Infosec & Quality newsletter ITA (Giugno 2025)
******************************************************
Indice
00- Anticipazione
01- VERA 8 per la valutazione del rischio
02- Certificazioni ISO/IEC 27001: Circolare Accredia e certificazioni ISO/IEC 27017, ISO/IEC 27018 eccetera
03- NIS2: Gestione incidenti significativi
04- Virus nei driver di una stampante
05- Guida CISA per la sicurezza dell'OT
06- Accessibilità digitale
07- Intelligenza artificiale: Cronologia per l'attuazione dell'AI Act
08- Intelligenza artificiale: ISO/IEC 22989 su terminologia e concetti IA disponibile gratuitamente
09- Intelligenza artificiale: L'IA è più persuasiva degli esseri umani
10- Garante privacy e conservazione email e metadati 05 - Provvedimento Regione Lombardia
11- Disobbedire, una competenza
12- Gli uomini possono fare tutto (Giugno 2025)
******************************************************
00- Anticipazione
Degli esami delle medie scriverò il mese prossimo. Quando la mia famiglia sarà, spero, fuori pericolo.
******************************************************
01- VERA 8 per la valutazione del rischio
Dovrei aver finito. Il VERA 8 è qui: https://github.com/CesareGallotti/VERA.
In italiano e in inglese e anche con i manuali aggiornati.
Se mai qualcuno dovesse sentirsi in colpa e troverà il coraggio per affrontare i sensi di colpa, potrà cancellarli da questo viaggio sottoscrivendo alla mia newsletter: https://www.cesaregallotti.it/Newsletter.html.
Se no, continui a usarlo gratuitamente che va bene lo stesso. Almeno ho la soddisfazione di fare audit e consulenze e vedere meno modelli assurdi e complicatissimi (ce ne sono anche di ottimi diversi dal mio e danno anch'essi soddisfazione).
PS: sto già apportando alcune correzioni e pubblicherò la 8.0.1. Però sono solo piccole correzioni. Non grandi cambiamenti come per questa versione.
******************************************************
02- Certificazioni ISO/IEC 27001: Circolare Accredia e certificazioni ISO/IEC 27017, ISO/IEC 27018 eccetera
A novembre 2024, Accredia ha pubblicato la Circolare tecnica DC N° 39/2024 - Disposizioni e aggiornamenti in merito all’accreditamento ISO/IEC 17021-1 degli Organismi di Certificazione a fronte della ISO/IEC 27001 e ISO/IEC 27701: https://accredia.it/documenti/circolare-tecnica-dc-n-39-2024-accreditamento-iso-iec-17021-1-a-fronte-della-iso-iec-27001-e-iso-iec-27701/.
Con un certo ritardo ha finalmente regolato il fatto che per le linee guida che estendono i controlli della ISO/IEC 27001 non vanno emessi certificati, ma l'estensione va indicata nell'ambito della certificazione.
La questione era già affrontata nelle precedenti edizioni della ISO/IEC 27006, ma Accredia non si confronta con le persone che partecipano ai lavori di redazione della norma e quindi le circolari non sempre sono allineate con questi.
Poi ci sono, ahinoi, ancora auditor che chiedono di indicare sul SOA anche come si applicano le linee guida aggiuntive per l'implementazione dei controlli ISO/IEC 27001. E vai a spiegare che sono, appunto, linee guida e non controlli da inserire nel SOA (ci sono già).
******************************************************
03- NIS2: Gestione incidenti significativi
Il D. Lgs. 138 di recepimento della NIS2, sulla base della definizione della Direttiva NIS2, dice che un incidente è considerato significativo se: a) ha causato o è in grado di causare una grave perturbazione operativa dei servizi o perdite finanziarie per il soggetto interessato; b) ha avuto ripercussioni o è idoneo a provocare ripercussioni su altre persone fisiche o giuridiche causando perdite materiali o immateriali considerevoli".
ACN, con la determina del 14 aprile, oltre a fornire "misure minime", fornisce anche le definizioni di "Incidenti significativi di base per i soggetti importanti" e "Incidenti significativi di base per i soggetti essenziali". Le definizioni sono decisamente generiche. La prima è "IS-1. Il soggetto NIS ha evidenza della perdita di riservatezza, verso l’esterno, di dati digitali di sua proprietà o sui quali esercita il controllo, anche parziale". Le altre sono altrettanto generiche.
Con la definizione di ACN, andrebbe mandata notifica per ogni evento, anche minimale, con impatto su riservatezza, integrità o disponibilità delle informazioni in formato digitale.
Immagino si debba applicare il combinato disposto, che in definitiva è la definizione del D. Lgs. 138. Ho ricevuto poche risposte in merito.
Ovviamente questo non si applica ai fornitori di servizi IT in ambito NIS2 perché devono usare anche le definizioni dell'Implementing Act 2024/2690, decisamente più specifico.
******************************************************
04- Virus nei driver di una stampante
Claudio Sartor, che ringrazio, mi ha segnalato questo podcast (anche in formato scritto) dal titolo "Il cripto-ladro è nella stampante e ruba un milione di dollari": https://attivissimo.me/2025/05/26/podcast-rsi-il-cripto-ladro-e-nella-stampante-e-ruba-1-milione-di-dollari/.
Il testo è scritto in modo molto piacevole (e già questo è inconsueto, ahinoi, nel nostro mondo), oltre che interessante.
In brevissimo: un gruppo di ladri di criptovalute è riuscito ad infettare i driver di una stampante. Questo ci insegna a stare sempre attenti, per quanto improbabile possa sembrare l'attacco.
******************************************************
05- Guida CISA per la sicurezza dell'OT
Chiara Ponti ha segnalato agli Idraulici della privacy la guida "Primary Mitigations to Reduce Cyber Threats to Operational Technology" della Cybersecurity and Infrastructure Security Agency (CISA) statunitense: https://www.cisa.gov/resources-tools/resources/primary-mitigations-reduce-cyber-threats-operational-technology.
Il CISA è un esempio di sinteticità. Forse eccessiva, ma compensa la prolissità di troppi altri.
******************************************************
06- Accessibilità digitale
Segnalo questo articolo dal titolo "Accessibilità digitale: quadro normativo europeo e italiano, tecnologie e opportunità di mercato": https://www.hermescse.eu/accessibilita-digitale-quadro-normativo-europeo-e-italiano-tecnologie-e-opportunita-di-mercato/.
Parla delle normative relative all'accessibilità (WAD e EAA, recepite in Italia e di cui avevo parlato a loro tempo).
******************************************************
07- Intelligenza artificiale: Cronologia per l'attuazione dell'AI Act
Dalla newsletter di Project:IN Avvocati: "Il Parlamento europeo ha pubblicato una cronologia per l'attuazione dell’AI Act, descrivendone in dettaglio la storia, lo scopo, le disposizioni e le fasi di attuazione. La legge sull'intelligenza artificiale, entrata in vigore nel 2024, ha una data di applicazione generale fissata al 2 agosto 2026, con piena efficacia prevista entro il 2027. Tra le date chiave figurano l'entrata in vigore dei capitoli sulle disposizioni generali e sulle pratiche di intelligenza artificiale vietate nel febbraio 2025 e la pubblicazione delle linee guida per i sistemi di intelligenza artificiale ad alto rischio nel febbraio 2026. La cronologia include anche il completamento dei codici di condotta GPAI e l'entrata in vigore delle disposizioni relative a governance, sanzioni e riservatezza".
Il documento in pdf, in inglese, è scaricabile da qui: https://www.europarl.europa.eu/thinktank/en/document/EPRS_ATA(2025)772906.
******************************************************
08- Intelligenza artificiale: ISO/IEC 22989 su terminologia e concetti IA disponibile gratuitamente
Mi informa Fabrizio Cirilli che lo standard SO/IEC 22989:2022 "Information technology — Artificial intelligence — Artificial intelligence concepts and terminology" è disponibile gratuitamente.
Il link: https://www.iso.org/standard/74296.html.
Grazie mille a Fabrizio.
******************************************************
09- Intelligenza artificiale: L'IA è più persuasiva degli esseri umani
Segnalo l'articolo con titolo "AI is more persuasive than people in online debates" da Nature: https://www.nature.com/articles/d41586-025-01599-7.
Il titolo dice tutto e così la parte di articolo liberamente disponibile.
******************************************************
10- Garante privacy e conservazione email e metadati 05 - Provvedimento Regione Lombardia
Il Garante privacy ha pubblicato il Provvedimento del 29 aprile 2025 [10134221]: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10134221.
Esso riporta valutazioni (e sanzioni) relativamente ad alcuni trattamenti svolti da Regione Lombardia nell'ambito del lavoro agile. Fornisce importanti indicazioni e anche elementi di riflessione. Provo a sintetizzare quanto ho capito e i miei dubbi.
Il primo punto riguarda la necessità di accordo sindacale e DPIA per raccogliere i log di navigazione Internet, di uso dell'email e di tracciamento delle richieste di assistenza. In pratica è richiesto accordo sindacale e DPIA per poter usare questi strumenti, ossia sempre. Interessante osservare che la DPIA non era prevista così esplicitamente dall'elenco dell’11 ottobre 2018 [doc. web n. 9058979].
Il secondo punto riguarda i tempi di conservazione dei log dell'email pari a 21 giorni e dei log di navigazione Internet pari a 90 giorni. Il Garante l'aveva esplicitato a giugno 2024 e Regione Lombardia segnala che il Provvedimento riguarda trattamenti precedenti. Il Garante ha risposto che dovevano arrivarci da soli. Insomma: sapevatelo!
Il terzo punto è figlio del precedente: il Garante in sostanza ha fatto lui l'analisi del rischio del trattamento dei log e la impone a tutti, alla faccia dell'accountability che evidentemente non permea il GDPR (ricordate la parola magica degli anni 2016-2018?). Viene solo accennato al fatto che il rischio è l'indiretto controllo a distanza dell’attività dei lavoratori, mentre non è detto se tale rischio era stato considerato. In altre parole: il GDPR chiede di valutare i rischi e non impone i tempi di conservazione, ma dal Provvedimento non si capisce se tale rischio era stato valutato, vero elemento di mancato rispetto o meno del GDPR.
Su questo, Christian Bernieri ha diffuso un post su LinkedIn con un ulteriore commento di Marco Marazza: https://www.linkedin.com/posts/bernieri_garante-provvedimento-29-aprile-2025-activity-7338612228230725633-kR9R
Il quarto punto è anch'esso collegato ai precedenti. Mi pare che anche per il sistema di ticketing i ticket andrebbero anonimizzati dopo 90 giorni e questo sembra non tenere conto della tracciabilità delle attività a scopo operativo, di ricostruzione degli eventi in caso di problemi e di tracciamento a scopo audit. Io faccio audit e se chiedo chi ha fatto i test di una determinata messa in esercizio e quando, è necessario saperlo, anche per dimostrare la separazione dei compiti. Mi pare che il Provvedimento non rifletta sul bilanciamento delle esigenze e degli effettivi rischi per gli interessati.
Il quinto punto riguarda il fatto che Regione Lombardia si era dimenticata di dire a un fornitore subentrante che avrebbe avuto accesso al precedente sistema di ticketing con tanto di dati personali degli operatori che avevano trattato i ticket. Da ricordarsene la prossima volta.
Il sesto punto riguarda il fatto che richiede che i log dei tentativi di accesso a siti proibiti vanno anonimizzati. Da ricordarsene, sempre che il sistema di logging lo permetta.
Il settimo punto riguarda le verifiche graduali e progressive. C'erano già nella Delibera del 2017 su email e Internet. Come poi si possano fare con i dati anonimizzati è per me un mistero.
Infine (ottavo punto) dice che le persone vanno designate, mentre il GDPR dice che vanno autorizzate. Mi pare ci sia un certo disallineamento, anche concettuale (tra designazione e autorizzazione ci sono differenze).
Mi pare che con questa sentenza si evidenzino alcune esagerazioni di interpretazione. Però se qualcuno volesse discuterne, ne sarò ben lieto (anche perché penso che forse qualche cosa mi sia sfuggita).
******************************************************
11- Disobbedire, una competenza
Lorenzo Foffani fa anche l'allenatore di calcio (di un mio figlio). Lo fa volontariamente ed è molto bravo.
Ha fatto questo intervento dal titolo "Disobbedire: la nuova competenza dell’innovazione?": https://www.youtube.com/watch?v=4cnGZjMieMY.
E' in italiano ed è in video. E' anche di promozione per la società per cui lavora. Però è interessante.
La sua prima versione era in inglese e in formato testo: https://www.linkedin.com/pulse/hard-discipline-creative-disobedience-lorenzo-foffani-mbnkf.
In sintesi: per disubbidire bisogna essere (molto) competenti. Penso però che questo concetto sia capito da pochi.
Chi fa il mio lavoro sa che tanti non seguono le procedure o, peggio, le contestano senza però capire le motivazioni che hanno portato a quei processi e quelle regole.
Ricordo il magnifico racconto Cromo di Primo Levi che, dall'altra parte, ci ricorda che le procedure vanno ridiscusse.
******************************************************
12- Gli uomini possono fare tutto (Giugno 2025)
Il Milanese imbruttito, uomo, ha potuto pubblicare sul suo sito un articolo dal titolo "Festa della mamma, cose che vorremmo DAVVERO al posto dei fiori del caz*o": https://imbruttito.com/2025/05/07/festa-della-mamma-cose-vorremmo-davvero.
Ovviamente non l'ho segnalato a maggio, in modo da poterci pensare anche a giugno.
******************************************************
EONL