Sviluppo software, intelligenza artificiale e sicurezza

Roberto Piazzolla e Alessandro Vallega, il 12 gennaio 2026, hanno tenuto un webinar per il Clusit dal titolo "Vibe coding: programmare con l'AI, tra opportunità e rischi": https://clusit.it/blog/webinar-vibe-coding-programmare-con-lai-tra-opportunita-e-rischi/

Purtroppo è disponibile solo agli iscritti al Clusit. 

Posso dire che hanno parlato dei problemi di sicurezza del codice sviluppato con il supporto dell'IA.

Non mi dilungo oltre perché il contenuto è decisamente tecnico. Però posso riportare alcune raccomandazioni:

• bisogna formare i programmatori sulla sicurezza e i limiti dell'IA; inutile (e sbagliato) vietarla;
• se si usa il vibe coding, ossia si delega all'IA lo sviluppo o parte di esso, il lavoro si sposta sulla fase di test, funzionale e di sicurezza, e quindi il processo di sviluppo deve essere adattato (anche tecnologicamente, per esempio usando un'IA anche per i test);
• i possibili errori dell'IA implicano la necessità di segregare gli ambienti di sviluppo, test e produzione,
• effetto psicologico 1, sindrome dell'impostore: i programmatori si impauriscono quando vedono che l'IA, in alcuni casi, fa meglio di loro; ma questo solitamente succede a quelli bravi, quindi, se uno ha paura, vuol dire che è bravo e non deve aver paura;
• effetto psicologico 2, sindrome di Dunning-Kruger: i programmatori pensano di essere più bravi di quello che sono perché aiutati dall'IA; questo solitamente succede a quelli non bravi, quindi va prestata molta attenzione al fatto che potrebbero non controllare correttamente;
• effetto psicologico 3: il programmatore potrebbe non essere più soddisfatto dal proprio lavoro, visto che l'IA fa le cose divertenti (risolvere problemi), e poi, senza più la dopamina scatenata dalla gioia di risolvere problemi, potrebbe lavorare male e questo va affrontato.

I maschi possono fare tutto (marzo 2026)

Segnalo il libro di Riccardo Marco Scognamiglio e Simone Matteo Russo dal titolo "Adolescenti digitalmente modificati (ADM), del 2018 e per l'editore Mimesis.

E' interessante, nonostante i troppi paroloni e un orientamento verso gli operatori e non ai genitori (nonostante la copertina accattivante). 

Prima caratteristica degli Adolescenti digitalmente modificati (ADM) è, ovviamente l'uso dei dispositivi informatici. Primo effetto: sono abituati a reagire sempre più rapidamente agli stimoli visivi. Effetto successivo: la motivazione è sempre più legata al piacere immediato. 

Nella pratica, questo lo si vede perché i ragazzi cercano stimolazione, per esempio attraverso comportamenti di disturbo in classe. 

Altro effetto della costante reattività è che non permette lo sviluppo di un pensiero prospettico. Quarto effetto: pensare al futuro mette angoscia. Quindi, ancora, l'angoscia viene riempita (come un gatto che si morde la coda) con il partecipare a chat e ambienti di confronto veloci, dove nulla è approfondito.

Seconda caratteristica, i ragazzi fanno sempre meno esperienza di rapporti in cui sforzarsi d'inventare modi per trascorrere creativamente del tempo insieme. Questo in parte per la ricerca di rapporti veloci e superficiali e in parte perché sono sempre più organizzati con scuola e corsi post-scolastici o attaccati a TV o dispositivi IT. Effetto sono le difficoltà sociali, visto che la socialità richiede pazienza e capacità di organizzazione (rimane un desiderio sociale ed è per questo che vanno a scuola). Effetto del rifiuto della fatica emotiva è il non riconoscimento dell'altro. Quindi sono disinibiti, non per coraggio, ma perché non riconoscono l'altro. 

Il disinteresse per l'altro insieme alla ricerca del piacere immediato porta all'esibizionismo anche eccessivo (anche mettendo a disposizione foto intime) e il menefreghismo (l'importante è piacersi e avere prove di piacere, non il resto).

Quindi ancora si nota il mancato adattamento alle situazioni e al contesto (nota mia: infatti i bambini e i ragazzi non sembrano capire assolutamente che è necessario comportarsi in modo leggermente diverso con persone o in posti diversi). 

Altro aspetto è l'appiattimento delle gerarchie, dove tutti si danno del tu, non dovuto alla digitalizzazione, ma sicuramente facilitato e amplificato dall'uso dei social e dei forum online. Effetto noto sono le contestazioni agli esperti. In famiglia, dall'altra parte, i genitori tendono a essere molto accomodanti e a fare gli amici (a mio parere, le ragioni sono anche altre) e questa mancanza di costrizioni non invita la separazione dai genitori.

Ritornando a prima, i ragazzi evitano le emozioni e le evitano con il menefreghismo, ma poi si presentano, per esempio con la bocciatura a scuola o "no" dei genitori e il risultato è un'esperienza traumatica. 

L'uso di pc e tv ha altri effetti:

• toglie il piacere ricavato dallo sforzo di immaginazione;
• la capacità mnemonica si riduce poiché la possibilità di recuperare in ogni momento le informazioni non crea il bisogno di memorizzarle (nota mia: questa era anche la critica ai libri, tanti e tanti secoli or sono).

Cause della mancata regolazione sono anche le sregolatezze non digitali (mangiare cibo spazzatura, mangiare senza orari fissi, cambiamenti nei ritmi sonno-veglia soprattutto nel fine settimana, postura scorretta) ed effetti sono anche la ricerca del gioco e il consumo dell'alcool e di sostanze (nota mia: però queste cose c'erano anche negli anni Ottanta); 

Cosa fare? Il libro ha una parte sul cosa fare, ma è destinata agli psicologi o psicoterapeuti. Però qualche cosina l'ho trovata:

• a fronte dei "no" e dei limiti, l'adulto deve considerare il ragazzo e le sue risposte e non deve essere impositivo senza spiegazioni (tra l'altro, alcune cose che imponiamo come genitori sono cose che a noi davano disagio da ragazzi, quindi è forse il caso di ripensarci);
• sicuramente l'approccio dei docenti che cercano di governare i ragazzi con ribassi o rialzi della richiesta didattica non è funzionale, visto che non sta arginando la demotivazione né sta facilitando la gestione dei comportamenti (nota mia: questo l'avevo capito anche io!);
• è compito degli adulti mettere dei limiti che, tra l'altro, portano il ragazzo al confronto, necessario per valutare le norme imposte; inoltre i limiti proteggono e permettono di valutare i loro vantaggi e svantaggi e poi fare scelte responsabili (infatti, dicono, la libertà non è direttamente proporzionale al senso di benessere, visto che il benessere è determinato dalla capacità di buon adattamento).

USA, Trump e l'uso dell'IA

Segnalo questo articolo dal titolo "Trump ha dichiarato guerra ad Anthropic. E la safety dell'AI è diventata un reato": https://avvocatogiovannapanucci.substack.com/p/trump-ha-dichiarato-guerra-ad-anthropic.

Più che di sicurezza informatica, delle informazioni o cyber o di rischi dell'IA, qui il punto di discussione è la cosiddetta sovranità digitale. Di più ribadisco quanto già detto in precedenza: se non ci muoviamo (come Europa, ovviamente), rimarremo subordinati, ossia sfruttati e destinati a deperire.

Tassonomia incidenti ACN per Legge 90

ACN ha pubblicato la tassonomia degli incidenti per la Legge 90: https://www.acn.gov.it/portale/w/legge-90/2024-adottata-la-tassonomia-degli-incidenti-che-fanno-scattare-l-obbligo-di-notifica.

Un obiettivo era quella di allinearla a quella degli incidenti NIS. Infatti dicono che questa tassonomia è relativa alla L. 90 ed è coerente con la Determinazione ACN n. 379907 sugli incidenti NIS, rileva  anche  ai  fini dell'adempimento dell'obbligo di notifica degli incidenti NIS. 

Ciò non toglie che rimangono in vigore due Determine (o Determinazioni) sugli incidenti:

• la 379907 del 19 dicembre sugli incidenti NIS;
• la 9 febbraio 2026  sugli incidenti L. 90 (e senza la dignità di avere un suo numero, ma solo una data).

Se ne poteva fare una unica o far riferimento a quella per la NIS.

E poi la determina per la L. 90 è leggermente diversa da quella NIS, visto che quella NIS ha un’ulteriore tipologia di incidente per i soggetti essenziali (quello sugli accessi non autorizzati e abuso di privilegi).

E già che sto criticando, aggiungo che sulla Legge 90, non mi sembra che ACN abbia messo a disposizione una pagina web.

CERT-EU Cyber Threat Intelligence Framework

Segnalo questo post dal titolo "Il CERT-EU introduce un Cyber Threat Intelligence Framework":
https://www.linkedin.com/feed/update/urn:li:activity:7431656886808125440/.

Il CERT-EU Cyber Threat Intelligence Framework è qui:
https://www.cert.europa.eu/publications/threat-intelligence/cyber-threat-intelligence-framework/.

Si tratta di uno schema per la classificazione le minacce tecnologiche.

17-19 marzo: Security summit a Milano

Dal 17 al 19 marzo a Milano c'è il Security Summit, organizzato dal CLUSIT.

Io sarò lì il 19 anche per vedere e, in un caso, presentare due amici-colleghi-professionisti della:

• incontro con Uninfo (11.20): https://securitysummit.it/milano-2026/security-summit-milano-2026-seminario-uninfo;
•  incontro con Digital Forensics Alumni  (15.20): https://securitysummit.it/milano-2026/security-summit-milano-2026-digital-forensics-per-la-gestione-degli-incidenti.

Spero di venire anche il 18 alle 14 per "Risorse e prospettive sull’Intelligenza Artificiale" perché verrà presentato un progetto a cui ho preso parte (però forse sono a fatturare): https://securitysummit.it/milano-2026/risorse-e-prospettive-sullintelligenza-artificiale.

I maschi possono fare tutto (Febbraio 2026)

Ho scoperto che a inizio anno le scuole inseriscono feste e spettacoli. Solitamente questo succedeva a maggio, insieme alla comunioni e alle cresime. Ma ormai tutto è saltato (il mio figlioccio ha fatto la cresima a ottobre, addirittura).

Quindi bisogna, a sorpresa, trovare camicie bianche piccoline e papillon rossi fuori stagione (qualche anno fa se ne occupò mia moglie, ma, appunto, era maggio e i negozi erano ben preparati). Ovviamente i figli non segnalano queste richieste con anticipo, ma solo un paio di giorni prima. 

Ce l'ho fatta, ma è veramente il momento di guardare con nostalgia al passato, quando le scuole non prendevano queste iniziative (e forse i ragazzi, i genitori e anche gli insegnanti erano meno stressati).

ENISA EU ICT Supply Chain Security Toolbox

Il NIS Cooperation Group di ENISA ha pubblicato il "EU ICT Supply Chain Security Toolbox": https://digital-strategy.ec.europa.eu/en/library/toolbox-improve-ict-supply-chain-security.

Ringrazio Franco Vincenzo Ferrari per avermelo segnalato. 

Si tratta di un documento di presentazione generale e 2 documenti esemplificativi (sui veicoli automatizzati e sui dispositivi di rilevazione) che illustrano alcune modalità per controllare la catena di approvvigionamento ICT.

L'ho trovato molto confuso:

- il documento presenta 11 scenari di rischio in parte molto specifici (da aggiungere, forse, a quelli per i veicoli automatizzati e i dispositivi di rilevazione) in parte generici; essi sembrano essere casi reali di minacce, che forse sono quelle presentate in Appendice 1;

- gli scenari sono seguiti da 7 misure decisamente generiche, senza che aiutino a capire come selezionare e monitorare i fornitori;

- gli altri due documenti sembrano slegati dal primo; tra l'altro, non ho capito neanche tanto bene cosa sono i "detection equipment", visto che non c'è una definizione; essi seguono tassonomie diverse dal documento generale. 

La lettura, se non si cerca uno schema specifico, è comunque interessante. Segnalo poi, nel documento generale, il paragrafo 1.4 (Legal framework and policy measures) che mette in fila le diverse normative europee relative alla sicurezza informatica.

Moltbook

Mooltbook è un social network per agenti IA, ossia sistemi di IA che non solo presentano risposte, ma agiscono. I casi più noti sono forse alcune estensioni di Claude che, se collegato a un browswer, compila form per l'utente.

La cosa è divertente perché si può vedere come le IA socializzano e viene un brivido immaginando a come si potrebbe sviluppare Skynet. Però, nell'oggi, questo ci ricorda di prestare sempre molta attenzione a come usiamo l'IA, visto che permetterle l'accesso a dati critici e autorlizzarla ad agire come meglio crede presenta molti rischi.

Ringrazio Marco Gemo per avermi segnalato la questione.

Io, a mia volta, segnalo questo articolo dal titolo "Moltbook, ovvero cosa succede quando metti un milione di agenti AI in un social network tutto per loro": https://www.wired.it/article/moltbook-social-agenti-ai-openclaw-come-funziona-rischi/.

La versione originale in inglese ha titolo "AI agents now have their own Reddit-style social network, and it’s getting weird fast": https://arstechnica.com/information-technology/2026/01/ai-agents-now-have-their-own-reddit-style-social-network-and-its-getting-weird-fast/.

Circolare 285 di Banca d'Italia - 51° aggiornamento e DORA

Franco Vincenzo Ferrari mi ha segnalato questo post su LinkedIn con titolo "Circolare 285 – Cosa cambia con il 51° aggiornamento (DORA)": https://www.linkedin.com/posts/andreacrosilla_circolare285-bancaditalia-dora-activity-7425518749715394560-MUd0.

E' sintetico di suo, quindi io riduco al minimo il mio intervento:

- Banca d'Italia ha pubblicato il 51° aggiornamento della Circolare 285, allineando la disciplina nazionale al nuovo quadro europeo introdotto da DORA (Reg. UE 2022/2554 – Digital Operational Resilience Act): https://www.bancaditalia.it/compiti/vigilanza/normativa/archivio-norme/circolari/c285/index.html;

- le novità significative per chi si occupa di sicurezza delle informazioni sono al Titolo IV "Governo societario, controlli interni e gestione del rischio";

- il capitolo 3 è stato aggiornato per integrare i nuovi obblighi DORA;

- il capitolo 4 (Il Sistema Informativo) è stato significativamente aggiornato, eliminando molte parti in quanto coperte da DORA; ora fa riferimento esclusivo e integrale ai requisiti previsti da DORA e dai relativi RTS/ITS.

- le disposizioni sui servizi di pagamento si sono adeguate agli Orientamenti EBA 2025 (EBA/GL/2025/02) in materia di sicurezza ICT per i PSP.

Libro "Sicurezza delle informazioni" ed. 2026

Finalmente sono riuscito a pubblicare l'aggiornamento del mio libro "Sicurezza delle informazioni": https://www.cesaregallotti.it/libro.html.

Questa quinta edizione, con le Alpi Giulie (Lago di Fusine) in copertina, `e un aggiornamento dovuto all’entrata in vigore della NIS2, del Regolamento europeo sull’intelligenza artificiale e alla pubblicazione di nuove edizioni di alcune norme ISO.

Segnalatemi eventuali errori che correggerò nella prossima versione (non prima del 2030!). Sicuramente ce ne sono perché avrei dovuto rileggerlo almeno 10 volte e non solo 3 (peraltro un po' annoiato perché sapevo già come va a finire) e perché, oltre ai soliti errorini di formattazione, ho dovuto riesumare il mio vecchio Windows 10 perché il MikTeX di dà problemi con il Windows 11 e anche così non sono riuscito a generare l'indice analitico nell'epub.

ITIL 5

Se ho capito bene, da fine gennaio 2026 è disponibile la certificazione ITIL 5 Foundation: https://www.peoplecert.org/Frameworks-Professionals/ITIL-framework.

Le cose che mi lasciano perplesso è che non si parla di libri e che non sono pronti gli esami superiori.

Chi è dentro questo mercato sicuramente saprà tutto, ma io non credo che seguirò più questa materia: lanciare esami senza aver pubblicato un libro non mi pare molto sensato. Nel seguito faranno tutto, ma il processo non mi convince.

 

Manualetto di sicurezza digitale per giornalisti e attivisti

Segnalo la pubblicazione di Guerre di rete "Manualetto di sicurezza digitale per giornalisti e attivisti":
https://www.guerredirete.it/download-ebook-2025.

Credo che vada bene anche per non giornalisti e non attivisti.

Critica: manca una sintesi, che, credo, avrebbe fatto comodo. Per il resto: ottimo.

Incidenti significativi NIS per ACN (parte 2)

Il 17 gennaio avevo scritto un posto sulla definizione di "incidente significativo" fornita da ACN per i soggetti NIS nelle "Specifiche di base per l'adempimento agli obblighi di cui agli articoli 23, 24, 25, 29 e 32 del decreto NIS": https://blog.cesaregallotti.it/2026/01/incidenti-significativi-nis-per-acn.html.

Ho avuto un interessante scambio di email con Marco Manganiello. Infatti mi ha ricordato che la definizione di ACN dovrebbe essere letta insieme a quella presente nel D. Lgs. 138 del 2024 (art. 25, comma 4), che è norma primaria. Una Determinazione ACN non può innovare rispetto a essa.

Pertanto, la definizione di incidente significativo IS-1 ottenuta dalla somma di D. Lgs. 138 e Determinazione dovrebbe essere: “Il soggetto NIS ha evidenza della perdita di riservatezza, verso l'esterno, di dati digitali di sua proprietà o sui quali esercita il controllo, anche parziale. Tale evento ha causato o è in grado di causare una grave perturbazione operativa dei servizi o perdite finanziarie per il soggetto interessato; o ha avuto ripercussioni o è idoneo a provocare ripercussioni su altre persone fisiche o giuridiche causando perdite materiali o immateriali considerevoli”.

Similmente andrebbero tradotte le IS-2, IS-3 e IS-4.

Rimane il fatto che un’email inviata all'indirizzo sbagliato potrebbe sempre rientrare in questa definizione perché non blocca il servizio, ma può incorrere in una sanzione del Garante con “perdite finanziarie per il soggetto interessato”.

Alcune considerazioni:

• potevano dircelo meglio, piuttosto che lasciare a noi il bricolage, non ignorare completamente il testo del D. Lgs. 138;
• nelle linee guida potevano aiutare di più con l’interpretazione di queste definizioni (inclusa l'interpretazione di "verso l'esterno", termine decisamente vago);
• l’implementing act della CE specifica molto meglio cosa si intende per “grave perturbazione operativa” e "perdite finanziarie", fornendo parametri quantitativi; mi sembra che dovesse essere quella la strada da seguire, non una frase generica “un evento che porta a perdita di riservatezza, integrità o disponibilità”.

Incidenti significativi NIS per ACN

Come già detto, ACN ha aggiornato le "Specifiche di base per l'adempimento agli obblighi di cui agli articoli 23, 24, 25, 29 e 32 del decreto NIS": https://www.acn.gov.it/portale/nis/la-normativa.

Ho avuto quindi modo di rileggere le definizioni di incidenti significativi e sono rimasto perplesso.

Il primo tipo di incidente significativo è quando "Il soggetto NIS ha evidenza della perdita di riservatezza, verso l'esterno, di dati digitali di sua proprietà o sui quali esercita il controllo, anche parziale".

Quindi rientrano tutti i casi di perdita di riservatezza di dati digitali, a prescindere dalla loro criticità (o classificazione): l'email inviata all'indirizzo sbagliato, il vicino sul treno che spia lo schermo del pc, il vocale ascoltato in viva voce sul metrò, eccetera. Mi sembra un po' eccessivo, però vuolsi così colà ove si puote ciò che si vuole e più non dimando.

Il secondo tipo di incidente significativo è quando "Il soggetto NIS ha evidenza della perdita di integrità, con impatto verso l'esterno, di dati digitali di sua proprietà o sui quali esercita il controllo, anche parziale".

Anche qui si capisce che anche un record corrotto, a prescindere dalla sua criticità, va notificato. O anche quello con qualche carenza, come la certificazione unica senza la seconda pagina.

Il terzo tipo introduce, finalmente, qualche criterio di criticità: "Il soggetto NIS ha evidenza della violazione dei livelli di servizio attesi dei suoi servizi e/o delle sue attività, sulla base dei livelli di servizio atteso (SL) definiti ai sensi della misura DE.CM-01".

Qui val la pena ricordare che i fornitori di servizi IT possono (e devono) ricavare questi SL dal Regolamento di esecuzione (UE) 2024/2690 della Commissione (ma sappiamo che ACN ignora completamente questo Regolamento, anche nelle FAQ, lasciandoci così con mille dubbi).

Infine, solo per i soggetti essenziali, è un incidente significativo quando "Il soggetto NIS ha evidenza, anche sulla base dei parametri quali-quantitativi definiti ai sensi della misura DE.CM-01, dell'accesso, non autorizzato o con abuso dei privilegi concessi, a dati digitali di sua proprietà o sui quali esercita il controllo, anche parziale".

Quindi, assurdamente, un'azienda chimica registrato come soggetto NIS importante (o anche essenziale, a ben vedere) ha evidenza di un'intrusione sui propri sistemi OT e non lo deve dichiarare entro 24 al CSIRT. Questo anche se ACN ha detto che una delle ragioni per chiedere una notifica entro le 24 ore era quella di avere notizia di eventi che potrebbero propagarsi o ripetersi e quindi poter intervenire.

Traduzione: è possibile un intervento tempestivo per l'email inviata all'indirizzo sbagliato e non per un'intrusione a degli impianti di produzione.

O io non ho capito o la categorizzazione degli incidenti "significativi" potrebbe essere migliorata.

Gli uomini possono fare tutto (Gennaio 2026)

Durante le vacanze di Natale e Capodanno, un mio virgulto ha detto: "Mi piace cucinare e stirare".

Poi non è che abbia cucinato e stirato molto, ma è già un inizio. 

Quindi: buon 2026 a tutti.

PS: purtroppo i maschi possono anche ammazzare per una ragazza o una donna, come successo recentemente. Come se la scelta della ragazza o donna sia frutto di inganni di uno e non perché non si trova bene con l’altro. Come se, così facendo, miracolosamente la ragazza o donna possa cambiare idea. O, peggio, supponendo che manchi di cervello, si adegui a stare con quello rimasto vivo.

Articolo 2086 del Codice Civile, sicurezza delle informazioni e continuità

Non conoscevo l'articolo 2086 del Codice Civile. In particolare, il D. Lgs. 14 del 2019 ha aggiunto il secondo comma:

L'imprenditore [...]ha il dovere di istituire un assetto organizzativo, amministrativo e contabile adeguato alla natura e alle dimensioni dell'impresa, anche in funzione della rilevazione tempestiva della crisi dell'impresa e della perdita della continuità aziendale, nonché di attivarsi senza indugio per l'adozione e l'attuazione di uno degli strumenti previsti dall'ordinamento per il superamento della crisi e il recupero della continuità aziendale. 

Inutile segnalare cosa questo vuol dire per chi si occupa di sicurezza delle informazioni, qualità e continuità.

Sono venuto a conoscenza di ciò grazie a questo articolo: https://www.filodiritto.com/art-2086-cc-e-adeguati-assetti-organizzativi-governance-cybersicurezza-e-responsabilita-degli-amministratori.

Guida EDPS per la gestione del rischio per i sistemi IA

Andrea Solimeno di Selexi mi ha segnalato il documento "Guidance for Risk Management of Artificial Intelligence systems": https://www.edps.europa.eu/data-protection/our-work/publications/guidelines/2025-11-11-guidance-risk-management-artificial-intelligence-systems_en.

E' estremamente interessante perché mette insieme, in modo chiaro, i rischi "propri" dell'IA, ossia quelli di spiegabilità, di bias, di inaccuratezza, di raccolta dei dati, di riservatezza e privacy (ovviamente).

Ministero del lavoro: Linee guida per l'implementazione dell'IA

Il Ministero del lavoro e delle politiche sociali ha pubblicato le "Linee guida per l’implementazione dell’IA nel mondo del lavoro": https://trasparenza.lavoro.gov.it/archivio28_provvedimenti-amministrativi_0_414_725_1.html.

Il documento riporta molte cose utili per affrontare meglio l'introduzione e l'uso dell'IA. Nulla di troppo pratico, però. Sono elencati "strumenti", ma senza che ne siano forniti esempi o link. Mi sembra quindi che abbiano lavorato al documento soprattutto consulenti, nel bene e nel male. 

Fa riferimento, per la formazione, al Pact for skills della Commissione europea (https://pact-for-skills.ec.europa.eu/index_en), ma non ho capito bene come aderire. Forse dovrei avere più pazienza, ma il materiale che ho intravisto non mi ha convinto a dedicarci più tempo.

Però ne raccomando la lettura perché riassume alcune cose che è bene sapere bene: i principi guida, i rischi e come affrontarli (almeno secondo l'AI Act), gli accorgimenti. C'è anche altro. 

Il documento l'ho ricevuto direttamente in pdf, mentre io preferisco riportare la pagina web da dove scaricarlo. Cercando questa pagina web, ho trovato tante pagine relative alla consultazione per produrlo, in particolare quella di ParteciPA; peccato che nessuna riporti anche il link per la versione definitiva. Come se ci fosse una corsa alle bozze e non alla versione finale, in questo e in altri contesti.

SA 8000:2026 - Standard per il lavoro dignitoso

Andrea Berni, degli Idraulici della privacy, mi ha segnalato la pubblicazione della nuova versione della SA 8000 " Standard for decent work": https://sa-intl.org/resources/sa8000-standard/.

Riporto il commento di Andrea:

Il SAI ha emesso la nuova versione dello standard SA 8000, è lo standard più diffuso in materia di Corporate Social Responsibility. Nella nuova versione dello standard è stata introdotta, nei Core Criteria, la privacy come nuovo requisito; pertanto questo sistema di gestione, che copre i temi giuslavoristici e di salute e sicurezza, ora si estende anche alla protezione dei dati.

 

NIST SP 800-61 Rev. 3 su gestione degli incidenti e CSF 2.0

Chiara Ponti, degli Idraulici della privacy, mi ha segnalato la pubblicazione della NIST SP 800-61 Rev. 3 "Incident Response Recommendations and Considerations for Cybersecurity Risk Management: A CSF 2.0 Community Profile": https://csrc.nist.gov/pubs/sp/800/61/r3/final.

In sostanza, correla le misure del CSF 2.0 al processo di gestione degli incidenti. 

Tutto giusto e tutto bello, però mi sembra soprattutto un esercizio di stile. Lo dico perché la pubblicazione cerca di collegare tutte le misure del CSF alla gestione degli incidenti (si tratta di un tabellone da pagina 19 a pagina 43), forzando il lettore a leggere un sacco di roba inutile. Sarebbe stato più efficace, forse, concentrarsi sulle misure specifiche di gestione degli incidenti (e sarebbe forse diventata una guida più utile della troppo ponderosa ISO/IEC 27035).

 

Aggiornamento misure di base ACN per soggetti NIS

ACN ha pubblicato la Determinazione 379907/2025 del 19 dicembre 2025, che aggiorna quella sulle misure di sicurezza del 14 aprile.

Per scaricarla (grazie a Riccardo Lora per la segnalazione): https://www.acn.gov.it/portale/nis/la-normativa. 

Per sapere quali sono le modifiche, si può leggere la FAQ DSB.1 (grazie a Filippo Bianchini per la segnalazione): https://www.acn.gov.it/portale/faq/nis/misure-notifiche-base.

Non mi sembrano cambiamenti da urlo perché si tratta di piccoli raffinamenti. Però io dovrò aggiornare il VERA: anche se si tratta di poche cose, è meglio ridurre gli errori. 

Linee guida ACN sulla gestione degli incidenti

ACN ha pubblicato " NIS2, Linee Guida sul processo di gestione degli incidenti di sicurezza informatica. Indicazioni non vincolanti per l’attuazione delle misure di sicurezza di base": https://www.acn.gov.it/portale/w/nis2-linee-guida-sul-processo-di-gestione-degli-incidenti-di-sicurezza-informatica.

Ci sono cose interessanti, anche se non penso che possa veramente aiutare chi non ha esperienza in questo campo. 

Ho trovato interessanti, in mezzo a troppi elementi da fuffaware (politiche, riferimenti incrociati ad altre misure, ecc.):

- il punto 2.2 elenca esempi di eventi di sicurezza informatica;

-  il punto 2.3.4 elenca attività da prevedere per l'eradicazione.

Ringrazio gli Idraulici della privacy (e in particolare Giovanni Ciano) per la segnalazione.