Avevo promesso una nuova edizione del mio libro, ma non ce l’ho fatta a completarla. Devo ancora rileggere le bozze in italiano e in inglese. Spero di farcela per settembre.

******************************************************

01- VERA 8.0.1

Ho pubblicato il VERA 8.0.1, foglio Excel per la valutazione del rischio: https://github.com/CesareGallotti/VERA.

Rispetto alla 8.0 ho apportato alcune correzioni.

******************************************************

02- Incidenti: 28 giugno, guasto ai radar del Nord Italia

Il 28 giugno, dicono, c'è stato un sovraccarico delle linee di comunicazione negli aeroporti del nord e che ha bloccato il loro sistema radar. Il risultato: tantissimi voli non decollati deviati in altri aeroporti (Firenze e Pisa, principalmente).

Christian Bernieri ha scritto il suo pezzo su come un'emergenza così è stata mal gestita: https://garantepiracy.it/blog/emergenza/.

C'ero anch'io e non ci siamo incontrati all'aeroporto Pisa per puro caso.

Le mie riflessioni sono diverse rispetto a quella di Christian. Io penso all'incidente, di cui ho trovato qui una descrizione: https://tg24.sky.it/cronaca/2025/06/28/traffico-aereo-sospeso-italia.

ENAV attribuisce la responsabilità a TIM, ma vengono in mente almeno due questioni. La prima è che la linea principale e quella di backup fossero sempre di TIM (una terza, quella che poi aveva funzionato, seppur in modo limitato era invece con un altro operatore). Solitamente si consiglia di usare sempre operatori diversi, anche se poi in Italia quasi tutti usano l'infrastruttura TIM.

La seconda è che sembra che la linea di backup fosse in stand-by. Questa non è una soluzione ottimale, soprattutto se consideriamo la criticità del servizio. Infatti in casi come questi sarebbe opportuno avere due linee sempre attive in load balancing. Per questa riflessione ringrazio un mio cliente.

Un'ultima riflessione riguarda la valutazione del rischio, sicuramente fatta da ENAV. Io, senza troppa fantasia, avrei selezionato solo 5 scenari: mancanza di sede, mancanza dei sistemi IT, mancanza di connettività, mancanza di personale, mancanza di fornitori. Questo approccio semplicistico avrebbe permesso di identificare il rischio, alla faccia di chi propone modelli più complessi (poi, lo ammetto, avrei accettato come valida la soluzione active-standby).

Queste riflessioni sono fatte in mancanza di dettagli certi, ma solo su "sentito dire". C'è un'indagine in corso da parte di ENAC. Penso che sia sempre opportuno riflettere su questi incidenti, purché sia fatto rispettando gli attori coinvolti sia perché le informazioni sono incerte sia perché non sono sicuro che sarei stato capace di fare meglio.

******************************************************

03- Incidenti: Quando il cloud crolla

Segnalo questo articolo dal titolo "Quando le nuvole fanno PLOP!": https://www.linkedin.com/comm/pulse/quando-le-nuvole-fanno-plop-antonio-ieran%C3%B2-h7swf.

Il tono è sarcastico, forse c'è un pelo di pubblicità alla soluzione di Proofpoint (immagino perché Ieranò l'abbia sperimentata personalmente), sicuramente ci sono cose che val la pena ripassare anche se in modo sintetico (fare i test di DR, prepararsi i comunicati verso i clienti, eccetera).

******************************************************

04- Standard: ISO/IEC 27031:2025 sulla continuità operativa per l'ICT

E' stata pubblicata la ISO/IEC 27031:2025 "Information and communication technology readiness for business continuity": https://www.iso.org/standard/27031.

Ringrazio Chiara Ponti per avermelo segnalato.

Alcune mie riflessioni:

temevo fosse troppo basata sui documenti, invece no;
richiede di condurre una valutazione del rischio del tipo FMEA per ogni componente del sistema e questo è invece un po' eccessivo;
se capisco bene, la norma prevede 3 fasi: interruzione totale, ripristino con MBCO, ritorno alla normalità; sappiamo bene che in realtà ce ne sono di più, però il modello di base è questo;
a mio parere si confonde perché da una parte dice che l’RTO riguarda tutto il tempo di ripristino, ma (in figura 1) dice che il recovery finisce con il ritorno alla normalità;
rimane un po’ antico, considerando solo tecnologie di hot standby, warm standby, cold standby e ship-in arrangements, senza citare i sistemi active-active o il possibile ricorso al cloud.

Trovo interessante la lista dei possibili test: ripristino di un solo file o di un database, ripristino di un singolo server, ripristino di un'applicazione, guasto di servizi su una piattaforma ad alta affidabilità, guasto di rete.

******************************************************

05- Standard: UNI 11980:2025 sulla distruzione supporto di dati

E' stata pubblicata la UNI 11980:2025 "Distruzione supporto di dati - Requisiti e indicatori di conformità per i processi di distruzione di supporti di dati": https://store.uni.com/uni-11980-2025.

Si tratta di una specificazione ulteriore di quanto richiesto dalla ISO/IEC 21964 "Destruction of data carriers".

E' stato molto interessante partecipare ai lavori e ringrazio Luciano Quartarone per averli guidati.

Una richiesta: non segnalatemi quanto sia assurdamente alto il prezzo (85 €) per questo documento di 22 pagine.

******************************************************

06- Certificazioni: Circolare Accredia e certificazioni ISO/IEC 27017, ISO/IEC 27018 eccetera

A novembre 2024, Accredia ha pubblicato la Circolare tecnica DC N° 39/2024 - Disposizioni e aggiornamenti in merito all’accreditamento ISO/IEC 17021-1 degli Organismi di Certificazione a fronte della ISO/IEC 27001 e ISO/IEC 27701: https://accredia.it/documenti/circolare-tecnica-dc-n-39-2024-accreditamento-iso-iec-17021-1-a-fronte-della-iso-iec-27001-e-iso-iec-27701/.

Con un certo ritardo ha finalmente regolato il fatto che per le linee guida che estendono i controlli della ISO/IEC 27001 non vanno emessi certificati, ma l'estensione va indicata nell'ambito della certificazione.

Poi ci sono, ahinoi, ancora auditor che chiedono di indicare sul SOA anche come si applicano le linee guida aggiuntive per l'implementazione dei controlli ISO/IEC 27001. E vai a spiegare che sono, appunto, linee guida e non controlli da inserire nel SOA (ci sono già).

******************************************************

07- NIS 2: Guide ENISA per NIS2 (per fornitori di servizi IT)

ENISA, la European Union Agency for Cybersecurity, ha pubblicato, come richiesto dalla Direttiva NIS 2, due guide per l'implementazione della Direttiva stessa.

La prima è destinata ai fornitori di servizi IT ed è la "NIS2 Technical Implementation Guidance": https://www.enisa.europa.eu/publications/nis2-technical-implementation-guidance.

Più precisamente, si tratta di una guida per l'implementazione della Commission Implementing Regulation (EU) 2024/2690, destinata a fornitori di servizi DNS, registri dei nomi di dominio di primo livello, fornitori di servizi di cloud computing, fornitori di servizi di data center, fornitori di reti di distribuzione dei contenuti, fornitori di servizi gestiti, fornitori di servizi di sicurezza gestiti, fornitori di mercati online, di motori di ricerca online e di piattaforme di servizi di social network e prestatori di servizi fiduciari.

Il documento è lungo 170 pagine e non mi sembra riporti cose inutilmente fantasiose. Anzi, mi sembra che riporti misure pragmatiche al punto giusto, con descrizioni destinate a non esperti di sicurezza informatica.

La seconda è destinata a tutti i soggetti NIS 2 e ha titolo "Cybersecurity roles and skills for NIS2 Essential and Important Entities": https://www.enisa.europa.eu/publications/cybersecurity-roles-and-skills-for-nis2-essential-and-important-entities.

Questa seconda riporta qualche esempio ed elenca 12 ruoli che coinvolti nell'implementazione e nel mantenimento della sicurezza informatica. Non mi sembra una guida particolarmente illuminante.

******************************************************

08- Intelligenza artificiale: Linee guida CNIL per sviluppare i sistemi con IA

La CNIL ha pubblicato la pagina web con titolo "Développement des systèmes d’IA : les recommandations de la CNIL pour respecter le RGPD": https://www.cnil.fr/fr/developpement-des-systemes-dia-les-recommandations-de-la-cnil-pour-respecter-le-rgpd.

Sì, è in francese, ma credo si capisca abbastanza.

Sì, non dice niente di troppo nuovo, ma è tutto in buon ordine, sintetico e abbastanza pragmatico, quindi è apprezzabile.

Grazie alla newsletter di Project:IN Avvocati per averlo segnalato.

******************************************************

09- Intelligenza artificiale: Codice di condotta per i modelli di IA per finalità generali

A inizio luglio la Commissione europea ha pubblicato "The General-Purpose AI Code of Practice": https://digital-strategy.ec.europa.eu/en/policies/contents-code-gpai.

La definizione di modello di IA per finalità generali è data del Regolamento IA: modello di IA che sia caratterizzato una generalità significativa e sia in grado di svolgere con competenza un'ampia gamma di compiti distinti.

Non l'avevo segnalato subito per due motivi:

credo che debba ancora esserne pubblicata la versione definitiva (a breve, comunque);
non credo che siano molti gli sviluppatori di tali modelli.

Però alcune indicazioni sulla trasparenza e la gestione del diritto d'autore mi sembrano interessanti per tutti. La parte sulla sicurezza è invece troppo generica.

******************************************************

10- Intelligenza artificiale: Cervello e ChatGPT

Segnalo questo articolo (grazie alla newsletter di DFA) dal titolo "Il tuo cervello e ChatGPT: il prezzo del debito cognitivo e come evitarlo": https://www.thesundayprompt.com/il-tuo-cervello-e-chatgpt-il-prezzo-del-debito-cognitivo-e-come-evitarlo/.

Esso riassume uno studio del MIT di 206 pagine dal titolo "Your Brain on ChatGPT: Accumulation of Cognitive Debt when Using an AI Assistant for Essay Writing Task": https://arxiv.org/abs/2506.08872.

La sostanza è semplice: usare gli LLM atrofizza, in qualche modo, le capacità intellettuali ed è quindi opportuno attivare strategie per evitare questo effetto.

******************************************************

11- DORA e regole per i subfornitori (utili per tutti)

La Commissione Europea ha emesso, il 25 marzo, il Regolamento delegato (UE) 2025/532 con le "norme tecniche di regolamentazione che specificano gli elementi che l’entità finanziaria deve determinare e valutare quando subappalta servizi TIC": https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32025R0532.

Penso sia interessante per tutti. Ricordo che TIC (Tecnologie dell’informazione e della comunicazione) è la traduzione in italiano di ITC (o ancora più semplicemente IT).

Trovo soprattutto interessante come richiede di valutare la criticità della fornitura e del subappalto dei servizi IT. Gli elementi da considerare sono (sintetizzo):

il tipo di servizi IT offerti dal fornitore e dai suoi subappaltatori;
la sede del subappaltatore di TIC e dove sono trattati i dati;
la lunghezza e la complessità della catena di subappaltatori;
la natura dei dati condivisi con i subappaltatori;
se i subappaltatori sono soggetti a vigilanza o sorveglianza da parte di un’autorità competente in uno Stato membro o di uno Stato non membro;
se il servizio IT è concentrato su un numero ridotto o meno di subappaltatori;
se il subappalto incide sulla trasferibilità dei servizi a un altro fornitore di servizi;
il potenziale impatto di perturbazioni sulla continuità e sulla disponibilità dei servizi.

Viene quindi richiesto, all'organizzazione che usa i servizi, di valutare e monitorare le capacità del proprio fornitore di controllare la catena di approvvigionamento.

Mi sembra poi interessante la richiesta di valutare se il fornitore e i subfornitori permettono l’esercizio dei diritti di audit, ispezione e accesso da parte delle autorità competenti.

Ringrazio Franco Vincenzo Ferrari per avermi segnalato la pubblicazione di tale regolamento.

******************************************************

12- Servizi fiduciari: CEN TS 18170:2025 per i servizi di archiviazione

Franco Vincenzo Ferrari mi ha segnalato questo post su LinkedIn relativo alla CEN TS 18170:2025 “Functional requirements for the electronic archiving services”, ossia una delle norme che dovrà regolamentare i servizi di conservazione a livello europeo: https://www.linkedin.com/posts/danielalucia-calabrese-422a036b_eaqtsp-eidas2-sip-activity-7333160308481384448-UaVA.

Quindi la strada verso una conservazione a livello europeo è in corso. Quanto tempo ci si metterà non so né posso dire, visto che la REM è stata immaginata nel Regolamento eIDAS ormai nel 2014 e noi stiamo ancora usando tutti la PEC.

******************************************************

13- Gli uomini possono fare tutto (luglio 2025)

Voglio qui parlare della scuola media, dopo 3 anni vissuti come padre, perché gli uomini possono aiutare i ragazzi con i compiti, partecipare alle assemblee di classe e discutere con gli altri genitori anche sulle temutissime chat dei genitori.

Cercherò di evitare l’effetto Dunning – Kruger. Cercherò anche di collegare alcune riflessioni sui sistemi di gestione, di cui invece ho qualche competenza. Premetto anche che la mia esperienza è limitata ai miei figli (e uno non le ha ancora finite) e a confronti con altri genitori.

Uno. Il nozionismo è aumentato, nonostante già negli anni Ottanta era criticato (è anche aumentato il peso dei libri, anch’esso criticato all’epoca).

Due. I temi, e quindi l’esercizio di esprimere opinioni ed esercitare la creatività, non sono più necessari, anche se poi l’esame di terza ne prevede uno con 3 tracce (a mio figlio è stato assegnato un solo tema, neanche argomentativo, e ha avuto un libro da leggere all’anno, non di più).

Tre. I test Invalsi sono spesso scollegati dalle solite verifiche, soprattutto in Italiano (comprensione del testo, mentre nei 3 anni le verifiche erano state di grammatica e di storia della letteratura) e matematica (30 domande a cui rispondere in 75 minuti, mentre le verifiche nei 3 anni consistevano in alcune domande puntuali, un paio di problemi di geometria e un paio di espressioni o equazioni di algebra).

Quattro. La scarsa considerazione dei ragazzi con DSA. Infatti nei test Invalsi, gestiti dal Ministero, non valgono le misure compensative, tranne l’aggiunta di tempo e la lettura sintetica al computer.

Cinque. Ai ragazzi non sono insegnate le modalità per organizzarsi. Non è insegnato come si usa il diario, come si presentano le verifiche (ho visto usare fogli di ogni tipo e gran sorpresa per la professoressa che in terza voleva che scrivessero bene nome e cognome e data nell’intestazione), come si organizzano i quaderni e gli appunti.

Sei. Gli stessi insegnanti sono disorganizzati e lo si vede da come assegnano i compiti: a voce o alla lavagna di fretta a fine lezione, sul registro elettronico o su un sistema di condivisione file a qualsiasi orario anche nel fine settimana.

Sette. I ragazzi sono deresponsabilizzati rispetto agli anni Ottanta. Infatti adesso sul registro elettronico vengono scritti i compiti, i voti e le note, spesso senza neanche dirlo ai ragazzi. In passato erano i ragazzi a doverli comunicare (o nascondere) ai genitori, ora sono i genitori, e non gli insegnanti, a comunicarli al ragazzo.

Otto. Gli insegnanti non hanno ricevuto istruzione su come insegnare, né sulle caratteristiche dei ragazzi con DSA (disturbi specifici di apprendimento). Questo ha poi una conseguenza: se loro dimostrano di non essersi impegnati a capire le difficoltà di questi ragazzi, sono ritenuti ipocriti, e quindi ignorati, quando richiedono impegno.

Questo ha anche impatti sociali importanti. Infatti i più bravi, con famiglie che li seguono bene, vanno avanti, mentre i meno bravi (in particolare quelli con DSA e gli immigrati o i figli di immigrati che hanno difficoltà di lingua e di capacità di supporto) vengono anche umiliati. Il risultato è che iniziano ad allontanarsi dalla scuola e a frequentare “cattive compagnie”, con tutte le difficoltà che ne conseguono.

Una prima analisi delle cause è che alcune deviazioni si siano presentate piano piano senza però una vera riflessione sulle conseguenza finali. Per esempio: l’aumento del carico di lavoro, da “ingozzatoio”, come dice Daniela Lucangeli, è corretto? l’uso incontrollato degli strumenti informatici da parte dei professori che effetti positivi e negativi potrebbe avere? Le 6 ore di scuola al giorno per 5 giorni al posto di 5 ore in 5 giorni sono adeguate per i ragazzi (a parte i genitori e gli insegnanti)? Anche strumenti come le interrogazioni a sorpresa dovrebbero essere analizzati se veramente utili, anche perché all’università non ci sono. Insomma: manca una pianificazione.

A mio parere, una seconda analisi delle cause, riguarda l’aumento del nozionismo, che lo ha reso centrale rispetto a tutto il resto e riempie completamente il tempo disponibile, con una conseguente frenesia e disorganizzazione anche da parte degli insegnanti.

Però alla fine sappiamo che la causa profonda è il mancato impegno della Direzione. In questo caso il Ministero dell’istruzione. Infatti, più o meno nell’ordine:

non sono chiari gli obiettivi delle medie (ingozzatoio di nozioni o apprendimento di un’organizzazione?);
le poche indicazioni per le competenze reperibili sono incomprensibili (il Decreto del MIUR 254 del 2012 con titolo “Regolamento recante indicazioni nazionali per il curricolo della scuola dell'infanzia e del primo ciclo d'istruzione” non dice quasi nulla, ma in 74 pagine);
gli Invalsi costituiscono un’eccezione alle misure compensative per i ragazzi con DSA; se il Ministero non le ritiene valide, non si capisce perché debbano farlo i professori;
gli insegnanti sono selezionati sulle nozioni relative alle materie di insegnamento, non sulle modalità di insegnamento, sulla pedagogia, sulla psicologia, su come affrontare i ragazzi con difficoltà, eccetera;
non sono fornite indicazioni chiare e semplici da leggere agli insegnanti e alle famiglie (su questo bisogna riflettere che i professori della secondaria inferiore sono circa 155 mila ed è assurdo pensare che ciascuno possa inventarsi una professionalità senza un supporto, che non può neanche essere fornito dalle scuole, sempre più accorpate con la presenza di tanti ordini di studio);
c’è l’illusione che si possa seguire un approccio personalizzato per alunno e istituto e professore e materia, quando sappiamo che così non è né può essere, considerando i grandissimi numeri;
le poche indicazioni sono difficili da reperire (sul sito del MIM ho trovato solo le “Linee di indirizzo per favorire il diritto allo studio degli alunni adottati”, sotto la voce “URP”, ufficio relazioni con il pubblico, come se non riguardassero l’insegnamento), a differenza delle esternazioni sporadiche del ministro di turno;
sono chiesti ai professori sempre più adempimenti burocratici, che tolgono loro tempo ed energie all’insegnamento (lungi da me criticare ogni forma di burocrazia, ma un esempio emblematico è la “certificazione delle competenze”, documento scorretto teoricamente e inutile da un punto di vista pratico, ma fa carta).

******************************************************

EONL

Infosec and quality (Italian)

Discussione su questo Post