Il tribunale di Roma annulla la multa del Garante e ChatGPT

Segnalo l'articolo "Tribunale Roma blocca maxi sanzione Garante Privacy contro OpenAI e ridisegna i confini del trattamento dati": https://assodigitale.it/tribunale-roma-blocca-maxi-sanzione-garante-privacy-contro-openai-e-ridisegna-i-confini-del-trattamento-dati/.

 

La notizia interessa sia per i suoi impatti sull'intelligenza artificiale, ma bisognerà leggere le motivazioni prima di dire alcunché.

 

Interesse ulteriore è l'annullamento da parte della giustizia ordinaria. In altre parole: il Garante può sanzionare, ma può anche essere contestato. Ovviamente, è bene ricordare che conviene sempre seguire le indicazioni del Garante per evitare lunghi e costosi procedimenti giudiziari, anche se poi si vincono. E' quando non conviene più seguirle che nascono i problemi (per il Garante, sembrerebbe in questo caso).

 

Grazie (ancora!) a Christian Bernieri per la segnalazione agli Idraulici della privacy.

Applicazioni che indicano la posizione

Segnalo questo articolo "U.S. soldiers are revealing sensitive and dangerous information by jogging": https://www.washingtonpost.com/world/a-map-showing-the-users-of-fitness-devices-lets-the-world-see-where-us-soldiers-are-and-what-they-are-doing/2018/01/28/86915662-0441-11e8-aa61-f3391373867e_story.html.

 

Mi chiedo perché attivare la geolocalizzazione e lo so già: non la si disattiva mai e le app che, per i motivi più strani, la vogliono usare, la usano. Non capisco neanche perché Strava registri la posizione dei suoi utilizzatori. Forse capisco perché gli utilizzatori non disabilitino questa funzionalità: perché si avvia di default ed è scomodo disabilitarla, oppure perché fa parte dei mille "sì" che bisogna fornire per avviarla.

 

E così gran parte degli incidenti nascono da produttori a cui non importa né della privacy né della sicurezza e da utilizzatori pigri.

 

Ringrazio Christian Bernieri per averlo segnalato agli Idraulici della privacy.

Bozza di linee guida per il CRA

Ricordo che il Regolamento UE 2024/2847, detto cyber resilience act (CRA) mira a garantire "che i prodotti con componenti digitali, ad esempio i prodotti dell'internet delle cose, siano resi sicuri lungo l'intera catena di approvvigionamento e per tutto il ciclo di vita". Aggiungo che riguarda anche i pacchetti software e le app.

 

Per una sua migliore interpretazione, la Commissione europea ha pubblicato, ancora in bozza, la "Commission guidance on the Cyber Resilience Act": https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/16959-Draft-Commission-guidance-on-the-Cyber-Resilience-Act_en (ringrazio la newsletter di Project:IN Avvocati).

 

A me sembra un supporto all'interpretazione di alcuni punti (per esempio, su cosa si intende per prodotto, per elaborazione dei dati a distanza, per modifiche significative), non una linea guida per capire come implementare le indicazioni del CRA.

 

Intanto ricordiamoci che la scadenza è il dicembre 2027.

 

Sono poi in elaborazione alcuni standard europei di supporto tecnico, ossia le norme della serie EN 40000. Da monitorarne l'avanzamento.

Wiki AI Security del Clusit

Segnalo la wiki AI Security: https://aisecurity.clusit.it/.

 

Si tratta del lavoro di un ampio insieme di professionisti che hanno collaborato nella scelta e redazione delle voci (lemmi).

 

Segnalo che ho avuto un ruolo in tutto ciò, in particolare di revisione (insieme ad altri) dei contenuti. E' stata una bellissima esperienza, soprattutto quando obbligavo certi professionisti, molto bravi e preparati, ad aggiungere o migliorare lemmi. Come andare, con le dovute proporzioni, da Einstein e chiedergli di scrivere una paginetta su come è fatto un atomo.

 

Tutto può essere migliorato e abbiamo già alcune idee di lemmi da aggiungere e su come proseguire. Per intanto, ringrazio tutta la Clusit Community for Security.

Stato degli standard ISO/IEC 270xx

La settimana del 9 marzo si è tenuto a Norimberga l'incontro semestrale del  SC 27, che gestisce alcuni standard importanti per la sicurezza delle informazioni; in particolare la ISO/IEC 27001 e la ISO/IEC 27701.

Non ci sono state grandi novità da segnalare. In particolare il WG 5, che si occupa di privacy, ha lavorato su alcuni standard per me di scarso interesse perché decisamente specialistici.

Il WG 1, che si occupa degli standard relativi ai sistemi di gestione, ha lavorato sulle prossime versioni di:

• ISO/IEC 27003, relativa all'interpretazione della ISO/IEC 27001; se ne prevede la pubblicazione a inizio 2028; 
• ISO/IEC 27007 con indicazioni per la conduzione degli audit sulla ISO/IEC 27001, ulteriori rispetto a quelle già presenti nella ISO 19011; se ne prevede la pubblicazione a metà 2027.
  

Si è anche cominciato a discutere su come impostare le future versioni della ISO/IEC 27005 e ISO/IEC 27002. A mio parere si sta andando sempre più verso un'astrazione dei concetti, allontanandosi da praticità e quindi utilità dei documenti.

Sulla ISO/IEC 27003, per esempio, c'è stata una discussione sulla differenza tra accettare e mantenere il rischio. Sicuramente intellettualmente importantissima, ma non per un utilizzo pratico (da dire poi che si prevede che invece la ISO 31000 cambierà molta terminologia, introducendo nuovamente il "trasferimento" al posto della "condivisione" del rischio, concettualmente scorretto).

L'adolescenza dell'intelligenza artificiale

Dario Amodei, una delle menti dietro Anthropic, ossia del modello di IA Claude, ha scritto un saggio dal titolo "The Adolescence of Technology": https://www.darioamodei.com/essay/the-adolescence-of-technology.

Io non l'ho letto perché ho invece letto il bel riassunto con commento di Giovanna Panucci: https:/avvocatogiovannapanucci.substack.com/p/ladolescenza-della-tecnologia-il. 

Non ho letto il riassunto per pigrizia o chissà che, ma perché è il documento che mi ha fatto conoscere il saggio vero e proprio, che è anche abbastanza breve.

Chiara Ponti mi ha segnalato il riassunto, sempre in italiano, postato da Rosario Piazzese su LinkedIn (ci vuole, ahimè, la password): https://www.linkedin.com/feed/update/urn:li:activity:7436456707419017216/. 

Non oso riassumere niente a mia volta. Vale la pena leggere almeno uno dei link.

Attacchi ai data center Amazon in Dubai

Sandro Sanna mi ha segnalato che diversi data center di Amazon sono stati attaccati a Dubai come rappresaglia dell'Iran. Ho trovato questo articolo dal titolo "Amazon cloud unit's data centers in UAE, Bahrain damaged in drone strikes": https://www.reuters.com/world/middle-east/amazon-cloud-unit-flags-issues-bahrain-uae-data-centers-amid-iran-strikes-2026-03-02/.

E' logico ipotizzare che i data center dei giganti in Europa potrebbero essere a loro volta dei bersagli, anche se non lo auguro a nessuno. 

Se non ci occupiamo noi di politica, la politica si occupa comunque di noi. Solo che io non saprei come evitare di diventare un altro Portorico e fare in modo che i Paesi europei (con l'Italia) si attivino per una vera sovranità digitale.

Sviluppo software, intelligenza artificiale e sicurezza

Roberto Piazzolla e Alessandro Vallega, il 12 gennaio 2026, hanno tenuto un webinar per il Clusit dal titolo "Vibe coding: programmare con l'AI, tra opportunità e rischi": https://clusit.it/blog/webinar-vibe-coding-programmare-con-lai-tra-opportunita-e-rischi/

Purtroppo è disponibile solo agli iscritti al Clusit. 

Posso dire che hanno parlato dei problemi di sicurezza del codice sviluppato con il supporto dell'IA.

Non mi dilungo oltre perché il contenuto è decisamente tecnico. Però posso riportare alcune raccomandazioni:

• bisogna formare i programmatori sulla sicurezza e i limiti dell'IA; inutile (e sbagliato) vietarla;
• se si usa il vibe coding, ossia si delega all'IA lo sviluppo o parte di esso, il lavoro si sposta sulla fase di test, funzionale e di sicurezza, e quindi il processo di sviluppo deve essere adattato (anche tecnologicamente, per esempio usando un'IA anche per i test);
• i possibili errori dell'IA implicano la necessità di segregare gli ambienti di sviluppo, test e produzione,
• effetto psicologico 1, sindrome dell'impostore: i programmatori si impauriscono quando vedono che l'IA, in alcuni casi, fa meglio di loro; ma questo solitamente succede a quelli bravi, quindi, se uno ha paura, vuol dire che è bravo e non deve aver paura;
• effetto psicologico 2, sindrome di Dunning-Kruger: i programmatori pensano di essere più bravi di quello che sono perché aiutati dall'IA; questo solitamente succede a quelli non bravi, quindi va prestata molta attenzione al fatto che potrebbero non controllare correttamente;
• effetto psicologico 3: il programmatore potrebbe non essere più soddisfatto dal proprio lavoro, visto che l'IA fa le cose divertenti (risolvere problemi), e poi, senza più la dopamina scatenata dalla gioia di risolvere problemi, potrebbe lavorare male e questo va affrontato.

I maschi possono fare tutto (marzo 2026)

Segnalo il libro di Riccardo Marco Scognamiglio e Simone Matteo Russo dal titolo "Adolescenti digitalmente modificati (ADM)", del 2018 e per l'editore Mimesis.

E' interessante, nonostante i troppi paroloni e un orientamento verso gli operatori e non ai genitori (nonostante la copertina accattivante). 

Prima caratteristica degli Adolescenti digitalmente modificati (ADM) è, ovviamente l'uso dei dispositivi informatici. Primo effetto: sono abituati a reagire sempre più rapidamente agli stimoli visivi. Effetto successivo: la motivazione è sempre più legata al piacere immediato. 

Nella pratica, questo lo si vede perché i ragazzi cercano stimolazione, per esempio attraverso comportamenti di disturbo in classe. 

Altro effetto della costante reattività è che non permette lo sviluppo di un pensiero prospettico. Quarto effetto: pensare al futuro mette angoscia. Quindi, ancora, l'angoscia viene riempita (come un gatto che si morde la coda) con il partecipare a chat e ambienti di confronto veloci, dove nulla è approfondito.

Seconda caratteristica, i ragazzi fanno sempre meno esperienza di rapporti in cui sforzarsi d'inventare modi per trascorrere creativamente del tempo insieme. Questo in parte per la ricerca di rapporti veloci e superficiali e in parte perché sono sempre più organizzati con scuola e corsi post-scolastici o attaccati a TV o dispositivi IT. Effetto sono le difficoltà sociali, visto che la socialità richiede pazienza e capacità di organizzazione (rimane un desiderio sociale ed è per questo che vanno a scuola). Effetto del rifiuto della fatica emotiva è il non riconoscimento dell'altro. Quindi sono disinibiti, non per coraggio, ma perché non riconoscono l'altro. 

Il disinteresse per l'altro insieme alla ricerca del piacere immediato porta all'esibizionismo anche eccessivo (anche mettendo a disposizione foto intime) e il menefreghismo (l'importante è piacersi e avere prove di piacere, non il resto).

Quindi ancora si nota il mancato adattamento alle situazioni e al contesto (nota mia: infatti i bambini e i ragazzi non sembrano capire assolutamente che è necessario comportarsi in modo leggermente diverso con persone o in posti diversi). 

Altro aspetto è l'appiattimento delle gerarchie, dove tutti si danno del tu, non dovuto alla digitalizzazione, ma sicuramente facilitato e amplificato dall'uso dei social e dei forum online. Effetto noto sono le contestazioni agli esperti. In famiglia, dall'altra parte, i genitori tendono a essere molto accomodanti e a fare gli amici (a mio parere, le ragioni sono anche altre) e questa mancanza di costrizioni non invita la separazione dai genitori.

Ritornando a prima, i ragazzi evitano le emozioni e le evitano con il menefreghismo, ma poi si presentano, per esempio con la bocciatura a scuola o "no" dei genitori e il risultato è un'esperienza traumatica. 

L'uso di pc e tv ha altri effetti:

• toglie il piacere ricavato dallo sforzo di immaginazione;
• la capacità mnemonica si riduce poiché la possibilità di recuperare in ogni momento le informazioni non crea il bisogno di memorizzarle (nota mia: questa era anche la critica ai libri, tanti e tanti secoli or sono).

Cause della mancata regolazione sono anche le sregolatezze non digitali (mangiare cibo spazzatura, mangiare senza orari fissi, cambiamenti nei ritmi sonno-veglia soprattutto nel fine settimana, postura scorretta) ed effetti sono anche la ricerca del gioco e il consumo dell'alcool e di sostanze (nota mia: però queste cose c'erano anche negli anni Ottanta); 

Cosa fare? Il libro ha una parte sul cosa fare, ma è destinata agli psicologi o psicoterapeuti. Però qualche cosina l'ho trovata:

• a fronte dei "no" e dei limiti, l'adulto deve considerare il ragazzo e le sue risposte e non deve essere impositivo senza spiegazioni (tra l'altro, alcune cose che imponiamo come genitori sono cose che a noi davano disagio da ragazzi, quindi è forse il caso di ripensarci);
• sicuramente l'approccio dei docenti che cercano di governare i ragazzi con ribassi o rialzi della richiesta didattica non è funzionale, visto che non sta arginando la demotivazione né sta facilitando la gestione dei comportamenti (nota mia: questo l'avevo capito anche io!);
• è compito degli adulti mettere dei limiti che, tra l'altro, portano il ragazzo al confronto, necessario per valutare le norme imposte; inoltre i limiti proteggono e permettono di valutare i loro vantaggi e svantaggi e poi fare scelte responsabili (infatti, dicono, la libertà non è direttamente proporzionale al senso di benessere, visto che il benessere è determinato dalla capacità di buon adattamento).

USA, Trump e l'uso dell'IA

Segnalo questo articolo dal titolo "Trump ha dichiarato guerra ad Anthropic. E la safety dell'AI è diventata un reato": https://avvocatogiovannapanucci.substack.com/p/trump-ha-dichiarato-guerra-ad-anthropic.

Più che di sicurezza informatica, delle informazioni o cyber o di rischi dell'IA, qui il punto di discussione è la cosiddetta sovranità digitale. Di più ribadisco quanto già detto in precedenza: se non ci muoviamo (come Europa, ovviamente), rimarremo subordinati, ossia sfruttati e destinati a deperire.