venerdì 15 maggio 2026

Claude Mythos e l'identificazione di vulnerabilità

Segnalo questo articolo dal titolo "Mythos and Cybersecurity": https://www.schneier.com/blog/archives/2026/04/mythos-and-cybersecurity.html

 Claude ha sviluppato Mythos, motore di ricerca di vulnerabilità software e i risultati sono incredibili: migliaia di vulnerabilità identificate nei sistemi operativi più diffusi e altro. Questo ha suggerito a Anthropic di rendere disponibile questo motore solo a 50 grandi produttori di software. 

L'articolo di Bruce Schneier riflette sulla mancanza di dati sui falsi positivi, sulla attuale capacità di identificare vulnerabilità sui sistemi meno diffusi e quanto questo potrà essere pericoloso in futuro, sui rischi generali che corriamo considerando che i software sono attualmente sviluppati e mantenuti da società private. Sembra poi che GPT-5.5 sia altrettanto potente e già disponibile.

Pubblicato da alle Nessun commento:
Etichette: ,

giovedì 14 maggio 2026

Gli uomini possono fare tutto (Maggio 2026)

E' vero che, fortunatamente, in molti ambienti sono ampiamente accettate modifiche agli incontri a causa di impegni familiari. Quindi un giorno dovevo essere da un cliente e da lì verificare alcune cose con due diversi fornitori, ma io sono arrivato in ritardo a causa di un contrattempo con i soliti figli, un fornitore ha spostato di un'ora l'appuntamento perché doveva accompagnare la madre da un dottore, l'altro ha anticipato l'appuntamento perché doveva andare a prendere la figlia a scuola e infine la mia referente mi ha sbattuto fuori dagli uffici appena finite le riunioni perché anch'essa doveva andare a prendere i figli a scuola.

Io so che, nel mio caso, non è solo il cliente che sceglie il consulente, ma anche viceversa. C'è una specie di incontro che ha successo quando ambedue, tra tante cose, capiamo che le emergenze familiari vengono prima di quelle lavorative e siamo pronti a rispettare gli impegni reciproci.

Va detto che non offro servizi di cardiochirurgia di emergenza, di assistenza a impianti nucleari, di supporto a navicelle spaziali con guasti mentre si avvicinano alla Luna e cose simili. Quindi è più facile accettare spostamenti agli appuntamenti (bisogna però avvertire per tempo e non approfittarsene!). Purtroppo so per certo che non è così per tutti e questo è un peccato, soprattutto in un Paese in cui si dice (ma non sempre si pratica) che la famiglia è la cosa più importante.

Pubblicato da alle Nessun commento:
Etichette:

mercoledì 13 maggio 2026

Sicurezza dei dispositivi periferici

Claudio Sartor mi ha segnalato questa pagina: "Rapporto di sintesi sulla cibersicurezza dei dispositivi periferici": https://it.ntc.swiss/news/2026-rapporto-periferiche.

In realtà, mi aveva segnalato la pagina di Paolo Attivissimo (https://attivissimo.me/podcast-rsi-tastiere-e-cuffie-come-grimaldelli-i-rischi-inattesi-delle-periferiche-wireless/).

Riassunto del riassunto: tastiere, cuffie e altri dispositivi possono diventare una porta d’accesso ai sistemi critici.

Io invece non li sopporto perché tendono a scaricarsi nei momenti meno opportuni (ed è per questo che sono restio a cambiare cellulare, visto che adesso tutti hanno tolto il jack).

Pubblicato da alle Nessun commento:
Etichette: ,

domenica 10 maggio 2026

Scadenze NIS

Ho provato a riepilogare, soprattutto per me stesso, le scadenze NIS. Lo dico subito: Governo e ACN non ci stanno rendendo la vita facile e questo conferma la mia impressione, ossia che dietro a tutto questo c'è un'impostazione da "grande azienda" (o da "grande società di consulenza" o da "professore") e temo che non ne siano consapevoli (perché tutto ciò ha anche delle conseguenze).

Come sempre: segnalatemi errori. Per questa prima bozza ringrazio Cristina Borghetti e Donato Taccogna degli Idraulici della privacy. 

Soggetti NIS: anni successivi

  • Dal 1 gennaio al 28 febbraio: aggiornamento anagrafiche come richiesto dall'art. 7, comma 1 del D. Lgs. 138 e art. 11 Determinazione art. 7;
  • fino al 14 aprile: ulteriore finestra di aggiornamento anagrafiche, come richiesto dall'art. 16 Determinazione art. 7 [questa pare ridondante, visto che le modifiche vanno comunicate entro 14 giorni];
  • Dal 15 aprile al 31 maggio: aggiornamento anagrafiche (inclusi indirizzamento IP pubblico e i nomi di dominio, Stati membri in cui forniscono servizi, fornitori, accordi di condivisione) come richiesto dall'art. 7, commi 4 e 5 del D. Lgs. 138 e art. 16 Determinazione art. 7;
  • dal 1  maggio  al  30 giugno: elenco macro-aree e impatti, come richiesto dall'art. 30, comma 1 del D. Lgs. 138 e art. 20 Determinazione art. 7;
  • Dal 1 settembre al 30 novembre: designazione del rappresentante NIS in Italia e aggiornamento; come richiesto dall'art. 7, commi 4 e 5 della determinazione art 7. 

Soggetti NIS: modifiche

  • entro 14 giorni dalla modifica: comunicazione ad ACN delle informazioni (art. 7 comma 7 del D. Lgs. 138 e art. 1 comma 1 lettera hh della Determinazione art. 7.

Soggetti NIS: inizializzazione:

  • Dal 1 gennaio al 28 febbraio: iscrizione sulla piattaforma NIS (art. 7, comma 1 del D. Lgs. 138 e art. 11 Determinazione art. 7);
  • Dal 15 aprile al 31 maggio: ulteriore anagrafiche, inclusi indirizzamento IP pubblico e i nomi di dominio, Stati membri in cui forniscono servizi, fornitori, sostituto punto di contatto (art. 7, commi 4 e 5 del D. Lgs. 138 e artt. 5 e 16 Determinazione art. 7);
  • dal 1 gennaio 2027: obbligo di notificare gli incidenti per chi si è registrato nel 2026 (Determinazione art. 31;
  • 31 luglio 2027: implementazione delle misure di sicurezza di base per chi si è registrato nel 2026 (Determinazione art. 31). 

Riferimenti alle determine al 6 maggio 2026:

  • Determinazione art. 7:  " Determinazione del Direttore generale dell’Agenzia per la cybersicurezza nazionale di cui all’articolo 7, comma 6, del decreto legislativo 4 settembre 2024, n. 138, adottata secondo le modalità di cui all’articolo 40, comma 5, recante termini, modalità e procedimenti di utilizzo e accesso alla piattaforma digitale nonché ulteriori informazioni che i soggetti devono fornire all’Autorità nazionale competente NIS e termini, modalità e procedimento di designazione dei rappresentanti NIS sul territorio nazionale" -- sul sito la si trova come "Determinazione ACN 127437/2026 - Piattaforma, Punto di contatto e sostituto, aggiornamento delle informazioni e rappresentante NIS di cui all'articolo 7 del decreto NIS".
  • Determinazione art. 31: " Determinazione del Direttore Generale dell’Agenzia per la cybersicurezza nazionale di cui all’articolo 31, commi 1 e 2, del decreto legislativo 4 settembre 2024, n. 138, adottata secondo le modalità di cui all’articolo 40, comma 5, lettera l), che stabilisce i termini per l’adempimento agli obblighi di cui agli articoli 23, 24, 25, 29 e 32 del decreto medesimo per i soggetti inseriti per la prima volta nell’elenco nell’anno solare 2026" --- sul sito la si trova come "Determinazione ACN 127434/2026 - Termini per i soggetti 2026 in relazione agli obblighi di cui agli articoli 23, 24, 25, 29 e 32 del decreto NIS".

Come scadenze, la Determinazione art. 7 copre anche quelle relative agli accordi di condivisione di cui alla "Determinazione del Direttore generale dell’Agenzia per la cybersicurezza nazionale di cui all’articolo 17, comma 4, del decreto legislativo 4 settembre 2024, n. 138, adottata secondo le modalità di cui all’articolo 40, comma 5, lettera f), recante le modalità con cui i soggetti essenziali e i soggetti importanti notificano all’Autorità nazionale competente NIS la loro partecipazione agli accordi di condivisione delle informazioni sulla sicurezza informatica" -- sul sito la si trova come "Determinazione ACN 136118 del 10 aprile 2025 – Notifica degli accordi di condivisione delle informazioni sulla sicurezza informatica di cui all'articolo 17 del decreto NIS". 

NB: aggiornato successivamente.

Pubblicato da alle Nessun commento:
Etichette:

giovedì 7 maggio 2026

Modello di relazione privacy

La CNIL ha pubblicato il "Modèle de rapport d’activité du délégué / de la déléguée à la protection des données proposé par la CNIL": https://www.cnil.fr/fr/rapport-activite-dpo.

Lo chiama modello di rapporto delle attività del DPO, ma a mio parere potrebbe anche essere esteso alle attività privacy in generale.

Mi sembra un po' troppo verboso, ma anche un buon riferimento da tenere in considerazione (è in francese, ma gli strumenti per tradurlo sono numerosi).

Ringrazio Andrea Solimeno di Selexi per avermelo segnalato.

Pubblicato da alle Nessun commento:
Etichette:

mercoledì 6 maggio 2026

Generative Engine Optimization

Segnalo questo post su Linkedin di Antonino Polimeni: https://www.linkedin.com/feed/update/urn:li:activity:7455358911316058113/.

In sintesi: Il governo israeliano ha pagato un guru per fare in modo che ChatGPT, Gemini e Claude rispondano in modo favorevole a Israele quando qualcuno fa domande sul conflitto.

Qui il punto non è la guerra in Israele né se, come ho visto in altri link, è stato assunto per combattere l'antisemitismo (cosa ben diversa), ma che si sta industrializzando l'avvelenamento delle IA generative pubbliche (lo chiamano Generative Engine Optimization).

Non critichiamo, non strappiamoci i capelli, ma cerchiamo di esserne consapevoli.

Interessante, sempre nel post, la riflessione sulle differenza con la SEO.

Nota: io non avrei usato quella foto; almeno perché dà un’idea di orientamento che poi il testo non ha.

Pubblicato da alle Nessun commento:
Etichette:

lunedì 4 maggio 2026

UNI 11621-8:2026 sui profili di ruolo professionale relativi all'Intelligenza Artificiale (IA)

E' stata pubblicata la  UNI 11621-8:2026 "Attività professionali non regolamentate - Profili di ruolo professionale per l’ICT - Parte 8: Profili di ruolo professionale relativi all’Intelligenza Artificiale (IA)": https://store.uni.com/uni-11621-8-2026.

Franco Vincenzo Ferrari mi ha segnalato questo articolo più ampio: https://innovazione.gov.it/notizie/articoli/intelligenza-artificiale-pubblicata-la-norma-uni-11621-8/.

Io ho qualche perplessità per l'elevato numero di profili professionali: sono ben dodici.

Pubblicato da alle Nessun commento:
Etichette:

domenica 3 maggio 2026

UN Regulation No. 155 - Cyber security and cyber security management system

Parlando di CRA, mi hanno segnato la UN Regulation No. 155 - Cyber security and cyber security management system: https://unece.org/transport/documents/2021/03/standards/un-regulation-no-155-cyber-security-and-cyber-security.

Non si tratta di una novità, visto che è del 2021.

Si tratta di regole stabilite dalle nazioni unite per l'automotive. La prima parte è relativa a un sistema di gestione, in particolare per quanto riguarda i processi di approvazione e marcatura. Le appendici presentano modelli di documenti.

La cosa decisamente interessante è l'appendice 5: "List of threats and corresponding mitigations". Nella parte A sono presentati gli attacchi e le vulnerabilità, suddivisi in 32 categorie di minaccia. Nella parte B sono presentate le mitigazioni.

E' chiaro che si tratta di un esempio relativo agli autoveicoli, però è autorevole e ritengo estremamente interessante.

PS: per il regolamento macchine è in fase di sviluppo la EN 50742 (Safety of machinery - Protection against corruption). Non mi sembra sia stata ancora pubblicata. Non l'ho letta, ma forse anch'essa potrà essere di interesse.

Pubblicato da alle Nessun commento:
Etichette:
Iscriviti a: Post (Atom)