Sviluppo software, intelligenza artificiale e sicurezza

Roberto Piazzolla e Alessandro Vallega, il 12 gennaio 2026, hanno tenuto un webinar per il Clusit dal titolo "Vibe coding: programmare con l'AI, tra opportunità e rischi": https://clusit.it/blog/webinar-vibe-coding-programmare-con-lai-tra-opportunita-e-rischi/

Purtroppo è disponibile solo agli iscritti al Clusit. 

Posso dire che hanno parlato dei problemi di sicurezza del codice sviluppato con il supporto dell'IA.

Non mi dilungo oltre perché il contenuto è decisamente tecnico. Però posso riportare alcune raccomandazioni:

• bisogna formare i programmatori sulla sicurezza e i limiti dell'IA; inutile (e sbagliato) vietarla;
• se si usa il vibe coding, ossia si delega all'IA lo sviluppo o parte di esso, il lavoro si sposta sulla fase di test, funzionale e di sicurezza, e quindi il processo di sviluppo deve essere adattato (anche tecnologicamente, per esempio usando un'IA anche per i test);
• i possibili errori dell'IA implicano la necessità di segregare gli ambienti di sviluppo, test e produzione,
• effetto psicologico 1, sindrome dell'impostore: i programmatori si impauriscono quando vedono che l'IA, in alcuni casi, fa meglio di loro; ma questo solitamente succede a quelli bravi, quindi, se uno ha paura, vuol dire che è bravo e non deve aver paura;
• effetto psicologico 2, sindrome di Dunning-Kruger: i programmatori pensano di essere più bravi di quello che sono perché aiutati dall'IA; questo solitamente succede a quelli non bravi, quindi va prestata molta attenzione al fatto che potrebbero non controllare correttamente;
• effetto psicologico 3: il programmatore potrebbe non essere più soddisfatto dal proprio lavoro, visto che l'IA fa le cose divertenti (risolvere problemi), e poi, senza più la dopamina scatenata dalla gioia di risolvere problemi, potrebbe lavorare male e questo va affrontato.

I maschi possono fare tutto (marzo 2026)

Segnalo il libro di Riccardo Marco Scognamiglio e Simone Matteo Russo dal titolo "Adolescenti digitalmente modificati (ADM), del 2018 e per l'editore Mimesis.

E' interessante, nonostante i troppi paroloni e un orientamento verso gli operatori e non ai genitori (nonostante la copertina accattivante). 

Prima caratteristica degli Adolescenti digitalmente modificati (ADM) è, ovviamente l'uso dei dispositivi informatici. Primo effetto: sono abituati a reagire sempre più rapidamente agli stimoli visivi. Effetto successivo: la motivazione è sempre più legata al piacere immediato. 

Nella pratica, questo lo si vede perché i ragazzi cercano stimolazione, per esempio attraverso comportamenti di disturbo in classe. 

Altro effetto della costante reattività è che non permette lo sviluppo di un pensiero prospettico. Quarto effetto: pensare al futuro mette angoscia. Quindi, ancora, l'angoscia viene riempita (come un gatto che si morde la coda) con il partecipare a chat e ambienti di confronto veloci, dove nulla è approfondito.

Seconda caratteristica, i ragazzi fanno sempre meno esperienza di rapporti in cui sforzarsi d'inventare modi per trascorrere creativamente del tempo insieme. Questo in parte per la ricerca di rapporti veloci e superficiali e in parte perché sono sempre più organizzati con scuola e corsi post-scolastici o attaccati a TV o dispositivi IT. Effetto sono le difficoltà sociali, visto che la socialità richiede pazienza e capacità di organizzazione (rimane un desiderio sociale ed è per questo che vanno a scuola). Effetto del rifiuto della fatica emotiva è il non riconoscimento dell'altro. Quindi sono disinibiti, non per coraggio, ma perché non riconoscono l'altro. 

Il disinteresse per l'altro insieme alla ricerca del piacere immediato porta all'esibizionismo anche eccessivo (anche mettendo a disposizione foto intime) e il menefreghismo (l'importante è piacersi e avere prove di piacere, non il resto).

Quindi ancora si nota il mancato adattamento alle situazioni e al contesto (nota mia: infatti i bambini e i ragazzi non sembrano capire assolutamente che è necessario comportarsi in modo leggermente diverso con persone o in posti diversi). 

Altro aspetto è l'appiattimento delle gerarchie, dove tutti si danno del tu, non dovuto alla digitalizzazione, ma sicuramente facilitato e amplificato dall'uso dei social e dei forum online. Effetto noto sono le contestazioni agli esperti. In famiglia, dall'altra parte, i genitori tendono a essere molto accomodanti e a fare gli amici (a mio parere, le ragioni sono anche altre) e questa mancanza di costrizioni non invita la separazione dai genitori.

Ritornando a prima, i ragazzi evitano le emozioni e le evitano con il menefreghismo, ma poi si presentano, per esempio con la bocciatura a scuola o "no" dei genitori e il risultato è un'esperienza traumatica. 

L'uso di pc e tv ha altri effetti:

• toglie il piacere ricavato dallo sforzo di immaginazione;
• la capacità mnemonica si riduce poiché la possibilità di recuperare in ogni momento le informazioni non crea il bisogno di memorizzarle (nota mia: questa era anche la critica ai libri, tanti e tanti secoli or sono).

Cause della mancata regolazione sono anche le sregolatezze non digitali (mangiare cibo spazzatura, mangiare senza orari fissi, cambiamenti nei ritmi sonno-veglia soprattutto nel fine settimana, postura scorretta) ed effetti sono anche la ricerca del gioco e il consumo dell'alcool e di sostanze (nota mia: però queste cose c'erano anche negli anni Ottanta); 

Cosa fare? Il libro ha una parte sul cosa fare, ma è destinata agli psicologi o psicoterapeuti. Però qualche cosina l'ho trovata:

• a fronte dei "no" e dei limiti, l'adulto deve considerare il ragazzo e le sue risposte e non deve essere impositivo senza spiegazioni (tra l'altro, alcune cose che imponiamo come genitori sono cose che a noi davano disagio da ragazzi, quindi è forse il caso di ripensarci);
• sicuramente l'approccio dei docenti che cercano di governare i ragazzi con ribassi o rialzi della richiesta didattica non è funzionale, visto che non sta arginando la demotivazione né sta facilitando la gestione dei comportamenti (nota mia: questo l'avevo capito anche io!);
• è compito degli adulti mettere dei limiti che, tra l'altro, portano il ragazzo al confronto, necessario per valutare le norme imposte; inoltre i limiti proteggono e permettono di valutare i loro vantaggi e svantaggi e poi fare scelte responsabili (infatti, dicono, la libertà non è direttamente proporzionale al senso di benessere, visto che il benessere è determinato dalla capacità di buon adattamento).

USA, Trump e l'uso dell'IA

Segnalo questo articolo dal titolo "Trump ha dichiarato guerra ad Anthropic. E la safety dell'AI è diventata un reato": https://avvocatogiovannapanucci.substack.com/p/trump-ha-dichiarato-guerra-ad-anthropic.

Più che di sicurezza informatica, delle informazioni o cyber o di rischi dell'IA, qui il punto di discussione è la cosiddetta sovranità digitale. Di più ribadisco quanto già detto in precedenza: se non ci muoviamo (come Europa, ovviamente), rimarremo subordinati, ossia sfruttati e destinati a deperire.

Tassonomia incidenti ACN per Legge 90

ACN ha pubblicato la tassonomia degli incidenti per la Legge 90: https://www.acn.gov.it/portale/w/legge-90/2024-adottata-la-tassonomia-degli-incidenti-che-fanno-scattare-l-obbligo-di-notifica.

Un obiettivo era quella di allinearla a quella degli incidenti NIS. Infatti dicono che questa tassonomia è relativa alla L. 90 ed è coerente con la Determinazione ACN n. 379907 sugli incidenti NIS, rileva  anche  ai  fini dell'adempimento dell'obbligo di notifica degli incidenti NIS. 

Ciò non toglie che rimangono in vigore due Determine (o Determinazioni) sugli incidenti:

• la 379907 del 19 dicembre sugli incidenti NIS;
• la 9 febbraio 2026  sugli incidenti L. 90 (e senza la dignità di avere un suo numero, ma solo una data).

Se ne poteva fare una unica o far riferimento a quella per la NIS.

E poi la determina per la L. 90 è leggermente diversa da quella NIS, visto che quella NIS ha un’ulteriore tipologia di incidente per i soggetti essenziali (quello sugli accessi non autorizzati e abuso di privilegi).

E già che sto criticando, aggiungo che sulla Legge 90, non mi sembra che ACN abbia messo a disposizione una pagina web.

CERT-EU Cyber Threat Intelligence Framework

Segnalo questo post dal titolo "Il CERT-EU introduce un Cyber Threat Intelligence Framework":
https://www.linkedin.com/feed/update/urn:li:activity:7431656886808125440/.

Il CERT-EU Cyber Threat Intelligence Framework è qui:
https://www.cert.europa.eu/publications/threat-intelligence/cyber-threat-intelligence-framework/.

Si tratta di uno schema per la classificazione le minacce tecnologiche.

17-19 marzo: Security summit a Milano

Dal 17 al 19 marzo a Milano c'è il Security Summit, organizzato dal CLUSIT.

Io sarò lì il 19 anche per vedere e, in un caso, presentare due amici-colleghi-professionisti della:

• incontro con Uninfo (11.20): https://securitysummit.it/milano-2026/security-summit-milano-2026-seminario-uninfo;
•  incontro con Digital Forensics Alumni  (15.20): https://securitysummit.it/milano-2026/security-summit-milano-2026-digital-forensics-per-la-gestione-degli-incidenti.

Spero di venire anche il 18 alle 14 per "Risorse e prospettive sull’Intelligenza Artificiale" perché verrà presentato un progetto a cui ho preso parte (però forse sono a fatturare): https://securitysummit.it/milano-2026/risorse-e-prospettive-sullintelligenza-artificiale.

I maschi possono fare tutto (Febbraio 2026)

Ho scoperto che a inizio anno le scuole inseriscono feste e spettacoli. Solitamente questo succedeva a maggio, insieme alla comunioni e alle cresime. Ma ormai tutto è saltato (il mio figlioccio ha fatto la cresima a ottobre, addirittura).

Quindi bisogna, a sorpresa, trovare camicie bianche piccoline e papillon rossi fuori stagione (qualche anno fa se ne occupò mia moglie, ma, appunto, era maggio e i negozi erano ben preparati). Ovviamente i figli non segnalano queste richieste con anticipo, ma solo un paio di giorni prima. 

Ce l'ho fatta, ma è veramente il momento di guardare con nostalgia al passato, quando le scuole non prendevano queste iniziative (e forse i ragazzi, i genitori e anche gli insegnanti erano meno stressati).

ENISA EU ICT Supply Chain Security Toolbox

Il NIS Cooperation Group di ENISA ha pubblicato il "EU ICT Supply Chain Security Toolbox": https://digital-strategy.ec.europa.eu/en/library/toolbox-improve-ict-supply-chain-security.

Ringrazio Franco Vincenzo Ferrari per avermelo segnalato. 

Si tratta di un documento di presentazione generale e 2 documenti esemplificativi (sui veicoli automatizzati e sui dispositivi di rilevazione) che illustrano alcune modalità per controllare la catena di approvvigionamento ICT.

L'ho trovato molto confuso:

- il documento presenta 11 scenari di rischio in parte molto specifici (da aggiungere, forse, a quelli per i veicoli automatizzati e i dispositivi di rilevazione) in parte generici; essi sembrano essere casi reali di minacce, che forse sono quelle presentate in Appendice 1;

- gli scenari sono seguiti da 7 misure decisamente generiche, senza che aiutino a capire come selezionare e monitorare i fornitori;

- gli altri due documenti sembrano slegati dal primo; tra l'altro, non ho capito neanche tanto bene cosa sono i "detection equipment", visto che non c'è una definizione; essi seguono tassonomie diverse dal documento generale. 

La lettura, se non si cerca uno schema specifico, è comunque interessante. Segnalo poi, nel documento generale, il paragrafo 1.4 (Legal framework and policy measures) che mette in fila le diverse normative europee relative alla sicurezza informatica.

Moltbook

Mooltbook è un social network per agenti IA, ossia sistemi di IA che non solo presentano risposte, ma agiscono. I casi più noti sono forse alcune estensioni di Claude che, se collegato a un browswer, compila form per l'utente.

La cosa è divertente perché si può vedere come le IA socializzano e viene un brivido immaginando a come si potrebbe sviluppare Skynet. Però, nell'oggi, questo ci ricorda di prestare sempre molta attenzione a come usiamo l'IA, visto che permetterle l'accesso a dati critici e autorlizzarla ad agire come meglio crede presenta molti rischi.

Ringrazio Marco Gemo per avermi segnalato la questione.

Io, a mia volta, segnalo questo articolo dal titolo "Moltbook, ovvero cosa succede quando metti un milione di agenti AI in un social network tutto per loro": https://www.wired.it/article/moltbook-social-agenti-ai-openclaw-come-funziona-rischi/.

La versione originale in inglese ha titolo "AI agents now have their own Reddit-style social network, and it’s getting weird fast": https://arstechnica.com/information-technology/2026/01/ai-agents-now-have-their-own-reddit-style-social-network-and-its-getting-weird-fast/.

Circolare 285 di Banca d'Italia - 51° aggiornamento e DORA

Franco Vincenzo Ferrari mi ha segnalato questo post su LinkedIn con titolo "Circolare 285 – Cosa cambia con il 51° aggiornamento (DORA)": https://www.linkedin.com/posts/andreacrosilla_circolare285-bancaditalia-dora-activity-7425518749715394560-MUd0.

E' sintetico di suo, quindi io riduco al minimo il mio intervento:

- Banca d'Italia ha pubblicato il 51° aggiornamento della Circolare 285, allineando la disciplina nazionale al nuovo quadro europeo introdotto da DORA (Reg. UE 2022/2554 – Digital Operational Resilience Act): https://www.bancaditalia.it/compiti/vigilanza/normativa/archivio-norme/circolari/c285/index.html;

- le novità significative per chi si occupa di sicurezza delle informazioni sono al Titolo IV "Governo societario, controlli interni e gestione del rischio";

- il capitolo 3 è stato aggiornato per integrare i nuovi obblighi DORA;

- il capitolo 4 (Il Sistema Informativo) è stato significativamente aggiornato, eliminando molte parti in quanto coperte da DORA; ora fa riferimento esclusivo e integrale ai requisiti previsti da DORA e dai relativi RTS/ITS.

- le disposizioni sui servizi di pagamento si sono adeguate agli Orientamenti EBA 2025 (EBA/GL/2025/02) in materia di sicurezza ICT per i PSP.

Libro "Sicurezza delle informazioni" ed. 2026

Finalmente sono riuscito a pubblicare l'aggiornamento del mio libro "Sicurezza delle informazioni": https://www.cesaregallotti.it/libro.html.

Questa quinta edizione, con le Alpi Giulie (Lago di Fusine) in copertina, `e un aggiornamento dovuto all’entrata in vigore della NIS2, del Regolamento europeo sull’intelligenza artificiale e alla pubblicazione di nuove edizioni di alcune norme ISO.

Segnalatemi eventuali errori che correggerò nella prossima versione (non prima del 2030!). Sicuramente ce ne sono perché avrei dovuto rileggerlo almeno 10 volte e non solo 3 (peraltro un po' annoiato perché sapevo già come va a finire) e perché, oltre ai soliti errorini di formattazione, ho dovuto riesumare il mio vecchio Windows 10 perché il MikTeX di dà problemi con il Windows 11 e anche così non sono riuscito a generare l'indice analitico nell'epub.

ITIL 5

Se ho capito bene, da fine gennaio 2026 è disponibile la certificazione ITIL 5 Foundation: https://www.peoplecert.org/Frameworks-Professionals/ITIL-framework.

Le cose che mi lasciano perplesso è che non si parla di libri e che non sono pronti gli esami superiori.

Chi è dentro questo mercato sicuramente saprà tutto, ma io non credo che seguirò più questa materia: lanciare esami senza aver pubblicato un libro non mi pare molto sensato. Nel seguito faranno tutto, ma il processo non mi convince.

 

Manualetto di sicurezza digitale per giornalisti e attivisti

Segnalo la pubblicazione di Guerre di rete "Manualetto di sicurezza digitale per giornalisti e attivisti":
https://www.guerredirete.it/download-ebook-2025.

Credo che vada bene anche per non giornalisti e non attivisti.

Critica: manca una sintesi, che, credo, avrebbe fatto comodo. Per il resto: ottimo.

Incidenti significativi NIS per ACN (parte 2)

Il 17 gennaio avevo scritto un posto sulla definizione di "incidente significativo" fornita da ACN per i soggetti NIS nelle "Specifiche di base per l'adempimento agli obblighi di cui agli articoli 23, 24, 25, 29 e 32 del decreto NIS": https://blog.cesaregallotti.it/2026/01/incidenti-significativi-nis-per-acn.html.

Ho avuto un interessante scambio di email con Marco Manganiello. Infatti mi ha ricordato che la definizione di ACN dovrebbe essere letta insieme a quella presente nel D. Lgs. 138 del 2024 (art. 25, comma 4), che è norma primaria. Una Determinazione ACN non può innovare rispetto a essa.

Pertanto, la definizione di incidente significativo IS-1 ottenuta dalla somma di D. Lgs. 138 e Determinazione dovrebbe essere: “Il soggetto NIS ha evidenza della perdita di riservatezza, verso l'esterno, di dati digitali di sua proprietà o sui quali esercita il controllo, anche parziale. Tale evento ha causato o è in grado di causare una grave perturbazione operativa dei servizi o perdite finanziarie per il soggetto interessato; o ha avuto ripercussioni o è idoneo a provocare ripercussioni su altre persone fisiche o giuridiche causando perdite materiali o immateriali considerevoli”.

Similmente andrebbero tradotte le IS-2, IS-3 e IS-4.

Rimane il fatto che un’email inviata all'indirizzo sbagliato potrebbe sempre rientrare in questa definizione perché non blocca il servizio, ma può incorrere in una sanzione del Garante con “perdite finanziarie per il soggetto interessato”.

Alcune considerazioni:

• potevano dircelo meglio, piuttosto che lasciare a noi il bricolage, non ignorare completamente il testo del D. Lgs. 138;
• nelle linee guida potevano aiutare di più con l’interpretazione di queste definizioni (inclusa l'interpretazione di "verso l'esterno", termine decisamente vago);
• l’implementing act della CE specifica molto meglio cosa si intende per “grave perturbazione operativa” e "perdite finanziarie", fornendo parametri quantitativi; mi sembra che dovesse essere quella la strada da seguire, non una frase generica “un evento che porta a perdita di riservatezza, integrità o disponibilità”.

Incidenti significativi NIS per ACN

Come già detto, ACN ha aggiornato le "Specifiche di base per l'adempimento agli obblighi di cui agli articoli 23, 24, 25, 29 e 32 del decreto NIS": https://www.acn.gov.it/portale/nis/la-normativa.

Ho avuto quindi modo di rileggere le definizioni di incidenti significativi e sono rimasto perplesso.

Il primo tipo di incidente significativo è quando "Il soggetto NIS ha evidenza della perdita di riservatezza, verso l'esterno, di dati digitali di sua proprietà o sui quali esercita il controllo, anche parziale".

Quindi rientrano tutti i casi di perdita di riservatezza di dati digitali, a prescindere dalla loro criticità (o classificazione): l'email inviata all'indirizzo sbagliato, il vicino sul treno che spia lo schermo del pc, il vocale ascoltato in viva voce sul metrò, eccetera. Mi sembra un po' eccessivo, però vuolsi così colà ove si puote ciò che si vuole e più non dimando.

Il secondo tipo di incidente significativo è quando "Il soggetto NIS ha evidenza della perdita di integrità, con impatto verso l'esterno, di dati digitali di sua proprietà o sui quali esercita il controllo, anche parziale".

Anche qui si capisce che anche un record corrotto, a prescindere dalla sua criticità, va notificato. O anche quello con qualche carenza, come la certificazione unica senza la seconda pagina.

Il terzo tipo introduce, finalmente, qualche criterio di criticità: "Il soggetto NIS ha evidenza della violazione dei livelli di servizio attesi dei suoi servizi e/o delle sue attività, sulla base dei livelli di servizio atteso (SL) definiti ai sensi della misura DE.CM-01".

Qui val la pena ricordare che i fornitori di servizi IT possono (e devono) ricavare questi SL dal Regolamento di esecuzione (UE) 2024/2690 della Commissione (ma sappiamo che ACN ignora completamente questo Regolamento, anche nelle FAQ, lasciandoci così con mille dubbi).

Infine, solo per i soggetti essenziali, è un incidente significativo quando "Il soggetto NIS ha evidenza, anche sulla base dei parametri quali-quantitativi definiti ai sensi della misura DE.CM-01, dell'accesso, non autorizzato o con abuso dei privilegi concessi, a dati digitali di sua proprietà o sui quali esercita il controllo, anche parziale".

Quindi, assurdamente, un'azienda chimica registrato come soggetto NIS importante (o anche essenziale, a ben vedere) ha evidenza di un'intrusione sui propri sistemi OT e non lo deve dichiarare entro 24 al CSIRT. Questo anche se ACN ha detto che una delle ragioni per chiedere una notifica entro le 24 ore era quella di avere notizia di eventi che potrebbero propagarsi o ripetersi e quindi poter intervenire.

Traduzione: è possibile un intervento tempestivo per l'email inviata all'indirizzo sbagliato e non per un'intrusione a degli impianti di produzione.

O io non ho capito o la categorizzazione degli incidenti "significativi" potrebbe essere migliorata.

Gli uomini possono fare tutto (Gennaio 2026)

Durante le vacanze di Natale e Capodanno, un mio virgulto ha detto: "Mi piace cucinare e stirare".

Poi non è che abbia cucinato e stirato molto, ma è già un inizio. 

Quindi: buon 2026 a tutti.

PS: purtroppo i maschi possono anche ammazzare per una ragazza o una donna, come successo recentemente. Come se la scelta della ragazza o donna sia frutto di inganni di uno e non perché non si trova bene con l’altro. Come se, così facendo, miracolosamente la ragazza o donna possa cambiare idea. O, peggio, supponendo che manchi di cervello, si adegui a stare con quello rimasto vivo.

Articolo 2086 del Codice Civile, sicurezza delle informazioni e continuità

Non conoscevo l'articolo 2086 del Codice Civile. In particolare, il D. Lgs. 14 del 2019 ha aggiunto il secondo comma:

L'imprenditore [...]ha il dovere di istituire un assetto organizzativo, amministrativo e contabile adeguato alla natura e alle dimensioni dell'impresa, anche in funzione della rilevazione tempestiva della crisi dell'impresa e della perdita della continuità aziendale, nonché di attivarsi senza indugio per l'adozione e l'attuazione di uno degli strumenti previsti dall'ordinamento per il superamento della crisi e il recupero della continuità aziendale. 

Inutile segnalare cosa questo vuol dire per chi si occupa di sicurezza delle informazioni, qualità e continuità.

Sono venuto a conoscenza di ciò grazie a questo articolo: https://www.filodiritto.com/art-2086-cc-e-adeguati-assetti-organizzativi-governance-cybersicurezza-e-responsabilita-degli-amministratori.

Guida EDPS per la gestione del rischio per i sistemi IA

Andrea Solimeno di Selexi mi ha segnalato il documento "Guidance for Risk Management of Artificial Intelligence systems": https://www.edps.europa.eu/data-protection/our-work/publications/guidelines/2025-11-11-guidance-risk-management-artificial-intelligence-systems_en.

E' estremamente interessante perché mette insieme, in modo chiaro, i rischi "propri" dell'IA, ossia quelli di spiegabilità, di bias, di inaccuratezza, di raccolta dei dati, di riservatezza e privacy (ovviamente).

Ministero del lavoro: Linee guida per l'implementazione dell'IA

Il Ministero del lavoro e delle politiche sociali ha pubblicato le "Linee guida per l’implementazione dell’IA nel mondo del lavoro": https://trasparenza.lavoro.gov.it/archivio28_provvedimenti-amministrativi_0_414_725_1.html.

Il documento riporta molte cose utili per affrontare meglio l'introduzione e l'uso dell'IA. Nulla di troppo pratico, però. Sono elencati "strumenti", ma senza che ne siano forniti esempi o link. Mi sembra quindi che abbiano lavorato al documento soprattutto consulenti, nel bene e nel male. 

Fa riferimento, per la formazione, al Pact for skills della Commissione europea (https://pact-for-skills.ec.europa.eu/index_en), ma non ho capito bene come aderire. Forse dovrei avere più pazienza, ma il materiale che ho intravisto non mi ha convinto a dedicarci più tempo.

Però ne raccomando la lettura perché riassume alcune cose che è bene sapere bene: i principi guida, i rischi e come affrontarli (almeno secondo l'AI Act), gli accorgimenti. C'è anche altro. 

Il documento l'ho ricevuto direttamente in pdf, mentre io preferisco riportare la pagina web da dove scaricarlo. Cercando questa pagina web, ho trovato tante pagine relative alla consultazione per produrlo, in particolare quella di ParteciPA; peccato che nessuna riporti anche il link per la versione definitiva. Come se ci fosse una corsa alle bozze e non alla versione finale, in questo e in altri contesti.

SA 8000:2026 - Standard per il lavoro dignitoso

Andrea Berni, degli Idraulici della privacy, mi ha segnalato la pubblicazione della nuova versione della SA 8000 " Standard for decent work": https://sa-intl.org/resources/sa8000-standard/.

Riporto il commento di Andrea:

Il SAI ha emesso la nuova versione dello standard SA 8000, è lo standard più diffuso in materia di Corporate Social Responsibility. Nella nuova versione dello standard è stata introdotta, nei Core Criteria, la privacy come nuovo requisito; pertanto questo sistema di gestione, che copre i temi giuslavoristici e di salute e sicurezza, ora si estende anche alla protezione dei dati.

 

NIST SP 800-61 Rev. 3 su gestione degli incidenti e CSF 2.0

Chiara Ponti, degli Idraulici della privacy, mi ha segnalato la pubblicazione della NIST SP 800-61 Rev. 3 "Incident Response Recommendations and Considerations for Cybersecurity Risk Management: A CSF 2.0 Community Profile": https://csrc.nist.gov/pubs/sp/800/61/r3/final.

In sostanza, correla le misure del CSF 2.0 al processo di gestione degli incidenti. 

Tutto giusto e tutto bello, però mi sembra soprattutto un esercizio di stile. Lo dico perché la pubblicazione cerca di collegare tutte le misure del CSF alla gestione degli incidenti (si tratta di un tabellone da pagina 19 a pagina 43), forzando il lettore a leggere un sacco di roba inutile. Sarebbe stato più efficace, forse, concentrarsi sulle misure specifiche di gestione degli incidenti (e sarebbe forse diventata una guida più utile della troppo ponderosa ISO/IEC 27035).

 

Aggiornamento misure di base ACN per soggetti NIS

ACN ha pubblicato la Determinazione 379907/2025 del 19 dicembre 2025, che aggiorna quella sulle misure di sicurezza del 14 aprile.

Per scaricarla (grazie a Riccardo Lora per la segnalazione): https://www.acn.gov.it/portale/nis/la-normativa. 

Per sapere quali sono le modifiche, si può leggere la FAQ DSB.1 (grazie a Filippo Bianchini per la segnalazione): https://www.acn.gov.it/portale/faq/nis/misure-notifiche-base.

Non mi sembrano cambiamenti da urlo perché si tratta di piccoli raffinamenti. Però io dovrò aggiornare il VERA: anche se si tratta di poche cose, è meglio ridurre gli errori. 

Linee guida ACN sulla gestione degli incidenti

ACN ha pubblicato " NIS2, Linee Guida sul processo di gestione degli incidenti di sicurezza informatica. Indicazioni non vincolanti per l’attuazione delle misure di sicurezza di base": https://www.acn.gov.it/portale/w/nis2-linee-guida-sul-processo-di-gestione-degli-incidenti-di-sicurezza-informatica.

Ci sono cose interessanti, anche se non penso che possa veramente aiutare chi non ha esperienza in questo campo. 

Ho trovato interessanti, in mezzo a troppi elementi da fuffaware (politiche, riferimenti incrociati ad altre misure, ecc.):

- il punto 2.2 elenca esempi di eventi di sicurezza informatica;

-  il punto 2.3.4 elenca attività da prevedere per l'eradicazione.

Ringrazio gli Idraulici della privacy (e in particolare Giovanni Ciano) per la segnalazione.

Bloccare l'IA dai browser

"Gartner Research: Cybersecurity Must Block AI Browsers for Now": https://www.gartner.com/en/documents/7211030.

Nulla di sorprendente, però c'è chi ci è cascato, come sempre. 

Da un post di Luca Sambucci: https://www.linkedin.com/posts/sambucci_aisecurity-activity-7406972551710720000-nPnH

Riassunto: i browser agentici, quelli con sidebar AI e capacità di navigare autonomamente, come un rischio troppo alto per la maggior parte delle organizzazioni: i dati sono inviati nel cloud e, più grave, il browser prende decisioni autonomi e questo può portare errori, oltre che essere soggetti ad attacchi se una pagina web è opportunamente manipolata.

Luca ci ricorda i rischi di privilegiare la comodità rispetto alla sicurezza. Argomento, ahinoi, vecchio.

Gli uomini possono fare tutto (Dicembre 2025)

Le scuole hanno l'abitudine di organizzare concerti per i genitori. Il bravo genitore cerca di andare, anche se sta male e anche se deve chiudere una riunione prima del tempo, anche se deve sentire un coro non intonatissimo cantare "Last Christmas" e versioni orchestrali traballanti di Schumann e di "Stand by me" (lo stesso mio figlio non aveva riconosciuto "Von fremden Ländern und Menschen", fino a quando non gli ho fatto ascoltare la versione per pianoforte).

Avrei molto da ridire sulla scelta delle due canzoni, soprattutto perché altri avevano cantato la bellissima, anche se a me ignota, "Lord Bless You and Keep You" di John Rutter. 

Vediamola però positivamente: sono arrivato in tale ritardo a un'altra riunione di lavoro, che il mio arrivo è coinciso con l'apertura del panettone.

ETSI EN 304 223 per i requisiti di sicurezza per i sistemi e modelli di IA

Franco Vincenzo Ferrari mi ha segnalato che la ETSI ha pubblicato la ETSI EN 304 223 dal titolo "Securing Artificial Intelligence (SAI); Baseline Cyber Security Requirements for AI Models and Systems": https://portal.etsi.org/webapp/workprogram/Report_WorkItem.asp?WKI_ID=74952.

Essa sostituisce la ETSI TS 104 223, pubblicata ad aprile 2025. 

I requisiti sono 73. Né pochi né tanti.

Implementing acts per eIDAS

Franco Vincenzo Ferrari mi ha segnalato questo link per avere la selezione aggiornata in automatico degli implementing acts relativi a eIDAS: https://eur-lex.europa.eu/search.html?lang=en&SUBDOM_INIT=ALL_ALL&DTS_DOM=ALL&type=advanced&DTS_SUBDOM=LEGISLATION&qid=1756576657199&DB_IMPLEMENTING=32014R0910&sortOne=DD&sortOneOrder=desc.

Rimanda a Eur-Lex.

Mio articolo sulla nuova ISO/IEC 27701

Segnalo questo mio articolo dal titolo "Sistemi di gestione privacy: guida alla ISO/IEC 27701 aggiornata": https://www.agendadigitale.eu/sicurezza/privacy/sistemi-di-gestione-privacy-guida-alla-iso-iec-27701-aggiornata/.

ETSI TS 104 100 per le misure in ambiente ICS e OT

Franco Vincenzo Ferrari mi ha segnalato la pubblicazione della ETSI TS 104 100 V1.1.1 (2025-11) con titolo "Cyber Security (CYBER); Critical Security Controls for Effective Cyber Defence; Industrial Control Systems Sector": https://portal.etsi.org/webapp/workprogram/Report_WorkItem.asp?WKI_ID=73028 (il pdf si scarica gratuitamente premendo l'iconcina in alto a destra sotto "Download Standard").

L'ambito è quello OT o ICS, ossia industriale. 

Si tratta di controlli tecnici e gestionali (quasi come quelli della ISO/IEC 27002, ma senza troppe politiche, senza la richiesta di una valutazione del rischio generale e con più dettagli tecnici). Non si tratta di specifiche tecniche per i prodotti e servizi, anche se da qui se ne possono facilmente selezionare.

Sulla parte OT ricordo la NIST SP 800 e la NISTIR 8183A. Queste guide (rispettivamente di 316 e 730 pagine) sono molto più ponderose di quella ETSI, che è già esaustiva, con le sue 84 pagine.

Incontro Clusit e ACN del 3 dicembre 2025

Marco Gemo ha assistito e mi ha mandato la sintesi dell'incontro organizzato dal Clusit con ACN il 3 dicembre 2025.

Io lo ringrazio e ne faccio un'ulteriore sintesi:

• ACN conferma il proprio approccio prevalentemente collaborativo e non sanzionatorio; l'approccio sanzionatorio sarà graduale, prima con intimazioni e diffide, riservando le sanzioni ai casi di inadempienza persistente;
• sono ricordate le responsabilità degli Organi amministrativi: l'approvazione dei piani di sicurezza, l'allocazione di budget adeguato e la supervisione sull'implementazione (per garantirne la consapevolezza, i membri degli organi direttivi devono registrarsi personalmente sulla piattaforma);
• i fornitori di servizi ICT infragruppo possono rientrare nell'ambito di applicazione della NIS 2 (non rientra una capogruppo che si limita ad acquistare licenze o servizi da un fornitore terzo e a distribuirli; rientra una capogruppo che eroga i servizi in prima persona);
• i soggetti già registrati nel 2025 sono invitati a rinnovare la propria iscrizione a partire da gennaio 2026, senza attendere la scadenza; la finestra di gennaio 2026 è aperta anche per i nuovi soggetti i cui presupposti per l'obbligo si sono manifestati nel corso del 2025; per chi non si è ancora registrato, il messaggio è "meglio prima che mai e, soprattutto, meglio prima rispetto a quando poi li potremmo scovare noi";
• il CSIRT fornisce un supporto operativo gratuito per la gestione e la mitigazione degli incidenti; la sua funzione è nettamente separata da quella ispettiva e sanzionatoria;
• i soggetti che rientrano nel regolamento DORA devono comunque registrarsi sulla piattaforma NIS;
• l'implementazione delle misure di sicurezza di base è richiesta entro ottobre 2026; è avviata la definizione di misure di sicurezza più incisive e potenzialmente diversificate per settore, garantendo un adeguato lasso di tempo per la loro implementazione;
• il Referente CSIRT deve essere una figura tecnica, in grado di parlare la lingua degli analisti dello CSIRT (IOC, log, exploit, etc.); è suggerita la nomina di sostituti per garantire la tempestività;
• soggetti PSNC (Perimetro): per gli asset conferiti nel perimetro, continuano a seguire le regole di notifica del PSNC; per tutto ciò che è fuori dal perimetro, devono applicare la tassonomia e le regole di notifica della NIS 2;
• Legge 90: per superare il rischio di una duplicazione degli oneri di notifica, la strategia di ACN è di allineare la tassonomia degli incidenti della Legge 90 a quella della NIS 2.

CRA: Regolamento di esecuzione con i prodotti con elementi digitali "importanti e critici"

Su questo faccio prima a copincollare esattamente dalla newsletter di Project:IN Avvocati: L'Unione europea ha pubblicato il Regolamento di esecuzione (UE) 2025/2392 che definisce le categorie tecniche di prodotti con elementi digitali "importanti e critici" ai sensi del Cyber Resilience Act: https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32025R2392.

In particolare, questi prodotti saranno soggetti a procedure di valutazione della conformità più rigorose (inclusa la valutazione obbligatoria di terzi) e, per i prodotti critici, potrebbe essere richiesto un certificato europeo di cybersicurezza.

Secondo down di Cloudflare

Grazie alla newsletter di Project:IN Avvocati (https://www.linkedin.com/comm/pulse/492025-errare-humanum-perseverare-meglio-non-essere-novuf), segnalo questo articolo sul down di Cloudflare del 5 dicembre: https://www.linkedin.com/pulse/what-caused-global-cloudflare-outage-december-5-sxjae/.

Riassumendo, era stata individuata una vulnerabilità sui sistemi usati da Cloudflare, che ha quindi sviluppato una modifica per proteggere i clienti da attacchi che sfruttano questa vulnerabilità. Però la modifica ha comportato il degrado dei servizi di Cloudflare per 25 minuti. 

Mi piace copincollare il commento della newsletter di Project:IN Avvocati: "Forse dovremmo abituarci, pian piano, a servizi che possono anche non funzionare per un'ora, o una mattina, o una giornata. E questo con buona pace dei presidi di sicurezza - che ci sono, perché il lavoro degli admin (anche di Cloudflare) è incessante, anche se.. umano. L'architettura dei servizi del web, invece, cresce a ritmi non umani, e a farne le spese talvolta sono gli utenti (piccoli e grandi) di servizi che diamo per scontati. Non dovremmo".

Da qualche anno vorrei scrivere un romanzo ambientato in un futuro in cui Internet non funziona e non si riesce più a far ripartire a causa di un malware persistente. Vorrei scriverlo ambientato 10 o 20 anni dopo il grande incidente, raccontando di tentativi per farlo ripartire (per esempio in Islanda, in quanto piccolo) e dei ricordi di chi ha vissuto gli anni immediatamente successivi l'evento. Peccato che non abbia idea di che storia raccontare e non ho neanche provato a iniziare a scrivere le prime righe. Però la mia immaginazione non mi sembra lontana dalla possibilità che Internet possa non funzionare per qualche tempo.

Altra riflessione: il costante accentramento delle tecnologie, sempre più in mano a pochi produttori e fornitori di servizi, è facilitato anche dai nostri legislatori e governi; mi chiedo se ne sono consapevoli.

Techsonar 2025-2026

L'EDPS ha messo a disposizione il "TechSonar Report 2025-2026": https://www.edps.europa.eu/data-protection/our-work/publications/reports/2025-11-24-techsonar-2025-2026_en.

Si tratta di un'analisi delle tendenze tecnologiche più significative e dei loro potenziali impatti sui dati personali e sulla sicurezza delle informazioni. Questa edizione si concentra su IA agentica, AI companions, supervisione automatica delle prove d'esame, apprendimento personalizzato con l'IA, codifica assistista di software e confidential computing.

Questionario fornitori del Clusit

Segnalo l'aggiornamento del "Questionario per la sicurezza dei fornitori" proposto dal Clusit: https://clusit.it/blog/questionario-per-la-sicurezza-dei-fornitori-versione-2/.

Ora è alla versione 2.2.

Io non apprezzo i questionari ai fornitori. Ribadisco che non devono essere i fornitori a dire cosa fanno ("a fra', che te serve?"), ma i clienti a dire cosa vogliono che facciano (determinando il livello di sicurezza necessario, a seguito di valutazione del rischio, non analizzando subito le proposte dei fornitori). All'imbianchino non chiedo con che colori intende pennellare: gli dico io di che colore fare le stanze. 

Poi i fornitori possono dire, con giustificazioni, che alcune cose non le fanno e altre le fanno diversamente e sta al cliente stabilire se gli va bene oppure no. Così l'imbianchino può suggerirmi di non fare le pareti di bianco puro, ma leggermente sporco perché più riposante; e può anche segnalarmi l'opportunità di non imbiancare soltanto, ma anche di ripulire, stuccare e passare l'antimuffa.

Documento ACN su IA agentica e sicurezza

Franco Vincenzo Ferrari mi ha segnalato il documento di AgID "Agenti IA e Sicurezza: comprendere per governare": https://www.agid.gov.it/it/notizie/ia-agentica-e-sicurezza-informatica-online-lanalisi-del-cert-agid.

Mi viene da riassumere e commentare:

- se lasci che le macchine facciano cose da sole e senza supervisione, devi aspettarti errori;

- se scriviamo codice fallato da un centinaio di anni, ne scriveremo di fallato anche per l’IA e quindi l’IA farà errori, esattamente come gli essere umani;

- bisogna quindi limitare bene il raggio d’azione dell’IA (ma lo faranno in pochi, esattamente come sono separate le reti IT e OT, perché la convergenza è troppo comoda).

A margine: non capisco il titolo del documento; forse hanno fatto tradurre "Agentic AI" a un sistema di IA (che usa anche le maiuscole nei titoli, cosa prevista in inglese, ma non in italiano, come per i giorni della settimana e le nazionalità).

Piattaforma della CE per segnalare violazioni all'AI Act

La Commissione europea lancia una piattaforma per per segnalare violazioni all'AI Act: https://ai-act-whistleblower.integrityline.app/.

La notizia è qui: https://digital-strategy.ec.europa.eu/en/news/commission-launches-whistleblower-tool-ai-act.

Comincio a temere tutti questi strumenti di segnalazione, soprattutto quando un piccolo deve rendere conto a un grande potere. Temo che possa avere effetti simili all'ostracismo. E sappiamo che non funzionò bene all'epoca (e va bene che si parla di due millenni e mezzo fa, ma penso che l'esempio rimanga valido).

La mia paura nasce da un caso recente: un cliente che ha ricevuto richieste di pagamento da AGCOM; chiede chiarimenti,  ma ne riceve di talmente generici che non valgono nulla. In compenso ha pochissimo tempo per pagare. Vedremo come andrà a finire (magari è phishing, ma non sembra).

Ringrazio Project:IN Avvocati per la notizia della piattaforma della CE.

Attacco orchestrato da IA

Marco Gemo mi ha segnalato la pagina "Disrupting the first reported AI-orchestrated cyber espionage campaign": https://www.anthropic.com/news/disrupting-AI-espionage.

Claude, sistema di IA, è stato usato per condurre attacchi a diverse organizzazioni. In questo caso, è stato usato come agente, ossia come macchina capace di prendere decisioni e operare in autonomia. La novità è che in passato i sistemi di IA venivano usati per supportare gli attacchi, non condurli in autonomia.

Non voglio fare né l’uccello del malaugurio né l’ottimista sul futuro della sicurezza informatica (finiremo a lavorare in parte off-line, come negli anni Ottanta? non una prospettiva così negativa, se pensiamo che una volta usciti dall’ufficio verremo lasciati in pace). Ci tocca aspettare e restare attenti.

Tassonomia incidenti ACN aggiornata

ACN ha aggiornato il documento "La tassonomia cyber dell’ACN": https://www.acn.gov.it/portale/w/la-tassonomia-cyber-dellacn.

Rispetto all'edizione precedente del 2024, aggiunge gli asset da correlare agli incidenti. Aggiunta importante, visto che prende 21 pagine in un documento di 77 pagine totali (di cui 15 riassuntive, quindi 62). Nella tabella riassuntiva, gli "Involved asset" occupano 6 pagine.

A mio parere, nulla di sconvolgente, visto che in fase di notifica, immagino, le categorie saranno già messe a disposizione dal sito del CSIRT.

Alcune cose amene:

- la pagina web di ACN dice che la data di pubblicazione è il 31/07/24 ore 15:15, ma è stato reso disponibile a novembre e nella storia delle versioni è indicato "Novembre 2025" (senza il giorno);

- continuo a non capire perché ci sia questo documento e ci sia anche l'allegato A (Tassonomia degli incidenti) del DPCM 81 del 2021;

- qualcuno si lamenta perché questo cambiamento avviene a 2 mesi dall'entrata in vigore dell'obbligo NIS di segnalare gli incidenti, ma non credo che si debbano cambiare necessariamente le procedure interne di un'organizzazione (si può far riferimento al documento ACN, senza riportarne i contenuti; io non ne trovo comunque l'utilità).

OWASP AI Testing Guide

Franco Vincenzo Ferrari mi ha segnalato la pubblicazione della OWASP AI Testing Guide: https://owasp.org/www-project-ai-testing-guide/.

La notizia viene da un post su LinkedIn di Matteo Meucci, uno dei due project leader del progetto. 

Ho da studiare parecchio.

Solo due parole per il caso Garante

Giusto per non sembrare fuori dal mondo, scrivo due parole sul caso che sta infangando l'immagine del Garante.

La storia posso farla iniziare con questo articolo (che a sua volta ne richiama uno precedente): https://www.ilpost.it/2025/11/03/report-garante-privacy-ghiglia/. 

Poi è chiaro che, se la macchina mediatica si mette in moto, il fango (o, elegantemente, lo shitstorm) colpisce anche per cose minori: https://roma.corriere.it/notizie/politica/25_novembre_12/cerrina-feroni-libro-sangiuliano-querela-report-ac75004d-22cb-4493-82b6-997e2f787xlk_amp.shtml.

Queste cose minori però dimostrano la caduta di autorevolezza (capii quanto Renzi fosse caduto in disgrazia politica quando un tassista di Firenze mi disse, come accusa all'allora Presidente del Consiglio, che sua moglie guidava male). E infatti l'assemblea del personale ha richiesto le dimissioni del collegio: https://www.wired.it/article/garante-della-privacy-dimissioni-assemblea-lavoratori/. 

Per poi arrivare alla perla del segretario generale del Garante che non solo cerca di violare la privacy del personale, rinnegando anni e anni di sanzioni proprio su questi punti, ma si comporta come il peggior manager di un'azienda privata: https://www.ilfattoquotidiano.it/2025/11/20/spionaggio-garante-privacy-documento-dimissioni-news/8202607/.

Qui si tratta di psicologia, non più di sicurezza delle informazioni, privacy o qualità. O forse di una lezione di gestione aziendale sui rischi se si gestisce il potere in un certo modo. 

Però purtroppo questo mette a rischio la credibilità del nostro stesso lavoro e questo è un grande male: https://www.ilfattoquotidiano.it/2025/11/18/garante-privacy-inchiesta-esposti-sanzioni-dubbie-news/8199271/.

Traiamone uno spunto positivo. Possiamo sperare che tutto ciò riporti con i piedi per terra alcune iniziative, ci costringa a parlare di privacy in modo più sereno e attento, lasciar perdere le troppe iniziative mediatiche e riprendere in mano le questioni tecniche, tra cui quella sugli Amministratori di sistema (che da 16 anni ci ricorda come può essere scritto male un Provvedimento) e quella dei "metadati".

Patacca scout per IA e cybersecurity

Avevo appena scritto un articolo sulle difficoltà di mettere le patacche sulla camicia di un figlio scout, ed ecco che negli USA si sono inventati le patacche per gli scout con capacità nell'IA e nella cybersecurity: https://edition.cnn.com/2025/10/14/tech/scouting-america-ai-cybersecurity-merit-badges.

Da CRYPTO-GRAM di novembre 2025.

Gli uomini possono fare tutto (Novembre 2025)

Una disgrazia genitoriale è avere un figlio che fa scout. Non perché una volta al mese devi verificare che porti le cose giuste al campo del fine settimana (per esempio, portare almeno un ricambio di mutande e calze e non 6 ricambi di calze) e al ritorno dovrai ripulire tutto, non perché potrebbe tornarti con i pidocchi, non perché un sabato e una domenica al mese devi organizzarti per portarlo o recuperarlo (anche perché a Milano si tratta di posti facilmente raggiungibili in metropolitana), non perché devi capire dove mettere i pezzi della tenda che gli sono stati affidati e, in alcuni sventurati casi, aiutarlo a pulirla.

Il fatto è che devi attaccargli le patacchine sulla camicia e, tra i titoli di studio, ti manca quello di mastro cucitore a mano libera. Le patacchine vanno poi attaccate in posti scomodi come la manica e il taschino. A peggiorare le cose, il figlio cresce e devi staccargli e riattaccargli le patacchine su una nuova camicia almeno una volta all'anno 

Il lavoro è tanto penoso che non può neanche essere alleviato da una trasmissione televisiva o una chiacchiera, a differenza dello stiro.

In questo caso, gli uomini possono sì fare tutto, ma, come tutti gli essere umani, alcune cose le possono fare male e con difficoltà, ma non per questo sono autorizzati a non farle.

Intelligenza artificiale e allucinazioni

Mi sto accorgendo che uno dei punti oggi più analizzati dei sistemi di IA sono le allucinazioni.

Ho assistito a un intervento di Corrado Giustozzi che ha fatto esempi di allucinazioni di ChatGPT e in particolari di problemi risolti senza coglierne il trucco (non li ripeto, ma mi ricordano quello che chiede se pesa di più un chilo di ferro o uno di paglia). Ora ho sottoposto gli stessi problemi e mi sembra che il risultato sia corretto. Però la questione è da considerare.

Un altro intervento di Alessandro Vallega e Roberto Piazzolla ha messo in luce alcune accortezze quando si usano sistemi di IA per sviluppare software. Gli errori possono essere numerosi e almeno il 45% del codice sviluppato con sistemi di IA presenta vulnerabilità di sicurezza 

Sono altri casi che ci ricordano che l'IA è uno strumento che va usato con molta cautela.

ACN: Guida per la gestione degli incidenti

ACN ha pubblicato le "Linee Guida CAD: Definizione dei processi e delle procedure per la gestione degli incidenti di sicurezza informatica": https://www.acn.gov.it/portale/linee-guida-cad. 

Mi pare troppo teorica e non aggiorna la "Guida alla notifica degli incidenti informatici" del luglio 2024, che si trova qui: https://www.acn.gov.it/portale/w/guida-alla-notifica-degli-incidenti-informatici.

Spero lo facciano quanto prima.

CyFun per NIS2

Segnalo questo CyberFundamentals Framework, in breve CyFun: https://atwork.safeonweb.be/tools-resources/cyberfundamentals-framework.

Questo "framework" è promosso dal Cybersecurity Centre Belgium (CCB), ossia l'ACN belga.

La lista delle mie perplessità è lunghetta:

• non è un framework ma un elenco di misure (nulla di male, ma sarebbe stato meglio evitare paroloni);
• confonde il rischio con la maturità;
• scimmiotta il NIST CSF 2.0 ma è un'altra cosa (nulla di male essere un'altra cosa, ma così si rischia la confusione);
• propone 147 controlli per i soggetti importanti e 228 per i soggetti essenziali (e qualcuno si lamentava dei 113 controlli della ISO/IEC 27001 e si lamenta dei controlli ACN);
• prevede uno schema di certificazione (che così andrà ad aggiungersi a quelli già in vigore per il piacere soprattutto delle PMI).

La mia perplessità maggiore potrei riassumere con "un altro schema per la sicurezza delle informazioni o informatica" (yet another info (IT) security reference, YAISR... qualcuno mi aiuti a trovare qualcosa di meglio!) che di per sé non è negativo, ma non migliora quello che c'è.

Password dei sistemi informatici del Louvre

Sandro Sanna mi ha segnalato questo articolo dal titolo "Furto al Louvre, clamorosa falla nella sicurezza: la password era il nome del museo": https://www.tgcom24.mediaset.it/mondo/furto-louvre-password-indagine_105461021-202502k.shtml.

Non riesco a capire su quale sistema fosse usata, ma tutto ciò dimostra quanto siamo lontani da un minimo di consapevolezza.

 

 

Petri per la sicurezza dei sistemi IA

Segnalo, dalla newsletter del Clusit, questo articolo dal titolo "Anthropic rilascia Petri, framework open source per la sicurezza dell’AI": https://www.notizie.ai/anthropic-rilascia-petri-framework-open-source-per-la-sicurezza-dellai/.

Leggo questo articolo e trovo molto interessante capire quanto sono lontano da un livello di competenza accettabile sull'IA. La questione è però importante.

Implementing regulation 2025/2160 per fornitori eIDAS non qualificati

Franco Vincenzo Ferrari mi ha segnalato questo articolo dal titolo "Overview of the main impacts of a new eIDAS2 implementing act for any Trust Service providing non qualified trust services":
https://www.linkedin.com/pulse/overview-main-impacts-new-eidas2-implementing-act-any-nathalie-launay-zid5e.

In poche parole, la Commissione europea ha approvato la Implementing regulation 2025/2160. Essa stabilisce alcune misure che devono essere applicate dai fornitori di servizi fiduciari non qualificati. Lo si può trovare su Eur-Lex: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32025R2160.

ACN e linee guida per la premialità delle forniture (L. 90 del 2024)

La Legge 90 del 2024 (art. 14, comma 2), per i soggetti a cui si applica, richiede che le stazioni appaltanti "prevedono criteri di premialità per le proposte o per le offerte che contemplino l'uso di tecnologie di cybersicurezza italiane o di Paesi appartenenti all'Unione europea o di Paesi aderenti alla NATO o di Paesi terzi individuati con il decreto di cui al comma 1 tra quelli che sono parte di accordi di collaborazione con l'Unione europea o con la NATO in materia di cybersicurezza, protezione delle informazioni classificate, ricerca e innovazione, al fine di tutelare la sicurezza nazionale e di conseguire l'autonomia tecnologica e strategica nell'ambito della cybersicurezza".

Per far questo sono stati approvati il DPCM 30 aprile 2025, aggiornato dal DPCM 2 ottobre 2025. Segnalo che non so come trovare una versione consolidata del DPCM del 30 aprile 2025, visto che Normattiva non rende disponibile il DPCM. 

Il punto è che vanno previsti "criteri di premialità per le proposte o per le offerte che contemplino l’uso “di tecnologie di cybersicurezza italiane o di Paesi appartenenti all'Unione europea o di Paesi aderenti alla NATO o di Paesi che sono parte di accordi di collaborazione con l’Unione europea o con la NATO in materia di cybersicurezza, protezione delle infrastrutture classificate, ricerca e innovazione”. 

In altre parole: bisogna accertarsi che i prodotti IT vengano da Paesi "amici".

Per far questo, bisogna farsi dare la lista dei componenti (“Bill of Materials” o BOM).

ACN, per fornire linee guida su come devono essere le BOM, ha pubblicato le "Linee guida per l’applicazione dei criteri di premialità di cui all’articolo 14 della legge n. 90/2024": https://www.acn.gov.it/portale/linee-guida-applicazione-dei-criteri-premialita.

L'ho fatta lunga perché ci ho messo un po' io stesso a capire l'applicabilità di questo documento.

Purtroppo ACN non ha messo a disposizione questo documento in una pagina dedicata a questa documentazione. Spero riorganizzino al più presto il sito.

ISO/IEC 27706 per le certificazioni ISO/IEC 27701 (privacy)

Pubblicata la  ISO/IEC 27706:2025 "Requirements for bodies providing audit and certification of privacy information management systems": https://www.iso.org/standard/27706.

Importante per gli organismi di certificazione, non per le altre organizzazioni.

Però è importante sapere che è stata pubblicata perché questo rappresenta il primo passo per avere le certificazioni secondo la nuova ISO/IEC 27701, ossia indipendenti dalla ISO/IEC 27001.

I prossimi passi prevedono che:

- gli organismi di accreditamento aggiornino gli schemi di accreditamento;

- gli organismi di certificazione si accreditino o aggiornino il proprio accreditamento secondo i tempi di transizione previsti;

- le organizzazioni si certifichino (o rinnovino i certificati secondo i tempi di transizione previsti).

Non mi sembra siano stati ancora stabiliti dei tempi.

ISO Survey 2024

La ISO ha pubblicato i dati relativi a molte certificazioni fino al 2024: https://www.iso.org/the-iso-survey.html.

Sempre interessante.

Grazie a Fabrizio Cirilli che ne ha pubblicato un post.

 

Indisponibilità AWS per 15 ore

Dalla newsletter di Project:IN Avvocati (https://www.linkedin.com/comm/pulse/432025-sarà-sfida-due-sui-browser-con-ai-i-nostri-ww4qf?) copio la notizia: Lunedì 20 ottobre c’è stato un grave blackout su Amazon Web Services (“AWS”), che ha interrotto per diverse ore i servizi cloud in tutto il mondo.  Moltissimi siti web e app ( tra cui Snapchat, Slack, Zoom e alcuni servizi bancari italiani) hanno registrato rallentamenti e blocchi. AWS ha spiegato che il problema tecnico è stato individuato e risolto, e che la piena operatività della piattaforma è stata ripristinata quanto prima. 

Copio anche la conclusione, che condivido: L’incidente ha evidenziato, però, la forte dipendenza globale da un numero ristretto di provider cloud, e ha riattivato la discussione sulla necessità di infrastrutture digitali europee più autonome.

Aggiungo anche che questo caso ci ricorda che il cloud anche dei grandi operatori può avere problemi di sicurezza.

Di mio segnalo un articolo più tecnico dal titolo "A single point of failure triggered the Amazon outage affecting millions": https://arstechnica.com/gadgets/2025/10/a-single-point-of-failure-triggered-the-amazon-outage-affecting-millions/.

Aggiornamento del software Jeep causa problemi

La notizia mi arriva dal SANS NewsBites, che fa riferimento all'articolo "Software update bricks some Jeep 4xe hybrids over the weekend": https://arstechnica.com/cars/2025/10/software-update-bricks-some-jeep-4xe-hybrids-over-the-weekend/.

Io sono un sostenitore del fatto che i processi di sicurezza, come quello di gestione dei cambiamenti, servono anche per evitare errori.

Qui molti hanno anche aggiunto il fatto che l'aggiornamento è stato messo a disposizione il venerdì pomeriggio e non è risultata la scelta migliore.

Io sono invece preoccupato dal fatto che, da questo incidente, sembra che abbiano messo insieme il sistema di intrattenimento con quello di controllo del veicolo. Capisco che costi separarli, però così si mettono insieme due sistemi di criticità estremamente diverse.

Gli uomini possono fare tutto (Ottobre 2025)

Sto seguendo un corso di difesa personale e la cosa non è di grande interesse. Il fatto è che i partecipanti di questi corsi sono per il 93% donne (i maschi vanno ai corsi di arti marziali). Quando partecipano, poi, una parte del lavoro dell'insegnante è far recuperare capacità motorie ormai dimenticate dal corpo.

La prima riflessione, non mia, riguarda le scelte diverse tra maschi e femmine. La difesa personale e la pratica di arti marziali hanno però obiettivi e applicabilità diverse. Infatti la difesa personale ha come obiettivo il mantenimento della propria integrità e quindi, in poche parole, la fuga; la pratica di arti marziali ha invece l'obiettivo del confronto sportivo, che però non può essere replicato tal quale in caso di aggressione al di fuori della palestra.

Non commento oltre questo l'atteggiamento maschile che presume una certa capacità di confronto violento anche in mancanza di esperienza diretta, però dà da pensare e penso che sia pericolosa. Alcuni casi di cronaca mi confermano l'analisi, ma non li conosco abbastanza per poterne essere sicuro.

La seconda riflessione riguarda le tante donne che hanno smesso, se mai hanno iniziato, un'attività motoria per ritrovarsi nel mezzo del cammin di loro vita un po' imbranate, incapaci di rotolare per terra (lasciamo perdere le capovolte che ormai neanche i ragazzini le sanno più fare), di rialzarsi da terra, di correre. Non ho dati, ma penso che anche questa rinuncia allo sport sia un segno di qualcosa che non va.

Per la cronaca: l'insegnante (donna) che ci ha raccontato delle difficoltà delle allieve femmine nei corsi di difesa personale ha anche aggiunto che, dopo la prima metà di un corso annuale di un'ora alla settimana, le partecipanti acquisiscono una buona motricità.

Compromesso un sistema di prescrizioni sanitarie

La notizia iniziale è questa: Un attacco hacker ha colpito i server dell’azienda Murex, gestore del portale ‘Paziente Consapevole’ usato da medici e cittadini per le prescrizioni sanitarie.  Nulla di nuovo direi.

La seconda parte è più interessante: I pazienti hanno ricevuto mail con i propri dati sensibili in cui venivano richiesti pagamenti arretrati a nome di una finta azienda di recupero crediti di Monza.

L'interesse è dovuto al fatto che questo caso è particolarmente critico perché riguarda dati sanitari, ma anche compromissioni simili di dati soprattutto di contatto possono essere usati per truffe. Lo dico perché spesso i database con solo i dati di contatto sono ritenuti poco critici e in effetti i dati sono facilmente reperibili da molte fonti. E' però l'associazione tra organizzazione che ha il db e contatto presente nel db che può essere sfruttata per ulteriori attacchi.

La notizia l'ha diffusa Franco Vincenzo Ferrari con link del sito del Corriere della sera, con cookie wall. Quindi io segnalo questo alternativo: https://www.fanpage.it/milano/attacco-hacker-alla-piattaforma-per-le-prescrizioni-sanitarie-ai-pazienti-rubati-migliaia-di-dati-sensibili/.

Statistiche su attacchi e incidenti di sicurezza IT

Sono state pubblicati alcuni report con statistiche su attacchi e incidenti di sicurezza IT.

Uno è l'ENISA Threat Landscape del 2025: https://enisa.europa.eu/publications/enisa-threat-landscape-2025.

Davide Giribaldi su LinkedIn ne fa una sintesi (https://www.linkedin.com/posts/davidegiribaldi_cyber-enisa-theriskhunter-activity-7383367687499952128-_GPD). Io allora faccio la sintesi della sintesi:

• confermato l'elevato numero di incidenti dovuti a ransomware, attacchi DDoS legati a campagne ideologiche, phishing, sfruttamento di vulnerabilità rese disponibili da poco;
• aumentano gli attacchi a fornitori e repository open source (ma io penso, senza togliere importanza alla questione, che il numero sia aumentato anche per la diversa attenzione posta a questo argomento);
• aumentano gli attacchi ai dispositivi mobili;
• il settore più esposto è la pubblica amministrazione;
• il documento include raccomandazioni pratiche.

Un altro è il CrowdStrike 2025 Threat Hunting Report: https://www.crowdstrike.com/en-us/resources/reports/threat-hunting-report/.

Questo è decisamente più tecnico e non c'è nessun Davide Giribaldi che mi ha fatto il riassunto.

Dico che sono segnalazioni interessanti, che fanno capire la necessità di lavorare per la sicurezza delle informazioni. Faccio però fatica a trovare elementi che posso usare (o far usare) direttamente.

Punto informativo per l'AI Act della Commissione europea

Segnalo questa pagina "AI Act Single Information Platform": https://ai-act-service-desk.ec.europa.eu/en.

E' un punto di partenza per le questioni legate all'AI Act. Per esempio c'è il Compliance Checker, ossia un questionario per capire se bisogna applicare o meno l'AI Act (già la prima domanda è simpatica perché chiede se vogliamo parlare di un sistema o di un modello di intelligenza artificiale).

Pubblicata la ISO/IEC 27701

Pubblicata la ISO/IEC 27701:2025 "Privacy information management systems — Requirements and guidance": https://www.iso.org/standard/27701.

Di questa norma ne avevo già scritto e quello rimane ancora valido: https://www.agendadigitale.eu/sicurezza/iso-iec-27701-sui-sistemi-di-gestione-per-la-privacy-come-e-come-sara/. 

Ulteriore riflessione riguarda i tempi di audit (che, ricordiamolo, non hanno solo un costo diretto per pagare l'organismo, ma hanno anche costi legati all'assistenza di un consulente e al tempo richiesto al personale interno per partecipare). Un piccolo fornitore di servizi informatici di 20 persone, per la ISO/IEC 27001 deve prevedere almeno 5 giorni per il primo audit, 2,5 giorni negli anni successivi e 4 giorni ogni 3 anni. Se vuole aggiungere la ISO/IEC 27701 e solo per la certificazione come responsabile, deve aggiungere almeno 3 giornate per il primo audit, 1 giornata gli anni successivi e 2 giornate ogni 3 anni.

Le cifre le sto dando sulla base della ISO/IEC 27006:2024 e della bozza finale della ISO/IEC 27706.

Ringrazio Chiara Ponti per avermi avvisato.

Professionisti e dichiarazione dei sistemi di IA usati

Segnalo questo post di Paolo dal Checco: https://www.linkedin.com/posts/dalchecco_come-e-dove-comunicherete-dal-10-ottobre-activity-7377674323458768896-C7dB/.

In sintesi: i professionisti, dal 10 ottobre 2025, in forza dell'art. 13 della Legge 132 del 2025, devono comunicare ai clienti "con linguaggio chiaro, semplice ed esaustivo" tutte "le informazioni relative ai sistemi di intelligenza artificiale" utilizzati per svolgere l'incarico.

Interessanti le alternative poste da Paolo: via mail, una voce nell'informativa privacy, adeguamento del modello di incarico professionale o contratto.

In una risposta, Federico Capello segnala che l’informativa privacy solo se l’AI viene utilizzata per trattamenti di dati personali (e in questo caso deve prestare tanta attenzione alle clausole del fornitore, che sarà da considerare responsabile del trattamento); in caso contrario si può solo inserire una specifica clausola nel contratto con il committente del tipo: "Il Professionista dichiara che, nello svolgimento delle attività contrattuali, potrà avvalersi di sistemi di intelligenza artificiale, nel rispetto dell’art. 13 della Legge n. 132/2025. In ogni caso, il Professionista resta pienamente responsabile verso il Committente della correttezza, qualità e conformità della prestazione, garantendo trasparenza, controllo umano, tutela dei dati personali e rispetto delle norme vigenti".

Per la cronaca: io non uso sistemi di IA per il mio lavoro. Trovo molto più pratici i simpatici copincolla  e salvaconnome dal materiale che ho prodotto negli anni. Ho notato che ci metto più tempo a verificare e correggere la proposta dell’IA che il mio materiale.

NIS2: Referente CSIRT e nuova registrazione per i soggetti NIS

Segnalo questo post di Stefano Mele dal titolo "L'ACN istituisce il Referente CSIRT: ecco le nuove regole e le competenze richieste": https://www.linkedin.com/feed/update/urn:li:activity:7380546413744766976/.

In breve, ACN ha pubblicato la Determinazione ACN 333017/2025, che sostituisce la precedente 283727 del 31 luglio 2025.

Va quindi designato il Referente CSIRT e uno o più sostituti.

La cosa, di per sé, è positiva perché distingue il Punto di contatto NIS e il Referente CSIRT. La cosa noiosa è che la designazione è obbligatoria e va fatta dal 20 novembre al 31 dicembre 2025. Potevano richiederla in occasione dell'aggiornamento annuale, già previsto.

Altra cosa positiva è il fatto che può essere esterno. Per questo, io penso che non debba essere un consulente, ma il responsabile dei sistemi IT che, in effetti, in molte PMI e in qualche grande, è esterno.

PS. Grazie a Giulia Palmarini che mi ha sottolineato l’importanza del post.

Data Act: guida pratica

Segnalo questo articolo dal titolo "Data Act: guida pratica ad accesso ai dati IoT e cambio fornitore cloud": https://www.agendadigitale.eu/sicurezza/data-act-guida-alle-nuove-regole-per-laccesso-e-luso-dei-dati-in-europa/.

E' molto più approfondito di altri.

NIST SP 800-88r2 Guidelines for Media Sanitization

Il NIST ha pubblicato la seconda versione delle Guidelines for Media Sanitization: https://csrc.nist.gov/pubs/sp/800/88/r2/final.

Nel 2015 scrissi qualcosa sulla prima versione: https://blog.cesaregallotti.it/2014/12/nist-sp-800-88-guidelines-for-media.html.

Per quello che riguarda le "normali" organizzazioni, mi sembra che la cifratura dei dischi sia più che sufficiente. Ma potrei sbagliarmi.

Check list per il Codice di condotta privacy per il software gestionale

Qualche tempo fa avevo scritto della pubblicazione del "Codice di condotta per il trattamento dei dati personali effettuato dalle imprese di sviluppo e produzione di software gestionale": https://blog.cesaregallotti.it/2024/12/codice-di-condotta-privacy-per-le.html.

Ricordo che il Codice è stato approvato ai sensi dell'articolo 40 del GDPR.

Avevo scritto il mio apprezzamento in un post che avevo scritto malissimo e me ne scuso con i miei lettori.

Ne ho fatto una check list da utilizzare da chi sviluppa e mantiene il software e da chi lo acquisisce: https://www.cesaregallotti.it/Pubblicazioni.html.

La legge italiana sull'intelligenza artificiale

Approvata la Legge 132 del 2025, detta anche "legge italiana sulla intelligenza artificiale italiana". Ricordo che la normativa primaria è il AI Act (Regolamento UE 2024/1689).

Segnalo questo articolo dal titolo "Legge AI italiana: ecco che devono sapere le aziende": https://www.agendadigitale.eu/cultura-digitale/legge-ai-italiana-ecco-che-devono-sapere-le-aziende (fa riferimento al DDL, ma quello è).

Riassunto del riassunto: sono ribaditi i principi generali del Regolamento europeo sull'IA, attribuisce i compiti alle autorità nazionali (soprattutto AgID e  ACN), dà deleghe al Governo per preparare alcuni decreti legislativi più specifici. 

Importante il principio per cui i decreti non devono introdurre obblighi ulteriori rispetto al Regolamento europeo (AI Act). 

Altro articolo molto chiaro è questo di Chiara Ponti (segnalatomi da Franco Vincenzo Ferrari) dal titolo "L'Italia ha la sua legge sull'AI, gli impatti privacy e cyber:  tutti i punti chiave": https://www.cybersecurity360.it/news/litalia-ha-la-sua-legge-sullai-gli-impatti-privacy-e-cyber-tutti-i-punti-chiave/. 

Nota: questo post accorpa 2 post precedenti che ho cancellato e li aggiorna con il numero di Legge.

Jaguar Land Rover ferma da un mese per un incidente di sicurezza IT

Da SANS NewsBites segnalo la notizia decisamente significativa "Jaguar Land Rover Shutdown in Wake of Cyber Incident is Having Significant Economic Impact".

Per saperne un po' di più, segnalo questo articolo dal titolo "Jaguar Land Rover says cyberattack shutdown to last 'at least' another week": https://therecord.media/jaguar-land-rover-another-week-shutdown-cyberattack.

Mi pare uno degli incidenti più gravi in ambito industriale fin qui ed è per questo che lo segnalo, anche se non sappiamo quale attacco sia stato condotto e quali vulnerabilità siano state sfruttate.

 

CMMC 2.0 al via

Mi ha scritto Giancarlo Caroti di Neumus per ricordarmi che dal 10 novembre 2025 entrerà in vigore la prima fase del CMMC 2.0: le nuove offerte al DoD devono essere conformi al CMMC 2.0, con self-assessment di livello 1 o 2.

Sono poi previste altre 3 fasi, con partenza ogni anno a novembre (2026, 2027 e 2028).

Lascio il link alla pagina ufficiale: https://dodcio.defense.gov/cmmc/.

Stato standard ISO/IEC 270xx

A metà settembre 2025 si è tenuto l'incontro semestrale dell'ISO/IEC JTC 1 SC 27 che si occupa della redazione di molti standard importanti per la sicurezza delle informazioni. Io non ho partecipato perché era a Kunming, in China, e gli standard discussi non erano di mio particolare interesse.

Però, con i rapporti prodotti, fornisco una sintesi delle decisioni più significative:

• ISO/IEC 27000, di panoramica delle norme della famiglia ISO/IEC 27000: aggiornamento previsto per febbraio 2027; le definizioni saranno però riportate nelle singole norme;
• ISO/IEC 27003, di guida alla ISO/IEC 27001: aggiornamento previsto per aprile 2027 (le bozze attuali hanno un testo migliore rispetto al precedente, ma senza nuove indicazioni tecniche particolarmente significative);
• ISO/IEC 27004, di guida alle misurazioni per i sistemi di gestione per la sicurezza delle informazioni: aggiornamento previsto per ottobre 2027 (le bozze attuali prevedono qualche esempio ulteriore, su cui ho qualche perplessità, rispetto alla passata edizione);
• ISO/IEC 27017, con controlli e linee guida per l'implementazione da aggiungere alla ISO/IEC 27002 per i fornitori di servizi cloud: aggiornamento previsto per luglio 2026 (l'importanza di questa norma è chiara perché è richiesta da ACN e in alcuni bandi);
• ISO/IEC 27701, con i requisiti per i sistemi di gestione per la privacy: pubblicazione prevista per fine settembre 2025 (ne ho già parlato in precedenza e ho già esposto le mie critiche);
• ISO/IEC 27706, con le regole per gli organismi di certificazione ISO/IEC 27701: pubblicazione prevista per fine settembre 2025;
• ISO/IEC 29151, con controlli e linee guida per la privacy: pubblicazione prevista per luglio 2026 (questa norma è più di interesse didattico che pratico, almeno in Italia).

In vigore il Data Act

Dal 12 settembre è applicabile il Data Act, ossia il Regolamento UE 2023/2854.

La questione è complessa, anche perché la norma è di difficile lettura. Indicativamente permette di potenziare l’economia dei dati e favorire un mercato più competitivo, rendendo i dati più accessibili e utilizzabili. Sono stabilite quindi responsabilità e misure per lo scambio di dati, incluse quelle contrattuali per evitare abusi e la portabilità tra fornitori di servizi cloud.

Cito dalla newsletter di Project:IN Avvocati: "la sua integrazione con le altre norme, come GDPR e AI Act, è chiara a livello teorico - la Commissione ha un piano globale - ma complessa a livello pratico: vedremo come, nella realtà del business dei dati, questa norma avrà un impatto". 

Le FAQ della Commissione: https://digital-strategy.ec.europa.eu/it/library/commission-publishes-frequently-asked-questions-about-data-act.

Privacy: necessario cancellare le e-mail dopo la cessazione del rapporto

Franco Vincenzo Ferrari mi ha segnalato il Provvedimento del 10 luglio 2025 [10162267]: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10162267.

Il Provvedimento ricorda, in sostanza, le "Linee Guida del Garante per posta elettronica ed internet" (https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1387522) e quindi che è opportuno procedere alla disattivazione dell’account di email e alla notifica ai mittenti di tale disattivazione e di indirizzi email alternativi.

Il Provvedimento non dice espressamente che la casella doveva essere cancellata immediatamente, ma lo sottintende dicendo, in sostanza, che le motivazioni addotte per non farlo non sono fondate. Infatti è interessante osservare che il titolare aveva detto di voler conservare le caselle di email per la possibile necessità di recuperare informazioni perché i documenti vanno posti in appositi archivi mentre "i messaggi di posta elettronica scambiati tramite le caselle di posta elettronica assegnate ai dipendenti, come noto, sono invece considerati, a tutti gli effetti, corrispondenza costituzionalmente tutelata".

Questo dell'uso dell'email come archivio aziendale è, lo sappiamo, ormai assodato, ma non posso che concordare con il Garante. Lo dico per questioni organizzative, posto che lasciare dati importanti nelle caselle di email personali vuol dire non averne il controllo.