editor, ossia di consolidare i contributi ricevuti e precedentemente ottimamente organizzati dai team leader. Lo dico perché all'inizio ero completamente ignorante in materia di intelligenza artificiale (a parte una certa conoscenza di Hal 9000 e delle tre leggi della robotica di Asimov) e ho avuto la possibilità di poter chiedere chiarimenti agli autori (tutti validissimi) mano a mano che non capivo qualcosa.

Spero quindi di essere riuscito a limare il testo in modo che possa essere utile ai principianti. Sono anche sicuro che sarà utile a chi conosce già l'intelligenza artificiale, visto che gli autori sono di altissimo livello e il testo è stato riesaminato da persone molto preparate sulla materia.

Io personalmente ho già avuto modo di verificare i benefici personali che ho avuto da questo lavoro. Sono infatti riuscito a seguire alcuni ragionamenti sull'intelligenza artificiale senza sentirmi perso.

Sono grato a tutti quelli che hanno partecipato a questo lavoro, coordinati dal bravissimo Alessandro Vallega di P4I, per l'opportunità non solo di imparare, ma anche e soprattutto di potermi confrontare con persone (non solo professionisti) eccezionali. Per fare un esempio: è stato bello assistere alla neo-paternità di un partecipante.

Security Summit 2021

Dal 16 al 18 marzo ci sarà il Security summit:
- https://securitysummit.it/eventi/2021-milano/agenda.

Io terrò un fugace intervento, insieme ad altri, sullo stato delle norme internazionali:
- https://securitysummit.it/eventi/2021-milano/sessioni/tutte-le-novita-delle-norme-internazionali-in-arrivo-nel-2021-su-dati-personali-iso-iec-27002-pec-e-iot.

Ma vale la pena fare un giro in tutte le sessioni.