NIS e categorizzazione attività per ACN

ACN ha pubblicato la determinazione che richiede ai soggetti NIS di elencare le proprie attività e servizi: https://www.acn.gov.it/portale/w/nis-pubblicate-le-modalita-per-l-elencazione-e-la-categorizzazione-delle-attivita-e-dei-servizi.

 

La Determinazione è accompagnata da Linee guida e da due allegati e si trovano nella pagina che ho citato sopra, oltre alla pagina generale sulla normativa NIS (https://www.acn.gov.it/portale/nis/la-normativa) e alla pagina dedicata alla categorizzazione (https://www.acn.gov.it/portale/nis/categorizzazione).

 

In sostanza, ACN ha identificato 10 marco-aree organizzative comuni a tutte le organizzazioni e un loro livello di impatto ("Categoria di rilevanza"). Le organizzazioni, se ho capito bene, nella pagina di registrazione per i soggetti NIS, dovranno quindi riportare quali di queste aree ne fanno parte e il loro livello di impatto.

 

Se poi una o più di queste aree va suddivisa in più sottoaree (per esempio, conosco un'azienda che produce tappi e tapparelle, quindi con due linee di "Produzione di beni e servizi"), questo va riportato in un documento interno (che chiamano Business Impact Analysis o BIA), con il livello di rischio di ciascuna.

 

Non forniscono linee guida per assegnare i livelli di impatto (minimo, basso, medio, alto) e questo mi sembra curioso.

 

Continuo a rimanere perplesso di fronte a queste continue richieste da ACN per molti motivi: la moltiplicazione delle scadenze, la mancanza di un canale di allerta che non sia il sito web, la raccolta di informazioni che neanche il SISDE e il SISMI, la prospettata pubblicazione di misure minime alla faccia dell'accountability. Tutte cose che già ho detto in precedenza e quindi ci evito la ripetizione dei dettagli.

 

NB: non sono sicuro di aver capito benissimo il tutto. Se qualcuno avrà modo di migliorare o correggere la mia descrizione, ben venga.

Bozze standard ETSI per CRA

Per il CRA è necessario assicurare determinate misure di sicurezza per i "prodotti con elementi digitali".

 

Se queste misure sono riportate da "norme armonizzate", si presume la loro adeguatezza. Sono quindi in fase di sviluppo le norme della serie EN 40000 per le misure "orizzontali", ossia comuni a tutti i prodotti, e, se ho capito bene, applicabili ai prodotti "standard" (ossia non quelli "importanti" e "critici" elencati dal CRA stesso).

 

Ho scoperto che la ETSI sta sviluppando degli standard "verticali" per i prodotti "importanti". Ho trovato una lista qui: https://approve-it.net/eu-etsi-releases-draft-cybersecurity-standards/, con anche il link ad alcune bozze.

 

Già che ci sono: il CRA riporta le categorie di prodotti "importanti" e "critici", ma la CE ha preparato anche il Regolamento di esecuzione 2025/2392 con la descrizione dettagliata di tali categorie, utile a capire meglio se un prodotto è incluso o meno (ma so già che i casi limite saranno tantissimi e oggetti di discussioni): https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32025R2392.

Gli uomini possono fare tutto - Aprile 2026

Questo mese volevo raccontare di come uomini e donne possono fare tutto. Così un giorno ho potuto posticipare un incontro con un cliente per poter accompagnare un figlio a una visita medica programmata (ma non avevo programmato l'indisponibilità dei nonni) e mia moglie, un altro giorno in cui era a lavorare a casa mentre io ero fuori Milano, ha potuto accompagnare al pronto soccorso lo stesso figlio che si era lussato una spalla (primo grado, 2 settimane con il tutore).  

Invece ho fatto una riflessione e volevo renderla pubblica.  

Ho un figlio che gioca a calcio a 7 all'oratorio. La squadra è la Juvenilia. Il gruppo degli allenatori (quasi tutti padri di ragazzi che giocano) ha organizzato un incontro con un esperto per parlare di motivazione, crescita, rafforzamento del gruppo e altre cose che non riguardano il calcio giocato.  

Sono riuscito a intrufolarmi ed è stata un'esperienza interessantissima. L'esperto ci ha raccontato come funziona la capacità di apprendimento dei bambini e ragazzi dai 5 ai 15 anni e quali strategie seguire per allenarli. Cose come: dare loro riscontri immediati e positivi, dare loro poche regole, chiare e ripetute, correggere il comportamento e non l’identità, mantenere un clima giocoso, non puntare sui risultati ma farli sentire capaci, farli riflettere sulle cose che funzionano e non funzionano (non sugli errori!), lasciarli sbagliare perché così poi imparano.  

Ci ha anche portato l'esempio di come sono seguiti i settori giovanili di alcune squadre oggi rilevantissime a livello europeo (Barcellona, Monaco, Bilbao, Eindhoven, altre squadre norvegesi), dove mischiano i più bravi con i meno bravi, non fanno competizioni o classifiche fino a quando i ragazzi hanno 13 anni, promuovono più esperienze. Ci ha raccomandato il libro di Carol S. Dweck (Mindset. Cambiare forma mentis per raggiungere il successo).  

E io ho pensato che molte di queste cose le conoscevo già perché le avevo studiate per affrontare le difficoltà dei miei figli.  

Ed ecco qui la riflessione: tutte le cose che ho studiato per superare le difficoltà sono le stesse che servono per raggiungere l'eccellenza. Sdeng.  

Viene, ovviamente da pensare a come certi nostri atteggiamenti sulla scuola e sullo sport (richiedere la prestazione, volere i voti alti, segnalare gli errori, richiamare sempre i ragazzi, sottoporli a studi e allenamenti frequenti, eccetera) non solo non vanno bene per i ragazzi con difficoltà (e da qui possiamo trovare una risposta sulla numerosità dei ragazzi dislessici rispetto al passato), ma bloccano il raggiungimento dell'eccellenza, ossia l'obiettivo a cui troppi genitori aspirano.

Privacy: Modello di DPIA dell'EDPB

L'EDPB (ossia il consesso dei Garanti privacy europei) ha pubblicato il suo "EDPB DPIA Template": https://www.edpb.europa.eu/our-work-tools/documents/public-consultations/2026/edpb-dpia-template_en.

L'ho guardato e non l'ho ancora usato. Però mi sembra molto meglio di quello proposto tempo fa dalla CNIL. 

Ringrazio Chiara Ponti (Idraulica della privacy) per avermelo segnalato.

 

Nuova ISO 14001

Monica Perego mi ha segnalato che è stata pubblicata la nuova versione della ISO 14001: https://www.iso.org/standard/14001.  

Io non mi occupo per nulla di questo argomento, però è bene sapere che esiste.  

Vi segnalo quindi un suo articolo con riportate le principali (fa riferimento alla bozza finale, ma non possono esserci differenze tecniche con la versione definitiva): https://www.agendadigitale.eu/smart-city/iso-140012026-guida-alle-novita-per-le-aziende-certificate/.

Determinazioni ACN e la minaccia della categorizzazione delle attività

ACN ha pubblicato il 13 aprile 2026 due nuove determinazioni: https://www.acn.gov.it/portale/w/nis-online-le-determine-sugli-adempimenti-per-i-nuovi-soggetti-e-sulle-modalita-di-accesso-alla-piattaforma-acn.  

La prima è la 127434/2026 e stabilisce i nuovi termini che i soggetti inseriti per la prima volta nel 2026 nell’elenco dei soggetti NIS devono rispettare. Mi viene da pensare che potevano fare una cosa generale, valida anche per i soggetti inseriti per la prima volta negli anni successivi al 2025. Ma avranno avuto le loro ragioni.  

La seconda è la 127437/2026 (sostituisce la precedente Determinazione ACN 379887/2025) e mi mette un po' di paura perché regolamenta due nuovi punti.  

Il primo perché richiede ai soggetti NIS di indicare i fornitori rilevanti. Questo perché così c'è il rischio che non ci sia un vero limite a chi potrà essere o non essere designato come soggetto NIS (già adesso "esperti" fantasiosi richiedono che tutti i fornitori di un soggetto NIS siano soggetti NIS, anche gli organismi di certificazione!).  

Su questo ci sono poi due sottopunti, tra loro molto diversi, che cito al volo: il rischio di una banca dati così estesa che ACN sta creando, perché seguire una classificazione CPV (common procurement vocabulary, peraltro promosso dal Regolamento CE n. 2195/2002) quando anche nelle visure camerali si usa il NACE e ATECO.

Il secondo perché richiede ai soggetti NIS di elencare e categorizzare le proprie attività e i propri servizi. Qui temo il ritorno del censimento "tattico" degli asset (quando mai fu introdotto negli anni Ottanta!) e i minuziosi distinguo. Vedremo tra poco tempo i dettagli (è prevista a breve una nuova Determinazione).  

Ho visto alcuni post che elogiano questo approccio molto dirigista di ACN. Io ho le mie perplessità perché sicuramente non soddisfa il principio di responsabilizzazione che avrebbe dovuto permeare queste normative. E' vero che un approccio molto normativo, lo abbiamo visto con la privacy, aumenta l'attenzione delle imprese verso la sicurezza, ma allora era meglio non scrivere "accountability" sulla Direttiva.  

Temo anche la deriva verso eccessive richieste documentali (peraltro utili) e non verso misure operative, vero un approccio da grande società di consulenza per grandi imprese e non pragmatico per le PMI. Spero di sbagliarmi.

Etilometri hackerati e la dipendenza tecnologica

Segnalo questo articolo dal titolo "Etilometri hackerati e migliaia di auto bloccate una settimana": https://www.libero.it/tecnologia/attacco-hacker-etilometri-alcolock-114369.  

Sembra che, negli USA, se ti fermano ubriaco alla guida, poi devi installare un aggeggio che ti rileva il fiato e blocca l'automobile se rileva un tasso di alcool troppo elevato.  

Il punto è che questo aggeggio è collegato a Internet, è stato compromesso e questo ha comportato il blocco delle automobili.  

Rilfessione (che copio dall'articolo): forse è eccessiva la presenza della tecnologia nella nostra vita.

CNIL e tempi di conservazione dei dati del personale

La CNIL ha pubblicato il "Référentiel: Les durées de conservation des données à caractère personnel - Gestion des ressources humaines": https://cnil.fr/fr/referentiel-durees-conservation-donnees-rh.  

E' chiaro che la legislazione francese è leggermente diversa dalla nostra, quindi il provvedimento va letto soprattutto per capire le scelte fatte dalla CNIL ed eventualmente tradurle per le nostre esigenze (confrontandosi anche con i consulenti del lavoro, per chi non lo è).  

Segnalo alcuni tempi:

- per i log degli accessi (p.e. con badge): 3 mesi, ma per quelli biometrici 6 mesi;

- videosorveglianza: 1 mese, tranne ovviamente se in uso per provvedimenti disciplinari. 

Ringrazio la newsletter di Project:IN Avvocati per aver riportato la notizia.

Rapporto Clusit 2026

A marzo di ogni anno il Clusit pubblica il suo "Rapporto sulla Cybersecurity in Italia e nel mondo": https://clusit.it/rapporto-clusit/.  

Solitamente è poi aggiornato a ottobre ed è accompagnato da altri rapporti settoriali (nel 2025 hanno pubblicato rapporti sul settore dell'energia, della sanità e della PA).  

Non ne sono un grande estimatore. E' una lettura quasi ipnotica che mette insieme percentuali, settori, tipologie di attaccanti, tipologie di attacchi e aree geografiche, con grafici di ogni genere e tipo, analisi tecniche di attacchi e poi... nessuna indicazione per la difesa.  

Certamente qualche parola c'è, ma è tutto riconducibile al "state accorti". Con un pizzico di perfidia, segnalo consigli come "elevare le tecniche di difesa".  

Segnalo anche il sempre inquietante capitolo a cura della Polizia Postale e per la Sicurezza Cibernetica.  

Raccomando la lettura dell'articolo "L’intelligenza artificiale per sviluppare software aziendale: conoscerne i rischi", a cura di Roberto Piazzolla e Alessandro Vallega. L'argomento l'avevo già toccato un paio di mesi fa dopo aver visto un loro webinar; adesso c'è questo articolo che si conclude, con mia gioia, con "Alcuni suggerimenti".  

Alcuni dei successivi articoli, più settoriali, qua e là non presentano solo dati, ma anche riflessioni interessanti e spunti di lavoro. Ma però detto che sono annegati in 424 pagine e quindi sono difficili da intercettare.

ISO/IEC 27090 e 27091 sull'intelligenza artificiale

Nell'analizzare lo stato degli standard relativi alla sicurezza delle informazioni, a marzo non avevo citato queste due norme:

• ISO/IEC 27090, Guidance for addressing security threats and compromises to artificial intelligence systems;
• ISO/IEC 27091, Artificial intelligence – Privacy protection

La prima è molto interessante perché elenca 13 minacce all'IA e tecniche di mitigazione e ulteriori considerazioni. E' in stato di bozza finale, quindi dovrebbe essere pubblicata entro fine anno.

La seconda è simile e si concentra su 8 minacce. Mi convince molto meno ed è impostata, ahimè, in modo diversa dalla precedente. In questo caso specifico, poi, non ho visto una relazione tra minacce e misure. E' in stato di bozza, quindi dovrebbe essere pubblicata nel 2027.

Visto come sono impostate, ossia con diversi dettagli tecnici, mi sembrano interessanti. Aspetterò le versioni finali (e poi li confronterò con quanto fatto con il Clusit qui: https://aisecurity.clusit.it/indice?categoria=Rischi+dell%27IA).

Nota amena: io non avevo fatto attenzione a queste due norme, però poi Fabio Guasconi ne ha parlato al Security summit nell'incontro "Gestire il rischio relativo alla Cybersecurity in ambito AI"; io non c'ero, ma subito qualcuno mi ha chiesto lumi e io ero completamente impreparato! Grazie quindi a Fabio per averne parlato.

Conservazione dei dati: i 7 errori comuni sanzionati dal garante

Chiara Ponti (degli Idraulici della privacy) mi ha segnalato questo post su LinkedIn: https://www.linkedin.com/feed/update/urn:li:activity:7441050068780003328/.

Mi ha segnalato in particolare l'immagine (non so se generata dall'autore del post), che trovo decisamente utile. Infatti riporta le cose più importanti da osservare quando si parla di tempi di conservazione dei dati personali: vanno identificati i criteri con cui determinare i tempi di conservazione, non bisogna essere vaghi nell'informativa, non si possono conservare i dati "fino alla revoca", i tempi non devono essere "eccessivi", vanno differenziati i tempi in base alle categorie di dati personali, bisogna prestare attenzione ai dati temporanei e agli archivi storici. 

Non solo: sono anche riportati i riferimenti ai Provvedimenti. Cosa molto utile.

Il tribunale di Roma annulla la multa del Garante e ChatGPT

Segnalo l'articolo "Tribunale Roma blocca maxi sanzione Garante Privacy contro OpenAI e ridisegna i confini del trattamento dati": https://assodigitale.it/tribunale-roma-blocca-maxi-sanzione-garante-privacy-contro-openai-e-ridisegna-i-confini-del-trattamento-dati/.

La notizia interessa sia per i suoi impatti sull'intelligenza artificiale, ma bisognerà leggere le motivazioni prima di dire alcunché.

Interesse ulteriore è l'annullamento da parte della giustizia ordinaria. In altre parole: il Garante può sanzionare, ma può anche essere contestato. Ovviamente, è bene ricordare che conviene sempre seguire le indicazioni del Garante per evitare lunghi e costosi procedimenti giudiziari, anche se poi si vincono. E' quando non conviene più seguirle che nascono i problemi (per il Garante, sembrerebbe in questo caso).

Grazie (ancora!) a Christian Bernieri per la segnalazione agli Idraulici della privacy.

Applicazioni che indicano la posizione

Segnalo questo articolo "U.S. soldiers are revealing sensitive and dangerous information by jogging": https://www.washingtonpost.com/world/a-map-showing-the-users-of-fitness-devices-lets-the-world-see-where-us-soldiers-are-and-what-they-are-doing/2018/01/28/86915662-0441-11e8-aa61-f3391373867e_story.html.

Mi chiedo perché attivare la geolocalizzazione e lo so già: non la si disattiva mai e le app che, per i motivi più strani, la vogliono usare, la usano. Non capisco neanche perché Strava registri la posizione dei suoi utilizzatori. Forse capisco perché gli utilizzatori non disabilitino questa funzionalità: perché si avvia di default ed è scomodo disabilitarla, oppure perché fa parte dei mille "sì" che bisogna fornire per avviarla.

E così gran parte degli incidenti nascono da produttori a cui non importa né della privacy né della sicurezza e da utilizzatori pigri.

Ringrazio Christian Bernieri per averlo segnalato agli Idraulici della privacy.

Bozza di linee guida per il CRA

Ricordo che il Regolamento UE 2024/2847, detto cyber resilience act (CRA) mira a garantire "che i prodotti con componenti digitali, ad esempio i prodotti dell'internet delle cose, siano resi sicuri lungo l'intera catena di approvvigionamento e per tutto il ciclo di vita". Aggiungo che riguarda anche i pacchetti software e le app.

Per una sua migliore interpretazione, la Commissione europea ha pubblicato, ancora in bozza, la "Commission guidance on the Cyber Resilience Act": https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/16959-Draft-Commission-guidance-on-the-Cyber-Resilience-Act_en (ringrazio la newsletter di Project:IN Avvocati).

Ne approfitto per ricordarci la scadenza del dicembre 2027 (e non ci sono proposte di deroga).

Sono poi in elaborazione alcuni standard europei di supporto tecnico, ossia le norme della serie EN 40000. Da monitorarne l'avanzamento.

Wiki AI Security del Clusit

Segnalo la wiki AI Security: https://aisecurity.clusit.it/.

Si tratta del lavoro di un ampio insieme di professionisti che hanno collaborato nella scelta e redazione delle voci (lemmi).

Segnalo che ho avuto un ruolo in tutto ciò, in particolare di revisione (insieme ad altri) dei contenuti. E' stata una bellissima esperienza, soprattutto quando obbligavo certi professionisti, molto bravi e preparati, ad aggiungere o migliorare lemmi. Come andare, con le dovute proporzioni, da Einstein e chiedergli di scrivere una paginetta su come è fatto un atomo.

Tutto può essere migliorato e abbiamo già alcune idee di lemmi da aggiungere e su come proseguire. Per intanto, ringrazio tutta la Clusit Community for Security.

Stato degli standard ISO/IEC 270xx

La settimana del 9 marzo si è tenuto a Norimberga l'incontro semestrale del  SC 27, che gestisce alcuni standard importanti per la sicurezza delle informazioni; in particolare la ISO/IEC 27001 e la ISO/IEC 27701. 

Non ci sono state grandi novità da segnalare. In particolare il WG 5, che si occupa di privacy, ha lavorato su alcuni standard per me di scarso interesse perché decisamente specialistici. 

Il WG 1, che si occupa degli standard relativi ai sistemi di gestione, ha lavorato sulle prossime versioni di:

• ISO/IEC 27003, relativa all'interpretazione della ISO/IEC 27001; se ne prevede la pubblicazione a inizio 2028; 
• ISO/IEC 27007 con indicazioni per la conduzione degli audit sulla ISO/IEC 27001, ulteriori rispetto a quelle già presenti nella ISO 19011; se ne prevede la pubblicazione a metà 2027.
  

Si è anche cominciato a discutere su come impostare le future versioni della ISO/IEC 27005 e ISO/IEC 27002. A mio parere si sta andando sempre più verso un'astrazione dei concetti, allontanandosi da praticità e quindi utilità dei documenti. 

Sulla ISO/IEC 27003, per esempio, c'è stata una discussione sulla differenza tra accettare e mantenere il rischio. Sicuramente intellettualmente importantissima, ma non per un utilizzo pratico (da dire poi che si prevede che invece la ISO 31000 cambierà molta terminologia, introducendo nuovamente il "trasferimento" al posto della "condivisione" del rischio, concettualmente scorretto).

L'adolescenza dell'intelligenza artificiale

Dario Amodei, una delle menti dietro Anthropic, ossia del modello di IA Claude, ha scritto un saggio dal titolo "The Adolescence of Technology": https://www.darioamodei.com/essay/the-adolescence-of-technology.

Io non l'ho letto perché ho invece letto il bel riassunto con commento di Giovanna Panucci: https:/avvocatogiovannapanucci.substack.com/p/ladolescenza-della-tecnologia-il. 

Non ho letto il riassunto per pigrizia o chissà che, ma perché è il documento che mi ha fatto conoscere il saggio vero e proprio, che è anche abbastanza breve.

Chiara Ponti mi ha segnalato il riassunto, sempre in italiano, postato da Rosario Piazzese su LinkedIn (ci vuole, ahimè, la password): https://www.linkedin.com/feed/update/urn:li:activity:7436456707419017216/. 

Non oso riassumere niente a mia volta. Vale la pena leggere almeno uno dei link.

Attacchi ai data center Amazon in Dubai

Sandro Sanna mi ha segnalato che diversi data center di Amazon sono stati attaccati a Dubai come rappresaglia dell'Iran. Ho trovato questo articolo dal titolo "Amazon cloud unit's data centers in UAE, Bahrain damaged in drone strikes": https://www.reuters.com/world/middle-east/amazon-cloud-unit-flags-issues-bahrain-uae-data-centers-amid-iran-strikes-2026-03-02/.

E' logico ipotizzare che i data center dei giganti in Europa potrebbero essere a loro volta dei bersagli, anche se non lo auguro a nessuno. 

Se non ci occupiamo noi di politica, la politica si occupa comunque di noi. Solo che io non saprei come evitare di diventare un altro Portorico e fare in modo che i Paesi europei (con l'Italia) si attivino per una vera sovranità digitale.

Sviluppo software, intelligenza artificiale e sicurezza

Roberto Piazzolla e Alessandro Vallega, il 12 gennaio 2026, hanno tenuto un webinar per il Clusit dal titolo "Vibe coding: programmare con l'AI, tra opportunità e rischi": https://clusit.it/blog/webinar-vibe-coding-programmare-con-lai-tra-opportunita-e-rischi/

Purtroppo è disponibile solo agli iscritti al Clusit. 

Posso dire che hanno parlato dei problemi di sicurezza del codice sviluppato con il supporto dell'IA.

Non mi dilungo oltre perché il contenuto è decisamente tecnico. Però posso riportare alcune raccomandazioni:

• bisogna formare i programmatori sulla sicurezza e i limiti dell'IA; inutile (e sbagliato) vietarla;
• se si usa il vibe coding, ossia si delega all'IA lo sviluppo o parte di esso, il lavoro si sposta sulla fase di test, funzionale e di sicurezza, e quindi il processo di sviluppo deve essere adattato (anche tecnologicamente, per esempio usando un'IA anche per i test);
• i possibili errori dell'IA implicano la necessità di segregare gli ambienti di sviluppo, test e produzione,
• effetto psicologico 1, sindrome dell'impostore: i programmatori si impauriscono quando vedono che l'IA, in alcuni casi, fa meglio di loro; ma questo solitamente succede a quelli bravi, quindi, se uno ha paura, vuol dire che è bravo e non deve aver paura;
• effetto psicologico 2, sindrome di Dunning-Kruger: i programmatori pensano di essere più bravi di quello che sono perché aiutati dall'IA; questo solitamente succede a quelli non bravi, quindi va prestata molta attenzione al fatto che potrebbero non controllare correttamente;
• effetto psicologico 3: il programmatore potrebbe non essere più soddisfatto dal proprio lavoro, visto che l'IA fa le cose divertenti (risolvere problemi), e poi, senza più la dopamina scatenata dalla gioia di risolvere problemi, potrebbe lavorare male e questo va affrontato.

I maschi possono fare tutto (marzo 2026)

Segnalo il libro di Riccardo Marco Scognamiglio e Simone Matteo Russo dal titolo "Adolescenti digitalmente modificati (ADM)", del 2018 e per l'editore Mimesis.

E' interessante, nonostante i troppi paroloni e un orientamento verso gli operatori e non ai genitori (nonostante la copertina accattivante). 

Prima caratteristica degli Adolescenti digitalmente modificati (ADM) è, ovviamente l'uso dei dispositivi informatici. Primo effetto: sono abituati a reagire sempre più rapidamente agli stimoli visivi. Effetto successivo: la motivazione è sempre più legata al piacere immediato. 

Nella pratica, questo lo si vede perché i ragazzi cercano stimolazione, per esempio attraverso comportamenti di disturbo in classe. 

Altro effetto della costante reattività è che non permette lo sviluppo di un pensiero prospettico. Quarto effetto: pensare al futuro mette angoscia. Quindi, ancora, l'angoscia viene riempita (come un gatto che si morde la coda) con il partecipare a chat e ambienti di confronto veloci, dove nulla è approfondito.

Seconda caratteristica, i ragazzi fanno sempre meno esperienza di rapporti in cui sforzarsi d'inventare modi per trascorrere creativamente del tempo insieme. Questo in parte per la ricerca di rapporti veloci e superficiali e in parte perché sono sempre più organizzati con scuola e corsi post-scolastici o attaccati a TV o dispositivi IT. Effetto sono le difficoltà sociali, visto che la socialità richiede pazienza e capacità di organizzazione (rimane un desiderio sociale ed è per questo che vanno a scuola). Effetto del rifiuto della fatica emotiva è il non riconoscimento dell'altro. Quindi sono disinibiti, non per coraggio, ma perché non riconoscono l'altro. 

Il disinteresse per l'altro insieme alla ricerca del piacere immediato porta all'esibizionismo anche eccessivo (anche mettendo a disposizione foto intime) e il menefreghismo (l'importante è piacersi e avere prove di piacere, non il resto).

Quindi ancora si nota il mancato adattamento alle situazioni e al contesto (nota mia: infatti i bambini e i ragazzi non sembrano capire assolutamente che è necessario comportarsi in modo leggermente diverso con persone o in posti diversi). 

Altro aspetto è l'appiattimento delle gerarchie, dove tutti si danno del tu, non dovuto alla digitalizzazione, ma sicuramente facilitato e amplificato dall'uso dei social e dei forum online. Effetto noto sono le contestazioni agli esperti. In famiglia, dall'altra parte, i genitori tendono a essere molto accomodanti e a fare gli amici (a mio parere, le ragioni sono anche altre) e questa mancanza di costrizioni non invita la separazione dai genitori.

Ritornando a prima, i ragazzi evitano le emozioni e le evitano con il menefreghismo, ma poi si presentano, per esempio con la bocciatura a scuola o "no" dei genitori e il risultato è un'esperienza traumatica. 

L'uso di pc e tv ha altri effetti:

• toglie il piacere ricavato dallo sforzo di immaginazione;
• la capacità mnemonica si riduce poiché la possibilità di recuperare in ogni momento le informazioni non crea il bisogno di memorizzarle (nota mia: questa era anche la critica ai libri, tanti e tanti secoli or sono).

Cause della mancata regolazione sono anche le sregolatezze non digitali (mangiare cibo spazzatura, mangiare senza orari fissi, cambiamenti nei ritmi sonno-veglia soprattutto nel fine settimana, postura scorretta) ed effetti sono anche la ricerca del gioco e il consumo dell'alcool e di sostanze (nota mia: però queste cose c'erano anche negli anni Ottanta); 

Cosa fare? Il libro ha una parte sul cosa fare, ma è destinata agli psicologi o psicoterapeuti. Però qualche cosina l'ho trovata:

• a fronte dei "no" e dei limiti, l'adulto deve considerare il ragazzo e le sue risposte e non deve essere impositivo senza spiegazioni (tra l'altro, alcune cose che imponiamo come genitori sono cose che a noi davano disagio da ragazzi, quindi è forse il caso di ripensarci);
• sicuramente l'approccio dei docenti che cercano di governare i ragazzi con ribassi o rialzi della richiesta didattica non è funzionale, visto che non sta arginando la demotivazione né sta facilitando la gestione dei comportamenti (nota mia: questo l'avevo capito anche io!);
• è compito degli adulti mettere dei limiti che, tra l'altro, portano il ragazzo al confronto, necessario per valutare le norme imposte; inoltre i limiti proteggono e permettono di valutare i loro vantaggi e svantaggi e poi fare scelte responsabili (infatti, dicono, la libertà non è direttamente proporzionale al senso di benessere, visto che il benessere è determinato dalla capacità di buon adattamento).

USA, Trump e l'uso dell'IA

Segnalo questo articolo dal titolo "Trump ha dichiarato guerra ad Anthropic. E la safety dell'AI è diventata un reato": https://avvocatogiovannapanucci.substack.com/p/trump-ha-dichiarato-guerra-ad-anthropic.

Più che di sicurezza informatica, delle informazioni o cyber o di rischi dell'IA, qui il punto di discussione è la cosiddetta sovranità digitale. Di più ribadisco quanto già detto in precedenza: se non ci muoviamo (come Europa, ovviamente), rimarremo subordinati, ossia sfruttati e destinati a deperire.

Tassonomia incidenti ACN per Legge 90

ACN ha pubblicato la tassonomia degli incidenti per la Legge 90: https://www.acn.gov.it/portale/w/legge-90/2024-adottata-la-tassonomia-degli-incidenti-che-fanno-scattare-l-obbligo-di-notifica.

Un obiettivo era quella di allinearla a quella degli incidenti NIS. Infatti dicono che questa tassonomia è relativa alla L. 90 ed è coerente con la Determinazione ACN n. 379907 sugli incidenti NIS, rileva  anche  ai  fini dell'adempimento dell'obbligo di notifica degli incidenti NIS. 

Ciò non toglie che rimangono in vigore due Determine (o Determinazioni) sugli incidenti:

• la 379907 del 19 dicembre sugli incidenti NIS;
• la 9 febbraio 2026  sugli incidenti L. 90 (e senza la dignità di avere un suo numero, ma solo una data).

Se ne poteva fare una unica o far riferimento a quella per la NIS.

E poi la determina per la L. 90 è leggermente diversa da quella NIS, visto che quella NIS ha un’ulteriore tipologia di incidente per i soggetti essenziali (quello sugli accessi non autorizzati e abuso di privilegi).

E già che sto criticando, aggiungo che sulla Legge 90, non mi sembra che ACN abbia messo a disposizione una pagina web.

CERT-EU Cyber Threat Intelligence Framework

Segnalo questo post dal titolo "Il CERT-EU introduce un Cyber Threat Intelligence Framework":
https://www.linkedin.com/feed/update/urn:li:activity:7431656886808125440/.

Il CERT-EU Cyber Threat Intelligence Framework è qui:
https://www.cert.europa.eu/publications/threat-intelligence/cyber-threat-intelligence-framework/.

Si tratta di uno schema per la classificazione le minacce tecnologiche.

17-19 marzo: Security summit a Milano

Dal 17 al 19 marzo a Milano c'è il Security Summit, organizzato dal CLUSIT.

Io sarò lì il 19 anche per vedere e, in un caso, presentare due amici-colleghi-professionisti della:

• incontro con Uninfo (11.20): https://securitysummit.it/milano-2026/security-summit-milano-2026-seminario-uninfo;
•  incontro con Digital Forensics Alumni  (15.20): https://securitysummit.it/milano-2026/security-summit-milano-2026-digital-forensics-per-la-gestione-degli-incidenti.

Spero di venire anche il 18 alle 14 per "Risorse e prospettive sull’Intelligenza Artificiale" perché verrà presentato un progetto a cui ho preso parte (però forse sono a fatturare): https://securitysummit.it/milano-2026/risorse-e-prospettive-sullintelligenza-artificiale.

I maschi possono fare tutto (Febbraio 2026)

Ho scoperto che a inizio anno le scuole inseriscono feste e spettacoli. Solitamente questo succedeva a maggio, insieme alla comunioni e alle cresime. Ma ormai tutto è saltato (il mio figlioccio ha fatto la cresima a ottobre, addirittura).

Quindi bisogna, a sorpresa, trovare camicie bianche piccoline e papillon rossi fuori stagione (qualche anno fa se ne occupò mia moglie, ma, appunto, era maggio e i negozi erano ben preparati). Ovviamente i figli non segnalano queste richieste con anticipo, ma solo un paio di giorni prima. 

Ce l'ho fatta, ma è veramente il momento di guardare con nostalgia al passato, quando le scuole non prendevano queste iniziative (e forse i ragazzi, i genitori e anche gli insegnanti erano meno stressati).

ENISA EU ICT Supply Chain Security Toolbox

Il NIS Cooperation Group di ENISA ha pubblicato il "EU ICT Supply Chain Security Toolbox": https://digital-strategy.ec.europa.eu/en/library/toolbox-improve-ict-supply-chain-security.

Ringrazio Franco Vincenzo Ferrari per avermelo segnalato. 

Si tratta di un documento di presentazione generale e 2 documenti esemplificativi (sui veicoli automatizzati e sui dispositivi di rilevazione) che illustrano alcune modalità per controllare la catena di approvvigionamento ICT.

L'ho trovato molto confuso:

- il documento presenta 11 scenari di rischio in parte molto specifici (da aggiungere, forse, a quelli per i veicoli automatizzati e i dispositivi di rilevazione) in parte generici; essi sembrano essere casi reali di minacce, che forse sono quelle presentate in Appendice 1;

- gli scenari sono seguiti da 7 misure decisamente generiche, senza che aiutino a capire come selezionare e monitorare i fornitori;

- gli altri due documenti sembrano slegati dal primo; tra l'altro, non ho capito neanche tanto bene cosa sono i "detection equipment", visto che non c'è una definizione; essi seguono tassonomie diverse dal documento generale. 

La lettura, se non si cerca uno schema specifico, è comunque interessante. Segnalo poi, nel documento generale, il paragrafo 1.4 (Legal framework and policy measures) che mette in fila le diverse normative europee relative alla sicurezza informatica.

Moltbook

Mooltbook è un social network per agenti IA, ossia sistemi di IA che non solo presentano risposte, ma agiscono. I casi più noti sono forse alcune estensioni di Claude che, se collegato a un browswer, compila form per l'utente.

La cosa è divertente perché si può vedere come le IA socializzano e viene un brivido immaginando a come si potrebbe sviluppare Skynet. Però, nell'oggi, questo ci ricorda di prestare sempre molta attenzione a come usiamo l'IA, visto che permetterle l'accesso a dati critici e autorlizzarla ad agire come meglio crede presenta molti rischi.

Ringrazio Marco Gemo per avermi segnalato la questione.

Io, a mia volta, segnalo questo articolo dal titolo "Moltbook, ovvero cosa succede quando metti un milione di agenti AI in un social network tutto per loro": https://www.wired.it/article/moltbook-social-agenti-ai-openclaw-come-funziona-rischi/.

La versione originale in inglese ha titolo "AI agents now have their own Reddit-style social network, and it’s getting weird fast": https://arstechnica.com/information-technology/2026/01/ai-agents-now-have-their-own-reddit-style-social-network-and-its-getting-weird-fast/.

Circolare 285 di Banca d'Italia - 51° aggiornamento e DORA

Franco Vincenzo Ferrari mi ha segnalato questo post su LinkedIn con titolo "Circolare 285 – Cosa cambia con il 51° aggiornamento (DORA)": https://www.linkedin.com/posts/andreacrosilla_circolare285-bancaditalia-dora-activity-7425518749715394560-MUd0.

E' sintetico di suo, quindi io riduco al minimo il mio intervento:

- Banca d'Italia ha pubblicato il 51° aggiornamento della Circolare 285, allineando la disciplina nazionale al nuovo quadro europeo introdotto da DORA (Reg. UE 2022/2554 – Digital Operational Resilience Act): https://www.bancaditalia.it/compiti/vigilanza/normativa/archivio-norme/circolari/c285/index.html;

- le novità significative per chi si occupa di sicurezza delle informazioni sono al Titolo IV "Governo societario, controlli interni e gestione del rischio";

- il capitolo 3 è stato aggiornato per integrare i nuovi obblighi DORA;

- il capitolo 4 (Il Sistema Informativo) è stato significativamente aggiornato, eliminando molte parti in quanto coperte da DORA; ora fa riferimento esclusivo e integrale ai requisiti previsti da DORA e dai relativi RTS/ITS.

- le disposizioni sui servizi di pagamento si sono adeguate agli Orientamenti EBA 2025 (EBA/GL/2025/02) in materia di sicurezza ICT per i PSP.

Libro "Sicurezza delle informazioni" ed. 2026

Finalmente sono riuscito a pubblicare l'aggiornamento del mio libro "Sicurezza delle informazioni": https://www.cesaregallotti.it/libro.html.

Questa quinta edizione, con le Alpi Giulie (Lago di Fusine) in copertina, `e un aggiornamento dovuto all’entrata in vigore della NIS2, del Regolamento europeo sull’intelligenza artificiale e alla pubblicazione di nuove edizioni di alcune norme ISO.

Segnalatemi eventuali errori che correggerò nella prossima versione (non prima del 2030!). Sicuramente ce ne sono perché avrei dovuto rileggerlo almeno 10 volte e non solo 3 (peraltro un po' annoiato perché sapevo già come va a finire) e perché, oltre ai soliti errorini di formattazione, ho dovuto riesumare il mio vecchio Windows 10 perché il MikTeX di dà problemi con il Windows 11 e anche così non sono riuscito a generare l'indice analitico nell'epub.

ITIL 5

Se ho capito bene, da fine gennaio 2026 è disponibile la certificazione ITIL 5 Foundation: https://www.peoplecert.org/Frameworks-Professionals/ITIL-framework.

Le cose che mi lasciano perplesso è che non si parla di libri e che non sono pronti gli esami superiori.

Chi è dentro questo mercato sicuramente saprà tutto, ma io non credo che seguirò più questa materia: lanciare esami senza aver pubblicato un libro non mi pare molto sensato. Nel seguito faranno tutto, ma il processo non mi convince.

 

Manualetto di sicurezza digitale per giornalisti e attivisti

Segnalo la pubblicazione di Guerre di rete "Manualetto di sicurezza digitale per giornalisti e attivisti":
https://www.guerredirete.it/download-ebook-2025.

Credo che vada bene anche per non giornalisti e non attivisti.

Critica: manca una sintesi, che, credo, avrebbe fatto comodo. Per il resto: ottimo.

Incidenti significativi NIS per ACN (parte 2)

Il 17 gennaio avevo scritto un posto sulla definizione di "incidente significativo" fornita da ACN per i soggetti NIS nelle "Specifiche di base per l'adempimento agli obblighi di cui agli articoli 23, 24, 25, 29 e 32 del decreto NIS": https://blog.cesaregallotti.it/2026/01/incidenti-significativi-nis-per-acn.html.

Ho avuto un interessante scambio di email con Marco Manganiello. Infatti mi ha ricordato che la definizione di ACN dovrebbe essere letta insieme a quella presente nel D. Lgs. 138 del 2024 (art. 25, comma 4), che è norma primaria. Una Determinazione ACN non può innovare rispetto a essa.

Pertanto, la definizione di incidente significativo IS-1 ottenuta dalla somma di D. Lgs. 138 e Determinazione dovrebbe essere: “Il soggetto NIS ha evidenza della perdita di riservatezza, verso l'esterno, di dati digitali di sua proprietà o sui quali esercita il controllo, anche parziale. Tale evento ha causato o è in grado di causare una grave perturbazione operativa dei servizi o perdite finanziarie per il soggetto interessato; o ha avuto ripercussioni o è idoneo a provocare ripercussioni su altre persone fisiche o giuridiche causando perdite materiali o immateriali considerevoli”.

Similmente andrebbero tradotte le IS-2, IS-3 e IS-4.

Rimane il fatto che un’email inviata all'indirizzo sbagliato potrebbe sempre rientrare in questa definizione perché non blocca il servizio, ma può incorrere in una sanzione del Garante con “perdite finanziarie per il soggetto interessato”.

Alcune considerazioni:

• potevano dircelo meglio, piuttosto che lasciare a noi il bricolage, non ignorare completamente il testo del D. Lgs. 138;
• nelle linee guida potevano aiutare di più con l’interpretazione di queste definizioni (inclusa l'interpretazione di "verso l'esterno", termine decisamente vago);
• l’implementing act della CE specifica molto meglio cosa si intende per “grave perturbazione operativa” e "perdite finanziarie", fornendo parametri quantitativi; mi sembra che dovesse essere quella la strada da seguire, non una frase generica “un evento che porta a perdita di riservatezza, integrità o disponibilità”.

Incidenti significativi NIS per ACN

Come già detto, ACN ha aggiornato le "Specifiche di base per l'adempimento agli obblighi di cui agli articoli 23, 24, 25, 29 e 32 del decreto NIS": https://www.acn.gov.it/portale/nis/la-normativa.

Ho avuto quindi modo di rileggere le definizioni di incidenti significativi e sono rimasto perplesso.

Il primo tipo di incidente significativo è quando "Il soggetto NIS ha evidenza della perdita di riservatezza, verso l'esterno, di dati digitali di sua proprietà o sui quali esercita il controllo, anche parziale".

Quindi rientrano tutti i casi di perdita di riservatezza di dati digitali, a prescindere dalla loro criticità (o classificazione): l'email inviata all'indirizzo sbagliato, il vicino sul treno che spia lo schermo del pc, il vocale ascoltato in viva voce sul metrò, eccetera. Mi sembra un po' eccessivo, però vuolsi così colà ove si puote ciò che si vuole e più non dimando.

Il secondo tipo di incidente significativo è quando "Il soggetto NIS ha evidenza della perdita di integrità, con impatto verso l'esterno, di dati digitali di sua proprietà o sui quali esercita il controllo, anche parziale".

Anche qui si capisce che anche un record corrotto, a prescindere dalla sua criticità, va notificato. O anche quello con qualche carenza, come la certificazione unica senza la seconda pagina.

Il terzo tipo introduce, finalmente, qualche criterio di criticità: "Il soggetto NIS ha evidenza della violazione dei livelli di servizio attesi dei suoi servizi e/o delle sue attività, sulla base dei livelli di servizio atteso (SL) definiti ai sensi della misura DE.CM-01".

Qui val la pena ricordare che i fornitori di servizi IT possono (e devono) ricavare questi SL dal Regolamento di esecuzione (UE) 2024/2690 della Commissione (ma sappiamo che ACN ignora completamente questo Regolamento, anche nelle FAQ, lasciandoci così con mille dubbi).

Infine, solo per i soggetti essenziali, è un incidente significativo quando "Il soggetto NIS ha evidenza, anche sulla base dei parametri quali-quantitativi definiti ai sensi della misura DE.CM-01, dell'accesso, non autorizzato o con abuso dei privilegi concessi, a dati digitali di sua proprietà o sui quali esercita il controllo, anche parziale".

Quindi, assurdamente, un'azienda chimica registrato come soggetto NIS importante (o anche essenziale, a ben vedere) ha evidenza di un'intrusione sui propri sistemi OT e non lo deve dichiarare entro 24 al CSIRT. Questo anche se ACN ha detto che una delle ragioni per chiedere una notifica entro le 24 ore era quella di avere notizia di eventi che potrebbero propagarsi o ripetersi e quindi poter intervenire.

Traduzione: è possibile un intervento tempestivo per l'email inviata all'indirizzo sbagliato e non per un'intrusione a degli impianti di produzione.

O io non ho capito o la categorizzazione degli incidenti "significativi" potrebbe essere migliorata.

Gli uomini possono fare tutto (Gennaio 2026)

Durante le vacanze di Natale e Capodanno, un mio virgulto ha detto: "Mi piace cucinare e stirare".

Poi non è che abbia cucinato e stirato molto, ma è già un inizio. 

Quindi: buon 2026 a tutti.

PS: purtroppo i maschi possono anche ammazzare per una ragazza o una donna, come successo recentemente. Come se la scelta della ragazza o donna sia frutto di inganni di uno e non perché non si trova bene con l’altro. Come se, così facendo, miracolosamente la ragazza o donna possa cambiare idea. O, peggio, supponendo che manchi di cervello, si adegui a stare con quello rimasto vivo.

Articolo 2086 del Codice Civile, sicurezza delle informazioni e continuità

Non conoscevo l'articolo 2086 del Codice Civile. In particolare, il D. Lgs. 14 del 2019 ha aggiunto il secondo comma:

L'imprenditore [...]ha il dovere di istituire un assetto organizzativo, amministrativo e contabile adeguato alla natura e alle dimensioni dell'impresa, anche in funzione della rilevazione tempestiva della crisi dell'impresa e della perdita della continuità aziendale, nonché di attivarsi senza indugio per l'adozione e l'attuazione di uno degli strumenti previsti dall'ordinamento per il superamento della crisi e il recupero della continuità aziendale. 

Inutile segnalare cosa questo vuol dire per chi si occupa di sicurezza delle informazioni, qualità e continuità.

Sono venuto a conoscenza di ciò grazie a questo articolo: https://www.filodiritto.com/art-2086-cc-e-adeguati-assetti-organizzativi-governance-cybersicurezza-e-responsabilita-degli-amministratori.

Guida EDPS per la gestione del rischio per i sistemi IA

Andrea Solimeno di Selexi mi ha segnalato il documento "Guidance for Risk Management of Artificial Intelligence systems": https://www.edps.europa.eu/data-protection/our-work/publications/guidelines/2025-11-11-guidance-risk-management-artificial-intelligence-systems_en.

E' estremamente interessante perché mette insieme, in modo chiaro, i rischi "propri" dell'IA, ossia quelli di spiegabilità, di bias, di inaccuratezza, di raccolta dei dati, di riservatezza e privacy (ovviamente).

Ministero del lavoro: Linee guida per l'implementazione dell'IA

Il Ministero del lavoro e delle politiche sociali ha pubblicato le "Linee guida per l’implementazione dell’IA nel mondo del lavoro": https://trasparenza.lavoro.gov.it/archivio28_provvedimenti-amministrativi_0_414_725_1.html.

Il documento riporta molte cose utili per affrontare meglio l'introduzione e l'uso dell'IA. Nulla di troppo pratico, però. Sono elencati "strumenti", ma senza che ne siano forniti esempi o link. Mi sembra quindi che abbiano lavorato al documento soprattutto consulenti, nel bene e nel male. 

Fa riferimento, per la formazione, al Pact for skills della Commissione europea (https://pact-for-skills.ec.europa.eu/index_en), ma non ho capito bene come aderire. Forse dovrei avere più pazienza, ma il materiale che ho intravisto non mi ha convinto a dedicarci più tempo.

Però ne raccomando la lettura perché riassume alcune cose che è bene sapere bene: i principi guida, i rischi e come affrontarli (almeno secondo l'AI Act), gli accorgimenti. C'è anche altro. 

Il documento l'ho ricevuto direttamente in pdf, mentre io preferisco riportare la pagina web da dove scaricarlo. Cercando questa pagina web, ho trovato tante pagine relative alla consultazione per produrlo, in particolare quella di ParteciPA; peccato che nessuna riporti anche il link per la versione definitiva. Come se ci fosse una corsa alle bozze e non alla versione finale, in questo e in altri contesti.

SA 8000:2026 - Standard per il lavoro dignitoso

Andrea Berni, degli Idraulici della privacy, mi ha segnalato la pubblicazione della nuova versione della SA 8000 " Standard for decent work": https://sa-intl.org/resources/sa8000-standard/.

Riporto il commento di Andrea:

Il SAI ha emesso la nuova versione dello standard SA 8000, è lo standard più diffuso in materia di Corporate Social Responsibility. Nella nuova versione dello standard è stata introdotta, nei Core Criteria, la privacy come nuovo requisito; pertanto questo sistema di gestione, che copre i temi giuslavoristici e di salute e sicurezza, ora si estende anche alla protezione dei dati.

 

NIST SP 800-61 Rev. 3 su gestione degli incidenti e CSF 2.0

Chiara Ponti, degli Idraulici della privacy, mi ha segnalato la pubblicazione della NIST SP 800-61 Rev. 3 "Incident Response Recommendations and Considerations for Cybersecurity Risk Management: A CSF 2.0 Community Profile": https://csrc.nist.gov/pubs/sp/800/61/r3/final.

In sostanza, correla le misure del CSF 2.0 al processo di gestione degli incidenti. 

Tutto giusto e tutto bello, però mi sembra soprattutto un esercizio di stile. Lo dico perché la pubblicazione cerca di collegare tutte le misure del CSF alla gestione degli incidenti (si tratta di un tabellone da pagina 19 a pagina 43), forzando il lettore a leggere un sacco di roba inutile. Sarebbe stato più efficace, forse, concentrarsi sulle misure specifiche di gestione degli incidenti (e sarebbe forse diventata una guida più utile della troppo ponderosa ISO/IEC 27035).

 

Aggiornamento misure di base ACN per soggetti NIS

ACN ha pubblicato la Determinazione 379907/2025 del 19 dicembre 2025, che aggiorna quella sulle misure di sicurezza del 14 aprile.

Per scaricarla (grazie a Riccardo Lora per la segnalazione): https://www.acn.gov.it/portale/nis/la-normativa. 

Per sapere quali sono le modifiche, si può leggere la FAQ DSB.1 (grazie a Filippo Bianchini per la segnalazione): https://www.acn.gov.it/portale/faq/nis/misure-notifiche-base.

Non mi sembrano cambiamenti da urlo perché si tratta di piccoli raffinamenti. Però io dovrò aggiornare il VERA: anche se si tratta di poche cose, è meglio ridurre gli errori. 

Linee guida ACN sulla gestione degli incidenti

ACN ha pubblicato " NIS2, Linee Guida sul processo di gestione degli incidenti di sicurezza informatica. Indicazioni non vincolanti per l’attuazione delle misure di sicurezza di base": https://www.acn.gov.it/portale/w/nis2-linee-guida-sul-processo-di-gestione-degli-incidenti-di-sicurezza-informatica.

Ci sono cose interessanti, anche se non penso che possa veramente aiutare chi non ha esperienza in questo campo. 

Ho trovato interessanti, in mezzo a troppi elementi da fuffaware (politiche, riferimenti incrociati ad altre misure, ecc.):

- il punto 2.2 elenca esempi di eventi di sicurezza informatica;

-  il punto 2.3.4 elenca attività da prevedere per l'eradicazione.

Ringrazio gli Idraulici della privacy (e in particolare Giovanni Ciano) per la segnalazione.

Bloccare l'IA dai browser

"Gartner Research: Cybersecurity Must Block AI Browsers for Now": https://www.gartner.com/en/documents/7211030.

Nulla di sorprendente, però c'è chi ci è cascato, come sempre. 

Da un post di Luca Sambucci: https://www.linkedin.com/posts/sambucci_aisecurity-activity-7406972551710720000-nPnH

Riassunto: i browser agentici, quelli con sidebar AI e capacità di navigare autonomamente, come un rischio troppo alto per la maggior parte delle organizzazioni: i dati sono inviati nel cloud e, più grave, il browser prende decisioni autonomi e questo può portare errori, oltre che essere soggetti ad attacchi se una pagina web è opportunamente manipolata.

Luca ci ricorda i rischi di privilegiare la comodità rispetto alla sicurezza. Argomento, ahinoi, vecchio.

Gli uomini possono fare tutto (Dicembre 2025)

Le scuole hanno l'abitudine di organizzare concerti per i genitori. Il bravo genitore cerca di andare, anche se sta male e anche se deve chiudere una riunione prima del tempo, anche se deve sentire un coro non intonatissimo cantare "Last Christmas" e versioni orchestrali traballanti di Schumann e di "Stand by me" (lo stesso mio figlio non aveva riconosciuto "Von fremden Ländern und Menschen", fino a quando non gli ho fatto ascoltare la versione per pianoforte).

Avrei molto da ridire sulla scelta delle due canzoni, soprattutto perché altri avevano cantato la bellissima, anche se a me ignota, "Lord Bless You and Keep You" di John Rutter. 

Vediamola però positivamente: sono arrivato in tale ritardo a un'altra riunione di lavoro, che il mio arrivo è coinciso con l'apertura del panettone.

ETSI EN 304 223 per i requisiti di sicurezza per i sistemi e modelli di IA

Franco Vincenzo Ferrari mi ha segnalato che la ETSI ha pubblicato la ETSI EN 304 223 dal titolo "Securing Artificial Intelligence (SAI); Baseline Cyber Security Requirements for AI Models and Systems": https://portal.etsi.org/webapp/workprogram/Report_WorkItem.asp?WKI_ID=74952.

Essa sostituisce la ETSI TS 104 223, pubblicata ad aprile 2025. 

I requisiti sono 73. Né pochi né tanti.

Implementing acts per eIDAS

Franco Vincenzo Ferrari mi ha segnalato questo link per avere la selezione aggiornata in automatico degli implementing acts relativi a eIDAS: https://eur-lex.europa.eu/search.html?lang=en&SUBDOM_INIT=ALL_ALL&DTS_DOM=ALL&type=advanced&DTS_SUBDOM=LEGISLATION&qid=1756576657199&DB_IMPLEMENTING=32014R0910&sortOne=DD&sortOneOrder=desc.

Rimanda a Eur-Lex.

Mio articolo sulla nuova ISO/IEC 27701

Segnalo questo mio articolo dal titolo "Sistemi di gestione privacy: guida alla ISO/IEC 27701 aggiornata": https://www.agendadigitale.eu/sicurezza/privacy/sistemi-di-gestione-privacy-guida-alla-iso-iec-27701-aggiornata/.

ETSI TS 104 100 per le misure in ambiente ICS e OT

Franco Vincenzo Ferrari mi ha segnalato la pubblicazione della ETSI TS 104 100 V1.1.1 (2025-11) con titolo "Cyber Security (CYBER); Critical Security Controls for Effective Cyber Defence; Industrial Control Systems Sector": https://portal.etsi.org/webapp/workprogram/Report_WorkItem.asp?WKI_ID=73028 (il pdf si scarica gratuitamente premendo l'iconcina in alto a destra sotto "Download Standard").

L'ambito è quello OT o ICS, ossia industriale. 

Si tratta di controlli tecnici e gestionali (quasi come quelli della ISO/IEC 27002, ma senza troppe politiche, senza la richiesta di una valutazione del rischio generale e con più dettagli tecnici). Non si tratta di specifiche tecniche per i prodotti e servizi, anche se da qui se ne possono facilmente selezionare.

Sulla parte OT ricordo la NIST SP 800 e la NISTIR 8183A. Queste guide (rispettivamente di 316 e 730 pagine) sono molto più ponderose di quella ETSI, che è già esaustiva, con le sue 84 pagine.

Incontro Clusit e ACN del 3 dicembre 2025

Marco Gemo ha assistito e mi ha mandato la sintesi dell'incontro organizzato dal Clusit con ACN il 3 dicembre 2025.

Io lo ringrazio e ne faccio un'ulteriore sintesi:

• ACN conferma il proprio approccio prevalentemente collaborativo e non sanzionatorio; l'approccio sanzionatorio sarà graduale, prima con intimazioni e diffide, riservando le sanzioni ai casi di inadempienza persistente;
• sono ricordate le responsabilità degli Organi amministrativi: l'approvazione dei piani di sicurezza, l'allocazione di budget adeguato e la supervisione sull'implementazione (per garantirne la consapevolezza, i membri degli organi direttivi devono registrarsi personalmente sulla piattaforma);
• i fornitori di servizi ICT infragruppo possono rientrare nell'ambito di applicazione della NIS 2 (non rientra una capogruppo che si limita ad acquistare licenze o servizi da un fornitore terzo e a distribuirli; rientra una capogruppo che eroga i servizi in prima persona);
• i soggetti già registrati nel 2025 sono invitati a rinnovare la propria iscrizione a partire da gennaio 2026, senza attendere la scadenza; la finestra di gennaio 2026 è aperta anche per i nuovi soggetti i cui presupposti per l'obbligo si sono manifestati nel corso del 2025; per chi non si è ancora registrato, il messaggio è "meglio prima che mai e, soprattutto, meglio prima rispetto a quando poi li potremmo scovare noi";
• il CSIRT fornisce un supporto operativo gratuito per la gestione e la mitigazione degli incidenti; la sua funzione è nettamente separata da quella ispettiva e sanzionatoria;
• i soggetti che rientrano nel regolamento DORA devono comunque registrarsi sulla piattaforma NIS;
• l'implementazione delle misure di sicurezza di base è richiesta entro ottobre 2026; è avviata la definizione di misure di sicurezza più incisive e potenzialmente diversificate per settore, garantendo un adeguato lasso di tempo per la loro implementazione;
• il Referente CSIRT deve essere una figura tecnica, in grado di parlare la lingua degli analisti dello CSIRT (IOC, log, exploit, etc.); è suggerita la nomina di sostituti per garantire la tempestività;
• soggetti PSNC (Perimetro): per gli asset conferiti nel perimetro, continuano a seguire le regole di notifica del PSNC; per tutto ciò che è fuori dal perimetro, devono applicare la tassonomia e le regole di notifica della NIS 2;
• Legge 90: per superare il rischio di una duplicazione degli oneri di notifica, la strategia di ACN è di allineare la tassonomia degli incidenti della Legge 90 a quella della NIS 2.

CRA: Regolamento di esecuzione con i prodotti con elementi digitali "importanti e critici"

Su questo faccio prima a copincollare esattamente dalla newsletter di Project:IN Avvocati: L'Unione europea ha pubblicato il Regolamento di esecuzione (UE) 2025/2392 che definisce le categorie tecniche di prodotti con elementi digitali "importanti e critici" ai sensi del Cyber Resilience Act: https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32025R2392.

In particolare, questi prodotti saranno soggetti a procedure di valutazione della conformità più rigorose (inclusa la valutazione obbligatoria di terzi) e, per i prodotti critici, potrebbe essere richiesto un certificato europeo di cybersicurezza.

Secondo down di Cloudflare

Grazie alla newsletter di Project:IN Avvocati (https://www.linkedin.com/comm/pulse/492025-errare-humanum-perseverare-meglio-non-essere-novuf), segnalo questo articolo sul down di Cloudflare del 5 dicembre: https://www.linkedin.com/pulse/what-caused-global-cloudflare-outage-december-5-sxjae/.

Riassumendo, era stata individuata una vulnerabilità sui sistemi usati da Cloudflare, che ha quindi sviluppato una modifica per proteggere i clienti da attacchi che sfruttano questa vulnerabilità. Però la modifica ha comportato il degrado dei servizi di Cloudflare per 25 minuti. 

Mi piace copincollare il commento della newsletter di Project:IN Avvocati: "Forse dovremmo abituarci, pian piano, a servizi che possono anche non funzionare per un'ora, o una mattina, o una giornata. E questo con buona pace dei presidi di sicurezza - che ci sono, perché il lavoro degli admin (anche di Cloudflare) è incessante, anche se.. umano. L'architettura dei servizi del web, invece, cresce a ritmi non umani, e a farne le spese talvolta sono gli utenti (piccoli e grandi) di servizi che diamo per scontati. Non dovremmo".

Da qualche anno vorrei scrivere un romanzo ambientato in un futuro in cui Internet non funziona e non si riesce più a far ripartire a causa di un malware persistente. Vorrei scriverlo ambientato 10 o 20 anni dopo il grande incidente, raccontando di tentativi per farlo ripartire (per esempio in Islanda, in quanto piccolo) e dei ricordi di chi ha vissuto gli anni immediatamente successivi l'evento. Peccato che non abbia idea di che storia raccontare e non ho neanche provato a iniziare a scrivere le prime righe. Però la mia immaginazione non mi sembra lontana dalla possibilità che Internet possa non funzionare per qualche tempo.

Altra riflessione: il costante accentramento delle tecnologie, sempre più in mano a pochi produttori e fornitori di servizi, è facilitato anche dai nostri legislatori e governi; mi chiedo se ne sono consapevoli.

Techsonar 2025-2026

L'EDPS ha messo a disposizione il "TechSonar Report 2025-2026": https://www.edps.europa.eu/data-protection/our-work/publications/reports/2025-11-24-techsonar-2025-2026_en.

Si tratta di un'analisi delle tendenze tecnologiche più significative e dei loro potenziali impatti sui dati personali e sulla sicurezza delle informazioni. Questa edizione si concentra su IA agentica, AI companions, supervisione automatica delle prove d'esame, apprendimento personalizzato con l'IA, codifica assistista di software e confidential computing.

Questionario fornitori del Clusit

Segnalo l'aggiornamento del "Questionario per la sicurezza dei fornitori" proposto dal Clusit: https://clusit.it/blog/questionario-per-la-sicurezza-dei-fornitori-versione-2/.

Ora è alla versione 2.2.

Io non apprezzo i questionari ai fornitori. Ribadisco che non devono essere i fornitori a dire cosa fanno ("a fra', che te serve?"), ma i clienti a dire cosa vogliono che facciano (determinando il livello di sicurezza necessario, a seguito di valutazione del rischio, non analizzando subito le proposte dei fornitori). All'imbianchino non chiedo con che colori intende pennellare: gli dico io di che colore fare le stanze. 

Poi i fornitori possono dire, con giustificazioni, che alcune cose non le fanno e altre le fanno diversamente e sta al cliente stabilire se gli va bene oppure no. Così l'imbianchino può suggerirmi di non fare le pareti di bianco puro, ma leggermente sporco perché più riposante; e può anche segnalarmi l'opportunità di non imbiancare soltanto, ma anche di ripulire, stuccare e passare l'antimuffa.

Documento ACN su IA agentica e sicurezza

Franco Vincenzo Ferrari mi ha segnalato il documento di AgID "Agenti IA e Sicurezza: comprendere per governare": https://www.agid.gov.it/it/notizie/ia-agentica-e-sicurezza-informatica-online-lanalisi-del-cert-agid.

Mi viene da riassumere e commentare:

- se lasci che le macchine facciano cose da sole e senza supervisione, devi aspettarti errori;

- se scriviamo codice fallato da un centinaio di anni, ne scriveremo di fallato anche per l’IA e quindi l’IA farà errori, esattamente come gli essere umani;

- bisogna quindi limitare bene il raggio d’azione dell’IA (ma lo faranno in pochi, esattamente come sono separate le reti IT e OT, perché la convergenza è troppo comoda).

A margine: non capisco il titolo del documento; forse hanno fatto tradurre "Agentic AI" a un sistema di IA (che usa anche le maiuscole nei titoli, cosa prevista in inglese, ma non in italiano, come per i giorni della settimana e le nazionalità).

Piattaforma della CE per segnalare violazioni all'AI Act

La Commissione europea lancia una piattaforma per per segnalare violazioni all'AI Act: https://ai-act-whistleblower.integrityline.app/.

La notizia è qui: https://digital-strategy.ec.europa.eu/en/news/commission-launches-whistleblower-tool-ai-act.

Comincio a temere tutti questi strumenti di segnalazione, soprattutto quando un piccolo deve rendere conto a un grande potere. Temo che possa avere effetti simili all'ostracismo. E sappiamo che non funzionò bene all'epoca (e va bene che si parla di due millenni e mezzo fa, ma penso che l'esempio rimanga valido).

La mia paura nasce da un caso recente: un cliente che ha ricevuto richieste di pagamento da AGCOM; chiede chiarimenti,  ma ne riceve di talmente generici che non valgono nulla. In compenso ha pochissimo tempo per pagare. Vedremo come andrà a finire (magari è phishing, ma non sembra).

Ringrazio Project:IN Avvocati per la notizia della piattaforma della CE.

Attacco orchestrato da IA

Marco Gemo mi ha segnalato la pagina "Disrupting the first reported AI-orchestrated cyber espionage campaign": https://www.anthropic.com/news/disrupting-AI-espionage.

Claude, sistema di IA, è stato usato per condurre attacchi a diverse organizzazioni. In questo caso, è stato usato come agente, ossia come macchina capace di prendere decisioni e operare in autonomia. La novità è che in passato i sistemi di IA venivano usati per supportare gli attacchi, non condurli in autonomia.

Non voglio fare né l’uccello del malaugurio né l’ottimista sul futuro della sicurezza informatica (finiremo a lavorare in parte off-line, come negli anni Ottanta? non una prospettiva così negativa, se pensiamo che una volta usciti dall’ufficio verremo lasciati in pace). Ci tocca aspettare e restare attenti.

Tassonomia incidenti ACN aggiornata

ACN ha aggiornato il documento "La tassonomia cyber dell’ACN": https://www.acn.gov.it/portale/w/la-tassonomia-cyber-dellacn.

Rispetto all'edizione precedente del 2024, aggiunge gli asset da correlare agli incidenti. Aggiunta importante, visto che prende 21 pagine in un documento di 77 pagine totali (di cui 15 riassuntive, quindi 62). Nella tabella riassuntiva, gli "Involved asset" occupano 6 pagine.

A mio parere, nulla di sconvolgente, visto che in fase di notifica, immagino, le categorie saranno già messe a disposizione dal sito del CSIRT.

Alcune cose amene:

- la pagina web di ACN dice che la data di pubblicazione è il 31/07/24 ore 15:15, ma è stato reso disponibile a novembre e nella storia delle versioni è indicato "Novembre 2025" (senza il giorno);

- continuo a non capire perché ci sia questo documento e ci sia anche l'allegato A (Tassonomia degli incidenti) del DPCM 81 del 2021;

- qualcuno si lamenta perché questo cambiamento avviene a 2 mesi dall'entrata in vigore dell'obbligo NIS di segnalare gli incidenti, ma non credo che si debbano cambiare necessariamente le procedure interne di un'organizzazione (si può far riferimento al documento ACN, senza riportarne i contenuti; io non ne trovo comunque l'utilità).

OWASP AI Testing Guide

Franco Vincenzo Ferrari mi ha segnalato la pubblicazione della OWASP AI Testing Guide: https://owasp.org/www-project-ai-testing-guide/.

La notizia viene da un post su LinkedIn di Matteo Meucci, uno dei due project leader del progetto. 

Ho da studiare parecchio.

Solo due parole per il caso Garante

Giusto per non sembrare fuori dal mondo, scrivo due parole sul caso che sta infangando l'immagine del Garante.

La storia posso farla iniziare con questo articolo (che a sua volta ne richiama uno precedente): https://www.ilpost.it/2025/11/03/report-garante-privacy-ghiglia/. 

Poi è chiaro che, se la macchina mediatica si mette in moto, il fango (o, elegantemente, lo shitstorm) colpisce anche per cose minori: https://roma.corriere.it/notizie/politica/25_novembre_12/cerrina-feroni-libro-sangiuliano-querela-report-ac75004d-22cb-4493-82b6-997e2f787xlk_amp.shtml.

Queste cose minori però dimostrano la caduta di autorevolezza (capii quanto Renzi fosse caduto in disgrazia politica quando un tassista di Firenze mi disse, come accusa all'allora Presidente del Consiglio, che sua moglie guidava male). E infatti l'assemblea del personale ha richiesto le dimissioni del collegio: https://www.wired.it/article/garante-della-privacy-dimissioni-assemblea-lavoratori/. 

Per poi arrivare alla perla del segretario generale del Garante che non solo cerca di violare la privacy del personale, rinnegando anni e anni di sanzioni proprio su questi punti, ma si comporta come il peggior manager di un'azienda privata: https://www.ilfattoquotidiano.it/2025/11/20/spionaggio-garante-privacy-documento-dimissioni-news/8202607/.

Qui si tratta di psicologia, non più di sicurezza delle informazioni, privacy o qualità. O forse di una lezione di gestione aziendale sui rischi se si gestisce il potere in un certo modo. 

Però purtroppo questo mette a rischio la credibilità del nostro stesso lavoro e questo è un grande male: https://www.ilfattoquotidiano.it/2025/11/18/garante-privacy-inchiesta-esposti-sanzioni-dubbie-news/8199271/.

Traiamone uno spunto positivo. Possiamo sperare che tutto ciò riporti con i piedi per terra alcune iniziative, ci costringa a parlare di privacy in modo più sereno e attento, lasciar perdere le troppe iniziative mediatiche e riprendere in mano le questioni tecniche, tra cui quella sugli Amministratori di sistema (che da 16 anni ci ricorda come può essere scritto male un Provvedimento) e quella dei "metadati".

Patacca scout per IA e cybersecurity

Avevo appena scritto un articolo sulle difficoltà di mettere le patacche sulla camicia di un figlio scout, ed ecco che negli USA si sono inventati le patacche per gli scout con capacità nell'IA e nella cybersecurity: https://edition.cnn.com/2025/10/14/tech/scouting-america-ai-cybersecurity-merit-badges.

Da CRYPTO-GRAM di novembre 2025.

Gli uomini possono fare tutto (Novembre 2025)

Una disgrazia genitoriale è avere un figlio che fa scout. Non perché una volta al mese devi verificare che porti le cose giuste al campo del fine settimana (per esempio, portare almeno un ricambio di mutande e calze e non 6 ricambi di calze) e al ritorno dovrai ripulire tutto, non perché potrebbe tornarti con i pidocchi, non perché un sabato e una domenica al mese devi organizzarti per portarlo o recuperarlo (anche perché a Milano si tratta di posti facilmente raggiungibili in metropolitana), non perché devi capire dove mettere i pezzi della tenda che gli sono stati affidati e, in alcuni sventurati casi, aiutarlo a pulirla.

Il fatto è che devi attaccargli le patacchine sulla camicia e, tra i titoli di studio, ti manca quello di mastro cucitore a mano libera. Le patacchine vanno poi attaccate in posti scomodi come la manica e il taschino. A peggiorare le cose, il figlio cresce e devi staccargli e riattaccargli le patacchine su una nuova camicia almeno una volta all'anno 

Il lavoro è tanto penoso che non può neanche essere alleviato da una trasmissione televisiva o una chiacchiera, a differenza dello stiro.

In questo caso, gli uomini possono sì fare tutto, ma, come tutti gli essere umani, alcune cose le possono fare male e con difficoltà, ma non per questo sono autorizzati a non farle.

Intelligenza artificiale e allucinazioni

Mi sto accorgendo che uno dei punti oggi più analizzati dei sistemi di IA sono le allucinazioni.

Ho assistito a un intervento di Corrado Giustozzi che ha fatto esempi di allucinazioni di ChatGPT e in particolari di problemi risolti senza coglierne il trucco (non li ripeto, ma mi ricordano quello che chiede se pesa di più un chilo di ferro o uno di paglia). Ora ho sottoposto gli stessi problemi e mi sembra che il risultato sia corretto. Però la questione è da considerare.

Un altro intervento di Alessandro Vallega e Roberto Piazzolla ha messo in luce alcune accortezze quando si usano sistemi di IA per sviluppare software. Gli errori possono essere numerosi e almeno il 45% del codice sviluppato con sistemi di IA presenta vulnerabilità di sicurezza 

Sono altri casi che ci ricordano che l'IA è uno strumento che va usato con molta cautela.

ACN: Guida per la gestione degli incidenti

ACN ha pubblicato le "Linee Guida CAD: Definizione dei processi e delle procedure per la gestione degli incidenti di sicurezza informatica": https://www.acn.gov.it/portale/linee-guida-cad. 

Mi pare troppo teorica e non aggiorna la "Guida alla notifica degli incidenti informatici" del luglio 2024, che si trova qui: https://www.acn.gov.it/portale/w/guida-alla-notifica-degli-incidenti-informatici.

Spero lo facciano quanto prima.

CyFun per NIS2

Segnalo questo CyberFundamentals Framework, in breve CyFun: https://atwork.safeonweb.be/tools-resources/cyberfundamentals-framework.

Questo "framework" è promosso dal Cybersecurity Centre Belgium (CCB), ossia l'ACN belga.

La lista delle mie perplessità è lunghetta:

• non è un framework ma un elenco di misure (nulla di male, ma sarebbe stato meglio evitare paroloni);
• confonde il rischio con la maturità;
• scimmiotta il NIST CSF 2.0 ma è un'altra cosa (nulla di male essere un'altra cosa, ma così si rischia la confusione);
• propone 147 controlli per i soggetti importanti e 228 per i soggetti essenziali (e qualcuno si lamentava dei 113 controlli della ISO/IEC 27001 e si lamenta dei controlli ACN);
• prevede uno schema di certificazione (che così andrà ad aggiungersi a quelli già in vigore per il piacere soprattutto delle PMI).

La mia perplessità maggiore potrei riassumere con "un altro schema per la sicurezza delle informazioni o informatica" (yet another info (IT) security reference, YAISR... qualcuno mi aiuti a trovare qualcosa di meglio!) che di per sé non è negativo, ma non migliora quello che c'è.

Password dei sistemi informatici del Louvre

Sandro Sanna mi ha segnalato questo articolo dal titolo "Furto al Louvre, clamorosa falla nella sicurezza: la password era il nome del museo": https://www.tgcom24.mediaset.it/mondo/furto-louvre-password-indagine_105461021-202502k.shtml.

Non riesco a capire su quale sistema fosse usata, ma tutto ciò dimostra quanto siamo lontani da un minimo di consapevolezza.

 

 

Petri per la sicurezza dei sistemi IA

Segnalo, dalla newsletter del Clusit, questo articolo dal titolo "Anthropic rilascia Petri, framework open source per la sicurezza dell’AI": https://www.notizie.ai/anthropic-rilascia-petri-framework-open-source-per-la-sicurezza-dellai/.

Leggo questo articolo e trovo molto interessante capire quanto sono lontano da un livello di competenza accettabile sull'IA. La questione è però importante.

Implementing regulation 2025/2160 per fornitori eIDAS non qualificati

Franco Vincenzo Ferrari mi ha segnalato questo articolo dal titolo "Overview of the main impacts of a new eIDAS2 implementing act for any Trust Service providing non qualified trust services":
https://www.linkedin.com/pulse/overview-main-impacts-new-eidas2-implementing-act-any-nathalie-launay-zid5e.

In poche parole, la Commissione europea ha approvato la Implementing regulation 2025/2160. Essa stabilisce alcune misure che devono essere applicate dai fornitori di servizi fiduciari non qualificati. Lo si può trovare su Eur-Lex: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32025R2160.

ACN e linee guida per la premialità delle forniture (L. 90 del 2024)

La Legge 90 del 2024 (art. 14, comma 2), per i soggetti a cui si applica, richiede che le stazioni appaltanti "prevedono criteri di premialità per le proposte o per le offerte che contemplino l'uso di tecnologie di cybersicurezza italiane o di Paesi appartenenti all'Unione europea o di Paesi aderenti alla NATO o di Paesi terzi individuati con il decreto di cui al comma 1 tra quelli che sono parte di accordi di collaborazione con l'Unione europea o con la NATO in materia di cybersicurezza, protezione delle informazioni classificate, ricerca e innovazione, al fine di tutelare la sicurezza nazionale e di conseguire l'autonomia tecnologica e strategica nell'ambito della cybersicurezza".

Per far questo sono stati approvati il DPCM 30 aprile 2025, aggiornato dal DPCM 2 ottobre 2025. Segnalo che non so come trovare una versione consolidata del DPCM del 30 aprile 2025, visto che Normattiva non rende disponibile il DPCM. 

Il punto è che vanno previsti "criteri di premialità per le proposte o per le offerte che contemplino l’uso “di tecnologie di cybersicurezza italiane o di Paesi appartenenti all'Unione europea o di Paesi aderenti alla NATO o di Paesi che sono parte di accordi di collaborazione con l’Unione europea o con la NATO in materia di cybersicurezza, protezione delle infrastrutture classificate, ricerca e innovazione”. 

In altre parole: bisogna accertarsi che i prodotti IT vengano da Paesi "amici".

Per far questo, bisogna farsi dare la lista dei componenti (“Bill of Materials” o BOM).

ACN, per fornire linee guida su come devono essere le BOM, ha pubblicato le "Linee guida per l’applicazione dei criteri di premialità di cui all’articolo 14 della legge n. 90/2024": https://www.acn.gov.it/portale/linee-guida-applicazione-dei-criteri-premialita.

L'ho fatta lunga perché ci ho messo un po' io stesso a capire l'applicabilità di questo documento.

Purtroppo ACN non ha messo a disposizione questo documento in una pagina dedicata a questa documentazione. Spero riorganizzino al più presto il sito.