Infosec & Quality newsletter ITA (Maggio 2025)
Indice
01- European Vulnerability Database (EUVD) di ENISA
02- Minacce e attacchi: Verizon 2025 Data Breach Investigations Report
03- Minacce e attacchi: Non dimentichiamoci dei topi
04- Fediverso
05- Altruismo dei dati (Data Governance Act - regolamento UE 2022/868)
06- DPCM 30 aprile su acquisti di beni e servizi IT
07- Articolo su WAD e EAA sull'accessibilità
08- Alfabetizzazione sull'intelligenza artificiale (AI literacy)
09- Standardizzazione: ISO/IEC 42001 (sistemi di gestione per l'intelligenza artificiale) in italiano
10- Standardizzazione: ISO 37001:2025 sull'antifrode
11- Standardizzazione: UNI/PdR 174:2025 per ISO/IEC 27001 e NIST CSF
12- Mio tentativo di correlazione controlli ISO/IEC 27001 e VERA
13- NIS2: Articolo (non mio!) su NIS2
14- NIS2: Altre criticità della determinazione ACN del 14/04/2025 N. 164179
15- NIS2: PEC e obbligo amministratori delle società
16- Gli uomini posso fare tutto (Maggio 2025)
******************************************************
01- European Vulnerability Database (EUVD) di ENISA
Da un post di Rosario Piazzese su LinkedIn: ENISA ha sviluppato il European Vulnerability Database (EUVD), come richiesto dalla Direttiva NIS2. Il servizio è attualmente operativo in versione beta: https://euvd.enisa.europa.eu/.
Avevo qualche dubbio sulla sua utilità, visto che c’è già il servizio statunitense, ma dalla newsletter del SANS Newsbyte (https://www.sans.org/newsletters/newsbites/xxvii-38/) apprendo che stanno riducendo i fondi per tenerlo attivo. Ecco che forse l’opzione europea diventa utile.
Chiedo poi se qualcuno vuole fare un confronto con altri servizi simili. Per esempio se le informazioni sono più o meno facili da fruire.
******************************************************
02- Minacce e attacchi: Verizon 2025 Data Breach Investigations Report
In primavera sono pubblicate alcune analisi sulla sicurezza informatica e sugli incidenti. Una delle più riconosciute è quella di Verizon e può essere scaricata qui: https://www.verizon.com/business/resources/reports/dbir/.
Il rapporto è molto lungo e confesso di non averlo letto ma solo sfogliato. Leggo i 4 dati più significativi:
sono raddoppiati gli incidenti collegati all'uso di terze parti;
sono cresciuti gli attacchi che sfruttano vulnerabilità (ammetto di non capirlo bene);
metà delle vulnerabilità NON sono state risolte dalle organizzazioni nel corso del 2024;
quasi metà degli incidenti hanno comportano l'uso di ransomware.
Qualche mia considerazione:
questo rapporto mi sembra che tratti solo di attacchi, non di guasti o errori;
sull'uso delle terze parti, anche se ritengo essere una questione importantissima, mi chiedo quanto il dato allarmante sia effetto dell'importanza che sempre più gli viene attribuita (queste ricerche mi lasciano sempre il dubbio se i dati sono causa o effetto delle "parole d'ordine" più recenti) e quanto sull'aumento dell'esternalizzazione verso il cloud;
sulle vulnerabilità non risolte, è chiaro che risolverle chiede investimenti; non posso non collegare questo dato su una telefonata che ho ricevuto proprio questa mattina da un utilizzatore di VERA che aveva l'auditor che gli chiedeva di abbandonarlo e rifare tutta la valutazione del rischio e quindi di investire in adempimenti non tecnici.
******************************************************
03- Minacce e attacchi: Non dimentichiamoci dei topi
Sandro Sanna, che ringrazio, mi ha segnalato questo articolo dal titolo "Tranciato cavo in fibra: a Maiori aziende e hotel senza internet a Pasqua": https://www.ilvescovado.it/it/tecnologia-31/tranciato-cavo-in-fibra-a-maiori-aziende-e-hotel-154273/article.
Ci ricorda che spesso ormai si utilizzano servizi cloud, però qualche cavo potremmo averlo ancora e va protetto anche dai topi.
******************************************************
04- Fediverso
Io sono sempre affascinato dalle alternative ai grandi potenti dei social. La più promettente è il cosiddetto Fediverso.
Questo articolo dal titolo "Il Fediverso a scuola: uno strumento didattico per la cittadinanza digitale" mi pare un'ottima introduzione: https://www.agendadigitale.eu/cultura-digitale/il-fediverso-a-scuola-uno-strumento-didattico-per-la-cittadinanza-digitale/.
In realtà non parla solo di scuola. Presenta soprattutto i problemi etici che pone l'uso dei grandi fornitori di servizi informatici, economicamente gratuiti.
******************************************************
05- Altruismo dei dati (Data Governance Act - regolamento UE 2022/868)
Segnalo questo articolo dal titolo "Altruismo dei dati: cos’è e perché l’Italia rischia di perdere tempo": https://www.agendadigitale.eu/cittadinanza-digitale/altruismo-dei-dati-cose-e-perche-litalia-rischia-di-perdere-tempo/l
Non è materia che seguo come in generale non seguo il Data Governance Act (regolamento UE 2022/868), ma penso che sia comunque importante sapere più o meno di cosa si tratta.
******************************************************
06- DPCM 30 aprile su acquisti di beni e servizi IT
Il 30 aprile 2025 è stato approvato il DPCM dal titolo "Disciplina dei contratti di beni e servizi informatici impiegati in un contesto connesso alla tutela degli interessi nazionali strategici e della sicurezza nazionale": https://www.gazzettaufficiale.it/atto/serie_generale/caricaDettaglioAtto/originario?atto.dataPubblicazioneGazzetta=2025-05-05&atto.codiceRedazionale=25A02717.
Estrema sintesi fornitami da Chiara Ponti (che ringrazio): dal 21 maggio 2025 entrano in vigore nuove regole per l’acquisto di beni e servizi informatici destinati a contesti legati alla tutela dell’interesse strategico nazionale.
Si applicano a pubbliche amministrazioni, gestori di servizi pubblici e società a controllo pubblico (da CAD) e soggetti nel PNSC (perimetro nazionale di sicurezza cibernetica).
Le regole richiedono di "prendere in considerazione", in fase di acquisto, alcune caratteristiche dei prodotti e servizi informatici presenti Allegato 2. Le misure sono in Allegato 1 e mi sembrano molto generiche (e non sempre comprensibili), anche se ci sono tutte quelle che avrei messo io (da ITSEC: Identification and Authentication, Access Control, Accountability, Audit, Accuracy, Reliability of Service, Data Exchange).
******************************************************
07- Articolo su WAD e EAA sull'accessibilità
Segnalo questo articolo, di cui sono co-autore, dal titolo "WAD e EAA: guida alle normative europee per l’accessibilità digitale": https://www.agendadigitale.eu/cultura-digitale/wad-e-eaa-guida-alle-normative-europee-per-laccessibilita-digitale/.
Senza presunzione, io, Chiara Ponti e Arturo Messina l'abbiamo scritto soprattutto come occasione di studiare queste due norme e capire in cosa si differenziano.
******************************************************
08- Alfabetizzazione sull'intelligenza artificiale (AI literacy)
Il Regolamento sull'IA richiede che fornitori e utilizzatori di sistemi AI assicurino, da febbraio 2025, al proprio personale un adeguato livello di alfabetizzazione sull'IA. Un'ottima iniziativa.
Credo quindi che si tratti di prevedere corsi relativi ai diversi tipi di IA, ai loro pro e contro, ai loro rischi. La formazione va differenziata per le diverse figure professionali, per quanto applicabile. Attenzione che la formazione non riguarda solo il personale interno, ma "qualsiasi altra persona che si occupa del funzionamento e dell'utilizzo dei sistemi di IA per loro conto".
La Commissione europea ha quindi pubblicato una pagina con domane e risposte in merito: https://digital-strategy.ec.europa.eu/en/faqs/ai-literacy-questions-answers. Sta girando anche una versione in pdf, ma è generato da questa pagina.
Devo dire che speravo in qualcosa di meglio: le indicazioni sono generiche e il "living repository on AI literacy" è una raccolta di esperienze di alcune imprese ma senza i dettagli (insomma, è materiale promozionale, per quanto sobrio).
Eppure avrei voluto una risposta più esaustiva sul punto "What should be the minimum content to consider for an AI literacy programme?".
Ho trovato, sempre della UE, la pagina Learning Content della Digital Skills & Jobs Platform: https://digital-skills-jobs.europa.eu/en/learning-content. Si seleziona il filtro per "Artificial intelligence" e viene proposto materiale. Forse troppo e troppo disomogeneo, oltre che fatto solo di video e presentazioni. Pochissimo sui rischi.
Invece vorrei saperne molto di più. Qualcuno ha uno o più libri, non eccessivamente tecnici, da suggerire?
******************************************************
09- Standardizzazione: ISO/IEC 42001 (sistemi di gestione per l'intelligenza artificiale) in italiano
La norma ISO/IEC 42001 è stata tradotta in italiano e recepita come norma UNI CEI ISO/IEC 42001 con titolo "Tecnologie informatiche – Intelligenza artificiale – Sistema di gestione".
Si può trovare qui (a pagamento): https://store.uni.com/uni-cei-iso-iec-42001-2024.
******************************************************
10- Standardizzazione: ISO 37001:2025 sull'antifrode
E' stata pubblicata la nuova versione della norma ISO 37001 dal titolo "Anti-bribery management systems — Requirements with guidance for use": https://www.iso.org/standard/37001.
Ringrazio Monica Perego, Idraulica della privacy, per la notizia.
Non sono un esperto di questa norma, ma oggi è sempre più richiesta anche dai bandi di gara. Quindi è meglio esserne a conoscenza, anche perché alcuni punti potrebbero intersecare la sicurezza delle informazioni (separazione dei compiti, valutazione del rischio, controlli operativi), oltre a quelli dell'HLS.
******************************************************
11- Standardizzazione: UNI/PdR 174:2025 per ISO/IEC 27001 e NIST CSF
Alessandro Cosenza mi ha segnalato la pubblicazione della UNI/PdR 174:2025 "Sistema di gestione per la cybersicurezza e la sicurezza delle informazioni armonizzato alla norma UNI CEI EN ISO/IEC 27001 e al Framework NIST CSF 2.0 - Requisiti": https://store.uni.com/uni-pdr-174-2025.
Come tutte le PdR è gratuita (e non lo sapevo e su questo ho già fatto una figura di palta su LinkedIn) e questo è bene.
Si tratta di una proposta per mettere insieme ISO/IEC 27001 e le misure del NIST CSF. Non ho nulla da obiettare sulla correttezza, anzi, apprezzo il lavoro fatto.
Sono un inguaribile pessimista e temo queste cose:
la difficoltà di leggibilità (p.e. al 5.1 "raggiungere gli obiettivi previsti dalla sottocategoria GV.RR-01 appartenente alla funzione GOVERN e alla categoria RUOLI, RESPONSABILITÀ E AUTORITÀ");
l'eccesso di relazioni molti-a-molti, che rende poi difficilissimo il lavoro operativo;
che Accredia e ACN spingano alla certificazione su questa norma.
Ribadisco, ahinoi, il problema che ACN continua a promuovere riferimenti nazionali e non, come previsto dal D. Lgs. 138 e anche dalla necessità dei tempi, riferimenti internazionali o almeno europei. Meno male che nel gruppo di lavoro c'era almeno Fabio Guasconi che è attivo a livello internazionale sugli standard di sicurezza delle informazioni. Sarebbe bello vedere partecipare anche ACN e Accredia (questa mattina, a parlare della futura ISO/IEC 27004, per l'Italia eravamo... due; un consulente e un'organizzazione utilizzatrice, nessun rappresentante di organismi di accreditamento o di certificazione e neppure delle grandi società di consulenza).
******************************************************
12- Mio tentativo di correlazione controlli ISO/IEC 27001 e VERA
Ahimè, dovrò aggiornare il VERA con i controlli NIS2. Non credo sia possibile evitarlo.
La prima tappa è quindi cercare di correlare i controlli ISO/IEC 27001:2022 con quelli dell'implementation regulation 2024/2690 e quelli ACN.
Ho provato a farlo e ho caricato il mio tentativo qui: https://github.com/CesareGallotti/VERA.
Nella colonna "Riflessioni CEG" ho inserito alcune cose che penso di fare. Se qualcuno vuole riesaminare, criticare e dare qualche suggerimento è benvenuto. Direi entro il 25 maggio. Che poi dovrò aggiornare il tutto e poi dovrò anche aggiornare il libro e già mi sento affaticato (ma almeno su quello qualche euro lo guadagno).
PS: la prima versione di questo post è del 29 aprile. Ho aggiornato il file il 30 aprile includendo tutto il FNCDP 2025 (e ho notato che è tradotto in un italiano orrendo; chissà se non ci fosse stata di mezzo un’università cosa sarebbe stato) e ripristinando le mie note interpretative, così che possiate commentare anch’esse.
******************************************************
13- NIS2: Articolo (non mio!) su NIS2
Marcello Davi di Hermes - Centro Studi Europeo mi ha segnalato un suo articolo dal titolo "Normativa NIS2: requisiti, scadenziario, opportunità e sfide future": https://www.hermescse.eu/normativa-nis2-requisiti-scadenziario-opportunita-e-sfide-future/.
L'analisi dei requisiti e lo scadenziario sono sicuramente in linea con altri articoli. Trovo interessanti le riflessioni nella terza parte (Opportunità e sfide future per le imprese coinvolte ed il sistema Paese).
******************************************************
14- NIS2: Altre criticità della determinazione ACN del 14/04/2025 N. 164179
Segnalo questo articolo di Gianluca Dalla Riva dal titolo "Direttiva NIS 2: criticità della Determinazione ACN del 14/04/2025 N. 164179": https://www.studiodallariva.it/blog/perma/1745405040/article/determinazione-acn-164179.html.
Segnala ulteriori criticità relative all'applicabilità della Determinazione.
******************************************************
15- NIS2: PEC e obbligo amministratori delle società
Le società NIS2 devono fornire ad ACN, tra le tante informazioni, anche gli indirizzi PEC degli amministratori.
In effetti "a decorrere dal 1° gennaio 2025, l'obbligo di comunicare al registro delle imprese il domicilio digitale / indirizzo di posta elettronica certificata (PEC) – già previsto per le società e per le imprese individuali". Questo per il DL 179 del 2012, art. 5 comma 1, modificato dalla Legge di bilancio 2025.
Questo vuol dire che amministratori e liquidatori delle società di capitali, società cooperative, società consortili e società di persone devono avere la PEC. Unioncamere ha però interpretato dicendo che si può usare anche la PEC della società stessa.
Tutto questo l'ho riassunto da una pagina della Camera di commercio di Milano, Monza Brianza e Lodi: https://www.milomb.camcom.it/obbligo-di-iscrivere-il-domicilio-digitale-degli-amministratori-e-liquidatori-delle-societa.
******************************************************
16- Gli uomini posso fare tutto (Maggio 2025)
Questa volta, il papà che cerca di fare il bravo papà si è trovato in difficoltà con i compiti delle vacanze di Pasqua.
Infatti alcuni professori li hanno assegnati dopo la chiusura della scuola e in alcuni casi anche dopo che la famiglia aveva programmato le attività, inclusi i compiti.
Il problema non è solo organizzativo per le famiglie, per quanto già questo sia importante. E' un problema anche sociale perché promuove la costante connessione delle famiglie e, soprattutto, dei ragazzi. Penso sia importante promuovere il diritto (e, forse, anche il dovere) di disconnettersi. Finito l'orario scolastico, andrebbero vietate le comunicazioni tra scuola e ragazzi e famiglie.
Il diritto alla disconnessione è necessario per diversi motivi. Il primo è per evitare un sovraccarico e per educare i ragazzi a evitarlo. Il secondo è perché la stimolazione continua è dannosa e porta ansia, soprattutto se avviata da "superiori".
Su questo, e stranamente mi ci trovo d'accordo, si è espresso anche il ministro Valditara. Per i curiosi: https://www.corriere.it/scuola/25_aprile_28/troppi-compiti-e-verifiche-valditara-raccomanda-vietato-assegnarli-la-sera-prima-piu-coordinamento-fra-i-prof-3b7a9d60-1130-4662-a183-436fb3409xlk.shtml.
Nota a margine: molti genitori, quando il libro è stato lasciato a casa o a scuola, chiedono ancora ad altri genitori le foto delle pagine assegnate. Questo vuol dire che tanti non hanno ancora capito la magia dei libri in digitale.
******************************************************
EONL