sabato 30 agosto 2025

Insicurezza dei browser e delle passkey

Marco Fabbrini mi ha segnalato questo articolo dal titolo "Forse le passkey non sono così sicure come sembrano": https://www.ilsoftware.it/forse-le-passkey-non-sono-cosi-sicure-come-sembrano/.

Il commento di Marco: "In effetti sono cose che sapevamo già....".

Come dargli torto? I browser sono molto insicuri e i meccanismi di sicurezza che si basano su di essi possono avere anch'essi problemi.

Un'IA ha cancellato per sbaglio un intero database aziendale

Segnalo questo articolo dal titolo "Un'IA ha cancellato per sbaglio un intero database aziendale": https://www.tomshw.it/hardware/piattaforma-ai-cancella-database-aziendale-per-errore-2025-07-21.

Ringrazio Carlo Venditto degli Idraulici della privacy per la segnalazione.

Se continuo così, sembra che sia un luddista dell'IA. Non è così: come tutti gli strumenti va usato con estrema prudenza e per quello che è giusto che faccia. E io mi occupo soprattutto di rischi e di questi scrivo.

venerdì 29 agosto 2025

Usare l'IA per la vita personale

Stefania Algerio degli Idraulici della privacy ha segnalato un articolo su La Repubblica dal titolo "Un uomo con problemi di pressione alta si rivolge a ChatGpt per chiedere consigli alimentari: ricoverato in ospedale per intossicazione da bromuro".  Non ho ritrovato il link all'articolo, ma ho trovato questo: https://tech.icrewplay.com/seguire-i-consigli-alimentari-di-chatgpt-psicosi/.

Che l'IA possa sbagliare è un dato di fatto. Preoccupa vedere che le persone si affidano più a un sistema generalista che a un professionista. Ho trovato anche articoli per me inquietanti:

Anche i professionisti possono sbagliare, ma si spera che lo facciano un po' meno, essendosi specializzati in una certa materia.

Sul perché le persone sono sempre più sospettose dei professionisti hanno scritto altri (in sintesi: l'eccesso di competenze crea timore e gli specialisti tendono a commiserare le persone che non hanno le loro competenze).

A maggio o giugno sul Corriere della Sera avevo letto un articolo di Gramellini su un caso di una ragazza che aveva chiesto aiuto a ChatGPT perché aveva un fidanzato violento e alla fine il problema non solo non fu risolto, ma la ragazza fu uccisa. Ho trovato questo articolo simile: https://www.fanpage.it/innovazione/tecnologia/ma-questo-e-amore-tossico-ragazza-di-13-anni-chiedeva-aiuto-a-chatgpt-ora-lex-e-accusato-del-suo-omicidio/.

Tutto ciò dà da pensare. Io sono specializzato in ambito aziendale, ma penso che certe tendenze ci debbano interessare. Ho già sentito di esperienze di procedure e documenti fatti con l'IA. Bisogna pensare anche all'altra parte della medaglia.

Garante e non solo, ruolo, visibilità e rischi per l'innovazione

Giuseppe Alverone degli Idraulici della privacy ha segnalato questo post su LinkedIn di Giuseppe Corasaniti: https://www.linkedin.com/posts/giuseppe-corasaniti-95832515b_autoritaeqindipendenti-regolazione-innovazione-activity-7363435070356971522-rSjz.

In poche parole, critica l'eccesso di protagonismo mediatico del Garante e i rischi per l'innovazione.

E in effetti la situazione richiede una riflessione approfondita. Innanzi tutto, ripeto che a me, tutta questa regolamentazione, fa bene agli affari. Però qui si corre il rischio di curare troppo il paziente e perderlo.

Dovrei averlo già scritto: le entità legislative vogliono regolamentare e spesso esagerano (basti pensare all'AI Act, che introduce notevoli complessità in parte non necessarie, il Data act introduce altre cose relative alla privacy ma a parte; si pensi anche al pasticcio italiano su NIS2 e PSNC), le autorità di controllo in parte regolamentano (il Provvedimento sugli amministratori di sistema è l'esempio più chiaro di ciò possa essere fatto male; ma nei miei molti post ho dato evidenza delle critiche al Garante privacy e ad ACN) e in parte sanzionano (gli assurdi di questa estate del Garante, oltre che quelli relativi ai mitici metadati sono una dimostrazione di quanto ciò possa essere fatto in modo difficile da seguire), gli organismi di standardizzazione continuano a pubblicare standard (l'ultimo di cui ho avuto notizia è la ISO 56001 sull'innovazione, quasi un ossimoro), auditor e formatori e consulenti di tutti i tipi impongono loro modelli, ogni tanto non adeguati all'organizzazione e ogni tanto obsoleti (ho già scritto sui modelli di valutazione del rischio e su quelli di selezione dei fornitori, ma avrei innumerevoli esempi).

Tutto questo fa sì che le organizzazioni devono rincorrere la cosiddetta "compliance", in italiano "conformità", ma propriamente "condiscendenza" o "remissività", come dice la Treccani: https://www.treccani.it/vocabolario/compliance/

E infatti, remissivamente, molte spendono soldi ed energie per adeguarsi, spesso con l'approccio "non si sa mai", ossia facendo anche più di quanto richiesto perché tanti hanno paura di un'autorità inquisitoria (basti vedere quanti rallentano a 50 km/h quando sono presenti autovelox impostati a 70).

Capisco che l'Europa voglia regolamentare. Lo fa per impostazione filosofica, che tende a proteggere i cittadini, e di questo ne sono grato e non cambierei mai con gli Stati Uniti, tanto generosi nei media, tanto spietati nella realtà. Lo fa come strategia di mercato, sperando in qualche modo di rallentare l'invasione straniera.

Ma in tutto questo, almeno dal punto di vista informatico, nessuno ha sviluppato sistemi alternativi a quelli made in USA. L'ha fatto la Cina (non so più citare un articolo sul Corriere della Sera di fine luglio) e infatti si contrappone fieramente alle provocazioni di Trump, non l'ha fatto l'Europa che ha promosso l'industria 4.0, l'informatizzazione delle scuole (e lasciamo perdere le garanzie dove sono finite, con i giganti USA che ci sguazzano, oltre al modello educativo non ponderato) e... cosa? Alcuni Paesi hanno attuato facilitazioni per l'ingresso dei giganti USA. Ma queste sono strategie miopi.

Non lo dico perché voglio l'Europa (o l'Italia) ancora grandi perché penso alla superiorità dell'uomo europeo (che discende anche dal Neanderthal e quindi non avrebbe senso), ma perché il destino di un Paese colonizzato è quello di essere sfruttato e di deperire e non è quello che voglio per i miei figli.

Allora cosa fare? Non ne ho idea, ovviamente. So solo che, come minimo, su queste cose bisogna essere consapevoli.

Ecco, finalmente ho scritto più o meno quello che ha frullato in testa in questi mesi estivi.

Guida EDPB sui rischi degli LLM

Grazie a un post su LinkedIn di Giovanni Ciano (che conosco e ringrazio), segnalo che l'EDPB ha pubblicato un documento dal titolo "AI Privacy Risks & Mitigations Large Language Models (LLMs)": https://www.edpb.europa.eu/our-work-tools/our-documents/support-pool-experts-projects/ai-privacy-risks-mitigations-large_en.

Con le sue 102 pagine è un po' lungo e stavo temendo una vuota verbosità. Invece descrive sinteticamente cosa sono gli LLM e, per chi vuole correre, nelle pagine 29-32, 35-37 e 39-42 riporta i rischi e le azioni per provider (sviluppatori) e deployer (utilizzatori). Ci sono poi 3 esempi molto significativi.

Non l'ho letto per bene, ma dovrò farlo.

Specifiche per i VA-PT secondo DORA

Da un post su LinkedIn di Severiano Maria Moiso (che non conosco, ma ringrazio), inoltrato da Sergio Insalaco (che ugualmente non conosco, ma ugualmente ringrazio), segnalo che è stato pubblicato il Regolamento Delegato (UE) 2025/1190 sulle regole per i VA-PT secondo quanto previsto dal Regolamento DORA: https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32025R1190.

Intanto una cosa interessante è che il Regolamento non usa il termine di "PT", ma "test di penetrazione guidati da minacce (threat-led penetration testing)" e usa la sigla "TLPT". La definizione si trova nel DORA: "un quadro che imita le tattiche, le tecniche e le procedure di attori reali della minaccia che sono percepiti come minaccia informatica autentica, che consente di eseguire un test dei sistemi di produzione attivi e critici dell’entità finanziaria in maniera controllata, mirata e basata sull’analisi della minaccia (red team)".

Il link al post di Sergio Insalaco: https://www.linkedin.com/feed/update/urn:li:activity:7341571875870773248/.

A mio parere è interessante leggere le regole stabilite per la selezione del fornitore di PT, sulla composizione dei tester, sui rischi da valutare, per il processo.

mercoledì 27 agosto 2025

Alberghi, documenti di identità e l'approccio del "non si sa mai"

Dalla newsletter Project:IN Avvocati dell'11 agosto 2025 trovo una notizia interessante: https://www.linkedin.com/feed/update/urn:li:activity:7360536866254729216/.

La notizia è ripresa da Wired e ha titolo "Hotel italiani, nel dark web in vendita migliaia di documenti di identità trafugati": https://www.wired.it/article/dark-web-documenti-identita-trafugati-hotel-italiani/.

Io che sono pigro, copio e incollo il commento della newsletter: "nei giorni scorsi sono emersi sul dark web (grazie al lavoro di CERT-AgID, come riporta Wired) database contenenti copie di documenti d’identità di tre hotel italiani. Al di là del breach, evidente e delicatissimo: ma perché queste strutture avevano e hanno in memoria i documenti, quando la normativa non lo impone e anzi lo vieta?".

Ho chiesto chiarimenti e Francesco Di Maio (uno degli avvocati dietro alla newsletter) mi ha risposto che "L'art. 109 del Testo Unico delle Leggi di Pubblica Sicurezza, più volte novellato, impone a tutti gli esercenti di strutture ricettive di comunicare giornalmente le generalità delle persone alloggiate, da effettuare oggi in via esclusiva attraverso un'applicazione telematica messa a disposizione dal Dipartimento della P.S., che non richiede né prevede alcun caricamento di immagine di documenti, ma solo dati ricavabili da essi, che devono essere inseriti a cura della struttura ricettiva. Va da sé che l'acquisizione di copie di documenti costituisce un trattamento eccedente e, come tale, deve essere valutato poiché non sorretto da alcuna base giuridica. Il manuale utente dell'applicazione è esplicativo https://alloggitiweb.poliziadistato.it/PortaleAlloggiati/SupManuali.aspx". 

Allora io ho generalizzato la questione pensando che questo dimostra l'approccio del "non si sa mai". Nel caso specifico, le strutture ricettive tenevano copie dei documenti per timore che le forze dell'ordine potessero chiedere prove delle comunicazioni effettuate.

Purtroppo l'atteggiamento "non si sa mai" è troppo diffuso. Lo vedo negli audit e lo vedo nell'applicazione della normativa e questo è un problema perché l'applicazione dei requisiti viene appesantita (quando già il requisito non è troppo pesante di suo). Relativamente agli standard, vedo che la loro adozione viene quindi percepita come un onere fastidioso e solo un lavoro paziente di alcuni consulenti e auditor guida le organizzazioni verso un'adozione pragmatica ed efficace degli standard. Dico "alcuni" e intendo "molti", purtroppo non "tutti".

Lo stesso approccio, ahinoi, riguarda anche la normativa e qui la situazione è più delicata, perché fare ricorso ha costi anche significativi e molti preferiscono fare anche cose inutili che correre il rischio di sanzioni. Qui dovremmo quindi ragionare sul ruolo delle autorità di vigilanza, che dovrebbero sì vigilare e, se il caso, anche sanzionare, ma anche accompagnare. Il ragionamento dovrebbe quindi essere esteso al bilanciamento tra regolamentazione e innovazione. Lo faccio in un altro post. 

Pubblicata la ISO/IEC 27018:2025

Grazie a un post di Fabrizio Cirilli su LinkedIn, segnalo che è stata pubblicata la SO/IEC 27018:2025 con titolo "Guidelines for protection of personally identifiable information (PII) in public clouds acting as PII processors": https://www.iso.org/standard/27018.

Si tratta della precedente versione del 2019 aggiornata per allineamento alla versione del 2022 della ISO/IEC 27002. In pochissime parole: non c'è nessun cambiamento significativo, ma ovviamente andrà prestata attenzione alle differenze per evitare pasticci.

Per chi non lo sapesse, la ISO/IEC 27018 aggiunge alla ISO/IEC 27002 i controlli di sicurezza dei dati personali, applicabili ai fornitori di servizi cloud pubblici. Questi controlli, per chi li volesse applicare, possono essere utilizzati anche per le certificazioni ISO/IEC 27001 e l’organizzazione certificata può avere sul certificato ISO/IEC 27001 una frase del tipo “Certificazione ISO/IEC 27001 con l’aggiunta dei controlli della ISO/IEC 27018”.

Per alcuni controlli già presenti nella ISO/IEC 27002, sono fornite linee guida per l’implementazione aggiuntive, specifiche per la sicurezza dei dati personali nell’ambito dei servizi cloud pubblici.

In questi ultimi anni, questa aggiunta è stata richiesta in molti contesti e in particolare per la Pubblica amministrazione. Purtroppo però la norma è stata interpretata in modo piuttosto fantasioso (per esempio con certificazioni dedicate o richiedendo di includere nel SOA anche le linee guida per l’implementazione aggiuntive), ma spero che l’ultima circolare Accredia in materia porti ordine.

martedì 26 agosto 2025

Microsoft usava programmatori cinesi per i sistemi della Difesa USA

Rimando a questo post di Bruce Schneier dal titolo "Another Supply Chain Vulnerability": https://www.schneier.com/blog/archives/2025/07/another-supply-chain-vulnerability.html.

In poche parole, Microsoft usava programmatori cinesi per i sistemi della Difesa USA. La Cina, ricordiamolo, per gli USA è un'avversaria potente nell'ambito dell'informatica. Allora Microsoft aveva previsto dei controlli da parte di personale USA, che però erano ex militari pagati al minimo e senza vere competenze di programmazione.

Ahinoi, per vincere una gara si fa quasi di tutto e per accettare il prezzo minimo si accetta quasi di tutto.

Ricordo ancora il mio amico che in campeggio ricordava ad alcuni: "hai voluto pagare poco la tenda, eh?".

Sintesi dell'AI Act

Segnalo questo articolo dal titolo "AI Act: la visione europea sull’intelligenza artificiale": https://www.hermescse.eu/ai-act-la-visione-europea-sullintelligenza-artificiale/.

Fornisce una buona sintesi del Regolamento europeo per l'IA.

Sul commento finale sono in parte d'accordo con l'autore. Sulla relazione tra regolamentazione e innovazione vorrei fare una ulteriore riflessione (anche se qualcosa l'avevo già scritta in passato).

sabato 23 agosto 2025

Guide OWASP su IA (AI Exchange e AI Testing Guide)

Andrea Solimeno di Selexi mi ha segnalato la OWASP AI Testing Guide: https://github.com/OWASP/www-project-ai-testing-guide/tree/main/Document.

La lettura ha le sue complessità, ma i project leader (Matteo Meucci e Marco Morana) sono di prim'ordine. Io penso che sia particolarmente interessante la lista dei test (https://github.com/OWASP/www-project-ai-testing-guide/tree/main/Document/content/tests) perché li propone per ciascuna minaccia e descrive bene anche ciascuna minaccia. 

Nella lettura ho trovato il riferimento all'OWAS AI Exchange: https://owaspai.org/.

Qui sono chiare le relazioni tra minacce e controlli di sicurezza, anche se non presentati in modo proprio semplice.

Ecco: non chiedetemi di raccontarvi cosa ho capito perché non ci farei una bella figura. Magari con il tempo imparerò meglio le varie cose. Più che altro, mi piacerebbe trovare un libro che spieghi queste cose perché un conto è destreggiarsi tra pagine web, un altro è avere un libro, con i pregi e i difetti di una presentazione consecutiva degli argomenti (purtroppo c'è tantissima letteratura su come sarà il mondo con la diffusione dei sistemi con IA, ma sembra poca e dispersa quella su come mettere in sicurezza questi sistemi).

giovedì 21 agosto 2025

Mio articolo sulle misure ACN per NIS2

Ho scritto un articolo dal titolo "Nis2, ecco le misure dell’Acn per la sicurezza delle imprese": https://www.agendadigitale.eu/sicurezza/nis2-ecco-le-misure-dellacn-per-la-sicurezza-delle-imprese/.

Mi ha aiutato Monica Perego, Idraulica della privacy.

Nulla di nuovo, nulla di innovativo. Se qualcuno ha però qualcosa da segnalarmi, lo prego di farlo.

martedì 19 agosto 2025

NIS2: Aggiornamento determina ACN per aggiornamento annuale

Copio e incollo direttamente dalla newsletter di Project:IN Avvocati:

Non poteva mancare una determina il giorno di chiusura del periodo di notifica dei dati da parte di soggetti essenziali e importanti ai sensi della "Direttiva NIS 2": così ACN ha pubblicato la determina n. 283727 del 22 luglio 2025 che sostituisce la n. 136117 del 10 aprile 2025. Il testo aggiusta e amplia le precedenti posizioni dell'Agenzia, ponendo le basi per l'implementazione pratica ed effettiva delle norme di cybersicurezza poste a protezione del "perimetro nazionale", in particolare riguardo all'utilizzo della piattaforma digitale di comunicazione tra soggetti NIS e Autorità.

Di mio aggiungo il link alla pagina web di ACN: https://www.acn.gov.it/portale/nis/aggiornamento-informazioni.

Non ho trovato nulla di particolarmente significativo.

domenica 3 agosto 2025

Aggiornato il DPCM 81 del 2021 del PSNC

E' stato pubblicato il DPCM 111 del 2025 che aggiorna il DPCM 81 del 2021: https://www.normattiva.it/eli/id/2025/08/01/25G00116/ORIGINAL.

In sostanza, quando le organizzazioni del PSNC notificano un incidente, devono anche classificarlo secondo una tassonomia stabilita dal DPCM 81 del 2021 (che aveva 19 tipi), ora aggiornata con il DPCM 111 del 2025. La modifica è stata l'aggiunta di un solo tipo, ossia il "Accesso non autorizzato o con abuso dei privilegi concessi".  

Non ho mai apprezzato questa tassonomia, in troppi punti troppo generica (però non l'avevo mai studiata con attenzione). Avevo ragione a non apprezzare, visto che l'accesso abusivo prima non ci fosse e ci abbiano messo 4 anni a intervenire.

venerdì 1 agosto 2025

Buone pratiche di cybersecurity di base per i dipendenti delle PP.AA.

ACN ha pubblicato il "Vademecum: Buone pratiche di cybersecuritydibase per i dipendenti delle PP.AA.": https://www.acn.gov.it/portale/vademecum-dipendenti.

Si tratta, a farla breve, di una presentazione di 28 slide divisa in due parti: la prima riguarda il perché la sicurezza informatica è importante, la seconda presenta 12 "buone pratiche".

Nulla di nuovo sotto il sole, ma mi pare materiale ben fatto. Per chi ha già del materiale proprio, può valere la pena verificare se include tutte e 12 le buone pratiche. Io dovrò sicuramente inserire qualcosa sull'uso di sistemi IA, prendendo spunto dall'ultima slide.

Visto che mi piace criticare ACN, lo faccio anche adesso:

- il documento non è datato e neanche la pagina web di riferimento; neanche "2025" c'è, accipicchia;

- sono andato sulla home page per cercare questo vademecum (l'avevo inizialmente ignorato, poi però ho pensato che dovevo ripensarci e volevo ritrovarlo) e non l'ho trovato neanche con la ricerca (che mette i documenti in ordine casuale di data); però dalla home page sappiamo che Frattasi ha fatto i complimenti agli italiani delle Cyber olimpiadi e ACN ha incontrato la Repubblica del Mozambico; tutto bene.

mercoledì 30 luglio 2025

Gli uomini possono fare tutto (luglio 2025)

Voglio qui parlare della scuola media, dopo 3 anni vissuti come padre, perché gli uomini possono aiutare i ragazzi con i compiti, partecipare alle assemblee di classe e discutere con gli altri genitori anche sulle temutissime chat dei genitori.

Cercherò di evitare l’effetto Dunning – Kruger. Cercherò anche di collegare alcune riflessioni sui sistemi di gestione, di cui invece ho qualche competenza. Premetto anche che la mia esperienza è limitata ai miei figli (e uno non le ha ancora finite) e a confronti con altri genitori.

Uno. Il nozionismo è aumentato, nonostante già negli anni Ottanta era criticato (è anche aumentato il peso dei libri, anch’esso criticato all’epoca).

Due. I temi, e quindi l’esercizio di esprimere opinioni ed esercitare la creatività, non sono più necessari, anche se poi l’esame di terza ne prevede uno con 3 tracce (a mio figlio è stato assegnato un solo tema, neanche argomentativo, e ha avuto un libro da leggere all’anno, non di più).

Tre. I test Invalsi sono spesso scollegati dalle solite verifiche, soprattutto in Italiano (comprensione del testo, mentre nei 3 anni le verifiche erano state di grammatica e di storia della letteratura) e matematica (30 domande a cui rispondere in 75 minuti, mentre le verifiche nei 3 anni consistevano in alcune domande puntuali, un paio di problemi di geometria e un paio di espressioni o equazioni di algebra).

Quattro. La scarsa considerazione dei ragazzi con DSA. Infatti nei test Invalsi, gestiti dal Ministero, non valgono le misure compensative, tranne l’aggiunta di tempo e la lettura sintetica al computer.

Cinque. Ai ragazzi non sono insegnate le modalità per organizzarsi. Non è insegnato come si usa il diario, come si presentano le verifiche (ho visto usare fogli di ogni tipo e gran sorpresa per la professoressa che in terza voleva che scrivessero bene nome e cognome e data nell’intestazione), come si organizzano i quaderni e gli appunti.

Sei. Gli stessi insegnanti sono disorganizzati e lo si vede da come assegnano i compiti: a voce o alla lavagna di fretta a fine lezione, sul registro elettronico o su un sistema di condivisione file a qualsiasi orario anche nel fine settimana.

Sette. I ragazzi sono deresponsabilizzati rispetto agli anni Ottanta. Infatti adesso sul registro elettronico vengono scritti i compiti, i voti e le note, spesso senza neanche dirlo ai ragazzi. In passato erano i ragazzi a doverli comunicare (o nascondere) ai genitori, ora sono i genitori, e non gli insegnanti, a comunicarli al ragazzo.

Otto. Gli insegnanti non hanno ricevuto istruzione su come insegnare, né sulle caratteristiche dei ragazzi con DSA (disturbi specifici di apprendimento). Questo ha poi una conseguenza: se loro dimostrano di non essersi impegnati a capire le difficoltà di questi ragazzi, sono ritenuti ipocriti, e quindi ignorati, quando richiedono impegno.

Questo ha anche impatti sociali importanti. Infatti i più bravi, con famiglie che li seguono bene, vanno avanti, mentre i meno bravi (in particolare quelli con DSA e gli immigrati o i figli di immigrati che hanno difficoltà di lingua e di capacità di supporto) vengono anche umiliati. Il risultato è che iniziano ad allontanarsi dalla scuola e a frequentare “cattive compagnie”, con tutte le difficoltà che ne conseguono.

Una prima analisi delle cause è che alcune deviazioni si siano presentate piano piano senza però una vera riflessione sulle conseguenza finali. Per esempio: l’aumento del carico di lavoro, da “ingozzatoio”, come dice Daniela Lucangeli, è corretto? l’uso incontrollato degli strumenti informatici da parte dei professori che effetti positivi e negativi potrebbe avere? Le 6 ore di scuola al giorno per 5 giorni al posto di 5 ore in 5 giorni sono adeguate per i ragazzi (a parte i genitori e gli insegnanti)? Anche strumenti come le interrogazioni a sorpresa dovrebbero essere analizzati se veramente utili, anche perché all’università non ci sono. Insomma: manca una pianificazione.

A mio parere, una seconda analisi delle cause, riguarda l’aumento del nozionismo, che lo ha reso centrale rispetto a tutto il resto e riempie completamente il tempo disponibile, con una conseguente frenesia e disorganizzazione anche da parte degli insegnanti.

Però alla fine sappiamo che la causa profonda è il mancato impegno della Direzione. In questo caso il Ministero dell’istruzione. Infatti, più o meno nell’ordine:

  • non sono chiari gli obiettivi delle medie (ingozzatoio di nozioni o apprendimento di un’organizzazione?);
  • le poche indicazioni per le competenze reperibili sono incomprensibili (il Decreto del MIUR 254 del 2012 con titolo “Regolamento recante indicazioni  nazionali  per  il  curricolo  della scuola  dell'infanzia  e  del  primo  ciclo  d'istruzione” non dice quasi nulla, ma in 74 pagine);
  • gli Invalsi costituiscono un’eccezione alle misure compensative per i ragazzi con DSA; se il Ministero non le ritiene valide, non si capisce perché debbano farlo i professori;
  • gli insegnanti sono selezionati sulle nozioni relative alle materie di insegnamento, non sulle modalità di insegnamento, sulla pedagogia, sulla psicologia, su come affrontare i ragazzi con difficoltà, eccetera;
  • non sono fornite indicazioni chiare e semplici da leggere agli insegnanti e alle famiglie (su questo bisogna riflettere che i professori della secondaria inferiore sono circa 155 mila ed è assurdo pensare che ciascuno possa inventarsi una professionalità senza un supporto, che non può neanche essere fornito dalle scuole, sempre più accorpate con la presenza di tanti ordini di studio);
  • c’è l’illusione che si possa seguire un approccio personalizzato per alunno e istituto e professore e materia, quando sappiamo che così non è né può essere, considerando i grandissimi numeri;
  • le poche indicazioni sono difficili da reperire (sul sito del MIM ho trovato solo le “Linee di indirizzo per favorire il diritto allo studio degli alunni adottati”, sotto la voce “URP”, ufficio relazioni con il pubblico, come se non riguardassero l’insegnamento), a differenza delle esternazioni sporadiche del ministro di turno;
  • sono chiesti ai professori sempre più adempimenti burocratici, che tolgono loro tempo ed energie all’insegnamento (lungi da me criticare ogni forma di burocrazia, ma un esempio emblematico è la “certificazione delle competenze”, documento scorretto teoricamente e inutile da un punto di vista pratico, ma fa carta).

martedì 29 luglio 2025

Linee guida CNIL per sviluppare i sistemi con IA

La CNIL ha pubblicato la pagina web con titolo "Développement des systèmes d’IA : les recommandations de la CNIL pour respecter le RGPD": https://www.cnil.fr/fr/developpement-des-systemes-dia-les-recommandations-de-la-cnil-pour-respecter-le-rgpd.

Sì, è in francese, ma credo si capisca abbastanza.

Sì, non dice niente di troppo nuovo, ma è tutto in buon ordine, sintetico e abbastanza pragmatico, quindi è apprezzabile.

Grazie alla newsletter di Project:IN Avvocati per averlo segnalato.

Codice di condotta per i modelli di IA per finalità generali

A inizio luglio la Commissione europea ha pubblicato "The General-Purpose AI Code of Practice": https://digital-strategy.ec.europa.eu/en/policies/contents-code-gpai.

La definizione di modello di IA per finalità generali è data del Regolamento IA: modello di IA che sia caratterizzato una generalità significativa e sia in grado di svolgere con competenza un'ampia gamma di compiti distinti.

Non l'avevo segnalato subito per due motivi:

  • credo che debba ancora esserne pubblicata la versione definitiva (a breve, comunque);
  • non credo che siano molti gli sviluppatori di tali modelli.

Però alcune indicazioni sulla trasparenza e la gestione del diritto d'autore mi sembrano interessanti per tutti. La parte sulla sicurezza è invece troppo generica.

domenica 27 luglio 2025

ISO/IEC 27031:2025 sulla continuità operativa per l'ICT

E' stata pubblicata la ISO/IEC 27031:2025 "Information and communication technology readiness for business continuity": https://www.iso.org/standard/27031.

Ringrazio Chiara Ponti per avermelo segnalato.

Alcune mie riflessioni:

  • temevo fosse troppo basata sui documenti, invece no;
  • richiede di condurre una valutazione del rischio del tipo FMEA per ogni componente del sistema e questo è invece un po' eccessivo;
  • se capisco bene, la norma prevede 3 fasi: interruzione totale, ripristino con MBCO, ritorno alla normalità; sappiamo bene che in realtà ce ne sono di più, però il modello di base è questo;
  • a mio parere si confonde perché da una parte dice che l’RTO riguarda tutto il tempo di ripristino, ma (in figura 1) dice che il recovery finisce con il ritorno alla normalità;
  • rimane un po’ antico, considerando solo tecnologie di hot standby, warm standby, cold standby e ship-in arrangements, senza citare i sistemi active-active o il possibile ricorso al cloud.

Trovo interessante la lista dei possibili test: ripristino di un solo file o di un database, ripristino di un singolo server, ripristino di un'applicazione, guasto di servizi su una piattaforma ad alta affidabilità, guasto di rete.

martedì 15 luglio 2025

Quando il cloud crolla

Segnalo questo articolo dal titolo "Quando le nuvole fanno PLOP!": https://www.linkedin.com/comm/pulse/quando-le-nuvole-fanno-plop-antonio-ieran%C3%B2-h7swf.

Il tono è sarcastico, forse c'è un pelo di pubblicità alla soluzione di Proofpoint (immagino perché Ieranò l'abbia sperimentata personalmente), sicuramente ci sono cose che val la pena ripassare anche se in modo sintetico (fare i test di DR, prepararsi i comunicati verso i clienti, eccetera).