Infosec & Quality newsletter ITA (Marzo 2025)
******************************************************
Indice
01- Stato degli standard ISO/IEC 27xxx (privacy e sicurezza delle informazioni)
02- Rapporto Clusit 2025
03- Password di default nei sistemi di apertura porte
04- IA: Codice di condotta generale della Commissione europea per l'IA
05- IA: Clausole contrattuali standard per l'acquisto dell'IA
06- IA: IA Ethicist
07- IA: Bozza di linee guida per l'adozione di IA nella PA
08- DORA: D.Lgs. 23/2025 di adeguamento a DORA
09- DORA: Autovalutazione DORA
10- Amministratori di sistema: l'inutile pratica di richiedere nominativi
11- Alternative europee per alcuni servizi IT
12- Gli uomini possono fare tutto (marzo 2025)
******************************************************
01- Stato degli standard ISO/IEC 27xxx (privacy e sicurezza delle informazioni)
La settimana del 10 marzo si sono tenuti i meeting semestrali del ISO/IEC JTC SC 27 WG 1 (che gestisce le norme della serie ISO/IEC 27000) e WG 5 (che gestisce le norme relative alla privacy).
Per quanto riguarda il WG 1, sono state discusse, tra le altre, le seguenti norme:
ISO/IEC 27000, di panoramica sugli standard della serie ISO/IEC 27000: la pubblicazione della nuova versione è prevista per i primi mesi del 2027;
ISO/IEC 27003, linee guida per i sistemi di gestione per la sicurezza delle informazioni (non per i controlli): la pubblicazione della nuova versione è prevista per primavera 2027; la discussione, al momento, non ha introdotto elementi particolarmente significativi, tranne quelli necessari per i cambiamenti introdotti dalla ISO/IEC 27001:2022 rispetto alla ISO/IEC 27001:2013;
ISO/IEC 27004, linee guida per le misurazioni dei sistemi di gestione per la sicurezza delle informazioni: la pubblicazione della nuova versione è prevista per fine 2027; la discussione, al momento, non ha introdotto elementi particolarmente significativi;
ISO/IEC 27006-1, con i requisiti per gli organismi che certificano rispetto alla ISO/IEC 27001: chiusi completamente i lavori dopo la pubblicazione della versione del 2024, con alcune ultime riflessioni che saranno riprese per la prossima versione; la discussione se avviare una revisione è prevista tra qualche anno;
ISO/IEC 27007, linee guida per l'audit al sistema di gestione per la sicurezza delle informazioni: stabilito di avviare la revisione completa per pubblicare la nuova versione a metà 2028;
ISO/IEC 27008, linee guida per verificare i controlli di sicurezza delle informazioni: prevista la nuova versione in autunno 2026;
ISO/IEC 27017, con i controlli aggiuntivi per i servizi cloud: prevista la nuova versione a metà 2026; non sono previste novità significative, solo qualche adeguamento ai controlli, considerati i cambiamenti introdotti dalla ISO/IEC 27002:2022.
Per quanto riguarda il WG 3, confermo che non ne seguo i lavori, ma credo sia utile sapere che è prevista la nuova versione della ISO/IEC 15408 (i Common Criteria) per primavera 2026.
Per quanto riguarda il WG 5, ossia gli standard relativi alla privacy, segnalo quanto segue:
ISO/IEC 27018, con i controlli privacy aggiuntivi per i servizi cloud rispetto alla ISO/IEC 27002: prevista la nuova versione in autunno (lo scrivo sulla base di una bozza di decisioni, ma ho avuto informazioni diverse dalla nostra delegata che prevedono la pubblicazione non prima di metà 2026); non sono previste novità significative, solo qualche adeguamento ai controlli, considerati i cambiamenti introdotti dalla ISO/IEC 27002:2022;
ISO/IEC 27701 per i sistemi di gestione per la privacy: la pubblicazione della nuova versione è prevista per questa estate; su questa norma già scrissi (https://www.agendadigitale.eu/sicurezza/iso-iec-27701-sui-sistemi-di-gestione-per-la-privacy-come-e-come-sara/);
ISO/IEC 27706 per gli organismi che certificano rispetto alla ISO/IEC 27701: la pubblicazione della nuova versione dovrebbe avvenire insieme a quella della ISO/IEC 27701;
ISO/IEC 29151 con i controlli per i titolari di trattamenti (la cui utilità mi sfugge, visto che i controlli sono già previsti dalla ISO/IEC 27701): la pubblicazione della nuova versione è prevista per l'estate 2026.
******************************************************
02- Rapporto Clusit 2025
Il Clusit ha pubblicato il suo "Rapporto sulla cybersecurity in Italia e nel mondo" 2025: https://clusit.it/rapporto-clusit/.
A parte le solite statistiche la cui utilità mi sfugge (lo sappiamo da più di 20 anni che viviamo in una foresta oscura), ho trovato particolarmente interessanti:
il box sull'attacco a News/Multimedia;
la descrizione di alcune minacce legate al social engineering (inclusi i vari tipi di phishing), perché solo conoscendole e facendole è possibile affrontarle; purtroppo sono sparpagliate nelle troppe pagine (se qualcuno volesse selezionarle per farne un opuscolo informativo, gliene sarei grato).
******************************************************
03- Password di default nei sistemi di apertura porte
Bel caso di sistema di gestione delle porte di un edificio esposto su Internet e con troppe password di default mai cambiate: https://www.ericdaigle.ca/posts/breaking-into-dozens-of-apartments-in-five-minutes/.
Siamo ancora lì, ad avere password di default non cambiate al primo accesso.
******************************************************
04- IA: Codice di condotta generale della Commissione europea per l'IA
Dalla newsletter di Project:IN Avvocati, copio come segue: "È stata pubblicata la terza bozza del Codice di condotta generale per l’intelligenza artificiale, uno strumento volontario pensato per aiutare i fornitori di modelli di IA a dimostrare la conformità con l’AI Act europeo, in vista della sua piena applicazione da agosto 2025. Rispetto alle versioni precedenti, questa bozza è più snella, strutturata e dettagliata, con impegni chiari e misure attuative. Sottolinea l'importanza di un equilibrio tra chiarezza e flessibilità per adattarsi all’evoluzione tecnologica, e di ecosistemi di governance per una gestione condivisa del rischio. La pubblicazione è accompagnata da un riepilogo esecutivo e un sito web interattivo per facilitare il coinvolgimento degli stakeholder. Il testo finale è previsto per maggio 2025. Il Codice, pur essendo volontario, rappresenta un strumento strategico per sostenere la transizione normativa e promuovere fiducia, responsabilità, sicurezza e trasparenza. Il processo resta aperto al contributo attivo delle parti interessate, in linea con l’approccio partecipativo dell’UE per un’IA etica e sicura".
Come è noto, non apprezzo le bozze, ma credo che questa sia utile a chi deve muoversi nell'attesa della versione definitiva.
La pagina di riferimento è questa: https://digital-strategy.ec.europa.eu/en/library/third-draft-general-purpose-ai-code-practice-published-written-independent-experts. I documenti sono in inglese.
******************************************************
05- IA: Clausole contrattuali standard per l'acquisto dell'IA
Copio e incollo (senza pudore) dalla newsletter Project:IN Avvocati: "La Commissione europea ha pubblicato le clausole contrattuali modello (MCC) aggiornate per l'intelligenza artificiale (IA), distinguendo tra sistemi di IA ad alto rischio e non ad alto rischio, quali misure provvisorie fino a quando l'IA Act non sarà pienamente applicabile".
Le MCC si possono scaricare da qui, in tutte le lingue della UE: https://public-buyers-community.ec.europa.eu/communities/procurement-ai/resources/eu-model-contractual-ai-clauses-pilot-procurements-ai.
******************************************************
06- IA: IA Ethicist
Segnalo questo articolo dal titolo "Intelligenza artificiale, certificazione per gli esperti di etica": https://www.altalex.com/documents/news/2025/03/10/intelligenza-artificiale-certificazione-esperti-etica.
Ho il dubbio che si stia inventando una figura professionale inutile. In compenso, sono sicuro dell'utilità delle riflessioni sulle competenze di chi si occupa di intelligenza artificiale.
******************************************************
07- IA: Bozza di linee guida per l'adozione di IA nella PA
AgID ha pubblicato la "Bozza di linee guida per l’adozione di IA nella pubblica amministrazione" per una consultazione pubblica: https://www.agid.gov.it/it/notizie/intelligenza-artificiale-in-consultazione-le-linee-guida-pa.
Non l'ho letta né la leggerò perché è una bozza per consultazione pubblica, non la versione definitiva. Però in molti la stanno segnalando e non vorrei sembrare non aggiornato. Spero che la stessa solerzia si ripeterà quando sarà pubblicata la versione definitiva (anche se sappiamo che troppo spesso questo non succede).
******************************************************
08- DORA: D.Lgs. 23/2025 di adeguamento a DORA
È stato pubblicato il D. Lgs. n. 23/2025, che adegua la normativa italiana al Regolamento DORA: https://www.normattiva.it/eli/id/2025/03/11/25G00032/ORIGINAL.
Segnalo l'articolo di Altalex per una (credo) buona sintesi: https://www.altalex.com/documents/2025/03/13/decreto-dora-g-u-autorita-competenti-poteri-vigilanza-sanzioni.
******************************************************
09- DORA: Autovalutazione DORA
Dalla newsletter Project:IN Avvocati, segnalo che la Banca d'Italia, con una Comunicazione del 23 dicembre 2024, ha messo a disposizione un modello per l'autovalutazione rischi ICT ai sensi del Regolamento DORA: https://www.bancaditalia.it/media/notizia/istruzioni-operative-relative-alle-valutazioni-previste-dalla-comunicazione-al-mercato-in-materia-di-sicurezza-ict/.
Non sono assolutamente un esperto di DORA, ma penso sia utile saperlo.
******************************************************
10- Amministratori di sistema: l'inutile pratica di richiedere nominativi
Segnalo la pubblicazione di un mio articolo dal titolo "Amministratori di sistema: l’inutile pratica di richiedere nominativi": https://www.agendadigitale.eu/sicurezza/amministratori-di-sistema-linutile-pratica-di-richiedere-nominativi/.
Volevo togliermi un sassolino dalla scarpa.
******************************************************
11- Alternative europee per alcuni servizi IT
Segnalo questo sito con alternative europee ai servizi informatici più diffusi e residenti negli USA:
https://european-alternatives.eu/.
In questo periodo meglio essere preparati.
Grazie ad Alessandro Vallega di Rexilience per la segnalazione.
******************************************************
12- Gli uomini possono fare tutto (marzo 2025)
Il 13 marzo sono andato al Security summit. Alle 12.20 avevo un intervento con Fabio Guasconi e alle 14.20 volevo assistere al seminario di DFA (di cui sono consigliere) dal titolo "AI forensics, una soluzione?".
Era anche una bella occasione per rivedersi tra Presidente (Maria Elena Iafolla), ex presidenti (io, Mattia Epifani e Valerio Vertua) dell'associazione e anche altri consiglieri (cito Federico Lucia).
Però la moglie ha avuto una promozione (evviva!), un cambiamento di sede e di collaboratori e non poteva stare in casa. Il pargolo adolescente aveva in programma un bel filotto di verifiche e interrogazioni per i successivi giorni e molta poca voglia di studiare. Era necessario che qualcuno stesse in casa ad aiutarlo a concentrarsi: è toccato a me.
Ovviamente il seminario di DFA è andato benissimo e i miei amici si sono trovati benissimo anche senza di me.
******************************************************
EONL