In questo articolo proseguiamo l’esame dei controlli di sicurezza linee guida ISO/IEC 27002:2022, Information security controls (UNI CEI EN ISO/IEC  27002:2023 – Controlli di sicurezza) trattando il Controllo 5.7 – Threat Intelligence (Intelligence sulle Minacce): “Sapere cosa ci minaccia è il primo passo per difenderci.”

Limitarsi a reagire alle minacce informatiche non è sufficiente: è fondamentale prevenirle prima che si verifichino. Raccogliere e analizzare informazioni sulle minacce consente alle organizzazioni di comprendere meglio quali contromisure adottare per proteggersi da rischi concreti e rilevanti.

Obiettivo del controllo è quello di Fornire consapevolezza dell’ambiente di minaccia in cui opera l’organizzazione, in modo da poter prevenire, rilevare e rispondere efficacemente agli attacchi informatici o ad altri eventi pericolosi.

Ma cos’è la threat intelligence?

È il processo di raccolta, analisi e utilizzo di informazioni sulle minacce informatiche esistenti o emergenti, per:

• Anticipare rischi.
• Prendere decisioni informate.
• Adattare difese e processi.

l monitoraggio delle minacce, noto come threat intelligence, è un’attività strategica che permette di raccogliere dati utili a prevenire, rilevare e contrastare attacchi informatici. Questo processo inizia con l’identificazione dei canali informativi da tenere sotto osservazione: newsletter specialistiche, riviste di settore, portali di sicurezza, media generalisti e, soprattutto, i centri di risposta agli incidenti informatici (come il CSIRT italiano). Anche eventi di cronaca possono offrire spunti utili per riconoscere minacce emergenti o precedentemente trascurate.

Una volta raccolte, le informazioni devono essere incrociate con l’inventario degli asset aziendali per determinare la rilevanza e la gravità della minaccia. È essenziale valutare se il sistema interessato è critico (ad esempio, un server di produzione) o esposto verso l’esterno (come un’applicazione accessibile da Internet).

Per sfruttare efficacemente la threat intelligence, l’organizzazione deve definire chiaramente ruoli, responsabilità e processi operativi: dalla valutazione del rischio alla configurazione dei sistemi di sicurezza (come firewall o sistemi di rilevamento delle intrusioni), fino alla pianificazione di test e simulazioni.

Le informazioni raccolte possono riguardare tecniche di attacco, strumenti utilizzati dagli attori malevoli (i cosiddetti agenti di minaccia) o nuove tendenze nel panorama delle minacce. Queste conoscenze devono provenire sia da fonti interne all’organizzazione, sia da fonti esterne come report di vendor, comunicazioni da parte di enti governativi o gruppi di esperti del settore (come indicato anche nel controllo 5.6 delle linee guida di sicurezza).

Si possono identificare 3 livelli di threat intelligence

Livello	Descrizione	Esempio
Strategico	Analisi ad alto livello delle tendenze e attori di minaccia.	Ransomware in aumento nei settori sanitari.
Tattico	Informazioni su tecniche e strumenti usati dagli attaccanti.	Phishing con allegati Excel con macro malevole.
Operativo	Dati su attacchi specifici, indicatori tecnici (IoC).	IP sospetti, hash di file malevoli, URL pericolosi.

---

Caratteristiche delle informazioni di threat intelligence

Le informazioni devono essere:

• Rilevanti – legate ai rischi specifici dell’organizzazione.
• Accurate – basate su dati affidabili e aggiornati.
• Contestualizzate – inquadrate nel contesto dell’organizzazione.
• Azionabili – utili per prendere decisioni rapide e mirate.

Fasi del processo di threat intelligence

1. Definizione degli obiettivi
2. Selezione delle fonti (interne ed esterne)
3. Raccolta dati (es. feed, report, log, CSIRT)
4. Elaborazione (normalizzazione, verifica, traduzione)
5. Analisi (correlazione e interpretazione)
6. Comunicazione (condivisione interna in formato comprensibile)

Come si usa la threat intelligence

• Integrare nei processi di gestione del rischio
• Migliorare i controlli tecnici (es. firewall, IDS/IPS, antivirus)
• Supportare test di sicurezza (vulnerability assessment, penetration test)

Collaborazione esterna

Le organizzazioni dovrebbero scambiare informazioni con:

• CERT/CSIRT nazionali
• Altri enti pubblici e privati
• Gruppi di settore o fornitori specializzati

La collaborazione rafforza l’intera comunità.

Conclusioni

L’intelligence sulle minacce non è solo un elenco di IP malevoli: è una fonte strategica di conoscenza che, se ben utilizzata, fa la differenza tra subire un attacco e prevenirlo.

Iniziamo con questo articolo una disamina dei controlli delle linee guida ISO/IEC 27002:2022, Information security controls (UNI CEI EN ISO/IEC  27002:2023 – Controlli di sicurezza) trattando il controllo 5.3: Separazione dei compiti (I compiti e le aree di responsabilità in conflitto devono essere separati.).

Cos’è la separazione o segregazione dei compiti?

La segregazione dei compiti (o separation of duties) è una misura di sicurezza che prevede di assegnare compiti e responsabilità in conflitto a persone diverse.
L’obiettivo principale è evitare che una sola persona possa compromettere la sicurezza delle informazioni attraverso errori, frodi o comportamenti malevoli non rilevati.

Perché è importante?

Separare i compiti riduce il rischio che:

• Una persona agisca senza controllo (ad esempio, approvando e implementando da sola una modifica critica).
• Errori o azioni fraudolente passino inosservate.
• I controlli di sicurezza possano essere aggirati.

In sintesi: nessuno deve essere nella posizione di poter “fare tutto” senza supervisione.

Esempi pratici di attività da separare

Alcune situazioni tipiche in cui serve la segregazione sono:

• Modifiche ai sistemi: chi propone un cambiamento, chi lo approva e chi lo esegue devono essere persone diverse.
• Gestione degli accessi: chi richiede un accesso, chi lo approva e chi lo concede dovrebbero essere separati.
• Sviluppo software: chi sviluppa il codice non dovrebbe essere la stessa persona che lo approva o che lo implementa in produzione.
• Amministrazione dei sistemi: chi usa un’applicazione non dovrebbe anche amministrarla.
• Controlli di sicurezza: chi progetta i controlli non dovrebbe essere chi li verifica.

Cosa fare se la separazione è difficile (es. nelle piccole organizzazioni)?

Non sempre è possibile separare completamente i compiti, soprattutto in organizzazioni più piccole. In questi casi, si possono adottare controlli alternativi, come:

• Supervisione da parte di un responsabile.
• Monitoraggio continuo delle attività.
• Analisi dei log e delle sequenze di controllo.

L’importante è dimostrare di avere comunque un sistema di controllo che limiti i rischi.

Ruoli e accessi: attenzione ai conflitti!

Quando si gestiscono i permessi tramite ruoli (ad esempio, in sistemi di accesso basati su RBAC – Role Based Access Control), è fondamentale:

• Verificare che i ruoli assegnati non siano in conflitto (es: non assegnare a una persona sia il ruolo di sviluppatore che quello di revisore del codice).
• Utilizzare strumenti automatizzati per individuare e gestire eventuali conflitti.
• Definire bene i ruoli sin dall’inizio per semplificare la gestione in caso di cambiamenti.

In breve

Punto chiave	Significato
Separare compiti in conflitto	Nessuno deve poter operare da solo senza controllo
Scopo	Ridurre frodi, errori e vulnerabilità
Esempi	Modifiche ai sistemi, gestione accessi, sviluppo software
Soluzioni alternative	Supervisione, monitoraggio, analisi log

---

Esempi di attività da separare

• Modifica dei sistemi: richiesta ≠ approvazione ≠ esecuzione
• Gestione degli accessi: richiesta ≠ approvazione ≠ implementazione
• Sviluppo software: sviluppo ≠ revisione ≠ messa in produzione
• Amministrazione: uso ≠ gestione delle applicazioni/database

Se non è possibile separare?

🔹 Supervisione diretta
🔹 Monitoraggio delle attività
🔹 Analisi dei log

---

Questo controllo è presente in altri framework di sicurezza delle informazioni come il COBIT.

La pubblicazione dei recenti documenti da parte di ACN (Agenzia per la Cybersicurezza nazionale)  relativamente all’applicazione della Direttiva NIS 2 per i soggetti Importanti ed essenziali (si veda https://www.acn.gov.it/portale/nis/modalita-specifiche-base) ha definito in modo piùchiaro le azioni da intraprendere per le imprese che sono state ritenute soggetti NIS 2.

In questo primo articolo vedremo quali sono gli adempimenti per i soggetti Importanti (la categoria con minori requisiti da applicare, ma sicuramente più vasta).

La DETERMINA ACN DEL 15/04/2025 (“Determinazione del Direttore Generale dell’Agenzia per la cybersicurezza nazionale di cui all’articolo 31, commi 1 e 2, del decreto legislativo 4 settembre 2024, n. 138, adottata secondo le modalità di cui all’articolo 40, comma 5, lettera l), che, ai sensi dell’articolo 42, comma 1, lettera c), in fase di prima applicazione, stabilisce le modalità e le specifiche di base per l’adempimento agli obblighi di cui agli articoli 23, 24, 25, 29 e 32 del decreto medesimo.”), con i suoi allegati, definisce in modo abbastanza completo le misure di sicurezza da adottare.

Ma vediamo in dettaglio le misure di sicurezza per i soggetti importanti.

1. Governance

Contesto Organizzativo: L’impresa (soggetto NIS) deve assicurarsi di comprendere a pieno il proprio contesto operativo, includendo la sua missione, le aspettative delle parti interessate, le dipendenze e tutti i requisiti legali, normativi e contrattuali che possono influenzare la gestione del rischio di cybersecurity.

L’impresa deve comprendere e comunicare chiaramente gli obiettivi, le capacità e i servizi critici da cui dipendono le parti interessate o che si aspettano dall’organizzazione.

L’impresa deve mantenere aggiornato un inventario di tutti i sistemi informativi e di rete rilevanti.

Strategia di Gestione del Rischio: L’impresa deve definire, comunicare e utilizzare le proprie priorità, i vincoli, la tolleranza e la propensione al rischio, nonché le assunzioni, per guidare le decisioni relative alla gestione del rischio operativo.

Le attività e i risultati della gestione del rischio di cybersecurity devono essere integrati nei processi di gestione del rischio complessivi dell’impresa.

L’impresa deve definire, attuare, aggiornare e documentare un piano di gestione dei rischi per la sicurezza informatica che includa l’identificazione, l’analisi, la valutazione, il trattamento e il monitoraggio dei rischi, nel rispetto delle politiche di sicurezza.

Ruoli, Responsabilità e Poteri: L’impresa deve stabilire e comunicare chiaramente i ruoli, le responsabilità e i poteri relativi alla cybersecurity, al fine di promuovere la responsabilizzazione, la valutazione delle prestazioni e il miglioramento continuo.

I ruoli, le responsabilità e i poteri relativi alla gestione del rischio di cybersecurity devono essere definiti, comunicati, compresi e applicati.

L’impresa deve definire e approvare una struttura organizzativa interna dedicata alla sicurezza informatica, specificando chiaramente ruoli e responsabilità, e renderla nota alle parti interessate.

L’impresa deve mantenere un elenco aggiornato del personale con ruoli e responsabilità specifiche in materia di sicurezza informatica e renderlo noto alle parti interessate.

L’organizzazione per la sicurezza informatica deve includere un punto di contatto e almeno un suo sostituto, come richiesto dalle normative vigenti.

L’impresa deve riesaminare e, se necessario, aggiornare periodicamente (almeno ogni due anni, o in caso di incidenti significativi, variazioni organizzative o cambiamenti nell’esposizione ai rischi) i ruoli e le responsabilità.

La cybersecurity deve essere integrata nelle pratiche di gestione delle risorse umane.

L’impresa deve assicurarsi che il personale autorizzato ad accedere ai sistemi informativi e di rete rilevanti sia selezionato previa valutazione di esperienza, capacità e affidabilità, e che fornisca garanzie di rispetto delle normative sulla sicurezza informatica.

Gli amministratori di sistema devono essere selezionati con gli stessi criteri di cui sopra.

L’impresa deve adottare e documentare le procedure relative a quanto sopra.

Politica di Cybersecurity: L’impresa deve stabilire, comunicare e applicare una politica di cybersecurity.

La politica per la gestione del rischio di cybersecurity deve essere definita in base al contesto organizzativo, alla strategia di cybersecurity e alle priorità, e deve essere comunicata e applicata.

L’impresa deve adottare e documentare politiche di sicurezza informatica per almeno i seguenti ambiti:

• Gestione del rischio
• Ruoli e responsabilità
• Affidabilità delle risorse umane
• Conformità e audit di sicurezza
• Gestione dei rischi per la sicurezza informatica della catena di approvvigionamento
• Gestione degli asset
• Gestione delle vulnerabilità
• Continuità operativa, ripristino in caso di disastro e gestione delle crisi
• Gestione dell’autenticazione, delle identità digitali e del controllo degli accessi
• Sicurezza fisica
• Formazione del personale e consapevolezza
• Sicurezza dei dati
• Sviluppo, configurazione, manutenzione e dismissione dei sistemi informativi e di rete
• Protezione delle reti e delle comunicazioni
• Monitoraggio degli eventi di sicurezza
• Risposta agli incidenti e ripristino

Le politiche devono includere almeno i requisiti specificati nella tabella 1 riportata in appendice dell’allegato 1 della Determina ACN del 15/04/2025..

Le politiche devono essere approvate dagli organi di amministrazione e direttivi.

La politica per la gestione del rischio di cybersecurity deve essere rivista, aggiornata, comunicata e applicata per riflettere eventuali cambiamenti nei requisiti, nelle minacce, nella tecnologia e nella missione dell’organizzazione.

Le politiche devono essere riesaminate e, se necessario, aggiornate periodicamente (almeno annualmente, o in caso di evoluzioni normative, incidenti significativi, variazioni organizzative o cambiamenti nell’esposizione ai rischi).

Durante il riesame, deve essere verificata la conformità delle politiche alla normativa vigente in materia di sicurezza informatica.

Gestione del Rischio di Cybersecurity della Catena di Approvvigionamento: L’impresa deve identificare, stabilire, gestire, monitorare e migliorare i processi di gestione del rischio di cybersecurity relativi alla catena di approvvigionamento, coinvolgendo le parti interessate.

L’impresa deve definire e ottenere l’approvazione delle parti interessate per il programma, la strategia, gli obiettivi, le politiche e i processi di gestione del rischio di cybersecurity della catena di approvvigionamento.

In caso di affidamento di forniture con potenziali impatti sulla sicurezza dei sistemi informativi e di rete, l’impresa deve:

• Coinvolgere l’organizzazione per la sicurezza informatica nella definizione ed esecuzione dei processi di approvvigionamento, a partire dalla fase di identificazione e progettazione della fornitura.
• Definire requisiti di sicurezza sulla fornitura coerenti con le proprie misure di sicurezza, in accordo con la valutazione del rischio associato alla fornitura.

L’impresa deve definire, comunicare e coordinare internamente ed esternamente i ruoli e le responsabilità in materia di cybersecurity per fornitori, clienti e partner.

L’impresa deve definire e comunicare alle parti interessate i ruoli e le responsabilità del personale delle terze parti in materia di sicurezza informatica.

Il personale delle terze parti con ruoli e responsabilità specifiche deve essere incluso nell’elenco del personale dell’organizzazione per la sicurezza informatica.

L’impresa deve identificare e classificare i fornitori in base alla loro criticità.

L’impresa deve mantenere un inventario aggiornato dei fornitori che possono avere un impatto sulla sicurezza dei sistemi informativi e di rete, includendo almeno:

• Gli estremi di contatto del referente della fornitura;
• La tipologia di fornitura.

L’impresa deve definire, classificare e integrare i requisiti per la gestione dei rischi di cybersecurity nella catena di approvvigionamento nei contratti e negli accordi con fornitori e altre terze parti.

Salvo ragioni normative o tecniche motivate e documentate, i requisiti di sicurezza devono essere inclusi nelle richieste di offerta, nei bandi di gara, nei contratti e negli accordi relativi alle forniture con potenziali impatti sulla sicurezza dei sistemi informativi e di rete.

L’impresa deve comprendere, registrare, classificare, valutare, trattare e monitorare i rischi posti da fornitori, prodotti, servizi e altre terze parti durante tutto il corso della relazione.

La valutazione del rischio deve includere la valutazione e la documentazione dei rischi associati alle forniture, considerando almeno:

• Il livello di accesso del fornitore ai sistemi informativi e di rete.
• L’accesso del fornitore alla proprietà intellettuale e ai dati, in base alla loro criticità.
• L’impatto di una grave interruzione della fornitura.
• I tempi e i costi di ripristino in caso di indisponibilità dei servizi.
• I ruoli e le responsabilità del fornitore nel governo dei sistemi informativi e di rete.

L’impresa deve verificare periodicamente e documentare la conformità delle forniture ai requisiti di sicurezza stabiliti.

2. Identificazione

Gestione degli Asset: L’impresa deve identificare e gestire tutti gli asset (dati, hardware, software, sistemi, infrastrutture, servizi, persone) che consentono all’organizzazione di raggiungere i propri obiettivi di business, in coerenza con la loro importanza rispetto agli obiettivi organizzativi e alla strategia sul rischio dell’organizzazione.

L’impresa deve mantenere inventari aggiornati di:

• Hardware (inclusi dispositivi IT, IoT, OT e mobili) approvato internamente.
• Software, servizi e sistemi (incluse applicazioni commerciali, open-source e custom, anche accessibili tramite API) approvati internamente.
• Servizi erogati da fornitori (inclusi servizi cloud).

Valutazione del Rischio: L’impresa deve comprendere i rischi di cybersecurity a cui sono esposti l’organizzazione, gli asset e le persone.

Le vulnerabilità degli asset devono essere identificate, confermate e registrate.

Le informazioni sulle vulnerabilità devono essere utilizzate per identificare eventuali vulnerabilità nei sistemi informativi e di rete.

L’impresa deve utilizzare minacce, vulnerabilità, probabilità e impatti per comprendere il rischio e definire le priorità nella risposta al rischio.

In accordo con il piano di gestione dei rischi per la sicurezza informatica, l’impresa deve eseguire e documentare una valutazione del rischio per la sicurezza dei sistemi informativi e di rete, considerando anche le dipendenze da fornitori e partner terzi.

La valutazione del rischio deve includere almeno:

• L’identificazione del rischio.
• L’analisi del rischio.
• La ponderazione del rischio.

La valutazione del rischio deve essere eseguita a intervalli pianificati (almeno ogni due anni) e in caso di incidenti significativi, variazioni organizzative o cambiamenti nell’esposizione ai rischi.

La valutazione del rischio deve essere approvata dagli organi di amministrazione e direttivi.

Le risposte al rischio devono essere selezionate, classificate per priorità, pianificate, monitorate e comunicate.

L’impresa deve definire, documentare, eseguire e monitorare un piano di trattamento del rischio che includa almeno:

• Le opzioni di trattamento e le misure da attuare in merito al trattamento di ciascun rischio individuato e le relative priorità;
• Le articolazioni competenti per l’attuazione delle misure di trattamento dei rischi e le tempistiche per tale attuazione;
• La descrizione e le ragioni che giustificano l’accettazione di eventuali rischi residui al trattamento.

Se non è possibile attuare i requisiti specificati nell’allegato 1 per ragioni normative o tecniche, l’impresa deve adottare misure di mitigazione compensative e includerle nel piano di trattamento del rischio, insieme alla descrizione dell’eventuale rischio residuo.

Il piano di trattamento del rischio, inclusa l’accettazione di eventuali rischi residui, deve essere approvato dagli organi di amministrazione e direttivi.

L’impresa deve stabilire processi per la ricezione, l’analisi e la risposta alle segnalazioni di vulnerabilità.

Devono essere monitorati almeno i canali di comunicazione del CSIRT Italia, nonché di eventuali CERT e Information Sharing & Analysis Centre (ISAC) settoriali, al fine di acquisire, analizzare e rispondere alle informazioni sulle vulnerabilità.

Le vulnerabilità, incluse quelle identificate, devono essere prontamente risolte attraverso aggiornamenti di sicurezza o misure di mitigazione, ove disponibili, ovvero accettando e documentando il rischio in accordo al piano di trattamento del rischio informatico.

L’impresa deve definire, attuare, aggiornare e documentare un piano di gestione delle vulnerabilità che comprende almeno:

• Le modalità per l’identificazione delle vulnerabilità e la relativa pianificazione delle attività;
• Le modalità per monitorare, ricevere, analizzare e rispondere alle informazioni sulle vulnerabilità;
• Le procedure, i ruoli, le responsabilità per lo svolgimento delle attività.

Il piano deve essere approvato dagli organi di amministrazione e direttivi.

Miglioramento: L’impresa deve identificare i miglioramenti necessari ai processi, alle procedure e alle attività di gestione del rischio di cybersecurity.

Devono essere identificati miglioramenti in esito alle valutazioni.

In accordo con gli esiti del riesame, l’impresa deve definire, attuare, documentare e approvare un piano di adeguamento che identifichi gli interventi necessari ad assicurare l’attuazione delle politiche di sicurezza.

Gli organi di amministrazione e direttivi devono essere informati mediante apposite relazioni periodiche sugli esiti dei piani.

I piani di risposta agli incidenti e gli altri piani di cybersecurity che impattano le operazioni devono essere stabiliti, comunicati, mantenuti e migliorati.

Per almeno i sistemi informativi e di rete rilevanti deve essere definito, attuato, aggiornato e documentato un piano di continuità operativa, che comprende almeno: le finalità e l’ambito di applicazione; i ruoli e le responsabilità; i contatti principali e i canali di comunicazione (interni ed esterni); le condizioni per l’attivazione e la disattivazione del piano; le risorse necessarie, inclusi i backup e le ridondanze.

Per almeno i sistemi informativi e di rete rilevanti deve essere definito, attuato, aggiornato e documentato un piano di ripristino (disaster recovery) in caso di disastro, che comprende almeno: le finalità e l’ambito di applicazione; i ruoli e le responsabilità; i contatti principali e i canali di comunicazione (interni ed esterni); le condizioni per l’attivazione e la disattivazione del piano; le risorse necessarie, inclusi i backup e le ridondanze; l’ordine di ripristino delle operazioni; le procedure di ripristino per operazioni specifiche, compresi gli obiettivi di ripristino.

Per almeno i sistemi informativi e di rete rilevanti deve essere definito, attuato, aggiornato e documentato un piano per la gestione delle crisi che comprende almeno: i ruoli e responsabilità del personale e, se opportuno, dei fornitori, specificando l’assegnazione dei ruoli in situazioni di crisi, comprese le procedure specifiche da seguire; le modalità di comunicazione tra i soggetti e le autorità competenti.

I piani devono essere approvati dagli organi di amministrazione e direttivi.

I piani devono essere riesaminati e, se opportuno, aggiornati periodicamente e comunque almeno ogni due anni, nonché qualora si verifichino incidenti significativi o cambiamenti dell’esposizione alle minacce e ai relativi rischi.

3. Protezione

Gestione delle identità, autenticazione e controllo degli accessi: L’accesso agli asset fisici e logici è limitato agli utenti, ai servizi e all’hardware autorizzati, e gestito in modo appropriato alla valutazione del rischio di accesso non autorizzato.

L’impresa deve gestire le identità e le credenziali degli utenti, dei servizi e dell’hardware autorizzati.

Tutte le utenze, incluse quelle con privilegi amministrativi e quelle per l’accesso remoto, devono essere censite, approvate e, salvo eccezioni tecniche motivate, individuali per gli utenti.

Le credenziali devono essere robuste e aggiornate in base alla valutazione del rischio.

Le utenze e le relative autorizzazioni devono essere verificate periodicamente, con aggiornamenti/revoche in caso di variazioni (es. trasferimento/cessazione del personale).

L’impresa deve adottare e documentare le procedure relative a quanto sopra.

L’impresa deve autenticare utenti, servizi e hardware.

Le modalità di autenticazione devono essere adeguate al rischio, considerando almeno i rischi connessi ai privilegi delle utenze, alla criticità dei sistemi e alla tipologia di operazioni consentite.

Per i sistemi rilevanti, e in accordo alla valutazione del rischio, devono essere impiegate modalità di autenticazione multi fattore (MFA).

L’impresa deve adottare e documentare le procedure relative a quanto sopra.

L’impresa deve definire, gestire, applicare e rivedere i permessi, i diritti e le autorizzazioni di accesso, incorporando i principi del minimo privilegio e della separazione dei compiti.

I permessi devono essere assegnati in base al principio del minimo privilegio e della separazione delle funzioni.

Deve essere assicurata la completa distinzione tra utenze con e senza privilegi amministrativi, con credenziali diverse.

L’impresa deve adottare e documentare le procedure relative a quanto sopra.

L’impresa deve gestire, monitorare e proteggere l’accesso fisico agli asset in misura appropriata al rischio.

Per i sistemi rilevanti, l’accesso fisico deve essere protetto.

L’impresa deve adottare e documentare le procedure relative a quanto sopra.

Consapevolezza e formazione: L’impresa deve assicurare che il personale sia sensibilizzato e formato sulla cybersecurity per svolgere i propri compiti.

L’impresa deve definire, attuare, aggiornare e documentare un piano di formazione in materia di sicurezza informatica per il personale, inclusi gli organi di amministrazione e direttivi. Il piano deve includere:

• La pianificazione delle attività di formazione con i contenuti della formazione;
• Le modalità di verifica dell’apprendimento.

Il piano di formazione deve essere approvato dagli organi di amministrazione e direttivi.

L’impresa deve mantenere un registro aggiornato del personale che ha ricevuto la formazione, i contenuti e le verifiche svolte.

Sicurezza dei dati: L’impresa deve gestire i dati in modo coerente con la strategia sul rischio per proteggerne riservatezza, integrità e disponibilità.

L’impresa deve proteggere la riservatezza, l’integrità e la disponibilità dei dati a riposo.

Per i sistemi rilevanti, e in accordo alla valutazione del rischio, i dati su dispositivi portatili e supporti rimovibili devono essere cifrati, salvo motivate eccezioni tecniche o normative.

Salvo eccezioni normative o tecniche documentate, deve essere disabilitata l’esecuzione automatica dei supporti rimovibili e deve essere effettuata la scansione per rilevare codice malevolo prima dell’utilizzo.

L’impresa deve adottare e documentare le procedure relative a quanto sopra.

L’impresa deve proteggere la riservatezza, l’integrità e la disponibilità dei dati in transito.

Per i sistemi rilevanti, incluse le comunicazioni vocali, video e testuali, devono essere utilizzati protocolli e algoritmi di cifratura sicuri per la trasmissione dei dati da e verso l’esterno, salvo motivate eccezioni tecniche o normative.

L’impresa deve adottare e documentare le procedure relative a quanto sopra.

L’impresa deve creare, proteggere, mantenere e verificare i backup dei dati.

In accordo con le esigenze di continuità operativa e ripristino in caso di disastro, devono essere effettuati periodicamente i backup dei dati e delle configurazioni e, per i sistemi rilevanti, devono essere conservate copie di backup offline.

L’impresa deve adottare e documentare le procedure relative a quanto sopra.

Sicurezza delle piattaforme e delle applicazioni: L’impresa deve gestire hardware, software (es. firmware, sistemi operativi, applicazioni) e servizi delle piattaforme fisiche e virtuali per proteggerne riservatezza, integrità e disponibilità.

L’impresa deve mantenere, sostituire e rimuovere il software in base al rischio.

Salvo eccezioni tecniche o normative, deve essere installato solo software per il quale è garantita la disponibilità di aggiornamenti di sicurezza.

Salvo eccezioni tecniche o normative, devono essere installati senza ritardo gli ultimi aggiornamenti di sicurezza rilasciati dal produttore, in coerenza con il piano di gestione delle vulnerabilità.

L’impresa deve adottare e documentare le procedure relative a quanto sopra.

L’impresa deve generare e rendere disponibili i registri di log per il monitoraggio continuo.

Tutti gli accessi da remoto e quelli con utenze con privilegi amministrativi devono essere registrati.

Per i sistemi rilevanti, devono essere conservati in modo sicuro, e possibilmente centralizzato, i log necessari per il monitoraggio degli eventi di sicurezza, inclusi quelli relativi agli accessi.

Le tempistiche di conservazione dei log devono essere definite e documentate in base alla valutazione del rischio.

L’impresa deve adottare e documentare le procedure relative a quanto sopra.

L’impresa deve integrare pratiche di sviluppo sicuro del software e monitorarne le prestazioni durante l’intero ciclo di vita del software.

Devono essere adottate e documentate procedure di sviluppo sicuro del codice nello sviluppo del software.

Resilienza dell’infrastruttura tecnologica: L’impresa deve gestire le architetture di sicurezza in accordo con la strategia sul rischio per proteggere la riservatezza, l’integrità e la disponibilità degli asset e la resilienza organizzativa.

L’impresa deve proteggere reti e ambienti dall’accesso logico e dall’uso non autorizzati.

Per i sistemi rilevanti, devono essere definite e documentate le attività consentite da remoto e implementate adeguate misure di sicurezza per l’accesso.

Deve essere mantenuto un elenco aggiornato dei sistemi accessibili da remoto con le relative modalità di accesso.

Devono essere presenti, aggiornati, mantenuti e configurati i sistemi perimetrali, come i firewall.

L’impresa deve adottare e documentare le procedure relative a quanto sopra.

4. Rilevamento

Monitoraggio continuo: L’impresa deve monitorare gli asset per individuare anomalie, indicatori di compromissione e altri eventi potenzialmente avversi.

L’impresa deve monitorare reti e servizi di rete per individuare eventi potenzialmente avversi.

Per i sistemi rilevanti, devono essere presenti, aggiornati, mantenuti e configurati strumenti tecnici adeguati per rilevare tempestivamente gli incidenti significativi.

Devono essere definiti e documentati i livelli di servizio attesi (SL) dei servizi e delle attività, anche al fine di rilevare tempestivamente gli incidenti significativi.

L’impresa deve adottare e documentare le procedure relative a quanto sopra.

L’impresa deve monitorare hardware e software di elaborazione, ambienti di runtime e i loro dati per individuare eventi potenzialmente avversi.

Salvo eccezioni normative o tecniche, devono essere presenti, aggiornati, mantenuti e configurati sistemi di protezione delle postazioni terminali e dei dispositivi in uso agli utenti (endpoint) per il rilevamento del codice malevolo (anti-malware).

L’impresa deve adottare e documentare le procedure relative a quanto sopra.

5. Risposta

Gestione degli incidenti: L’impresa deve gestire le risposte agli incidenti di cybersecurity rilevati.

L’impresa deve eseguire il piano di risposta agli incidenti in coordinamento con le terze parti interessate una volta dichiarato un incidente.

Deve essere definito, attuato, aggiornato e documentato un piano per la gestione degli incidenti di sicurezza informatica e la notifica al CSIRT Italia, che includa almeno:

• Le fasi e le procedure di gestione e notifica degli incidenti con i relativi ruoli e responsabilità;
• Le procedure per la predisposizione e la trasmissione delle relazioni previste dal decreto NIS;
• Le informazioni di contatto per la segnalazione degli incidenti;
• Le modalità di comunicazione interna ed esterna, incluso il coinvolgimento degli organi di amministrazione e direttivi;
• La reportistica per la documentazione dell’incidente.

Il piano deve essere approvato dagli organi di amministrazione e direttivi.

Il piano deve essere riesaminato e, se necessario, aggiornato periodicamente e in caso di incidenti significativi o mutamenti dell’esposizione ai rischi.

Segnalazione e comunicazione della risposta agli incidenti: L’impresa deve coordinare le attività di risposta con gli stakeholder interni ed esterni come richiesto da leggi, regolamenti o politiche.

L’impresa deve informare gli stakeholder interni ed esterni degli incidenti.

In accordo con il piano per la gestione degli incidenti, devono essere documentate e adottate procedure per comunicare senza ingiustificato ritardo, se opportuno e qualora possibile, sentito il CSIRT Italia, ovvero qualora intimato dall’Agenzia per la cybersicurezza nazionale:

• Ai destinatari dei servizi, gli incidenti significativi che possono ripercuotersi negativamente sulla fornitura di tali servizi;
• Ai destinatari dei servizi potenzialmente interessati da una minaccia informatica significativa, le misure o azioni correttive o di mitigazione che possono adottare e la natura della minaccia.

Devono essere documentate e adottate procedure per informare il pubblico sugli incidenti, qualora intimato dall’Agenzia per la cybersicurezza nazionale.

6. Ripristino

Esecuzione del piano di ripristino dagli incidenti: L’impresa deve eseguire le attività di ripristino per garantire la disponibilità operativa dei sistemi e dei servizi interessati da incidenti di cybersecurity.

L’impresa deve eseguire la parte del piano di risposta agli incidenti relativa al ripristino una volta avviata dal processo di risposta agli incidenti.

Nell’ambito del piano per la gestione degli incidenti, devono essere adottate e documentate procedure per il ripristino del normale funzionamento dei sistemi informativi e di rete coinvolti da incidenti di sicurezza informatica.

Documenti richiesti ai soggetti NIS 2 classificati come Importanti

IL documento nell’Allegato 1 della determina appena esaminato specifica numerose misure di sicurezza per le quali è richiesta l’adozione di procedure documentate. Oltre alle policy espressamente richieste al punto 1 Governo (Pllitiche di Cybersecurity), ecco un elenco strutturato delle principali aree in cui è espressamente richiesta documentazione formale:

1. Gestione del rischio

• Piano documentato di gestione del rischio.
• Documentazione della valutazione del rischio.
• Piano di trattamento del rischio documentato.

2. Affidabilità delle risorse umane

• Procedure documentate per la formazione del personale autorizzato ad accedere ai sistemi informativi rilevanti e per la selezione e gestione degli amministratori di sistema.

3. Conformità e audit

• Politiche formalizzate per ambiti specifici (gestione rischio, asset, accessi, ecc.).
• Piano di adeguamento documentato e approvato.

4. Catena di approvvigionamento

• Valutazione dei fornitori, inserimento nei contratti di requisiti di sicurezza e monitoraggio documentato.

5. Gestione asset e vulnerabilità

• Inventari documentati di hardware, software e servizi.
• Piano di gestione delle vulnerabilità documentato e procedure documentate per l’individuazione e la gestione delle vulnerabilità con relative responsabilità.

6. Continuità operativa e gestione crisi

• Piani documentati per continuità operativa, ripristino disastri e gestione crisi, con ruoli, risorse, canali e condizioni di attivazione.

7. Controllo accessi e autenticazione

• Procedure documentate per gestione utenze, autorizzazioni, autenticazione e principio del minimo privilegio.
• Procedure documentate per accesso remoto.

8. Sicurezza fisica

• Procedure documentate per protezione accessi fisici ai sistemi critici.

9. Formazione e consapevolezza

• Piano formativo documentato e approvato, registro aggiornato della formazione.

10. Sicurezza dei dati

• Procedure per cifratura dei dati a riposo e in transito.
• Procedure per backup e protezione dati di backup.

11. Sicurezza delle piattaforme

• Documentazione sulla gestione degli applicativi software e aggiornamenti.
• Gestione e conservazione dei log, con tempistiche documentate.
• Procedure di sviluppo sicuro documentate.

12. Monitoraggio

• Procedure documentate per rilevamento incidenti e protezione endpoint.

13. Risposta agli incidenti

• Piano documentato per gestione e notifica incidenti.
• Procedure per comunicazione interna ed esterna degli incidenti.

14. Ripristino

• Procedure documentate per ripristino post-incidente.

In questo periodo si è molto parlato delle cosiddette “terre rare” (che poi proprio rare non sono…) come merce di scambio fra Stati Uniti e Ucraina. L’importanza delle terre rare è causata dalla forte necessità di “batterie” per accumulare energia (dispositivi mobili, auto elettriche, impianti fotovoltaici…), spinta dall’evoluzione tecnologica e dal “green deal” della Comunità Europea. Ma il forte orientamento su fonti di energia elettrica è realmente sostenibile? C’è qualcuno che ci guadagna (e qualcun altro che ci rimette)?

In questo articolo fornito da alcuni giovani studiosi, sebbene datato, si sono stati analizzatidiversi aspetti sull’argomento.

Introduzione

Nel cuore dell’era digitale e delle tecnologie avanzate che permeano ogni aspetto della nostra vita, esiste un gruppo di elementi che rappresentano la chiave segreta dietro a molte delle innovazioni che stiamo vivendo: le terre rare. Questi minerali, spesso sottovalutati e poco conosciuti, occupano una posizione di crescente rilevanza nell’economia mondiale, grazie alle loro proprietà uniche e alla loro importanza in molteplici settori chiave.

Nell’era moderna, l’avanzamento tecnologico è diventato un elemento fondamentale per lo sviluppo economico e sociale di molte nazioni, di conseguenza il controllo delle terre rare è un vero a proprio asso nella manica estremamente ambito dalle grandi potenze economiche.

In questo articolo esploreremo l’importanza delle terre rare per l’era tecnologica in cui viviamo, le sfide associate alla loro estrazione e raffinazione, nonché le possibili soluzioni che stanno emergendo. Inoltre analizzeremo l’importanza geopolitica delle terre rare, analizzando le implicazioni per la sicurezza energetica globale, le dinamiche di potere tra le nazioni e le possibili soluzioni a questa sfida complessa. Vedremo come la competizione per il controllo delle terre rare stia influenzando le relazioni internazionali e come le nazioni stiano cercando di adattarsi a questa nuova realtà.

Cosa sono le terre rare?

Le terre rare sono un gruppo di 17 elementi chimici della tavola periodica. Nel dettaglio sono i lantanidi, cioè una serie di 15 elementi con numero atomico tra 57 e 71 (Lantanio, Cerio, Praseodimio, Neodimio, Promezio, Samario, Europio, Gadolinio, Terbio, Disprosio, Olmio, Erbio, Tulio, Itterbio e Lutezio), scandio e ittrio.

Tutte le terre rare hanno proprietà chimiche simili, poiché presentano delle differenze a livello della struttura elettronica solo negli orbitali 4f, che sono interni, di conseguenza il guscio più esterno, che determina le proprietà chimiche, è il medesimo.

Ma quali sono queste proprietà chimiche?

La principale caratteristica delle terre rare è la capacità di mantenere stabili le proprietà magnetiche (soprattutto) e conduttive anche ad elevate temperature.

Le terre rare sono “rare”?

Contrariamente a quanto si potrebbe pensare le terre rare non sono rare. Se si considera la quantità presente sulla terra, infatti, secondo l’U.S.G.S. (United States Geological Survey) l’attuale presenza di terre rare (120 milioni di tonnellate circa) sarebbe sufficiente a soddisfare le richieste per altri 3 o 4 secoli. L’aggettivo in questione è stato usato la prima volta quando alcuni di questi elementi furono isolati in Svezia e da allora ha caratterizzato questo gruppo di elementi chimici.

Nonostante l’abbondante presenza di terre rare nella crosta terrestre, non esistono dei giacimenti di terre rare, infatti le terre rare sono presenti in molti luoghi, ma sempre in basse percentuali e, spesso, legate ad altri elementi. Questo problema, da un punto di vista economico, è molto impattante, infatti lo sforzo richiesto per estrarre le terre rare spesso non viene ripagato dalla quantità di terre rare estratte, proprio per la scarsa concentrazione.

A cosa servono le terre rare?

L’importanza delle terre rare è così grande da essere impattante per l’economia mondiale.

La proprietà principale delle terre rare è la capacità di esercitare magnetismo anche ad alte temperature, per questo motivo sono indispensabili nei prodotti tecnologici di ultima generazione: smartphone, tablet, televisori a schermo piatto, batterie ricaricabili. Nonostante la quantità di terre rare in apparecchi “high-tech” come i nostri smartphone sia minima, la loro presenza è cruciale per assicurare l’efficienza e la rapidità nell’utilizzo.

La loro utilità, però, non si limita all’ambito tecnologico, infatti le terre rare sono utilizzate anche in ambito medico, ad esempio il gadolinio è utilizzato come liquido di contrasto nelle risonanze magnetiche, così come in ambito aerospaziale e militare nelle strumentazioni (e purtroppo armi) di ultima generazione. Inoltre, le terre rare sono utilizzate in grande quantità nelle turbine eoliche, ad esempio in una da 5 MegaWatt ci sono 1000 kg di terre rare.

Un recente report del governo canadese (Report Governo Canada) ha elencato i principali ambiti industriali in cui le terre rare vengono utilizzate:

• 38% magneti permanenti;
• 23% cracking petrolifero;
• 13% industria del vetro;
• 9% leghe per le batterie;
• 8% metallurgia;
• 5% industria ceramica;

Un nuovo campo di utilizzo delle terre rare riguarda le auto ibride, dove è presente fino a 1 kg di terre rare, ma soprattutto le auto elettriche.

Le terre rare nelle auto elettriche

Riguardo a questo ultimo contesto citato si è recentemente aperto un dibattito tra esperti scientifici, di economia e di politica dopo la decisione, presa da parte dell’Unione Europea (formalizzata nel Gennaio 2023), di vietare la vendita, a partire dal 2035 nei territori della UE, dei veicoli che usano i combustibili fossili, per contrastare l’enorme inquinamento atmosferico da essi causato. In pratica, dal 2035, tutta l’industria (anche italiana) che si occupa della vendita di veicoli (auto, moto ecc.) a benzina e diesel cesserà di esistere, rimarrà possibile, almeno in un primo momento, continuare ad usare i veicoli acquistati prima di quella data. All’interno delle auto elettriche le terre rare sono usate nei magneti che permettono il funzionamento dei motori, proprio per le straordinarie proprietà sopra citate. Fino ad ora, nonostante gli sforzi, non si è stati in grado di trovare un’alternativa valida alle terre rare, o per motivi di costo o per i difetti degli altri elementi quando sono portati ad elevate temperature.

In questa situazione ci sono due principali problemi: l’inquinamento delle terre rare stesse ed il monopolio cinese del mercato delle terre rare.

Consideriamo ora il primo problema: la decisione della UE ha lo scopo di ridurre le emissioni di CO₂, quindi apparentemente sembra una decisione presa per salvaguardare l’ambiente, ma l’estrazione e l’utilizzo delle terre rare è un processo tutt’altro che sostenibile. La decisione della UE di incentivare l’uso di auto elettriche comporterebbe un evidente abbassamento dei livelli di inquinamento, ma non è tutto oro quello che luccica. L’estrazione di terre rare è un processo tutt’altro che sostenibile.

Secondo i dati riportati da “euronews”, l’attività mineraria per l’estrazione di terre rare tra il 1965 ed il 1995 in California ha lasciato delle conseguenze ambientali gravissime, come l’inquinamento con elementi radioattivi di 2300 litri di acqua. I principali rischi sono dovuti all’utilizzo di acidi per raffinare, con la conseguente emissione di prodotti tossici ed anche radioattivi. Inoltre, considerando il difficile processo tramite il quale si ottengono le terre rare, si rischia, se non effettuato con precisione e mezzi adatti, di causare una perdita del 50% degli elementi ricercati.

Il secondo problema, invece, ha ripercussioni geopolitiche molto interessanti, infatti, come vedremo successivamente, la Cina attualmente controlla il 90% della fornitura mondiale di terre rare, ha il totale monopolio del mercato. La Cina, curiosamente, non ha emanato nessuna legge che vieterà la produzione di veicoli che utilizzano combustibili fossili e, vale la pena ricordarlo, produce il 33% dei gas serra di tutto il mondo.

L’Unione Europea, in confronto alla Cina, produce una quantità di gas serra incredibilmente inferiore, anche se si aggiungesse quella prodotta dagli Stati Uniti.

La Cina, quindi, oltre ad avere il monopolio delle terre rare avrà anche il monopolio della produzione dei veicoli che necessitano di combustibili fossili. Un fatto piuttosto curioso è che noi italiani potremo andare a comprare un’auto a benzina in un paese che continua la vendita e tornare in Italia a circolare liberamente.

Il mercato delle terre rare

Le principali riserve di terre rare si trovano in Cina, Russia, Stati Uniti, Australia, Brasile, India, Sudafrica e Vietnam. Fino a qualche decennio fa il monopolio apparteneva agli Stati Uniti, grazie alla miniera di Mountain Pass in California, ma ad oggi il più grande giacimento attivo nel mondo si trova in Cina, a Bayan Obo, e costituisce il 50% della produzione di terre rare cinesi. Ad oggi la Cina possiede il 37% di riserve di terre rare, seguita da Brasile e Vietnam con il 18% e dalla Russia con il 15%.

Il mercato dei metalli convenzionali ha luogo in piazze borsistiche riconosciute, mentre non esiste un vero e proprio mercato per le terre rare, di conseguenza le trattative tra il venditore (quasi sempre la Cina) e l’acquirente sono condotte senza un prezzo stabilito, nonostante le indicazioni fornite dalla National Minerals Information Center (istituto governativo statunitense di statistica che si occupa della domanda e dell’offerta dei materiali essenziali per l’economia statunitense).

Il mercato delle terre rare è libero ed è soggetto a continue ed imprevedibili variazioni del prezzo di acquisto, molto spesso deciso con precise finalità politiche. Recentemente stanno nascendo delle associazioni come la REIA (Rare Earth Industry Association), che ha il compito di associare produttori e acquirenti da tutto il mondo in modo da stabilizzare la situazione. Contestualmente un cambiamento sta avvenendo anche in Cina, con il governo che sembra disposto a regolamentare il mercato ed a migliorare l’efficienza e la sicurezza di tutta la filiera.

La strategia cinese

Tra gli anni Ottanta e Novanta del Novecento, la Cina ha deciso di sfruttare la chiusura della miniera di Mountain Pass in California da parte degli Stati Uniti ed ha intrapreso una serie di iniziative con il fine di assumere il controllo del mercato delle terre rare. Da allora, la produzione cinese ha raggiunto livelli elevatissimi grazie al bassissimo costo della manodopera, spesso arrivando allo sfruttamento dei lavoratori, ed agli investimenti per le infrastrutture intraprese dal governo cinese.

I costi di produzione della Cina sono molto più bassi rispetto a quelli degli USA anche perché la Cina ha deciso di costruire le fabbriche di raffinazione nelle immediate vicinanze dei giacimenti, in modo da minimizzare i costi, ma anche i rischi, di un lungo trasporto. Nonostante la Cina abbia “solo” il 37% delle risorse mondiali di terre rare, controlla fino al 90% delle terre rare sul mercato. Questo è stato reso possibile dalle abili e molto speculative politiche intraprese dalla Cina in Africa.

La Cina in Africa

La Cina, negli ultimi due decenni, ha voluto espandere all’estero la propria produzione ed ha scelto l’Africa. Questa politica commerciale cinese si chiama “Belt and Road Initiative” e consiste nella creazione di rotte commerciali da e per la Cina con lo scopo di sostituire gli Stati Uniti come prima potenza commerciale.

In cambio della costruzione di moderne infrastrutture e di aiuti sociali da parte della Cina, l’Africa ha concesso alcuni suoi ampi territori ricchi di risorse all’amministrazione cinese. La Cina ha così sfruttato l’incapacità da parte dell’Africa di sfruttare le risorse del proprio territorio, ampliando la produzione ed il controllo. La Cina ha comprato dei territori nei Paesi più ricchi con finalità economiche, mentre ha acquisito il controllo di alcune zone dei Paesi più poveri per scopi militari, creando delle vere e proprie basi militari a Gibuti (uno dei cosiddetti “choke points”) ed in Guinea Equatoriale.

Questo fenomeno di acquisizione di terre e risorse prende il nome di “land grabbing” ed è una pratica utilizzata anche dai Paesi Occidentali, Stati Uniti fra tutti.

L’aspetto più controverso e che fa riflettere, anche in riferimento alla politica coloniale dei Paesi dell’Europa in passato, riguardo la cosiddetta “trappola del debito”.

La Cina ha investito più di 150 miliardi di dollari in Africa, l’80% di questi investimenti sono stati fatti in infrastrutture che potrebbero tornare utili anche alla Cina stessa. La Cina, infatti, non ha aiutato lo sviluppo dell’Africa per ragioni umanitarie, anzi, è stata un’azione cinica che ha conferito un sacco di potere, con una conseguente“sudditanza” da parte dei Paesi in cui sono stati compiuti ingenti investimenti.

Se l’Africa, come succederà, non sarà in grado di ripagare i debiti nei confronti della Cina, sarà costretta a cedere il controllo delle infrastrutture, oppure a far entrare la Cina nelle decisioni politiche interne, con lo scopo di restituire il “favore” tramite precise azioni a favore del colosso asiatico.

Fonte: Espace Mondial

Il ricatto cinese e Taiwan

Le terre rare sono necessarie anche per l’armamento dell’esercito degli USA, di conseguenza un eventuale blocco all’export da parte della Cina avrebbe conseguenze disastrose per gli USA. Questo “jolly” in mano alla Cina condiziona le scelte politiche, economiche e militari di tutto il mondo, ma soprattutto influenza gli Stati Uniti, l’unica potenza in grado di competere con la Cina su tutti i fronti.

La situazione al momento più instabile riguarda Taiwan, un arcipelago di fronte alla Cina che si è dichiarato indipendente da vari decenni, con la Cina che, però, non accetta questa decisione, data l’importanza di Taiwan nell’equilibrio commerciale. Taiwan è fondamentale per la produzione di microchip (il 60% di quelli globali è prodotto a Taiwan) e di apparecchiature hi-tech.

Taiwan ha un’importanza anche “geografica”, infatti la sua posizione strategica impedisce alla Cina, e garantisce agli USA, di controllare tutta la zona di Oceano Pacifico in cui passano il 60% delle rotte commerciali. Negli ultimi mesi la situazione ha subito uno sviluppo preoccupante, infatti circa 600 aerei militari cinesi hanno ripetutamente violato lo spazio aereo di Taiwan, effettuando esercitazioni militari anche con armamenti nucleari.

La mancanza di microchip è alla base dell’attuale crisi globale, con la Cina che mira, quantomeno, a controllare le esportazioni da Taiwan per avere un altro “jolly” in mano negli equilibri globali.

Al momento la politica Occidentale, soprattutto degli USA, è stata incerta, infatti da un lato commerciano con Taiwan e ufficiosamente la supportano nelle scelte di indipendenza, ma, d’altro canto, non tutti la riconoscono ufficialmente, perché significherebbe inasprire i rapporti con la Cina con conseguenti problemi nel reperimento delle terre rare.

L’Unione Europea potrebbe svincolarsi dal monopolio cinese?

La soluzione potrebbe arrivare dalla Svezia, nell’area di Kiruna è stato recentemente scoperto un giacimento di terre rare da parte di una società svedese statale (Lkab). La scoperta di questo giacimento potrebbe, a livello teorico, sconvolgere gli equilibri mondiali, ma bisogna ancora pazientare ed essere realisti, infatti non sono ancora stati comunicati in modo ufficiale e preciso la tipologia, ma soprattutto la quantità, delle terre rare presenti.

Inoltre, prima di poter competere con la Cina, bisogna considerare i necessari tempi tecnici, poiché sarà necessario creare le infrastrutture per un recupero efficiente, per la raffinazione e per il trasporto.

CONCLUSIONI

La strategia della Cina in merito alle terre rare è stata lungimirante e, nel giro di un paio di decenni, ha posto l’Occidente in una posizione di dipendenza, al punto da poter decidere i prezzi e le quantità esportate, condizionando, di conseguenza, le scelte politiche di paesi, come gli USA, che altrimenti potrebbero competere su tutti i campi con la Cina, anche quello militare in merito alle continue tensioni con Taiwan.

La Cina ha anche condotto una politica di espansione in Africa, di cui non si è molto parlato fino a pochi anni fa, ma che si sta rivelando un fattore determinante.

La situazione non è irrimediabilmente compromessa, ma è necessario che la UE trovi delle soluzioni alternative alla Cina, ancora meglio se si rendesse indipendente, inoltre sarebbe opportuno non intraprendere delle politiche che, anche se giuste, possano favorire ulteriormente la Cina sul mercato.

E’ interessante osservare come “solo” 17 elementi della tavola periodica possano far nascere e sviluppare degli scenari che influiscono in campo politico, economico e militare, soprattutto in un mondo globalizzato come quello attuale.

FONTI

U.S.G.S. (United States Geological Survey)

Euronews (Inquinamento delle terre rare)

Geopop (Terre rare, Cina, Taiwan )

Wikipedia (Terre rare, Lantanidi)

Chimica.online (Proprietà delle terre rare)

Report Governo Canada

China in Africa: a growing influence – World Atlas of Global Issues (sciencespo.fr)

Rai (Svezia)

Le sfide delle PMI italiane: le criticità emerse a Motore Italia

Lo scorso 26 marzo, durante l’evento “Motore Italia”, sono stati affrontati alcuni dei principali problemi che le imprese italiane devono affrontare in un contesto economico sempre più complesso e incerto. Dalla carenza di manager nelle PMI alla crisi di alcuni settori, passando per le minacce legate ai dazi, all’inflazione e ai costi energetici, il panorama imprenditoriale italiano si trova di fronte a sfide cruciali per il futuro. Vediamo nel dettaglio i temi emersi.

Pochi manager nelle PMI italiane

Le piccole e medie imprese italiane soffrono di una carenza strutturale di manager. Molte aziende, specialmente quelle a conduzione familiare, sono gestite senza una figura manageriale esterna, con il rischio di una limitata innovazione e crescita strategica. La mancanza di competenze manageriali rende più difficile affrontare le sfide del mercato globale e adottare soluzioni innovative per la competitività.

La causa di ciò? Scarsa fiducia degli imprenditori “che si sono fatti da soli” nei dirigenti esterni alla famiglia, desiderio di controllare tutti i processi strategici dell’azienda (a partire dall’amministrazione, finanza e controllo di gestione, spesso assente), timore di eccessivi costi per la retribuzione di manager a contratto, esperienze negative di temporay management…

Le imprese a conduzione familiare continuano a rappresentare una parte significativa del tessuto economico italiano, ma la mancanza di un adeguato ricambio generazionale e l’assenza di manager esterni rischiano di limitarne la crescita. La professionalizzazione della gestione aziendale e l’apertura a investitori esterni potrebbero essere soluzioni chiave per garantire la continuità e lo sviluppo di queste aziende.

Crisi aziendale in alcuni settori

Alcuni settori produttivi italiani stanno attraversando una fase di crisi a causa della riduzione della domanda, dell’aumento dei costi delle materie prime e della concorrenza internazionale. Il settore manifatturiero, in particolare, sta soffrendo per l’aumento dei costi di produzione e dell’energia e la difficoltà di reperire manodopera specializzata. La necessità di una trasformazione digitale e di una maggiore efficienza produttiva diventa sempre più urgente, ma la voglia di intraprendere questa strada è spesso frenata dalle nubi che si intravvedono all’orizzonte.

È nota la crisi profonda del settore dell’automotive e di tutto l’indotto. La Germania non tira più gran parte la produzione di componentistica italiana, anzi sta vivendo una crisi ancor più profonda per la forte esposizione delle aziende tedesche nel mercato automobilistico.

Le ragioni sono spesso relative al contesto esterno, alla situazione geopolitica internazionale che sta incidendo in modo sempre più pesante nella produzione industriale.

A fronte delle difficoltà nel settore manifatturiero, il terziario ha mostrato una crescita significativa. I servizi, in particolare quelli digitali, finanziari e professionali, hanno registrato un’espansione importante, evidenziando la necessità per le imprese di investire in nuove competenze e modelli di business più orientati alla conoscenza e all’innovazione.

Le minacce più o meno rilevanti a seconda del settore merceologico sono evidenti:

1. Elevati costi dell’energia
2. Possibili dazi imposti dal mercato USA
3. Concorrenza infra-UE ed extra-UE
4. Politiche comunitarie
5. Guerre

 Alcune di queste minacce sono fra loro correlate.

Ad esempio, la politica della Comunità Europea ha significativamente influenzato il mercato energetico (l’embargo al gas Russo ha fatto impennare i costi dell’energia, la tassazione ETF, divieto di omologazione di veicoli a motore termico o ibrido dal 2035, ecc.), così come l’aumento del costo del denaro ha fatto inevitabilmente contrarre la domanda dei consumatori finali in alcuni settori.  

Anche la crescita del terziario, servizi digitali a parte, è stata fortemente influenzata da alcuni elementi nel complesso negativi per l’intero Paese: aumento del costo del denaro, aumento dei costi dell’energia, …

Minacce dal contesto internazionale e incertezza su inflazione e costi energetici

Il contesto internazionale rappresenta una minaccia costante per le imprese italiane. Le tensioni geopolitiche, l’inflazione e l’aumento dei costi energetici stanno incidendo negativamente sulla stabilità economica. Le PMI, in particolare, sono più vulnerabili a queste oscillazioni, avendo minori risorse rispetto alle grandi imprese per assorbire gli shock economici.

Oltre al generalizzato aumento dei costi energetici, chiaramente influenzato dalla Guerra Russo-Ucraina, poiché ovviamente una fonte energetica come il gas proveniente da un processo di rigassificazione (e da un lungo trasporto transatlantico di gas liquido) costa molto di più di un gas proveniente da un gasdotto, ci sono altri fattori che influenzano alcuni settori industriali fortemente energivori, come l’ETF.

Le tasse ETF (Energy Taxation Framework) legate ai consumi energetici imposte dalla UE si riferiscono alla tassazione sull’energia nell’Unione Europea, regolata dalla Direttiva sulla tassazione dell’energia (Energy Taxation Directive – ETD). Questa normativa stabilisce le aliquote minime di tassazione sui prodotti energetici e sull’elettricità utilizzati nei trasporti, nell’industria e nelle abitazioni. 

Obiettivi della tassa ETF sulla tassazione energetica sono i seguenti:

• Ridurre le emissioni di CO₂ incentivando l’uso di energie rinnovabili; 
• Evitare distorsioni del mercato allineando la tassazione tra i diversi Paesi UE; 
• Generare entrate per la transizione ecologica, sostenendo il Green Deal Europeo. 

Quest tassazione colpisce alcuni settori in particolare:

• Carburanti per i trasporti (benzina, gasolio, GPL, ecc.); 
• Energia elettrica (in base alla fonte di produzione); 
• Combustibili per il riscaldamento (gas naturale, carbone, oli combustibili); 
• Settori industriali ed energetici che consumano combustibili fossili. 

Nel 2021 la Commissione Europea ha proposto una riforma dell’ETD per: 

• Aumentare le tasse sui combustibili fossili più inquinanti; 
•  Introdurre un sistema di tassazione basato sul contenuto energetico e sulle emissioni di CO₂; 
• Eliminare alcune esenzioni fiscali per il gasolio e il carbone. 

Questa riforma rientra nel pacchetto “Fit for 55”, che mira a ridurre le emissioni di gas serra del 55% entro il 2030. 

Le tasse ETF sull’energia hanno un impatto significativo sia sulle aziende che sui cittadini, con effetti diversi a seconda del settore e del tipo di consumatore.

L’’impatto sulle aziende riguarda:

1. Industrie energivore (acciaierie, cementifici, chimica) subiranno un aumento dei costi operativi se usano combustibili fossili. Questo potrebbe portare a;

   • Prezzi più alti sui prodotti finali;
   • Necessità di investire in efficienza energetica e fonti rinnovabili.

2. Trasporti e logistica

   • Il costo del carburante per camion, navi e aerei aumenterà con l’abolizione delle esenzioni fiscali su gasolio e cherosene;
   • Si incentivano alternative come biocarburanti, idrogeno e elettrificazione.

3. Produzione di energia

   • Le centrali a carbone e gas pagheranno più tasse, spingendo verso una transizione alle energie rinnovabili;
   • Le imprese fornitrici di energia potrebbero scaricare i costi sui consumatori.

L’Impatto sui cittadini, invece, riguarderà

1. Costo del carburante

   • Aumenti su benzina e diesel potrebbero rendere il trasporto privato più costoso.
   • Maggiore convenienza per auto elettriche e trasporto pubblico.

2. Bolletta energetica

   • Gas e combustibili per il riscaldamento potrebbero diventare più cari;
   • Incentivi per ristrutturazioni green e pompe di calore potrebbero compensare i costi.

3. Aumento generale dei prezzi

   • Se le aziende scaricano i costi sui consumatori, il costo di beni e servizi può solo salire.
   • Settori come agricoltura e manifattura saranno particolarmente colpiti.

In altre parole, gli effetti sui consumatori finali porteranno (hanno già portato) a minori disponibilità economiche per acquisto di beni e servizi, soprattutto quelli non essenziali.

I Possibili benefici e mitigazioni di questi effetti negativi potranno essere:

• Sussidi e incentivi per energie rinnovabili, auto elettriche e ristrutturazioni;
• Compensazioni per famiglie a basso reddito per evitare disuguaglianze sociali;
• Transizione verso economia più sostenibile con meno dipendenza dai fossili.

In sintesi, la riforma della tassazione energetica UE ha l’obiettivo di accelerare la decarbonizzazione, ma avrà un impatto economico non trascurabile, soprattutto nel breve termine.

Il settore automotive è invece stato fortemente rallentato – oltre che dalla generale contrazione dei consumi, soprattutto per beni di elevato costo – dalla transizione obbligata all’elettrico che sta facendo sentire i suoi effetti, anche in termine di tassazione. Infatti, nell’Unione Europea ci sono sanzioni per i produttori di auto che non rispettano i limiti sulle emissioni di CO₂, anche se, non esiste un obbligo diretto di produrre una certa quantità di auto elettriche o ibride, ma piuttosto un sistema di penalità basato sulle emissioni medie della flotta venduta. In pratica ’UE impone limiti di CO₂ alle case automobilistiche in base alla media delle emissioni delle auto vendute in un anno.

Le imprese di alcuni settori tecnologici, pur condividendo il fine, non giustificano i mezzi di questa politica UE. In particolare, sulle ETF si contesta (un esempio al convegno “Motore Italia” è venuto dall’industria ceramica) il fatto che alcune produzioni manifatturiere sono necessariamente energivore e non hanno alternative all’utilizzo di gas naturale.

A questi impatti negativi si aggiunge il fattore concorrenza del mercato asiatico che non ha i medesimi vincoli.

Questo introduce un altro aspetto: la disuguaglianza nella competizione tra UE ed extra UE ed anche fra Paesi della stessa Comunità Europea, tra cui l’Italia ed altri Paesi comunitari.

La produzione non solo di autoveicoli e motoveicoli, ma di diverse tipologie di prodotti complessi, come elettrodomestici, prodotti elettronici, ecc., prevede oggi una supply chain molto “lunga” e con diversi fornitori. La maggior convenienza produttiva in Paesi extra-UE o, specie per aziende italiane, anche in Paesi intra-UE, ma comunque con costo del lavoro inferiore, ha portato molte aziende italiane a produrre componenti, se non interi prodotti finiti, in altre Nazioni.

Evidentemente produrre all’estero comporta costi inferiori, nonostante i costi di trasporto, perché in altri Paesi (anche della UE) l’energia costa meno che in Italia, la manodopera costa meno perché ci sono minori vincoli (sicurezza sul lavoro, diritti dei lavoratori…) e costi di contribuzione obbligatoria inferiori. L’effetto che si è avuto negli ultimi anni è stato quello di danneggiare le PMI italiane (più piccole che medie) e di rendere il lavoro maggiormente precario e peggio retribuito.

Recentemente anche il comparto agroalimentare (agricoltori ed allevatori in primis) hanno lamentato le politiche UE che favorirebbero l’acquisto di prodotti agroalimentari dal Sudamerica rispetto ai prodotti nostrani.

Quindi, se l’obiettivo è la sostenibilità, dobbiamo considerare che tutto ciò aumenta le emissioni nocive in termini di inquinamento e minori controlli sulle aziende estere, oltre che una concorrenza sleale che favorisce imprese estere. Probabilmente gli obiettivi ESG si sono troppo focalizzati sulla E  e poco sulla S.

In Italia, anche se la produzione industriale è stata migliore nel 2024 rispetto ad altri Paesi UE, le previsioni sono meno rosee anche perché è stato recentemente certificato che stipendi e salari italiani sono cresciuti molto meno rispetto ad altri Paesi, rendendo il potere di acquisto degli italiani, rispetto ai cittadini di altri Paesi UE ed extra-UE come la Gran Bretagna, molto inferiore di quello ad inizio secolo!

Se una qualsiasi persona ha avuto l’opportunità di fare un viaggio negli Stati Uniti, in Inghilterra e in Francia o Germania negli anni ’80, negli anni ’90, ad inizio secolo e negli ultimi due anni ha potuto constatare quanto sia peggiorata la situazione del turista italiano all’estero in termini di potere d’acquisto.

Negli Stati Uniti, anche oggi quando si paventa il rischio recessione, l’economia “gira”: i prezzi per beni e servizi sono alti rispetto al nostro Paese, ma le retribuzioni sono adeguatamente elevate per consentire un livello di consumi sostenibile.

E veniamo al tanto temuto problema dei dazi.

È bella la libertà del commercio globale senza vincoli, ma quando la concorrenza è leale ed equa.

La mossa degli USA, per ora solo annunciata nei confronti della UE, di imporre elevati dazi sui prodotti europei, potrebbe sconvolgere il mercato internazionale e danneggiare fortemente alcuni settori ed imprese del nostro Paese. Ma se l’obiettivo è quello di avvantaggiare la produzione interna agli Stati Uniti rispetto all’export, forse dovevamo pensarci anche noi. Perché favorire l’ingresso in Europa e soprattutto in Italia di prodotti realizzati in Paesi dove la regolamentazione è profondamente diversa a danno di altre imprese italiane?

Diciamolo francamente: i prodotti acquistati dai consumatori finali oggi sono di qualità largamente inferiore a quelli acquistati 20 o 30 anni fa. Ovviamente non intendo in termini di funzionalità (chiaramente un telefono cellulare o un computer di fine secolo scorso aveva caratteristiche largamente inferiori a uno smartphone o PC di oggi, anche ad un prezzo equivalente al netto dell’inflazione), ma di affidabilità, non conformità rilevate nel breve e nel medio periodo dall’acquisto.

Naturalmente ci sono aziende che temono più i dazi dei costi elevati dell’energia e aziende che la vedono in modo opposto.

Le incertezze ed i rischi oggi sono tanti: sicuramente l’eventuale fine della guerra russo-ucraina porterebbe maggiori effetti positivi rispetto all’introduzione dei dazi su alcuni beni importati negli USA.

Da ultimo vorrei stigmatizzare la virata della UE verso il riarmo: la conversione di fabbriche automobilistiche in fabbriche di armamenti non è una cosa buona, il PIL è come il colesterolo, c’è quello buono e quello cattivo! Così come il Covid ha fatto aumentare il fatturato per alcuni prodotti e servizi, non tutti così utili e di buona qualità, così ora l’aumento delle spese militari potrebbe nascondere problemi più grossi.

ESG e certificazione

La sostenibilità è un tema sempre più centrale per le aziende italiane. Ottenere certificazioni ESG (Environmental, Social, Governance) rappresenta un’opportunità per differenziarsi sul mercato e accedere a finanziamenti dedicati. Tuttavia, molte PMI faticano a intraprendere questo percorso per la complessità burocratica e i costi associati.

Nel convegno “Motore Italia” si sono potuti apprezzare alcuni interventi di imprese che hanno effettivamente migliorato i loro parametri ESG, soprattutto attraverso interventi di efficientamento energetico che comunque sono utili anche in caso di riduzione dei costi dell’energia.

Anche per le aziende, non solo per le istituzioni, gli aspetti Sociali e di Governance devono essere migliorati e soprattutto occorre puntare ad interventi che non danneggino altri settori, come quello dell’agricoltura (interessanti sono gli impianti fotovoltaici che non precludono l’uso agricolo dei terreni).

Difficile gestione della crescita dimensionale

Uno dei principali limiti delle PMI italiane è la difficoltà di crescere in termini di dimensioni. Le barriere burocratiche, la difficoltà di accesso al credito e la scarsa propensione alla collaborazione tra aziende ostacolano il processo di espansione. La crescita dimensionale è fondamentale per affrontare i mercati internazionali e aumentare la competitività.

Purtroppo, molte aziende, anche del settore dei servizi, non sono riuscite a governare adeguatamente la crescita dimensionale. Questo aspetto è fortemente collegato alla carenza di manager: se un’impresa con N persone può essere gestita da 3 responsabili di funzione – o dal solo imprenditore ed un paio di familiari – che controllano le funzioni Commerciali, Acquisti, Amministrazione, Produzione o Erogazione del Servizio – se l’azienda cresce e raddoppia la forza lavoro con 2xN dipendenti non basteranno più i 3 responsabili di funzione di prima.

Oltre al problema di ampliare le figure di responsabilità, la crescita deve essere accompagnata da un adeguata crescita anche dei sistemi informatici e della digitalizzazione per rendere i processi più efficienti e controllabili.

Purtroppo, questo molti imprenditori non lo hanno capito.

Conclusioni

L’evento “Motore Italia” ha evidenziato sfide cruciali per il futuro delle imprese italiane. La carenza di manager, la crisi in alcuni settori, l’impatto dell’inflazione e dei costi energetici e dei possibili dazi USA, e la necessità di una maggiore sostenibilità sono tutti elementi che richiedono strategie mirate e interventi efficaci. Solo attraverso un’innovazione continua, un miglioramento della governance e una maggiore apertura ai mercati internazionali, le PMI italiane potranno affrontare con successo le sfide del futuro.

In un contesto internazionale così incerto cambiano i rischi che dovranno affrontare le organizzazioni del nostro Pase, ma purtroppo diversi eventi non sono controllabili dagli imprenditori, pertanto alcune misure di mitigazione dei rischi che si prospettano all’orizzonte potrebbero risultare inefficaci non per mancanze dell’imprenditore.

Negli ultimi anni, le farmacie hanno ampliato la gamma di servizi offerti ai cittadini, evolvendo da semplici punti di dispensazione di farmaci a veri e propri presidi sanitari di prossimità. Questa trasformazione ha portato a una maggiore gestione di dati personali anche appartenenti a categorie particolari, imponendo ai farmacisti il dovere di rispettare rigorosamente la normativa sulla protezione dei dati personali, in particolare il Regolamento Generale sulla Protezione dei Dati (GDPR), il Codice Privacy novellato (D.Lgs 196/2002 aggiornato dal D.Lgs 101/20218) e le linee guida nazionali.

L’Importanza del GDPR nella Gestione dei Dati Sanitari

Il GDPR ha introdotto principi chiave che i farmacisti devono seguire nella gestione dei dati personali, tra cui:

• Liceità, correttezza e trasparenza: I dati devono essere raccolti con il consenso esplicito dell’interessato e trattati in modo chiaro, ma solo nei casi in cui tale consenso è necessario, oppure in base ad altra base giuridica come stabilito dal GDPR (ad esempio non per la dispensazione di farmaci dietro presentazione di ricetta medica). Il tutto supportato da adeguata informativa all’interessato.
• Limitazione delle finalità: Le informazioni devono essere utilizzate esclusivamente per gli scopi dichiarati, come la fornitura di servizi sanitari o la gestione delle prescrizioni mediche e non per finalità di marketing.
• Minimizzazione dei dati: Devono essere raccolti solo i dati strettamente necessari per l’erogazione del servizio (ad esempio nella raccolta punti per ottenere sconti o per le carte fedeltà).
• Integrità e riservatezza: Devono essere adottate misure tecniche e organizzative per garantire la sicurezza dei dati ed evitare accessi non autorizzati.

Nuovi Servizi Farmaceutici

L’introduzione di servizi innovativi, come la telemedicina, la prenotazione online di farmaci e la consulenza tramite strumenti digitali (whatsapp, e-mail, sito web), ha reso ancora più cruciale il rispetto della normativa sulla protezione dei dati.

Questi servizi spesso richiedono l’acquisizione e la conservazione di informazioni sanitarie sensibili, aumentando il rischio di violazioni della privacy. Ad esempio, piattaforme web che offrono il ritiro di farmaci su prenotazione o servizi di consulto devono garantire che i dati siano trasmessi e conservati in modo sicuro, evitando la condivisione non autorizzata con terze parti.

Obblighi dei Farmacisti nella Protezione dei Dati

I farmacisti hanno la responsabilità di garantire la conformità alle normative vigenti attraverso:

• Formazione continua: Aggiornarsi costantemente sulla normativa (GDPR, Codice Privacy, Linee Guida EDPB, Provvedimenti del Garante Privacy nazionale) e sulle migliori pratiche per la protezione dei dati.
• Adozione di misure di sicurezza: Implementare sistemi di protezione informatica per evitare attacchi hacker e accessi non autorizzati.
• Gestione dei consensi: Assicurarsi che i pazienti siano pienamente informati su come vengono trattati i loro dati e ottenere il consenso esplicito quando necessario, in particolare nei servizi di telemedicina.
• Registrazione e tracciabilità: Mantenere documentazione sulle procedure adottate per la protezione dei dati e garantire la tracciabilità di ogni operazione effettuata.

Il rispetto della normativa sulla protezione dei dati non è solo un obbligo legale, ma anche un elemento fondamentale per tutelare la fiducia dei pazienti nei confronti delle farmacie. La crescente digitalizzazione dei servizi richiede un approccio consapevole e responsabile nella gestione dei dati personali, per garantire la sicurezza e la riservatezza delle informazioni sanitarie. I farmacisti devono quindi adottare tutte le misure necessarie per proteggere la privacy dei loro clienti e operare nel pieno rispetto della normativa vigente.

Il rischio nella gestione dei nuovi servizi

Oggi le farmacie italiane offrono una vasta gamma di servizi, tra cui la dispensazione di farmaci con e senza ricetta, la telemedicina (ECG a distanza, Holter pressorio e Holter sanguigno), la prenotazione online di farmaci, l’accettazione di campioni biologici per lo svolgimento di esami di laboratorio e il ritiro dei referti di esami di laboratorio, la misurazione della pressione, test diagnostici rapidi (emocromo, profilo lipidico, ecc.), vaccinazioni e servizi di assistenza personalizzata per i pazienti cronici, analisi della pelle e del capello, nonché vendita di prodotti on-line (e-commerce).

Nel rapporto fra farmacia e fornitore di servizi, i ruoli soggettivi in materia di privacy possono variare in base alle attività svolte. La farmacia, generalmente, agisce come Titolare del trattamento dei dati personali, in quanto determina le finalità e i mezzi del trattamento. Il fornitore di servizi, invece, può assumere il ruolo di Responsabile del trattamento quando tratta i dati per conto della farmacia, seguendo le istruzioni ricevute. Spesso, tuttavia, è il fornitore stesso che determina mezzi e finalità del trattamento dei dati personali, poiché gestisce la parte fondamentale del processo di erogazione del servizio: si pensi ai servizi di telemedicina come l’ECG o l’esecuzione di esami di laboratorio a seguito di campioni prelevati in farmacia.

È fondamentale che tra le parti venga stipulato un accordo chiaro per garantire la conformità al Regolamento UE 679/2019 (GDPR) e la protezione dei dati personali dei pazienti. Tale accordo per i servizi dove è il fornitore a determinare mezzi (ad esempio strumenti informatici) e finalità del trattamento (ad esempio esecuzione di esami di laboratorio) deve riportare esplicitamente la nomina della Farmacia a Responsabile del Trattamento e investire il fornitore del ruolo di Titolare. Diversamente la Farmacia sarà esposta a rischi di sanzione e risarcimento danni in caso di violazioni di dati perpetrate nei sistemi del fornitore.

In particolare, per quanto riguarda i servizi svolti per conto di ASL o del Servizio Sanitario Nazionale (SSN) le farmacie agiscono come Responsabili del Trattamento. Negli ultimi anni, oltre ai servizi più propriamente sanitari, hanno iniziato a svolgere anche servizi come l’attivazione dello SPID (per conto di Lepida nella Regione Emilia-Romagna) e del Fascicolo Sanitario.

Altro aspetto critico è l’esecuzione di esami sanguigni con apparecchiature automatiche (in autoanalisi), oggetto di recenti polemiche sulla qualità degli esiti a seguito di un’inchiesta di Milena Gabbanelli sulla base di uno studio effettuato dalla National Library of Medicine. Spesso le farmacie non hanno consapevolezza di quali dati vengono raccolti e conservati dal software e se il fornitore dell’apparecchiatura ha accesso ai dati dei referti, mentre il Regolamento UE 679/2016 richiede un’informativa chiara da fornire al paziente con garanzia del rispetto di tutti i suoi diritti.

Le stesse criticità sono presenti nell’erogazione di servizi di analisi varie (analisi della pelle, analisi del capello, densitometria, intolleranze alimentari, ecc.), spesso proposti in partnership con il fornitore dell’apparecchiatura di analisi o del kit di raccolta campioni con analisi svolta dal laboratorio del fornitore. Per questi servizi il fornitore dovrebbe fornire al farmacista un servizio con trattamento di dati personali privacy-by-design, ma sovente così non è, facendo ricadere sulla farmacia l’onere di fornire al paziente un’informativa privacy con richiesta di consenso adeguata e di disciplinare il rapporto con il fornitore che sovente è poco collaborativo dal punto di vista della gestione dei dati personali.

Anche le diffuse carte fedeltà (fidelity card) delle farmacie sono spesso gestite in modo non conforme ai requisiti normativi con informative carenti o addirittura assenti e conservazione dei dati personali del cliente oltre quanto indicato dal Garante Privacy.

Proprio in virtù dell’enorme mole di dati personali che le farmacie trattano, devono adottare una serie di misure di sicurezza per proteggere i dati personali dei propri clienti. Tra queste rientrano l’uso di software aggiornati e certificati per la gestione dei dati, l’adozione di sistemi di autenticazione a più fattori per limitare l’accesso non autorizzato, la crittografia delle informazioni sensibili, la formazione continua del personale sulle best practice in materia di protezione dei dati e la stipula di accordi di riservatezza con eventuali fornitori di servizi esterni. Inoltre, è fondamentale effettuare controlli periodici e audit per verificare la conformità alle normative vigenti e garantire la sicurezza delle informazioni trattate.

Infine, i siti web delle farmacie non sono più dei siti solo di presentazione a scopo pubblicitario, ma sono diventati – in alcuni casi – veri e propri portali web – talvolta anche associati ad app per dispitivi mobili – dove si possono prenotare i servizi sopra indicati, prenotare farmaci trasmettendo anche la ricetta medica o addirittura acquistare prodotti attraverso siti di e-commerce. Adottare questi strumenti, magari associati a servizi di digital marketing come l’invio di newsletter promozionali, amplia enormemente gli adempimenti privacy della farmacia e il parco dei fornitori coinvolti nel trattamento dei dati personali che spesso non forniscono adeguato supporto nell’implementare servizi conformi alla normativa privacy.

Oggi, con i le nuove minacce provenienti da internet, come i ransomware, il phishing e gli attacchi mirati di hacker che cercano non solo di cifrare, rendendoli inaccessibili, i dati della vittima, ma anche di esfiltrarli, rendendo maggiormente efficace la c.d. “double extortion”: «se vuoi accedere nuovamente ai tuoi dati devi pagare il riscatto, ma se non lo paghi posso pubblicare sul web i dati personali dei tuoi clienti… ».

Contro queste minacce, e con un perimetro nel quale operano i sistemi informatici molto esteso, non basta più dichiarare di avere l’antivirus, le password e di fare il backup per garantirsi l’immunità rispetto alle eventuali sanzioni del Garante Privacy. È necessario dimostrare di aver attuato misure di sicurezza adeguate a seguito di una valutazione dei rischi.

Per dimostrare di aver adempiuto ai requisiti del GDPR non basta aver redatto il registro dei trattamenti, ma è necessario anche documentare la valutazione dei rischi (da aggiornare periodicamente), le misure di sicurezza tecniche ed organizzative adottate, gli accordi per la protezione dati con i fornitori/partner come responsabili del trattamento, le istruzioni al personale sull’utilizzo dei sistemi informatici e così via.

Purtroppo oggi è facile trovare farmacie che non sono in grado di dimostrare di aver adottato adeguate misure di sicurezza perché tali misure non sono documentate e sono note solo a qualche consulente informatico che le ha implementate senza avere un idoneo contratto per la gestione sistemistica dei sistemi della farmacia ed una nomina di Amministratore di Sistema.

I rischi che si corrono ignorando questa normativa sono importanti: oltre alle eventuali sanzioni del Garante per la Protezione dei Dati Personali (fino al 4% del fatturato annuo nei casi più gravi), un attacco ransomware potrebbe bloccare l’attività della farmacia per diversi giorni (con annesso rischio reputazionale) e l’eventuale violazione della riservatezza dei dati personali dei clienti potrebbe comportare richieste di risarcimento del danno molto onerose.

Ecco qui https://www.teleperformanceitalia.it/attacchi-informatici-hacker-rubano-gli-account-delle-farmacie-con-i-bot/?utm_source=chatgpt.com un esempio di attacchi hacker registrate contro farmacie.

La norma ISO/IEC 27005:2022 fornisce linee guida per la gestione dei rischi legati alla sicurezza delle informazioni, alla cybersecurity e alla protezione della privacy. In questo articolo esamineremo i principali elementi trattati dalla norma, disponibile solo in lingua inglese.

La norma ISO/IEC 27005:2022, pubblicata nell’ottobre 2022, introduce diverse modifiche rispetto all’edizione precedente del 2018. I principali cambiamenti possono essere riassunti come segue:

1. Allineamento con altre norme: Il testo è stato aggiornato per essere coerente con la ISO/IEC 27001:2022 e la ISO 31000:2018, garantendo una maggiore armonizzazione tra gli standard relativi alla gestione della sicurezza delle informazioni e del rischio.
2. Introduzione degli scenari di rischio: Sono stati introdotti i concetti relativi agli scenari di rischio, che aiutano a comprendere meglio le potenziali minacce e le loro conseguenze attraverso la definizione di sequenze o combinazioni di eventi che possono portare a risultati indesiderati.
3. Approccio basato sugli eventi: Oltre al tradizionale approccio basato sugli asset, la nuova edizione introduce l’approccio basato sugli eventi per l’identificazione dei rischi. Questo metodo si concentra sull’analisi di eventi e conseguenze, spesso derivanti dalle preoccupazioni della direzione o dai requisiti organizzativi, offrendo una prospettiva più strategica nella gestione del rischio.
4. Revisione della struttura e dei contenuti: La norma è stata riorganizzata, passando da 12 clausole e 6 appendici nell’edizione 2018 a 10 clausole e un’appendice nella versione 2022. Questa ristrutturazione mira a migliorare la chiarezza e l’usabilità del documento. citeturn0search0

Queste modifiche riflettono l’evoluzione delle pratiche di gestione del rischio nel campo della sicurezza delle informazioni, offrendo alle organizzazioni strumenti aggiornati per affrontare le sfide emergenti in questo ambito.

Introduzione

La norma è progettata per assistere le organizzazioni nel soddisfare i requisiti della ISO/IEC 27001, in particolare per quanto riguarda la valutazione e il trattamento dei rischi per la sicurezza delle informazioni. È applicabile a tutte le organizzazioni, indipendentemente dal tipo, dalla dimensione o dal settore.

La norma sottolinea l’importanza di mantenere informazioni documentate riguardanti il processo di valutazione dei rischi, così come il processo di trattamento dei rischi risultati non accettabili.

Viene definito il contesto esterno come l’ambiente in cui l’organizzazione opera, che può includere fattori sociali, culturali, legali e tecnologici. Questo contesto è fondamentale per identificare e valutare i rischi.

La norma è stata allineata con la ISO/IEC 27001:2022 e la ISO 31000:2018, garantendo coerenza terminologica e strutturale. Sono stati introdotti concetti come gli scenari di rischio e un approccio basato sugli eventi per l’identificazione dei rischi.

La norma è organizzata in modo da facilitare la comprensione e l’applicazione delle linee guida, con un focus su come le organizzazioni possono implementare efficacemente le pratiche di gestione dei rischi.

In sintesi, ISO/IEC 27005:2022 offre un quadro completo per la gestione dei rischi di sicurezza delle informazioni, aiutando le organizzazioni a proteggere i propri dati e a mantenere la fiducia degli stakeholder.

Come deve essere condotta la valutazione dei rischi per la sicurezza delle informazioni?

Secondo la norma ISO/IEC 27005:2022 “Information security, cybersecurity and privacy protection — Guidance on managing information security risks” (Sicurezza delle informazioni, cybersecurity e protezione della privacy – Guida alla gestione dei rischi per la sicurezza delle informazioni), la valutazione dei rischi per la sicurezza delle informazioni deve essere condotta seguendo un processo strutturato che comprende diverse fasi. Ecco i principali passaggi da seguire:

1. Identificazione dei rischi: Questa fase prevede la ricerca, il riconoscimento e la descrizione dei rischi. È importante considerare sia le minacce che le vulnerabilità che possono influenzare la sicurezza delle informazioni.
2. Analisi dei rischi: In questa fase, si analizzano i rischi identificati per comprendere i tipi di rischio e determinare il loro livello. L’analisi dei rischi implica la valutazione delle cause e delle fonti di rischio, la probabilità che si verifichi un evento specifico e la gravità delle conseguenze associate.
3. Valutazione dei rischi: Questa fase consiste nel confrontare i risultati dell’analisi dei rischi con i criteri di rischio stabiliti per determinare se il rischio e/o la sua significatività sono accettabili. Si deve anche prioritizzare i rischi analizzati per il trattamento. In base a questo confronto, si può decidere se è necessario un trattamento del rischio.
4. Definizione del contesto: È fondamentale stabilire il contesto della valutazione dei rischi, che include la descrizione dello scopo e dell’ambito, nonché le questioni interne ed esterne che influenzano la valutazione stessa.
5. Allineamento con la gestione dei rischi organizzativa: L’approccio alla gestione dei rischi per la sicurezza delle informazioni deve essere allineato con l’approccio generale alla gestione dei rischi dell’organizzazione, in modo che i rischi di sicurezza delle informazioni possano essere confrontati con altri rischi organizzativi.
6. Utilizzo di metodi e strumenti: La valutazione dei rischi dovrebbe basarsi su metodi e strumenti progettati in modo da garantire risultati coerenti, validi e riproducibili. L’output della valutazione deve essere comparabile nel tempo per monitorare eventuali variazioni nel livello di rischio.

In sintesi, la valutazione dei rischi per la sicurezza delle informazioni secondo la ISO/IEC 27005:2022 è un processo sistematico che richiede attenzione a vari aspetti, dalla identificazione e analisi dei rischi fino alla loro valutazione e allineamento con la gestione dei rischi complessiva dell’organizzazione.

Quali sono, secondo questa normativa, le principali minacce alla sicurezza delle informazioni da considerare?

Per la norma ISO/IEC 27005:2022, le minacce alla sicurezza delle informazioni possono variare a seconda del contesto e delle specifiche circostanze in cui opera un’organizzazione. Tuttavia, ci sono alcune categorie generali di minacce che le organizzazioni dovrebbero considerare durante il processo di valutazione dei rischi. Ecco alcune delle principali minacce:

1. Minacce interne: Queste possono includere dipendenti o collaboratori che, intenzionalmente o accidentalmente, compromettono la sicurezza delle informazioni. Ciò può includere la divulgazione non autorizzata di informazioni sensibili o l’uso improprio delle risorse aziendali.
2. Minacce esterne: Queste comprendono attacchi provenienti da fonti esterne all’organizzazione, come hacker, gruppi di cybercriminali o concorrenti. Gli attacchi informatici, perpetrati attraverso malware, phishing e ransomware, rientrano in questa categoria.
3. Errori umani: Gli errori commessi da dipendenti o collaboratori, come la configurazione errata di sistemi o la gestione inadeguata delle credenziali, possono rappresentare una minaccia significativa per la sicurezza delle informazioni.
4. Disastri naturali: Eventi come terremoti, inondazioni, incendi o altre calamità naturali possono danneggiare le infrastrutture e compromettere la sicurezza delle informazioni.
5. Guasti tecnologici: Malfunzionamenti hardware o software, guasti di rete o interruzioni di servizio possono influenzare la disponibilità e l’integrità delle informazioni.
6. Minacce legate alla supply chain: Le vulnerabilità o i rischi associati ai fornitori e ai partner commerciali possono rappresentare una minaccia per la sicurezza delle informazioni, specialmente se questi hanno accesso ai sistemi o ai dati sensibili dell’organizzazione.
7. Minacce alla privacy: La raccolta, l’archiviazione e la gestione inadeguata delle informazioni personali possono portare a violazioni della normativa privacy (es. GDPR) e a conseguenze legali.

8. Attacchi alla reputazione: Minacce che mirano a danneggiare la reputazione dell’organizzazione, come la diffusione di informazioni false o la pubblicazione di dati compromettenti.

Queste categorie di minacce devono essere considerate durante il processo di identificazione e analisi dei rischi, in modo che l’organizzazione possa sviluppare strategie adeguate per mitigare i rischi associati,.

Quali sono le più comuni vulnerabilità?

Secondo la norma ISO/IEC 27005:2022, le vulnerabilità sono debolezze nei sistemi, processi o controlli che possono essere sfruttati da minacce per compromettere la sicurezza delle informazioni. Ecco alcune delle vulnerabilità più comuni che le organizzazioni dovrebbero considerare:

Vulnerabilità Hardware

1. Insufficiente manutenzione/fallimenti nell’installazione: Problemi legati alla manutenzione inadeguata o all’installazione errata di dispositivi hardware.
2. Sensibilità a condizioni ambientali: Vulnerabilità legate a umidità, polvere o variazioni di temperatura che possono danneggiare l’hardware.
3. Mancanza di controllo delle modifiche di configurazione: Assenza di procedure per gestire le modifiche alle configurazioni hardware.

Vulnerabilità Software

1. Vizi e difetti noti nel software: Utilizzo di software con vulnerabilità già identificate e documentate.
2. Insufficiente testing del software: Mancanza di test adeguati a identificare e correggere i difetti prima del rilascio.
3. Gestione inadeguata delle password: Pratiche deboli nella gestione delle password, come l’uso di password deboli o la mancanza di meccanismi di autenticazione robusti.

Vulnerabilità di Rete

1. Linee di comunicazione non protette: Trasmissione di dati sensibili su reti non sicure.
2. Architettura di rete insicura: Progettazione della rete che non considera adeguatamente la sicurezza, creando punti deboli.
3. Punti unici di guasto: Componenti critici della rete che, se compromessi, possono causare l’interruzione del servizio.

Vulnerabilità Organizzative

1. Mancanza di politiche di sicurezza: Assenza di politiche chiare e documentate per la gestione della sicurezza delle informazioni.
2. Formazione inadeguata del personale: Dipendenti non adeguatamente formati sui rischi di sicurezza e sulle pratiche di protezione delle informazioni.
3. Procedure di reporting inefficaci: Mancanza di procedure per segnalare e gestire le vulnerabilità e le violazioni della sicurezza.

Vulnerabilità Fisiche

1. Accesso non controllato alle strutture: Mancanza di controlli fisici per limitare l’accesso a aree sensibili.
2. Mancanza di politiche di “clear desk” e “clear screen“: Assenza di politiche per garantire che le informazioni sensibili non siano visibili o accessibili quando non sono in uso.

Queste vulnerabilità possono essere sfruttate da minacce per compromettere la sicurezza delle informazioni e devono essere identificate e gestite attraverso un processo di valutazione dei rischi.

Come si può calcolare l’indice di rischio per la sicurezza delle informazioni secondo questa norma?

Secondo la norma ISO/IEC 27005:2022, il calcolo dell’indice di rischio per la sicurezza delle informazioni si basa su un processo di valutazione dei rischi che considera diversi fattori, tra cui la probabilità di un evento di rischio e le conseguenze ad esso associate. Ecco i passaggi generali per calcolare l’indice di rischio:

1. Identificazione dei Rischi

1. Identificare i rischi potenziali associati alle minacce e alle vulnerabilità presenti nell’organizzazione. Ciò può includere eventi come attacchi informatici, errori umani, guasti tecnologici, ecc.

2. Valutazione della Probabilità (Verosimiglianza)

Determinare la probabilità che ciascun rischio si verifichi. Questo può essere fatto utilizzando scale qualitative (bassa, media, alta) o quantitative (percentuali o frequenze).

3. Valutazione delle Conseguenze (Gravità dell’impatto)

Valutare le conseguenze di ciascun rischio in caso di realizzazione. Le conseguenze possono essere classificate in termini di impatto su:

• Riservatezza
• Integrità
• Disponibilità

Anche in questo caso, si possono utilizzare scale qualitative o quantitative.

4. Calcolo dell’Indice di Rischio

L’indice di rischio può essere calcolato utilizzando una formula che combina la probabilità e le conseguenze. Una formula comune è:

{Indice di Rischio} = {Probabilità} x {Impatto}

Questo indice fornisce una misura del rischio associato a ciascun evento identificato.

5. Classificazione dei Rischi

I rischi possono essere classificati in base all’indice di rischio calcolato, consentendo di prioritizzare le azioni di mitigazione. Ad esempio, i rischi con un indice di rischio elevato dovrebbero essere trattati con maggiore urgenza rispetto a quelli con un indice più basso.

6. Definizione di Strategie di Mitigazione

Sulla base della classificazione dei rischi, l’organizzazione può sviluppare strategie di mitigazione per ridurre la probabilità o l’impatto dei rischi identificati.

7. Monitoraggio e Riesame

È importante monitorare continuamente i rischi e riesaminare l’indice di rischio, poiché le minacce, le vulnerabilità e il contesto dell’organizzazione possono cambiare nel tempo.

Questi passaggi forniscono un approccio sistematico per calcolare e gestire i rischi per la sicurezza delle informazioni, come delineato nella norma ISO/IEC 27005: 2022. Il medesimo approccio può essere utilizzato per effettuare un Risk Assessment per la Direttiva NIS 2, vista l’analogia delle tematiche, garantendo così la riferibilità ad una metodologia di uno standard internazionale ISO.

La norma fornisce qualche esempio di matrice dei rischi?

La norma ISO/IEC 27005:2022 fornisce esempi di matrici dei rischio, che possono essere utilizzate per rappresentare graficamente la valutazione dei rischi in base a probabilità e conseguenze/impatti. Queste matrici aiutano le organizzazioni a visualizzare e classificare i rischi in modo chiaro e comprensibile.

Esempi di Matrice dei Rischi

1. Matrice Qualitativa:

 Una matrice qualitativa può utilizzare scale di classificazione come “Molto Alta”, “Alta”, “Media”, “Bassa” per la probabilità e le conseguenze. Ad esempio, una matrice potrebbe apparire come segue:

Probabilità Conseguenze	Molto Alta	Alta	Media	Bassa
Catastrofico	Molto Alta	Alta	Alta	Media
Critico	Molto Alta	Alta	Media	Bassa
Significativo	Alta	Media	Bassa	Bassa
Minore	Media	Bassa	Bassa	Molto Bassa

2. Matrice Quantitativa:

Una matrice quantitativa può utilizzare valori numerici per rappresentare la probabilità e l’impatto. Ad esempio, si potrebbe utilizzare una scala da 1 a 5 per entrambe le dimensioni, dove 1 rappresenta il rischio più basso e 5 il rischio più alto. La matrice potrebbe apparire come segue:

Probabilità Conseguenze	1 (Bassa)	2 (Media)	3 (Alta)	4 (Molto Alta)	5 (Critica) |
1 (Minore)	1	2	3	4	5
2 (Significativo)	2	4	6	8	10
3 (Critico)	3	6	9	12	15
4 (Catastrofico)	4	8	12	16	20

Utilizzo della Matrice dei Rischio

Le matrici dei rischio possono essere utilizzate per:

• Visualizzare la distribuzione dei rischi: Aiutano a identificare quali rischi richiedono attenzione immediata.
  • Supportare le decisioni: Forniscono un quadro chiaro per le decisioni relative alla gestione dei rischi.

  • Comunicare i rischi: Facilitano la comunicazione dei rischi a tutte le parti interessate.

È importante che le scale utilizzate nella matrice siano ben definite e comprese da tutte le parti interessate. Le descrizioni qualitative devono essere chiare e non ambigue, e le categorie non devono sovrapporsi.

Quali sono i livelli di probabilità e gravità/impatto ed i criteri per la loro determinazione secondo questa norma?

Nella norma ISO/IEC 27005:2022, i livelli di probabilità e gravità/impatto abbiamo visto che sono definiti attraverso scale qualitative e quantitative e i criteri per la loro determinazione devono essere stabiliti per garantire una valutazione coerente e significativa dei rischi.

Livelli di Probabilità

I livelli di probabilità possono essere espressi in termini qualitativi o quantitativi. Ecco un esempio di scala qualitativa:

Probabilità:

• Quasi certa: Evento che si prevede si verifichi frequentemente.
• Molto probabile: Evento che si prevede si verifichi frequentemente, ma non sempre.
• Probabile: Evento che ha una buona possibilità di verificarsi.
• Poco probabile: Evento che ha una bassa possibilità di verificarsi.
• Improbabile: Evento che è poco probabile che si verifichi.

Livelli di Gravità/Impatto

I livelli di gravità o impatto delle conseguenze possono essere definiti come segue:

Gravità delle Conseguenze:

• Catastrofico: Conseguenze gravi che possono compromettere gravemente l’organizzazione.
• Critico: Conseguenze significative che possono influenzare gravemente le operazioni/i processi di business.
• Serio: Conseguenze che possono causare danni notevoli, ma non critici.
• Significativo: Conseguenze che possono causare disagi minori.
• Minore: Conseguenze trascurabili che non influenzano le operazioni.

Criteri per la Determinazione dei Livelli

I criteri per determinare i livelli di probabilità e gravità includono:

• Analisi Storica: Considerare eventi passati e incidenti di sicurezza che si sono verificati all’interno e all’esterno dell’organizzazione.
• Valutazione delle Vulnerabilità: Identificare le vulnerabilità esistenti e il loro potenziale impatto.
• Scenari di Rischio: Creare scenari di rischio che combinano probabilità e conseguenze per valutare il livello di rischio complessivo.
• Contesto Organizzativo: Considerare il contesto specifico dell’organizzazione, inclusi i suoi obiettivi, le risorse e l’ambiente operativo.
• Consenso delle Parti Interessate: Assicurarsi che le definizioni e le scale siano comprese e accettate da tutte le parti interessate coinvolte nel processo di gestione del rischio.

1. Analisi Storica: Considerare eventi passati e incidenti di sicurezza che si sono verificati all’interno e all’esterno dell’organizzazione.
2. Valutazione delle Vulnerabilità: Identificare le vulnerabilità esistenti e il loro potenziale impatto.
3. Scenari di Rischio: Creare scenari di rischio che combinano probabilità e conseguenze per valutare il livello di rischio complessivo.
4. Contesto Organizzativo: Considerare il contesto specifico dell’organizzazione, inclusi i suoi obiettivi, le risorse e l’ambiente operativo.
5. Consenso delle Parti Interessate: Assicurarsi che le definizioni e le scale siano comprese e accettate da tutte le parti interessate coinvolte nel processo di gestione del rischio.

Esempi pratici

Nell’Appendice A la norma ISO 27005 fornisce esempi di tecniche a supporto del processo di valutazione dei rischi.

La norma presenta tabelle che possono essere utilizzate per rappresentare visivamente i livelli di probabilità e gravità, come ad esempio:

• Tabella A.3: Esempio di approccio qualitativo ai criteri di rischio, che combina probabilità e conseguenze per determinare il livello di rischio.
• Tabella A.2 e A.4: Esempi di scale di probabilità che possono essere utilizzate per rappresentare la probabilità di eventi di rischio in termini probabilistici o frequenziali.

Questi livelli e criteri sono fondamentali per aiutare le organizzazioni a prendere decisioni informate sulla gestione dei rischi e a stabilire priorità per le azioni di mitigazione.

Inoltre, sono illustrate Tecniche pratiche per identificare valutare i componenti di rischio per la sicurezza delle informazioni quali:

• Componenti legati al passato: eventi e incidenti di sicurezza (sia all’interno dell’organizzazione che all’esterno), fonti di rischio, vulnerabilità sfruttate, conseguenze misurate.
• Componenti legati al futuro: minacce; vulnerabilità; conseguenze; scenari di rischio.

n questo articolo, esploreremo i principali punti della Direttiva NIS 2 e del Decreto di recepimento, analizzando le novità, gli impatti per le aziende e gli enti pubblici, e le sfide future in un contesto sempre più digitalizzato e vulnerabile a minacce cibernetiche.

La Direttiva NIS 2: obiettivi e novità

La Direttiva NIS 2 è parte di un più ampio sforzo dell’Unione Europea per rafforzare la sicurezza informatica e contrastare i rischi legati alle infrastrutture digitali, che sono diventate essenziali per il funzionamento delle economie moderne. Tra gli obiettivi principali della NIS 2 ci sono:

1. Aumentare il livello di protezione delle infrastrutture critiche: La Direttiva mira a garantire che tutte le organizzazioni che gestiscono infrastrutture critiche (settori come energia, trasporti, sanità, acqua, comunicazioni elettroniche) siano più preparate ad affrontare attacchi cibernetici e a limitare l’impatto di eventuali incidenti di sicurezza.
2. Estensione della portata delle norme: La Direttiva NIS 2 amplia il campo di applicazione rispetto alla versione precedente. Non solo le entità pubbliche e le aziende più grandi sono coinvolte, ma anche i fornitori di servizi essenziali e altre organizzazioni considerate ad alto rischio (ad esempio, piattaforme di e-commerce, fornitori di servizi cloud e aziende tecnologiche).
3. Miglioramento della cooperazione tra Stati membri: Una parte cruciale della NIS 2 è la creazione di un meccanismo di cooperazione più robusto tra gli Stati membri dell’UE. Questo implica la condivisione di informazioni sulle minacce, la gestione degli incidenti e lo sviluppo di linee guida comuni in materia di sicurezza informatica.
4. Obbligo di gestione dei rischi e notifica degli incidenti: Le aziende devono implementare misure di sicurezza adeguate e notificare tempestivamente le violazioni della sicurezza alle autorità competenti. Inoltre, devono adottare politiche di gestione dei rischi informatici per prevenire attacchi.

5. Sanzioni più severe: La Direttiva prevede l’introduzione di pene pecuniarie in caso di mancato adempimento degli obblighi di sicurezza, con multe che possono arrivare fino al 2% del fatturato annuale globale delle aziende coinvolte.

Il Decreto Legislativo 138/2024: Il recepimento della NIS 2 in Italia

Con la pubblicazione del Decreto Legislativo 138/2024 il 4 settembre 2024, l’Italia ha recepito la Direttiva NIS 2 nell’ordinamento nazionale, introducendo modifiche significative al quadro giuridico e regolatorio per la sicurezza delle reti e dei sistemi informativi. Alcuni degli aspetti più rilevanti includono:

1. Ampliamento del concetto di “Entità Essenziali“: In linea con le disposizioni della NIS 2, il Decreto Italiano amplia il novero delle entità soggette agli obblighi di sicurezza. Non solo i settori tradizionali (energia, trasporti, sanità) ma anche nuovi settori come i fornitori di servizi digitali, le piattaforme di e-commerce, i servizi cloud e le infrastrutture critiche IT rientrano nella normativa.
2. Notifica tempestiva degli incidenti di sicurezza: Le aziende e gli enti pubblici devono comunicare eventuali incidenti di sicurezza che possano avere un impatto significativo sui servizi essenziali entro 24 ore dall’accaduto. Ciò include attacchi informatici, vulnerabilità critiche e qualsiasi altro evento che minacci l’integrità dei sistemi.
3. Politiche di Gestione dei Rischi: L’adozione di un piano di gestione dei rischi diventa obbligatoria. Il piano deve contenere misure preventive per ridurre al minimo la probabilità di attacchi, nonché strategie di risposta e recupero in caso di incidenti di sicurezza.
4. Sanzioni e controllo: Il Decreto stabilisce un quadro sanzionatorio chiaro per le violazioni, che può arrivare a multe significative e altre misure correttive, in linea con le disposizioni europee. L’Autorità per la Cybersicurezza, che coordina gli sforzi nazionali, è anche incaricata di monitorare e fare rispettare la normativa.

Implicazioni per le Aziende e gli Enti Pubblici in Italia

L’entrata in vigore della Direttiva NIS 2 e del D.Lgs 138/2024 comporta un cambiamento significativo per molte realtà aziendali e pubbliche. Le organizzazioni devono ora adottare una strategia di cybersecurity che non si limiti a proteggere i dati sensibili, ma che abbracci una visione complessiva della sicurezza, con misure preventive, piani di risposta agli incidenti e una costante attività di monitoraggio.

Le PMI, che fino ad oggi erano meno coinvolte nella normativa, ora potrebbero essere chiamate a rispettare nuovi obblighi, soprattutto se operano in settori considerati “essenziali” o ad alto rischio. Questo significa che anche le piccole e medie imprese devono investire in soluzioni di cybersecurity avanzate, implementare formazione adeguata per i propri dipendenti e rivedere periodicamente la sicurezza dei propri sistemi.

Inoltre, la cooperazione tra enti pubblici e privati diventa fondamentale per affrontare le minacce informatiche globali. La creazione di canali di comunicazione per la condivisione delle informazioni sulle vulnerabilità e sugli attacchi è un aspetto cruciale che contribuirà a migliorare la resilienza dell’intero sistema digitale europeo.

I settori coinvolti

La Direttiva (UE) 2022/2555 interessa diversi settori chiave, che sono considerati essenziali per il funzionamento della società e dell’economia. Il D.Lgs 138/2024 riporta algli Allegati I e 2, rispettivamente, “i settori ad alta criticità” ed “altri settori critici”.

Tra i settori principali coperti dalle misure di cibersicurezza previste nella direttiva, troviamo:

1. Energia: Include le infrastrutture e i servizi legati alla produzione, distribuzione e fornitura di energia, come elettricità, gas e petrolio.

2. Trasporti: Comprende i servizi di trasporto aereo, marittimo e terrestre, nonché le infrastrutture associate.

3. Sanità: Riguarda le strutture sanitarie, i fornitori di servizi sanitari e le tecnologie dell’informazione utilizzate nel settore sanitario.

4. Acqua: Include la fornitura e la gestione delle risorse idriche, comprese le infrastrutture per la potabilizzazione e la distribuzione dell’acqua.

5. Infrastrutture digitali: Comprende i fornitori di servizi di comunicazione elettronica e i servizi di hosting, nonché le piattaforme digitali.

6. Settore finanziario: Riguarda le istituzioni finanziarie, come banche e compagnie assicurative, che gestiscono dati sensibili e transazioni economiche.

7. Servizi essenziali: Include anche altri servizi che sono fondamentali per il funzionamento della società, come i servizi di emergenza e le infrastrutture critiche.

La direttiva mira a garantire che questi settori adottino misure adeguate per proteggere le loro infrastrutture e servizi da minacce informatiche, contribuendo così a una maggiore resilienza cibernetica in tutta l’Unione Europea.

Il coinvolgimento di numerose aziende in questi settori critici porterà, a cascata, anche il coinvolgimento della catena di fornitura, con richieste contrattuali severe sulla sicurezza informatica.

Le misure di sicurezza richieste

La Direttiva (UE) 2022/2555 impone diverse misure di sicurezza alle aziende coinvolte, al fine di garantire un elevato livello di cibersicurezza. Le principali misure di sicurezza includono:

1. Politiche di analisi dei rischi: Le aziende devono sviluppare e mantenere politiche per identificare e valutare i rischi associati alla sicurezza informatica.
2. Strategie per la gestione degli incidenti: È necessario avere piani e procedure in atto per gestire e rispondere agli incidenti di sicurezza informatica. Le aziende sono anche obbligate a notificare alle autorità competenti qualsiasi incidente significativo di sicurezza informatica che possa avere un impatto sui servizi essenziali o sui dati sensibili. La notifica deve avvenire entro un termine specificato dalla direttiva.
3. Piani di continuità operativa: Le aziende devono prepararsi a garantire la continuità dei servizi anche in caso di incidenti di sicurezza.
4. Sicurezza della catena di approvvigionamento: Le misure devono estendersi anche ai fornitori e ai partner, assicurando che la sicurezza sia mantenuta lungo tutta la catena di approvvigionamento.
5. Gestione della Sicurezza del Software: Le aziende dovranno adottare procedure per garantire la sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informatici e di rete, compresa la gestione e la divulgazione delle vulnerabilità ed i relativi aggiornamenti.
6. Pratiche di igiene informatica: È fondamentale adottare buone pratiche di igiene informatica per prevenire attacchi e vulnerabilità.
7. Misure tecniche, operative e organizzative: Le misure devono essere adeguate e proporzionate ai rischi identificati, mirando a proteggere i sistemi informatici e di rete da attacchi e a minimizzare l’impatto degli incidenti. Queste misure possono includere la crittografia, il controllo degli accessi, la protezione dei dati e la formazione del personale.
8. Valutazione della conformità: Le aziende devono essere pronte a sottoporsi a valutazione della conformità per valutare l’efficacia delle misure di sicurezza intraprese e garantire che rispettino gli obblighi di sicurezza stabiliti dalla direttiva. Ciò può includere audit e controlli da parte di fornitori specializzati (es. Penetration Test e Vulnerability Assessment) delle autorità competenti.

Queste misure sono progettate per garantire che le aziende adottino un approccio proattivo alla sicurezza informatica, contribuendo così a una maggiore resilienza e protezione contro le minacce cibernetiche.

Le misure di sicurezza sono simili ai controlli previsti dalla nota ISO 27001 per i sistemi di gestione della sicurezza delle informazioni, ma quali sono le differenze? Chi è già certificato ISO 27001 o sta per farlo è già conforme alla NIS 2? Occorre fare alcune precisazioni.

Da un lato i controlli ISO 27001 (e linea guida ISO 27002) coprono uno spettro più ampio della sicurezza delle informazioni, dall’altro alcune misure di sicurezza richieste dalla NIS 2 sono più specifiche (es. gestione e notifica degli incidenti).

La NIS 2 è più orientata alla Cybersecurity ed alla protezione delle informazioni sensibili per il funzionamento delle infrastrutture critiche, mentre il campo di applicazione di un SGSI ISO 27001 può spaziare in diversi ambiti e, pertanto, potrebbe avere un perimetro più esteso di quello della NIS 2. Attenzione però che data breach di attività e servizi fuori dal perimetro della NIS 2 non possano coinvolgere attività e servizi critici entro il perimetro NIS 2.

La procedura di registrazione al portale ACN

La registrazione al portale ACN èobbligatoria entro il 28 febbraio 2025, in mancanza l’azienda, se rientra tra i soggetti nell’ambito della Direttiva, è soggetta a sanzione.

Informazioni necessarie per la registrazione

La registrazione si compone di tre fasi: il censimento del punto di contatto, la sua associazione al soggetto NIS e la compilazione della dichiarazione.

1. Per la fase di censimento del punto di contatto, sarà necessario verificare o fornire i seguenti dati:

   1. nome e cognome;
   2. luogo e data di nascita;
   3. codice fiscale;
   4. cittadinanza;
   5. Paese di residenza e, ove richiesto, di domicilio;
   6. indirizzo di posta elettronica ordinaria, preferibilmente individuale, nonché di servizio, aziendale o professionale;
   7. ove disponibile, un indirizzo di posta elettronica certificata, preferibilmente individuale, nonché di servizio, aziendale o professionale;
   8. numero di telefono, preferibilmente individuale, nonché di servizio, aziendale o professionale;
   9. ove disponibile, un numero alternativo di telefono, preferibilmente individuale di servizio, aziendale o professionale.

2. Per la fase di associazione del punto di contatto al soggetto NIS, sarà necessario disporre del codice fiscale di quest’ultimo. Inoltre, qualora il Punto di contatto non sia il rappresentante legale del soggetto o un suo procuratore generale censito sul registro delle imprese, sarà necessario caricare il titolo giuridico che lo delega a operare per conto del soggetto.
3. Per la fase di compilazione della dichiarazione, sarà necessario disporre:

   1. dell’elenco dei codici ATECO che caratterizzano le attività svolte e i servizi erogati dal soggetto, con particolare riferimento all’ambito di applicazione del decreto NIS;
   2. delle normative europee settoriali citate dal decreto NIS per delimitarne l’ambito di applicazione che si applicano al soggetto;
   3. del numero di dipendenti, il fatturato e il bilancio del soggetto. Qualora il soggetto non sia una impresa autonoma, il numero di dipendenti, il fatturato e il bilancio del soggetto calcolato ai sensi della raccomandazione 2003/361/CE, con particolare riguardo all’articolo 6, paragrafo 2, dell’allegato alla raccomandazione medesima;
   4. l’elenco delle tipologie di soggetto di cui agli allegati I, II, III e IV, a cui è riconducibile il soggetto (ovvero soggetto appartenente a settori ad alta criticità, altri settori critici, P.A.,…) ;
   5. l’autovalutazione del soggetto quale essenziale, importante o fuori ambito, sulla base di quanto previsto dagli articoli 3 e 6 del decreto NIS.

Per i soggetti che non sono imprese autonome (ovvero hanno imprese collegate, associate e/o fanno parte di un gruppo di imprese), in fase di registrazione sarà inoltre necessario fornire le informazioni indicate nel seguito.

Per i Gruppi di imprese che si devono registrare

Con riferimento alla designazione del punto di contatto, al fine di non imporre radicali cambiamenti nel governo della sicurezza informatica, i soggetti che fanno parte di un gruppo di imprese ai sensi dell’articolo 1, comma 1, lettera u), della Determinazione 38565/2024, possono designare quale punto di contatto il dipendente di un’altra impresa che rientra nell’ambito di applicazione del decreto NIS e che fa parte del medesimo gruppo di imprese.

Pertanto, ad esempio:

1. nei gruppi di imprese nei quali il governo della sicurezza informatica è decentralizzato, i soggetti che fanno parte del gruppo possono designare ognuno un proprio dipendente quale punto di contatto;
2. nei gruppi di imprese nei quali il governo della sicurezza informatica è centralizzata, i soggetti che fanno parte del gruppo possono tutti designare quale punto di contatto un dipendente della struttura del gruppo che governa la sicurezza informatica, oppure designare ognuno un proprio dipendente quale punto di contatto che si coordinerà con la struttura del gruppo che governa la sicurezza informatica.

Qualora la stessa persona fisica sia designata quale punto di contatto per tutti o una parte dei soggetti NIS del gruppo di imprese, occorrerà ripetere la fase di associazione e registrazione per ogni soggetto NIS.

Inoltre, con riferimento alla registrazione di soggetti che non sono imprese autonome ai sensi dell’articolo 1, comma 1, lettera t) della Determinazione 38565/2024, sarà necessario fornire le seguenti ulteriori informazioni rispetto a quanto illustrato in precedenza:

1. il codice fiscale e la ragione sociale della capogruppo, qualora il soggetto appartenga a un gruppo e non sia la capogruppo;
2. il codice fiscale e la ragione sociale di tutte le imprese collegate, ai sensi della Determinazione 38565/2024, articolo 1, comma 1, lettera s), che soddisfano almeno uno dei criteri di cui all’articolo 3, comma 10, del decreto legislativo 138/2024 (decreto NIS) nei confronti del soggetto medesimo;
3. il codice fiscale e la ragione sociale di tutte le imprese collegate che, per quanto noto, siano a loro volta soggetti NIS, ai sensi della Determinazione 38565/2024, articolo 1, comma 1, lettera s), nei confronti dei quali il soggetto medesimo soddisfa almeno uno dei criteri di cui all’articolo 3, comma 10, del decreto legislativo 138/2024 (decreto NIS);
4. il numero di dipendenti, il fatturato e il bilancio del soggetto calcolato ai sensi della raccomandazione 2003/361/CE, con particolare riguardo all’articolo 6, paragrafo 2, dell’allegato alla raccomandazione medesima.

Infine, con riferimento a quest’ultimo punto, qualora tale soggetto ritenga sproporzionata l’applicazione dell’articolo 6, paragrafo 2, dell’allegato alla raccomandazione 2003/361/CE, sarà necessario fornire anche:

1. il numero di dipendenti, il fatturato e il bilancio del soggetto calcolato ai sensi della raccomandazione 2003/361/CE, senza tenere conto di quanto previsto dall’articolo 6, paragrafo 2, dell’allegato alla raccomandazione medesima;
2. la valutazione del grado di indipendenza (totale parziale o assente) dei sistemi informativi e di rete NIS dell’organizzazione dai sistemi informativi e di rete delle imprese collegate. Con attività e servizi NIS si intendono le attività e i servizi per i quali l’organizzazione rientra nell’ambito di applicazione del decreto NIS. Con sistemi informativi e di rete NIS, si intendono i sistemi informativi e di rete che abilitano attività e servizi NIS;
3. la valutazione del grado di indipendenza (totale parziale o assente) delle attività e dei servizi NIS dell’organizzazione NIS dalle attività e dai servizi delle imprese collegate;
4. la risposta (si, in parte, no) alle domande seguenti:

   1. I sistemi informativi e di rete delle imprese collegate concorrono ai sistemi informativi e di rete NIS dell’organizzazione?
   2. Le attività e i servizi di imprese collegate concorrono alle attività e servizi NIS dell’organizzazione?
   3. Le imprese collegate sono essenziali nella catena di approvvigionamento, anche digitale, dell’organizzazione?

Criteri per designare il punto di contatto

Il Punto di contatto è il rappresentante legale o un suo procuratore generale oppure un dipendente delegato del soggetto.

In quest’ultimo caso, nel corso della registrazione, il punto di contatto dovrà caricare il titolo giuridico che lo delega a operare per conto del soggetto nel contesto NIS. Come titolo giuridico è sufficiente una delega del rappresentante legale che può essere ad-hoc (modello suggerito) o anche una delega pre-esistente più ampia.

Per le pubbliche amministrazioni è possibile designare quale punto di contatto il dipendente di un’altra pubblica amministrazione che rientra nell’ambito di applicazione del decreto NIS.

Analogamente, i soggetti che fanno parte di un gruppo di imprese possono designare quale punto di contatto il dipendente di un’altra impresa che rientra nell’ambito di applicazione del decreto NIS e che fa parte del medesimo gruppo di imprese.

Il punto di contatto ha il compito di curare l’attuazione delle disposizioni del decreto NIS per conto del soggetto stesso, a partire dalla registrazione, e interloquisce, per conto del soggetto NIS, con l’Autorità nazionale competente NIS.

Conclusioni

La Direttiva NIS 2 e il Decreto Legislativo 138/2024 rappresentano un passo importante nella protezione delle infrastrutture digitali e nella lotta contro il crimine informatico. Con l’adozione di misure più rigorose e la creazione di un sistema di cooperazione tra Stati membri, l’UE sta cercando di creare un ambiente digitale più sicuro e resistente.

Per diverse aziende l’interpretazione dell’ambito di applicazione, ovvero se sono obbligate o meno all’applicazione della NIS 2, non è semplice; si auspica chiarimenti da parte di ACN, molto attiva sull’argomento (si veda https://www.acn.gov.it/portale/faq/cloud).

Per le aziende italiane, la sfida non è solo adeguarsi alle nuove normative, ma farlo in modo proattivo, rafforzando la sicurezza informatica e costruendo una cultura della protezione che diventi parte integrante delle loro operazioni quotidiane.

Investire in cybersecurity non è più un’opzione: è una necessità imprescindibile per proteggere i dati, la privacy e la reputazione di ciascuna organizzazione. Con il Decreto 138/2024, l’Italia compie un passo decisivo verso una maggiore protezione delle sue reti e sistemi informativi, rafforzando la fiducia nel sistema digitale europeo.

La norma ISO 90003 (UNI CEI ISO/IEC/IEEE 90003:2020 – Linee guida per l’applicazione della norma ISO 9001 nel settore del software) è una guida preziosa per le organizzazioni che desiderano applicare la ISO 9001:2015 nel campo dello sviluppo e della gestione del software. Questa norma offre indicazioni chiare per l’acquisizione, la fornitura, lo sviluppo, il funzionamento e la manutenzione del software, senza modificare i requisiti esistenti della ISO 9001:2015. L’applicazione di questa linea guida costituisce un passo importante per garantire la qualità e l’affidabilità dei servizi legati alle applicazioni software di qualsiasi tipo.

Oggi, purtroppo, si denota un forte decadimento della qualità del software sviluppato per le diverse applicazioni (programmi desktop, programmi client-server, applicazioni web, app per dispositivi mobili, ecc.). Il continuo aggiornamento dei software, causato apparentemente per motivi di sicurezza, ovvero per “patchare” le vulnerabilità emerse, in realtà maschera una qualità del software non adeguata al momento del rilascio. La fretta nel rilasciare nuove versioni spesso porta a trascurare test adeguati allo scopo e l’evento che ha messo in crisi a livello mondiali moltissimi sistemi Microsoft lo scorso luglio ne è solo un esempio.

Obiettivi della norma

I principali obiettivi della norma UNI CEI ISO/IEC/IEEE 90003:2020 sono:

1. Guida all’applicazione della ISO 9001:2015: Fornire indicazioni specifiche per le organizzazioni su come applicare i principi e i requisiti della ISO 9001:2015 nel contesto dello sviluppo e della gestione del software.
2. Supporto per l’acquisizione e la fornitura di software: Offrire linee guida per l’acquisizione, la fornitura, lo sviluppo, il funzionamento e la manutenzione del software e dei relativi servizi di supporto.
3. Mantenimento della qualità: Assicurare che le pratiche di gestione del software siano allineate con gli standard di qualità internazionali, contribuendo così a migliorare la qualità e l’affidabilità dei prodotti software.
4. Non modificare i requisiti ISO 9001:2015: La norma non aggiunge né modifica i requisiti della ISO 9001:2015, ma si concentra sull’applicazione di questi requisiti nel settore del software.

I benefici nell’applicazione delle linee guida

I benefici per un’organizzazione nell’applicare le linee guida della norma UNI CEI ISO/IEC/IEEE 90003:2020 alla gestione del software includono:

1. Miglioramento della qualità del software: L’applicazione della norma aiuta a stabilire processi e pratiche che migliorano la qualità del software sviluppato, riducendo difetti e aumentando la soddisfazione del cliente.
2. Allineamento con standard internazionali: Seguendo le linee guida della norma, le organizzazioni possono garantire che i loro processi di gestione del software siano conformi agli standard internazionali, facilitando l’integrazione e la cooperazione con partner e clienti globali.
3. Ottimizzazione dei processi: La norma fornisce indicazioni su come implementare un sistema di gestione della qualità (SGQ) efficace, che può portare a una maggiore efficienza operativa e a una riduzione dei costi attraverso processi più snelli e ben definiti.
4. Flessibilità e adattabilità: La norma è progettata per essere indipendente dalla tecnologia e dai modelli di ciclo di vita, permettendo alle organizzazioni di adattare le linee guida alle loro specifiche esigenze e contesti operativi.
5. Supporto alla gestione del rischio: Implementando un sistema di gestione per la qualità basato su questa norma, le organizzazioni possono identificare e gestire meglio i rischi associati allo sviluppo e alla manutenzione del software, contribuendo a una maggiore stabilità e affidabilità dei prodotti.
6. Soddisfazione del cliente: Un focus sulla qualità e sull’affidabilità del software porta a una maggiore soddisfazione del cliente, poiché i prodotti e i servizi forniti rispondono meglio alle loro esigenze e aspettative.

I requisiti principali della norma

I requisiti principali che caratterizzano la norma UNI CEI ISO/IEC/IEEE 90003:2020, in relazione all’applicazione della ISO 9001:2015 nel contesto del software, includono:

1. Sistema di gestione della qualità (SGQ, QMS nella dizione inglese): Le organizzazioni devono stabilire, implementare, mantenere e migliorare un sistema di gestione della qualità che soddisfi i requisiti della ISO 9001:2015, adattandolo alle specificità del settore software.
2. Focus sul cliente: È fondamentale garantire che i requisiti dei clienti siano compresi e soddisfatti, contribuendo così a migliorare la soddisfazione del cliente stesso.
3. Processo di sviluppo del software: La norma incoraggia l’adozione di processi ben definiti per lo sviluppo, la gestione e la manutenzione del software, che possono includere pratiche di ingegneria del software come quelle descritte in ISO/IEC/IEEE 12207:2017.
4. Documentazione e registrazioni: Le organizzazioni devono mantenere documentazione adeguata e registrazioni (informazioni documentate da conservare secondo la definizione ISO 9001:2015) per dimostrare la conformità ai requisiti del SGQ e per facilitare il monitoraggio e la revisione dei processi.
5. Gestione dei rischi: È richiesto un approccio basato sul rischio per identificare, valutare e gestire i rischi associati ai processi di sviluppo del software, al fine di prevenire effetti negativi sulla qualità.
6. Miglioramento continuo: Le organizzazioni devono impegnarsi in un processo di miglioramento continuo, utilizzando feedback, audit e analisi delle prestazioni per identificare opportunità di miglioramento.
7. Formazione e competenza: È essenziale garantire che il personale coinvolto nei processi di sviluppo del software sia adeguatamente formato e competente, per garantire la qualità del lavoro svolto.

Questi requisiti mirano a garantire che le organizzazioni possano fornire software di alta qualità, soddisfacendo le aspettative dei clienti e conformandosi agli standard internazionali. Purtroppo spesso gli auditor ISO 9001 degli organismi di certificazione non entrano nel dettaglio di questi aspetti secondo quello che è indicato in questa normativa che, seppur linea guida, costituiscxe un valido strumento per comprendere se i requisiti ISO 9001 sono stati declinati correttamente nelle attività legate al settore informatico dello sviluppo software.

I test

Secondo la norma UNI CEI ISO/IEC/IEEE 90003:2020, la gestione del test del software deve seguire alcuni principi e pratiche chiave per garantire la qualità e l’affidabilità del prodotto finale. Ecco come deve essere gestito il test del software:

1. Pianificazione dei test: È fondamentale sviluppare un piano di test che definisca gli obiettivi, le strategie, le risorse necessarie e i criteri di accettazione. Questo piano deve essere allineato con i requisiti del software e le aspettative del cliente.
2. Definizione dei requisiti di test: I requisiti di test devono essere chiaramente definiti e documentati, in modo da garantire che tutti gli aspetti del software siano testati in modo adeguato. Ciò include la definizione di casi di test basati sui requisiti funzionali e non funzionali.
3. Esecuzione dei test: I test devono essere eseguiti in modo sistematico e documentato. È importante registrare i risultati dei test, compresi eventuali difetti riscontrati, per facilitare la tracciabilità e la gestione delle problematiche.
4. Verifica e validazione: I test devono essere utilizzati per verificare che il software soddisfi i requisiti specificati (verifica) e per convalidare che il software soddisfi le esigenze e le aspettative del cliente provandolo nell’ambiente operativo finale (validazione).
5. Gestione dei difetti/anomalie: Deve essere implementato un processo per la gestione dei difetti, anomalie o malfunzionamenti identificati durante i test. Questo include la registrazione, la classificazione, la risoluzione e la verifica delle correzioni apportate.
6. Riesame dei risultati dei test: I risultati dei test devono essere analizzati e riesaminati per identificare aree di miglioramento e per garantire che le problematiche siano state risolte in modo efficace. Questo processo contribuisce al miglioramento continuo del sistema di gestione della qualità.
7. Documentazione dei test: È essenziale mantenere una documentazione dettagliata dei test, compresi i piani di test, i casi di test, i risultati e le azioni correttive intraprese. Questa documentazione serve come riferimento per audit e revisioni future.

Implementando queste pratiche, le organizzazioni possono garantire che il processo di test del software sia efficace e contribuisca a fornire prodotti di alta qualità che soddisfano le aspettative dei clienti. Troppo spesso i test vengono demandati allo sviluppatore stesso senza fornirgli indicazioni precisi di cosa e come deve essere testato l’applicativo. Spesso non vengono redatte delle vere e proprie Specifiche di Test che normalmente possono essere differenti dalle Specifiche dei Requisiti dell’applicativo: come testare un software è cosa diversa da come lo si deve realizzare.

La manutenzione del software

Ma dopo il collaudo di accettazione ed il rilascio come deve essere gestita la manutenzione del software e l’assistenza tecnica ai clienti secondo questa norma?

Secondo la norma UNI CEI ISO/IEC/IEEE 90003:2020, la gestione della manutenzione del software e dell’assistenza tecnica ai clienti deve seguire alcune linee guida fondamentali per garantire la qualità e l’affidabilità del servizio. Ecco come deve essere gestita:

1. Pianificazione della manutenzione: È importante sviluppare un piano di manutenzione che definisca le attività necessarie per mantenere il software in buone condizioni operative. Questo piano dovrebbe includere la gestione delle modifiche, la risoluzione dei problemi e le attività di supporto.
2. Attività di manutenzione: Le attività di manutenzione devono comprendere:
3. Risoluzione dei problemi e supporto tecnico, inclusa l’assistenza help desk.
4. Monitoraggio del sistema per rilevare eventuali guasti o malfunzionamenti.
5. Modifiche all’interfaccia quando si apportano aggiunte o cambiamenti ai componenti hardware controllati dal software.
6. Gestione della configurazione, test e attività di assicurazione della qualità.

3. Documentazione delle attività di manutenzione: È essenziale mantenere registrazioni dettagliate delle attività di manutenzione, comprese le modifiche apportate, i problemi risolti e le interazioni con i clienti. Queste registrazioni possono essere utilizzate per valutare e migliorare il prodotto software e il sistema di gestione della qualità.
4. Assistenza tecnica ai clienti: L’assistenza ai clienti deve essere ben strutturata e deve includere:
5. Un sistema di supporto per rispondere alle richieste e ai problemi dei clienti. Un buon sistema di ticketing costituisce un valido supporto per svolgere l’assistenza tecnica al cliente.
6. Formazione e documentazione per i clienti, per aiutarli a utilizzare il software in modo efficace.
7. Un processo per raccogliere feedback dai clienti, che può essere utilizzato per migliorare il software e i servizi di supporto.

5. Gestione dei rischi: Le organizzazioni devono gestire i rischi associati alla manutenzione del software, inclusi quelli legati alla disponibilità del supporto per i prodotti acquistati e alla continuità del servizio.
6. Miglioramento continuo: Le informazioni raccolte durante le attività di manutenzione e assistenza devono essere utilizzate per identificare opportunità di miglioramento, sia per il software che per i processi di supporto. Questo approccio contribuisce a garantire che il software rimanga rilevante e soddisfi le esigenze dei clienti nel tempo.

Implementando queste pratiche, le organizzazioni possono garantire che la manutenzione del software e l’assistenza tecnica siano gestite in modo efficace, contribuendo così alla soddisfazione del cliente e alla qualità complessiva del prodotto.

Naturalmente non vanno dimenticati i requisiti contrattuali con i clienti. Spesso le attività di manutenzione orinaria sono comprese nel canone di licenza d’uso (o canone di abbonamento per software SaaS). Esse comprendono la risoluzione dei bug o malfunzionamenti software, il supporto operativo nell’utilizzo dell’applicativo (talvolta compreso un “monte ore” di assistenza), interventi eseguiti entro determinati SLA e così via.

Las manutenzione comprende non solo attività correttive, ma anche attività evolutive, ovvero modifiche che migliorano le funzionalità e la sicurezza del software. La loro gestione deve essere mantenuta sotto controllo attraverso procedure di change management che definiscano un ciclo di approvazione delle modifiche comprendente anche la valutazione dei possibili effetti negativi dell’implementazione delle modifiche sulle funzionalità preesistenti, prevedendo appositi test di regressione (regression test).

È opportuno che il fornitore del servizio di assistenza software stabilisca con il cliente una classificazione delle anomalie segnalate per livello di gravità (es. Bloccante, Critica, Secondaria…) e per priorità dell’intervento (es. priorità alta richiede un intervento entro 4 ore, ecc.).

In base ai requisiti contrattuali il fornitore del servizio di assistenza dovrà dimensionare adeguatamente le proprie risorse dedicate.

Documenti e registrazioni

Ma quali sono le principali registrazioni da conservare e documenti da mantenere nel ciclo di progettazione e sviluppo software?

Secondo la norma UNI CEI ISO/IEC/IEEE 90003:2020, è fondamentale mantenere una serie di registrazioni e documenti durante il ciclo di progettazione e sviluppo del software per garantire la qualità e la tracciabilità del processo. Le principali registrazioni e documenti da conservare includono:

1. Piani di progetto: Documenti che definiscono gli obiettivi, le risorse, le tempistiche e le strategie per il progetto di sviluppo software.
2. Requisiti del software: Documentazione che specifica i requisiti funzionali e non funzionali del software, inclusi i criteri di accettazione.
3. Specifiche di progettazione e sviluppo: Documenti che descrivono l’architettura, il design e le specifiche tecniche del software, inclusi diagrammi di flusso e modelli E-R.
4. Casi di test e risultati: Documentazione relativa ai casi di test sviluppati per verificare e validare il software, insieme ai risultati ottenuti durante le attività di test.
5. Documentazione di sviluppo: Include codice sorgente, pseudo codice, modelli di dati e qualsiasi altro output generato durante il processo di sviluppo.
6. Documentazione di supporto: Manuali utente, documentazione operativa, materiale di formazione e documentazione di manutenzione.
7. Registrazioni dei riesami, verifiche e validazioni: Verbali delle riunioni e delle review del progetto, che documentano le decisioni prese e le modifiche apportate durante il ciclo di vita del progetto.
8. Registrazioni delle modifiche: Documentazione delle modifiche apportate al software, inclusi i motivi delle modifiche e l’impatto previsto (processo di change management).
9. Documentazione di gestione della configurazione: Registrazioni relative alla gestione della configurazione del software, che includono lo stato delle versioni, le modifiche e le approvazioni. Il processo di configuration management oggi non può più essere gestito senza tool appositi (es. SVN, GitHub, Microsoft Source Safe, ecc.).
10. Feedback e valutazioni*: Documentazione relativa al feedback ricevuto dagli utenti e alle valutazioni delle prestazioni del software, che possono essere utilizzate per miglioramenti futuri.

Mantenere questi documenti e registrazioni non solo aiuta a garantire la qualità del software, ma fornisce anche una base per audit, revisioni e miglioramento continuo del processo di sviluppo.

Il processo di progettazione e sviluppo software

Vediamo ora una breve sintesi del capitolo più importante di questa norma, ovvero quello dedicato al processo di Progettazione e sviluppo software.

8.3 PROGETTAZIONE E SVILUPPO DI PRODOTTI E SERVIZI

8.3.1 Generalità

• La progettazione e lo sviluppo devono essere disciplinati per prevenire problemi.
• Riduzione della dipendenza dalla verifica e validazione per l’identificazione dei problemi.

8.3.2 Pianificazione della progettazione e dello sviluppo

• La pianificazione deve coprire attività come analisi, progettazione, sviluppo, testing, installazione e supporto.
• Include anche gestione delle risorse, interfacce, analisi dei rischi e altro.

8.3.2.2 Ciclo di vita del software

• L’uso di modelli di ciclo di vita  (es. Waterfall, Agile) appropriati è essenziale.
• Adattamento delle procedure con il progredire del progetto.

8.3.2.3 Riesame, verifica e validazione

• Riesame, verifica e validazione per la progettazione e lo sviluppo del software.
• Operazioni e manutenzione del software trattate negli accordi sul livello di servizio o nelle procedure di manutenzione.

8.3.2.4 Responsabilità e autorità

• Applicabile al software, ma senza una guida specifica per il software.

8.3.2.5 Interfacce

• Definizione chiara delle responsabilità e delle informazioni tra le parti coinvolte nel prodotto software.
• Coinvolgimento degli utenti finali e funzioni operative intermedie nelle interfacce.

8.3.3 Input di progettazione e sviluppo

• Necessità di input chiari e precisi per garantire un progetto e sviluppo efficace.
• Revisione accurata per eliminare ambiguità e assicurare coerenza.

8.3.4 Riesame, verifica e validazione dei risultati

• Attività formali per assicurare che i risultati siano conformi ai requisiti.
• Procedure di gestione delle carenze identificate durante le attività di revisione.

8.3.5 Risultati della progettazione e dello sviluppo

• Definizione e documentazione completa degli output del processo di progettazione e sviluppo.
• Conservazione dei risultati specificati per un periodo coerente con la politica di gestione documenti.

Per la gestione della configurazione viene fatto riferimento alla norma ISO/IEC/IEEE 12207:2017.

Conclusioni

Oggi il software impatta in modo significativo non solo sulle attività produttive, ma anche sulle attività umane ordinarie (rapporti con la P.A. per richiedere informazioni e fornire dichiarazioni e pagamenti, sistemi di pagamento,  sistemi IOT presenti in aziende ed anche in ambienti domestici, app per lo svago e l’intrattenimento,…), pertanto è necessario che chi progetta, sviluppa e manutiene il software applichi regole consolidate per garantire un livello di qualità e sicurezza delle applicazioni adeguato all’utilizzo che ne viene fatto.

Sicuramente l’Intelligenza Artificiale è uno (se non il primo) degli argomenti più in vogha e dibattuti di questi ultimi mesi.

Dall’uscita di ChatGPT, seguita da Microsoft Copilot e Google Bard, in poi si è dibattuto su diversi aspetti dell’IA: aspetti etici, di privacy, perdita di posti di lavoro, strumento utile per le imprese e così via.

Proprio per questo la Commissione Europea è voluta intervenire in gran fretta emanando il c.d. “AI Act” di cui si parla molto in questi giorni.

L’AI non è una novità degli ultimi anni, ma il passaggio epocale si è avuto con il passaggio all’AI generativa che si differenzia da altre applicazioni di AI. Ma cos’è l’IA generativa?

L’intelligenza artificiale generativa (AI generativa) è una categoria di intelligenza artificiale (IA) che si concentra sulla creazione di dati o contenuti, come immagini, musica, testo, o altri tipi di informazioni, invece che sull’analisi o sull’interpretazione di dati esistenti.

Ci sono diverse modalità attraverso le quali l’IA generativa può operare:

1. Reti neurali generative (GANs): Le reti neurali generative sono uno dei metodi più diffusi per l’IA generativa. Le GANs sono composte da due reti neurali: il generatore e il discriminatore. Il generatore crea nuovi dati, mentre il discriminatore cerca di distinguere i dati generati da quelli reali. Le due reti vengono addestrate insieme in modo che il generatore possa migliorare continuamente nella creazione di dati realistici.
2. Reti neurali ricorrenti (RNNs) e reti neurali trasformative (TNNs): Questi tipi di reti sono utilizzate per generare sequenze di dati, come testo o musica. Le RNNs sono particolarmente efficaci nel generare dati sequenziali poiché possono tenere conto del contesto temporale. Le TNNs, d’altra parte, utilizzano trasformatori per elaborare sequenze di dati in parallelo, rendendo il processo più efficiente.
3. Altri approcci: Ci sono anche altri approcci all’IA generativa che utilizzano tecniche diverse, come le reti neurali Bayesiane o i modelli di Markov nascosti.

Le principali differenze tra l’IA generativa e altre tipologie di intelligenza artificiale, come l’IA basata su regole o l’IA di apprendimento supervisionato, risiedono nel loro scopo e nella modalità di funzionamento:

1. Scopo: L’IA generativa si concentra sulla creazione di nuovi dati o contenuti, mentre altre forme di IA possono essere utilizzate per compiti come la classificazione, la previsione o l’ottimizzazione.
2. Modalità di funzionamento: Mentre altre forme di IA spesso lavorano con dati esistenti per estrarre informazioni o fare previsioni, l’IA generativa crea nuovi dati dall’interno del sistema, spesso senza dipendere direttamente dai dati di addestramento.

In sintesi, l’IA generativa è un ramo dell’intelligenza artificiale che si occupa della creazione di nuovi dati o contenuti, utilizzando una varietà di tecniche e approcci, come le reti neurali generative o le reti neurali ricorrenti. Le sue principali differenze risiedono nel suo scopo e nella modalità di funzionamento rispetto ad altre forme di IA.

Ma quali sono le applicazioni dell’intelligenza artificiale che possono essere utili per le imprese?

Le applicazioni dell’intelligenza artificiale (IA) per le imprese sono molteplici e sempre più diffuse in diversi settori. Alcuni esempi includono:

1. Automatizzazione dei processi: L’IA può automatizzare una vasta gamma di processi aziendali, riducendo il carico di lavoro manuale e migliorando l’efficienza. Questo può includere l’automatizzazione dei processi di produzione, gestione delle scorte, fatturazione, supporto clienti e molto altro.
2. Analisi dei dati: L’IA può analizzare grandi quantità di dati aziendali per estrarre insight significativi e informazioni utili per prendere decisioni informate. Questo può includere l’analisi predittiva per prevedere tendenze di mercato, la segmentazione dei clienti per personalizzare le offerte, l’individuazione di anomalie per la sicurezza informatica e molto altro.
3. Servizi clienti intelligenti: L’IA può essere utilizzata per migliorare l’esperienza del cliente attraverso chatbot intelligenti che forniscono supporto immediato e personalizzato, sistemi di raccomandazione per suggerire prodotti o servizi pertinenti e analisi dei sentimenti per comprendere meglio le esigenze e le opinioni dei clienti.
4. Manutenzione predittiva: L’IA può essere impiegata per prevedere guasti o problemi di manutenzione in anticipo, consentendo alle imprese di effettuare interventi preventivi e ridurre i costi di manutenzione e i tempi di inattività.
5. Ottimizzazione delle risorse: L’IA può ottimizzare l’utilizzo delle risorse aziendali, come la gestione delle flotte di veicoli, l’allocazione delle risorse umane e la pianificazione della produzione, per massimizzare l’efficienza e ridurre i costi operativi.
6. Personalizzazione dei servizi: L’IA può aiutare le imprese a offrire servizi altamente personalizzati ai propri clienti, utilizzando algoritmi di apprendimento automatico per adattare le offerte in base alle preferenze individuali e al comportamento passato dei clienti.
7. Sicurezza informatica: L’IA può migliorare la sicurezza informatica attraverso sistemi di rilevamento delle minacce basati sull’apprendimento automatico che identificano e rispondono in tempo reale alle potenziali minacce alla sicurezza dei dati aziendali.
8. Produzione di contenuti: Produzione di contenuti: L’IA può generare contenuti scritti, come post per siti web o pubblicità personalizzate.
9. Ottimizzazione delle operazioni di inventario: L’IA aiuta a gestire gli stock in modo efficiente

Questi sono solo alcuni esempi delle molte applicazioni dell’IA per le imprese. In generale, l’IA può essere utilizzata per migliorare l’efficienza operativa, ottimizzare le decisioni aziendali, migliorare l’esperienza del cliente e creare nuove opportunità di business.

Dai di addestramento dell’AI

Questo, però, solo in teoria, perché l’IA deve essere addestrata con informazioni reali e, come avviene per altri processi di elaborazione computerizzata di dati, il risultato di un algoritmo deterministico produce dati che dipendono dall’input e si può ricordare il principio “garbage in – garbage out”. Ovvero se i dati in input sono una schifezza, i dati in output lo saranno altrettanto!

Ho sentito parlare di grandi opportunità per le imprese di utilizzare i dati in loro possesso attraverso l’intelligenza artificiale, ma molte imprese, soprattutto le medio-piccole, non hanno dati validi da analizzare. Questo perché anche molti progetti della c.d. Industria 4.0 sono stati unicamente finalizzati ad acquistare macchinari ed apparecchiature varie con sgravi fiscali, ma l’interconnessione e la raccolta dati è stata solo virtuale, ovvero non si sono impiegati software per la raccolta e la gestione dei dati provenienti dalle macchine. Dunque, molte aziende hanno acquistato macchinari moderni, in grado di acquisire deti sulla produzione, sui fermi macchina, sulla qualità dei prodotti e molto altro, ma non hanno investito nell’integrazione con sistemi MES, schedulatori, sistemi di Business Intelligence in grado di sfruttare i dati che le macchine potevano acquisire.

In queste situazioni l’IA non serve a nulla, bisogna fare un passo indietro e ricominciare daccapo con la raccolta dati.

La qualità dei risultati ottenuti dall’Intelligenza Artificiale dipende, pertanto, sia dalla programmazione dello strumento – realizzata dai tecnici che progettano e realizzano sistemi di IA – , sia dall’entità e dalla qualità dei dati per l’addestramento. Ecco, quindi, che diventa sempre più importante avere il controllo sui dati.

Rischi operativi

Possiamo citare diversi casi di IA oggi fallimentare: i chatbot ed alcuni sistemi di previsione delle esigenze dei clienti che ti propongono offerte di acquisto in base alle tue preferenze.

I chatbot che dovrebbero fornire assistenza ai clienti in realtà fanno spesso perdere tempo al cliente perché nella stragrande maggioranza dei casi non risolvono i problemi del cliente che sarà quasi sempre costretto a contattare un essere umano (possibilmente competente, magari anche che capisca bene la nostra lingua, ma questo è un altro discorso…) dopo aver accumulato una buona quantità di frustrazioni ed essersi indispettito per il rapporto intercorso con il chatbot.

Tra l’altro recentemente si è verificato un caso in cui una Compagnia di Assicurazione si è vista dover risarcire un cliente dei costi sostenuti per un’errata risposta di un chatbot sull’applicazione di uno sconto. Se aggiungiamo a questi rischi operativi anche i rischi privacy (che vedremo dopo), allora dovremmo riflettere bene prima di “ingaggiare” un chatbot per rispondere ai clienti. Si risparmieranno risorse, ma il livello di insoddisfazione del cliente crescerà sicuramente.

Anche sulla validità dei suggerimenti di acquisto proposti dall’AI ci sarebbe molto da obiettare e il passaggio da algoritmi deterministici poco efficaci e applicazioni dell’AI nel marketing digitale dovrebbe portare un valore aggiunto tangibile.

Altre ipotesi di applicazione dell’AI sono presenti nel campo della sanità. Facciamo un esempio.

L’AI potrebbe analizzare una mole considerevole di dati di esami diagnostici e prevedere una diagnosi per un paziente, se non addirittura una cura. Potrebbe essere sicuramente utile sfruttare il lavoro dell’IA per ipotizzare una diagnosi, ma poi la decisione la deve prendere un medico competente e deve anche assumersene le responsabilità. Riguardo alla cura il problema potrebbe non essere tutto sulle previsioni dell’IA, ma sui dati di addestramento, i dati in input. Per fare un esempio ormai noto a tutti, di fronte ad un caso di Covid-19 l’IA potrebbe suggerire una cura secondo i c.d. “protocolli ufficiali”, ovvero “tachipirina e vigile attesa”, tanto per intenderci. Ma molti medici – in forza di diversi studi – ritengono che tale cura sia non adeguata. Per cui torniamo sempre alla responsabilità del medico sulla decisione da prendere, senza potersi rivalere sull’IA in caso di errore.

Stesso discorso potrebbe essere fatto per la scelta di un farmaco: incrociando i dati del paziente, la diagnosi e i farmaci disponibili per la cura l’IA potrebbe suggerire il farmaco più adatto, ma parliamo sempre di un ausilio al medico, che potrebbe aiutarlo anche a non commettere errori (ad esempio valutando i possibili effetti avversi), ma non un esonero di responsabilità.

Passando ad altri impieghi dell’AI si è molto discusso delle possibili applicazioni – anche semplicemente di ChatGPT e dei suoi “cugini” – per generare testo su determinati argomenti e sulla possibilità che un tale impiego provochi l’eliminazione di posti di lavoro.

Evidentemente CHatGPT può essere utilizzato per redigere un articolo o un post di un Blog, per riassumere un testo o un libro noto ed anche per predisporre un questionario con un certo numero di domande con risposta multipla di cui una sola corretta su un determinato argomento non troppo specifico.

In tutti questi casi, per un utilizzo professionale (ovvero ad es. non per svolgere i compiti di scuola), è comunque necessaria una supervisione di una persona esperta dell’argomento per evitare di lasciar passare errori di contenuto.  Anche la semplice sintesi di un documento normativo effettuata da un tool di AI potrebbe evidenziare rischi di interpretazione errata di alcuni passi fondamentali.

Infine, bisogna considerare che l’IA (ad es. Chat GPT) non esprime pareri, dunque se un autore volesse analizzare un argomento fornendo il proprio punto di vista, dovrebbe comunque rielaborare la risposta di ChatGPT, Copilot, Bard o altre IA.

Molto utile si prospetta l’impiego dell’IA per sviluppare codice, ma anche qui vedremo in seguito che esistono dei rischi di sicurezza, dunque la revisione e test approfonditi di un programmatore esperto è fortemente consigliata.

Rischi Privacy

Ci sono due tipi di rischi sulla protezione dei dati personali legati all’IA:

• I dati raccolti dagli utenti che chiedono informazioni all’IA potrebbero non essere utilizzati con finalità lecite (con il consenso dell’utente dove richiesto) e tutto questo insieme di dati raccolti, se non anonimizzato, potrebbe – in caso di violazione degli archivi (data breach) – apportare danni significativi agli utenti stessi, in modo indefinito, perché non sappiamo quali domande pone e quali informazioni fornisce un utente all’IA. Ad es. un chatbot di una Banca o di una Assicurazione potrebbe raccogliere dati sensibili (dati relativi alla salute, dati finanziari, credenziali di accesso, ecc.);
• Se un determinato processo è governato dall’IA esso potrebbe portare a decisioni che comportano rischi per i diritti e le libertà dell’interessato. Anche qui gli esempi sono molteplici: dall’errata diagnosi di una malattia di un paziente, all’assegnazione o non assegnazione di un lavoro a un candidato, alla mancata erogazione di un premio, ecc.

Non voglio qui trattare rischi dovuti ad un uso illecito dell’IA, salvo quanto riportato a proposito dell’IT Security; naturalmente come qualsiasi strumento – fisico o informatico – anche l’IA se usata per scopi criminali può arrecare danni alle persone, sia fisici che morali, compresi quelli disciplinati dalla normativa privacy (GDPR in UE).

Sicurezza informatica

Un discorso a parte va fatto sulla sicurezza informatica.

Da un lato l’AI aiuta le difese dagli attacchi hacker per riconoscere in tempo reale un attacco, un’intrusione nascosta nei sistemi, un tentativo di phishing e molto altro; dall’altro l’IA è uno strumento a disposizione anche dei criminali informatici per preparare virus, e-mail di phishing e altro in tempi più ridotti-

La sicurezza informatica dell’applicazione di IA è fondamentale per evitare risultati inattesi e potenzialmente dannosi per l’utente dell’applicazione di IA, qualunque essa sia.

L’opportunità di sfruttare l’IA per sviluppare codice sorgente (software) presenta anche la possibilità, per l’IA manomessa, di inserire codice malevolo in grado di infettare i computer che eseguiranno il programma software oppure di inserire vulnerabilità che poi potranno essere sfruttate dai criminali informatici per  introdursi nel sistema dell’utente.

Aspetti etici

Dunque, l’AI potrebbe agevolare e velocizzare molte attività, ma la supervisione ed il controllo di umani competenti è sempre necessario, sia nella progettazione del modello e dell’applicazione di IA, sia nella verifica dei risultati. Proprio perché i risultati dell’AI non dipendono da algoritmi deterministici, come devono essere testati i risultati di una comune applicazione software, a maggior ragione devono essere verificati i risultati di un’applicazione di AI prima di impiegarli per qualsiasi scopo, anche se nella maggiornaza dei casi l’IA ci fornirà un servizio migliore di qualsiasi essere umano, soprattutto in termini di tempo.

Non mi sembra ci siano tante differenze rispetto ad altre novità ed invenzioni tecnologiche del passato: dalle macchine automatiche per la produzione industriale ai programmi di elaborazione elettronica dei dati che hanno evitato di compiere azioni manuali, dalle e-mail al cloud computer, dalle auto elettriche al BIM. Tutte le innovazioni hanno portato alla scomparsa di posti di lavoro ed alla creazione di altri.

Chiaramente l’uso dello strumento deve rispettare le regole dell’etica ed in questo dovrebbero venire in aiuto le leggi che si sta cercando di introdurre, dall’AI Act in poi.

Come molti degli strumenti ed innovazioni che sono state introdotte negli ultimi decenni,  anche l’AI può essere utilizzata per compiere attività illecite, reati e provocare danni – morali e materiali –  a persone e cose, ma non per questo deve essere vietata od ostacolata. In fondo anche un coltello da cucina o un’automobile possono essere impiegati per uccidere persone!

L’AI cancellerà posti di lavoro? Ne creerà di altri? Una risposta positiva ad entrambe queste domande non deve preoccupare. In fondo ci sono già diverse decisioni e regolamentazioni, introdotte almeno a livello europeo, che potrebbero creare effetti economici negativi per alcune imprese e lavoratori e positivi per altre: gli obblighi introdotti dal legislatore UE sull’immatricolazione di sole auto elettriche e l’eliminazione delle caldaie a gas sono solo alcuni esempi significativi che impatteranno il mondo del lavoro forse più dell’introduzione dell’AI.