Aggiornamento del software Jeep causa problemi

La notizia mi arriva dal SANS NewsBites, che fa riferimento all'articolo "Software update bricks some Jeep 4xe hybrids over the weekend": https://arstechnica.com/cars/2025/10/software-update-bricks-some-jeep-4xe-hybrids-over-the-weekend/.

 

Io sono un sostenitore del fatto che i processi di sicurezza, come quello di gestione dei cambiamenti, servono anche per evitare errori.

 

Qui molti hanno anche aggiunto il fatto che l'aggiornamento è stato messo a disposizione il venerdì pomeriggio e non è risultata la scelta migliore.

 

Io sono invece preoccupato dal fatto che, da questo incidente, sembra che abbiano messo insieme il sistema di intrattenimento con quello di controllo del veicolo. Capisco che costi separarli, però così si mettono insieme due sistemi di criticità estremamente diverse.

Gli uomini possono fare tutto (Ottobre 2025)

Sto seguendo un corso di difesa personale e la cosa non è di grande interesse. Il fatto è che i partecipanti di questi corsi sono per il 93% donne (i maschi vanno ai corsi di arti marziali). Quando partecipano, poi, una parte del lavoro dell'insegnante è far recuperare capacità motorie ormai dimenticate dal corpo.

La prima riflessione, non mia, riguarda le scelte diverse tra maschi e femmine. La difesa personale e la pratica di arti marziali hanno però obiettivi e applicabilità diverse. Infatti la difesa personale ha come obiettivo il mantenimento della propria integrità e quindi, in poche parole, la fuga; la pratica di arti marziali ha invece l'obiettivo del confronto sportivo, che però non può essere replicato tal quale in caso di aggressione al di fuori della palestra.

Non commento oltre questo l'atteggiamento maschile che presume una certa capacità di confronto violento anche in mancanza di esperienza diretta, però dà da pensare e penso che sia pericolosa. Alcuni casi di cronaca mi confermano l'analisi, ma non li conosco abbastanza per poterne essere sicuro.

La seconda riflessione riguarda le tante donne che hanno smesso, se mai hanno iniziato, un'attività motoria per ritrovarsi nel mezzo del cammin di loro vita un po' imbranate, incapaci di rotolare per terra (lasciamo perdere le capovolte che ormai neanche i ragazzini le sanno più fare), di rialzarsi da terra, di correre. Non ho dati, ma penso che anche questa rinuncia allo sport sia un segno di qualcosa che non va.

Per la cronaca: l'insegnante (donna) che ci ha raccontato delle difficoltà delle allieve femmine nei corsi di difesa personale ha anche aggiunto che, dopo la prima metà di un corso annuale di un'ora alla settimana, le partecipanti acquisiscono una buona motricità.

Compromesso un sistema di prescrizioni sanitarie

La notizia iniziale è questa: Un attacco hacker ha colpito i server dell’azienda Murex, gestore del portale ‘Paziente Consapevole’ usato da medici e cittadini per le prescrizioni sanitarie.  Nulla di nuovo direi.

La seconda parte è più interessante: I pazienti hanno ricevuto mail con i propri dati sensibili in cui venivano richiesti pagamenti arretrati a nome di una finta azienda di recupero crediti di Monza.

L'interesse è dovuto al fatto che questo caso è particolarmente critico perché riguarda dati sanitari, ma anche compromissioni simili di dati soprattutto di contatto possono essere usati per truffe. Lo dico perché spesso i database con solo i dati di contatto sono ritenuti poco critici e in effetti i dati sono facilmente reperibili da molte fonti. E' però l'associazione tra organizzazione che ha il db e contatto presente nel db che può essere sfruttata per ulteriori attacchi.

La notizia l'ha diffusa Franco Vincenzo Ferrari con link del sito del Corriere della sera, con cookie wall. Quindi io segnalo questo alternativo: https://www.fanpage.it/milano/attacco-hacker-alla-piattaforma-per-le-prescrizioni-sanitarie-ai-pazienti-rubati-migliaia-di-dati-sensibili/.

Statistiche su attacchi e incidenti di sicurezza IT

Sono state pubblicati alcuni report con statistiche su attacchi e incidenti di sicurezza IT.

Uno è l'ENISA Threat Landscape del 2025: https://enisa.europa.eu/publications/enisa-threat-landscape-2025.

Davide Giribaldi su LinkedIn ne fa una sintesi (https://www.linkedin.com/posts/davidegiribaldi_cyber-enisa-theriskhunter-activity-7383367687499952128-_GPD). Io allora faccio la sintesi della sintesi:

• confermato l'elevato numero di incidenti dovuti a ransomware, attacchi DDoS legati a campagne ideologiche, phishing, sfruttamento di vulnerabilità rese disponibili da poco;
• aumentano gli attacchi a fornitori e repository open source (ma io penso, senza togliere importanza alla questione, che il numero sia aumentato anche per la diversa attenzione posta a questo argomento);
• aumentano gli attacchi ai dispositivi mobili;
• il settore più esposto è la pubblica amministrazione;
• il documento include raccomandazioni pratiche.

Un altro è il CrowdStrike 2025 Threat Hunting Report: https://www.crowdstrike.com/en-us/resources/reports/threat-hunting-report/.

Questo è decisamente più tecnico e non c'è nessun Davide Giribaldi che mi ha fatto il riassunto.

Dico che sono segnalazioni interessanti, che fanno capire la necessità di lavorare per la sicurezza delle informazioni. Faccio però fatica a trovare elementi che posso usare (o far usare) direttamente.

Punto informativo per l'AI Act della Commissione europea

Segnalo questa pagina "AI Act Single Information Platform": https://ai-act-service-desk.ec.europa.eu/en.

E' un punto di partenza per le questioni legate all'AI Act. Per esempio c'è il Compliance Checker, ossia un questionario per capire se bisogna applicare o meno l'AI Act (già la prima domanda è simpatica perché chiede se vogliamo parlare di un sistema o di un modello di intelligenza artificiale).

Pubblicata la ISO/IEC 27701

Pubblicata la ISO/IEC 27701:2025 "Privacy information management systems — Requirements and guidance": https://www.iso.org/standard/27701.

Di questa norma ne avevo già scritto e quello rimane ancora valido: https://www.agendadigitale.eu/sicurezza/iso-iec-27701-sui-sistemi-di-gestione-per-la-privacy-come-e-come-sara/. 

Ulteriore riflessione riguarda i tempi di audit (che, ricordiamolo, non hanno solo un costo diretto per pagare l'organismo, ma hanno anche costi legati all'assistenza di un consulente e al tempo richiesto al personale interno per partecipare). Un piccolo fornitore di servizi informatici di 20 persone, per la ISO/IEC 27001 deve prevedere almeno 5 giorni per il primo audit, 2,5 giorni negli anni successivi e 4 giorni ogni 3 anni. Se vuole aggiungere la ISO/IEC 27701 e solo per la certificazione come responsabile, deve aggiungere almeno 3 giornate per il primo audit, 1 giornata gli anni successivi e 2 giornate ogni 3 anni.

Le cifre le sto dando sulla base della ISO/IEC 27006:2024 e della bozza finale della ISO/IEC 27706.

Ringrazio Chiara Ponti per avermi avvisato.

Professionisti e dichiarazione dei sistemi di IA usati

Segnalo questo post di Paolo dal Checco: https://www.linkedin.com/posts/dalchecco_come-e-dove-comunicherete-dal-10-ottobre-activity-7377674323458768896-C7dB/.

In sintesi: i professionisti, dal 10 ottobre 2025, in forza dell'art. 13 della Legge 132 del 2025, devono comunicare ai clienti "con linguaggio chiaro, semplice ed esaustivo" tutte "le informazioni relative ai sistemi di intelligenza artificiale" utilizzati per svolgere l'incarico.

Interessanti le alternative poste da Paolo: via mail, una voce nell'informativa privacy, adeguamento del modello di incarico professionale o contratto.

In una risposta, Federico Capello segnala che l’informativa privacy solo se l’AI viene utilizzata per trattamenti di dati personali (e in questo caso deve prestare tanta attenzione alle clausole del fornitore, che sarà da considerare responsabile del trattamento); in caso contrario si può solo inserire una specifica clausola nel contratto con il committente del tipo: "Il Professionista dichiara che, nello svolgimento delle attività contrattuali, potrà avvalersi di sistemi di intelligenza artificiale, nel rispetto dell’art. 13 della Legge n. 132/2025. In ogni caso, il Professionista resta pienamente responsabile verso il Committente della correttezza, qualità e conformità della prestazione, garantendo trasparenza, controllo umano, tutela dei dati personali e rispetto delle norme vigenti".

Per la cronaca: io non uso sistemi di IA per il mio lavoro. Trovo molto più pratici i simpatici copincolla  e salvaconnome dal materiale che ho prodotto negli anni. Ho notato che ci metto più tempo a verificare e correggere la proposta dell’IA che il mio materiale.

NIS2: Referente CSIRT e nuova registrazione per i soggetti NIS

Segnalo questo post di Stefano Mele dal titolo "L'ACN istituisce il Referente CSIRT: ecco le nuove regole e le competenze richieste": https://www.linkedin.com/feed/update/urn:li:activity:7380546413744766976/.

In breve, ACN ha pubblicato la Determinazione ACN 333017/2025, che sostituisce la precedente 283727 del 31 luglio 2025.

Va quindi designato il Referente CSIRT e uno o più sostituti.

La cosa, di per sé, è positiva perché distingue il Punto di contatto NIS e il Referente CSIRT. La cosa noiosa è che la designazione è obbligatoria e va fatta dal 20 novembre al 31 dicembre 2025. Potevano richiederla in occasione dell'aggiornamento annuale, già previsto.

Altra cosa positiva è il fatto che può essere esterno. Per questo, io penso che non debba essere un consulente, ma il responsabile dei sistemi IT che, in effetti, in molte PMI e in qualche grande, è esterno.

PS. Grazie a Giulia Palmarini che mi ha sottolineato l’importanza del post.

Data Act: guida pratica

Segnalo questo articolo dal titolo "Data Act: guida pratica ad accesso ai dati IoT e cambio fornitore cloud": https://www.agendadigitale.eu/sicurezza/data-act-guida-alle-nuove-regole-per-laccesso-e-luso-dei-dati-in-europa/.

E' molto più approfondito di altri.

NIST SP 800-88r2 Guidelines for Media Sanitization

Il NIST ha pubblicato la seconda versione delle Guidelines for Media Sanitization: https://csrc.nist.gov/pubs/sp/800/88/r2/final.

Nel 2015 scrissi qualcosa sulla prima versione: https://blog.cesaregallotti.it/2014/12/nist-sp-800-88-guidelines-for-media.html.

Per quello che riguarda le "normali" organizzazioni, mi sembra che la cifratura dei dischi sia più che sufficiente. Ma potrei sbagliarmi.

Check list per il Codice di condotta privacy per il software gestionale

Qualche tempo fa avevo scritto della pubblicazione del "Codice di condotta per il trattamento dei dati personali effettuato dalle imprese di sviluppo e produzione di software gestionale": https://blog.cesaregallotti.it/2024/12/codice-di-condotta-privacy-per-le.html.

Ricordo che il Codice è stato approvato ai sensi dell'articolo 40 del GDPR.

Avevo scritto il mio apprezzamento in un post che avevo scritto malissimo e me ne scuso con i miei lettori.

Ne ho fatto una check list da utilizzare da chi sviluppa e mantiene il software e da chi lo acquisisce: https://www.cesaregallotti.it/Pubblicazioni.html.

La legge italiana sull'intelligenza artificiale

Approvata la Legge 132 del 2025, detta anche "legge italiana sulla intelligenza artificiale italiana". Ricordo che la normativa primaria è il AI Act (Regolamento UE 2024/1689).

Segnalo questo articolo dal titolo "Legge AI italiana: ecco che devono sapere le aziende": https://www.agendadigitale.eu/cultura-digitale/legge-ai-italiana-ecco-che-devono-sapere-le-aziende (fa riferimento al DDL, ma quello è).

Riassunto del riassunto: sono ribaditi i principi generali del Regolamento europeo sull'IA, attribuisce i compiti alle autorità nazionali (soprattutto AgID e  ACN), dà deleghe al Governo per preparare alcuni decreti legislativi più specifici. 

Importante il principio per cui i decreti non devono introdurre obblighi ulteriori rispetto al Regolamento europeo (AI Act). 

Altro articolo molto chiaro è questo di Chiara Ponti (segnalatomi da Franco Vincenzo Ferrari) dal titolo "L'Italia ha la sua legge sull'AI, gli impatti privacy e cyber:  tutti i punti chiave": https://www.cybersecurity360.it/news/litalia-ha-la-sua-legge-sullai-gli-impatti-privacy-e-cyber-tutti-i-punti-chiave/. 

Nota: questo post accorpa 2 post precedenti che ho cancellato e li aggiorna con il numero di Legge.

Jaguar Land Rover ferma da un mese per un incidente di sicurezza IT

Da SANS NewsBites segnalo la notizia decisamente significativa "Jaguar Land Rover Shutdown in Wake of Cyber Incident is Having Significant Economic Impact".

Per saperne un po' di più, segnalo questo articolo dal titolo "Jaguar Land Rover says cyberattack shutdown to last 'at least' another week": https://therecord.media/jaguar-land-rover-another-week-shutdown-cyberattack.

Mi pare uno degli incidenti più gravi in ambito industriale fin qui ed è per questo che lo segnalo, anche se non sappiamo quale attacco sia stato condotto e quali vulnerabilità siano state sfruttate.

 

CMMC 2.0 al via

Mi ha scritto Giancarlo Caroti di Neumus per ricordarmi che dal 10 novembre 2025 entrerà in vigore la prima fase del CMMC 2.0: le nuove offerte al DoD devono essere conformi al CMMC 2.0, con self-assessment di livello 1 o 2.

Sono poi previste altre 3 fasi, con partenza ogni anno a novembre (2026, 2027 e 2028).

Lascio il link alla pagina ufficiale: https://dodcio.defense.gov/cmmc/.

Stato standard ISO/IEC 270xx

A metà settembre 2025 si è tenuto l'incontro semestrale dell'ISO/IEC JTC 1 SC 27 che si occupa della redazione di molti standard importanti per la sicurezza delle informazioni. Io non ho partecipato perché era a Kunming, in China, e gli standard discussi non erano di mio particolare interesse.

Però, con i rapporti prodotti, fornisco una sintesi delle decisioni più significative:

• ISO/IEC 27000, di panoramica delle norme della famiglia ISO/IEC 27000: aggiornamento previsto per febbraio 2027; le definizioni saranno però riportate nelle singole norme;
• ISO/IEC 27003, di guida alla ISO/IEC 27001: aggiornamento previsto per aprile 2027 (le bozze attuali hanno un testo migliore rispetto al precedente, ma senza nuove indicazioni tecniche particolarmente significative);
• ISO/IEC 27004, di guida alle misurazioni per i sistemi di gestione per la sicurezza delle informazioni: aggiornamento previsto per ottobre 2027 (le bozze attuali prevedono qualche esempio ulteriore, su cui ho qualche perplessità, rispetto alla passata edizione);
• ISO/IEC 27017, con controlli e linee guida per l'implementazione da aggiungere alla ISO/IEC 27002 per i fornitori di servizi cloud: aggiornamento previsto per luglio 2026 (l'importanza di questa norma è chiara perché è richiesta da ACN e in alcuni bandi);
• ISO/IEC 27701, con i requisiti per i sistemi di gestione per la privacy: pubblicazione prevista per fine settembre 2025 (ne ho già parlato in precedenza e ho già esposto le mie critiche);
• ISO/IEC 27706, con le regole per gli organismi di certificazione ISO/IEC 27701: pubblicazione prevista per fine settembre 2025;
• ISO/IEC 29151, con controlli e linee guida per la privacy: pubblicazione prevista per luglio 2026 (questa norma è più di interesse didattico che pratico, almeno in Italia).

In vigore il Data Act

Dal 12 settembre è applicabile il Data Act, ossia il Regolamento UE 2023/2854.

La questione è complessa, anche perché la norma è di difficile lettura. Indicativamente permette di potenziare l’economia dei dati e favorire un mercato più competitivo, rendendo i dati più accessibili e utilizzabili. Sono stabilite quindi responsabilità e misure per lo scambio di dati, incluse quelle contrattuali per evitare abusi e la portabilità tra fornitori di servizi cloud.

Cito dalla newsletter di Project:IN Avvocati: "la sua integrazione con le altre norme, come GDPR e AI Act, è chiara a livello teorico - la Commissione ha un piano globale - ma complessa a livello pratico: vedremo come, nella realtà del business dei dati, questa norma avrà un impatto". 

Le FAQ della Commissione: https://digital-strategy.ec.europa.eu/it/library/commission-publishes-frequently-asked-questions-about-data-act.

Privacy: necessario cancellare le e-mail dopo la cessazione del rapporto

Franco Vincenzo Ferrari mi ha segnalato il Provvedimento del 10 luglio 2025 [10162267]: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10162267.

Il Provvedimento ricorda, in sostanza, le "Linee Guida del Garante per posta elettronica ed internet" (https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1387522) e quindi che è opportuno procedere alla disattivazione dell’account di email e alla notifica ai mittenti di tale disattivazione e di indirizzi email alternativi.

Il Provvedimento non dice espressamente che la casella doveva essere cancellata immediatamente, ma lo sottintende dicendo, in sostanza, che le motivazioni addotte per non farlo non sono fondate. Infatti è interessante osservare che il titolare aveva detto di voler conservare le caselle di email per la possibile necessità di recuperare informazioni perché i documenti vanno posti in appositi archivi mentre "i messaggi di posta elettronica scambiati tramite le caselle di posta elettronica assegnate ai dipendenti, come noto, sono invece considerati, a tutti gli effetti, corrispondenza costituzionalmente tutelata".

Questo dell'uso dell'email come archivio aziendale è, lo sappiamo, ormai assodato, ma non posso che concordare con il Garante. Lo dico per questioni organizzative, posto che lasciare dati importanti nelle caselle di email personali vuol dire non averne il controllo.

Gli uomini possono fare tutto - Settembre 2025

Ho trovato questa citazione da una lettera di Italo Calvino da "L'Italia dei libri. L’editoria in dieci storie" di Tommaso Munari: "Gli uomini devono sapersi fare da mangiare, rifarsi il letto, spazzare la casa, senza aspettare che sia la mamma o la moglie che glielo fa; che finché il maschio italiano non impara questo, ..., sarà magari proletario, sarà magari intellettuale rivoluzionario, ma resterà sempre un piccolo sfruttatore".

 

Linee guida del Ministero per l'istruzione per l'uso dell'intelligenza artificiale

Ho ricevuto molte volte la notizia "Pubblicate le Linee guida per l’introduzione dell’Intelligenza Artificiale nelle istituzioni scolastiche – Allegato al DM n. 166 del 09/08/2025": https://www.mim.gov.it/web/guest/-/pubblicate-le-linee-guida-per-l-introduzione-dell-intelligenza-artificiale-nelle-istituzioni-scolastiche-allegato-al-dm-n-166-del-09-08-2025.

Sul MIM sono molto severo e già ne scrissi a luglio. Infatti, ben lontano dal dire "ben altro è il problema", dico che "ci sono anche altri problemi" molto più antichi, ma ignorati. Per esempio l'assenza di linee guida sugli alunni DSA e il fatto che le linee guida sugli alunni adottati sono sotto "Relazioni con il pubblico".

C'è anche il problema che le linee guida non sono raccolte in un'agile bacheca, ma vanno cercati solo nelle notizie.

Evidentemente, il MIM segue l'attualità, non la sua missione.

Sul punto delle linee guida, mi sembra che non dicano niente di più dell'IA Act (che a sua volta impone anche troppi obblighi, ma questa è un'altra storia).

L'assurdo è pensare che ciascun istituto scolastico abbia le competenze per poter fare quanto richiesto, a differenza del MIM, che potrebbe investire soldi in consulenze qualificate.

Il MIM non ha quindi messo a disposizione una guida pratica, ma si è limitato a riassumere le cose richiesta dall'AI Act (chissà se e quanto ha pagato dei consulenti...).

Guida alla lettura delle specifiche di base NIS di ACN

ACN ha pubblicato il documento "Linee Guida NIS. Specifiche di base. Guida alla lettura": https://www.acn.gov.it/portale/nis/modalita-specifiche-base.

Non si tratta di un documento che specifica meglio le misure di base, come se fosse una ISO/IEC 27002 per i controlli di sicurezza. Come dice il titolo, è una guida alla lettura soprattutto alle parole chiave del documento.

Io pensavo che "sistemi rilevanti" fosse una traduzione scorretta di "relevant systems" e quindi andava interpretata come "sistemi pertinenti". Invece si tratta dei "sistemi più critici", se così posso dire.

Questo per dire che ognuno troverà qualche spunto per interpretare meglio, ma non certamente un manuale per capire meglio le misure (e io continuo a non capire quella che chiede di stabilire i livelli di servizio per valutare gli incidenti). Meglio così, visto che ogni tanto queste iniziative aggiungono requisiti e creano più confusione.

Insicurezza dei browser e delle passkey

Marco Fabbrini mi ha segnalato questo articolo dal titolo "Forse le passkey non sono così sicure come sembrano": https://www.ilsoftware.it/forse-le-passkey-non-sono-cosi-sicure-come-sembrano/.

Il commento di Marco: "In effetti sono cose che sapevamo già....".

Come dargli torto? I browser sono molto insicuri e i meccanismi di sicurezza che si basano su di essi possono avere anch'essi problemi.

Un'IA ha cancellato per sbaglio un intero database aziendale

Segnalo questo articolo dal titolo "Un'IA ha cancellato per sbaglio un intero database aziendale": https://www.tomshw.it/hardware/piattaforma-ai-cancella-database-aziendale-per-errore-2025-07-21.

Ringrazio Carlo Venditto degli Idraulici della privacy per la segnalazione.

Se continuo così, sembra che sia un luddista dell'IA. Non è così: come tutti gli strumenti va usato con estrema prudenza e per quello che è giusto che faccia. E io mi occupo soprattutto di rischi e di questi scrivo.

Usare l'IA per la vita personale

Stefania Algerio degli Idraulici della privacy ha segnalato un articolo su La Repubblica dal titolo "Un uomo con problemi di pressione alta si rivolge a ChatGpt per chiedere consigli alimentari: ricoverato in ospedale per intossicazione da bromuro".  Non ho ritrovato il link all'articolo, ma ho trovato questo: https://tech.icrewplay.com/seguire-i-consigli-alimentari-di-chatgpt-psicosi/.

Che l'IA possa sbagliare è un dato di fatto. Preoccupa vedere che le persone si affidano più a un sistema generalista che a un professionista. Ho trovato anche articoli per me inquietanti:

• "Ecco come creare la dieta perfetta con ChatGPT: il tuo piano alimentare su misura in pochi passi!": https://torinocronaca.it/news/tendenze/504826/ecco-come-creare-la-dieta-perfetta-con-chatgpt-il-tuo-piano-alimentare-su-misura-in-pochi-passi.html;
• "Navigatore Nutrizionale" su ChatGPT: https://chatgpt.com/g/g-6X2mwvquO-navigatore-nutrizionale;
• "ChatGPT, come creare un piano di allenamento personalizzato per mantenersi in forma": https://www.punto-informatico.it/chatgpt-come-creare-piano-allenamento-personalizzato/.

Anche i professionisti possono sbagliare, ma si spera che lo facciano un po' meno, essendosi specializzati in una certa materia.

Sul perché le persone sono sempre più sospettose dei professionisti hanno scritto altri (in sintesi: l'eccesso di competenze crea timore e gli specialisti tendono a commiserare le persone che non hanno le loro competenze).

A maggio o giugno sul Corriere della Sera avevo letto un articolo di Gramellini su un caso di una ragazza che aveva chiesto aiuto a ChatGPT perché aveva un fidanzato violento e alla fine il problema non solo non fu risolto, ma la ragazza fu uccisa. Ho trovato questo articolo simile: https://www.fanpage.it/innovazione/tecnologia/ma-questo-e-amore-tossico-ragazza-di-13-anni-chiedeva-aiuto-a-chatgpt-ora-lex-e-accusato-del-suo-omicidio/.

Tutto ciò dà da pensare. Io sono specializzato in ambito aziendale, ma penso che certe tendenze ci debbano interessare. Ho già sentito di esperienze di procedure e documenti fatti con l'IA. Bisogna pensare anche all'altra parte della medaglia.

Garante e non solo, ruolo, visibilità e rischi per l'innovazione

Giuseppe Alverone degli Idraulici della privacy ha segnalato questo post su LinkedIn di Giuseppe Corasaniti: https://www.linkedin.com/posts/giuseppe-corasaniti-95832515b_autoritaeqindipendenti-regolazione-innovazione-activity-7363435070356971522-rSjz.

In poche parole, critica l'eccesso di protagonismo mediatico del Garante e i rischi per l'innovazione.

E in effetti la situazione richiede una riflessione approfondita. Innanzi tutto, ripeto che a me, tutta questa regolamentazione, fa bene agli affari. Però qui si corre il rischio di curare troppo il paziente e perderlo.

Dovrei averlo già scritto: le entità legislative vogliono regolamentare e spesso esagerano (basti pensare all'AI Act, che introduce notevoli complessità in parte non necessarie, il Data act introduce altre cose relative alla privacy ma a parte; si pensi anche al pasticcio italiano su NIS2 e PSNC), le autorità di controllo in parte regolamentano (il Provvedimento sugli amministratori di sistema è l'esempio più chiaro di ciò possa essere fatto male; ma nei miei molti post ho dato evidenza delle critiche al Garante privacy e ad ACN) e in parte sanzionano (gli assurdi di questa estate del Garante, oltre che quelli relativi ai mitici metadati sono una dimostrazione di quanto ciò possa essere fatto in modo difficile da seguire), gli organismi di standardizzazione continuano a pubblicare standard (l'ultimo di cui ho avuto notizia è la ISO 56001 sull'innovazione, quasi un ossimoro), auditor e formatori e consulenti di tutti i tipi impongono loro modelli, ogni tanto non adeguati all'organizzazione e ogni tanto obsoleti (ho già scritto sui modelli di valutazione del rischio e su quelli di selezione dei fornitori, ma avrei innumerevoli esempi).

Tutto questo fa sì che le organizzazioni devono rincorrere la cosiddetta "compliance", in italiano "conformità", ma propriamente "condiscendenza" o "remissività", come dice la Treccani: https://www.treccani.it/vocabolario/compliance/. 

E infatti, remissivamente, molte spendono soldi ed energie per adeguarsi, spesso con l'approccio "non si sa mai", ossia facendo anche più di quanto richiesto perché tanti hanno paura di un'autorità inquisitoria (basti vedere quanti rallentano a 50 km/h quando sono presenti autovelox impostati a 70).

Capisco che l'Europa voglia regolamentare. Lo fa per impostazione filosofica, che tende a proteggere i cittadini, e di questo ne sono grato e non cambierei mai con gli Stati Uniti, tanto generosi nei media, tanto spietati nella realtà. Lo fa come strategia di mercato, sperando in qualche modo di rallentare l'invasione straniera.

Ma in tutto questo, almeno dal punto di vista informatico, nessuno ha sviluppato sistemi alternativi a quelli made in USA. L'ha fatto la Cina (non so più citare un articolo sul Corriere della Sera di fine luglio) e infatti si contrappone fieramente alle provocazioni di Trump, non l'ha fatto l'Europa che ha promosso l'industria 4.0, l'informatizzazione delle scuole (e lasciamo perdere le garanzie dove sono finite, con i giganti USA che ci sguazzano, oltre al modello educativo non ponderato) e... cosa? Alcuni Paesi hanno attuato facilitazioni per l'ingresso dei giganti USA. Ma queste sono strategie miopi.

Non lo dico perché voglio l'Europa (o l'Italia) ancora grandi perché penso alla superiorità dell'uomo europeo (che discende anche dal Neanderthal e quindi non avrebbe senso), ma perché il destino di un Paese colonizzato è quello di essere sfruttato e di deperire e non è quello che voglio per i miei figli.

Allora cosa fare? Non ne ho idea, ovviamente. So solo che, come minimo, su queste cose bisogna essere consapevoli.

Ecco, finalmente ho scritto più o meno quello che ha frullato in testa in questi mesi estivi.

Guida EDPB sui rischi degli LLM

Grazie a un post su LinkedIn di Giovanni Ciano (che conosco e ringrazio), segnalo che l'EDPB ha pubblicato un documento dal titolo "AI Privacy Risks & Mitigations Large Language Models (LLMs)": https://www.edpb.europa.eu/our-work-tools/our-documents/support-pool-experts-projects/ai-privacy-risks-mitigations-large_en.

Con le sue 102 pagine è un po' lungo e stavo temendo una vuota verbosità. Invece descrive sinteticamente cosa sono gli LLM e, per chi vuole correre, nelle pagine 29-32, 35-37 e 39-42 riporta i rischi e le azioni per provider (sviluppatori) e deployer (utilizzatori). Ci sono poi 3 esempi molto significativi.

Non l'ho letto per bene, ma dovrò farlo.

Specifiche per i VA-PT secondo DORA

Da un post su LinkedIn di Severiano Maria Moiso (che non conosco, ma ringrazio), inoltrato da Sergio Insalaco (che ugualmente non conosco, ma ugualmente ringrazio), segnalo che è stato pubblicato il Regolamento Delegato (UE) 2025/1190 sulle regole per i VA-PT secondo quanto previsto dal Regolamento DORA: https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32025R1190.

Intanto una cosa interessante è che il Regolamento non usa il termine di "PT", ma "test di penetrazione guidati da minacce (threat-led penetration testing)" e usa la sigla "TLPT". La definizione si trova nel DORA: "un quadro che imita le tattiche, le tecniche e le procedure di attori reali della minaccia che sono percepiti come minaccia informatica autentica, che consente di eseguire un test dei sistemi di produzione attivi e critici dell’entità finanziaria in maniera controllata, mirata e basata sull’analisi della minaccia (red team)".

Il link al post di Sergio Insalaco: https://www.linkedin.com/feed/update/urn:li:activity:7341571875870773248/.

A mio parere è interessante leggere le regole stabilite per la selezione del fornitore di PT, sulla composizione dei tester, sui rischi da valutare, per il processo.

Alberghi, documenti di identità e l'approccio del "non si sa mai"

Dalla newsletter Project:IN Avvocati dell'11 agosto 2025 trovo una notizia interessante: https://www.linkedin.com/feed/update/urn:li:activity:7360536866254729216/.

La notizia è ripresa da Wired e ha titolo "Hotel italiani, nel dark web in vendita migliaia di documenti di identità trafugati": https://www.wired.it/article/dark-web-documenti-identita-trafugati-hotel-italiani/.

Io che sono pigro, copio e incollo il commento della newsletter: "nei giorni scorsi sono emersi sul dark web (grazie al lavoro di CERT-AgID, come riporta Wired) database contenenti copie di documenti d’identità di tre hotel italiani. Al di là del breach, evidente e delicatissimo: ma perché queste strutture avevano e hanno in memoria i documenti, quando la normativa non lo impone e anzi lo vieta?".

Ho chiesto chiarimenti e Francesco Di Maio (uno degli avvocati dietro alla newsletter) mi ha risposto che "L'art. 109 del Testo Unico delle Leggi di Pubblica Sicurezza, più volte novellato, impone a tutti gli esercenti di strutture ricettive di comunicare giornalmente le generalità delle persone alloggiate, da effettuare oggi in via esclusiva attraverso un'applicazione telematica messa a disposizione dal Dipartimento della P.S., che non richiede né prevede alcun caricamento di immagine di documenti, ma solo dati ricavabili da essi, che devono essere inseriti a cura della struttura ricettiva. Va da sé che l'acquisizione di copie di documenti costituisce un trattamento eccedente e, come tale, deve essere valutato poiché non sorretto da alcuna base giuridica. Il manuale utente dell'applicazione è esplicativo https://alloggitiweb.poliziadistato.it/PortaleAlloggiati/SupManuali.aspx". 

Allora io ho generalizzato la questione pensando che questo dimostra l'approccio del "non si sa mai". Nel caso specifico, le strutture ricettive tenevano copie dei documenti per timore che le forze dell'ordine potessero chiedere prove delle comunicazioni effettuate.

Purtroppo l'atteggiamento "non si sa mai" è troppo diffuso. Lo vedo negli audit e lo vedo nell'applicazione della normativa e questo è un problema perché l'applicazione dei requisiti viene appesantita (quando già il requisito non è troppo pesante di suo). Relativamente agli standard, vedo che la loro adozione viene quindi percepita come un onere fastidioso e solo un lavoro paziente di alcuni consulenti e auditor guida le organizzazioni verso un'adozione pragmatica ed efficace degli standard. Dico "alcuni" e intendo "molti", purtroppo non "tutti".

Lo stesso approccio, ahinoi, riguarda anche la normativa e qui la situazione è più delicata, perché fare ricorso ha costi anche significativi e molti preferiscono fare anche cose inutili che correre il rischio di sanzioni. Qui dovremmo quindi ragionare sul ruolo delle autorità di vigilanza, che dovrebbero sì vigilare e, se il caso, anche sanzionare, ma anche accompagnare. Il ragionamento dovrebbe quindi essere esteso al bilanciamento tra regolamentazione e innovazione. Lo faccio in un altro post. 

Pubblicata la ISO/IEC 27018:2025

Grazie a un post di Fabrizio Cirilli su LinkedIn, segnalo che è stata pubblicata la SO/IEC 27018:2025 con titolo "Guidelines for protection of personally identifiable information (PII) in public clouds acting as PII processors": https://www.iso.org/standard/27018.

Si tratta della precedente versione del 2019 aggiornata per allineamento alla versione del 2022 della ISO/IEC 27002. In pochissime parole: non c'è nessun cambiamento significativo, ma ovviamente andrà prestata attenzione alle differenze per evitare pasticci.

Per chi non lo sapesse, la ISO/IEC 27018 aggiunge alla ISO/IEC 27002 i controlli di sicurezza dei dati personali, applicabili ai fornitori di servizi cloud pubblici. Questi controlli, per chi li volesse applicare, possono essere utilizzati anche per le certificazioni ISO/IEC 27001 e l’organizzazione certificata può avere sul certificato ISO/IEC 27001 una frase del tipo “Certificazione ISO/IEC 27001 con l’aggiunta dei controlli della ISO/IEC 27018”.

Per alcuni controlli già presenti nella ISO/IEC 27002, sono fornite linee guida per l’implementazione aggiuntive, specifiche per la sicurezza dei dati personali nell’ambito dei servizi cloud pubblici.

In questi ultimi anni, questa aggiunta è stata richiesta in molti contesti e in particolare per la Pubblica amministrazione. Purtroppo però la norma è stata interpretata in modo piuttosto fantasioso (per esempio con certificazioni dedicate o richiedendo di includere nel SOA anche le linee guida per l’implementazione aggiuntive), ma spero che l’ultima circolare Accredia in materia porti ordine.

Microsoft usava programmatori cinesi per i sistemi della Difesa USA

Rimando a questo post di Bruce Schneier dal titolo "Another Supply Chain Vulnerability": https://www.schneier.com/blog/archives/2025/07/another-supply-chain-vulnerability.html.

In poche parole, Microsoft usava programmatori cinesi per i sistemi della Difesa USA. La Cina, ricordiamolo, per gli USA è un'avversaria potente nell'ambito dell'informatica. Allora Microsoft aveva previsto dei controlli da parte di personale USA, che però erano ex militari pagati al minimo e senza vere competenze di programmazione.

Ahinoi, per vincere una gara si fa quasi di tutto e per accettare il prezzo minimo si accetta quasi di tutto.

Ricordo ancora il mio amico che in campeggio ricordava ad alcuni: "hai voluto pagare poco la tenda, eh?".

Sintesi dell'AI Act

Segnalo questo articolo dal titolo "AI Act: la visione europea sull’intelligenza artificiale": https://www.hermescse.eu/ai-act-la-visione-europea-sullintelligenza-artificiale/.

Fornisce una buona sintesi del Regolamento europeo per l'IA.

Sul commento finale sono in parte d'accordo con l'autore. Sulla relazione tra regolamentazione e innovazione vorrei fare una ulteriore riflessione (anche se qualcosa l'avevo già scritta in passato).

Guide OWASP su IA (AI Exchange e AI Testing Guide)

Andrea Solimeno di Selexi mi ha segnalato la OWASP AI Testing Guide: https://github.com/OWASP/www-project-ai-testing-guide/tree/main/Document.

La lettura ha le sue complessità, ma i project leader (Matteo Meucci e Marco Morana) sono di prim'ordine. Io penso che sia particolarmente interessante la lista dei test (https://github.com/OWASP/www-project-ai-testing-guide/tree/main/Document/content/tests) perché li propone per ciascuna minaccia e descrive bene anche ciascuna minaccia. 

Nella lettura ho trovato il riferimento all'OWAS AI Exchange: https://owaspai.org/.

Qui sono chiare le relazioni tra minacce e controlli di sicurezza, anche se non presentati in modo proprio semplice.

Ecco: non chiedetemi di raccontarvi cosa ho capito perché non ci farei una bella figura. Magari con il tempo imparerò meglio le varie cose. Più che altro, mi piacerebbe trovare un libro che spieghi queste cose perché un conto è destreggiarsi tra pagine web, un altro è avere un libro, con i pregi e i difetti di una presentazione consecutiva degli argomenti (purtroppo c'è tantissima letteratura su come sarà il mondo con la diffusione dei sistemi con IA, ma sembra poca e dispersa quella su come mettere in sicurezza questi sistemi).

Mio articolo sulle misure ACN per NIS2

Ho scritto un articolo dal titolo "Nis2, ecco le misure dell’Acn per la sicurezza delle imprese": https://www.agendadigitale.eu/sicurezza/nis2-ecco-le-misure-dellacn-per-la-sicurezza-delle-imprese/.

Mi ha aiutato Monica Perego, Idraulica della privacy.

Nulla di nuovo, nulla di innovativo. Se qualcuno ha però qualcosa da segnalarmi, lo prego di farlo.

NIS2: Aggiornamento determina ACN per aggiornamento annuale

Copio e incollo direttamente dalla newsletter di Project:IN Avvocati:

Non poteva mancare una determina il giorno di chiusura del periodo di notifica dei dati da parte di soggetti essenziali e importanti ai sensi della "Direttiva NIS 2": così ACN ha pubblicato la determina n. 283727 del 22 luglio 2025 che sostituisce la n. 136117 del 10 aprile 2025. Il testo aggiusta e amplia le precedenti posizioni dell'Agenzia, ponendo le basi per l'implementazione pratica ed effettiva delle norme di cybersicurezza poste a protezione del "perimetro nazionale", in particolare riguardo all'utilizzo della piattaforma digitale di comunicazione tra soggetti NIS e Autorità.

Di mio aggiungo il link alla pagina web di ACN: https://www.acn.gov.it/portale/nis/aggiornamento-informazioni.

Non ho trovato nulla di particolarmente significativo.

Aggiornato il DPCM 81 del 2021 del PSNC

E' stato pubblicato il DPCM 111 del 2025 che aggiorna il DPCM 81 del 2021: https://www.normattiva.it/eli/id/2025/08/01/25G00116/ORIGINAL.

In sostanza, quando le organizzazioni del PSNC notificano un incidente, devono anche classificarlo secondo una tassonomia stabilita dal DPCM 81 del 2021 (che aveva 19 tipi), ora aggiornata con il DPCM 111 del 2025. La modifica è stata l'aggiunta di un solo tipo, ossia il "Accesso non autorizzato o con abuso dei privilegi concessi".  

Non ho mai apprezzato questa tassonomia, in troppi punti troppo generica (però non l'avevo mai studiata con attenzione). Avevo ragione a non apprezzare, visto che l'accesso abusivo prima non ci fosse e ci abbiano messo 4 anni a intervenire.

Buone pratiche di cybersecurity di base per i dipendenti delle PP.AA.

ACN ha pubblicato il "Vademecum: Buone pratiche di cybersecuritydibase per i dipendenti delle PP.AA.": https://www.acn.gov.it/portale/vademecum-dipendenti.

Si tratta, a farla breve, di una presentazione di 28 slide divisa in due parti: la prima riguarda il perché la sicurezza informatica è importante, la seconda presenta 12 "buone pratiche".

Nulla di nuovo sotto il sole, ma mi pare materiale ben fatto. Per chi ha già del materiale proprio, può valere la pena verificare se include tutte e 12 le buone pratiche. Io dovrò sicuramente inserire qualcosa sull'uso di sistemi IA, prendendo spunto dall'ultima slide.

Visto che mi piace criticare ACN, lo faccio anche adesso:

- il documento non è datato e neanche la pagina web di riferimento; neanche "2025" c'è, accipicchia;

- sono andato sulla home page per cercare questo vademecum (l'avevo inizialmente ignorato, poi però ho pensato che dovevo ripensarci e volevo ritrovarlo) e non l'ho trovato neanche con la ricerca (che mette i documenti in ordine casuale di data); però dalla home page sappiamo che Frattasi ha fatto i complimenti agli italiani delle Cyber olimpiadi e ACN ha incontrato la Repubblica del Mozambico; tutto bene.

Gli uomini possono fare tutto (luglio 2025)

Voglio qui parlare della scuola media, dopo 3 anni vissuti come padre, perché gli uomini possono aiutare i ragazzi con i compiti, partecipare alle assemblee di classe e discutere con gli altri genitori anche sulle temutissime chat dei genitori.

Cercherò di evitare l’effetto Dunning – Kruger. Cercherò anche di collegare alcune riflessioni sui sistemi di gestione, di cui invece ho qualche competenza. Premetto anche che la mia esperienza è limitata ai miei figli (e uno non le ha ancora finite) e a confronti con altri genitori.

Uno. Il nozionismo è aumentato, nonostante già negli anni Ottanta era criticato (è anche aumentato il peso dei libri, anch’esso criticato all’epoca).

Due. I temi, e quindi l’esercizio di esprimere opinioni ed esercitare la creatività, non sono più necessari, anche se poi l’esame di terza ne prevede uno con 3 tracce (a mio figlio è stato assegnato un solo tema, neanche argomentativo, e ha avuto un libro da leggere all’anno, non di più).

Tre. I test Invalsi sono spesso scollegati dalle solite verifiche, soprattutto in Italiano (comprensione del testo, mentre nei 3 anni le verifiche erano state di grammatica e di storia della letteratura) e matematica (30 domande a cui rispondere in 75 minuti, mentre le verifiche nei 3 anni consistevano in alcune domande puntuali, un paio di problemi di geometria e un paio di espressioni o equazioni di algebra).

Quattro. La scarsa considerazione dei ragazzi con DSA. Infatti nei test Invalsi, gestiti dal Ministero, non valgono le misure compensative, tranne l’aggiunta di tempo e la lettura sintetica al computer.

Cinque. Ai ragazzi non sono insegnate le modalità per organizzarsi. Non è insegnato come si usa il diario, come si presentano le verifiche (ho visto usare fogli di ogni tipo e gran sorpresa per la professoressa che in terza voleva che scrivessero bene nome e cognome e data nell’intestazione), come si organizzano i quaderni e gli appunti.

Sei. Gli stessi insegnanti sono disorganizzati e lo si vede da come assegnano i compiti: a voce o alla lavagna di fretta a fine lezione, sul registro elettronico o su un sistema di condivisione file a qualsiasi orario anche nel fine settimana.

Sette. I ragazzi sono deresponsabilizzati rispetto agli anni Ottanta. Infatti adesso sul registro elettronico vengono scritti i compiti, i voti e le note, spesso senza neanche dirlo ai ragazzi. In passato erano i ragazzi a doverli comunicare (o nascondere) ai genitori, ora sono i genitori, e non gli insegnanti, a comunicarli al ragazzo.

Otto. Gli insegnanti non hanno ricevuto istruzione su come insegnare, né sulle caratteristiche dei ragazzi con DSA (disturbi specifici di apprendimento). Questo ha poi una conseguenza: se loro dimostrano di non essersi impegnati a capire le difficoltà di questi ragazzi, sono ritenuti ipocriti, e quindi ignorati, quando richiedono impegno.

Questo ha anche impatti sociali importanti. Infatti i più bravi, con famiglie che li seguono bene, vanno avanti, mentre i meno bravi (in particolare quelli con DSA e gli immigrati o i figli di immigrati che hanno difficoltà di lingua e di capacità di supporto) vengono anche umiliati. Il risultato è che iniziano ad allontanarsi dalla scuola e a frequentare “cattive compagnie”, con tutte le difficoltà che ne conseguono.

Una prima analisi delle cause è che alcune deviazioni si siano presentate piano piano senza però una vera riflessione sulle conseguenza finali. Per esempio: l’aumento del carico di lavoro, da “ingozzatoio”, come dice Daniela Lucangeli, è corretto? l’uso incontrollato degli strumenti informatici da parte dei professori che effetti positivi e negativi potrebbe avere? Le 6 ore di scuola al giorno per 5 giorni al posto di 5 ore in 5 giorni sono adeguate per i ragazzi (a parte i genitori e gli insegnanti)? Anche strumenti come le interrogazioni a sorpresa dovrebbero essere analizzati se veramente utili, anche perché all’università non ci sono. Insomma: manca una pianificazione.

A mio parere, una seconda analisi delle cause, riguarda l’aumento del nozionismo, che lo ha reso centrale rispetto a tutto il resto e riempie completamente il tempo disponibile, con una conseguente frenesia e disorganizzazione anche da parte degli insegnanti.

Però alla fine sappiamo che la causa profonda è il mancato impegno della Direzione. In questo caso il Ministero dell’istruzione. Infatti, più o meno nell’ordine:

• non sono chiari gli obiettivi delle medie (ingozzatoio di nozioni o apprendimento di un’organizzazione?);
• le poche indicazioni per le competenze reperibili sono incomprensibili (il Decreto del MIUR 254 del 2012 con titolo “Regolamento recante indicazioni  nazionali  per  il  curricolo  della scuola  dell'infanzia  e  del  primo  ciclo  d'istruzione” non dice quasi nulla, ma in 74 pagine);
• gli Invalsi costituiscono un’eccezione alle misure compensative per i ragazzi con DSA; se il Ministero non le ritiene valide, non si capisce perché debbano farlo i professori;
• gli insegnanti sono selezionati sulle nozioni relative alle materie di insegnamento, non sulle modalità di insegnamento, sulla pedagogia, sulla psicologia, su come affrontare i ragazzi con difficoltà, eccetera;
• non sono fornite indicazioni chiare e semplici da leggere agli insegnanti e alle famiglie (su questo bisogna riflettere che i professori della secondaria inferiore sono circa 155 mila ed è assurdo pensare che ciascuno possa inventarsi una professionalità senza un supporto, che non può neanche essere fornito dalle scuole, sempre più accorpate con la presenza di tanti ordini di studio);
• c’è l’illusione che si possa seguire un approccio personalizzato per alunno e istituto e professore e materia, quando sappiamo che così non è né può essere, considerando i grandissimi numeri;
• le poche indicazioni sono difficili da reperire (sul sito del MIM ho trovato solo le “Linee di indirizzo per favorire il diritto allo studio degli alunni adottati”, sotto la voce “URP”, ufficio relazioni con il pubblico, come se non riguardassero l’insegnamento), a differenza delle esternazioni sporadiche del ministro di turno;
• sono chiesti ai professori sempre più adempimenti burocratici, che tolgono loro tempo ed energie all’insegnamento (lungi da me criticare ogni forma di burocrazia, ma un esempio emblematico è la “certificazione delle competenze”, documento scorretto teoricamente e inutile da un punto di vista pratico, ma fa carta).

Linee guida CNIL per sviluppare i sistemi con IA

La CNIL ha pubblicato la pagina web con titolo "Développement des systèmes d’IA : les recommandations de la CNIL pour respecter le RGPD": https://www.cnil.fr/fr/developpement-des-systemes-dia-les-recommandations-de-la-cnil-pour-respecter-le-rgpd.

Sì, è in francese, ma credo si capisca abbastanza.

Sì, non dice niente di troppo nuovo, ma è tutto in buon ordine, sintetico e abbastanza pragmatico, quindi è apprezzabile.

Grazie alla newsletter di Project:IN Avvocati per averlo segnalato.

Codice di condotta per i modelli di IA per finalità generali

A inizio luglio la Commissione europea ha pubblicato "The General-Purpose AI Code of Practice": https://digital-strategy.ec.europa.eu/en/policies/contents-code-gpai.

La definizione di modello di IA per finalità generali è data del Regolamento IA: modello di IA che sia caratterizzato una generalità significativa e sia in grado di svolgere con competenza un'ampia gamma di compiti distinti.

Non l'avevo segnalato subito per due motivi:

• credo che debba ancora esserne pubblicata la versione definitiva (a breve, comunque);
• non credo che siano molti gli sviluppatori di tali modelli.

Però alcune indicazioni sulla trasparenza e la gestione del diritto d'autore mi sembrano interessanti per tutti. La parte sulla sicurezza è invece troppo generica.

ISO/IEC 27031:2025 sulla continuità operativa per l'ICT

E' stata pubblicata la ISO/IEC 27031:2025 "Information and communication technology readiness for business continuity": https://www.iso.org/standard/27031.

Ringrazio Chiara Ponti per avermelo segnalato.

Alcune mie riflessioni:

• temevo fosse troppo basata sui documenti, invece no;
• richiede di condurre una valutazione del rischio del tipo FMEA per ogni componente del sistema e questo è invece un po' eccessivo;
• se capisco bene, la norma prevede 3 fasi: interruzione totale, ripristino con MBCO, ritorno alla normalità; sappiamo bene che in realtà ce ne sono di più, però il modello di base è questo;
• a mio parere si confonde perché da una parte dice che l’RTO riguarda tutto il tempo di ripristino, ma (in figura 1) dice che il recovery finisce con il ritorno alla normalità;
• rimane un po’ antico, considerando solo tecnologie di hot standby, warm standby, cold standby e ship-in arrangements, senza citare i sistemi active-active o il possibile ricorso al cloud.

Trovo interessante la lista dei possibili test: ripristino di un solo file o di un database, ripristino di un singolo server, ripristino di un'applicazione, guasto di servizi su una piattaforma ad alta affidabilità, guasto di rete.

Quando il cloud crolla

Segnalo questo articolo dal titolo "Quando le nuvole fanno PLOP!": https://www.linkedin.com/comm/pulse/quando-le-nuvole-fanno-plop-antonio-ieran%C3%B2-h7swf.

Il tono è sarcastico, forse c'è un pelo di pubblicità alla soluzione di Proofpoint (immagino perché Ieranò l'abbia sperimentata personalmente), sicuramente ci sono cose che val la pena ripassare anche se in modo sintetico (fare i test di DR, prepararsi i comunicati verso i clienti, eccetera).

 

UNI 11980:2025 sulla distruzione supporto di dati

E' stata pubblicata la  UNI 11980:2025 "Distruzione supporto di dati - Requisiti e indicatori di conformità per i processi di distruzione di supporti di dati": https://store.uni.com/uni-11980-2025.

Si tratta di una specificazione ulteriore di quanto richiesto dalla ISO/IEC 21964 "Destruction of data carriers".

E' stato molto interessante partecipare ai lavori e ringrazio Luciano Quartarone per averli guidati.

Una richiesta: non segnalatemi quanto sia assurdamente alto il prezzo (85 €) per questo documento di 22 pagine.

DORA e regole per i subfornitori (utili per tutti)

La Commissione Europea ha emesso, il 25 marzo, il Regolamento delegato (UE) 2025/532 con le "norme tecniche di regolamentazione che specificano gli elementi che l’entità finanziaria deve determinare e valutare quando subappalta servizi TIC": https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32025R0532.

Penso sia interessante per tutti. Ricordo che TIC (Tecnologie dell’informazione e della comunicazione) è la traduzione in italiano di ITC (o ancora più semplicemente IT).

Trovo soprattutto interessante come richiede di valutare la criticità della fornitura e del subappalto dei servizi IT. Gli elementi da considerare sono (sintetizzo):

• il tipo di servizi IT offerti dal fornitore e dai suoi subappaltatori;
• la sede del subappaltatore di TIC e dove sono trattati i dati;
• la lunghezza e la complessità della catena di subappaltatori;
• la natura dei dati condivisi con i subappaltatori;
• se i subappaltatori sono soggetti a vigilanza o sorveglianza da parte di un’autorità competente in uno Stato membro o di uno Stato non membro;
• se il servizio IT è concentrato su un numero ridotto o meno di subappaltatori;
• se il subappalto incide sulla trasferibilità dei servizi a un altro fornitore di servizi;
• il potenziale impatto di perturbazioni sulla continuità e sulla disponibilità dei servizi.

Viene quindi richiesto, all'organizzazione che usa i servizi, di valutare e monitorare le capacità del proprio fornitore di controllare la catena di approvvigionamento.

Mi sembra poi interessante la richiesta di valutare se il fornitore e i subfornitori permettono l’esercizio dei diritti di audit, ispezione e accesso da parte delle autorità competenti.

Ringrazio Franco Vincenzo Ferrari per avermi segnalato la pubblicazione di tale regolamento.

28 giugno: Guasto ai radar del Nord Italia

Il 28 giugno, dicono, c'è stato un sovraccarico delle linee di comunicazione negli aeroporti del nord e che ha bloccato il loro sistema radar. Il risultato: tantissimi voli non decollati deviati in altri aeroporti (Firenze e Pisa, principalmente).

Christian Bernieri ha scritto il suo pezzo su come un'emergenza così è stata mal gestita: https://garantepiracy.it/blog/emergenza/.

C'ero anch'io e non ci siamo incontrati all'aeroporto Pisa per puro caso. 

Le mie riflessioni sono diverse rispetto a quella di Christian. Io penso all'incidente, di cui ho trovato qui una descrizione: https://tg24.sky.it/cronaca/2025/06/28/traffico-aereo-sospeso-italia.

ENAV attribuisce la responsabilità a TIM, ma vengono in mente almeno due questioni. La prima è che la linea principale e quella di backup fossero sempre di TIM (una terza, quella che poi aveva funzionato, seppur in modo limitato era invece con un altro operatore). Solitamente si consiglia di usare sempre operatori diversi, anche se poi in Italia quasi tutti usano l'infrastruttura TIM. 

La seconda è che sembra che la linea di backup fosse in stand-by. Questa non è una soluzione ottimale, soprattutto se consideriamo la criticità del servizio. Infatti in casi come questi sarebbe opportuno avere due linee sempre attive in load balancing. Per questa riflessione ringrazio un mio cliente.

Un'ultima riflessione riguarda la valutazione del rischio, sicuramente fatta da ENAV. Io, senza troppa fantasia, avrei selezionato solo 5 scenari: mancanza di sede, mancanza dei sistemi IT, mancanza di connettività, mancanza di personale, mancanza di fornitori. Questo approccio semplicistico avrebbe permesso di identificare il rischio, alla faccia di chi propone modelli più complessi (poi, lo ammetto, avrei accettato come valida la soluzione active-standby).

Queste riflessioni sono fatte in mancanza di dettagli certi, ma solo su "sentito dire". C'è un'indagine in corso da parte di ENAC. Penso che sia sempre opportuno riflettere su questi incidenti, purché sia fatto rispettando gli attori coinvolti sia perché le informazioni sono incerte sia perché non sono sicuro che sarei stato capace di fare meglio.

Cervello e ChatGPT

Segnalo questo articolo (grazie alla newsletter di DFA) dal titolo "Il tuo cervello e ChatGPT: il prezzo del debito cognitivo e come evitarlo": https://www.thesundayprompt.com/il-tuo-cervello-e-chatgpt-il-prezzo-del-debito-cognitivo-e-come-evitarlo/.

Esso riassume uno studio del MIT di 206 pagine dal titolo "Your Brain on ChatGPT: Accumulation of Cognitive Debt when Using an AI Assistant for Essay Writing Task": https://arxiv.org/abs/2506.08872. 

La sostanza è semplice: usare gli LLM atrofizza, in qualche modo, le capacità intellettuali ed è quindi opportuno attivare strategie per evitare questo effetto.

Guide ENISA per NIS2 (per fornitori di servizi IT)

ENISA, la European Union Agency for Cybersecurity, ha pubblicato, come richiesto dalla Direttiva NIS 2, due guide per l'implementazione della Direttiva stessa.

La prima è destinata ai fornitori di servizi IT ed è la "NIS2 Technical Implementation Guidance": https://www.enisa.europa.eu/publications/nis2-technical-implementation-guidance.

Più precisamente, si tratta di una guida per l'implementazione della Commission Implementing Regulation (EU) 2024/2690, destinata a fornitori di servizi DNS, registri dei nomi di dominio di primo livello, fornitori di servizi di cloud computing, fornitori di servizi di data center, fornitori di reti di distribuzione dei contenuti, fornitori di servizi gestiti, fornitori di servizi di sicurezza gestiti, fornitori di mercati online, di motori di ricerca online e di piattaforme di servizi di social network e prestatori di servizi fiduciari.

Il documento è lungo 170 pagine e non mi sembra riporti cose inutilmente fantasiose. Anzi, mi sembra che riporti misure pragmatiche al punto giusto, con descrizioni destinate a non esperti di sicurezza informatica.

La seconda è destinata a tutti i soggetti NIS 2 e ha titolo "Cybersecurity roles and skills for NIS2 Essential and Important Entities": https://www.enisa.europa.eu/publications/cybersecurity-roles-and-skills-for-nis2-essential-and-important-entities.

Questa seconda riporta qualche esempio ed elenca 12 ruoli che coinvolti nell'implementazione e nel mantenimento della sicurezza informatica. Non mi sembra una guida particolarmente illuminante.

CEN TS 18170:2025 per i servizi di archiviazione

Franco Vincenzo Ferrari mi ha segnalato questo post su LinkedIn relativo alla CEN TS 18170:2025 Functional requirements for the electronic archiving services, ossia una delle norme che dovrà regolamentare i servizi di conservazione a livello europeo: https://www.linkedin.com/posts/danielalucia-calabrese-422a036b_eaqtsp-eidas2-sip-activity-7333160308481384448-UaVA.

Quindi la strada verso una conservazione a livello europeo è in corso. Quanto tempo ci si metterà non so né posso dire, visto che la REM è stata immaginata nel Regolamento eIDAS ormai nel 2014 e noi stiamo ancora usando tutti la PEC.

 

Circolare Accredia e certificazioni ISO/IEC 27017, ISO/IEC 27018 eccetera

A novembre 2024, Accredia ha pubblicato la Circolare tecnica DC N° 39/2024 - Disposizioni e aggiornamenti in merito all’accreditamento ISO/IEC 17021-1 degli Organismi di Certificazione a fronte della ISO/IEC 27001 e ISO/IEC 27701: https://accredia.it/documenti/circolare-tecnica-dc-n-39-2024-accreditamento-iso-iec-17021-1-a-fronte-della-iso-iec-27001-e-iso-iec-27701/.

Con un certo ritardo ha finalmente regolato il fatto che per le linee guida che estendono i controlli della ISO/IEC 27001 non vanno emessi certificati, ma l'estensione va indicata nell'ambito della certificazione.

Poi ci sono, ahinoi, ancora auditor che chiedono di indicare sul SOA anche come si applicano le linee guida aggiuntive per l'implementazione dei controlli ISO/IEC 27001. E vai a spiegare che sono, appunto, linee guida e non controlli da inserire nel SOA (ci sono già).

Cronologia per l'attuazione dell'AI Act

Dalla newsletter di Project:IN Avvocati: "Il Parlamento europeo ha pubblicato una cronologia per l'attuazione dell’AI Act, descrivendone in dettaglio la storia, lo scopo, le disposizioni e le fasi di attuazione. La legge sull'intelligenza artificiale, entrata in vigore nel 2024, ha una data di applicazione generale fissata al 2 agosto 2026, con piena efficacia prevista entro il 2027. Tra le date chiave figurano l'entrata in vigore dei capitoli sulle disposizioni generali e sulle pratiche di intelligenza artificiale vietate nel febbraio 2025 e la pubblicazione delle linee guida per i sistemi di intelligenza artificiale ad alto rischio nel febbraio 2026. La cronologia include anche il completamento dei codici di condotta GPAI e l'entrata in vigore delle disposizioni relative a governance, sanzioni e riservatezza".

Il documento in pdf, in inglese, è scaricabile da qui: https://www.europarl.europa.eu/thinktank/en/document/EPRS_ATA(2025)772906.

Garante privacy e conservazione email e metadati 05 - Provvedimento Regione Lombardia

Il Garante privacy ha pubblicato il Provvedimento del 29 aprile 2025 [10134221]: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10134221.

Esso riporta valutazioni (e sanzioni) relativamente ad alcuni trattamenti svolti da Regione Lombardia nell'ambito del lavoro agile. Fornisce importanti indicazioni e anche elementi di riflessione. Provo a sintetizzare quanto ho capito e i miei dubbi.

Il primo punto riguarda la necessità di accordo sindacale e DPIA per raccogliere i log di navigazione Internet, di uso dell'email e di tracciamento delle richieste di assistenza. In pratica è richiesto accordo sindacale e DPIA per poter usare questi strumenti, ossia sempre. Interessante osservare che la DPIA non era prevista così esplicitamente dall'elenco dell’11 ottobre 2018 [doc. web n. 9058979].

Il secondo punto riguarda i tempi di conservazione dei log dell'email pari a 21 giorni e dei log di navigazione Internet pari a 90 giorni. Il Garante l'aveva esplicitato a giugno 2024 e Regione Lombardia segnala che il Provvedimento riguarda trattamenti precedenti. Il Garante ha risposto che dovevano arrivarci da soli. Insomma: sapevatelo! 

Il terzo punto è figlio del precedente: il Garante in sostanza ha fatto lui l'analisi del rischio del trattamento dei log e la impone a tutti, alla faccia dell'accountability che evidentemente non permea il GDPR (ricordate la parola magica degli anni 2016-2018?). Viene solo accennato al fatto che il rischio è l'indiretto controllo a distanza dell’attività dei lavoratori, mentre non è detto se tale rischio era stato considerato. In altre parole: il GDPR chiede di valutare i rischi e non impone i tempi di conservazione, ma dal Provvedimento non si capisce se tale rischio era stato valutato, vero elemento di mancato rispetto o meno del GDPR.

Su questo, Christian Bernieri ha diffuso un post su LinkedIn con un ulteriore commento di Marco Marazza: https://www.linkedin.com/posts/bernieri_garante-provvedimento-29-aprile-2025-activity-7338612228230725633-kR9R

Il quarto punto è anch'esso collegato ai precedenti. Mi pare che anche per il sistema di ticketing i ticket andrebbero anonimizzati dopo 90 giorni e questo sembra non tenere conto della tracciabilità delle attività a scopo operativo, di ricostruzione degli eventi in caso di problemi e di tracciamento a scopo audit. Io faccio audit e se chiedo chi ha fatto i test di una determinata messa in esercizio e quando, è necessario saperlo, anche per dimostrare la separazione dei compiti. Mi pare che il Provvedimento non rifletta sul bilanciamento delle esigenze e degli effettivi rischi per gli interessati.

Il quinto punto riguarda il fatto che Regione Lombardia si era dimenticata di dire a un fornitore subentrante che avrebbe avuto accesso al precedente sistema di ticketing con tanto di dati personali degli operatori che avevano trattato i ticket. Da ricordarsene la prossima volta.

Il sesto punto riguarda il fatto che richiede che i log dei tentativi di accesso a siti proibiti vanno anonimizzati. Da ricordarsene, sempre che il sistema di logging lo permetta.

Il settimo punto riguarda le verifiche graduali e progressive. C'erano già nella Delibera del 2017 su email e Internet. Come poi si possano fare con i dati anonimizzati è per me un mistero.

Infine (ottavo punto) dice che le persone vanno designate, mentre il GDPR dice che vanno autorizzate. Mi pare ci sia un certo disallineamento, anche concettuale (tra designazione e autorizzazione ci sono differenze).

Mi pare che con questa sentenza si evidenzino alcune esagerazioni di interpretazione. Però se qualcuno volesse discuterne, ne sarò ben lieto (anche perché penso che forse qualche cosa mi sia sfuggita).

NIS2: Gestione incidenti significativi

Il D. Lgs. 138 di recepimento della NIS2, sulla base della definizione della Direttiva NIS2, dice che un incidente è considerato significativo se: a) ha causato o è in grado di causare  una  grave  perturbazione operativa  dei  servizi  o  perdite  finanziarie  per   il   soggetto interessato; b) ha avuto ripercussioni o è idoneo a  provocare  ripercussioni su altre persone fisiche o giuridiche causando  perdite  materiali  o immateriali considerevoli".

ACN, con la determina del 14 aprile, oltre a fornire "misure minime", fornisce anche le definizioni di "Incidenti significativi di base per i soggetti importanti" e "Incidenti significativi di base per i soggetti essenziali". Le definizioni sono decisamente generiche. La prima è "IS-1. Il soggetto NIS ha evidenza della perdita di riservatezza, verso l’esterno, di dati digitali di sua proprietà o sui quali esercita il controllo, anche parziale". Le altre sono altrettanto generiche.

Con la definizione di ACN, andrebbe mandata notifica per ogni evento, anche minimale, con impatto su riservatezza, integrità o disponibilità delle informazioni in formato digitale.

Immagino si debba applicare il combinato disposto, che in definitiva è la definizione del D. Lgs. 138. Ho ricevuto poche risposte in merito.

Ovviamente questo non si applica ai fornitori di servizi IT in ambito NIS2 perché devono usare anche le definizioni dell'Implementing Act 2024/2690, decisamente più specifico.

VERA 8

Dovrei aver finito. Il VERA 8 è qui: https://github.com/CesareGallotti/VERA.

In italiano e in inglese e anche con i manuali aggiornati.

Se mai qualcuno dovesse sentirsi in colpa e troverà il coraggio per affrontare i sensi di colpa, potrà cancellarli da questo viaggio sottoscrivendo alla mia newsletter: https://infosecandquality.substack.com/.

Se no, continui a usarlo gratuitamente che va bene lo stesso. Almeno ho la soddisfazione di fare audit e consulenze e vedere meno modelli assurdi e complicatissimi (ce ne sono anche di ottimi diversi dal mio e danno anch'essi soddisfazione).

Accessibilità digitale

Segnalo questo articolo dal titolo "Accessibilità digitale: quadro normativo europeo e italiano, tecnologie e opportunità di mercato": https://www.hermescse.eu/accessibilita-digitale-quadro-normativo-europeo-e-italiano-tecnologie-e-opportunita-di-mercato/.

Parla delle normative relative all'accessibilità (WAD e EAA, recepite in Italia e di cui avevo parlato a loro tempo).

Gli uomini possono fare tutto (Giugno 2025)

Il Milanese imbruttito, uomo, ha potuto pubblicare sul suo sito un articolo dal titolo "Festa della mamma, cose che vorremmo DAVVERO al posto dei fiori del caz*o": https://imbruttito.com/2025/05/07/festa-della-mamma-cose-vorremmo-davvero.

Ovviamente non l'ho segnalato a maggio, in modo da poterci pensare anche a giugno.

Disobbedire, una competenza

Lorenzo Foffani fa anche l'allenatore di calcio (di un mio figlio). Lo fa volontariamente ed è molto bravo.

Ha fatto questo intervento dal titolo "Disobbedire: la nuova competenza dell’innovazione?": https://www.youtube.com/watch?v=4cnGZjMieMY.

E' in italiano ed è in video. E' anche di promozione per la società per cui lavora. Però è interessante.

La sua prima versione era in inglese e in formato testo: https://www.linkedin.com/pulse/hard-discipline-creative-disobedience-lorenzo-foffani-mbnkf.

In sintesi: per disubbidire bisogna essere (molto) competenti. Penso però che questo concetto sia capito da pochi.

Chi fa il mio lavoro sa che tanti non seguono le procedure o, peggio, le contestano senza però capire le motivazioni che hanno portato a quei processi e quelle regole. 

Ricordo il magnifico racconto Cromo di Primo Levi che, dall'altra parte, ci ricorda che le procedure vanno ridiscusse.

Virus nei driver di una stampante

Claudio Sartor, che ringrazio, mi ha segnalato questo podcast (anche in formato scritto) dal titolo "Il cripto-ladro è nella stampante e ruba un milione di dollari": https://attivissimo.me/2025/05/26/podcast-rsi-il-cripto-ladro-e-nella-stampante-e-ruba-1-milione-di-dollari/.

Il testo è scritto in modo molto piacevole (e già questo è inconsueto, ahinoi, nel nostro mondo), oltre che interessante.

In brevissimo: un gruppo di ladri di criptovalute è riuscito ad infettare i driver di una stampante. Questo ci insegna a stare sempre attenti, per quanto improbabile possa sembrare l'attacco.

Guida CISA per la sicurezza dell'OT

Chiara Ponti ha segnalato agli Idraulici della privacy la guida "Primary Mitigations to Reduce Cyber Threats to Operational Technology" della Cybersecurity and Infrastructure Security Agency (CISA) statunitense: https://www.cisa.gov/resources-tools/resources/primary-mitigations-reduce-cyber-threats-operational-technology.

Il CISA è un esempio di sinteticità. Forse eccessiva, ma compensa la prolissità di troppi altri.

L'IA è più persuasiva degli esseri umani

Segnalo l'articolo con titolo "AI is more persuasive than people in online debates" da Nature: https://www.nature.com/articles/d41586-025-01599-7.

Il titolo dice tutto e così la parte di articolo liberamente disponibile.

ISO/IEC 22989 su terminologia e concetti IA disponibile gratuitamente

Mi informa Fabrizio Cirilli che lo standard SO/IEC 22989:2022 "Information technology — Artificial intelligence — Artificial intelligence concepts and terminology" è disponibile gratuitamente.

Il link: https://www.iso.org/standard/74296.html.

Grazie mille a Fabrizio.

PEC e obbligo amministratori delle società

Le società NIS2 devono fornire ad ACN, tra le tante informazioni, anche gli indirizzi PEC degli amministratori.

In effetti "a decorrere dal 1° gennaio 2025, l'obbligo di comunicare al registro delle imprese il domicilio digitale / indirizzo di posta elettronica certificata (PEC) – già previsto per le società e per le imprese individuali". Questo per il DL 179 del 2012, art. 5 comma 1, modificato dalla Legge di bilancio 2025.

Questo vuol dire che amministratori e liquidatori delle società di capitali, società cooperative, società consortili e società di persone devono avere la PEC. Unioncamere ha però interpretato dicendo che si può usare anche la PEC della società stessa.

Tutto questo l'ho riassunto da una pagina della Camera di commercio di Milano, Monza Brianza e Lodi: https://www.milomb.camcom.it/obbligo-di-iscrivere-il-domicilio-digitale-degli-amministratori-e-liquidatori-delle-societa.

Alfabetizzazione sull'intelligenza artificiale (AI literacy)

Il Regolamento sull'IA richiede che fornitori e utilizzatori di sistemi AI assicurino, da febbraio 2025, al proprio personale un adeguato livello di alfabetizzazione sull'IA. Un'ottima iniziativa.

Credo quindi che si tratti di prevedere corsi relativi ai diversi tipi di IA, ai loro pro e contro, ai loro rischi. La formazione va differenziata per le diverse figure professionali, per quanto applicabile. Attenzione che la formazione non riguarda solo il personale interno, ma "qualsiasi altra persona che si occupa del funzionamento e dell'utilizzo dei sistemi di IA per loro conto".

La Commissione europea ha quindi pubblicato una pagina con domande e risposte in merito: https://digital-strategy.ec.europa.eu/en/faqs/ai-literacy-questions-answers. Sta girando anche una versione in pdf, ma è generato da questa pagina.

Devo dire che speravo in qualcosa di meglio: le indicazioni sono generiche e il "living repository on AI literacy" è una raccolta di esperienze di alcune imprese ma senza i dettagli (insomma, è materiale promozionale, per quanto sobrio).

Eppure avrei voluto una risposta più esaustiva sul punto "What should be the minimum content to consider for an AI literacy programme?".

Ho trovato, sempre della UE, la pagina Learning Content della Digital Skills & Jobs Platform: https://digital-skills-jobs.europa.eu/en/learning-content. Si seleziona il filtro per "Artificial intelligence" e viene proposto materiale. Forse troppo e troppo disomogeneo, oltre che fatto solo di video e presentazioni. Pochissimo sui rischi.

Invece vorrei saperne molto di più. Qualcuno ha uno o più libri, non eccessivamente tecnici, da suggerire?

Altruismo dei dati

Segnalo questo articolo dal titolo "Altruismo dei dati: cos’è e perché l’Italia rischia di perdere tempo": https://www.agendadigitale.eu/cittadinanza-digitale/altruismo-dei-dati-cose-e-perche-litalia-rischia-di-perdere-tempo/l

Non è materia che seguo come in generale non seguo il Data Governance Act (regolamento UE 2022/868), ma penso che sia comunque importante sapere più o meno di cosa si tratta.

European Vulnerability Database (EUVD) di ENISA

Da un post di Rosario Piazzese su LinkedIn: ENISA ha sviluppato il European Vulnerability Database (EUVD), come richiesto dalla Direttiva NIS2. Il servizio è attualmente operativo in versione beta: https://euvd.enisa.europa.eu/.

Come Cesare, invece, chiedo se qualcuno vuole fare un confronto con altri servizi simili. Per esempio se le informazioni sono più o meno facili da fruire.

 

Articolo (non mio!) su NIS2

Marcello Davi di Hermes - Centro Studi Europeo mi ha segnalato un suo articolo dal titolo "Normativa NIS2: requisiti, scadenziario, opportunità e sfide future": https://www.hermescse.eu/normativa-nis2-requisiti-scadenziario-opportunita-e-sfide-future/.

L'analisi dei requisiti e lo scadenziario sono sicuramente in linea con altri articoli. Trovo interessanti le riflessioni nella terza parte (Opportunità e sfide future per le imprese coinvolte ed il sistema Paese).

Fediverso

Io sono sempre affascinato dalle alternative ai grandi potenti dei social. La più promettente è il cosiddetto Fediverso.

Questo articolo dal titolo "Il Fediverso a scuola: uno strumento didattico per la cittadinanza digitale" mi pare un'ottima introduzione: https://www.agendadigitale.eu/cultura-digitale/il-fediverso-a-scuola-uno-strumento-didattico-per-la-cittadinanza-digitale/.

In realtà non parla solo di scuola. Presenta soprattutto i problemi etici che pone l'uso dei grandi fornitori di servizi informatici, economicamente gratuiti.

DPCM 30 aprile su acquisti di beni e servizi IT

Il 30 aprile 2025 è stato approvato il DPCM dal titolo "Disciplina dei contratti di beni e servizi informatici impiegati in un contesto connesso alla tutela degli interessi nazionali strategici e della sicurezza nazionale": https://www.gazzettaufficiale.it/atto/serie_generale/caricaDettaglioAtto/originario?atto.dataPubblicazioneGazzetta=2025-05-05&atto.codiceRedazionale=25A02717.

Estrema sintesi fornitami da Chiara Ponti (che ringrazio): dal 21 maggio 2025 entrano in vigore nuove regole per l’acquisto di beni e servizi informatici destinati a contesti legati alla tutela dell’interesse strategico nazionale.

Si applicano a pubbliche amministrazioni, gestori di servizi pubblici e società a controllo pubblico (da CAD) e soggetti nel PNSC (perimetro nazionale di sicurezza cibernetica).

Le regole richiedono di "prendere in considerazione", in fase di acquisto, alcune caratteristiche dei prodotti e servizi informatici presenti Allegato 2. Le misure sono in Allegato 1 e mi sembrano molto generiche (e non sempre comprensibili), anche se ci sono tutte quelle che avrei messo io (da ITSEC: Identification and Authentication, Access Control, Accountability, Audit, Accuracy, Reliability of Service, Data Exchange).