venerdì 29 agosto 2025

Specifiche per i VA-PT secondo DORA

Da un post su LinkedIn di Severiano Maria Moiso (che non conosco, ma ringrazio), inoltrato da Sergio Insalaco (che ugualmente non conosco, ma ugualmente ringrazio), segnalo che è stato pubblicato il Regolamento Delegato (UE) 2025/1190 sulle regole per i VA-PT secondo quanto previsto dal Regolamento DORA: https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32025R1190.

Intanto una cosa interessante è che il Regolamento non usa il termine di "PT", ma "test di penetrazione guidati da minacce (threat-led penetration testing)" e usa la sigla "TLPT". La definizione si trova nel DORA: "un quadro che imita le tattiche, le tecniche e le procedure di attori reali della minaccia che sono percepiti come minaccia informatica autentica, che consente di eseguire un test dei sistemi di produzione attivi e critici dell’entità finanziaria in maniera controllata, mirata e basata sull’analisi della minaccia (red team)".

Il link al post di Sergio Insalaco: https://www.linkedin.com/feed/update/urn:li:activity:7341571875870773248/.

A mio parere è interessante leggere le regole stabilite per la selezione del fornitore di PT, sulla composizione dei tester, sui rischi da valutare, per il processo.

mercoledì 27 agosto 2025

Alberghi, documenti di identità e l'approccio del "non si sa mai"

Dalla newsletter Project:IN Avvocati dell'11 agosto 2025 trovo una notizia interessante: https://www.linkedin.com/feed/update/urn:li:activity:7360536866254729216/.

La notizia è ripresa da Wired e ha titolo "Hotel italiani, nel dark web in vendita migliaia di documenti di identità trafugati": https://www.wired.it/article/dark-web-documenti-identita-trafugati-hotel-italiani/.

Io che sono pigro, copio e incollo il commento della newsletter: "nei giorni scorsi sono emersi sul dark web (grazie al lavoro di CERT-AgID, come riporta Wired) database contenenti copie di documenti d’identità di tre hotel italiani. Al di là del breach, evidente e delicatissimo: ma perché queste strutture avevano e hanno in memoria i documenti, quando la normativa non lo impone e anzi lo vieta?".

Ho chiesto chiarimenti e Francesco Di Maio (uno degli avvocati dietro alla newsletter) mi ha risposto che "L'art. 109 del Testo Unico delle Leggi di Pubblica Sicurezza, più volte novellato, impone a tutti gli esercenti di strutture ricettive di comunicare giornalmente le generalità delle persone alloggiate, da effettuare oggi in via esclusiva attraverso un'applicazione telematica messa a disposizione dal Dipartimento della P.S., che non richiede né prevede alcun caricamento di immagine di documenti, ma solo dati ricavabili da essi, che devono essere inseriti a cura della struttura ricettiva. Va da sé che l'acquisizione di copie di documenti costituisce un trattamento eccedente e, come tale, deve essere valutato poiché non sorretto da alcuna base giuridica. Il manuale utente dell'applicazione è esplicativo https://alloggitiweb.poliziadistato.it/PortaleAlloggiati/SupManuali.aspx". 

Allora io ho generalizzato la questione pensando che questo dimostra l'approccio del "non si sa mai". Nel caso specifico, le strutture ricettive tenevano copie dei documenti per timore che le forze dell'ordine potessero chiedere prove delle comunicazioni effettuate.

Purtroppo l'atteggiamento "non si sa mai" è troppo diffuso. Lo vedo negli audit e lo vedo nell'applicazione della normativa e questo è un problema perché l'applicazione dei requisiti viene appesantita (quando già il requisito non è troppo pesante di suo). Relativamente agli standard, vedo che la loro adozione viene quindi percepita come un onere fastidioso e solo un lavoro paziente di alcuni consulenti e auditor guida le organizzazioni verso un'adozione pragmatica ed efficace degli standard. Dico "alcuni" e intendo "molti", purtroppo non "tutti".

Lo stesso approccio, ahinoi, riguarda anche la normativa e qui la situazione è più delicata, perché fare ricorso ha costi anche significativi e molti preferiscono fare anche cose inutili che correre il rischio di sanzioni. Qui dovremmo quindi ragionare sul ruolo delle autorità di vigilanza, che dovrebbero sì vigilare e, se il caso, anche sanzionare, ma anche accompagnare. Il ragionamento dovrebbe quindi essere esteso al bilanciamento tra regolamentazione e innovazione. Lo faccio in un altro post. 

Pubblicata la ISO/IEC 27018:2025

Grazie a un post di Fabrizio Cirilli su LinkedIn, segnalo che è stata pubblicata la SO/IEC 27018:2025 con titolo "Guidelines for protection of personally identifiable information (PII) in public clouds acting as PII processors": https://www.iso.org/standard/27018.

Si tratta della precedente versione del 2019 aggiornata per allineamento alla versione del 2022 della ISO/IEC 27002. In pochissime parole: non c'è nessun cambiamento significativo, ma ovviamente andrà prestata attenzione alle differenze per evitare pasticci.

Per chi non lo sapesse, la ISO/IEC 27018 aggiunge alla ISO/IEC 27002 i controlli di sicurezza dei dati personali, applicabili ai fornitori di servizi cloud pubblici. Questi controlli, per chi li volesse applicare, possono essere utilizzati anche per le certificazioni ISO/IEC 27001 e l’organizzazione certificata può avere sul certificato ISO/IEC 27001 una frase del tipo “Certificazione ISO/IEC 27001 con l’aggiunta dei controlli della ISO/IEC 27018”.

Per alcuni controlli già presenti nella ISO/IEC 27002, sono fornite linee guida per l’implementazione aggiuntive, specifiche per la sicurezza dei dati personali nell’ambito dei servizi cloud pubblici.

In questi ultimi anni, questa aggiunta è stata richiesta in molti contesti e in particolare per la Pubblica amministrazione. Purtroppo però la norma è stata interpretata in modo piuttosto fantasioso (per esempio con certificazioni dedicate o richiedendo di includere nel SOA anche le linee guida per l’implementazione aggiuntive), ma spero che l’ultima circolare Accredia in materia porti ordine.

martedì 26 agosto 2025

Microsoft usava programmatori cinesi per i sistemi della Difesa USA

Rimando a questo post di Bruce Schneier dal titolo "Another Supply Chain Vulnerability": https://www.schneier.com/blog/archives/2025/07/another-supply-chain-vulnerability.html.

In poche parole, Microsoft usava programmatori cinesi per i sistemi della Difesa USA. La Cina, ricordiamolo, per gli USA è un'avversaria potente nell'ambito dell'informatica. Allora Microsoft aveva previsto dei controlli da parte di personale USA, che però erano ex militari pagati al minimo e senza vere competenze di programmazione.

Ahinoi, per vincere una gara si fa quasi di tutto e per accettare il prezzo minimo si accetta quasi di tutto.

Ricordo ancora il mio amico che in campeggio ricordava ad alcuni: "hai voluto pagare poco la tenda, eh?".

Sintesi dell'AI Act

Segnalo questo articolo dal titolo "AI Act: la visione europea sull’intelligenza artificiale": https://www.hermescse.eu/ai-act-la-visione-europea-sullintelligenza-artificiale/.

Fornisce una buona sintesi del Regolamento europeo per l'IA.

Sul commento finale sono in parte d'accordo con l'autore. Sulla relazione tra regolamentazione e innovazione vorrei fare una ulteriore riflessione (anche se qualcosa l'avevo già scritta in passato).

sabato 23 agosto 2025

Guide OWASP su IA (AI Exchange e AI Testing Guide)

Andrea Solimeno di Selexi mi ha segnalato la OWASP AI Testing Guide: https://github.com/OWASP/www-project-ai-testing-guide/tree/main/Document.

La lettura ha le sue complessità, ma i project leader (Matteo Meucci e Marco Morana) sono di prim'ordine. Io penso che sia particolarmente interessante la lista dei test (https://github.com/OWASP/www-project-ai-testing-guide/tree/main/Document/content/tests) perché li propone per ciascuna minaccia e descrive bene anche ciascuna minaccia. 

Nella lettura ho trovato il riferimento all'OWAS AI Exchange: https://owaspai.org/.

Qui sono chiare le relazioni tra minacce e controlli di sicurezza, anche se non presentati in modo proprio semplice.

Ecco: non chiedetemi di raccontarvi cosa ho capito perché non ci farei una bella figura. Magari con il tempo imparerò meglio le varie cose. Più che altro, mi piacerebbe trovare un libro che spieghi queste cose perché un conto è destreggiarsi tra pagine web, un altro è avere un libro, con i pregi e i difetti di una presentazione consecutiva degli argomenti (purtroppo c'è tantissima letteratura su come sarà il mondo con la diffusione dei sistemi con IA, ma sembra poca e dispersa quella su come mettere in sicurezza questi sistemi).

giovedì 21 agosto 2025

Mio articolo sulle misure ACN per NIS2

Ho scritto un articolo dal titolo "Nis2, ecco le misure dell’Acn per la sicurezza delle imprese": https://www.agendadigitale.eu/sicurezza/nis2-ecco-le-misure-dellacn-per-la-sicurezza-delle-imprese/.

Mi ha aiutato Monica Perego, Idraulica della privacy.

Nulla di nuovo, nulla di innovativo. Se qualcuno ha però qualcosa da segnalarmi, lo prego di farlo.

martedì 19 agosto 2025

NIS2: Aggiornamento determina ACN per aggiornamento annuale

Copio e incollo direttamente dalla newsletter di Project:IN Avvocati:

Non poteva mancare una determina il giorno di chiusura del periodo di notifica dei dati da parte di soggetti essenziali e importanti ai sensi della "Direttiva NIS 2": così ACN ha pubblicato la determina n. 283727 del 22 luglio 2025 che sostituisce la n. 136117 del 10 aprile 2025. Il testo aggiusta e amplia le precedenti posizioni dell'Agenzia, ponendo le basi per l'implementazione pratica ed effettiva delle norme di cybersicurezza poste a protezione del "perimetro nazionale", in particolare riguardo all'utilizzo della piattaforma digitale di comunicazione tra soggetti NIS e Autorità.

Di mio aggiungo il link alla pagina web di ACN: https://www.acn.gov.it/portale/nis/aggiornamento-informazioni.

Non ho trovato nulla di particolarmente significativo.

domenica 3 agosto 2025

Aggiornato il DPCM 81 del 2021 del PSNC

E' stato pubblicato il DPCM 111 del 2025 che aggiorna il DPCM 81 del 2021: https://www.normattiva.it/eli/id/2025/08/01/25G00116/ORIGINAL.

In sostanza, quando le organizzazioni del PSNC notificano un incidente, devono anche classificarlo secondo una tassonomia stabilita dal DPCM 81 del 2021 (che aveva 19 tipi), ora aggiornata con il DPCM 111 del 2025. La modifica è stata l'aggiunta di un solo tipo, ossia il "Accesso non autorizzato o con abuso dei privilegi concessi".  

Non ho mai apprezzato questa tassonomia, in troppi punti troppo generica (però non l'avevo mai studiata con attenzione). Avevo ragione a non apprezzare, visto che l'accesso abusivo prima non ci fosse e ci abbiano messo 4 anni a intervenire.

venerdì 1 agosto 2025

Buone pratiche di cybersecurity di base per i dipendenti delle PP.AA.

ACN ha pubblicato il "Vademecum: Buone pratiche di cybersecuritydibase per i dipendenti delle PP.AA.": https://www.acn.gov.it/portale/vademecum-dipendenti.

Si tratta, a farla breve, di una presentazione di 28 slide divisa in due parti: la prima riguarda il perché la sicurezza informatica è importante, la seconda presenta 12 "buone pratiche".

Nulla di nuovo sotto il sole, ma mi pare materiale ben fatto. Per chi ha già del materiale proprio, può valere la pena verificare se include tutte e 12 le buone pratiche. Io dovrò sicuramente inserire qualcosa sull'uso di sistemi IA, prendendo spunto dall'ultima slide.

Visto che mi piace criticare ACN, lo faccio anche adesso:

- il documento non è datato e neanche la pagina web di riferimento; neanche "2025" c'è, accipicchia;

- sono andato sulla home page per cercare questo vademecum (l'avevo inizialmente ignorato, poi però ho pensato che dovevo ripensarci e volevo ritrovarlo) e non l'ho trovato neanche con la ricerca (che mette i documenti in ordine casuale di data); però dalla home page sappiamo che Frattasi ha fatto i complimenti agli italiani delle Cyber olimpiadi e ACN ha incontrato la Repubblica del Mozambico; tutto bene.

mercoledì 30 luglio 2025

Gli uomini possono fare tutto (luglio 2025)

Voglio qui parlare della scuola media, dopo 3 anni vissuti come padre, perché gli uomini possono aiutare i ragazzi con i compiti, partecipare alle assemblee di classe e discutere con gli altri genitori anche sulle temutissime chat dei genitori.

Cercherò di evitare l’effetto Dunning – Kruger. Cercherò anche di collegare alcune riflessioni sui sistemi di gestione, di cui invece ho qualche competenza. Premetto anche che la mia esperienza è limitata ai miei figli (e uno non le ha ancora finite) e a confronti con altri genitori.

Uno. Il nozionismo è aumentato, nonostante già negli anni Ottanta era criticato (è anche aumentato il peso dei libri, anch’esso criticato all’epoca).

Due. I temi, e quindi l’esercizio di esprimere opinioni ed esercitare la creatività, non sono più necessari, anche se poi l’esame di terza ne prevede uno con 3 tracce (a mio figlio è stato assegnato un solo tema, neanche argomentativo, e ha avuto un libro da leggere all’anno, non di più).

Tre. I test Invalsi sono spesso scollegati dalle solite verifiche, soprattutto in Italiano (comprensione del testo, mentre nei 3 anni le verifiche erano state di grammatica e di storia della letteratura) e matematica (30 domande a cui rispondere in 75 minuti, mentre le verifiche nei 3 anni consistevano in alcune domande puntuali, un paio di problemi di geometria e un paio di espressioni o equazioni di algebra).

Quattro. La scarsa considerazione dei ragazzi con DSA. Infatti nei test Invalsi, gestiti dal Ministero, non valgono le misure compensative, tranne l’aggiunta di tempo e la lettura sintetica al computer.

Cinque. Ai ragazzi non sono insegnate le modalità per organizzarsi. Non è insegnato come si usa il diario, come si presentano le verifiche (ho visto usare fogli di ogni tipo e gran sorpresa per la professoressa che in terza voleva che scrivessero bene nome e cognome e data nell’intestazione), come si organizzano i quaderni e gli appunti.

Sei. Gli stessi insegnanti sono disorganizzati e lo si vede da come assegnano i compiti: a voce o alla lavagna di fretta a fine lezione, sul registro elettronico o su un sistema di condivisione file a qualsiasi orario anche nel fine settimana.

Sette. I ragazzi sono deresponsabilizzati rispetto agli anni Ottanta. Infatti adesso sul registro elettronico vengono scritti i compiti, i voti e le note, spesso senza neanche dirlo ai ragazzi. In passato erano i ragazzi a doverli comunicare (o nascondere) ai genitori, ora sono i genitori, e non gli insegnanti, a comunicarli al ragazzo.

Otto. Gli insegnanti non hanno ricevuto istruzione su come insegnare, né sulle caratteristiche dei ragazzi con DSA (disturbi specifici di apprendimento). Questo ha poi una conseguenza: se loro dimostrano di non essersi impegnati a capire le difficoltà di questi ragazzi, sono ritenuti ipocriti, e quindi ignorati, quando richiedono impegno.

Questo ha anche impatti sociali importanti. Infatti i più bravi, con famiglie che li seguono bene, vanno avanti, mentre i meno bravi (in particolare quelli con DSA e gli immigrati o i figli di immigrati che hanno difficoltà di lingua e di capacità di supporto) vengono anche umiliati. Il risultato è che iniziano ad allontanarsi dalla scuola e a frequentare “cattive compagnie”, con tutte le difficoltà che ne conseguono.

Una prima analisi delle cause è che alcune deviazioni si siano presentate piano piano senza però una vera riflessione sulle conseguenza finali. Per esempio: l’aumento del carico di lavoro, da “ingozzatoio”, come dice Daniela Lucangeli, è corretto? l’uso incontrollato degli strumenti informatici da parte dei professori che effetti positivi e negativi potrebbe avere? Le 6 ore di scuola al giorno per 5 giorni al posto di 5 ore in 5 giorni sono adeguate per i ragazzi (a parte i genitori e gli insegnanti)? Anche strumenti come le interrogazioni a sorpresa dovrebbero essere analizzati se veramente utili, anche perché all’università non ci sono. Insomma: manca una pianificazione.

A mio parere, una seconda analisi delle cause, riguarda l’aumento del nozionismo, che lo ha reso centrale rispetto a tutto il resto e riempie completamente il tempo disponibile, con una conseguente frenesia e disorganizzazione anche da parte degli insegnanti.

Però alla fine sappiamo che la causa profonda è il mancato impegno della Direzione. In questo caso il Ministero dell’istruzione. Infatti, più o meno nell’ordine:

  • non sono chiari gli obiettivi delle medie (ingozzatoio di nozioni o apprendimento di un’organizzazione?);
  • le poche indicazioni per le competenze reperibili sono incomprensibili (il Decreto del MIUR 254 del 2012 con titolo “Regolamento recante indicazioni  nazionali  per  il  curricolo  della scuola  dell'infanzia  e  del  primo  ciclo  d'istruzione” non dice quasi nulla, ma in 74 pagine);
  • gli Invalsi costituiscono un’eccezione alle misure compensative per i ragazzi con DSA; se il Ministero non le ritiene valide, non si capisce perché debbano farlo i professori;
  • gli insegnanti sono selezionati sulle nozioni relative alle materie di insegnamento, non sulle modalità di insegnamento, sulla pedagogia, sulla psicologia, su come affrontare i ragazzi con difficoltà, eccetera;
  • non sono fornite indicazioni chiare e semplici da leggere agli insegnanti e alle famiglie (su questo bisogna riflettere che i professori della secondaria inferiore sono circa 155 mila ed è assurdo pensare che ciascuno possa inventarsi una professionalità senza un supporto, che non può neanche essere fornito dalle scuole, sempre più accorpate con la presenza di tanti ordini di studio);
  • c’è l’illusione che si possa seguire un approccio personalizzato per alunno e istituto e professore e materia, quando sappiamo che così non è né può essere, considerando i grandissimi numeri;
  • le poche indicazioni sono difficili da reperire (sul sito del MIM ho trovato solo le “Linee di indirizzo per favorire il diritto allo studio degli alunni adottati”, sotto la voce “URP”, ufficio relazioni con il pubblico, come se non riguardassero l’insegnamento), a differenza delle esternazioni sporadiche del ministro di turno;
  • sono chiesti ai professori sempre più adempimenti burocratici, che tolgono loro tempo ed energie all’insegnamento (lungi da me criticare ogni forma di burocrazia, ma un esempio emblematico è la “certificazione delle competenze”, documento scorretto teoricamente e inutile da un punto di vista pratico, ma fa carta).

martedì 29 luglio 2025

Linee guida CNIL per sviluppare i sistemi con IA

La CNIL ha pubblicato la pagina web con titolo "Développement des systèmes d’IA : les recommandations de la CNIL pour respecter le RGPD": https://www.cnil.fr/fr/developpement-des-systemes-dia-les-recommandations-de-la-cnil-pour-respecter-le-rgpd.

Sì, è in francese, ma credo si capisca abbastanza.

Sì, non dice niente di troppo nuovo, ma è tutto in buon ordine, sintetico e abbastanza pragmatico, quindi è apprezzabile.

Grazie alla newsletter di Project:IN Avvocati per averlo segnalato.

Codice di condotta per i modelli di IA per finalità generali

A inizio luglio la Commissione europea ha pubblicato "The General-Purpose AI Code of Practice": https://digital-strategy.ec.europa.eu/en/policies/contents-code-gpai.

La definizione di modello di IA per finalità generali è data del Regolamento IA: modello di IA che sia caratterizzato una generalità significativa e sia in grado di svolgere con competenza un'ampia gamma di compiti distinti.

Non l'avevo segnalato subito per due motivi:

  • credo che debba ancora esserne pubblicata la versione definitiva (a breve, comunque);
  • non credo che siano molti gli sviluppatori di tali modelli.

Però alcune indicazioni sulla trasparenza e la gestione del diritto d'autore mi sembrano interessanti per tutti. La parte sulla sicurezza è invece troppo generica.

domenica 27 luglio 2025

ISO/IEC 27031:2025 sulla continuità operativa per l'ICT

E' stata pubblicata la ISO/IEC 27031:2025 "Information and communication technology readiness for business continuity": https://www.iso.org/standard/27031.

Ringrazio Chiara Ponti per avermelo segnalato.

Alcune mie riflessioni:

  • temevo fosse troppo basata sui documenti, invece no;
  • richiede di condurre una valutazione del rischio del tipo FMEA per ogni componente del sistema e questo è invece un po' eccessivo;
  • se capisco bene, la norma prevede 3 fasi: interruzione totale, ripristino con MBCO, ritorno alla normalità; sappiamo bene che in realtà ce ne sono di più, però il modello di base è questo;
  • a mio parere si confonde perché da una parte dice che l’RTO riguarda tutto il tempo di ripristino, ma (in figura 1) dice che il recovery finisce con il ritorno alla normalità;
  • rimane un po’ antico, considerando solo tecnologie di hot standby, warm standby, cold standby e ship-in arrangements, senza citare i sistemi active-active o il possibile ricorso al cloud.

Trovo interessante la lista dei possibili test: ripristino di un solo file o di un database, ripristino di un singolo server, ripristino di un'applicazione, guasto di servizi su una piattaforma ad alta affidabilità, guasto di rete.

martedì 15 luglio 2025

Quando il cloud crolla

Segnalo questo articolo dal titolo "Quando le nuvole fanno PLOP!": https://www.linkedin.com/comm/pulse/quando-le-nuvole-fanno-plop-antonio-ieran%C3%B2-h7swf.

Il tono è sarcastico, forse c'è un pelo di pubblicità alla soluzione di Proofpoint (immagino perché Ieranò l'abbia sperimentata personalmente), sicuramente ci sono cose che val la pena ripassare anche se in modo sintetico (fare i test di DR, prepararsi i comunicati verso i clienti, eccetera).

 

lunedì 14 luglio 2025

UNI 11980:2025 sulla distruzione supporto di dati

E' stata pubblicata la  UNI 11980:2025 "Distruzione supporto di dati - Requisiti e indicatori di conformità per i processi di distruzione di supporti di dati": https://store.uni.com/uni-11980-2025.

Si tratta di una specificazione ulteriore di quanto richiesto dalla ISO/IEC 21964 "Destruction of data carriers".

E' stato molto interessante partecipare ai lavori e ringrazio Luciano Quartarone per averli guidati.

Una richiesta: non segnalatemi quanto sia assurdamente alto il prezzo (85 €) per questo documento di 22 pagine.

domenica 13 luglio 2025

DORA e regole per i subfornitori (utili per tutti)

La Commissione Europea ha emesso, il 25 marzo, il Regolamento delegato (UE) 2025/532 con le "norme tecniche di regolamentazione che specificano gli elementi che l’entità finanziaria deve determinare e valutare quando subappalta servizi TIC": https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32025R0532.

Penso sia interessante per tutti. Ricordo che TIC (Tecnologie dell’informazione e della comunicazione) è la traduzione in italiano di ITC (o ancora più semplicemente IT).

Trovo soprattutto interessante come richiede di valutare la criticità della fornitura e del subappalto dei servizi IT. Gli elementi da considerare sono (sintetizzo):

  • il tipo di servizi IT offerti dal fornitore e dai suoi subappaltatori;
  • la sede del subappaltatore di TIC e dove sono trattati i dati;
  • la lunghezza e la complessità della catena di subappaltatori;
  • la natura dei dati condivisi con i subappaltatori;
  • se i subappaltatori sono soggetti a vigilanza o sorveglianza da parte di un’autorità competente in uno Stato membro o di uno Stato non membro;
  • se il servizio IT è concentrato su un numero ridotto o meno di subappaltatori;
  • se il subappalto incide sulla trasferibilità dei servizi a un altro fornitore di servizi;
  • il potenziale impatto di perturbazioni sulla continuità e sulla disponibilità dei servizi.

Viene quindi richiesto, all'organizzazione che usa i servizi, di valutare e monitorare le capacità del proprio fornitore di controllare la catena di approvvigionamento.

Mi sembra poi interessante la richiesta di valutare se il fornitore e i subfornitori permettono l’esercizio dei diritti di audit, ispezione e accesso da parte delle autorità competenti.

Ringrazio Franco Vincenzo Ferrari per avermi segnalato la pubblicazione di tale regolamento.

28 giugno: Guasto ai radar del Nord Italia

Il 28 giugno, dicono, c'è stato un sovraccarico delle linee di comunicazione negli aeroporti del nord e che ha bloccato il loro sistema radar. Il risultato: tantissimi voli non decollati deviati in altri aeroporti (Firenze e Pisa, principalmente).

Christian Bernieri ha scritto il suo pezzo su come un'emergenza così è stata mal gestita: https://garantepiracy.it/blog/emergenza/.

C'ero anch'io e non ci siamo incontrati all'aeroporto Pisa per puro caso. 

Le mie riflessioni sono diverse rispetto a quella di Christian. Io penso all'incidente, di cui ho trovato qui una descrizione: https://tg24.sky.it/cronaca/2025/06/28/traffico-aereo-sospeso-italia.

ENAV attribuisce la responsabilità a TIM, ma vengono in mente almeno due questioni. La prima è che la linea principale e quella di backup fossero sempre di TIM (una terza, quella che poi aveva funzionato, seppur in modo limitato era invece con un altro operatore). Solitamente si consiglia di usare sempre operatori diversi, anche se poi in Italia quasi tutti usano l'infrastruttura TIM. 

La seconda è che sembra che la linea di backup fosse in stand-by. Questa non è una soluzione ottimale, soprattutto se consideriamo la criticità del servizio. Infatti in casi come questi sarebbe opportuno avere due linee sempre attive in load balancing. Per questa riflessione ringrazio un mio cliente.

Un'ultima riflessione riguarda la valutazione del rischio, sicuramente fatta da ENAV. Io, senza troppa fantasia, avrei selezionato solo 5 scenari: mancanza di sede, mancanza dei sistemi IT, mancanza di connettività, mancanza di personale, mancanza di fornitori. Questo approccio semplicistico avrebbe permesso di identificare il rischio, alla faccia di chi propone modelli più complessi (poi, lo ammetto, avrei accettato come valida la soluzione active-standby).

Queste riflessioni sono fatte in mancanza di dettagli certi, ma solo su "sentito dire". C'è un'indagine in corso da parte di ENAC. Penso che sia sempre opportuno riflettere su questi incidenti, purché sia fatto rispettando gli attori coinvolti sia perché le informazioni sono incerte sia perché non sono sicuro che sarei stato capace di fare meglio.

martedì 8 luglio 2025

Cervello e ChatGPT

Segnalo questo articolo (grazie alla newsletter di DFA) dal titolo "Il tuo cervello e ChatGPT: il prezzo del debito cognitivo e come evitarlo": https://www.thesundayprompt.com/il-tuo-cervello-e-chatgpt-il-prezzo-del-debito-cognitivo-e-come-evitarlo/.

Esso riassume uno studio del MIT di 206 pagine dal titolo "Your Brain on ChatGPT: Accumulation of Cognitive Debt when Using an AI Assistant for Essay Writing Task": https://arxiv.org/abs/2506.08872

La sostanza è semplice: usare gli LLM atrofizza, in qualche modo, le capacità intellettuali ed è quindi opportuno attivare strategie per evitare questo effetto.

martedì 1 luglio 2025

Guide ENISA per NIS2 (per fornitori di servizi IT)

ENISA, la European Union Agency for Cybersecurity, ha pubblicato, come richiesto dalla Direttiva NIS 2, due guide per l'implementazione della Direttiva stessa.

La prima è destinata ai fornitori di servizi IT ed è la "NIS2 Technical Implementation Guidance": https://www.enisa.europa.eu/publications/nis2-technical-implementation-guidance.

Più precisamente, si tratta di una guida per l'implementazione della Commission Implementing Regulation (EU) 2024/2690, destinata a fornitori di servizi DNS, registri dei nomi di dominio di primo livello, fornitori di servizi di cloud computing, fornitori di servizi di data center, fornitori di reti di distribuzione dei contenuti, fornitori di servizi gestiti, fornitori di servizi di sicurezza gestiti, fornitori di mercati online, di motori di ricerca online e di piattaforme di servizi di social network e prestatori di servizi fiduciari.

Il documento è lungo 170 pagine e non mi sembra riporti cose inutilmente fantasiose. Anzi, mi sembra che riporti misure pragmatiche al punto giusto, con descrizioni destinate a non esperti di sicurezza informatica.

La seconda è destinata a tutti i soggetti NIS 2 e ha titolo "Cybersecurity roles and skills for NIS2 Essential and Important Entities": https://www.enisa.europa.eu/publications/cybersecurity-roles-and-skills-for-nis2-essential-and-important-entities.

Questa seconda riporta qualche esempio ed elenca 12 ruoli che coinvolti nell'implementazione e nel mantenimento della sicurezza informatica. Non mi sembra una guida particolarmente illuminante.