Avevo appena scritto un articolo sulle difficoltà di mettere le patacche sulla camicia di un figlio scout, ed ecco che negli USA si sono inventati le patacche per gli scout con capacità nell'IA e nella cybersecurity: https://edition.cnn.com/2025/10/14/tech/scouting-america-ai-cybersecurity-merit-badges.
Da CRYPTO-GRAM di novembre 2025.
Una disgrazia genitoriale è avere un figlio che fa scout. Non perché una volta al mese devi verificare che porti le cose giuste al campo del fine settimana (per esempio, portare almeno un ricambio di mutande e calze e non 6 ricambi di calze) e al ritorno dovrai ripulire tutto, non perché potrebbe tornarti con i pidocchi, non perché un sabato e una domenica al mese devi organizzarti per portarlo o recuperarlo (anche perché a Milano si tratta di posti facilmente raggiungibili in metropolitana), non perché devi capire dove mettere i pezzi della tenda che gli sono stati affidati e, in alcuni sventurati casi, aiutarlo a pulirla.
Il fatto è che devi attaccargli le patacchine sulla camicia e, tra i titoli di studio, ti manca quello di mastro cucitore a mano libera. Le patacchine vanno poi attaccate in posti scomodi come la manica e il taschino. A peggiorare le cose, il figlio cresce e devi staccargli e riattaccargli le patacchine su una nuova camicia almeno una volta all'anno
Il lavoro è tanto penoso che non può neanche essere alleviato da una trasmissione televisiva o una chiacchiera, a differenza dello stiro.
In questo caso, gli uomini possono sì fare tutto, ma, come tutti gli essere umani, alcune cose le possono fare male e con difficoltà, ma non per questo sono autorizzati a non farle.
Mi sto accorgendo che uno dei punti oggi più analizzati dei sistemi di IA sono le allucinazioni.
Ho assistito a un intervento di Corrado Giustozzi che ha fatto esempi di allucinazioni di ChatGPT e in particolari di problemi risolti senza coglierne il trucco (non li ripeto, ma mi ricordano quello che chiede se pesa di più un chilo di ferro o uno di paglia). Ora ho sottoposto gli stessi problemi e mi sembra che il risultato sia corretto. Però la questione è da considerare.
Un altro intervento di Alessandro Vallega e Roberto Piazzolla ha messo in luce alcune accortezze quando si usano sistemi di IA per sviluppare software. Gli errori possono essere numerosi e almeno il 45% del codice sviluppato con sistemi di IA presenta vulnerabilità di sicurezza
Sono altri casi che ci ricordano che l'IA è uno strumento che va usato con molta cautela.
ACN ha pubblicato le "Linee Guida CAD: Definizione dei processi e delle procedure per la gestione degli incidenti di sicurezza informatica": https://www.acn.gov.it/portale/w/guida-alla-notifica-degli-incidenti-informatici.
Mi pare troppo teorica e non aggiorna la "Guida alla notifica degli incidenti informatici" del luglio 2024. Spero lo facciano quanto prima.
Segnalo questo CyberFundamentals Framework, in breve CyFun: https://atwork.safeonweb.be/tools-resources/cyberfundamentals-framework.
Questo "framework" è promosso dal Cybersecurity Centre Belgium (CCB), ossia l'ACN belga.
La lista delle mie perplessità è lunghetta:
Sandro Sanna mi ha segnalato questo articolo dal titolo " Furto al Louvre, clamorosa falla nella sicurezza: la password era il nome del museo": https://www.tgcom24.mediaset.it/mondo/furto-louvre-password-indagine_105461021-202502k.shtml.
Non riesco a capire su quale sistema fosse usata, ma tutto ciò dimostra quanto siamo lontani da un minimo di consapevolezza.
Segnalo, dalla newsletter del Clusit, questo articolo dal titolo "Anthropic rilascia Petri, framework open source per la sicurezza dell’AI": https://www.notizie.ai/anthropic-rilascia-petri-framework-open-source-per-la-sicurezza-dellai/.
Leggo questo articolo e trovo molto interessante capire quanto sono lontano da un livello di competenza accettabile sull'IA. La questione è però importante.
La Legge 90 del 2024 (art. 14, comma 2), per i soggetti a cui si applica, richiede che le stazioni appaltanti "prevedono criteri di premialità per le proposte o per le offerte che contemplino l'uso di tecnologie di cybersicurezza italiane o di Paesi appartenenti all'Unione europea o di Paesi aderenti alla NATO o di Paesi terzi individuati con il decreto di cui al comma 1 tra quelli che sono parte di accordi di collaborazione con l'Unione europea o con la NATO in materia di cybersicurezza, protezione delle informazioni classificate, ricerca e innovazione, al fine di tutelare la sicurezza nazionale e di conseguire l'autonomia tecnologica e strategica nell'ambito della cybersicurezza".
Per far questo sono stati approvati il DPCM 30 aprile 2025, aggiornato dal DPCM 2 ottobre 2025. Segnalo che non so come trovare una versione consolidata del DPCM del 30 aprile 2025, visto che Normattiva non rende disponibile il DPCM.
Il punto è che vanno previsti "criteri di premialità per le proposte o per le offerte che contemplino l’uso “di tecnologie di cybersicurezza italiane o di Paesi appartenenti all'Unione europea o di Paesi aderenti alla NATO o di Paesi che sono parte di accordi di collaborazione con l’Unione europea o con la NATO in materia di cybersicurezza, protezione delle infrastrutture classificate, ricerca e innovazione”.
In altre parole: bisogna accertarsi che i prodotti IT vengano da Paesi "amici".
Per far questo, bisogna farsi dare la lista dei componenti (“Bill of Materials” o BOM).
ACN, per fornire linee guida su come devono essere le BOM, ha pubblicato le "Linee guida per l’applicazione dei criteri di premialità di cui all’articolo 14 della legge n. 90/2024": https://www.acn.gov.it/portale/linee-guida-applicazione-dei-criteri-premialita.
L'ho fatta lunga perché ci ho messo un po' io stesso a capire l'applicabilità di questo documento.
Purtroppo ACN non ha messo a disposizione questo documento in una pagina dedicata a questa documentazione. Spero riorganizzino al più presto il sito.
