sabato 21 giugno 2025

CEN TS 18170:2025 per i servizi di archiviazione

Franco Vincenzo Ferrari mi ha segnalato questo post su LinkedIn relativo alla CEN TS 18170:2025 Functional requirements for the electronic archiving services, ossia una delle norme che dovrà regolamentare i servizi di conservazione a livello europeo: https://www.linkedin.com/posts/danielalucia-calabrese-422a036b_eaqtsp-eidas2-sip-activity-7333160308481384448-UaVA.

Quindi la strada verso una conservazione a livello europeo è in corso. Quanto tempo ci si metterà non so né posso dire, visto che la REM è stata immaginata nel Regolamento eIDAS ormai nel 2014 e noi stiamo ancora usando tutti la PEC.

 

martedì 17 giugno 2025

Circolare Accredia e certificazioni ISO/IEC 27017, ISO/IEC 27018 eccetera

A novembre 2024, Accredia ha pubblicato la Circolare tecnica DC N° 39/2024 - Disposizioni e aggiornamenti in merito all’accreditamento ISO/IEC 17021-1 degli Organismi di Certificazione a fronte della ISO/IEC 27001 e ISO/IEC 27701: https://accredia.it/documenti/circolare-tecnica-dc-n-39-2024-accreditamento-iso-iec-17021-1-a-fronte-della-iso-iec-27001-e-iso-iec-27701/.

Con un certo ritardo ha finalmente regolato il fatto che per le linee guida che estendono i controlli della ISO/IEC 27001 non vanno emessi certificati, ma l'estensione va indicata nell'ambito della certificazione.

Poi ci sono, ahinoi, ancora auditor che chiedono di indicare sul SOA anche come si applicano le linee guida aggiuntive per l'implementazione dei controlli ISO/IEC 27001. E vai a spiegare che sono, appunto, linee guida e non controlli da inserire nel SOA (ci sono già).

lunedì 16 giugno 2025

Cronologia per l'attuazione dell'AI Act

Dalla newsletter di Project:IN Avvocati: "Il Parlamento europeo ha pubblicato una cronologia per l'attuazione dell’AI Act, descrivendone in dettaglio la storia, lo scopo, le disposizioni e le fasi di attuazione. La legge sull'intelligenza artificiale, entrata in vigore nel 2024, ha una data di applicazione generale fissata al 2 agosto 2026, con piena efficacia prevista entro il 2027. Tra le date chiave figurano l'entrata in vigore dei capitoli sulle disposizioni generali e sulle pratiche di intelligenza artificiale vietate nel febbraio 2025 e la pubblicazione delle linee guida per i sistemi di intelligenza artificiale ad alto rischio nel febbraio 2026. La cronologia include anche il completamento dei codici di condotta GPAI e l'entrata in vigore delle disposizioni relative a governance, sanzioni e riservatezza".

Il documento in pdf, in inglese, è scaricabile da qui: https://www.europarl.europa.eu/thinktank/en/document/EPRS_ATA(2025)772906.

domenica 15 giugno 2025

Garante privacy e conservazione email e metadati 05 - Provvedimento Regione Lombardia

Il Garante privacy ha pubblicato il Provvedimento del 29 aprile 2025 [10134221]: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10134221.

Esso riporta valutazioni (e sanzioni) relativamente ad alcuni trattamenti svolti da Regione Lombardia nell'ambito del lavoro agile. Fornisce importanti indicazioni e anche elementi di riflessione. Provo a sintetizzare quanto ho capito e i miei dubbi.

Il primo punto riguarda la necessità di accordo sindacale e DPIA per raccogliere i log di navigazione Internet, di uso dell'email e di tracciamento delle richieste di assistenza. In pratica è richiesto accordo sindacale e DPIA per poter usare questi strumenti, ossia sempre. Interessante osservare che la DPIA non era prevista così esplicitamente dall'elenco dell’11 ottobre 2018 [doc. web n. 9058979].

Il secondo punto riguarda i tempi di conservazione dei log dell'email pari a 21 giorni e dei log di navigazione Internet pari a 90 giorni. Il Garante l'aveva esplicitato a giugno 2024 e Regione Lombardia segnala che il Provvedimento riguarda trattamenti precedenti. Il Garante ha risposto che dovevano arrivarci da soli. Insomma: sapevatelo! 

Il terzo punto è figlio del precedente: il Garante in sostanza ha fatto lui l'analisi del rischio del trattamento dei log e la impone a tutti, alla faccia dell'accountability che evidentemente non permea il GDPR (ricordate la parola magica degli anni 2016-2018?). Viene solo accennato al fatto che il rischio è l'indiretto controllo a distanza dell’attività dei lavoratori, mentre non è detto se tale rischio era stato considerato. In altre parole: il GDPR chiede di valutare i rischi e non impone i tempi di conservazione, ma dal Provvedimento non si capisce se tale rischio era stato valutato, vero elemento di mancato rispetto o meno del GDPR.

Su questo, Christian Bernieri ha diffuso un post su LinkedIn con un ulteriore commento di Marco Marazza: https://www.linkedin.com/posts/bernieri_garante-provvedimento-29-aprile-2025-activity-7338612228230725633-kR9R

Il quarto punto è anch'esso collegato ai precedenti. Mi pare che anche per il sistema di ticketing i ticket andrebbero anonimizzati dopo 90 giorni e questo sembra non tenere conto della tracciabilità delle attività a scopo operativo, di ricostruzione degli eventi in caso di problemi e di tracciamento a scopo audit. Io faccio audit e se chiedo chi ha fatto i test di una determinata messa in esercizio e quando, è necessario saperlo, anche per dimostrare la separazione dei compiti. Mi pare che il Provvedimento non rifletta sul bilanciamento delle esigenze e degli effettivi rischi per gli interessati.

Il quinto punto riguarda il fatto che Regione Lombardia si era dimenticata di dire a un fornitore subentrante che avrebbe avuto accesso al precedente sistema di ticketing con tanto di dati personali degli operatori che avevano trattato i ticket. Da ricordarsene la prossima volta.

Il sesto punto riguarda il fatto che richiede che i log dei tentativi di accesso a siti proibiti vanno anonimizzati. Da ricordarsene, sempre che il sistema di logging lo permetta.

Il settimo punto riguarda le verifiche graduali e progressive. C'erano già nella Delibera del 2017 su email e Internet. Come poi si possano fare con i dati anonimizzati è per me un mistero.

Infine (ottavo punto) dice che le persone vanno designate, mentre il GDPR dice che vanno autorizzate. Mi pare ci sia un certo disallineamento, anche concettuale (tra designazione e autorizzazione ci sono differenze).

Mi pare che con questa sentenza si evidenzino alcune esagerazioni di interpretazione. Però se qualcuno volesse discuterne, ne sarò ben lieto (anche perché penso che forse qualche cosa mi sia sfuggita).

NIS2: Gestione incidenti significativi

Il D. Lgs. 138 di recepimento della NIS2, sulla base della definizione della Direttiva NIS2, dice che un incidente è considerato significativo se: a) ha causato o è in grado di causare  una  grave  perturbazione operativa  dei  servizi  o  perdite  finanziarie  per   il   soggetto interessato; b) ha avuto ripercussioni o è idoneo a  provocare  ripercussioni su altre persone fisiche o giuridiche causando  perdite  materiali  o immateriali considerevoli".

ACN, con la determina del 14 aprile, oltre a fornire "misure minime", fornisce anche le definizioni di "Incidenti significativi di base per i soggetti importanti" e "Incidenti significativi di base per i soggetti essenziali". Le definizioni sono decisamente generiche. La prima è "IS-1. Il soggetto NIS ha evidenza della perdita di riservatezza, verso l’esterno, di dati digitali di sua proprietà o sui quali esercita il controllo, anche parziale". Le altre sono altrettanto generiche.

Con la definizione di ACN, andrebbe mandata notifica per ogni evento, anche minimale, con impatto su riservatezza, integrità o disponibilità delle informazioni in formato digitale.

Immagino si debba applicare il combinato disposto, che in definitiva è la definizione del D. Lgs. 138. Ho ricevuto poche risposte in merito.

Ovviamente questo non si applica ai fornitori di servizi IT in ambito NIS2 perché devono usare anche le definizioni dell'Implementing Act 2024/2690, decisamente più specifico.

VERA 8

Dovrei aver finito. Il VERA 8 è qui: https://github.com/CesareGallotti/VERA.

In italiano e in inglese e anche con i manuali aggiornati.

Se mai qualcuno dovesse sentirsi in colpa e troverà il coraggio per affrontare i sensi di colpa, potrà cancellarli da questo viaggio sottoscrivendo alla mia newsletter: https://infosecandquality.substack.com/.

Se no, continui a usarlo gratuitamente che va bene lo stesso. Almeno ho la soddisfazione di fare audit e consulenze e vedere meno modelli assurdi e complicatissimi (ce ne sono anche di ottimi diversi dal mio e danno anch'essi soddisfazione).

giovedì 5 giugno 2025

Accessibilità digitale

Segnalo questo articolo dal titolo "Accessibilità digitale: quadro normativo europeo e italiano, tecnologie e opportunità di mercato": https://www.hermescse.eu/accessibilita-digitale-quadro-normativo-europeo-e-italiano-tecnologie-e-opportunita-di-mercato/.

Parla delle normative relative all'accessibilità (WAD e EAA, recepite in Italia e di cui avevo parlato a loro tempo).

mercoledì 4 giugno 2025

Gli uomini possono fare tutto (Giugno 2025)

Il Milanese imbruttito, uomo, ha potuto pubblicare sul suo sito un articolo dal titolo "Festa della mamma, cose che vorremmo DAVVERO al posto dei fiori del caz*o": https://imbruttito.com/2025/05/07/festa-della-mamma-cose-vorremmo-davvero.

Ovviamente non l'ho segnalato a maggio, in modo da poterci pensare anche a giugno.

Disobbedire, una competenza

Lorenzo Foffani fa anche l'allenatore di calcio (di un mio figlio). Lo fa volontariamente ed è molto bravo.

Ha fatto questo intervento dal titolo "Disobbedire: la nuova competenza dell’innovazione?": https://www.youtube.com/watch?v=4cnGZjMieMY.

E' in italiano ed è in video. E' anche di promozione per la società per cui lavora. Però è interessante.

La sua prima versione era in inglese e in formato testo: https://www.linkedin.com/pulse/hard-discipline-creative-disobedience-lorenzo-foffani-mbnkf.

In sintesi: per disubbidire bisogna essere (molto) competenti. Penso però che questo concetto sia capito da pochi.

Chi fa il mio lavoro sa che tanti non seguono le procedure o, peggio, le contestano senza però capire le motivazioni che hanno portato a quei processi e quelle regole. 

Ricordo il magnifico racconto Cromo di Primo Levi che, dall'altra parte, ci ricorda che le procedure vanno ridiscusse.

Virus nei driver di una stampante

Claudio Sartor, che ringrazio, mi ha segnalato questo podcast (anche in formato scritto) dal titolo "Il cripto-ladro è nella stampante e ruba un milione di dollari": https://attivissimo.me/2025/05/26/podcast-rsi-il-cripto-ladro-e-nella-stampante-e-ruba-1-milione-di-dollari/.

Il testo è scritto in modo molto piacevole (e già questo è inconsueto, ahinoi, nel nostro mondo), oltre che interessante.

In brevissimo: un gruppo di ladri di criptovalute è riuscito ad infettare i driver di una stampante. Questo ci insegna a stare sempre attenti, per quanto improbabile possa sembrare l'attacco.

giovedì 22 maggio 2025

Guida CISA per la sicurezza dell'OT

Chiara Ponti ha segnalato agli Idraulici della privacy la guida "Primary Mitigations to Reduce Cyber Threats to Operational Technology" della Cybersecurity and Infrastructure Security Agency (CISA) statunitense: https://www.cisa.gov/resources-tools/resources/primary-mitigations-reduce-cyber-threats-operational-technology.

Il CISA è un esempio di sinteticità. Forse eccessiva, ma compensa la prolissità di troppi altri.

L'IA è più persuasiva degli esseri umani

Segnalo l'articolo con titolo "AI is more persuasive than people in online debates" da Nature: https://www.nature.com/articles/d41586-025-01599-7.

Il titolo dice tutto e così la parte di articolo liberamente disponibile.

lunedì 19 maggio 2025

ISO/IEC 22989 su terminologia e concetti IA disponibile gratuitamente

Mi informa Fabrizio Cirilli che lo standard SO/IEC 22989:2022 "Information technology — Artificial intelligence — Artificial intelligence concepts and terminology" è disponibile gratuitamente.

Il link: https://www.iso.org/standard/74296.html.

Grazie mille a Fabrizio.

venerdì 16 maggio 2025

PEC e obbligo amministratori delle società

Le società NIS2 devono fornire ad ACN, tra le tante informazioni, anche gli indirizzi PEC degli amministratori.

In effetti "a decorrere dal 1° gennaio 2025, l'obbligo di comunicare al registro delle imprese il domicilio digitale / indirizzo di posta elettronica certificata (PEC) – già previsto per le società e per le imprese individuali". Questo per il DL 179 del 2012, art. 5 comma 1, modificato dalla Legge di bilancio 2025.

Questo vuol dire che amministratori e liquidatori delle società di capitali, società cooperative, società consortili e società di persone devono avere la PEC. Unioncamere ha però interpretato dicendo che si può usare anche la PEC della società stessa.

Tutto questo l'ho riassunto da una pagina della Camera di commercio di Milano, Monza Brianza e Lodi: https://www.milomb.camcom.it/obbligo-di-iscrivere-il-domicilio-digitale-degli-amministratori-e-liquidatori-delle-societa.

giovedì 15 maggio 2025

Alfabetizzazione sull'intelligenza artificiale (AI literacy)

Il Regolamento sull'IA richiede che fornitori e utilizzatori di sistemi AI assicurino, da febbraio 2025, al proprio personale un adeguato livello di alfabetizzazione sull'IA. Un'ottima iniziativa.

Credo quindi che si tratti di prevedere corsi relativi ai diversi tipi di IA, ai loro pro e contro, ai loro rischi. La formazione va differenziata per le diverse figure professionali, per quanto applicabile. Attenzione che la formazione non riguarda solo il personale interno, ma "qualsiasi altra persona che si occupa del funzionamento e dell'utilizzo dei sistemi di IA per loro conto".

La Commissione europea ha quindi pubblicato una pagina con domande e risposte in merito: https://digital-strategy.ec.europa.eu/en/faqs/ai-literacy-questions-answers. Sta girando anche una versione in pdf, ma è generato da questa pagina.

Devo dire che speravo in qualcosa di meglio: le indicazioni sono generiche e il "living repository on AI literacy" è una raccolta di esperienze di alcune imprese ma senza i dettagli (insomma, è materiale promozionale, per quanto sobrio).

Eppure avrei voluto una risposta più esaustiva sul punto "What should be the minimum content to consider for an AI literacy programme?".

Ho trovato, sempre della UE, la pagina Learning Content della Digital Skills & Jobs Platform: https://digital-skills-jobs.europa.eu/en/learning-content. Si seleziona il filtro per "Artificial intelligence" e viene proposto materiale. Forse troppo e troppo disomogeneo, oltre che fatto solo di video e presentazioni. Pochissimo sui rischi.

Invece vorrei saperne molto di più. Qualcuno ha uno o più libri, non eccessivamente tecnici, da suggerire?

mercoledì 14 maggio 2025

Altruismo dei dati

Segnalo questo articolo dal titolo "Altruismo dei dati: cos’è e perché l’Italia rischia di perdere tempo": https://www.agendadigitale.eu/cittadinanza-digitale/altruismo-dei-dati-cose-e-perche-litalia-rischia-di-perdere-tempo/l

Non è materia che seguo come in generale non seguo il Data Governance Act (regolamento UE 2022/868), ma penso che sia comunque importante sapere più o meno di cosa si tratta.

European Vulnerability Database (EUVD) di ENISA

Da un post di Rosario Piazzese su LinkedIn: ENISA ha sviluppato il European Vulnerability Database (EUVD), come richiesto dalla Direttiva NIS2. Il servizio è attualmente operativo in versione beta: https://euvd.enisa.europa.eu/.

Come Cesare, invece, chiedo se qualcuno vuole fare un confronto con altri servizi simili. Per esempio se le informazioni sono più o meno facili da fruire.

 

Articolo (non mio!) su NIS2

Marcello Davi di Hermes - Centro Studi Europeo mi ha segnalato un suo articolo dal titolo "Normativa NIS2: requisiti, scadenziario, opportunità e sfide future": https://www.hermescse.eu/normativa-nis2-requisiti-scadenziario-opportunita-e-sfide-future/.

L'analisi dei requisiti e lo scadenziario sono sicuramente in linea con altri articoli. Trovo interessanti le riflessioni nella terza parte (Opportunità e sfide future per le imprese coinvolte ed il sistema Paese).

venerdì 9 maggio 2025

Fediverso

Io sono sempre affascinato dalle alternative ai grandi potenti dei social. La più promettente è il cosiddetto Fediverso.

Questo articolo dal titolo "Il Fediverso a scuola: uno strumento didattico per la cittadinanza digitale" mi pare un'ottima introduzione: https://www.agendadigitale.eu/cultura-digitale/il-fediverso-a-scuola-uno-strumento-didattico-per-la-cittadinanza-digitale/.

In realtà non parla solo di scuola. Presenta soprattutto i problemi etici che pone l'uso dei grandi fornitori di servizi informatici, economicamente gratuiti.

DPCM 30 aprile su acquisti di beni e servizi IT

Il 30 aprile 2025 è stato approvato il DPCM dal titolo "Disciplina dei contratti di beni e servizi informatici impiegati in un contesto connesso alla tutela degli interessi nazionali strategici e della sicurezza nazionale": https://www.gazzettaufficiale.it/atto/serie_generale/caricaDettaglioAtto/originario?atto.dataPubblicazioneGazzetta=2025-05-05&atto.codiceRedazionale=25A02717.

Estrema sintesi fornitami da Chiara Ponti (che ringrazio): dal 21 maggio 2025 entrano in vigore nuove regole per l’acquisto di beni e servizi informatici destinati a contesti legati alla tutela dell’interesse strategico nazionale.

Si applicano a pubbliche amministrazioni, gestori di servizi pubblici e società a controllo pubblico (da CAD) e soggetti nel PNSC (perimetro nazionale di sicurezza cibernetica).

Le regole richiedono di "prendere in considerazione", in fase di acquisto, alcune caratteristiche dei prodotti e servizi informatici presenti Allegato 2. Le misure sono in Allegato 1 e mi sembrano molto generiche (e non sempre comprensibili), anche se ci sono tutte quelle che avrei messo io (da ITSEC: Identification and Authentication, Access Control, Accountability, Audit, Accuracy, Reliability of Service, Data Exchange).