Linee guida del Ministero per l'istruzione per l'uso dell'intelligenza artificiale

Ho ricevuto molte volte la notizia "Pubblicate le Linee guida per l’introduzione dell’Intelligenza Artificiale nelle istituzioni scolastiche – Allegato al DM n. 166 del 09/08/2025": https://www.mim.gov.it/web/guest/-/pubblicate-le-linee-guida-per-l-introduzione-dell-intelligenza-artificiale-nelle-istituzioni-scolastiche-allegato-al-dm-n-166-del-09-08-2025.

Sul MIM sono molto severo e già ne scrissi a luglio. Infatti, ben lontano dal dire "ben altro è il problema", dico che "ci sono anche altri problemi" molto più antichi, ma ignorati. Per esempio l'assenza di linee guida sugli alunni DSA e il fatto che le linee guida sugli alunni adottati sono sotto "Relazioni con il pubblico".

C'è anche il problema che le linee guida non sono raccolte in un'agile bacheca, ma vanno cercati solo nelle notizie.

Evidentemente, il MIM segue l'attualità, non la sua missione.

Sul punto delle linee guida, mi sembra che non dicano niente di più dell'IA Act (che a sua volta impone anche troppi obblighi, ma questa è un'altra storia).

L'assurdo è pensare che ciascun istituto scolastico abbia le competenze per poter fare quanto richiesto, a differenza del MIM, che potrebbe investire soldi in consulenze qualificate.

Il MIM non ha quindi messo a disposizione una guida pratica, ma si è limitato a riassumere le cose richiesta dall'AI Act (chissà se e quanto ha pagato dei consulenti...).

Gli uomini possono fare tutto (luglio 2025)

Voglio qui parlare della scuola media, dopo 3 anni vissuti come padre, perché gli uomini possono aiutare i ragazzi con i compiti, partecipare alle assemblee di classe e discutere con gli altri genitori anche sulle temutissime chat dei genitori.

Cercherò di evitare l’effetto Dunning – Kruger. Cercherò anche di collegare alcune riflessioni sui sistemi di gestione, di cui invece ho qualche competenza. Premetto anche che la mia esperienza è limitata ai miei figli (e uno non le ha ancora finite) e a confronti con altri genitori.

Uno. Il nozionismo è aumentato, nonostante già negli anni Ottanta era criticato (è anche aumentato il peso dei libri, anch’esso criticato all’epoca).

Due. I temi, e quindi l’esercizio di esprimere opinioni ed esercitare la creatività, non sono più necessari, anche se poi l’esame di terza ne prevede uno con 3 tracce (a mio figlio è stato assegnato un solo tema, neanche argomentativo, e ha avuto un libro da leggere all’anno, non di più).

Tre. I test Invalsi sono spesso scollegati dalle solite verifiche, soprattutto in Italiano (comprensione del testo, mentre nei 3 anni le verifiche erano state di grammatica e di storia della letteratura) e matematica (30 domande a cui rispondere in 75 minuti, mentre le verifiche nei 3 anni consistevano in alcune domande puntuali, un paio di problemi di geometria e un paio di espressioni o equazioni di algebra).

Quattro. La scarsa considerazione dei ragazzi con DSA. Infatti nei test Invalsi, gestiti dal Ministero, non valgono le misure compensative, tranne l’aggiunta di tempo e la lettura sintetica al computer.

Cinque. Ai ragazzi non sono insegnate le modalità per organizzarsi. Non è insegnato come si usa il diario, come si presentano le verifiche (ho visto usare fogli di ogni tipo e gran sorpresa per la professoressa che in terza voleva che scrivessero bene nome e cognome e data nell’intestazione), come si organizzano i quaderni e gli appunti.

Sei. Gli stessi insegnanti sono disorganizzati e lo si vede da come assegnano i compiti: a voce o alla lavagna di fretta a fine lezione, sul registro elettronico o su un sistema di condivisione file a qualsiasi orario anche nel fine settimana.

Sette. I ragazzi sono deresponsabilizzati rispetto agli anni Ottanta. Infatti adesso sul registro elettronico vengono scritti i compiti, i voti e le note, spesso senza neanche dirlo ai ragazzi. In passato erano i ragazzi a doverli comunicare (o nascondere) ai genitori, ora sono i genitori, e non gli insegnanti, a comunicarli al ragazzo.

Otto. Gli insegnanti non hanno ricevuto istruzione su come insegnare, né sulle caratteristiche dei ragazzi con DSA (disturbi specifici di apprendimento). Questo ha poi una conseguenza: se loro dimostrano di non essersi impegnati a capire le difficoltà di questi ragazzi, sono ritenuti ipocriti, e quindi ignorati, quando richiedono impegno.

Questo ha anche impatti sociali importanti. Infatti i più bravi, con famiglie che li seguono bene, vanno avanti, mentre i meno bravi (in particolare quelli con DSA e gli immigrati o i figli di immigrati che hanno difficoltà di lingua e di capacità di supporto) vengono anche umiliati. Il risultato è che iniziano ad allontanarsi dalla scuola e a frequentare “cattive compagnie”, con tutte le difficoltà che ne conseguono.

Una prima analisi delle cause è che alcune deviazioni si siano presentate piano piano senza però una vera riflessione sulle conseguenza finali. Per esempio: l’aumento del carico di lavoro, da “ingozzatoio”, come dice Daniela Lucangeli, è corretto? l’uso incontrollato degli strumenti informatici da parte dei professori che effetti positivi e negativi potrebbe avere? Le 6 ore di scuola al giorno per 5 giorni al posto di 5 ore in 5 giorni sono adeguate per i ragazzi (a parte i genitori e gli insegnanti)? Anche strumenti come le interrogazioni a sorpresa dovrebbero essere analizzati se veramente utili, anche perché all’università non ci sono. Insomma: manca una pianificazione.

A mio parere, una seconda analisi delle cause, riguarda l’aumento del nozionismo, che lo ha reso centrale rispetto a tutto il resto e riempie completamente il tempo disponibile, con una conseguente frenesia e disorganizzazione anche da parte degli insegnanti.

Però alla fine sappiamo che la causa profonda è il mancato impegno della Direzione. In questo caso il Ministero dell’istruzione. Infatti, più o meno nell’ordine:

• non sono chiari gli obiettivi delle medie (ingozzatoio di nozioni o apprendimento di un’organizzazione?);
• le poche indicazioni per le competenze reperibili sono incomprensibili (il Decreto del MIUR 254 del 2012 con titolo “Regolamento recante indicazioni  nazionali  per  il  curricolo  della scuola  dell'infanzia  e  del  primo  ciclo  d'istruzione” non dice quasi nulla, ma in 74 pagine);
• gli Invalsi costituiscono un’eccezione alle misure compensative per i ragazzi con DSA; se il Ministero non le ritiene valide, non si capisce perché debbano farlo i professori;
• gli insegnanti sono selezionati sulle nozioni relative alle materie di insegnamento, non sulle modalità di insegnamento, sulla pedagogia, sulla psicologia, su come affrontare i ragazzi con difficoltà, eccetera;
• non sono fornite indicazioni chiare e semplici da leggere agli insegnanti e alle famiglie (su questo bisogna riflettere che i professori della secondaria inferiore sono circa 155 mila ed è assurdo pensare che ciascuno possa inventarsi una professionalità senza un supporto, che non può neanche essere fornito dalle scuole, sempre più accorpate con la presenza di tanti ordini di studio);
• c’è l’illusione che si possa seguire un approccio personalizzato per alunno e istituto e professore e materia, quando sappiamo che così non è né può essere, considerando i grandissimi numeri;
• le poche indicazioni sono difficili da reperire (sul sito del MIM ho trovato solo le “Linee di indirizzo per favorire il diritto allo studio degli alunni adottati”, sotto la voce “URP”, ufficio relazioni con il pubblico, come se non riguardassero l’insegnamento), a differenza delle esternazioni sporadiche del ministro di turno;
• sono chiesti ai professori sempre più adempimenti burocratici, che tolgono loro tempo ed energie all’insegnamento (lungi da me criticare ogni forma di burocrazia, ma un esempio emblematico è la “certificazione delle competenze”, documento scorretto teoricamente e inutile da un punto di vista pratico, ma fa carta).

Tribunale di Milano: Modello 231 "efficace"

Segnalo l'articolo "231: le indicazioni del Tribunale di Milano per un Modello organizzativo “efficacemente strutturato”": https://www.altalex.com/documents/2024/05/21/231-indicazioni-tribunale-milano-modello-organizzativo-efficacemente-strutturato.

Il Tribunale di Milano, infatti, ha emesso "una delle rare pronunce assolutorie basate su un giudizio positivo in merito al requisito della idoneità dei modelli" e l'ha accompagnata da una disquisizione su come dovrebbe essere un modello ben strutturato.

Lettura interessante.

Mio articolo sulle competenze per la sicurezza delle informazioni

Segnalo questo mio articolo dal titolo "Sicurezza delle informazioni: come formare le competenze che servono":
- https://www.agendadigitale.eu/cultura-digitale/competenze-digitali/sicurezza-delle-informazioni-le-competenze-necessarie-e-le-opportunita-di-formazione/.

Mi sono molto divertito a scriverlo e spero sia di interesse.

I rischi umani di sicurezza informatica

Segnalo questo articolo da un tweet di Rebus dal titolo "Errori, stanchezza, computer smarriti: quando il fattore umano mette a rischio la sicurezza informatica":
- https://www.wired.it/article/fattore-umano-sicurezza-informatica/.

Nulla di nuovo, ma è bene ripassarlo.

A mio parere, poi, troppi puntano sulla formazione e la consapevolezza delle persone, ma queste sono, per nostra natura, inaffidabili. Io ritengo che la sicurezza debba essere innanzitutto tecnologica, da ovviamente affiancare a quella umana. Continuo a dirlo: già le persone non bloccano i propri dispositivi e, se possono, non impostano una password; figuriamoci stare attenti.

La mappa delle culture

Segnalo questo interessante libro di Erin Meyer dal titolo "La mappa delle culture" (The culture map):
- https://www.roiedizioni.it/prodotto/libri/la-mappa-delle-culture-erin-meyer/.

Presenta alcune caratteristiche culturali, per cui ogni Paese ha le sue modalità per comunicare (con tanti o pochi dettagli, verbalizzando o no), fornire riscontri negativi (in modo più o meno diretto), persuadere (presentando prima i principi o gli esempi o seguendo una visione complessiva (ossia un approccio olistico, ma non nel senso banale con cui questo termine viene spesso usato)), guidare i gruppi di lavoro (in modo ugualitario o gerarchico), prendere e accettare decisioni (attraverso il consenso o dall'alto, con riflessi anche su quanto la decisione presa va considerata definitiva o potenzialmente ulteriormente sindacabile), avere fiducia negli altri (più per come lavorano o più per come costruiscono una relazione personale, senza confondere la relazione personale con l'amichevolezza e riflettendo su quanto i diversi approcci hanno impatti sulla gestione del tempo), confrontarsi (cercando o meno il confronto) e gestire il tempo (seguendo pianificazioni lineari o un approccio flessibile, che poi si manifesta anche su come sono seguite le code).

Io ho lavorato e lavoro con società e persone di altri Paesi e altri continenti e avrei voluto e dovuto leggere questo libro (del 2014) tanto tempo fa.

Però attenzione che è molto utile anche a chi non lavora in ambienti internazionali, ma vuole capire meglio come affrontare alcune pratiche di origine anglosassone (le norme ISO in principal modo) e perché ci sono alcune resistenze in Italia (e non sono quelle che solitamente ci diamo per autogiustificarci!).

Questo libro mi fu consigliato da qualcuno più di un anno fa. Purtroppo non ricordo chi, ma lo ringrazio molto e mi scuso per averlo iniziato dopo così tanto tempo.

Lo stile di scrittura ISO

Sono molto attratto dalle regole di stile, non solo per ragioni professionali, ma anche per curiosità verso le regole necessarie alla nostra quotidianità (per esempio, sono un cultore de "Il saper vivere" di Donna Letizia). Quindi mi sono letto con molto piacere il "ISO house style" per la redazione degli standard:
- https://www.iso.org/ISO-house-style.html.

Al di là dei miei gusti personali, penso sia corretto usare questo riferimento per controllare meglio la scrittura dei propri documenti: uso delle maiuscole, delle abbreviazioni e degli acronimi, redazione della bibliografia, scrittura delle liste numerate e non numerate eccetera.

Imparare a imparare

Segnalo questo articolo di cui Anna Gallotti (mia sorella) è coautrice. Il titolo è "Imparare ad imparare: Fattori che permettono e facilitano il processo di apprendimento":
- http://share-coach.bmetrack.com/c/v?e=112EEA4&c=98BAC&t=0&l=3ADF5DA4&email=HuT9fCkN5V9LzXF31Fidn0kDNvJcItyC5mrjfCIPaW83Ih4P1WxctQ%3D%3D.

Credo ci siano cose molto interessanti e utili, soprattutto quando bisogna formare su qualità, sicurezza e privacy.

In particolare ho sottolineato questo passaggio: "Se è vero che ci sviluppiamo avventurandoci fuori dalla nostra zona di comfort, dovremmo stare attenti a non andare troppo oltre: l'apprendimento ottimale avviene quando ci troviamo alla giusta congiunzione tra sfida e competenza, dove non siamo appesantiti dall'ansia da una parte o dalla noia dall'altra". E quindi ripenso alle attività di formazione in cui ho fornito troppe tracce teoriche o troppi elementi lontani dalle competenze dei partecipanti.

Mio articolo sulla scuola e il falso mito del "tool"

Avevo già scritto una breve cosa su come la scuola abbia affrontato male, da un punto di visto informatico, l'emergenza COVID-19. Ho scritto quindi un articolo che mi è stato pubblicato con il titolo "Shock digitale per la scuola, smontiamo il falso mito del tool":
- https://www.agendadigitale.eu/scuola-digitale/shock-digitale-per-la-scuola-smontiamo-il-falso-mito-del-tool/.

Ovviamente commento solo alcuni problemi di tipo informatico (ovviamente ne vedo altri, ma, come il pasticcere milanese, mi limito al mio mestiere).

Linee guida AgID per la sicurezza nel procurement ICT

Franco Vincenzo Ferrari di DNV GL mi ha segnalato la pubblicazione delle "Linee guida: La sicurezza nel procurement ICT" di AgID:
- https://trasparenza.agid.gov.it/archivio28_provvedimenti-amministrativi_0_122261_725_1.html.

A parte l'italiano lacunoso ("eleggibile" per tradurre malamente l'inglese "eligible") o dimenticato ("procurement" al posto di "approvvigionamento"), il documento è interessante.

All'inizio della lettura mi sembrava riportare le solite cose talmente vaghe da essere inutili (promuovere competenza e consapevolezza, raccogliere buone prassi e esperienze, stabilire ruoli e responsabilità, effettuare una ricognizione dei beni e servizi informatici, classificare i beni e i servizi informatici). Poi, misura dopo misura, emergono cose più precise e, a mio parere, utili. Rimane un documento "di base" con alcune cose solo teoriche, ma anche di questi documenti c'è bisogno.

Data center Amazon in Italia

Paolo Sferlazza di Gerico Security (che ringrazio) mi ha segnalato questa interessante notizia dal titolo "La nuova Regione AWS in Italia":
- https://aws.amazon.com/it/local/italy/milan/.

Non sono un fan di Amazon, ma bisogna dire che questa mossa ha un impatto interessante per quanto riguarda l'applicazione del GDPR. Sarà anche interessante vedere come questo esempio sarà seguito in Europa e in Italia.

Le scuole e la digitalizzazione forzata (segnalazione)

Sulla scuola e la digitalizzazione ai tempi del COVID-19 ho già scritto:
- http://blog.cesaregallotti.it/2020/03/le-scuole-la-digitalizzazione-forzata-e_31.html.

Sulla privacy, Biagio Lammoglia degli Idraulici della privacy ha segnalato questo articolo di Scuola Informa:
- https://www.scuolainforma.it/2020/03/31/scuola-didattica-online-il-piu-grande-data-breach-della-storia.html.

A chi mastica già di privacy non dice niente di nuovo, ma le conclusioni sono, mutatis mutandis, le mie (ossia che la didattica a distanza andrebbe guidata meglio e non lasciarla alla buona volontà dei singoli).

Le scuole, la digitalizzazione forzata e le solite lezioni

Le scuole, causa la chiusura fisica, sono state "invitate" dal Ministero a usare strumenti di didattica a distanza. Ovviamente qualcuno va in giro a dire che si sta facendo grande opera di digitalizzazione, ma in realtà si sta facendo grande confusione.

La storia, per quanto abbia potuto ricostruire, è semplice e drammatica allo stesso tempo. A fronte dell'emergenza, sono stati identificati degli strumenti per la didattica a distanza e gli istituti sono stati invitati ad usarli. Questo senza che fossero elaborate delle istruzioni per i docenti e i genitori (il solito "armiamoci (male) e partite"), fossero fatte delle analisi per aiutare i docenti a scegliere gli strumenti e delle analisi sulla privacy.

Il Garante ha detto la sua solo il 30 marzo:
- https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9302778.

Molte famiglie si sono ritrovate con la necessità di mettere a disposizione dei figli degli strumenti informatici (so di alcune classi che fanno ore di lezione, ma so anche di famiglie che di digitale hanno solo i cellulari dei genitori che, ahiloro, in questi giorni devono comunque uscire per lavorare, oppure famiglie che hanno due figli, ma non due tablet o pc per far seguire le lezioni online ai due figli se in contemporanea). E chi ha i figli alle elementari ha dovuto registrarli ai sistemi, capire come funzionano e supportarli nel loro utilizzo. Quando, fino a ieri, le comunicazioni arrivavano solo via WhatsApp. Ma tutto questo non è sembrato di interesse a qualcuno, ma avrà come conseguenza che al rientro alcuni saranno allineati, altri saranno indietro e di solita l'arretratezza si accompagna a difficoltà già pregresse.

Ma parliamo anche degli strumenti.

Io ho avuto modo di usare Weschool e Edmodo.

Weschool non capisco perché sia indicato come strumento didattico. Sembra più una piattaforma per scambiarsi messaggi. Ma i software usati per le BBS negli anni Novanta erano meglio: almeno visualizzavano una bandierina sulle discussioni per cui c'erano messaggi da leggere. Weschool non fa questo e, oltra alla "board" non ha altre funzionalità. Quindi... bisogna riguardare tutte le discussioni e vedere se ci sono risposte, se le maestre hanno messo dei commenti e così via. Una a una.

Edmodo è un po' meglio perché, oltre a funzionalità "tipo Facebook", permette agli insegnanti di dare i compiti e farli visualizzare in una sezione apposta, ma solo se sono attivati come "eventi". Le risposte delle insegnanti sono notificate insieme a "tutto il resto" (e chi usa Facebook si può immaginare) e, nella versione per tablet, non è possibile nascondere le notifiche già approfondite.

Insomma: nulla che un uso attento dell'email o di WhatsApp non avrebbe permesso.

Ferruccio Militello, che fa il DPO per alcune scuole, mi conferma che alcune scuole superiori erano già avanti nel processo, ma altre no e hanno dovuto iniziare "in corsa" l'uso di questi strumenti, senza però che i dirigenti scolastici e gli insegnanti abbiano mai ricevuto formazione in materia (e non parliamo della privacy).

Aggiunge Ferruccio (e io appoggio il suo punto di vista): "Vale la pena sottolineare, a mio modo di vedere, che con uno staff importante e strutturato il MIUR avrebbe dovuto pensarci piuttosto che lasciare iniziativa ai singoli".

Io sarei brutale e direi che siamo di fronte alla solita cretinata di voler imporre tecnologia senza farsi domande.

A questo aggiungiamo il caso di Zoom: si è dimostrato che condivide i dati con Facebook (e molti istituti suggeriscono questo strumento per tenere le lezioni):
- https://www.repubblica.it/tecnologia/sicurezza/2020/03/27/news/zoom_l_app_per_videoconferenze_condivide_i_dati_con_facebook-252458567/.

Poi dicono di aver risolto, ma la questione fa rabbrividire:
https://www.repubblica.it/tecnologia/sicurezza/2020/03/29/news/privacy_zoom_ripara_la_falla_di_sicurezza_non_eravamo_a_conoscenza_dei_dati_raccolti_da_f
acebook_-252611458/.

Poi certamente è bello pensare che ci sono strumenti gratuiti da usare, ma si sa che non sono veramente gratuito in quanto pagati con i dati. E qui si parla di dati di minorenni.

C'è anche la solidarietà digitale (https://solidarietadigitale.agid.gov.it), ma questo è un altro argomento su cui dovrei riflettere molto di più: come sono stati selezionati, perché tanti offrono servizi basati sui soliti OTT (Google, Amazon, Facebook, Apple) e perché anche in questo non si sia approfittato per promuovere una digitalizzazione reale.

Successo e insuccesso

Mia sorella scrive di coaching e non sempre riesco a capire l'ambito del suo lavoro. Però molte cose di cui scrive mi incuriosiscono. Questa volta segnalo quindi un articolo di Anna Gallotti e Selika Cerofolini dal titolo "2020: è tempo per una nuova definizione di successo". Credo che non sia pubblicato da qualche parte pubblica.

Provo a mandare questi due link:
- prima parte:
http://share-coach.benchurl.com/c/v?e=F8AD48&c=98BAC&t=0&l=3ADF5DA4&email=Hu
T9fCkN5V9LzXF31Fidn0kDNvJcItyC5mrjfCIPaW83Ih4P1WxctQ%3D%3D;
- seconda parte:
http://share-coach.benchurl.com/c/v?e=FD7327&c=98BAC&t=0&l=3ADF5DA4&email=Hu
T9fCkN5V9LzXF31Fidn0kDNvJcItyC5mrjfCIPaW83Ih4P1WxctQ%3D%3D.

Innanzi tutto bisogna considerare che il successo è un mito moderno. Viviamo nell'"illusione della meritocrazia", per citare il filosofo Alain de Botton, dove non solo riteniamo che le possibilità di scalare la vetta siano infinite, ma anche che, poiché è possibile, dobbiamo farlo, nel modo in cui ci dicono di farlo.

Però nessuno può avere successo in tutto, e sicuramente non sempre, indipendentemente da ciò che ci dicono. Il tempo per la famiglia paga spesso il prezzo di una carriera brillante ad esempio, ed è difficile essere popolari mantenendo una incrollabile integrità. La buona notizia è che possiamo scegliere quali sono le nostre priorità.

L'articolo dice altre cose interessanti. Per quanto riguarda gli argomenti di cui mi occupo, possiamo trarre questa sintetica lezione (se già non l'avessimo presa da altre parti): non si può avere la sicurezza perfetta, la qualità perfetta, la privacy perfetta, eccetera. Dobbiamo toglierci queste illusioni e decidere quali sono le priorità.

Sistema di gestione e Gdpr: integrare Mop e Mog

Segnalo questo articolo dal titolo "Sistema di gestione e Gdpr: integrare due modelli (Mop e Mog) per evitare sanzioni":
- https://www.agendadigitale.eu/sicurezza/privacy/sistema-di-gestione-e-gdpr-integrare-due-modelli-mop-e-mog-per-evitare-sanzioni/.

L'hanno scritto due persone che stimo molto e che propongono sempre idee molto interessanti.

EN 16234-1: 2019 - Quadro e-Competence (e-CF)

E' stata pubblicata la nuova versione dell'e-CF. La notizia me l'ha data la newsletter I see T di Uninfo:
- https://uninfo.it/index_pages/news/focus/1580812766424.html.

Ricordo che e-CF permette di classificare le competenze in ambito informatico e può servire per la ricerca di determinate competenze, come peraltro promosso da AgID.

Io non sono un grande fan di questa iniziativa perché la trovo un po' troppo elaborata. Ciò non ostante, penso che sia comunque utile conoscerla, visto che è alla base anche di norme italiane relative ai profili professionali in ambito sicurezza (UNI 11621-4) e privacy (UNI 11697).

ISO/IEC 330xx - Process assessment (e ISO/IEC 15504 - SPICE)

Sono noti alcuni schemi di valutazione della maturità (o della capacità) dei processi. A me non convincono perché troppo basati sulla quantità di documenti e di registrazioni e perché sono convinto che la realtà non sia facilmente modellabile e l'illusione di farlo, oltre che costare tanto, è pericolosa. Però è bene conoscere questi standard.

Lo schema dell'ISO/IEC era noto come ISO/IEC 15504 e con il nome, piuttosto divertente, di SPICE (Software process improvement and capability determination), dal nome del progetto da cui è partito lo sviluppo dello standard.

Per motivi a me ignoti, la serie ISO/IEC 15504 è in fase di sostituzione da parte degli standard della serie ISO/IEC 330xx.

Ecco quindi lo stato attuale degli standard:
- ISO/IEC 33001: 2015 (concetti e terminologia), che sostituisce la parte 1 della ISO/IEC 15504;
- ISO/IEC 33002:2015 (requisiti per valutare i processi), ISO/IEC 33003:2015 (requisiti per misurare i processi) e ISO/IEC 33004:2015 (requisiti per i modelli di processo) che sostituiscono le parti 2 e 7 della ISO/IEC 15504;
- ISO/IEC 33015:2019 (determinazione dei rischi di processo) al posto delle ISO/IEC 15504-4 e ISO/IEC 15504-9;
- ISO/IEC 33020: 2015 (misurazioni per la valutazione della capacità) che sostituisce parte della 15504-2;
- ISO/IEC 33030:2017 (esempio di valutazione) che sostituisce parte della 15504-3;
- ISO/IEC 33053:2019 (Process Reference Model (PRM) for quality management).

Rimangono ancora "vive" le seguenti:
- ISO/IEC 15504-5 (An exemplar software life cycle process assessment model);
- ISO/IEC 15504-6 (An exemplar system life cycle process assessment model);
- ISO/IEC 15504-8 (An exemplar process assessment model for IT service management);
- ISO/IEC 15504-10 (Safety extension).

Ulteriori documenti sono in fase di lavorazione nella serie ISO/IEC 330xx.

Il business della sicurezza (nelle scuola USA)

Segnalo questo articolo del Corriere della sera dal titolo "Usa, il business sicurezza nelle scuole":
- https://www.corriere.it/editoriali/19_febbraio_07/usa-business-sicurezza-scuole-667de962-2afb-11e9-8bb3-2eff97dced46.shtml.

Mi occupo di sicurezza delle informazioni e, con le dovute cautele, alcuni parallelismi li possiamo fare. In particolare ho riflettuto sull'unione di due direzioni contrapposte: da una parte quella della sfiducia completa nei confronti del prossimo, per cui è necessario armarsi di armi reali o di forme di controllo sempre più sofisticate, dall'altra quella della fiducia totale nei confronti dei venditori delle tecnologie che hanno già dimostrato di potersene approfittare (vedere caso di Cambridge Analytica).

E da questa storia si nota anche la tendenza a rifugiarsi, per la sicurezza, in tecnologie sempre più sofisticate, complesse da mantenere e che lasciano sempre più spazio di manovra ai fornitori. Un tempo era caratteristica degli informatici rispondere, ad ogni problema di sicurezza informatica, "ho un tool"; oggi sembra la risposta comune. Invece spesso basterebbe risparmiare su qualche gadget o consulente e investire di più negli stipendi del personale che c'è già, nella sua formazione e nella sua crescita numerica.

Penso che in molti casi costerebbero di meno (anche se, ahinoi, nelle spese fisse), e avrebbero maggiori benefici, due persone in più, con la riduzione dello stress in quelli che ci sono già e quindi degli errori, al posto del continuo ricorso a super-fornitori, super-consulenti e super-tecnologie.

Dico questo con l'esperienza di chi ha visto aziende con tanti tecnici sovraccarichi di lavoro e che investono in tecnologie spesso inutili (qualcuno si ricorda i DLP? oggi sono, a ragione, quasi dimenticati) e in consulenze altrettanto inutili (per esempio su fantistici modelli organizzativi che non vedono mai la luce, nonostante gli enormi costi sostenuti per farsi dire che è necessaria un'organizzazione "matriciale" (perché è così che finisce nella maggior parte dei casi; mi si scusi lo spoiler)).

Executive Perspectives on Top Risks for 2019 di Protiviti

Segnalo questo documento di Protiviti dal titolo "Executive Perspectives on Top Risks for 2019":
- https://www.protiviti.com/IT-it/insights/protiviti-top-risks-survey.

Io ho molte perplessità di fronte a queste indagini, visto che sono palesemente guidate. Inoltre trovo eccessivamente pomposo il sottotitolo "Key Issues Being Discussed in the Boardroom and C-Suite".

Però trovo interessante il lavoro preparatorio di selezione di 30 rischi da sottoporre agli intervistati. Sono convinto si tratti di una selezione condotta tra i vari consulenti e che quindi sia maggiormente significativa delle successive analisi sui 10 rischi "più significativi".

Molti sono rischi non operativi (per la qualità o la sicurezza delle informazioni), ma fanno parte del "contesto" di cui tanto si parla con gli standard relativi ai sistemi di gestione e basati sull'HLS (ISO 9001:2015, ISO/IEC 27001:2013, ISO/IEC 20000-1:2018 e così via). Consiglio quindi una lettura della tabella 1 (pagine 4, 5 e 6).

Regolamento UE contro il geo-blocking

Ivo Trotti di Kantar Italia, visto il mio interesse in materia di accessibilità, mi ha segnalato questo:
- https://www.consorzionetcomm.it/notizie/entra-in-vigore-il-regolamento-sul-geoblocking.kl.

E' quindi possibile accedere alla pagina ufficiale della UE sulla materia:
- https://ec.europa.eu/digital-single-market/en/faq/geo-blocking.

In sostanza, da quando entrerà in vigore il Regolamento, non sarà più possibile, per i siti di uno Stato membro, bloccare l'accesso o i pagamenti a utenti di altri Stati membri, pratica che è invece vista come discriminante.