Techsonar 2025-2026

L'EDPS ha messo a disposizione il "TechSonar Report 2025-2026": https://www.edps.europa.eu/data-protection/our-work/publications/reports/2025-11-24-techsonar-2025-2026_en.

 

Si tratta di un'analisi delle tendenze tecnologiche più significative e dei loro potenziali impatti sui dati personali e sulla sicurezza delle informazioni. Questa edizione si concentra su IA agentica, AI companions, supervisione automatica delle prove d'esame, apprendimento personalizzato con l'IA, codifica assistista di software e confidential computing.

Questionario fornitori del Clusit

Segnalo l'aggiornamento del "Questionario per la sicurezza dei fornitori" proposto dal Clusit: https://clusit.it/blog/questionario-per-la-sicurezza-dei-fornitori-versione-2/.

 

Ora è alla versione 2.2.

 

Io non apprezzo i questionari ai fornitori. Ribadisco che non devono essere i fornitori a dire cosa fanno ("a fra', che te serve?"), ma i clienti a dire cosa vogliono che facciano (determinando il livello di sicurezza necessario, a seguito di valutazione del rischio, non analizzando subito le proposte dei fornitori). All'imbianchino non chiedo con che colori intende pennellare: gli dico io di che colore fare le stanze.

 

Poi i fornitori possono dire, con giustificazioni, che alcune cose non le fanno e altre le fanno diversamente e sta al cliente stabilire se gli va bene oppure no. Così l'imbianchino può suggerirmi di non fare le pareti di bianco puro, ma leggermente sporco perché più riposante; e può anche segnalarmi l'opportunità di non imbiancare soltanto, ma anche di ripulire, stuccare e passare l'antimuffa.

Documento ACN su IA agentica e sicurezza

Franco Vincenzo Ferrari mi ha segnalato il documento di ACN "Agenti IA e Sicurezza: comprendere per governare": https://www.agid.gov.it/it/notizie/ia-agentica-e-sicurezza-informatica-online-lanalisi-del-cert-agid.

 

Mi viene da riassumere e commentare:

- se lasci che le macchina facciano cose da sole e senza supervisione, devi aspettarti errori;

- se scriviamo codice fallato da un centinaio di anni, ne scriveremo di fallato anche per l’IA e quindi l’IA farà errori, esattamente come gli essere umani;

- bisogna quindi limitare bene il raggio d’azione dell’IA (ma lo faranno in pochi, esattamente come sono separate le reti IT e OT, perché la convergenza è troppo comoda).

 

A margine: non capisco il titolo del documento; forse hanno fatto tradurre "Agentic AI" a un sistema di IA (che usa anche le maiuscole nei titoli, cosa prevista in inglese, ma non in italiano, come per i giorni della settimana e le nazionalità).

Piattaforma della CE per segnalare violazioni all'AI Act

La Commissione europea lancia una piattaforma per per segnalare violazioni all'AI Act: https://ai-act-whistleblower.integrityline.app/.

 

La notizia è qui: https://digital-strategy.ec.europa.eu/en/news/commission-launches-whistleblower-tool-ai-act.

 

Comincio a temere tutti questi strumenti di segnalazione, soprattutto quando un piccolo deve rendere conto a un grande potere. Temo che possa avere effetti simili all'ostracismo. E sappiamo che non funzionò bene all'epoca (e va bene che si parla di due millenni e mezzo fa, ma penso che l'esempio rimanga valido).

 

La mia paura nasce da un caso recente: un cliente che ha ricevuto richieste di pagamento da AGCOM; chiede chiarimenti,  ma ne riceve di talmente generici che non valgono nulla. In compenso ha pochissimo tempo per pagare. Vedremo come andrà a finire (magari è phishing, ma non sembra).

 

Ringrazio Project:IN Avvocati per la notizia della piattaforma della CE.

Attaco orchestrato da IA

Marco Gemo di Ecocerved mi ha segnalato la pagina "Disrupting the first reported AI-orchestrated cyber espionage campaign": https://www.anthropic.com/news/disrupting-AI-espionage.

 

Claude, sistema di IA, è stato usato per condurre attacchi a diverse organizzazioni. In questo caso, è stato usato come agente, ossia come macchina capace di prendere decisioni e operare in autonomia. La novità è che in passato i sistemi di IA venivano usati per supportare gli attacchi, non condurli in autonomia.

 

Non voglio fare né l’uccello del malaugurio né l’ottimista sul futuro della sicurezza informatica (finiremo a lavorare in parte off-line, come negli anni Ottanta? non una prospettiva così negativa, se pensiamo che una volta usciti dall’ufficio verremo lasciati in pace). Ci tocca aspettare e restare attenti.

Tassonomia incidenti ACN aggiornata

ACN ha aggiornato il documento "La tassonomia cyber dell’ACN": https://www.acn.gov.it/portale/w/la-tassonomia-cyber-dellacn.

 

Rispetto all'edizione precedente del 2024, aggiunge gli asset da correlare agli incidenti. Aggiunta importante, visto che prende 21 pagine in un documento di 77 pagine totali (di cui 15 riassuntive, quindi 62). Nella tabella riassuntiva, gli "Involved asset" occupano 6 pagine.

 

A mio parere, nulla di sconvolgente, visto che in fase di notifica, immagino, le categorie saranno già messe a disposizione dal sito del CSIRT.

 

Alcune cose amene:

- la pagina web di ACN dice che la data di pubblicazione è il 31/07/24 ore 15:15, ma è stato reso disponibile a novembre e nella storia delle versioni è indicato "Novembre 2025" (senza il giorno);

- continuo a non capire perché ci sia questo documento e ci sia anche l'allegato A (Tassonomia degli incidenti) del DPCM 81 del 2021;

- qualcuno si lamenta perché questo cambiamento avviene a 2 mesi dall'entrata in vigore dell'obbligo NIS di segnalare gli incidenti, ma non credo che si debbano cambiare necessariamente le procedure interne di un'organizzazione (si può far riferimento al documento ACN, senza riportarne i contenuti; io non ne trovo comunque l'utilità).