sabato 18 ottobre 2025

Aggiornamento del software Jeep causa problemi

La notizia mi arriva dal SANS NewsBites, che fa riferimento all'articolo "Software update bricks some Jeep 4xe hybrids over the weekend": https://arstechnica.com/cars/2025/10/software-update-bricks-some-jeep-4xe-hybrids-over-the-weekend/.

Io sono un sostenitore del fatto che i processi di sicurezza, come quello di gestione dei cambiamenti, servono anche per evitare errori.

Qui molti hanno anche aggiunto il fatto che l'aggiornamento è stato messo a disposizione il venerdì pomeriggio e non è risultata la scelta migliore.

Io sono invece preoccupato dal fatto che, da questo incidente, sembra che abbiano messo insieme il sistema di intrattenimento con quello di controllo del veicolo. Capisco che costi separarli, però così si mettono insieme due sistemi di criticità estremamente diverse.

giovedì 16 ottobre 2025

Gli uomini possono fare tutto (Ottobre 2025)

Sto seguendo un corso di difesa personale e la cosa non è di grande interesse. Il fatto è che i partecipanti di questi corsi sono per il 93% donne (i maschi vanno ai corsi di arti marziali). Quando partecipano, poi, una parte del lavoro dell'insegnante è far recuperare capacità motorie ormai dimenticate dal corpo.

La prima riflessione, non mia, riguarda le scelte diverse tra maschi e femmine. La difesa personale e la pratica di arti marziali hanno però obiettivi e applicabilità diverse. Infatti la difesa personale ha come obiettivo il mantenimento della propria integrità e quindi, in poche parole, la fuga; la pratica di arti marziali ha invece l'obiettivo del confronto sportivo, che però non può essere replicato tal quale in caso di aggressione al di fuori della palestra.

Non commento oltre questo l'atteggiamento maschile che presume una certa capacità di confronto violento anche in mancanza di esperienza diretta, però dà da pensare e penso che sia pericolosa. Alcuni casi di cronaca mi confermano l'analisi, ma non li conosco abbastanza per poterne essere sicuro.

La seconda riflessione riguarda le tante donne che hanno smesso, se mai hanno iniziato, un'attività motoria per ritrovarsi nel mezzo del cammin di loro vita un po' imbranate, incapaci di rotolare per terra (lasciamo perdere le capovolte che ormai neanche i ragazzini le sanno più fare), di rialzarsi da terra, di correre. Non ho dati, ma penso che anche questa rinuncia allo sport sia un segno di qualcosa che non va.

Per la cronaca: l'insegnante (donna) che ci ha raccontato delle difficoltà delle allieve femmine nei corsi di difesa personale ha anche aggiunto che, dopo la prima metà di un corso annuale di un'ora alla settimana, le partecipanti acquisiscono una buona motricità.

Compromesso un sistema di prescrizioni sanitarie

La notizia iniziale è questa: Un attacco hacker ha colpito i server dell’azienda Murex, gestore del portale ‘Paziente Consapevole’ usato da medici e cittadini per le prescrizioni sanitarie.  Nulla di nuovo direi.

La seconda parte è più interessante: I pazienti hanno ricevuto mail con i propri dati sensibili in cui venivano richiesti pagamenti arretrati a nome di una finta azienda di recupero crediti di Monza.

L'interesse è dovuto al fatto che questo caso è particolarmente critico perché riguarda dati sanitari, ma anche compromissioni simili di dati soprattutto di contatto possono essere usati per truffe. Lo dico perché spesso i database con solo i dati di contatto sono ritenuti poco critici e in effetti i dati sono facilmente reperibili da molte fonti. E' però l'associazione tra organizzazione che ha il db e contatto presente nel db che può essere sfruttata per ulteriori attacchi.

La notizia l'ha diffusa Franco Vincenzo Ferrari con link del sito del Corriere della sera, con cookie wall. Quindi io segnalo questo alternativo: https://www.fanpage.it/milano/attacco-hacker-alla-piattaforma-per-le-prescrizioni-sanitarie-ai-pazienti-rubati-migliaia-di-dati-sensibili/.

Statistiche su attacchi e incidenti di sicurezza IT

Sono state pubblicati alcuni report con statistiche su attacchi e incidenti di sicurezza IT.

Uno è l'ENISA Threat Landscape del 2025: https://enisa.europa.eu/publications/enisa-threat-landscape-2025.

Davide Giribaldi su LinkedIn ne fa una sintesi (https://www.linkedin.com/posts/davidegiribaldi_cyber-enisa-theriskhunter-activity-7383367687499952128-_GPD). Io allora faccio la sintesi della sintesi:

  • confermato l'elevato numero di incidenti dovuti a ransomware, attacchi DDoS legati a campagne ideologiche, phishing, sfruttamento di vulnerabilità rese disponibili da poco;
  • aumentano gli attacchi a fornitori e repository open source (ma io penso, senza togliere importanza alla questione, che il numero sia aumentato anche per la diversa attenzione posta a questo argomento);
  • aumentano gli attacchi ai dispositivi mobili;
  • il settore più esposto è la pubblica amministrazione;
  • il documento include raccomandazioni pratiche.

Un altro è il CrowdStrike 2025 Threat Hunting Report: https://www.crowdstrike.com/en-us/resources/reports/threat-hunting-report/.

Questo è decisamente più tecnico e non c'è nessun Davide Giribaldi che mi ha fatto il riassunto.

Dico che sono segnalazioni interessanti, che fanno capire la necessità di lavorare per la sicurezza delle informazioni. Faccio però fatica a trovare elementi che posso usare (o far usare) direttamente.

martedì 14 ottobre 2025

Punto informativo per l'AI Act della Commissione europea

Segnalo questa pagina "AI Act Single Information Platform": https://ai-act-service-desk.ec.europa.eu/en.

E' un punto di partenza per le questioni legate all'AI Act. Per esempio c'è il Compliance Checker, ossia un questionario per capire se bisogna applicare o meno l'AI Act (già la prima domanda è simpatica perché chiede se vogliamo parlare di un sistema o di un modello di intelligenza artificiale).

Pubblicata la ISO/IEC 27701

Pubblicata la ISO/IEC 27701:2025 "Privacy information management systems — Requirements and guidance": https://www.iso.org/standard/27701.

Di questa norma ne avevo già scritto e quello rimane ancora valido: https://www.agendadigitale.eu/sicurezza/iso-iec-27701-sui-sistemi-di-gestione-per-la-privacy-come-e-come-sara/

Ulteriore riflessione riguarda i tempi di audit (che, ricordiamolo, non hanno solo un costo diretto per pagare l'organismo, ma hanno anche costi legati all'assistenza di un consulente e al tempo richiesto al personale interno per partecipare). Un piccolo fornitore di servizi informatici di 20 persone, per la ISO/IEC 27001 deve prevedere almeno 5 giorni per il primo audit, 2,5 giorni negli anni successivi e 4 giorni ogni 3 anni. Se vuole aggiungere la ISO/IEC 27701 e solo per la certificazione come responsabile, deve aggiungere almeno 3 giornate per il primo audit, 1 giornata gli anni successivi e 2 giornate ogni 3 anni.

Le cifre le sto dando sulla base della ISO/IEC 27006:2024 e della bozza finale della ISO/IEC 27706.

Ringrazio Chiara Ponti per avermi avvisato.

giovedì 9 ottobre 2025

Professionisti e dichiarazione dei sistemi di IA usati

Segnalo questo post di Paolo dal Checco: https://www.linkedin.com/posts/dalchecco_come-e-dove-comunicherete-dal-10-ottobre-activity-7377674323458768896-C7dB/.

In sintesi: i professionisti, dal 10 ottobre 2025, in forza dell'art. 13 della Legge 132 del 2025, devono comunicare ai clienti "con linguaggio chiaro, semplice ed esaustivo" tutte "le informazioni relative ai sistemi di intelligenza artificiale" utilizzati per svolgere l'incarico.

Interessanti le alternative poste da Paolo: via mail, una voce nell'informativa privacy, adeguamento del modello di incarico professionale o contratto.

In una risposta, Federico Capello segnala che l’informativa privacy solo se l’AI viene utilizzata per trattamenti di dati personali (e in questo caso deve prestare tanta attenzione alle clausole del fornitore, che sarà da considerare responsabile del trattamento); in caso contrario si può solo inserire una specifica clausola nel contratto con il committente del tipo: "Il Professionista dichiara che, nello svolgimento delle attività contrattuali, potrà avvalersi di sistemi di intelligenza artificiale, nel rispetto dell’art. 13 della Legge n. 132/2025. In ogni caso, il Professionista resta pienamente responsabile verso il Committente della correttezza, qualità e conformità della prestazione, garantendo trasparenza, controllo umano, tutela dei dati personali e rispetto delle norme vigenti".

Per la cronaca: io non uso sistemi di IA per il mio lavoro. Trovo molto più pratici i simpatici copincolla  e salvaconnome dal materiale che ho prodotto negli anni. Ho notato che ci metto più tempo a verificare e correggere la proposta dell’IA che il mio materiale.

NIS2: Referente CSIRT e nuova registrazione per i soggetti NIS

Segnalo questo post di Stefano Mele dal titolo "L'ACN istituisce il Referente CSIRT: ecco le nuove regole e le competenze richieste": https://www.linkedin.com/feed/update/urn:li:activity:7380546413744766976/.

In breve, ACN ha pubblicato la Determinazione ACN 333017/2025, che sostituisce la precedente 283727 del 31 luglio 2025.

Va quindi designato il Referente CSIRT e uno o più sostituti.

La cosa, di per sé, è positiva perché distingue il Punto di contatto NIS e il Referente CSIRT. La cosa noiosa è che la designazione è obbligatoria e va fatta dal 20 novembre al 31 dicembre 2025. Potevano richiederla in occasione dell'aggiornamento annuale, già previsto.

Altra cosa positiva è il fatto che può essere esterno. Per questo, io penso che non debba essere un consulente, ma il responsabile dei sistemi IT che, in effetti, in molte PMI e in qualche grande, è esterno.

PS. Grazie a Giulia Palmarini che mi ha sottolineato l’importanza del post.

venerdì 3 ottobre 2025

martedì 30 settembre 2025

NIST SP 800-88r2 Guidelines for Media Sanitization

Il NIST ha pubblicato la seconda versione delle Guidelines for Media Sanitization: https://csrc.nist.gov/pubs/sp/800/88/r2/final.

Nel 2015 scrissi qualcosa sulla prima versione: https://blog.cesaregallotti.it/2014/12/nist-sp-800-88-guidelines-for-media.html.

Per quello che riguarda le "normali" organizzazioni, mi sembra che la cifratura dei dischi sia più che sufficiente. Ma potrei sbagliarmi.

sabato 27 settembre 2025

Check list per il Codice di condotta privacy per il software gestionale

Qualche tempo fa avevo scritto della pubblicazione del "Codice di condotta per il trattamento dei dati personali effettuato dalle imprese di sviluppo e produzione di software gestionale": https://blog.cesaregallotti.it/2024/12/codice-di-condotta-privacy-per-le.html.

Ricordo che il Codice è stato approvato ai sensi dell'articolo 40 del GDPR.

Avevo scritto il mio apprezzamento in un post che avevo scritto malissimo e me ne scuso con i miei lettori.

Ne ho fatto una check list da utilizzare da chi sviluppa e mantiene il software e da chi lo acquisisce: https://www.cesaregallotti.it/Pubblicazioni.html.

venerdì 26 settembre 2025

La legge italiana sull'intelligenza artificiale

Approvata la Legge 132 del 2025, detta anche "legge italiana sulla intelligenza artificiale italiana". Ricordo che la normativa primaria è il AI Act (Regolamento UE 2024/1689).

Segnalo questo articolo dal titolo "Legge AI italiana: ecco che devono sapere le aziende": https://www.agendadigitale.eu/cultura-digitale/legge-ai-italiana-ecco-che-devono-sapere-le-aziende (fa riferimento al DDL, ma quello è).

Riassunto del riassunto: sono ribaditi i principi generali del Regolamento europeo sull'IA, attribuisce i compiti alle autorità nazionali (soprattutto AgID e  ACN), dà deleghe al Governo per preparare alcuni decreti legislativi più specifici. 

Importante il principio per cui i decreti non devono introdurre obblighi ulteriori rispetto al Regolamento europeo (AI Act). 

Altro articolo molto chiaro è questo di Chiara Ponti (segnalatomi da Franco Vincenzo Ferrari) dal titolo "L'Italia ha la sua legge sull'AI, gli impatti privacy e cyber:  tutti i punti chiave": https://www.cybersecurity360.it/news/litalia-ha-la-sua-legge-sullai-gli-impatti-privacy-e-cyber-tutti-i-punti-chiave/

Nota: questo post accorpa 2 post precedenti che ho cancellato e li aggiorna con il numero di Legge.

sabato 20 settembre 2025

Jaguar Land Rover ferma da un mese per un incidente di sicurezza IT

Da SANS NewsBites segnalo la notizia decisamente significativa "Jaguar Land Rover Shutdown in Wake of Cyber Incident is Having Significant Economic Impact".

Per saperne un po' di più, segnalo questo articolo dal titolo "Jaguar Land Rover says cyberattack shutdown to last 'at least' another week": https://therecord.media/jaguar-land-rover-another-week-shutdown-cyberattack.

Mi pare uno degli incidenti più gravi in ambito industriale fin qui ed è per questo che lo segnalo, anche se non sappiamo quale attacco sia stato condotto e quali vulnerabilità siano state sfruttate.

 

venerdì 19 settembre 2025

CMMC 2.0 al via

Mi ha scritto Giancarlo Caroti di Neumus per ricordarmi che dal 10 novembre 2025 entrerà in vigore la prima fase del CMMC 2.0: le nuove offerte al DoD devono essere conformi al CMMC 2.0, con self-assessment di livello 1 o 2.

Sono poi previste altre 3 fasi, con partenza ogni anno a novembre (2026, 2027 e 2028).

Lascio il link alla pagina ufficiale: https://dodcio.defense.gov/cmmc/.

Stato standard ISO/IEC 270xx

A metà settembre 2025 si è tenuto l'incontro semestrale dell'ISO/IEC JTC 1 SC 27 che si occupa della redazione di molti standard importanti per la sicurezza delle informazioni. Io non ho partecipato perché era a Kunming, in China, e gli standard discussi non erano di mio particolare interesse.

Però, con i rapporti prodotti, fornisco una sintesi delle decisioni più significative:

  • ISO/IEC 27000, di panoramica delle norme della famiglia ISO/IEC 27000: aggiornamento previsto per febbraio 2027; le definizioni saranno però riportate nelle singole norme;
  • ISO/IEC 27003, di guida alla ISO/IEC 27001: aggiornamento previsto per aprile 2027 (le bozze attuali hanno un testo migliore rispetto al precedente, ma senza nuove indicazioni tecniche particolarmente significative);
  • ISO/IEC 27004, di guida alle misurazioni per i sistemi di gestione per la sicurezza delle informazioni: aggiornamento previsto per ottobre 2027 (le bozze attuali prevedono qualche esempio ulteriore, su cui ho qualche perplessità, rispetto alla passata edizione);
  • ISO/IEC 27017, con controlli e linee guida per l'implementazione da aggiungere alla ISO/IEC 27002 per i fornitori di servizi cloud: aggiornamento previsto per luglio 2026 (l'importanza di questa norma è chiara perché è richiesta da ACN e in alcuni bandi);
  • ISO/IEC 27701, con i requisiti per i sistemi di gestione per la privacy: pubblicazione prevista per fine settembre 2025 (ne ho già parlato in precedenza e ho già esposto le mie critiche);
  • ISO/IEC 27706, con le regole per gli organismi di certificazione ISO/IEC 27701: pubblicazione prevista per fine settembre 2025;
  • ISO/IEC 29151, con controlli e linee guida per la privacy: pubblicazione prevista per luglio 2026 (questa norma è più di interesse didattico che pratico, almeno in Italia).

In vigore il Data Act

Dal 12 settembre è applicabile il Data Act, ossia il Regolamento UE 2023/2854.

La questione è complessa, anche perché la norma è di difficile lettura. Indicativamente permette di potenziare l’economia dei dati e favorire un mercato più competitivo, rendendo i dati più accessibili e utilizzabili. Sono stabilite quindi responsabilità e misure per lo scambio di dati, incluse quelle contrattuali per evitare abusi e la portabilità tra fornitori di servizi cloud.

Cito dalla newsletter di Project:IN Avvocati: "la sua integrazione con le altre norme, come GDPR e AI Act, è chiara a livello teorico - la Commissione ha un piano globale - ma complessa a livello pratico: vedremo come, nella realtà del business dei dati, questa norma avrà un impatto". 

Le FAQ della Commissione: https://digital-strategy.ec.europa.eu/it/library/commission-publishes-frequently-asked-questions-about-data-act.

mercoledì 17 settembre 2025

Privacy: necessario cancellare le e-mail dopo la cessazione del rapporto

Franco Vincenzo Ferrari mi ha segnalato il Provvedimento del 10 luglio 2025 [10162267]: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10162267.

Il Provvedimento ricorda, in sostanza, le "Linee Guida del Garante per posta elettronica ed internet" (https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1387522) e quindi che è opportuno procedere alla disattivazione dell’account di email e alla notifica ai mittenti di tale disattivazione e di indirizzi email alternativi.

Il Provvedimento non dice espressamente che la casella doveva essere cancellata immediatamente, ma lo sottintende dicendo, in sostanza, che le motivazioni addotte per non farlo non sono fondate. Infatti è interessante osservare che il titolare aveva detto di voler conservare le caselle di email per la possibile necessità di recuperare informazioni perché i documenti vanno posti in appositi archivi mentre "i messaggi di posta elettronica scambiati tramite le caselle di posta elettronica assegnate ai dipendenti, come noto, sono invece considerati, a tutti gli effetti, corrispondenza costituzionalmente tutelata".

Questo dell'uso dell'email come archivio aziendale è, lo sappiamo, ormai assodato, ma non posso che concordare con il Garante. Lo dico per questioni organizzative, posto che lasciare dati importanti nelle caselle di email personali vuol dire non averne il controllo.

lunedì 15 settembre 2025

Gli uomini possono fare tutto - Settembre 2025

Ho trovato questa citazione da una lettera di Italo Calvino da "L'Italia dei libri. L’editoria in dieci storie" di Tommaso Munari: "Gli uomini devono sapersi fare da mangiare, rifarsi il letto, spazzare la casa, senza aspettare che sia la mamma o la moglie che glielo fa; che finché il maschio italiano non impara questo, ..., sarà magari proletario, sarà magari intellettuale rivoluzionario, ma resterà sempre un piccolo sfruttatore".

 

giovedì 11 settembre 2025

Linee guida del Ministero per l'istruzione per l'uso dell'intelligenza artificiale

Ho ricevuto molte volte la notizia "Pubblicate le Linee guida per l’introduzione dell’Intelligenza Artificiale nelle istituzioni scolastiche – Allegato al DM n. 166 del 09/08/2025": https://www.mim.gov.it/web/guest/-/pubblicate-le-linee-guida-per-l-introduzione-dell-intelligenza-artificiale-nelle-istituzioni-scolastiche-allegato-al-dm-n-166-del-09-08-2025.

Sul MIM sono molto severo e già ne scrissi a luglio. Infatti, ben lontano dal dire "ben altro è il problema", dico che "ci sono anche altri problemi" molto più antichi, ma ignorati. Per esempio l'assenza di linee guida sugli alunni DSA e il fatto che le linee guida sugli alunni adottati sono sotto "Relazioni con il pubblico".

C'è anche il problema che le linee guida non sono raccolte in un'agile bacheca, ma vanno cercati solo nelle notizie.

Evidentemente, il MIM segue l'attualità, non la sua missione.

Sul punto delle linee guida, mi sembra che non dicano niente di più dell'IA Act (che a sua volta impone anche troppi obblighi, ma questa è un'altra storia).

L'assurdo è pensare che ciascun istituto scolastico abbia le competenze per poter fare quanto richiesto, a differenza del MIM, che potrebbe investire soldi in consulenze qualificate.

Il MIM non ha quindi messo a disposizione una guida pratica, ma si è limitato a riassumere le cose richiesta dall'AI Act (chissà se e quanto ha pagato dei consulenti...).

domenica 7 settembre 2025

Guida alla lettura delle specifiche di base NIS di ACN

ACN ha pubblicato il documento "Linee Guida NIS. Specifiche di base. Guida alla lettura": https://www.acn.gov.it/portale/nis/modalita-specifiche-base.

Non si tratta di un documento che specifica meglio le misure di base, come se fosse una ISO/IEC 27002 per i controlli di sicurezza. Come dice il titolo, è una guida alla lettura soprattutto alle parole chiave del documento.

Io pensavo che "sistemi rilevanti" fosse una traduzione scorretta di "relevant systems" e quindi andava interpretata come "sistemi pertinenti". Invece si tratta dei "sistemi più critici", se così posso dire.

Questo per dire che ognuno troverà qualche spunto per interpretare meglio, ma non certamente un manuale per capire meglio le misure (e io continuo a non capire quella che chiede di stabilire i livelli di servizio per valutare gli incidenti). Meglio così, visto che ogni tanto queste iniziative aggiungono requisiti e creano più confusione.