Segnalo questo articolo dal titolo "Quando le nuvole fanno PLOP!": https://www.linkedin.com/comm/pulse/quando-le-nuvole-fanno-plop-antonio-ieran%C3%B2-h7swf.
Il tono è sarcastico, forse c'è un pelo di pubblicità alla soluzione di Proofpoint (immagino perché Ieranò l'abbia sperimentata personalmente), sicuramente ci sono cose che val la pena ripassare anche se in modo sintetico (fare i test di DR, prepararsi i comunicati verso i clienti, eccetera).
E' stata pubblicata la UNI 11980:2025 "Distruzione supporto di dati - Requisiti e indicatori di conformità per i processi di distruzione di supporti di dati": https://store.uni.com/uni-11980-2025.
Si tratta di una specificazione ulteriore di quanto richiesto dalla ISO/IEC 21964 "Destruction of data carriers".
E' stato molto interessante partecipare ai lavori e ringrazio Luciano Quartarone per averli guidati.
Una richiesta: non segnalatemi quanto sia assurdamente alto il prezzo (85 €) per questo documento di 22 pagine.
La Commissione Europea ha emesso, il 25 marzo, il Regolamento delegato (UE) 2025/532 con le "norme tecniche di regolamentazione che specificano gli elementi che l’entità finanziaria deve determinare e valutare quando subappalta servizi TIC": https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32025R0532.
Penso sia interessante per tutti. Ricordo che TIC (Tecnologie dell’informazione e della comunicazione) è la traduzione in italiano di ITC (o ancora più semplicemente IT).
Trovo soprattutto interessante come richiede di valutare la criticità della fornitura e del subappalto dei servizi IT. Gli elementi da considerare sono (sintetizzo):
- il tipo di servizi IT offerti dal fornitore e dai suoi subappaltatori;
- la sede del subappaltatore di TIC e dove sono trattati i dati;
- la lunghezza e la complessità della catena di subappaltatori;
- la natura dei dati condivisi con i subappaltatori;
- se i subappaltatori sono soggetti a vigilanza o sorveglianza da parte di un’autorità competente in uno Stato membro o di uno Stato non membre;
- se il servizio IT è concentrato su un numero ridotto o meno di subappaltatori;
- se il subappalto incide sulla trasferibilità dei servizi a un altro fornitore di servizi;
- il potenziale impatto di perturbazioni sulla continuità e sulla disponibilità dei servizi.
Viene quindi richiesto, all'organizzazione che usa i servizi, di valutare e monitorare le capacità del proprio fornitore di controllare la catena di approvvigionamento.
Mi sembra poi interessante la richiesta di valutare se il fornitore e i subfornitori permettono l’esercizio dei diritti di audit, ispezione e accesso da parte delle autorità competenti.
Ringrazio Franco Vincenzo Ferrari per avermi segnalato la pubblicazione di tale regolamento.
Il 28 giugno, dicono, c'è stato un sovraccarico delle linee di comunicazione negli aeroporti del nord e che ha bloccato il loro sistema radar. Il risultato: tantissimi voli non decollati deviati in altri aeroporti (Firenze e Pisa, principalmente).
Christian Bernieri ha scritto il suo pezzo su come un'emergenza così è stata mal gestita: https://garantepiracy.it/blog/emergenza/.
C'ero anch'io e non ci siamo incontrati all'aeroporto Pisa per puro caso.
Le mie riflessioni sono diverse rispetto a quella di Christian. Io penso all'incidente, di cui ho trovato qui una descrizione: https://tg24.sky.it/cronaca/2025/06/28/traffico-aereo-sospeso-italia.
ENAV attribuisce la responsabilità a TIM, ma vengono in mente almeno due questioni. La prima è che la linea principale e quella di backup fossero sempre di TIM (una terza, quella che poi aveva funzionato, seppur in modo limitato era invece con un altro operatore). Solitamente si consiglia di usare sempre operatori diversi, anche se poi in Italia quasi tutti usano l'infrastruttura TIM.
La seconda è che sembra che la linea di backup fosse in stand-by. Questa non è una soluzione ottimale, soprattutto se consideriamo la criticità del servizio. Infatti in casi come questi sarebbe opportuno avere due linee sempre attive in load balancing. Per questa riflessione ringrazio un mio cliente.
Un'ultima riflessione riguarda la valutazione del rischio, sicuramente fatta da ENAV. Io, senza troppa fantasia, avrei selezionato solo 5 scenari: mancanza di sede, mancanza dei sistemi IT, mancanza di connettività, mancanza di personale, mancanza di fornitori. Questo approccio semplicistico avrebbe permesso di identificare il rischio, alla faccia di chi propone modelli più complessi (poi, lo ammetto, avrei accettato come valida la soluzione active-standby).
Queste riflessioni sono fatte in mancanza di dettagli certi, ma solo su "sentito dire". C'è un'indagine in corso da parte di ENAC. Penso che sia sempre opportuno riflettere su questi incidenti, purché sia fatto rispettando gli attori coinvolti sia perché le informazioni sono incerte sia perché non sono sicuro che sarei stato capace di fare meglio.
Segnalo questo articolo (grazie alla newsletter di DFA) dal titolo "Il tuo cervello e ChatGPT: il prezzo del debito cognitivo e come evitarlo": https://www.thesundayprompt.com/il-tuo-cervello-e-chatgpt-il-prezzo-del-debito-cognitivo-e-come-evitarlo/.
Esso riassume uno studio del MIT di 206 pagine dal titolo "Your Brain on ChatGPT: Accumulation of Cognitive Debt when Using an AI Assistant for Essay Writing Task": https://arxiv.org/abs/2506.08872.
La sostanza è semplice: usare gli LLM atrofizza, in qualche modo, le capacità intellettuali ed è quindi opportuno attivare strategie per evitare questo effetto.
ENISA, la European Union Agency for Cybersecurity, ha pubblicato, come richiesto dalla Direttiva NIS 2, due guide per l'implementazione della Direttiva stessa.
La prima è destinata ai fornitori di servizi IT ed è la "NIS2 Technical Implementation Guidance": https://www.enisa.europa.eu/publications/nis2-technical-implementation-guidance.
Più precisamente, si tratta di una guida per l'implementazione della Commission Implementing Regulation (EU) 2024/2690, destinata a fornitori di servizi DNS, registri dei nomi di dominio di primo livello, fornitori di servizi di cloud computing, fornitori di servizi di data center, fornitori di reti di distribuzione dei contenuti, fornitori di servizi gestiti, fornitori di servizi di sicurezza gestiti, fornitori di mercati online, di motori di ricerca online e di piattaforme di servizi di social network e prestatori di servizi fiduciari.
Il documento è lungo 170 pagine e non mi sembra riporti cose inutilmente fantasiose. Anzi, mi sembra che riporti misure pragmatiche al punto giusto, con descrizioni destinate a non esperti di sicurezza informatica.
La seconda è destinata a tutti i soggetti NIS 2 e ha titolo "Cybersecurity roles and skills for NIS2 Essential and Important Entities": https://www.enisa.europa.eu/publications/cybersecurity-roles-and-skills-for-nis2-essential-and-important-entities.
Questa seconda riporta qualche esempio ed elenca 12 ruoli che coinvolti nell'implementazione e nel mantenimento della sicurezza informatica. Non mi sembra una guida particolarmente illuminante.
Franco Vincenzo Ferrari mi ha segnalato questo post su LinkedIn relativo alla CEN TS 18170:2025 Functional requirements for the electronic archiving services, ossia una delle norme che dovrà regolamentare i servizi di conservazione a livello europeo: https://www.linkedin.com/posts/danielalucia-calabrese-422a036b_eaqtsp-eidas2-sip-activity-7333160308481384448-UaVA.
Quindi la strada verso una conservazione a livello europeo è in corso. Quanto tempo ci si metterà non so né posso dire, visto che la REM è stata immaginata nel Regolamento eIDAS ormai nel 2014 e noi stiamo ancora usando tutti la PEC.
A novembre 2024, Accredia ha pubblicato la Circolare tecnica DC N° 39/2024 - Disposizioni e aggiornamenti in merito all’accreditamento ISO/IEC 17021-1 degli Organismi di Certificazione a fronte della ISO/IEC 27001 e ISO/IEC 27701: https://accredia.it/documenti/circolare-tecnica-dc-n-39-2024-accreditamento-iso-iec-17021-1-a-fronte-della-iso-iec-27001-e-iso-iec-27701/.
Con un certo ritardo ha finalmente regolato il fatto che per le linee guida che estendono i controlli della ISO/IEC 27001 non vanno emessi certificati, ma l'estensione va indicata nell'ambito della certificazione.
Poi ci sono, ahinoi, ancora auditor che chiedono di indicare sul SOA anche come si applicano le linee guida aggiuntive per l'implementazione dei controlli ISO/IEC 27001. E vai a spiegare che sono, appunto, linee guida e non controlli da inserire nel SOA (ci sono già).
Dalla newsletter di Project:IN Avvocati: "Il Parlamento europeo ha pubblicato una cronologia per l'attuazione dell’AI Act, descrivendone in dettaglio la storia, lo scopo, le disposizioni e le fasi di attuazione. La legge sull'intelligenza artificiale, entrata in vigore nel 2024, ha una data di applicazione generale fissata al 2 agosto 2026, con piena efficacia prevista entro il 2027. Tra le date chiave figurano l'entrata in vigore dei capitoli sulle disposizioni generali e sulle pratiche di intelligenza artificiale vietate nel febbraio 2025 e la pubblicazione delle linee guida per i sistemi di intelligenza artificiale ad alto rischio nel febbraio 2026. La cronologia include anche il completamento dei codici di condotta GPAI e l'entrata in vigore delle disposizioni relative a governance, sanzioni e riservatezza".
Il documento in pdf, in inglese, è scaricabile da qui: https://www.europarl.europa.eu/thinktank/en/document/EPRS_ATA(2025)772906.
Il Garante privacy ha pubblicato il Provvedimento del 29 aprile 2025 [10134221]: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10134221.
Esso riporta valutazioni (e sanzioni) relativamente ad alcuni trattamenti svolti da Regione Lombardia nell'ambito del lavoro agile. Fornisce importanti indicazioni e anche elementi di riflessione. Provo a sintetizzare quanto ho capito e i miei dubbi.
Il primo punto riguarda la necessità di accordo sindacale e DPIA per raccogliere i log di navigazione Internet, di uso dell'email e di tracciamento delle richieste di assistenza. In pratica è richiesto accordo sindacale e DPIA per poter usare questi strumenti, ossia sempre. Interessante osservare che la DPIA non era prevista così esplicitamente dall'elenco dell’11 ottobre 2018 [doc. web n. 9058979].
Il secondo punto riguarda i tempi di conservazione dei log dell'email pari a 21 giorni e dei log di navigazione Internet pari a 90 giorni. Il Garante l'aveva esplicitato a giugno 2024 e Regione Lombardia segnala che il Provvedimento riguarda trattamenti precedenti. Il Garante ha risposto che dovevano arrivarci da soli. Insomma: sapevatelo!
Il terzo punto è figlio del precedente: il Garante in sostanza ha fatto lui l'analisi del rischio del trattamento dei log e la impone a tutti, alla faccia dell'accountability che evidentemente non permea il GDPR (ricordate la parola magica degli anni 2016-2018?). Viene solo accennato al fatto che il rischio è l'indiretto controllo a distanza dell’attività dei lavoratori, mentre non è detto se tale rischio era stato considerato. In altre parole: il GDPR chiede di valutare i rischi e non impone i tempi di conservazione, ma dal Provvedimento non si capisce se tale rischio era stato valutato, vero elemento di mancato rispetto o meno del GDPR.
Su questo, Christian Bernieri ha diffuso un post su LinkedIn con un ulteriore commento di Marco Marazza: https://www.linkedin.com/posts/bernieri_garante-provvedimento-29-aprile-2025-activity-7338612228230725633-kR9R
Il quarto punto è anch'esso collegato ai precedenti. Mi pare che anche per il sistema di ticketing i ticket andrebbero anonimizzati dopo 90 giorni e questo sembra non tenere conto della tracciabilità delle attività a scopo operativo, di ricostruzione degli eventi in caso di problemi e di tracciamento a scopo audit. Io faccio audit e se chiedo chi ha fatto i test di una determinata messa in esercizio e quando, è necessario saperlo, anche per dimostrare la separazione dei compiti. Mi pare che il Provvedimento non rifletta sul bilanciamento delle esigenze e degli effettivi rischi per gli interessati.
Il quinto punto riguarda il fatto che Regione Lombardia si era dimenticata di dire a un fornitore subentrante che avrebbe avuto accesso al precedente sistema di ticketing con tanto di dati personali degli operatori che avevano trattato i ticket. Da ricordarsene la prossima volta.
Il sesto punto riguarda il fatto che richiede che i log dei tentativi di accesso a siti proibiti vanno anonimizzati. Da ricordarsene, sempre che il sistema di logging lo permetta.
Il settimo punto riguarda le verifiche graduali e progressive. C'erano già nella Delibera del 2017 su email e Internet. Come poi si possano fare con i dati anonimizzati è per me un mistero.
Infine (ottavo punto) dice che le persone vanno designate, mentre il GDPR dice che vanno autorizzate. Mi pare ci sia un certo disallineamento, anche concettuale (tra designazione e autorizzazione ci sono differenze).
Mi pare che con questa sentenza si evidenzino alcune esagerazioni di interpretazione. Però se qualcuno volesse discuterne, ne sarò ben lieto (anche perché penso che forse qualche cosa mi sia sfuggita).
Il D. Lgs. 138 di recepimento della NIS2, sulla base della definizione della Direttiva NIS2, dice che un incidente è considerato significativo se: a) ha causato o è in grado di causare una grave perturbazione operativa dei servizi o perdite finanziarie per il soggetto interessato; b) ha avuto ripercussioni o è idoneo a provocare ripercussioni su altre persone fisiche o giuridiche causando perdite materiali o immateriali considerevoli".
ACN, con la determina del 14 aprile, oltre a fornire "misure minime", fornisce anche le definizioni di "Incidenti significativi di base per i soggetti importanti" e "Incidenti significativi di base per i soggetti essenziali". Le definizioni sono decisamente generiche. La prima è "IS-1. Il soggetto NIS ha evidenza della perdita di riservatezza, verso l’esterno, di dati digitali di sua proprietà o sui quali esercita il controllo, anche parziale". Le altre sono altrettanto generiche.
Con la definizione di ACN, andrebbe mandata notifica per ogni evento, anche minimale, con impatto su riservatezza, integrità o disponibilità delle informazioni in formato digitale.
Immagino si debba applicare il combinato disposto, che in definitiva è la definizione del D. Lgs. 138. Ho ricevuto poche risposte in merito.
Ovviamente questo non si applica ai fornitori di servizi IT in ambito NIS2 perché devono usare anche le definizioni dell'Implementing Act 2024/2690, decisamente più specifico.
Dovrei aver finito. Il VERA 8 è qui: https://github.com/CesareGallotti/VERA.
In italiano e in inglese e anche con i manuali aggiornati.
Se mai qualcuno dovesse sentirsi in colpa e troverà il coraggio per affrontare i sensi di colpa, potrà cancellarli da questo viaggio sottoscrivendo alla mia newsletter: https://infosecandquality.substack.com/.
Se no, continui a usarlo gratuitamente che va bene lo stesso. Almeno ho la soddisfazione di fare audit e consulenze e vedere meno modelli assurdi e complicatissimi (ce ne sono anche di ottimi diversi dal mio e danno anch'essi soddisfazione).
Segnalo questo articolo dal titolo "Accessibilità digitale: quadro normativo europeo e italiano, tecnologie e opportunità di mercato": https://www.hermescse.eu/accessibilita-digitale-quadro-normativo-europeo-e-italiano-tecnologie-e-opportunita-di-mercato/.
Parla delle normative relative all'accessibilità (WAD e EAA, recepite in Italia e di cui avevo parlato a loro tempo).
Il Milanese imbruttito, uomo, ha potuto pubblicare sul suo sito un articolo dal titolo "Festa della mamma, cose che vorremmo DAVVERO al posto dei fiori del caz*o": https://imbruttito.com/2025/05/07/festa-della-mamma-cose-vorremmo-davvero.
Ovviamente non l'ho segnalato a maggio, in modo da poterci pensare anche a giugno.
Lorenzo Foffani fa anche l'allenatore di calcio (di un mio figlio). Lo fa volontariamente ed è molto bravo.
Ha fatto questo intervento dal titolo "Disobbedire: la nuova competenza dell’innovazione?": https://www.youtube.com/watch?v=4cnGZjMieMY.
E' in italiano ed è in video. E' anche di promozione per la società per cui lavora. Però è interessante.
La sua prima versione era in inglese e in formato testo: https://www.linkedin.com/pulse/hard-discipline-creative-disobedience-lorenzo-foffani-mbnkf.
In sintesi: per disubbidire bisogna essere (molto) competenti. Penso però che questo concetto sia capito da pochi.
Chi fa il mio lavoro sa che tanti non seguono le procedure o, peggio, le contestano senza però capire le motivazioni che hanno portato a quei processi e quelle regole.
Ricordo il magnifico racconto Cromo di Primo Levi che, dall'altra parte, ci ricorda che le procedure vanno ridiscusse.
Claudio Sartor, che ringrazio, mi ha segnalato questo podcast (anche in formato scritto) dal titolo "Il cripto-ladro è nella stampante e ruba un milione di dollari": https://attivissimo.me/2025/05/26/podcast-rsi-il-cripto-ladro-e-nella-stampante-e-ruba-1-milione-di-dollari/.
Il testo è scritto in modo molto piacevole (e già questo è inconsueto, ahinoi, nel nostro mondo), oltre che interessante.
In brevissimo: un gruppo di ladri di criptovalute è riuscito ad infettare i driver di una stampante. Questo ci insegna a stare sempre attenti, per quanto improbabile possa sembrare l'attacco.
Chiara Ponti ha segnalato agli Idraulici della privacy la guida "Primary Mitigations to Reduce Cyber Threats to Operational Technology" della Cybersecurity and Infrastructure Security Agency (CISA) statunitense: https://www.cisa.gov/resources-tools/resources/primary-mitigations-reduce-cyber-threats-operational-technology.
Il CISA è un esempio di sinteticità. Forse eccessiva, ma compensa la prolissità di troppi altri.
Segnalo l'articolo con titolo "AI is more persuasive than people in online debates" da Nature: https://www.nature.com/articles/d41586-025-01599-7.
Il titolo dice tutto e così la parte di articolo liberamente disponibile.
Mi informa Fabrizio Cirilli che lo standard SO/IEC 22989:2022 "Information technology — Artificial intelligence — Artificial intelligence concepts and terminology" è disponibile gratuitamente.
Il link: https://www.iso.org/standard/74296.html.
Grazie mille a Fabrizio.
Le società NIS2 devono fornire ad ACN, tra le tante informazioni, anche gli indirizzi PEC degli amministratori.
In effetti "a decorrere dal 1° gennaio 2025, l'obbligo di comunicare al registro delle imprese il domicilio digitale / indirizzo di posta elettronica certificata (PEC) – già previsto per le società e per le imprese individuali". Questo per il DL 179 del 2012, art. 5 comma 1, modificato dalla Legge di bilancio 2025.
Questo vuol dire che amministratori e liquidatori delle società di capitali, società cooperative, società consortili e società di persone devono avere la PEC. Unioncamere ha però interpretato dicendo che si può usare anche la PEC della società stessa.
Tutto questo l'ho riassunto da una pagina della Camera di commercio di Milano, Monza Brianza e Lodi: https://www.milomb.camcom.it/obbligo-di-iscrivere-il-domicilio-digitale-degli-amministratori-e-liquidatori-delle-societa.
Il Regolamento sull'IA richiede che fornitori e utilizzatori di sistemi AI assicurino, da febbraio 2025, al proprio personale un adeguato livello di alfabetizzazione sull'IA. Un'ottima iniziativa.
Credo quindi che si tratti di prevedere corsi relativi ai diversi tipi di IA, ai loro pro e contro, ai loro rischi. La formazione va differenziata per le diverse figure professionali, per quanto applicabile. Attenzione che la formazione non riguarda solo il personale interno, ma "qualsiasi altra persona che si occupa del funzionamento e dell'utilizzo dei sistemi di IA per loro conto".
La Commissione europea ha quindi pubblicato una pagina con domande e risposte in merito: https://digital-strategy.ec.europa.eu/en/faqs/ai-literacy-questions-answers. Sta girando anche una versione in pdf, ma è generato da questa pagina.
Devo dire che speravo in qualcosa di meglio: le indicazioni sono generiche e il "living repository on AI literacy" è una raccolta di esperienze di alcune imprese ma senza i dettagli (insomma, è materiale promozionale, per quanto sobrio).
Eppure avrei voluto una risposta più esaustiva sul punto "What should be the minimum content to consider for an AI literacy programme?".
Ho trovato, sempre della UE, la pagina Learning Content della Digital Skills & Jobs Platform: https://digital-skills-jobs.europa.eu/en/learning-content. Si seleziona il filtro per "Artificial intelligence" e viene proposto materiale. Forse troppo e troppo disomogeneo, oltre che fatto solo di video e presentazioni. Pochissimo sui rischi.
Invece vorrei saperne molto di più. Qualcuno ha uno o più libri, non eccessivamente tecnici, da suggerire?
Segnalo questo articolo dal titolo "Altruismo dei dati: cos’è e perché l’Italia rischia di perdere tempo": https://www.agendadigitale.eu/cittadinanza-digitale/altruismo-dei-dati-cose-e-perche-litalia-rischia-di-perdere-tempo/l
Non è materia che seguo come in generale non seguo il Data Governance Act (regolamento UE 2022/868), ma penso che sia comunque importante sapere più o meno di cosa si tratta.
Da un post di Rosario Piazzese su LinkedIn: ENISA ha sviluppato il European Vulnerability Database (EUVD), come richiesto dalla Direttiva NIS2. Il servizio è attualmente operativo in versione beta: https://euvd.enisa.europa.eu/.
Come Cesare, invece, chiedo se qualcuno vuole fare un confronto con altri servizi simili. Per esempio se le informazioni sono più o meno facili da fruire.
Marcello Davi di Hermes - Centro Studi Europeo mi ha segnalato un suo articolo dal titolo "Normativa NIS2: requisiti, scadenziario, opportunità e sfide future": https://www.hermescse.eu/normativa-nis2-requisiti-scadenziario-opportunita-e-sfide-future/.
L'analisi dei requisiti e lo scadenziario sono sicuramente in linea con altri articoli. Trovo interessanti le riflessioni nella terza parte (Opportunità e sfide future per le imprese coinvolte ed il sistema Paese).
Io sono sempre affascinato dalle alternative ai grandi potenti dei social. La più promettente è il cosiddetto Fediverso.
Questo articolo dal titolo "Il Fediverso a scuola: uno strumento didattico per la cittadinanza digitale" mi pare un'ottima introduzione: https://www.agendadigitale.eu/cultura-digitale/il-fediverso-a-scuola-uno-strumento-didattico-per-la-cittadinanza-digitale/.
In realtà non parla solo di scuola. Presenta soprattutto i problemi etici che pone l'uso dei grandi fornitori di servizi informatici, economicamente gratuiti.
Il 30 aprile 2025 è stato approvato il DPCM dal titolo "Disciplina dei contratti di beni e servizi informatici impiegati in un contesto connesso alla tutela degli interessi nazionali strategici e della sicurezza nazionale": https://www.gazzettaufficiale.it/atto/serie_generale/caricaDettaglioAtto/originario?atto.dataPubblicazioneGazzetta=2025-05-05&atto.codiceRedazionale=25A02717.
Estrema sintesi fornitami da Chiara Ponti (che ringrazio): dal 21 maggio 2025 entrano in vigore nuove regole per l’acquisto di beni e servizi informatici destinati a contesti legati alla tutela dell’interesse strategico nazionale.
Si applicano a pubbliche amministrazioni, gestori di servizi pubblici e società a controllo pubblico (da CAD) e soggetti nel PNSC (perimetro nazionale di sicurezza cibernetica).
Le regole richiedono di "prendere in considerazione", in fase di acquisto, alcune caratteristiche dei prodotti e servizi informatici presenti Allegato 2. Le misure sono in Allegato 1 e mi sembrano molto generiche (e non sempre comprensibili), anche se ci sono tutte quelle che avrei messo io (da ITSEC: Identification and Authentication, Access Control, Accountability, Audit, Accuracy, Reliability of Service, Data Exchange).
Questa volta, il papà che cerca di fare il bravo papà si è trovato in difficoltà con i compiti delle vacanze di Pasqua.
Infatti alcuni professori li hanno assegnati dopo la chiusura della scuola e in alcuni casi anche dopo che la famiglia aveva programmato le attività, inclusi i compiti.
Il problema non è solo organizzativo per le famiglie, per quanto già questo sia importante. E' un problema anche sociale perché promuove la costante connessione delle famiglie e, soprattutto, dei ragazzi. Penso sia importante promuovere il diritto (e, forse, anche il dovere) di disconnettersi. Finito l'orario scolastico, andrebbero vietate le comunicazioni tra scuola e ragazzi e famiglie.
Il diritto alla disconnessione è necessario per diversi motivi. Il primo è per evitare un sovraccarico e per educare i ragazzi a evitarlo. Il secondo è perché la stimolazione continua è dannosa e porta ansia, soprattutto se avviata da "superiori".
Su questo, e stranamente mi ci trovo d'accordo, si è espresso anche il ministro Valditara. Per i curiosi: https://www.corriere.it/scuola/25_aprile_28/troppi-compiti-e-verifiche-valditara-raccomanda-vietato-assegnarli-la-sera-prima-piu-coordinamento-fra-i-prof-3b7a9d60-1130-4662-a183-436fb3409xlk.shtml.
Nota a margine: molti genitori, quando il libro è stato lasciato a casa o a scuola, chiedono ancora ad altri genitori le foto delle pagine assegnate. Questo vuol dire che tanti non hanno ancora capito la magia dei libri in digitale.
Segnalo questo articolo, di cui sono co-autore, dal titolo "WAD e EAA: guida alle normative europee per l’accessibilità digitale": https://www.agendadigitale.eu/cultura-digitale/wad-e-eaa-guida-alle-normative-europee-per-laccessibilita-digitale/.
Senza presunzione, io, Chiara Ponti e Arturo Messina l'abbiamo scritto soprattutto come occasione di studiare queste due norme e capire in cosa si differenziano.
Alessandro Cosenza mi ha segnalato la pubblicazione della UNI/PdR 174:2025 "Sistema di gestione per la cybersicurezza e la sicurezza delle informazioni armonizzato alla norma UNI CEI EN ISO/IEC 27001 e al Framework NIST CSF 2.0 - Requisiti": https://store.uni.com/uni-pdr-174-2025.
Come tutte le PdR è gratuita (e non lo sapevo e su questo ho già fatto una figura di palta su LinkedIn) e questo è bene.
Si tratta di una proposta per mettere insieme ISO/IEC 27001 e le misure del NIST CSF. Non ho nulla da obiettare sulla correttezza, anzi, apprezzo il lavoro fatto.
Sono un inguaribile pessimista e temo queste cose:
Ribadisco, ahinoi, il problema che ACN continua a promuovere riferimenti nazionali e non, come previsto dal D. Lgs. 138 e anche dalla necessità dei tempi, riferimenti internazionali o almeno europei. Meno male che nel gruppo di lavoro c'era almeno Fabio Guasconi che è attivo a livello internazionale sugli standard di sicurezza delle informazioni. Sarebbe bello vedere partecipare anche ACN e Accredia, per dirne due (questa mattina, a parlare della futura ISO/IEC 27004, per l'Italia eravamo... due; un consulente e un'organizzazione utilizzatrice, nessun rappresentante di organismi di accreditamento o di certificazione e neppure delle grandi società di consulenza).
Ahimè, dovrò aggiornare il VERA con i controlli NIS2. Non credo sia possibile evitarlo.
La prima tappa è quindi cercare di correlare i controlli ISO/IEC 27001:2022 con quelli dell'implementation regulation 2024/2690 e quelli ACN.
Ho provato a farlo e ho caricato il mio tentativo qui: https://github.com/CesareGallotti/VERA.
Nella colonna "Riflessioni CEG" ho inserito alcune cose che penso di fare. Se qualcuno vuole riesaminare, criticare e dare qualche suggerimento è benvenuto. Direi entro il 25 maggio. Che poi dovrò aggiornare il tutto e poi dovrò anche aggiornare il libro e già mi sento affaticato (ma almeno su quello qualche euro lo guadagno).
PS: la prima versione di questo post è del 29 aprile. Ho aggiornato il file il 30 aprile includendo tutto il FNCDP 2025 (e ho notato che è tradotto in un italiano orrendo; chissà se non ci fosse stata di mezzo un’università cosa sarebbe stato) e ripristinando le mie note interpretative, così che possiate commentare anch’esse.
Segnalo questo articolo di Gianluca Dalla Riva dal titolo "Direttiva NIS 2: criticità della Determinazione ACN del 14/04/2025 N. 164179": https://www.studiodallariva.it/blog/perma/1745405040/article/determinazione-acn-164179.html.
Segnala ulteriori criticità relative all'applicabilità della Determinazione.
E' stata pubblicata la nuova versione della norma ISO 37001 dal titolo "Anti-bribery management systems — Requirements with
Ringrazio Monica Perego, Idraulica della privacy, per la notizia.
Non sono un esperto di questa norma, ma oggi è sempre più richiesta anche dai bandi di gara. Quindi è meglio esserne a conoscenza, anche perché alcuni punti potrebbero intersecare la sicurezza delle informazioni (separazione dei compiti, valutazione del rischio, controlli operativi), oltre a quelli dell'HLS.
In primavera sono pubblicate alcune analisi sulla sicurezza informatica e sugli incidenti. Una delle più riconosciute è quella di Verizon e può essere scaricata qui: https://www.verizon.com/business/resources/reports/dbir/.
Il rapporto è molto lungo e confesso di non averlo letto ma solo sfogliato. Leggo i 4 dati più significativi:
Qualche mia considerazione:
Sandro Sanna, che ringrazio, mi ha segnalato questo articolo dal titolo "Tranciato cavo in fibra: a Maiori aziende e hotel senza internet a Pasqua": https://www.ilvescovado.it/it/tecnologia-31/tranciato-cavo-in-fibra-a-maiori-aziende-e-hotel-154273/article.
Ci ricorda che spesso ormai si utilizzano servizi cloud, però qualche cavo potremmo averlo ancora e va protetto anche dai topi.
La norma ISO/IEC 42001 è stata tradotta in italiano e recepita come norma UNI CEI ISO/IEC 42001 con titolo "Tecnologie informatiche – Intelligenza artificiale – Sistema di gestione".
Si può trovare qui (a pagamento): https://store.uni.com/uni-cei-iso-iec-42001-2024.
Marzo e aprile sono stati mesi impegnativi per l'uomo che può fare tutto, ma non sempre ce la fa: consigli di classe, incoraggiamento per qualche test dei figli, visite mediche, eccetera.
Questo mese ho però notato che i figli chiamano sempre me per dire che stanno tornando a casa. Ogni tanto tornano nel tempo previsto (per esempio scuola - casa), ogni tanto ci mettono molto di più e mi chiedo perché mi chiamino per non dirmelo. Ogni tanto chiedono cosa c'è da mangiare e io regolarmente non lo dico (e vorrei preparare spinaci e broccoli, ma evito), ma questo non sembra influire sui tempi.
Ogni tanto mi telefonano anche per chiedere se possono stare fuori a pranzo o cena con gli amici. Ogni tanto rispondo di sì, altre volte rispondo di no, a seconda dell'ora e degli impegni previsti.
Perché telefonino a me è un mistero. Forse perché sono più spesso a casa di mia moglie.
Ricordo che è stato pubblicato il Framework Nazionale per la Cybersecurity e la Data Protection - Edizione 2025 (v2.1): https://www.cybersecurityframework.it/.
Ho già scritto le mie critiche (e neanche tutte, per fortuna dei lettori, che ne hanno già abbastanza).
In realtà sono stati pubblicati solo i controlli di sicurezza. Li ho letti e ho trovato che sono la traduzione dei controlli del NIST Cybersecurity Framework 2.0. Viene da pensare che bastava chiamarlo "traduzione del NIST CSF 2.0", non "Framework Nazionale per la Cybersecurity e la Data Protection - Edizione 2025 (v2.1)".
Però il lavoro ha una parte originale, ossia 9 controlli aggiuntivi sulla privacy (preceduti dalla sigla "DP"). Qui poi trovo una "informazione dell'interessato" che sarebbe le "informazioni da fornire agli interessati". Di più non ho voluto approfondire per evitare ulteriori lamentazioni. Mi sembra manchino però alcune cose come la cancellazione al termine dei trattamenti, un "eventualmente" sulla DPIA, la valutazione del rischio relativa alla protezione dei dati personali eccetera.
Il 14 aprile ACN ha inviato PEC per comunicare i vari soggetti se sono NIS o meno.
Sempre il 14 aprile, ACN ha pubblicato le misure tecniche e i criteri per stabilire se un incidente è significativo per i soggetti NIS: https://www.acn.gov.it/portale/w/nis-avviata-la-seconda-fase.
Ma attenzione che nella pagina indicata si trovano solo:
Per le misure di sicurezza e la descrizione degli incidenti significativi, è necessario andare da un'altra parte, ossia nella pagina: https://www.acn.gov.it/portale/nis/la-normativa.
Si trovano (comodamente) in fondo alla tabella "Principali provvedimenti attuativi D.Lgs. 138/2024".
Per i soggetti NIS che erogano servizi informatici (scusate la semplificazione) ricordo che va seguito l'implementing act 2024/2690 della Commissione europea.
Ora passiamo alle lamentele, che riassumo per non ricevere a mia volta altre lamentele:
Ringrazio gli Idraulici della privacy, che lavorano anche come Idraulici della NIS2, per gli scambi proficui di informazioni (confesso che io non ho "scambiato", ho solo "recepito").
Mi scuso per il titolo forse fuorviante. Per la notizia, do il link dell'articolo "The Trump Administration Accidentally Texted Me Its War Plans", preso da Guerre di rete: https://www.theatlantic.com/politics/archive/2025/03/trump-administration-accidentally-texted-me-its-war-plans/682151/.
In pochissime parole, un giornalista è stato inserito accidentalmente in una chat su Signal in cui i vertici del Governo USA discutevano degli attacchi militari (poi avvenuti) nello Yemen.
La notizia, a mio parere, non sta tanto nell'errore, per quanto grave. La notizia sta che viene usato un prodotto commerciale per discutere di questioni di rilevanza mondiale.
E' vero che oggi, come in passato, dobbiamo usare servizi terzi per comunicare. Ieri era il telefono, il fax o il telegrafo, oggi sono l'email, i social network e gli instant messaging. Però l'errore dimostra che forse non sono ben controllati dagli stessi partecipanti.
Forse Signal è uno strumento ottimale per comunicazioni riservate di quel livello, ma rimane la domanda se è stato selezionato accuratamente oppure, come quasi sempre succede, il potente di turno decide senza pensarci troppo ed esegue con due clic.
Il problema è che se il potente non crede alle procedure di selezione dei servizi, neanche i suoi sottoposti ci crederanno. Le conseguenze sono facilmente intuibili.
Il ragionamento andrà esteso ai servizi di intelligenza artificiale, oggi usati da tanti gratuitamente. Infatti tanti inviano documenti riservati e dati personali a questi servizi, senza pensare che saranno riutilizzati per addestrare il sistema e che potranno poi riemergere in forme impreviste e potenzialmente dannose.
Il punto è che va tutto regolamentato, ma i primi a doverci credere sono proprio i vertici dell'organizzazione. Andrebbero anche fornite valide alternative, se no le persone cercheranno comunque di seguire la strada più facile.
Per concludere, il link all’articolo di Guerre di rete: https://guerredirete.substack.com/p/guerre-di-rete-il-signalgate-oltre.
E' stata pubblicata la nuova versione del Framework Nazionale per la Cybersecurity e la Data Protection. Per ora le misure sono in formato tabellare (Excel e altri): https://www.cybersecurityframework.it/.
Ho criticato spesso l'iniziativa, sin da quando in qualche strategia nazionale si volevano proporre schemi nazionali. Non penso che questo framework sia fatto male (come tutti ha cose migliorabili), ma penso che sia anacronistico e provinciale spingere su iniziative "nazionali" su questi temi.
Non sono neanche un promotore della globalizzazione a tutti i costi, ma ormai il mercato è globale, le aziende sono globali, anche la privacy è europea e tante altre iniziative di sicurezza sono europee o internazionali. Noi invece continuiamo ad avere regole nazionali e non promuoviamo neanche iniziative internazionali (qualcuno ho visto qualcuno di ACN nei comitati ISO? no, però stanno lavorando a una norma UNI, accipicchia!).
Inizialmente pensavo ci fossero problemi di fondi o di competenze. Invece alcuni articoli dicono che i soldi ci sono e le ricerche di personale di ACN dicono che le competenze elevate ci sono. Quindi i comitati tecnici internazionali dovrebbero essere invasi da queste persone. E invece no.
Adesso hanno anche tolto i riferimenti alla ISO/IEC 27001 perché non si tratta di una norma disponibile gratuitamente. Ovviamente si tratta di un espediente per continuare a promuovere questa iniziativa nazionale basata su un'altra iniziativa nazionale (USA), contrariamente a quanto richiesto dalla normativa italiana (il D. Lgs. 138 del 2024 chiede di promuovere standard internazionali ed europei). Infatti ACN continua a promuovere certificazioni sugli stessi standard che cerca di evitare.
La questione è ridicola anche se si pensa che si potrebbero riciclare i titoli dei controlli della ISO/IEC 27001 perché tanto ormai li conoscono tutti. Insomma: una soluzione si poteva trovare.
La questione è ovviamente nata male nel 2016 e adesso non sembra più possibile tornare indietro. Meglio permanere nel provincialismo che dichiarare che si poteva fare prima con tante scuse.
E così le aziende che dovrebbero investire nell'innovare devono spendere soldi in check list, riferimenti incrociati e questionari dei clienti basati su ulteriori schemi.
Scusate lo sfogo.
La L. 213/2023 (articolo 1, comma 101), impone alle imprese di stipulare contratti assicurativi per eventi sismi, alluvioni, frane, inondazioni e esondazioni: https://www.normattiva.it/eli/id/2023/12/30/23G00223/CONSOLIDATED/20250403.
I beni da assicurare sono quelli indicati nell'articolo 2424, primo comma, sezione Attivo, voce B-II, numeri 1), 2) e 3), del codice civile (ossia Regio Decreto 16 marzo 1942, n. 262 e successive modificazioni). Sono gentile e riporto che si tratta di 1) terreni e fabbricati; 2) impianti e macchinario; 3) attrezzature industriali e commerciali.
Immagino che negli impianti o nelle attrezzature industriali si possano rintracciare i sistemi informatici. Quindi questa è una novità che riguarda molto la sicurezza delle informazioni e le misure di sicurezza.
La notizia l'ho avuta perché, con il DL 39/2025, c'è stata una proroga (figuriamoci!): per le imprese di medie dimensioni, il termine è rinviato al 1° ottobre 2025, per le piccole e microimprese, la stipula deve effettuarsi entro il 31 dicembre 2025, per le grandi imprese, la scadenza è rimasta quella del 31 marzo.
Antonio Ieranò ha scritto un articolo dal titolo "Multiutility italiane nel labirinto normativo: tra GDPR, NIS2, CRA e AI Act": https://www.linkedin.com/comm/pulse/multiutility-italiane-nel-labirinto-normativo-tra-gdpr-antonio-ieran%C3%B2-ylo4f.
Non ostante il titolo, è interessante anche per le non-multiutility: spiega bene cosa sono GDPR, NIS2, CRA e AI Act.
Su un successivo articolo di Ieranò ho avuto modo di lamentarmi che fa sembrare tutto più facile di quello che è. Anche su questo ho la stessa impressione. Ciò non toglie che ne vale la lettura.
Vorrei iniziare a fare una riflessione sulla massa di normativa che è uscita e che piano piano va applicata. Forse è troppa ma, soprattutto, come mi ha confermato Monica Perego "è il percorso burocratico che affossa".
I miei timori di qualche anno fa si stanno avverando: troppa gente incompetente (e inconsapevole di esserlo) sta producendo normativa secondaria o terziaria (se esiste; ma forse mi sono inventato io il termine), sta fornendo consigli e sta conducendo verifiche. Causa incompetenza, si concentrano di più sulla "sicurezza di carta" e sulla "sicurezza per sentito dire" che su una seria valutazione del rischio e oculate scelte di processo e tecnologiche.
Troppi sono incompetenti perché la richiesta di figure professionali sulla sicurezza è incrementata velocemente e consulenti di sicurezza di carta sono stati chiamati a formare le giovani leve che quindi continuano a proporre modelli degli anni Ottanta, misure inefficaci (spesso burocratiche) ma che richiedono tanto tempo ed energie, scarsa competenza tecnologica. Purtroppo misure dettate dall'idea che, se c'è un problema, va aumentato il controllo, non migliorato il sistema.
I tecnici si sono defilati? No, perché non hanno sviluppato le attitudini dei consulenti di fare conoscenze e rete e quindi non sono conosciuti da chi avvia i corsi di formazione e le altre iniziative. Chi ha girato per fiere, convegni e roba simile lo sa (un mio cliente era terrorizzato all'idea di andare ai convegni perché saturi di consulenti che, appena lo riconoscevano come potenziale cliente, gli si appiccicavano).
Purtroppo sono anche gli stessi che partecipano e hanno più voce nei tavoli "tecnici". Per i risultati, basti vedere come sono scritte le linee guida ACN (non entro nel merito del contenuto tecnico, ogni tanto anche apprezzabili; troppo spesso sature di inutili richieste documentali). Anche molti standard ISO e non ISO soffrono dello stesso problema.
Così stiamo creando un mostro burocratico e non un circolo virtuoso di innovazione. Questo è un vero peccato.
Per intenderci: io stesso sono un consulente di "sicurezza di carta" e penso che "un po'" di carta sia utile e necessaria per governare e controllare. Sono il primo ad applaudire alle norme che proteggono la privacy e la sicurezza delle persone. Il problema è quando si esagera.
Da questo post su LinkedIn ho trovato questa notizia interessante: https://www.linkedin.com/feed/update/urn:li:activity:7310751324701155328/
L'ho trovata confermata in siti in tedesco (che non leggo) e anche da questo articolo in inglese dal titolo "Data deleted - printing company in Sarn has to close for good": https://www.bluewin.ch/en/news/data-deleted-sarnen-printing-company-has-to-close-for-good-2622823.html.
Copio dal post di Massimo Zaffaroni: Abächerli Media AG, storica tipografia svizzera, ha annunciato la chiusura e la perdita del posto di lavoro per circa trenta persone dopo che, nel 2022, il partner IT ha cancellato tutti i dati e le applicazioni aziendali, inclusi i backup.
So che esco un po' di tema, ma l'iniziativa de "Il Manifesto della comunicazione non ostile" mi sembra molto interessante: https://www.paroleostili.it/manifesto-della-comunicazione-non-ostile.
Riguarda anche la comunicazione online ed è stato declinato per aziende, l'inclusione, l'infanzia, l'intelligenza artificiale, la politica, la pubblica amministrazione, la scienza e lo sport. E' stato anche tradotto in diverse lingue.
Sull'ISACA Journal, volume 1, 2025, un articolo segnala la disponibilità del report dell'U.S. Department of Homeland Security "Review of the Summer 2023 Microsoft Exchange Online Intrusion": https://www.cisa.gov/resources-tools/resources/CSRB-Review-Summer-2023-MEO-Intrusion.
Nell'estate 2023, un attore di minaccia con intenti di spionaggio compromise e accedette senza autorizzazione a molte caselle email su servizi cloud. Questo avvenne perché usarono una chiave non valida del Microsoft Service Account. La questione è molto tecnica e non cerco neanche di capirla fino in fondo.
La parte interessante riguarda alcune raccomandazioni, fatte anche a seguito del confronto con altri fornitori di servizi cloud. Le prime possono essere considerate generali, richiedendo alla Direzione di Microsoft di concentrarsi maggiormente sulla sicurezza, ma sono anche molto specifiche quando richiedono a Microsoft di "deprioritize feature developments across the company’s cloud infrastructure and product suite until substantial security improvements have been made".
Ancora, richiedono a Microsoft di fornire, in alcuni casi anche gratuitamente, agli utenti strumenti di logging (con tempi di conservazione di almeno 6 mesi), di raccolta prove e di rilevazione di attacco.
Per quanto riguarda il reporting, la raccomandazione 15 richiede: "CSPs should be transparent to U.S. government agencies, customers, and other stakeholders on what they know as well as what they do not know when initially investigating a cyber incident", esplicitando il fatto che la reticenza non è accettabile. Nella 16 richiede poi che "CSPs should promptly correct significant factual inaccuracies as they discover them in their public or customer statements".
Il 13 marzo sono andato al Security summit. Alle 12.20 avevo un intervento con Fabio Guasconi e alle 14.20 volevo assistere al seminario di DFA (di cui sono consigliere) dal titolo "AI forensics, una soluzione?".
Era anche una bella occasione per rivedersi tra Presidente (Maria Elena Iafolla), ex presidenti (io, Mattia Epifani e Valerio Vertua) dell'associazione e anche altri consiglieri (cito Federico Lucia).
Però la moglie ha avuto una promozione (evviva!), un cambiamento di sede e di collaboratori e non poteva stare in casa. Il pargolo adolescente aveva in programma un bel filotto di verifiche e interrogazioni per i successivi giorni e molta poca voglia di studiare. Era necessario che qualcuno stesse in casa ad aiutarlo a concentrarsi: è toccato a me.
Ovviamente il seminario di DFA è andato benissimo e i miei amici si sono trovati benissimo anche senza di me.
Dalla newsletter di Project:IN Avvocati, copio come segue: "È stata pubblicata la terza bozza del Codice di condotta generale per l’intelligenza artificiale, uno strumento volontario pensato per aiutare i fornitori di modelli di IA a dimostrare la conformità con l’AI Act europeo, in vista della sua piena applicazione da agosto 2025. Rispetto alle versioni precedenti, questa bozza è più snella, strutturata e dettagliata, con impegni chiari e misure attuative. Sottolinea l'importanza di un equilibrio tra chiarezza e flessibilità per adattarsi all’evoluzione tecnologica, e di ecosistemi di governance per una gestione condivisa del rischio. La pubblicazione è accompagnata da un riepilogo esecutivo e un sito web interattivo per facilitare il coinvolgimento degli stakeholder. Il testo finale è previsto per maggio 2025. Il Codice, pur essendo volontario, rappresenta un strumento strategico per sostenere la transizione normativa e promuovere fiducia, responsabilità, sicurezza e trasparenza. Il processo resta aperto al contributo attivo delle parti interessate, in linea con l’approccio partecipativo dell’UE per un’IA etica e sicura".
Come è noto, non apprezzo le bozze, ma credo che questa sia utile a chi deve muoversi nell'attesa della versione definitiva.
La pagina di riferimento è questa: https://digital-strategy.ec.europa.eu/en/library/third-draft-general-purpose-ai-code-practice-published-written-independent-experts. I documenti sono in inglese.
Copio e incollo (senza pudore) dalla newsletter Project:IN Avvocati: "La Commissione europea ha pubblicato le clausole contrattuali modello (MCC) aggiornate per l'intelligenza artificiale (IA), distinguendo tra sistemi di IA ad alto rischio e non ad alto rischio, quali misure provvisorie fino a quando l'IA Act non sarà pienamente applicabile".
Le MCC si possono scaricare da qui, in tutte le lingue della UE: https://public-buyers-community.ec.europa.eu/communities/procurement-ai/resources/eu-model-contractual-ai-clauses-pilot-procurements-ai.
La settimana del 10 marzo si sono tenuti i meeting semestrali del ISO/IEC JTC SC 27 WG 1 (che gestisce le norme della serie ISO/IEC 27000) e WG 5 (che gestisce le norme relative alla privacy).
Per quanto riguarda il WG 1, sono state discusse le seguenti norme:
Per quanto riguarda il WG 3, confermo che non ne seguo i lavori, ma credo sia utile sapere che è prevista la nuova versione della ISO/IEC 15408 (i Common Criteria) per primavera 2026.
Per quanto riguarda il WG 5, ossia gli standard relativi alla privacy, segnalo quanto segue:
Segnalo questo articolo dal titolo "Intelligenza artificiale, certificazione per gli esperti di etica": https://www.altalex.com/documents/news/2025/03/10/intelligenza-artificiale-certificazione-esperti-etica.
Ho il dubbio che si stia inventando una figura professionale inutile. In compenso, sono sicuro dell'utilità delle riflessioni sulle competenze di chi si occupa di intelligenza artificiale.
È stato pubblicato il D. Lgs. n. 23/2025, che adegua la normativa italiana al Regolamento DORA: https://www.normattiva.it/eli/id/2025/03/11/25G00032/ORIGINAL.
Segnalo l'articolo di Altalex per una (credo) buona sintesi: https://www.altalex.com/documents/2025/03/13/decreto-dora-g-u-autorita-competenti-poteri-vigilanza-sanzioni.
AgID ha pubblicato la "Bozza di linee guida per l’adozione di IA nella pubblica amministrazione" per una consultazione pubblica: https://www.agid.gov.it/it/notizie/intelligenza-artificiale-in-consultazione-le-linee-guida-pa.
Non l'ho letta né la leggerò perché è una bozza per consultazione pubblica, non la versione definitiva. Però in molti la stanno segnalando e non vorrei sembrare non aggiornato. Spero che la stessa solerzia si ripeterà quando sarà pubblicata la versione definitiva (anche se sappiamo che troppo spesso questo non succede).
Il Clusit ha pubblicato il suo "Rapporto sulla cybersecurity in Italia e nel mondo" 2025: https://clusit.it/rapporto-clusit/.
A parte le solite statistiche la cui utilità mi sfugge (lo sappiamo da più di 20 anni che viviamo in una foresta oscura), ho trovato particolarmente interessanti:
Il 11-13 marzo, a Milano, si tiene il Security Summit: https://securitysummit.it/milano-2025.
Io parteciperò il 13 marzo, alle 12.20, insieme a Fabio Guasconi, al seminario UNINFO "Norme tecniche, cosa ci attende nel 2025".
Ricordo che sono anche consigliere DFA, che ha organizzato, sempre il 13 marzo, ma alle 14.20, un intervento dal titolo "AI forensics, una soluzione?" con Maria Elena Iafolla, Mattia Epifani e Valerio Vertua. Loro sono sempre tutti bravissimi e propongono questioni interessanti.
Bel caso di sistema di gestione delle porte di un edificio esposto su Internet e con troppe password di default mai cambiate: https://www.ericdaigle.ca/posts/breaking-into-dozens-of-apartments-in-five-minutes/.
Siamo ancora lì, ad avere password di default non cambiate al primo accesso.
Dalla newsletter Project:IN Avvocati, segnalo che la Banca d'Italia, con una Comunicazione del 23 dicembre 2024, ha messo a disposizione un modello per l'autovalutazione rischi ICT ai sensi del Regolamento DORA: https://www.bancaditalia.it/media/notizia/istruzioni-operative-relative-alle-valutazioni-previste-dalla-comunicazione-al-mercato-in-materia-di-sicurezza-ict/.
Non sono assolutamente un esperto di DORA, ma penso sia utile saperlo.
Segnalo questo sito con alternative europee ai servizi informatici più diffusi e residenti negli USA: https://european-alternatives.eu/.
In questo periodo meglio essere preparati.
Grazie ad Alessandro Vallega di Rexilience per la segnalazione.
Segnalo la pubblicazione di un mio articolo dal titolo "Amministratori di sistema: l’inutile pratica di richiedere nominativi": https://www.agendadigitale.eu/sicurezza/amministratori-di-sistema-linutile-pratica-di-richiedere-nominativi/.
Volevo togliermi un sassolino dalla scarpa.
Oggi vorrei parlarvi dei nonni, croce e delizia degli uomini che possono fare tutto, ma non sempre ce la fanno. Li viziano e non seguono le istruzioni, ma intervengono quando c'è bisogno di loro, anche quando gli acciacchi riducono la loro disponibilità.
Così ringrazio mia mamma che è andata a prendere degli esami medici di un figlio in un periodo in cui noi genitori non potevamo passare a prenderli dalle 9 alle 16.30, mio suocero che è andato a prendere un figlio di ritorno dagli scout mentre io ero con l'altro al calcio, tutti e quattro i nonni che tengono compagnia ai nipoti quando noi siamo impegnati.
Questo mese è andato così. Che è arrivato il momento di dire che anche i nonni possono fare tutto, ma è bene non farglielo fare, visto che tocca a noi adesso fare i genitori. Ed è anche il momento di ringraziarli di cuore.
Il giovedì 27 febbraio terrò un intervento su "NIS2: Normativa applicabile all’IT": https://www.coretech.it/it/service/event/eventDetail.php?ID=1223.
In realtà, si parlerà anche di NIS2, ma non solo. Però l'hanno messo davanti al titolo perché oggi sembra richiamare maggiormente l'attenzione.
Dice 10.30 - 11.30, ma potremmo andare avanti più a lungo, ma non oltre l'ora di pranzo.
Io ho preso questi appunti: L’applicabilità della NIS 2 dipende in larga parte dalla dimensione dell’impresa. La clausola di salvaguardia consente alle imprese di richiedere una deroga al calcolo delle dimensioni aziendali (dipendenti, fatturato e bilancio) tenendo conto del grado di indipendenza dai sistemi informativi e di rete delle imprese collegate. Questo per le organizzazioni che, pur facendo parte di un gruppo, operano in modo indipendente. L’esempio tipico è quello di un’azienda che appartiene a un gruppo, ma non utilizza i sistemi informatici del gruppo (https://www.studiolegaledelliponti.eu/guida-pratica-alla-registrazione-dei-soggetti-nis2-sul-portale-acn/).
Hanno approvato il DPCM 221 del 2024 per specificare meglio le condizioni: https://www.normattiva.it/eli/id/2025/02/10/25G00017/ORIGINAL.
La notizia l'ha data Filippo Bianchini agli Idraulici della privacy. Ma non era lui in ritardo, è il DPCM che è stato pubblicato in GU solo il 10 febbraio 2025.
La Commissione europea ha pubblicato due documenti.
Il primo ha titolo "Guidelines on prohibited artificial intelligence (AI) practices": https://digital-strategy.ec.europa.eu/en/library/commission-publishes-guidelines-prohibited-artificial-intelligence-ai-practices-defined-ai-act.
Il secondo ha titolo "Guidelines on AI system definition": https://digital-strategy.ec.europa.eu/en/library/commission-publishes-guidelines-ai-system-definition-facilitate-first-ai-acts-rules-application.
Temo che saremo travolti da pubblicazioni anche ponderose (il primo è di 150 pagine, per un Regolamento già molto lungo e complesso; il secondo è almeno di sole 13 pagine). Purtroppo manca una pagina, aggiornata e facile da consultare, sul sito web della Commissione. Per il momento, ho scoperto che si può usare il seguente link (dove 25 è il tipo "Policy and legislation" e il 119 è l'argomento "Artificial intelligence"): https://digital-strategy.ec.europa.eu/en/related-content?type=25&topic=119. La ricerca fornisce anche altri documenti, ancora più specifici.
Ho ricevuto notizie da varie fonti in merito a queste linee guida. Cito Franco Vincenzo Ferrari (via email) e alcuni post su LinkedIn.
Il Ministero degli interni ha emanato il DECRETO 21 gennaio 2025 con titolo "Adozione delle linee guida per la prevenzione degli atti illegali e di situazioni di pericolo per l'ordine e la sicurezza pubblica all'interno e nelle immediate vicinanze degli esercizi pubblici": www.gazzettaufficiale.it/eli/id/2025/01/25/25A00562/sg.
Non l'ho letto, ma ho letto il commento molto polemico di Christian Bernieri: https://garantepiracy.it/blog/kapo/.
Non mi occupo di sicurezza pubblica e non lo farò. Però questo mi sembra un bell'esempio di fuffa-sicurezza, che vedo anche in molte aziende: un codice di condotta che nessuno leggerà, videosorveglianza dappertutto, timbri per riconoscere i visitatori (qui i minori, ma il concetto è lo stesso) ma non per riconoscere gli altri.
Mi hanno segnalato un articolo interessante dal titolo "Allarme negli ospedali, dispositivi medici mandano dati dei pazienti in Cina": https://www.tomshw.it/hardware/allarme-negli-ospedali-dispositivi-medici-mandano-dati-dei-pazienti-in-cina-2025-01-31.
L'avviso originale della CISA è questo: https://www.cisa.gov/resources-tools/resources/contec-cms8000-contains-backdoor.
Mi pare interessante anche il commento di una persona che si occupa di marcatura CE di dispositivi medici: "la cybersecurity è ormai un problema serissimo in questo campo e la nostra analisi ai fini della marcatura CE non avrebbe mai e poi mai trovato questa "cosuccia". Forse facendo dei vulnerability assessment e penetration test durante un uso intenso del dispositivo un buon laboratorio avrebbe potuto vedere qualcosa, ma i cinesi sono stati furbi ad usare la porta tipicamente usata per la trasmissione HL7 in ambito sanitario. Oltre a ciò, i VA-PT sono commissionati dal fabbricante e non dall'organismo che verifica".
Questo mi fa ripensare alla mia denuncia sulla "sicurezza di carta", di cui sono vittime anche le marcature CE: tante check list, tante analisi documentali, mentre forse si potrebbero ridurre in favore di VA-PT più tecnologici.
Segnalo il Provvedimento del 27 novembre 2024 [10095810] del Garante privacy: https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/10095810.
La notizia sulla newsletter del Garante ha titolo "Data breach, FSE Molise: le sanzioni del Garante privacy": https://www.gpdp.it/home/docweb/-/docweb-display/docweb/10095854#2.
In due parole: il servizio web di Fascicolo sanitario elettronico della Regione Molise presentava un bug, sfruttato da una persone per visualizzare altre pratiche.
Il Garante ha sanzionato, oltra al titolare Regione Molise e il responsabile Società Molise dati anche Engineering Ingegneria Informatica S.p.A. (che a sua volta era responsabile di un responsabile della Società Molise dati, ossia il sub3-responsabile), che aveva in manutenzione il servizio.
La cosa interessante è che Engineering è stata sanzionata perché "omettendo di mettere in atto misure tecniche [...] come previsto anche dall’atto di nomina a responsabile" e perché "avrebbe dovuto -nell’ambito dei doveri di ordinaria diligenza- adottare misure adeguate, e verificarne l’efficacia con l’esecuzione di opportuni casi di test".
Ecco quindi che il responsabile non deve seguire pedissequamente le istruzioni del titolare, ma farsi carico dei "doveri di ordinaria diligenza".
In tanti stanno divulgando la notizia sulla pubblicazione della bozza delle "Guidelines 01/2025 on Pseudonymisation" di EDPB: https://www.edpb.europa.eu/our-work-tools/documents/public-consultations/2025/guidelines-012025-pseudonymisation_en.
Sono in bozza e in attesa di commenti che possono essere spediti entro il 28 febbraio 2025.
Io le bozze non le leggo. A mio parere vanno lette solo da chi vuole inviare commenti e solo per quello (abbiamo già visto i danni di chi invece ha lavorato sulle bozze del GDPR e altre bozze e schemi).
Il Consiglio dell'UE ha adottato un nuovo atto legislativo sullo scambio dei dati sanitari e l'accesso a livello dell'UE: https://www.consilium.europa.eu/it/press/press-releases/2025/01/21/european-health-data-space-council-adopts-new-regulation-improving-cross-border-access-to-eu-health-data/.
La notizia l'ho avuta dalla newsletter di Project:IN Avvocati via LinkedIn.
Spero che verrà diffuso il numero del Regolamento quando sarà pubblicato.
Segnalo la mia presentazione "Aggiornamento legislativo 2025" (pdf, 2,2 MB): https://www.cesaregallotti.it/Pdf/Pubblicazioni/2025-Aggiornamento-legislativo-20250126.pdf.
E' una presentazione sulla normativa legale applicabile all'IT, con alcuni riferimenti all'applicabilità alle certificazioni ISO 9001, ISO/IEC 27001 e non solo.
Ho anche aggiornato i miei appunti sulla NIS2 e il suo recepimento italiano: https://www.cesaregallotti.it/Pdf/Pubblicazioni/2024-NIS-2-Appunti%20Cesare-recepimento-ITA.pdf.
Questa volta parlo di orientamento alle superiori. Spesso si investe il sabato mattina nel visitare alcune scuole. Fortunatamente abbiamo limitato il numero e siamo arrivati a una scelta senza troppi sacrifici.
Però abbiamo dovuto integrare questa scelta con un ulteriore incontro un giovedì pomeriggio, fissato il venerdì prima. Ho dovuto spostare 3 appuntamenti, tipo gioco del 15, considerando che alcuni clienti hanno un audit a breve e quindi avevo un'agenda fitta e con pochi spazi di manovra. Ma sono stati tutti molto gentili.
Mia moglie ha ovviamente partecipato, perché se i genitori sono due, anche se possono fare tutto, alcune cose devono farle insieme. Lei aveva preso ferie quel giorno, ma il suo capo aveva una questione urgente ed è venuto a prendersi un aperitivo sui Navigli pur di parlarle. Trovo interessante questo fatto che tutti si sono adeguati a fronte di certe esigenze.
EDPB ha approvato il 17 dicembre il "Parere 28/2024 su alcuni aspetti della protezione dei dati relativi al trattamento dei dati personali nel contesto dei modelli di IA": https://www.edpb.europa.eu/our-work-tools/our-documents/opinion-board-art-64/opinion-282024-certain-data-protection-aspects_en.
Questo Parere affronta le questioni relative al trattamento dei dati personali durante lo sviluppo e l'implementazione dei modelli di IA.
Segnalo questo articolo molto sintetico: https://www.airia.it/post/la-decisione-edpb-sulla-protezione-dei-dati-personali-nell-ai-generativa.
Ringrazio Christian Bernieri per averlo segnalato agli Idraulici della privacy. Christian trova significativa soprattutto la risposta alla quarta domanda, relativa all'uso di modelli di IA creati, aggiornati o sviluppati utilizzando dati personali trattati illegalmente.
Nella newsletter di dicembre 2024 del Garante, una notizia ha titolo "No a foto di minori di 14 anni sui social senza il consenso di entrambi i genitori. Il Garante ammonisce un padre": https://garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10076607#3.
La sintesi: Per postare sui social network immagini che ritraggono minori di 14 anni è necessario il preventivo consenso di entrambi i genitori. Invece se il minore ha compiuto quattordici anni la normativa italiana gli riconosce la facoltà di decidere autonomamente sulla pubblicazione.
Il Provvedimento del 13 novembre 2024 [10076481]: https://garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10076481.
Il SANS NewsBites Vol. 27 Num. 03 segnala che è stato lanciato il US Cyber Trust Mark Program: https://www.sans.org/newsletters/newsbites/xxvii-3/.
Qualche dettaglio in più è fornito dalla pagina della Casa Bianca: https://www.whitehouse.gov/briefing-room/statements-releases/2025/01/07/white-house-launches-u-s-cyber-trust-mark-providing-american-consumers-an-easy-label-to-see-if-connected-devices-are-cybersecure/.
Se ho capito correttamente, i requisiti tecnici sono riportati molto sinteticamente dal documento "Profile of the IoT Core Baseline for Consumer IoT Products": https://csrc.nist.gov/pubs/ir/8425/final.
Non mi sembra chissà cosa, da quello che ho capito. Ho sempre il timore che tutto si ricondurrà alla "sicurezza di carta", visto che i requisiti tecnici sono pochi e generici, mentre quelli documentali sono tanti e precisi.
Vedremo poi quanto si affermerà questo schema, considerando che anche l’EU sta cercando di elaborarne con il CRA (il Cybersecurity act neanche lo considero, visto quanto è lento).
E' stato pubblicato un mio articolo dal titolo (non mio, perché lo ritengo troppo spavaldo) "Data breach Infocert, ecco gli errori che fanno ancora tutti (o quasi)": https://www.agendadigitale.eu/sicurezza/data-breach-infocert-perche-non-e-solo-un-problema-aziendale/.
Nell'articolo non ho inserito i ringraziamenti a Aldo Colamartino che per primo mi aveva scritto per chiedermi alcune riflessioni sull'evento e a Silvia Canzi per avermi inviato il link a un buon articolo di analisi (https://www.cybersecurity360.it/nuove-minacce/infocert-data-breach-che-e-successo-e-quali-rischi-per-milioni-di-italiani/), per quanto possibile fare finora.
Devo aggiungere, rispetto a quanto pubblicato, che ero rimasto molto sconfortato dagli interventi di alcuni esperti di sicurezza, anche molto competenti, perché avevano postato commenti generici, superficiali, spesso supponenti e, quindi, inutili. Probabilmente le persone non competenti sono state favorevolmente colpite da questi commenti e dai giudizi spietati, ma altri vedono il vuoto di chi o non sa come funziona la sicurezza o fa finta di ignorarlo pur di dire qualcosa.
Troppi commenti, preferendo puntare su lamentazioni generiche, sembravano scritti da persone ignare dei problemi delle aziende e dei gruppi di aziende, tra cui: limiti di budget, scarsa consapevolezza del top management, carenza di risorse, carenza di competenze, complessità dei gruppi di aziende e dei rapporti tra i loro componenti, confusione per i troppi riferimenti normativi e tecnici.
Basterebbe essere stati
coinvolti in una delle tante questioni relative alla sicurezza che
pongono le aziende e aver partecipato ad almeno una riunione per cercare
una soluzione a una qualsiasi di queste questioni per capire che nulla è
tanto semplice. E forse per avere un po' più di compassione nei
confronti di chi subisce un incidente (anche se è tanto grande).
Dispiace vedere che anche persone competenti non riescono a fermarsi dal commentare qualsiasi cosa, anche senza avere niente da dire. Dispiace vedere che un incidente di sicurezza diventi il centro di un circo e non un momento di vera riflessione.
Mi si scusi per questo sfogo. Spero che però le riflessioni più tecniche pubblicate da Agenda Digitale possano essere di interesse.
