In questo periodo si è molto parlato delle cosiddette “terre rare” (che poi proprio rare non sono…) come merce di scambio fra Stati Uniti e Ucraina. L’importanza delle terre rare è causata dalla forte necessità di “batterie” per accumulare energia (dispositivi mobili, auto elettriche, impianti fotovoltaici…), spinta dall’evoluzione tecnologica e dal “green deal” della Comunità Europea. Ma il forte orientamento su fonti di energia elettrica è realmente sostenibile? C’è qualcuno che ci guadagna (e qualcun altro che ci rimette)?

In questo articolo fornito da alcuni giovani studiosi, sebbene datato, si sono stati analizzatidiversi aspetti sull’argomento.

Introduzione

Nel cuore dell’era digitale e delle tecnologie avanzate che permeano ogni aspetto della nostra vita, esiste un gruppo di elementi che rappresentano la chiave segreta dietro a molte delle innovazioni che stiamo vivendo: le terre rare. Questi minerali, spesso sottovalutati e poco conosciuti, occupano una posizione di crescente rilevanza nell’economia mondiale, grazie alle loro proprietà uniche e alla loro importanza in molteplici settori chiave.

Nell’era moderna, l’avanzamento tecnologico è diventato un elemento fondamentale per lo sviluppo economico e sociale di molte nazioni, di conseguenza il controllo delle terre rare è un vero a proprio asso nella manica estremamente ambito dalle grandi potenze economiche.

In questo articolo esploreremo l’importanza delle terre rare per l’era tecnologica in cui viviamo, le sfide associate alla loro estrazione e raffinazione, nonché le possibili soluzioni che stanno emergendo. Inoltre analizzeremo l’importanza geopolitica delle terre rare, analizzando le implicazioni per la sicurezza energetica globale, le dinamiche di potere tra le nazioni e le possibili soluzioni a questa sfida complessa. Vedremo come la competizione per il controllo delle terre rare stia influenzando le relazioni internazionali e come le nazioni stiano cercando di adattarsi a questa nuova realtà.

Cosa sono le terre rare?

Le terre rare sono un gruppo di 17 elementi chimici della tavola periodica. Nel dettaglio sono i lantanidi, cioè una serie di 15 elementi con numero atomico tra 57 e 71 (Lantanio, Cerio, Praseodimio, Neodimio, Promezio, Samario, Europio, Gadolinio, Terbio, Disprosio, Olmio, Erbio, Tulio, Itterbio e Lutezio), scandio e ittrio.

Tutte le terre rare hanno proprietà chimiche simili, poiché presentano delle differenze a livello della struttura elettronica solo negli orbitali 4f, che sono interni, di conseguenza il guscio più esterno, che determina le proprietà chimiche, è il medesimo.

Ma quali sono queste proprietà chimiche?

La principale caratteristica delle terre rare è la capacità di mantenere stabili le proprietà magnetiche (soprattutto) e conduttive anche ad elevate temperature.

Le terre rare sono “rare”?

Contrariamente a quanto si potrebbe pensare le terre rare non sono rare. Se si considera la quantità presente sulla terra, infatti, secondo l’U.S.G.S. (United States Geological Survey) l’attuale presenza di terre rare (120 milioni di tonnellate circa) sarebbe sufficiente a soddisfare le richieste per altri 3 o 4 secoli. L’aggettivo in questione è stato usato la prima volta quando alcuni di questi elementi furono isolati in Svezia e da allora ha caratterizzato questo gruppo di elementi chimici.

Nonostante l’abbondante presenza di terre rare nella crosta terrestre, non esistono dei giacimenti di terre rare, infatti le terre rare sono presenti in molti luoghi, ma sempre in basse percentuali e, spesso, legate ad altri elementi. Questo problema, da un punto di vista economico, è molto impattante, infatti lo sforzo richiesto per estrarre le terre rare spesso non viene ripagato dalla quantità di terre rare estratte, proprio per la scarsa concentrazione.

A cosa servono le terre rare?

L’importanza delle terre rare è così grande da essere impattante per l’economia mondiale.

La proprietà principale delle terre rare è la capacità di esercitare magnetismo anche ad alte temperature, per questo motivo sono indispensabili nei prodotti tecnologici di ultima generazione: smartphone, tablet, televisori a schermo piatto, batterie ricaricabili. Nonostante la quantità di terre rare in apparecchi “high-tech” come i nostri smartphone sia minima, la loro presenza è cruciale per assicurare l’efficienza e la rapidità nell’utilizzo.

La loro utilità, però, non si limita all’ambito tecnologico, infatti le terre rare sono utilizzate anche in ambito medico, ad esempio il gadolinio è utilizzato come liquido di contrasto nelle risonanze magnetiche, così come in ambito aerospaziale e militare nelle strumentazioni (e purtroppo armi) di ultima generazione. Inoltre, le terre rare sono utilizzate in grande quantità nelle turbine eoliche, ad esempio in una da 5 MegaWatt ci sono 1000 kg di terre rare.

Un recente report del governo canadese (Report Governo Canada) ha elencato i principali ambiti industriali in cui le terre rare vengono utilizzate:

• 38% magneti permanenti;
• 23% cracking petrolifero;
• 13% industria del vetro;
• 9% leghe per le batterie;
• 8% metallurgia;
• 5% industria ceramica;

Un nuovo campo di utilizzo delle terre rare riguarda le auto ibride, dove è presente fino a 1 kg di terre rare, ma soprattutto le auto elettriche.

Le terre rare nelle auto elettriche

Riguardo a questo ultimo contesto citato si è recentemente aperto un dibattito tra esperti scientifici, di economia e di politica dopo la decisione, presa da parte dell’Unione Europea (formalizzata nel Gennaio 2023), di vietare la vendita, a partire dal 2035 nei territori della UE, dei veicoli che usano i combustibili fossili, per contrastare l’enorme inquinamento atmosferico da essi causato. In pratica, dal 2035, tutta l’industria (anche italiana) che si occupa della vendita di veicoli (auto, moto ecc.) a benzina e diesel cesserà di esistere, rimarrà possibile, almeno in un primo momento, continuare ad usare i veicoli acquistati prima di quella data. All’interno delle auto elettriche le terre rare sono usate nei magneti che permettono il funzionamento dei motori, proprio per le straordinarie proprietà sopra citate. Fino ad ora, nonostante gli sforzi, non si è stati in grado di trovare un’alternativa valida alle terre rare, o per motivi di costo o per i difetti degli altri elementi quando sono portati ad elevate temperature.

In questa situazione ci sono due principali problemi: l’inquinamento delle terre rare stesse ed il monopolio cinese del mercato delle terre rare.

Consideriamo ora il primo problema: la decisione della UE ha lo scopo di ridurre le emissioni di CO₂, quindi apparentemente sembra una decisione presa per salvaguardare l’ambiente, ma l’estrazione e l’utilizzo delle terre rare è un processo tutt’altro che sostenibile. La decisione della UE di incentivare l’uso di auto elettriche comporterebbe un evidente abbassamento dei livelli di inquinamento, ma non è tutto oro quello che luccica. L’estrazione di terre rare è un processo tutt’altro che sostenibile.

Secondo i dati riportati da “euronews”, l’attività mineraria per l’estrazione di terre rare tra il 1965 ed il 1995 in California ha lasciato delle conseguenze ambientali gravissime, come l’inquinamento con elementi radioattivi di 2300 litri di acqua. I principali rischi sono dovuti all’utilizzo di acidi per raffinare, con la conseguente emissione di prodotti tossici ed anche radioattivi. Inoltre, considerando il difficile processo tramite il quale si ottengono le terre rare, si rischia, se non effettuato con precisione e mezzi adatti, di causare una perdita del 50% degli elementi ricercati.

Il secondo problema, invece, ha ripercussioni geopolitiche molto interessanti, infatti, come vedremo successivamente, la Cina attualmente controlla il 90% della fornitura mondiale di terre rare, ha il totale monopolio del mercato. La Cina, curiosamente, non ha emanato nessuna legge che vieterà la produzione di veicoli che utilizzano combustibili fossili e, vale la pena ricordarlo, produce il 33% dei gas serra di tutto il mondo.

L’Unione Europea, in confronto alla Cina, produce una quantità di gas serra incredibilmente inferiore, anche se si aggiungesse quella prodotta dagli Stati Uniti.

La Cina, quindi, oltre ad avere il monopolio delle terre rare avrà anche il monopolio della produzione dei veicoli che necessitano di combustibili fossili. Un fatto piuttosto curioso è che noi italiani potremo andare a comprare un’auto a benzina in un paese che continua la vendita e tornare in Italia a circolare liberamente.

Il mercato delle terre rare

Le principali riserve di terre rare si trovano in Cina, Russia, Stati Uniti, Australia, Brasile, India, Sudafrica e Vietnam. Fino a qualche decennio fa il monopolio apparteneva agli Stati Uniti, grazie alla miniera di Mountain Pass in California, ma ad oggi il più grande giacimento attivo nel mondo si trova in Cina, a Bayan Obo, e costituisce il 50% della produzione di terre rare cinesi. Ad oggi la Cina possiede il 37% di riserve di terre rare, seguita da Brasile e Vietnam con il 18% e dalla Russia con il 15%.

Il mercato dei metalli convenzionali ha luogo in piazze borsistiche riconosciute, mentre non esiste un vero e proprio mercato per le terre rare, di conseguenza le trattative tra il venditore (quasi sempre la Cina) e l’acquirente sono condotte senza un prezzo stabilito, nonostante le indicazioni fornite dalla National Minerals Information Center (istituto governativo statunitense di statistica che si occupa della domanda e dell’offerta dei materiali essenziali per l’economia statunitense).

Il mercato delle terre rare è libero ed è soggetto a continue ed imprevedibili variazioni del prezzo di acquisto, molto spesso deciso con precise finalità politiche. Recentemente stanno nascendo delle associazioni come la REIA (Rare Earth Industry Association), che ha il compito di associare produttori e acquirenti da tutto il mondo in modo da stabilizzare la situazione. Contestualmente un cambiamento sta avvenendo anche in Cina, con il governo che sembra disposto a regolamentare il mercato ed a migliorare l’efficienza e la sicurezza di tutta la filiera.

La strategia cinese

Tra gli anni Ottanta e Novanta del Novecento, la Cina ha deciso di sfruttare la chiusura della miniera di Mountain Pass in California da parte degli Stati Uniti ed ha intrapreso una serie di iniziative con il fine di assumere il controllo del mercato delle terre rare. Da allora, la produzione cinese ha raggiunto livelli elevatissimi grazie al bassissimo costo della manodopera, spesso arrivando allo sfruttamento dei lavoratori, ed agli investimenti per le infrastrutture intraprese dal governo cinese.

I costi di produzione della Cina sono molto più bassi rispetto a quelli degli USA anche perché la Cina ha deciso di costruire le fabbriche di raffinazione nelle immediate vicinanze dei giacimenti, in modo da minimizzare i costi, ma anche i rischi, di un lungo trasporto. Nonostante la Cina abbia “solo” il 37% delle risorse mondiali di terre rare, controlla fino al 90% delle terre rare sul mercato. Questo è stato reso possibile dalle abili e molto speculative politiche intraprese dalla Cina in Africa.

La Cina in Africa

La Cina, negli ultimi due decenni, ha voluto espandere all’estero la propria produzione ed ha scelto l’Africa. Questa politica commerciale cinese si chiama “Belt and Road Initiative” e consiste nella creazione di rotte commerciali da e per la Cina con lo scopo di sostituire gli Stati Uniti come prima potenza commerciale.

In cambio della costruzione di moderne infrastrutture e di aiuti sociali da parte della Cina, l’Africa ha concesso alcuni suoi ampi territori ricchi di risorse all’amministrazione cinese. La Cina ha così sfruttato l’incapacità da parte dell’Africa di sfruttare le risorse del proprio territorio, ampliando la produzione ed il controllo. La Cina ha comprato dei territori nei Paesi più ricchi con finalità economiche, mentre ha acquisito il controllo di alcune zone dei Paesi più poveri per scopi militari, creando delle vere e proprie basi militari a Gibuti (uno dei cosiddetti “choke points”) ed in Guinea Equatoriale.

Questo fenomeno di acquisizione di terre e risorse prende il nome di “land grabbing” ed è una pratica utilizzata anche dai Paesi Occidentali, Stati Uniti fra tutti.

L’aspetto più controverso e che fa riflettere, anche in riferimento alla politica coloniale dei Paesi dell’Europa in passato, riguardo la cosiddetta “trappola del debito”.

La Cina ha investito più di 150 miliardi di dollari in Africa, l’80% di questi investimenti sono stati fatti in infrastrutture che potrebbero tornare utili anche alla Cina stessa. La Cina, infatti, non ha aiutato lo sviluppo dell’Africa per ragioni umanitarie, anzi, è stata un’azione cinica che ha conferito un sacco di potere, con una conseguente“sudditanza” da parte dei Paesi in cui sono stati compiuti ingenti investimenti.

Se l’Africa, come succederà, non sarà in grado di ripagare i debiti nei confronti della Cina, sarà costretta a cedere il controllo delle infrastrutture, oppure a far entrare la Cina nelle decisioni politiche interne, con lo scopo di restituire il “favore” tramite precise azioni a favore del colosso asiatico.

Fonte: Espace Mondial

Il ricatto cinese e Taiwan

Le terre rare sono necessarie anche per l’armamento dell’esercito degli USA, di conseguenza un eventuale blocco all’export da parte della Cina avrebbe conseguenze disastrose per gli USA. Questo “jolly” in mano alla Cina condiziona le scelte politiche, economiche e militari di tutto il mondo, ma soprattutto influenza gli Stati Uniti, l’unica potenza in grado di competere con la Cina su tutti i fronti.

La situazione al momento più instabile riguarda Taiwan, un arcipelago di fronte alla Cina che si è dichiarato indipendente da vari decenni, con la Cina che, però, non accetta questa decisione, data l’importanza di Taiwan nell’equilibrio commerciale. Taiwan è fondamentale per la produzione di microchip (il 60% di quelli globali è prodotto a Taiwan) e di apparecchiature hi-tech.

Taiwan ha un’importanza anche “geografica”, infatti la sua posizione strategica impedisce alla Cina, e garantisce agli USA, di controllare tutta la zona di Oceano Pacifico in cui passano il 60% delle rotte commerciali. Negli ultimi mesi la situazione ha subito uno sviluppo preoccupante, infatti circa 600 aerei militari cinesi hanno ripetutamente violato lo spazio aereo di Taiwan, effettuando esercitazioni militari anche con armamenti nucleari.

La mancanza di microchip è alla base dell’attuale crisi globale, con la Cina che mira, quantomeno, a controllare le esportazioni da Taiwan per avere un altro “jolly” in mano negli equilibri globali.

Al momento la politica Occidentale, soprattutto degli USA, è stata incerta, infatti da un lato commerciano con Taiwan e ufficiosamente la supportano nelle scelte di indipendenza, ma, d’altro canto, non tutti la riconoscono ufficialmente, perché significherebbe inasprire i rapporti con la Cina con conseguenti problemi nel reperimento delle terre rare.

L’Unione Europea potrebbe svincolarsi dal monopolio cinese?

La soluzione potrebbe arrivare dalla Svezia, nell’area di Kiruna è stato recentemente scoperto un giacimento di terre rare da parte di una società svedese statale (Lkab). La scoperta di questo giacimento potrebbe, a livello teorico, sconvolgere gli equilibri mondiali, ma bisogna ancora pazientare ed essere realisti, infatti non sono ancora stati comunicati in modo ufficiale e preciso la tipologia, ma soprattutto la quantità, delle terre rare presenti.

Inoltre, prima di poter competere con la Cina, bisogna considerare i necessari tempi tecnici, poiché sarà necessario creare le infrastrutture per un recupero efficiente, per la raffinazione e per il trasporto.

CONCLUSIONI

La strategia della Cina in merito alle terre rare è stata lungimirante e, nel giro di un paio di decenni, ha posto l’Occidente in una posizione di dipendenza, al punto da poter decidere i prezzi e le quantità esportate, condizionando, di conseguenza, le scelte politiche di paesi, come gli USA, che altrimenti potrebbero competere su tutti i campi con la Cina, anche quello militare in merito alle continue tensioni con Taiwan.

La Cina ha anche condotto una politica di espansione in Africa, di cui non si è molto parlato fino a pochi anni fa, ma che si sta rivelando un fattore determinante.

La situazione non è irrimediabilmente compromessa, ma è necessario che la UE trovi delle soluzioni alternative alla Cina, ancora meglio se si rendesse indipendente, inoltre sarebbe opportuno non intraprendere delle politiche che, anche se giuste, possano favorire ulteriormente la Cina sul mercato.

E’ interessante osservare come “solo” 17 elementi della tavola periodica possano far nascere e sviluppare degli scenari che influiscono in campo politico, economico e militare, soprattutto in un mondo globalizzato come quello attuale.

FONTI

U.S.G.S. (United States Geological Survey)

Euronews (Inquinamento delle terre rare)

Geopop (Terre rare, Cina, Taiwan )

Wikipedia (Terre rare, Lantanidi)

Chimica.online (Proprietà delle terre rare)

Report Governo Canada

China in Africa: a growing influence – World Atlas of Global Issues (sciencespo.fr)

Rai (Svezia)

Le sfide delle PMI italiane: le criticità emerse a Motore Italia

Lo scorso 26 marzo, durante l’evento “Motore Italia”, sono stati affrontati alcuni dei principali problemi che le imprese italiane devono affrontare in un contesto economico sempre più complesso e incerto. Dalla carenza di manager nelle PMI alla crisi di alcuni settori, passando per le minacce legate ai dazi, all’inflazione e ai costi energetici, il panorama imprenditoriale italiano si trova di fronte a sfide cruciali per il futuro. Vediamo nel dettaglio i temi emersi.

Pochi manager nelle PMI italiane

Le piccole e medie imprese italiane soffrono di una carenza strutturale di manager. Molte aziende, specialmente quelle a conduzione familiare, sono gestite senza una figura manageriale esterna, con il rischio di una limitata innovazione e crescita strategica. La mancanza di competenze manageriali rende più difficile affrontare le sfide del mercato globale e adottare soluzioni innovative per la competitività.

La causa di ciò? Scarsa fiducia degli imprenditori “che si sono fatti da soli” nei dirigenti esterni alla famiglia, desiderio di controllare tutti i processi strategici dell’azienda (a partire dall’amministrazione, finanza e controllo di gestione, spesso assente), timore di eccessivi costi per la retribuzione di manager a contratto, esperienze negative di temporay management…

Le imprese a conduzione familiare continuano a rappresentare una parte significativa del tessuto economico italiano, ma la mancanza di un adeguato ricambio generazionale e l’assenza di manager esterni rischiano di limitarne la crescita. La professionalizzazione della gestione aziendale e l’apertura a investitori esterni potrebbero essere soluzioni chiave per garantire la continuità e lo sviluppo di queste aziende.

Crisi aziendale in alcuni settori

Alcuni settori produttivi italiani stanno attraversando una fase di crisi a causa della riduzione della domanda, dell’aumento dei costi delle materie prime e della concorrenza internazionale. Il settore manifatturiero, in particolare, sta soffrendo per l’aumento dei costi di produzione e dell’energia e la difficoltà di reperire manodopera specializzata. La necessità di una trasformazione digitale e di una maggiore efficienza produttiva diventa sempre più urgente, ma la voglia di intraprendere questa strada è spesso frenata dalle nubi che si intravvedono all’orizzonte.

È nota la crisi profonda del settore dell’automotive e di tutto l’indotto. La Germania non tira più gran parte la produzione di componentistica italiana, anzi sta vivendo una crisi ancor più profonda per la forte esposizione delle aziende tedesche nel mercato automobilistico.

Le ragioni sono spesso relative al contesto esterno, alla situazione geopolitica internazionale che sta incidendo in modo sempre più pesante nella produzione industriale.

A fronte delle difficoltà nel settore manifatturiero, il terziario ha mostrato una crescita significativa. I servizi, in particolare quelli digitali, finanziari e professionali, hanno registrato un’espansione importante, evidenziando la necessità per le imprese di investire in nuove competenze e modelli di business più orientati alla conoscenza e all’innovazione.

Le minacce più o meno rilevanti a seconda del settore merceologico sono evidenti:

1. Elevati costi dell’energia
2. Possibili dazi imposti dal mercato USA
3. Concorrenza infra-UE ed extra-UE
4. Politiche comunitarie
5. Guerre

 Alcune di queste minacce sono fra loro correlate.

Ad esempio, la politica della Comunità Europea ha significativamente influenzato il mercato energetico (l’embargo al gas Russo ha fatto impennare i costi dell’energia, la tassazione ETF, divieto di omologazione di veicoli a motore termico o ibrido dal 2035, ecc.), così come l’aumento del costo del denaro ha fatto inevitabilmente contrarre la domanda dei consumatori finali in alcuni settori.  

Anche la crescita del terziario, servizi digitali a parte, è stata fortemente influenzata da alcuni elementi nel complesso negativi per l’intero Paese: aumento del costo del denaro, aumento dei costi dell’energia, …

Minacce dal contesto internazionale e incertezza su inflazione e costi energetici

Il contesto internazionale rappresenta una minaccia costante per le imprese italiane. Le tensioni geopolitiche, l’inflazione e l’aumento dei costi energetici stanno incidendo negativamente sulla stabilità economica. Le PMI, in particolare, sono più vulnerabili a queste oscillazioni, avendo minori risorse rispetto alle grandi imprese per assorbire gli shock economici.

Oltre al generalizzato aumento dei costi energetici, chiaramente influenzato dalla Guerra Russo-Ucraina, poiché ovviamente una fonte energetica come il gas proveniente da un processo di rigassificazione (e da un lungo trasporto transatlantico di gas liquido) costa molto di più di un gas proveniente da un gasdotto, ci sono altri fattori che influenzano alcuni settori industriali fortemente energivori, come l’ETF.

Le tasse ETF (Energy Taxation Framework) legate ai consumi energetici imposte dalla UE si riferiscono alla tassazione sull’energia nell’Unione Europea, regolata dalla Direttiva sulla tassazione dell’energia (Energy Taxation Directive – ETD). Questa normativa stabilisce le aliquote minime di tassazione sui prodotti energetici e sull’elettricità utilizzati nei trasporti, nell’industria e nelle abitazioni. 

Obiettivi della tassa ETF sulla tassazione energetica sono i seguenti:

• Ridurre le emissioni di CO₂ incentivando l’uso di energie rinnovabili; 
• Evitare distorsioni del mercato allineando la tassazione tra i diversi Paesi UE; 
• Generare entrate per la transizione ecologica, sostenendo il Green Deal Europeo. 

Quest tassazione colpisce alcuni settori in particolare:

• Carburanti per i trasporti (benzina, gasolio, GPL, ecc.); 
• Energia elettrica (in base alla fonte di produzione); 
• Combustibili per il riscaldamento (gas naturale, carbone, oli combustibili); 
• Settori industriali ed energetici che consumano combustibili fossili. 

Nel 2021 la Commissione Europea ha proposto una riforma dell’ETD per: 

• Aumentare le tasse sui combustibili fossili più inquinanti; 
•  Introdurre un sistema di tassazione basato sul contenuto energetico e sulle emissioni di CO₂; 
• Eliminare alcune esenzioni fiscali per il gasolio e il carbone. 

Questa riforma rientra nel pacchetto “Fit for 55”, che mira a ridurre le emissioni di gas serra del 55% entro il 2030. 

Le tasse ETF sull’energia hanno un impatto significativo sia sulle aziende che sui cittadini, con effetti diversi a seconda del settore e del tipo di consumatore.

L’’impatto sulle aziende riguarda:

1. Industrie energivore (acciaierie, cementifici, chimica) subiranno un aumento dei costi operativi se usano combustibili fossili. Questo potrebbe portare a;

   • Prezzi più alti sui prodotti finali;
   • Necessità di investire in efficienza energetica e fonti rinnovabili.

2. Trasporti e logistica

   • Il costo del carburante per camion, navi e aerei aumenterà con l’abolizione delle esenzioni fiscali su gasolio e cherosene;
   • Si incentivano alternative come biocarburanti, idrogeno e elettrificazione.

3. Produzione di energia

   • Le centrali a carbone e gas pagheranno più tasse, spingendo verso una transizione alle energie rinnovabili;
   • Le imprese fornitrici di energia potrebbero scaricare i costi sui consumatori.

L’Impatto sui cittadini, invece, riguarderà

1. Costo del carburante

   • Aumenti su benzina e diesel potrebbero rendere il trasporto privato più costoso.
   • Maggiore convenienza per auto elettriche e trasporto pubblico.

2. Bolletta energetica

   • Gas e combustibili per il riscaldamento potrebbero diventare più cari;
   • Incentivi per ristrutturazioni green e pompe di calore potrebbero compensare i costi.

3. Aumento generale dei prezzi

   • Se le aziende scaricano i costi sui consumatori, il costo di beni e servizi può solo salire.
   • Settori come agricoltura e manifattura saranno particolarmente colpiti.

In altre parole, gli effetti sui consumatori finali porteranno (hanno già portato) a minori disponibilità economiche per acquisto di beni e servizi, soprattutto quelli non essenziali.

I Possibili benefici e mitigazioni di questi effetti negativi potranno essere:

• Sussidi e incentivi per energie rinnovabili, auto elettriche e ristrutturazioni;
• Compensazioni per famiglie a basso reddito per evitare disuguaglianze sociali;
• Transizione verso economia più sostenibile con meno dipendenza dai fossili.

In sintesi, la riforma della tassazione energetica UE ha l’obiettivo di accelerare la decarbonizzazione, ma avrà un impatto economico non trascurabile, soprattutto nel breve termine.

Il settore automotive è invece stato fortemente rallentato – oltre che dalla generale contrazione dei consumi, soprattutto per beni di elevato costo – dalla transizione obbligata all’elettrico che sta facendo sentire i suoi effetti, anche in termine di tassazione. Infatti, nell’Unione Europea ci sono sanzioni per i produttori di auto che non rispettano i limiti sulle emissioni di CO₂, anche se, non esiste un obbligo diretto di produrre una certa quantità di auto elettriche o ibride, ma piuttosto un sistema di penalità basato sulle emissioni medie della flotta venduta. In pratica ’UE impone limiti di CO₂ alle case automobilistiche in base alla media delle emissioni delle auto vendute in un anno.

Le imprese di alcuni settori tecnologici, pur condividendo il fine, non giustificano i mezzi di questa politica UE. In particolare, sulle ETF si contesta (un esempio al convegno “Motore Italia” è venuto dall’industria ceramica) il fatto che alcune produzioni manifatturiere sono necessariamente energivore e non hanno alternative all’utilizzo di gas naturale.

A questi impatti negativi si aggiunge il fattore concorrenza del mercato asiatico che non ha i medesimi vincoli.

Questo introduce un altro aspetto: la disuguaglianza nella competizione tra UE ed extra UE ed anche fra Paesi della stessa Comunità Europea, tra cui l’Italia ed altri Paesi comunitari.

La produzione non solo di autoveicoli e motoveicoli, ma di diverse tipologie di prodotti complessi, come elettrodomestici, prodotti elettronici, ecc., prevede oggi una supply chain molto “lunga” e con diversi fornitori. La maggior convenienza produttiva in Paesi extra-UE o, specie per aziende italiane, anche in Paesi intra-UE, ma comunque con costo del lavoro inferiore, ha portato molte aziende italiane a produrre componenti, se non interi prodotti finiti, in altre Nazioni.

Evidentemente produrre all’estero comporta costi inferiori, nonostante i costi di trasporto, perché in altri Paesi (anche della UE) l’energia costa meno che in Italia, la manodopera costa meno perché ci sono minori vincoli (sicurezza sul lavoro, diritti dei lavoratori…) e costi di contribuzione obbligatoria inferiori. L’effetto che si è avuto negli ultimi anni è stato quello di danneggiare le PMI italiane (più piccole che medie) e di rendere il lavoro maggiormente precario e peggio retribuito.

Recentemente anche il comparto agroalimentare (agricoltori ed allevatori in primis) hanno lamentato le politiche UE che favorirebbero l’acquisto di prodotti agroalimentari dal Sudamerica rispetto ai prodotti nostrani.

Quindi, se l’obiettivo è la sostenibilità, dobbiamo considerare che tutto ciò aumenta le emissioni nocive in termini di inquinamento e minori controlli sulle aziende estere, oltre che una concorrenza sleale che favorisce imprese estere. Probabilmente gli obiettivi ESG si sono troppo focalizzati sulla E  e poco sulla S.

In Italia, anche se la produzione industriale è stata migliore nel 2024 rispetto ad altri Paesi UE, le previsioni sono meno rosee anche perché è stato recentemente certificato che stipendi e salari italiani sono cresciuti molto meno rispetto ad altri Paesi, rendendo il potere di acquisto degli italiani, rispetto ai cittadini di altri Paesi UE ed extra-UE come la Gran Bretagna, molto inferiore di quello ad inizio secolo!

Se una qualsiasi persona ha avuto l’opportunità di fare un viaggio negli Stati Uniti, in Inghilterra e in Francia o Germania negli anni ’80, negli anni ’90, ad inizio secolo e negli ultimi due anni ha potuto constatare quanto sia peggiorata la situazione del turista italiano all’estero in termini di potere d’acquisto.

Negli Stati Uniti, anche oggi quando si paventa il rischio recessione, l’economia “gira”: i prezzi per beni e servizi sono alti rispetto al nostro Paese, ma le retribuzioni sono adeguatamente elevate per consentire un livello di consumi sostenibile.

E veniamo al tanto temuto problema dei dazi.

È bella la libertà del commercio globale senza vincoli, ma quando la concorrenza è leale ed equa.

La mossa degli USA, per ora solo annunciata nei confronti della UE, di imporre elevati dazi sui prodotti europei, potrebbe sconvolgere il mercato internazionale e danneggiare fortemente alcuni settori ed imprese del nostro Paese. Ma se l’obiettivo è quello di avvantaggiare la produzione interna agli Stati Uniti rispetto all’export, forse dovevamo pensarci anche noi. Perché favorire l’ingresso in Europa e soprattutto in Italia di prodotti realizzati in Paesi dove la regolamentazione è profondamente diversa a danno di altre imprese italiane?

Diciamolo francamente: i prodotti acquistati dai consumatori finali oggi sono di qualità largamente inferiore a quelli acquistati 20 o 30 anni fa. Ovviamente non intendo in termini di funzionalità (chiaramente un telefono cellulare o un computer di fine secolo scorso aveva caratteristiche largamente inferiori a uno smartphone o PC di oggi, anche ad un prezzo equivalente al netto dell’inflazione), ma di affidabilità, non conformità rilevate nel breve e nel medio periodo dall’acquisto.

Naturalmente ci sono aziende che temono più i dazi dei costi elevati dell’energia e aziende che la vedono in modo opposto.

Le incertezze ed i rischi oggi sono tanti: sicuramente l’eventuale fine della guerra russo-ucraina porterebbe maggiori effetti positivi rispetto all’introduzione dei dazi su alcuni beni importati negli USA.

Da ultimo vorrei stigmatizzare la virata della UE verso il riarmo: la conversione di fabbriche automobilistiche in fabbriche di armamenti non è una cosa buona, il PIL è come il colesterolo, c’è quello buono e quello cattivo! Così come il Covid ha fatto aumentare il fatturato per alcuni prodotti e servizi, non tutti così utili e di buona qualità, così ora l’aumento delle spese militari potrebbe nascondere problemi più grossi.

ESG e certificazione

La sostenibilità è un tema sempre più centrale per le aziende italiane. Ottenere certificazioni ESG (Environmental, Social, Governance) rappresenta un’opportunità per differenziarsi sul mercato e accedere a finanziamenti dedicati. Tuttavia, molte PMI faticano a intraprendere questo percorso per la complessità burocratica e i costi associati.

Nel convegno “Motore Italia” si sono potuti apprezzare alcuni interventi di imprese che hanno effettivamente migliorato i loro parametri ESG, soprattutto attraverso interventi di efficientamento energetico che comunque sono utili anche in caso di riduzione dei costi dell’energia.

Anche per le aziende, non solo per le istituzioni, gli aspetti Sociali e di Governance devono essere migliorati e soprattutto occorre puntare ad interventi che non danneggino altri settori, come quello dell’agricoltura (interessanti sono gli impianti fotovoltaici che non precludono l’uso agricolo dei terreni).

Difficile gestione della crescita dimensionale

Uno dei principali limiti delle PMI italiane è la difficoltà di crescere in termini di dimensioni. Le barriere burocratiche, la difficoltà di accesso al credito e la scarsa propensione alla collaborazione tra aziende ostacolano il processo di espansione. La crescita dimensionale è fondamentale per affrontare i mercati internazionali e aumentare la competitività.

Purtroppo, molte aziende, anche del settore dei servizi, non sono riuscite a governare adeguatamente la crescita dimensionale. Questo aspetto è fortemente collegato alla carenza di manager: se un’impresa con N persone può essere gestita da 3 responsabili di funzione – o dal solo imprenditore ed un paio di familiari – che controllano le funzioni Commerciali, Acquisti, Amministrazione, Produzione o Erogazione del Servizio – se l’azienda cresce e raddoppia la forza lavoro con 2xN dipendenti non basteranno più i 3 responsabili di funzione di prima.

Oltre al problema di ampliare le figure di responsabilità, la crescita deve essere accompagnata da un adeguata crescita anche dei sistemi informatici e della digitalizzazione per rendere i processi più efficienti e controllabili.

Purtroppo, questo molti imprenditori non lo hanno capito.

Conclusioni

L’evento “Motore Italia” ha evidenziato sfide cruciali per il futuro delle imprese italiane. La carenza di manager, la crisi in alcuni settori, l’impatto dell’inflazione e dei costi energetici e dei possibili dazi USA, e la necessità di una maggiore sostenibilità sono tutti elementi che richiedono strategie mirate e interventi efficaci. Solo attraverso un’innovazione continua, un miglioramento della governance e una maggiore apertura ai mercati internazionali, le PMI italiane potranno affrontare con successo le sfide del futuro.

In un contesto internazionale così incerto cambiano i rischi che dovranno affrontare le organizzazioni del nostro Pase, ma purtroppo diversi eventi non sono controllabili dagli imprenditori, pertanto alcune misure di mitigazione dei rischi che si prospettano all’orizzonte potrebbero risultare inefficaci non per mancanze dell’imprenditore.

Negli ultimi anni, le farmacie hanno ampliato la gamma di servizi offerti ai cittadini, evolvendo da semplici punti di dispensazione di farmaci a veri e propri presidi sanitari di prossimità. Questa trasformazione ha portato a una maggiore gestione di dati personali anche appartenenti a categorie particolari, imponendo ai farmacisti il dovere di rispettare rigorosamente la normativa sulla protezione dei dati personali, in particolare il Regolamento Generale sulla Protezione dei Dati (GDPR), il Codice Privacy novellato (D.Lgs 196/2002 aggiornato dal D.Lgs 101/20218) e le linee guida nazionali.

L’Importanza del GDPR nella Gestione dei Dati Sanitari

Il GDPR ha introdotto principi chiave che i farmacisti devono seguire nella gestione dei dati personali, tra cui:

• Liceità, correttezza e trasparenza: I dati devono essere raccolti con il consenso esplicito dell’interessato e trattati in modo chiaro, ma solo nei casi in cui tale consenso è necessario, oppure in base ad altra base giuridica come stabilito dal GDPR (ad esempio non per la dispensazione di farmaci dietro presentazione di ricetta medica). Il tutto supportato da adeguata informativa all’interessato.
• Limitazione delle finalità: Le informazioni devono essere utilizzate esclusivamente per gli scopi dichiarati, come la fornitura di servizi sanitari o la gestione delle prescrizioni mediche e non per finalità di marketing.
• Minimizzazione dei dati: Devono essere raccolti solo i dati strettamente necessari per l’erogazione del servizio (ad esempio nella raccolta punti per ottenere sconti o per le carte fedeltà).
• Integrità e riservatezza: Devono essere adottate misure tecniche e organizzative per garantire la sicurezza dei dati ed evitare accessi non autorizzati.

Nuovi Servizi Farmaceutici

L’introduzione di servizi innovativi, come la telemedicina, la prenotazione online di farmaci e la consulenza tramite strumenti digitali (whatsapp, e-mail, sito web), ha reso ancora più cruciale il rispetto della normativa sulla protezione dei dati.

Questi servizi spesso richiedono l’acquisizione e la conservazione di informazioni sanitarie sensibili, aumentando il rischio di violazioni della privacy. Ad esempio, piattaforme web che offrono il ritiro di farmaci su prenotazione o servizi di consulto devono garantire che i dati siano trasmessi e conservati in modo sicuro, evitando la condivisione non autorizzata con terze parti.

Obblighi dei Farmacisti nella Protezione dei Dati

I farmacisti hanno la responsabilità di garantire la conformità alle normative vigenti attraverso:

• Formazione continua: Aggiornarsi costantemente sulla normativa (GDPR, Codice Privacy, Linee Guida EDPB, Provvedimenti del Garante Privacy nazionale) e sulle migliori pratiche per la protezione dei dati.
• Adozione di misure di sicurezza: Implementare sistemi di protezione informatica per evitare attacchi hacker e accessi non autorizzati.
• Gestione dei consensi: Assicurarsi che i pazienti siano pienamente informati su come vengono trattati i loro dati e ottenere il consenso esplicito quando necessario, in particolare nei servizi di telemedicina.
• Registrazione e tracciabilità: Mantenere documentazione sulle procedure adottate per la protezione dei dati e garantire la tracciabilità di ogni operazione effettuata.

Il rispetto della normativa sulla protezione dei dati non è solo un obbligo legale, ma anche un elemento fondamentale per tutelare la fiducia dei pazienti nei confronti delle farmacie. La crescente digitalizzazione dei servizi richiede un approccio consapevole e responsabile nella gestione dei dati personali, per garantire la sicurezza e la riservatezza delle informazioni sanitarie. I farmacisti devono quindi adottare tutte le misure necessarie per proteggere la privacy dei loro clienti e operare nel pieno rispetto della normativa vigente.

Il rischio nella gestione dei nuovi servizi

Oggi le farmacie italiane offrono una vasta gamma di servizi, tra cui la dispensazione di farmaci con e senza ricetta, la telemedicina (ECG a distanza, Holter pressorio e Holter sanguigno), la prenotazione online di farmaci, l’accettazione di campioni biologici per lo svolgimento di esami di laboratorio e il ritiro dei referti di esami di laboratorio, la misurazione della pressione, test diagnostici rapidi (emocromo, profilo lipidico, ecc.), vaccinazioni e servizi di assistenza personalizzata per i pazienti cronici, analisi della pelle e del capello, nonché vendita di prodotti on-line (e-commerce).

Nel rapporto fra farmacia e fornitore di servizi, i ruoli soggettivi in materia di privacy possono variare in base alle attività svolte. La farmacia, generalmente, agisce come Titolare del trattamento dei dati personali, in quanto determina le finalità e i mezzi del trattamento. Il fornitore di servizi, invece, può assumere il ruolo di Responsabile del trattamento quando tratta i dati per conto della farmacia, seguendo le istruzioni ricevute. Spesso, tuttavia, è il fornitore stesso che determina mezzi e finalità del trattamento dei dati personali, poiché gestisce la parte fondamentale del processo di erogazione del servizio: si pensi ai servizi di telemedicina come l’ECG o l’esecuzione di esami di laboratorio a seguito di campioni prelevati in farmacia.

È fondamentale che tra le parti venga stipulato un accordo chiaro per garantire la conformità al Regolamento UE 679/2019 (GDPR) e la protezione dei dati personali dei pazienti. Tale accordo per i servizi dove è il fornitore a determinare mezzi (ad esempio strumenti informatici) e finalità del trattamento (ad esempio esecuzione di esami di laboratorio) deve riportare esplicitamente la nomina della Farmacia a Responsabile del Trattamento e investire il fornitore del ruolo di Titolare. Diversamente la Farmacia sarà esposta a rischi di sanzione e risarcimento danni in caso di violazioni di dati perpetrate nei sistemi del fornitore.

In particolare, per quanto riguarda i servizi svolti per conto di ASL o del Servizio Sanitario Nazionale (SSN) le farmacie agiscono come Responsabili del Trattamento. Negli ultimi anni, oltre ai servizi più propriamente sanitari, hanno iniziato a svolgere anche servizi come l’attivazione dello SPID (per conto di Lepida nella Regione Emilia-Romagna) e del Fascicolo Sanitario.

Altro aspetto critico è l’esecuzione di esami sanguigni con apparecchiature automatiche (in autoanalisi), oggetto di recenti polemiche sulla qualità degli esiti a seguito di un’inchiesta di Milena Gabbanelli sulla base di uno studio effettuato dalla National Library of Medicine. Spesso le farmacie non hanno consapevolezza di quali dati vengono raccolti e conservati dal software e se il fornitore dell’apparecchiatura ha accesso ai dati dei referti, mentre il Regolamento UE 679/2016 richiede un’informativa chiara da fornire al paziente con garanzia del rispetto di tutti i suoi diritti.

Le stesse criticità sono presenti nell’erogazione di servizi di analisi varie (analisi della pelle, analisi del capello, densitometria, intolleranze alimentari, ecc.), spesso proposti in partnership con il fornitore dell’apparecchiatura di analisi o del kit di raccolta campioni con analisi svolta dal laboratorio del fornitore. Per questi servizi il fornitore dovrebbe fornire al farmacista un servizio con trattamento di dati personali privacy-by-design, ma sovente così non è, facendo ricadere sulla farmacia l’onere di fornire al paziente un’informativa privacy con richiesta di consenso adeguata e di disciplinare il rapporto con il fornitore che sovente è poco collaborativo dal punto di vista della gestione dei dati personali.

Anche le diffuse carte fedeltà (fidelity card) delle farmacie sono spesso gestite in modo non conforme ai requisiti normativi con informative carenti o addirittura assenti e conservazione dei dati personali del cliente oltre quanto indicato dal Garante Privacy.

Proprio in virtù dell’enorme mole di dati personali che le farmacie trattano, devono adottare una serie di misure di sicurezza per proteggere i dati personali dei propri clienti. Tra queste rientrano l’uso di software aggiornati e certificati per la gestione dei dati, l’adozione di sistemi di autenticazione a più fattori per limitare l’accesso non autorizzato, la crittografia delle informazioni sensibili, la formazione continua del personale sulle best practice in materia di protezione dei dati e la stipula di accordi di riservatezza con eventuali fornitori di servizi esterni. Inoltre, è fondamentale effettuare controlli periodici e audit per verificare la conformità alle normative vigenti e garantire la sicurezza delle informazioni trattate.

Infine, i siti web delle farmacie non sono più dei siti solo di presentazione a scopo pubblicitario, ma sono diventati – in alcuni casi – veri e propri portali web – talvolta anche associati ad app per dispitivi mobili – dove si possono prenotare i servizi sopra indicati, prenotare farmaci trasmettendo anche la ricetta medica o addirittura acquistare prodotti attraverso siti di e-commerce. Adottare questi strumenti, magari associati a servizi di digital marketing come l’invio di newsletter promozionali, amplia enormemente gli adempimenti privacy della farmacia e il parco dei fornitori coinvolti nel trattamento dei dati personali che spesso non forniscono adeguato supporto nell’implementare servizi conformi alla normativa privacy.

Oggi, con i le nuove minacce provenienti da internet, come i ransomware, il phishing e gli attacchi mirati di hacker che cercano non solo di cifrare, rendendoli inaccessibili, i dati della vittima, ma anche di esfiltrarli, rendendo maggiormente efficace la c.d. “double extortion”: «se vuoi accedere nuovamente ai tuoi dati devi pagare il riscatto, ma se non lo paghi posso pubblicare sul web i dati personali dei tuoi clienti… ».

Contro queste minacce, e con un perimetro nel quale operano i sistemi informatici molto esteso, non basta più dichiarare di avere l’antivirus, le password e di fare il backup per garantirsi l’immunità rispetto alle eventuali sanzioni del Garante Privacy. È necessario dimostrare di aver attuato misure di sicurezza adeguate a seguito di una valutazione dei rischi.

Per dimostrare di aver adempiuto ai requisiti del GDPR non basta aver redatto il registro dei trattamenti, ma è necessario anche documentare la valutazione dei rischi (da aggiornare periodicamente), le misure di sicurezza tecniche ed organizzative adottate, gli accordi per la protezione dati con i fornitori/partner come responsabili del trattamento, le istruzioni al personale sull’utilizzo dei sistemi informatici e così via.

Purtroppo oggi è facile trovare farmacie che non sono in grado di dimostrare di aver adottato adeguate misure di sicurezza perché tali misure non sono documentate e sono note solo a qualche consulente informatico che le ha implementate senza avere un idoneo contratto per la gestione sistemistica dei sistemi della farmacia ed una nomina di Amministratore di Sistema.

I rischi che si corrono ignorando questa normativa sono importanti: oltre alle eventuali sanzioni del Garante per la Protezione dei Dati Personali (fino al 4% del fatturato annuo nei casi più gravi), un attacco ransomware potrebbe bloccare l’attività della farmacia per diversi giorni (con annesso rischio reputazionale) e l’eventuale violazione della riservatezza dei dati personali dei clienti potrebbe comportare richieste di risarcimento del danno molto onerose.

Ecco qui https://www.teleperformanceitalia.it/attacchi-informatici-hacker-rubano-gli-account-delle-farmacie-con-i-bot/?utm_source=chatgpt.com un esempio di attacchi hacker registrate contro farmacie.

La norma ISO/IEC 27005:2022 fornisce linee guida per la gestione dei rischi legati alla sicurezza delle informazioni, alla cybersecurity e alla protezione della privacy. In questo articolo esamineremo i principali elementi trattati dalla norma, disponibile solo in lingua inglese.

La norma ISO/IEC 27005:2022, pubblicata nell’ottobre 2022, introduce diverse modifiche rispetto all’edizione precedente del 2018. I principali cambiamenti possono essere riassunti come segue:

1. Allineamento con altre norme: Il testo è stato aggiornato per essere coerente con la ISO/IEC 27001:2022 e la ISO 31000:2018, garantendo una maggiore armonizzazione tra gli standard relativi alla gestione della sicurezza delle informazioni e del rischio.
2. Introduzione degli scenari di rischio: Sono stati introdotti i concetti relativi agli scenari di rischio, che aiutano a comprendere meglio le potenziali minacce e le loro conseguenze attraverso la definizione di sequenze o combinazioni di eventi che possono portare a risultati indesiderati.
3. Approccio basato sugli eventi: Oltre al tradizionale approccio basato sugli asset, la nuova edizione introduce l’approccio basato sugli eventi per l’identificazione dei rischi. Questo metodo si concentra sull’analisi di eventi e conseguenze, spesso derivanti dalle preoccupazioni della direzione o dai requisiti organizzativi, offrendo una prospettiva più strategica nella gestione del rischio.
4. Revisione della struttura e dei contenuti: La norma è stata riorganizzata, passando da 12 clausole e 6 appendici nell’edizione 2018 a 10 clausole e un’appendice nella versione 2022. Questa ristrutturazione mira a migliorare la chiarezza e l’usabilità del documento. citeturn0search0

Queste modifiche riflettono l’evoluzione delle pratiche di gestione del rischio nel campo della sicurezza delle informazioni, offrendo alle organizzazioni strumenti aggiornati per affrontare le sfide emergenti in questo ambito.

Introduzione

La norma è progettata per assistere le organizzazioni nel soddisfare i requisiti della ISO/IEC 27001, in particolare per quanto riguarda la valutazione e il trattamento dei rischi per la sicurezza delle informazioni. È applicabile a tutte le organizzazioni, indipendentemente dal tipo, dalla dimensione o dal settore.

La norma sottolinea l’importanza di mantenere informazioni documentate riguardanti il processo di valutazione dei rischi, così come il processo di trattamento dei rischi risultati non accettabili.

Viene definito il contesto esterno come l’ambiente in cui l’organizzazione opera, che può includere fattori sociali, culturali, legali e tecnologici. Questo contesto è fondamentale per identificare e valutare i rischi.

La norma è stata allineata con la ISO/IEC 27001:2022 e la ISO 31000:2018, garantendo coerenza terminologica e strutturale. Sono stati introdotti concetti come gli scenari di rischio e un approccio basato sugli eventi per l’identificazione dei rischi.

La norma è organizzata in modo da facilitare la comprensione e l’applicazione delle linee guida, con un focus su come le organizzazioni possono implementare efficacemente le pratiche di gestione dei rischi.

In sintesi, ISO/IEC 27005:2022 offre un quadro completo per la gestione dei rischi di sicurezza delle informazioni, aiutando le organizzazioni a proteggere i propri dati e a mantenere la fiducia degli stakeholder.

Come deve essere condotta la valutazione dei rischi per la sicurezza delle informazioni?

Secondo la norma ISO/IEC 27005:2022 “Information security, cybersecurity and privacy protection — Guidance on managing information security risks” (Sicurezza delle informazioni, cybersecurity e protezione della privacy – Guida alla gestione dei rischi per la sicurezza delle informazioni), la valutazione dei rischi per la sicurezza delle informazioni deve essere condotta seguendo un processo strutturato che comprende diverse fasi. Ecco i principali passaggi da seguire:

1. Identificazione dei rischi: Questa fase prevede la ricerca, il riconoscimento e la descrizione dei rischi. È importante considerare sia le minacce che le vulnerabilità che possono influenzare la sicurezza delle informazioni.
2. Analisi dei rischi: In questa fase, si analizzano i rischi identificati per comprendere i tipi di rischio e determinare il loro livello. L’analisi dei rischi implica la valutazione delle cause e delle fonti di rischio, la probabilità che si verifichi un evento specifico e la gravità delle conseguenze associate.
3. Valutazione dei rischi: Questa fase consiste nel confrontare i risultati dell’analisi dei rischi con i criteri di rischio stabiliti per determinare se il rischio e/o la sua significatività sono accettabili. Si deve anche prioritizzare i rischi analizzati per il trattamento. In base a questo confronto, si può decidere se è necessario un trattamento del rischio.
4. Definizione del contesto: È fondamentale stabilire il contesto della valutazione dei rischi, che include la descrizione dello scopo e dell’ambito, nonché le questioni interne ed esterne che influenzano la valutazione stessa.
5. Allineamento con la gestione dei rischi organizzativa: L’approccio alla gestione dei rischi per la sicurezza delle informazioni deve essere allineato con l’approccio generale alla gestione dei rischi dell’organizzazione, in modo che i rischi di sicurezza delle informazioni possano essere confrontati con altri rischi organizzativi.
6. Utilizzo di metodi e strumenti: La valutazione dei rischi dovrebbe basarsi su metodi e strumenti progettati in modo da garantire risultati coerenti, validi e riproducibili. L’output della valutazione deve essere comparabile nel tempo per monitorare eventuali variazioni nel livello di rischio.

In sintesi, la valutazione dei rischi per la sicurezza delle informazioni secondo la ISO/IEC 27005:2022 è un processo sistematico che richiede attenzione a vari aspetti, dalla identificazione e analisi dei rischi fino alla loro valutazione e allineamento con la gestione dei rischi complessiva dell’organizzazione.

Quali sono, secondo questa normativa, le principali minacce alla sicurezza delle informazioni da considerare?

Per la norma ISO/IEC 27005:2022, le minacce alla sicurezza delle informazioni possono variare a seconda del contesto e delle specifiche circostanze in cui opera un’organizzazione. Tuttavia, ci sono alcune categorie generali di minacce che le organizzazioni dovrebbero considerare durante il processo di valutazione dei rischi. Ecco alcune delle principali minacce:

1. Minacce interne: Queste possono includere dipendenti o collaboratori che, intenzionalmente o accidentalmente, compromettono la sicurezza delle informazioni. Ciò può includere la divulgazione non autorizzata di informazioni sensibili o l’uso improprio delle risorse aziendali.
2. Minacce esterne: Queste comprendono attacchi provenienti da fonti esterne all’organizzazione, come hacker, gruppi di cybercriminali o concorrenti. Gli attacchi informatici, perpetrati attraverso malware, phishing e ransomware, rientrano in questa categoria.
3. Errori umani: Gli errori commessi da dipendenti o collaboratori, come la configurazione errata di sistemi o la gestione inadeguata delle credenziali, possono rappresentare una minaccia significativa per la sicurezza delle informazioni.
4. Disastri naturali: Eventi come terremoti, inondazioni, incendi o altre calamità naturali possono danneggiare le infrastrutture e compromettere la sicurezza delle informazioni.
5. Guasti tecnologici: Malfunzionamenti hardware o software, guasti di rete o interruzioni di servizio possono influenzare la disponibilità e l’integrità delle informazioni.
6. Minacce legate alla supply chain: Le vulnerabilità o i rischi associati ai fornitori e ai partner commerciali possono rappresentare una minaccia per la sicurezza delle informazioni, specialmente se questi hanno accesso ai sistemi o ai dati sensibili dell’organizzazione.
7. Minacce alla privacy: La raccolta, l’archiviazione e la gestione inadeguata delle informazioni personali possono portare a violazioni della normativa privacy (es. GDPR) e a conseguenze legali.

8. Attacchi alla reputazione: Minacce che mirano a danneggiare la reputazione dell’organizzazione, come la diffusione di informazioni false o la pubblicazione di dati compromettenti.

Queste categorie di minacce devono essere considerate durante il processo di identificazione e analisi dei rischi, in modo che l’organizzazione possa sviluppare strategie adeguate per mitigare i rischi associati,.

Quali sono le più comuni vulnerabilità?

Secondo la norma ISO/IEC 27005:2022, le vulnerabilità sono debolezze nei sistemi, processi o controlli che possono essere sfruttati da minacce per compromettere la sicurezza delle informazioni. Ecco alcune delle vulnerabilità più comuni che le organizzazioni dovrebbero considerare:

Vulnerabilità Hardware

1. Insufficiente manutenzione/fallimenti nell’installazione: Problemi legati alla manutenzione inadeguata o all’installazione errata di dispositivi hardware.
2. Sensibilità a condizioni ambientali: Vulnerabilità legate a umidità, polvere o variazioni di temperatura che possono danneggiare l’hardware.
3. Mancanza di controllo delle modifiche di configurazione: Assenza di procedure per gestire le modifiche alle configurazioni hardware.

Vulnerabilità Software

1. Vizi e difetti noti nel software: Utilizzo di software con vulnerabilità già identificate e documentate.
2. Insufficiente testing del software: Mancanza di test adeguati a identificare e correggere i difetti prima del rilascio.
3. Gestione inadeguata delle password: Pratiche deboli nella gestione delle password, come l’uso di password deboli o la mancanza di meccanismi di autenticazione robusti.

Vulnerabilità di Rete

1. Linee di comunicazione non protette: Trasmissione di dati sensibili su reti non sicure.
2. Architettura di rete insicura: Progettazione della rete che non considera adeguatamente la sicurezza, creando punti deboli.
3. Punti unici di guasto: Componenti critici della rete che, se compromessi, possono causare l’interruzione del servizio.

Vulnerabilità Organizzative

1. Mancanza di politiche di sicurezza: Assenza di politiche chiare e documentate per la gestione della sicurezza delle informazioni.
2. Formazione inadeguata del personale: Dipendenti non adeguatamente formati sui rischi di sicurezza e sulle pratiche di protezione delle informazioni.
3. Procedure di reporting inefficaci: Mancanza di procedure per segnalare e gestire le vulnerabilità e le violazioni della sicurezza.

Vulnerabilità Fisiche

1. Accesso non controllato alle strutture: Mancanza di controlli fisici per limitare l’accesso a aree sensibili.
2. Mancanza di politiche di “clear desk” e “clear screen“: Assenza di politiche per garantire che le informazioni sensibili non siano visibili o accessibili quando non sono in uso.

Queste vulnerabilità possono essere sfruttate da minacce per compromettere la sicurezza delle informazioni e devono essere identificate e gestite attraverso un processo di valutazione dei rischi.

Come si può calcolare l’indice di rischio per la sicurezza delle informazioni secondo questa norma?

Secondo la norma ISO/IEC 27005:2022, il calcolo dell’indice di rischio per la sicurezza delle informazioni si basa su un processo di valutazione dei rischi che considera diversi fattori, tra cui la probabilità di un evento di rischio e le conseguenze ad esso associate. Ecco i passaggi generali per calcolare l’indice di rischio:

1. Identificazione dei Rischi

1. Identificare i rischi potenziali associati alle minacce e alle vulnerabilità presenti nell’organizzazione. Ciò può includere eventi come attacchi informatici, errori umani, guasti tecnologici, ecc.

2. Valutazione della Probabilità (Verosimiglianza)

Determinare la probabilità che ciascun rischio si verifichi. Questo può essere fatto utilizzando scale qualitative (bassa, media, alta) o quantitative (percentuali o frequenze).

3. Valutazione delle Conseguenze (Gravità dell’impatto)

Valutare le conseguenze di ciascun rischio in caso di realizzazione. Le conseguenze possono essere classificate in termini di impatto su:

• Riservatezza
• Integrità
• Disponibilità

Anche in questo caso, si possono utilizzare scale qualitative o quantitative.

4. Calcolo dell’Indice di Rischio

L’indice di rischio può essere calcolato utilizzando una formula che combina la probabilità e le conseguenze. Una formula comune è:

{Indice di Rischio} = {Probabilità} x {Impatto}

Questo indice fornisce una misura del rischio associato a ciascun evento identificato.

5. Classificazione dei Rischi

I rischi possono essere classificati in base all’indice di rischio calcolato, consentendo di prioritizzare le azioni di mitigazione. Ad esempio, i rischi con un indice di rischio elevato dovrebbero essere trattati con maggiore urgenza rispetto a quelli con un indice più basso.

6. Definizione di Strategie di Mitigazione

Sulla base della classificazione dei rischi, l’organizzazione può sviluppare strategie di mitigazione per ridurre la probabilità o l’impatto dei rischi identificati.

7. Monitoraggio e Riesame

È importante monitorare continuamente i rischi e riesaminare l’indice di rischio, poiché le minacce, le vulnerabilità e il contesto dell’organizzazione possono cambiare nel tempo.

Questi passaggi forniscono un approccio sistematico per calcolare e gestire i rischi per la sicurezza delle informazioni, come delineato nella norma ISO/IEC 27005: 2022. Il medesimo approccio può essere utilizzato per effettuare un Risk Assessment per la Direttiva NIS 2, vista l’analogia delle tematiche, garantendo così la riferibilità ad una metodologia di uno standard internazionale ISO.

La norma fornisce qualche esempio di matrice dei rischi?

La norma ISO/IEC 27005:2022 fornisce esempi di matrici dei rischio, che possono essere utilizzate per rappresentare graficamente la valutazione dei rischi in base a probabilità e conseguenze/impatti. Queste matrici aiutano le organizzazioni a visualizzare e classificare i rischi in modo chiaro e comprensibile.

Esempi di Matrice dei Rischi

1. Matrice Qualitativa:

 Una matrice qualitativa può utilizzare scale di classificazione come “Molto Alta”, “Alta”, “Media”, “Bassa” per la probabilità e le conseguenze. Ad esempio, una matrice potrebbe apparire come segue:

Probabilità Conseguenze	Molto Alta	Alta	Media	Bassa
Catastrofico	Molto Alta	Alta	Alta	Media
Critico	Molto Alta	Alta	Media	Bassa
Significativo	Alta	Media	Bassa	Bassa
Minore	Media	Bassa	Bassa	Molto Bassa

2. Matrice Quantitativa:

Una matrice quantitativa può utilizzare valori numerici per rappresentare la probabilità e l’impatto. Ad esempio, si potrebbe utilizzare una scala da 1 a 5 per entrambe le dimensioni, dove 1 rappresenta il rischio più basso e 5 il rischio più alto. La matrice potrebbe apparire come segue:

Probabilità Conseguenze	1 (Bassa)	2 (Media)	3 (Alta)	4 (Molto Alta)	5 (Critica) |
1 (Minore)	1	2	3	4	5
2 (Significativo)	2	4	6	8	10
3 (Critico)	3	6	9	12	15
4 (Catastrofico)	4	8	12	16	20

Utilizzo della Matrice dei Rischio

Le matrici dei rischio possono essere utilizzate per:

• Visualizzare la distribuzione dei rischi: Aiutano a identificare quali rischi richiedono attenzione immediata.
  • Supportare le decisioni: Forniscono un quadro chiaro per le decisioni relative alla gestione dei rischi.

  • Comunicare i rischi: Facilitano la comunicazione dei rischi a tutte le parti interessate.

È importante che le scale utilizzate nella matrice siano ben definite e comprese da tutte le parti interessate. Le descrizioni qualitative devono essere chiare e non ambigue, e le categorie non devono sovrapporsi.

Quali sono i livelli di probabilità e gravità/impatto ed i criteri per la loro determinazione secondo questa norma?

Nella norma ISO/IEC 27005:2022, i livelli di probabilità e gravità/impatto abbiamo visto che sono definiti attraverso scale qualitative e quantitative e i criteri per la loro determinazione devono essere stabiliti per garantire una valutazione coerente e significativa dei rischi.

Livelli di Probabilità

I livelli di probabilità possono essere espressi in termini qualitativi o quantitativi. Ecco un esempio di scala qualitativa:

Probabilità:

• Quasi certa: Evento che si prevede si verifichi frequentemente.
• Molto probabile: Evento che si prevede si verifichi frequentemente, ma non sempre.
• Probabile: Evento che ha una buona possibilità di verificarsi.
• Poco probabile: Evento che ha una bassa possibilità di verificarsi.
• Improbabile: Evento che è poco probabile che si verifichi.

Livelli di Gravità/Impatto

I livelli di gravità o impatto delle conseguenze possono essere definiti come segue:

Gravità delle Conseguenze:

• Catastrofico: Conseguenze gravi che possono compromettere gravemente l’organizzazione.
• Critico: Conseguenze significative che possono influenzare gravemente le operazioni/i processi di business.
• Serio: Conseguenze che possono causare danni notevoli, ma non critici.
• Significativo: Conseguenze che possono causare disagi minori.
• Minore: Conseguenze trascurabili che non influenzano le operazioni.

Criteri per la Determinazione dei Livelli

I criteri per determinare i livelli di probabilità e gravità includono:

• Analisi Storica: Considerare eventi passati e incidenti di sicurezza che si sono verificati all’interno e all’esterno dell’organizzazione.
• Valutazione delle Vulnerabilità: Identificare le vulnerabilità esistenti e il loro potenziale impatto.
• Scenari di Rischio: Creare scenari di rischio che combinano probabilità e conseguenze per valutare il livello di rischio complessivo.
• Contesto Organizzativo: Considerare il contesto specifico dell’organizzazione, inclusi i suoi obiettivi, le risorse e l’ambiente operativo.
• Consenso delle Parti Interessate: Assicurarsi che le definizioni e le scale siano comprese e accettate da tutte le parti interessate coinvolte nel processo di gestione del rischio.

1. Analisi Storica: Considerare eventi passati e incidenti di sicurezza che si sono verificati all’interno e all’esterno dell’organizzazione.
2. Valutazione delle Vulnerabilità: Identificare le vulnerabilità esistenti e il loro potenziale impatto.
3. Scenari di Rischio: Creare scenari di rischio che combinano probabilità e conseguenze per valutare il livello di rischio complessivo.
4. Contesto Organizzativo: Considerare il contesto specifico dell’organizzazione, inclusi i suoi obiettivi, le risorse e l’ambiente operativo.
5. Consenso delle Parti Interessate: Assicurarsi che le definizioni e le scale siano comprese e accettate da tutte le parti interessate coinvolte nel processo di gestione del rischio.

Esempi pratici

Nell’Appendice A la norma ISO 27005 fornisce esempi di tecniche a supporto del processo di valutazione dei rischi.

La norma presenta tabelle che possono essere utilizzate per rappresentare visivamente i livelli di probabilità e gravità, come ad esempio:

• Tabella A.3: Esempio di approccio qualitativo ai criteri di rischio, che combina probabilità e conseguenze per determinare il livello di rischio.
• Tabella A.2 e A.4: Esempi di scale di probabilità che possono essere utilizzate per rappresentare la probabilità di eventi di rischio in termini probabilistici o frequenziali.

Questi livelli e criteri sono fondamentali per aiutare le organizzazioni a prendere decisioni informate sulla gestione dei rischi e a stabilire priorità per le azioni di mitigazione.

Inoltre, sono illustrate Tecniche pratiche per identificare valutare i componenti di rischio per la sicurezza delle informazioni quali:

• Componenti legati al passato: eventi e incidenti di sicurezza (sia all’interno dell’organizzazione che all’esterno), fonti di rischio, vulnerabilità sfruttate, conseguenze misurate.
• Componenti legati al futuro: minacce; vulnerabilità; conseguenze; scenari di rischio.

n questo articolo, esploreremo i principali punti della Direttiva NIS 2 e del Decreto di recepimento, analizzando le novità, gli impatti per le aziende e gli enti pubblici, e le sfide future in un contesto sempre più digitalizzato e vulnerabile a minacce cibernetiche.

La Direttiva NIS 2: obiettivi e novità

La Direttiva NIS 2 è parte di un più ampio sforzo dell’Unione Europea per rafforzare la sicurezza informatica e contrastare i rischi legati alle infrastrutture digitali, che sono diventate essenziali per il funzionamento delle economie moderne. Tra gli obiettivi principali della NIS 2 ci sono:

1. Aumentare il livello di protezione delle infrastrutture critiche: La Direttiva mira a garantire che tutte le organizzazioni che gestiscono infrastrutture critiche (settori come energia, trasporti, sanità, acqua, comunicazioni elettroniche) siano più preparate ad affrontare attacchi cibernetici e a limitare l’impatto di eventuali incidenti di sicurezza.
2. Estensione della portata delle norme: La Direttiva NIS 2 amplia il campo di applicazione rispetto alla versione precedente. Non solo le entità pubbliche e le aziende più grandi sono coinvolte, ma anche i fornitori di servizi essenziali e altre organizzazioni considerate ad alto rischio (ad esempio, piattaforme di e-commerce, fornitori di servizi cloud e aziende tecnologiche).
3. Miglioramento della cooperazione tra Stati membri: Una parte cruciale della NIS 2 è la creazione di un meccanismo di cooperazione più robusto tra gli Stati membri dell’UE. Questo implica la condivisione di informazioni sulle minacce, la gestione degli incidenti e lo sviluppo di linee guida comuni in materia di sicurezza informatica.
4. Obbligo di gestione dei rischi e notifica degli incidenti: Le aziende devono implementare misure di sicurezza adeguate e notificare tempestivamente le violazioni della sicurezza alle autorità competenti. Inoltre, devono adottare politiche di gestione dei rischi informatici per prevenire attacchi.

5. Sanzioni più severe: La Direttiva prevede l’introduzione di pene pecuniarie in caso di mancato adempimento degli obblighi di sicurezza, con multe che possono arrivare fino al 2% del fatturato annuale globale delle aziende coinvolte.

Il Decreto Legislativo 138/2024: Il recepimento della NIS 2 in Italia

Con la pubblicazione del Decreto Legislativo 138/2024 il 4 settembre 2024, l’Italia ha recepito la Direttiva NIS 2 nell’ordinamento nazionale, introducendo modifiche significative al quadro giuridico e regolatorio per la sicurezza delle reti e dei sistemi informativi. Alcuni degli aspetti più rilevanti includono:

1. Ampliamento del concetto di “Entità Essenziali“: In linea con le disposizioni della NIS 2, il Decreto Italiano amplia il novero delle entità soggette agli obblighi di sicurezza. Non solo i settori tradizionali (energia, trasporti, sanità) ma anche nuovi settori come i fornitori di servizi digitali, le piattaforme di e-commerce, i servizi cloud e le infrastrutture critiche IT rientrano nella normativa.
2. Notifica tempestiva degli incidenti di sicurezza: Le aziende e gli enti pubblici devono comunicare eventuali incidenti di sicurezza che possano avere un impatto significativo sui servizi essenziali entro 24 ore dall’accaduto. Ciò include attacchi informatici, vulnerabilità critiche e qualsiasi altro evento che minacci l’integrità dei sistemi.
3. Politiche di Gestione dei Rischi: L’adozione di un piano di gestione dei rischi diventa obbligatoria. Il piano deve contenere misure preventive per ridurre al minimo la probabilità di attacchi, nonché strategie di risposta e recupero in caso di incidenti di sicurezza.
4. Sanzioni e controllo: Il Decreto stabilisce un quadro sanzionatorio chiaro per le violazioni, che può arrivare a multe significative e altre misure correttive, in linea con le disposizioni europee. L’Autorità per la Cybersicurezza, che coordina gli sforzi nazionali, è anche incaricata di monitorare e fare rispettare la normativa.

Implicazioni per le Aziende e gli Enti Pubblici in Italia

L’entrata in vigore della Direttiva NIS 2 e del D.Lgs 138/2024 comporta un cambiamento significativo per molte realtà aziendali e pubbliche. Le organizzazioni devono ora adottare una strategia di cybersecurity che non si limiti a proteggere i dati sensibili, ma che abbracci una visione complessiva della sicurezza, con misure preventive, piani di risposta agli incidenti e una costante attività di monitoraggio.

Le PMI, che fino ad oggi erano meno coinvolte nella normativa, ora potrebbero essere chiamate a rispettare nuovi obblighi, soprattutto se operano in settori considerati “essenziali” o ad alto rischio. Questo significa che anche le piccole e medie imprese devono investire in soluzioni di cybersecurity avanzate, implementare formazione adeguata per i propri dipendenti e rivedere periodicamente la sicurezza dei propri sistemi.

Inoltre, la cooperazione tra enti pubblici e privati diventa fondamentale per affrontare le minacce informatiche globali. La creazione di canali di comunicazione per la condivisione delle informazioni sulle vulnerabilità e sugli attacchi è un aspetto cruciale che contribuirà a migliorare la resilienza dell’intero sistema digitale europeo.

I settori coinvolti

La Direttiva (UE) 2022/2555 interessa diversi settori chiave, che sono considerati essenziali per il funzionamento della società e dell’economia. Il D.Lgs 138/2024 riporta algli Allegati I e 2, rispettivamente, “i settori ad alta criticità” ed “altri settori critici”.

Tra i settori principali coperti dalle misure di cibersicurezza previste nella direttiva, troviamo:

1. Energia: Include le infrastrutture e i servizi legati alla produzione, distribuzione e fornitura di energia, come elettricità, gas e petrolio.

2. Trasporti: Comprende i servizi di trasporto aereo, marittimo e terrestre, nonché le infrastrutture associate.

3. Sanità: Riguarda le strutture sanitarie, i fornitori di servizi sanitari e le tecnologie dell’informazione utilizzate nel settore sanitario.

4. Acqua: Include la fornitura e la gestione delle risorse idriche, comprese le infrastrutture per la potabilizzazione e la distribuzione dell’acqua.

5. Infrastrutture digitali: Comprende i fornitori di servizi di comunicazione elettronica e i servizi di hosting, nonché le piattaforme digitali.

6. Settore finanziario: Riguarda le istituzioni finanziarie, come banche e compagnie assicurative, che gestiscono dati sensibili e transazioni economiche.

7. Servizi essenziali: Include anche altri servizi che sono fondamentali per il funzionamento della società, come i servizi di emergenza e le infrastrutture critiche.

La direttiva mira a garantire che questi settori adottino misure adeguate per proteggere le loro infrastrutture e servizi da minacce informatiche, contribuendo così a una maggiore resilienza cibernetica in tutta l’Unione Europea.

Il coinvolgimento di numerose aziende in questi settori critici porterà, a cascata, anche il coinvolgimento della catena di fornitura, con richieste contrattuali severe sulla sicurezza informatica.

Le misure di sicurezza richieste

La Direttiva (UE) 2022/2555 impone diverse misure di sicurezza alle aziende coinvolte, al fine di garantire un elevato livello di cibersicurezza. Le principali misure di sicurezza includono:

1. Politiche di analisi dei rischi: Le aziende devono sviluppare e mantenere politiche per identificare e valutare i rischi associati alla sicurezza informatica.
2. Strategie per la gestione degli incidenti: È necessario avere piani e procedure in atto per gestire e rispondere agli incidenti di sicurezza informatica. Le aziende sono anche obbligate a notificare alle autorità competenti qualsiasi incidente significativo di sicurezza informatica che possa avere un impatto sui servizi essenziali o sui dati sensibili. La notifica deve avvenire entro un termine specificato dalla direttiva.
3. Piani di continuità operativa: Le aziende devono prepararsi a garantire la continuità dei servizi anche in caso di incidenti di sicurezza.
4. Sicurezza della catena di approvvigionamento: Le misure devono estendersi anche ai fornitori e ai partner, assicurando che la sicurezza sia mantenuta lungo tutta la catena di approvvigionamento.
5. Gestione della Sicurezza del Software: Le aziende dovranno adottare procedure per garantire la sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informatici e di rete, compresa la gestione e la divulgazione delle vulnerabilità ed i relativi aggiornamenti.
6. Pratiche di igiene informatica: È fondamentale adottare buone pratiche di igiene informatica per prevenire attacchi e vulnerabilità.
7. Misure tecniche, operative e organizzative: Le misure devono essere adeguate e proporzionate ai rischi identificati, mirando a proteggere i sistemi informatici e di rete da attacchi e a minimizzare l’impatto degli incidenti. Queste misure possono includere la crittografia, il controllo degli accessi, la protezione dei dati e la formazione del personale.
8. Valutazione della conformità: Le aziende devono essere pronte a sottoporsi a valutazione della conformità per valutare l’efficacia delle misure di sicurezza intraprese e garantire che rispettino gli obblighi di sicurezza stabiliti dalla direttiva. Ciò può includere audit e controlli da parte di fornitori specializzati (es. Penetration Test e Vulnerability Assessment) delle autorità competenti.

Queste misure sono progettate per garantire che le aziende adottino un approccio proattivo alla sicurezza informatica, contribuendo così a una maggiore resilienza e protezione contro le minacce cibernetiche.

Le misure di sicurezza sono simili ai controlli previsti dalla nota ISO 27001 per i sistemi di gestione della sicurezza delle informazioni, ma quali sono le differenze? Chi è già certificato ISO 27001 o sta per farlo è già conforme alla NIS 2? Occorre fare alcune precisazioni.

Da un lato i controlli ISO 27001 (e linea guida ISO 27002) coprono uno spettro più ampio della sicurezza delle informazioni, dall’altro alcune misure di sicurezza richieste dalla NIS 2 sono più specifiche (es. gestione e notifica degli incidenti).

La NIS 2 è più orientata alla Cybersecurity ed alla protezione delle informazioni sensibili per il funzionamento delle infrastrutture critiche, mentre il campo di applicazione di un SGSI ISO 27001 può spaziare in diversi ambiti e, pertanto, potrebbe avere un perimetro più esteso di quello della NIS 2. Attenzione però che data breach di attività e servizi fuori dal perimetro della NIS 2 non possano coinvolgere attività e servizi critici entro il perimetro NIS 2.

La procedura di registrazione al portale ACN

La registrazione al portale ACN èobbligatoria entro il 28 febbraio 2025, in mancanza l’azienda, se rientra tra i soggetti nell’ambito della Direttiva, è soggetta a sanzione.

Informazioni necessarie per la registrazione

La registrazione si compone di tre fasi: il censimento del punto di contatto, la sua associazione al soggetto NIS e la compilazione della dichiarazione.

1. Per la fase di censimento del punto di contatto, sarà necessario verificare o fornire i seguenti dati:

   1. nome e cognome;
   2. luogo e data di nascita;
   3. codice fiscale;
   4. cittadinanza;
   5. Paese di residenza e, ove richiesto, di domicilio;
   6. indirizzo di posta elettronica ordinaria, preferibilmente individuale, nonché di servizio, aziendale o professionale;
   7. ove disponibile, un indirizzo di posta elettronica certificata, preferibilmente individuale, nonché di servizio, aziendale o professionale;
   8. numero di telefono, preferibilmente individuale, nonché di servizio, aziendale o professionale;
   9. ove disponibile, un numero alternativo di telefono, preferibilmente individuale di servizio, aziendale o professionale.

2. Per la fase di associazione del punto di contatto al soggetto NIS, sarà necessario disporre del codice fiscale di quest’ultimo. Inoltre, qualora il Punto di contatto non sia il rappresentante legale del soggetto o un suo procuratore generale censito sul registro delle imprese, sarà necessario caricare il titolo giuridico che lo delega a operare per conto del soggetto.
3. Per la fase di compilazione della dichiarazione, sarà necessario disporre:

   1. dell’elenco dei codici ATECO che caratterizzano le attività svolte e i servizi erogati dal soggetto, con particolare riferimento all’ambito di applicazione del decreto NIS;
   2. delle normative europee settoriali citate dal decreto NIS per delimitarne l’ambito di applicazione che si applicano al soggetto;
   3. del numero di dipendenti, il fatturato e il bilancio del soggetto. Qualora il soggetto non sia una impresa autonoma, il numero di dipendenti, il fatturato e il bilancio del soggetto calcolato ai sensi della raccomandazione 2003/361/CE, con particolare riguardo all’articolo 6, paragrafo 2, dell’allegato alla raccomandazione medesima;
   4. l’elenco delle tipologie di soggetto di cui agli allegati I, II, III e IV, a cui è riconducibile il soggetto (ovvero soggetto appartenente a settori ad alta criticità, altri settori critici, P.A.,…) ;
   5. l’autovalutazione del soggetto quale essenziale, importante o fuori ambito, sulla base di quanto previsto dagli articoli 3 e 6 del decreto NIS.

Per i soggetti che non sono imprese autonome (ovvero hanno imprese collegate, associate e/o fanno parte di un gruppo di imprese), in fase di registrazione sarà inoltre necessario fornire le informazioni indicate nel seguito.

Per i Gruppi di imprese che si devono registrare

Con riferimento alla designazione del punto di contatto, al fine di non imporre radicali cambiamenti nel governo della sicurezza informatica, i soggetti che fanno parte di un gruppo di imprese ai sensi dell’articolo 1, comma 1, lettera u), della Determinazione 38565/2024, possono designare quale punto di contatto il dipendente di un’altra impresa che rientra nell’ambito di applicazione del decreto NIS e che fa parte del medesimo gruppo di imprese.

Pertanto, ad esempio:

1. nei gruppi di imprese nei quali il governo della sicurezza informatica è decentralizzato, i soggetti che fanno parte del gruppo possono designare ognuno un proprio dipendente quale punto di contatto;
2. nei gruppi di imprese nei quali il governo della sicurezza informatica è centralizzata, i soggetti che fanno parte del gruppo possono tutti designare quale punto di contatto un dipendente della struttura del gruppo che governa la sicurezza informatica, oppure designare ognuno un proprio dipendente quale punto di contatto che si coordinerà con la struttura del gruppo che governa la sicurezza informatica.

Qualora la stessa persona fisica sia designata quale punto di contatto per tutti o una parte dei soggetti NIS del gruppo di imprese, occorrerà ripetere la fase di associazione e registrazione per ogni soggetto NIS.

Inoltre, con riferimento alla registrazione di soggetti che non sono imprese autonome ai sensi dell’articolo 1, comma 1, lettera t) della Determinazione 38565/2024, sarà necessario fornire le seguenti ulteriori informazioni rispetto a quanto illustrato in precedenza:

1. il codice fiscale e la ragione sociale della capogruppo, qualora il soggetto appartenga a un gruppo e non sia la capogruppo;
2. il codice fiscale e la ragione sociale di tutte le imprese collegate, ai sensi della Determinazione 38565/2024, articolo 1, comma 1, lettera s), che soddisfano almeno uno dei criteri di cui all’articolo 3, comma 10, del decreto legislativo 138/2024 (decreto NIS) nei confronti del soggetto medesimo;
3. il codice fiscale e la ragione sociale di tutte le imprese collegate che, per quanto noto, siano a loro volta soggetti NIS, ai sensi della Determinazione 38565/2024, articolo 1, comma 1, lettera s), nei confronti dei quali il soggetto medesimo soddisfa almeno uno dei criteri di cui all’articolo 3, comma 10, del decreto legislativo 138/2024 (decreto NIS);
4. il numero di dipendenti, il fatturato e il bilancio del soggetto calcolato ai sensi della raccomandazione 2003/361/CE, con particolare riguardo all’articolo 6, paragrafo 2, dell’allegato alla raccomandazione medesima.

Infine, con riferimento a quest’ultimo punto, qualora tale soggetto ritenga sproporzionata l’applicazione dell’articolo 6, paragrafo 2, dell’allegato alla raccomandazione 2003/361/CE, sarà necessario fornire anche:

1. il numero di dipendenti, il fatturato e il bilancio del soggetto calcolato ai sensi della raccomandazione 2003/361/CE, senza tenere conto di quanto previsto dall’articolo 6, paragrafo 2, dell’allegato alla raccomandazione medesima;
2. la valutazione del grado di indipendenza (totale parziale o assente) dei sistemi informativi e di rete NIS dell’organizzazione dai sistemi informativi e di rete delle imprese collegate. Con attività e servizi NIS si intendono le attività e i servizi per i quali l’organizzazione rientra nell’ambito di applicazione del decreto NIS. Con sistemi informativi e di rete NIS, si intendono i sistemi informativi e di rete che abilitano attività e servizi NIS;
3. la valutazione del grado di indipendenza (totale parziale o assente) delle attività e dei servizi NIS dell’organizzazione NIS dalle attività e dai servizi delle imprese collegate;
4. la risposta (si, in parte, no) alle domande seguenti:

   1. I sistemi informativi e di rete delle imprese collegate concorrono ai sistemi informativi e di rete NIS dell’organizzazione?
   2. Le attività e i servizi di imprese collegate concorrono alle attività e servizi NIS dell’organizzazione?
   3. Le imprese collegate sono essenziali nella catena di approvvigionamento, anche digitale, dell’organizzazione?

Criteri per designare il punto di contatto

Il Punto di contatto è il rappresentante legale o un suo procuratore generale oppure un dipendente delegato del soggetto.

In quest’ultimo caso, nel corso della registrazione, il punto di contatto dovrà caricare il titolo giuridico che lo delega a operare per conto del soggetto nel contesto NIS. Come titolo giuridico è sufficiente una delega del rappresentante legale che può essere ad-hoc (modello suggerito) o anche una delega pre-esistente più ampia.

Per le pubbliche amministrazioni è possibile designare quale punto di contatto il dipendente di un’altra pubblica amministrazione che rientra nell’ambito di applicazione del decreto NIS.

Analogamente, i soggetti che fanno parte di un gruppo di imprese possono designare quale punto di contatto il dipendente di un’altra impresa che rientra nell’ambito di applicazione del decreto NIS e che fa parte del medesimo gruppo di imprese.

Il punto di contatto ha il compito di curare l’attuazione delle disposizioni del decreto NIS per conto del soggetto stesso, a partire dalla registrazione, e interloquisce, per conto del soggetto NIS, con l’Autorità nazionale competente NIS.

Conclusioni

La Direttiva NIS 2 e il Decreto Legislativo 138/2024 rappresentano un passo importante nella protezione delle infrastrutture digitali e nella lotta contro il crimine informatico. Con l’adozione di misure più rigorose e la creazione di un sistema di cooperazione tra Stati membri, l’UE sta cercando di creare un ambiente digitale più sicuro e resistente.

Per diverse aziende l’interpretazione dell’ambito di applicazione, ovvero se sono obbligate o meno all’applicazione della NIS 2, non è semplice; si auspica chiarimenti da parte di ACN, molto attiva sull’argomento (si veda https://www.acn.gov.it/portale/faq/cloud).

Per le aziende italiane, la sfida non è solo adeguarsi alle nuove normative, ma farlo in modo proattivo, rafforzando la sicurezza informatica e costruendo una cultura della protezione che diventi parte integrante delle loro operazioni quotidiane.

Investire in cybersecurity non è più un’opzione: è una necessità imprescindibile per proteggere i dati, la privacy e la reputazione di ciascuna organizzazione. Con il Decreto 138/2024, l’Italia compie un passo decisivo verso una maggiore protezione delle sue reti e sistemi informativi, rafforzando la fiducia nel sistema digitale europeo.

La norma ISO 90003 (UNI CEI ISO/IEC/IEEE 90003:2020 – Linee guida per l’applicazione della norma ISO 9001 nel settore del software) è una guida preziosa per le organizzazioni che desiderano applicare la ISO 9001:2015 nel campo dello sviluppo e della gestione del software. Questa norma offre indicazioni chiare per l’acquisizione, la fornitura, lo sviluppo, il funzionamento e la manutenzione del software, senza modificare i requisiti esistenti della ISO 9001:2015. L’applicazione di questa linea guida costituisce un passo importante per garantire la qualità e l’affidabilità dei servizi legati alle applicazioni software di qualsiasi tipo.

Oggi, purtroppo, si denota un forte decadimento della qualità del software sviluppato per le diverse applicazioni (programmi desktop, programmi client-server, applicazioni web, app per dispositivi mobili, ecc.). Il continuo aggiornamento dei software, causato apparentemente per motivi di sicurezza, ovvero per “patchare” le vulnerabilità emerse, in realtà maschera una qualità del software non adeguata al momento del rilascio. La fretta nel rilasciare nuove versioni spesso porta a trascurare test adeguati allo scopo e l’evento che ha messo in crisi a livello mondiali moltissimi sistemi Microsoft lo scorso luglio ne è solo un esempio.

Obiettivi della norma

I principali obiettivi della norma UNI CEI ISO/IEC/IEEE 90003:2020 sono:

1. Guida all’applicazione della ISO 9001:2015: Fornire indicazioni specifiche per le organizzazioni su come applicare i principi e i requisiti della ISO 9001:2015 nel contesto dello sviluppo e della gestione del software.
2. Supporto per l’acquisizione e la fornitura di software: Offrire linee guida per l’acquisizione, la fornitura, lo sviluppo, il funzionamento e la manutenzione del software e dei relativi servizi di supporto.
3. Mantenimento della qualità: Assicurare che le pratiche di gestione del software siano allineate con gli standard di qualità internazionali, contribuendo così a migliorare la qualità e l’affidabilità dei prodotti software.
4. Non modificare i requisiti ISO 9001:2015: La norma non aggiunge né modifica i requisiti della ISO 9001:2015, ma si concentra sull’applicazione di questi requisiti nel settore del software.

I benefici nell’applicazione delle linee guida

I benefici per un’organizzazione nell’applicare le linee guida della norma UNI CEI ISO/IEC/IEEE 90003:2020 alla gestione del software includono:

1. Miglioramento della qualità del software: L’applicazione della norma aiuta a stabilire processi e pratiche che migliorano la qualità del software sviluppato, riducendo difetti e aumentando la soddisfazione del cliente.
2. Allineamento con standard internazionali: Seguendo le linee guida della norma, le organizzazioni possono garantire che i loro processi di gestione del software siano conformi agli standard internazionali, facilitando l’integrazione e la cooperazione con partner e clienti globali.
3. Ottimizzazione dei processi: La norma fornisce indicazioni su come implementare un sistema di gestione della qualità (SGQ) efficace, che può portare a una maggiore efficienza operativa e a una riduzione dei costi attraverso processi più snelli e ben definiti.
4. Flessibilità e adattabilità: La norma è progettata per essere indipendente dalla tecnologia e dai modelli di ciclo di vita, permettendo alle organizzazioni di adattare le linee guida alle loro specifiche esigenze e contesti operativi.
5. Supporto alla gestione del rischio: Implementando un sistema di gestione per la qualità basato su questa norma, le organizzazioni possono identificare e gestire meglio i rischi associati allo sviluppo e alla manutenzione del software, contribuendo a una maggiore stabilità e affidabilità dei prodotti.
6. Soddisfazione del cliente: Un focus sulla qualità e sull’affidabilità del software porta a una maggiore soddisfazione del cliente, poiché i prodotti e i servizi forniti rispondono meglio alle loro esigenze e aspettative.

I requisiti principali della norma

I requisiti principali che caratterizzano la norma UNI CEI ISO/IEC/IEEE 90003:2020, in relazione all’applicazione della ISO 9001:2015 nel contesto del software, includono:

1. Sistema di gestione della qualità (SGQ, QMS nella dizione inglese): Le organizzazioni devono stabilire, implementare, mantenere e migliorare un sistema di gestione della qualità che soddisfi i requisiti della ISO 9001:2015, adattandolo alle specificità del settore software.
2. Focus sul cliente: È fondamentale garantire che i requisiti dei clienti siano compresi e soddisfatti, contribuendo così a migliorare la soddisfazione del cliente stesso.
3. Processo di sviluppo del software: La norma incoraggia l’adozione di processi ben definiti per lo sviluppo, la gestione e la manutenzione del software, che possono includere pratiche di ingegneria del software come quelle descritte in ISO/IEC/IEEE 12207:2017.
4. Documentazione e registrazioni: Le organizzazioni devono mantenere documentazione adeguata e registrazioni (informazioni documentate da conservare secondo la definizione ISO 9001:2015) per dimostrare la conformità ai requisiti del SGQ e per facilitare il monitoraggio e la revisione dei processi.
5. Gestione dei rischi: È richiesto un approccio basato sul rischio per identificare, valutare e gestire i rischi associati ai processi di sviluppo del software, al fine di prevenire effetti negativi sulla qualità.
6. Miglioramento continuo: Le organizzazioni devono impegnarsi in un processo di miglioramento continuo, utilizzando feedback, audit e analisi delle prestazioni per identificare opportunità di miglioramento.
7. Formazione e competenza: È essenziale garantire che il personale coinvolto nei processi di sviluppo del software sia adeguatamente formato e competente, per garantire la qualità del lavoro svolto.

Questi requisiti mirano a garantire che le organizzazioni possano fornire software di alta qualità, soddisfacendo le aspettative dei clienti e conformandosi agli standard internazionali. Purtroppo spesso gli auditor ISO 9001 degli organismi di certificazione non entrano nel dettaglio di questi aspetti secondo quello che è indicato in questa normativa che, seppur linea guida, costituiscxe un valido strumento per comprendere se i requisiti ISO 9001 sono stati declinati correttamente nelle attività legate al settore informatico dello sviluppo software.

I test

Secondo la norma UNI CEI ISO/IEC/IEEE 90003:2020, la gestione del test del software deve seguire alcuni principi e pratiche chiave per garantire la qualità e l’affidabilità del prodotto finale. Ecco come deve essere gestito il test del software:

1. Pianificazione dei test: È fondamentale sviluppare un piano di test che definisca gli obiettivi, le strategie, le risorse necessarie e i criteri di accettazione. Questo piano deve essere allineato con i requisiti del software e le aspettative del cliente.
2. Definizione dei requisiti di test: I requisiti di test devono essere chiaramente definiti e documentati, in modo da garantire che tutti gli aspetti del software siano testati in modo adeguato. Ciò include la definizione di casi di test basati sui requisiti funzionali e non funzionali.
3. Esecuzione dei test: I test devono essere eseguiti in modo sistematico e documentato. È importante registrare i risultati dei test, compresi eventuali difetti riscontrati, per facilitare la tracciabilità e la gestione delle problematiche.
4. Verifica e validazione: I test devono essere utilizzati per verificare che il software soddisfi i requisiti specificati (verifica) e per convalidare che il software soddisfi le esigenze e le aspettative del cliente provandolo nell’ambiente operativo finale (validazione).
5. Gestione dei difetti/anomalie: Deve essere implementato un processo per la gestione dei difetti, anomalie o malfunzionamenti identificati durante i test. Questo include la registrazione, la classificazione, la risoluzione e la verifica delle correzioni apportate.
6. Riesame dei risultati dei test: I risultati dei test devono essere analizzati e riesaminati per identificare aree di miglioramento e per garantire che le problematiche siano state risolte in modo efficace. Questo processo contribuisce al miglioramento continuo del sistema di gestione della qualità.
7. Documentazione dei test: È essenziale mantenere una documentazione dettagliata dei test, compresi i piani di test, i casi di test, i risultati e le azioni correttive intraprese. Questa documentazione serve come riferimento per audit e revisioni future.

Implementando queste pratiche, le organizzazioni possono garantire che il processo di test del software sia efficace e contribuisca a fornire prodotti di alta qualità che soddisfano le aspettative dei clienti. Troppo spesso i test vengono demandati allo sviluppatore stesso senza fornirgli indicazioni precisi di cosa e come deve essere testato l’applicativo. Spesso non vengono redatte delle vere e proprie Specifiche di Test che normalmente possono essere differenti dalle Specifiche dei Requisiti dell’applicativo: come testare un software è cosa diversa da come lo si deve realizzare.

La manutenzione del software

Ma dopo il collaudo di accettazione ed il rilascio come deve essere gestita la manutenzione del software e l’assistenza tecnica ai clienti secondo questa norma?

Secondo la norma UNI CEI ISO/IEC/IEEE 90003:2020, la gestione della manutenzione del software e dell’assistenza tecnica ai clienti deve seguire alcune linee guida fondamentali per garantire la qualità e l’affidabilità del servizio. Ecco come deve essere gestita:

1. Pianificazione della manutenzione: È importante sviluppare un piano di manutenzione che definisca le attività necessarie per mantenere il software in buone condizioni operative. Questo piano dovrebbe includere la gestione delle modifiche, la risoluzione dei problemi e le attività di supporto.
2. Attività di manutenzione: Le attività di manutenzione devono comprendere:
3. Risoluzione dei problemi e supporto tecnico, inclusa l’assistenza help desk.
4. Monitoraggio del sistema per rilevare eventuali guasti o malfunzionamenti.
5. Modifiche all’interfaccia quando si apportano aggiunte o cambiamenti ai componenti hardware controllati dal software.
6. Gestione della configurazione, test e attività di assicurazione della qualità.

3. Documentazione delle attività di manutenzione: È essenziale mantenere registrazioni dettagliate delle attività di manutenzione, comprese le modifiche apportate, i problemi risolti e le interazioni con i clienti. Queste registrazioni possono essere utilizzate per valutare e migliorare il prodotto software e il sistema di gestione della qualità.
4. Assistenza tecnica ai clienti: L’assistenza ai clienti deve essere ben strutturata e deve includere:
5. Un sistema di supporto per rispondere alle richieste e ai problemi dei clienti. Un buon sistema di ticketing costituisce un valido supporto per svolgere l’assistenza tecnica al cliente.
6. Formazione e documentazione per i clienti, per aiutarli a utilizzare il software in modo efficace.
7. Un processo per raccogliere feedback dai clienti, che può essere utilizzato per migliorare il software e i servizi di supporto.

5. Gestione dei rischi: Le organizzazioni devono gestire i rischi associati alla manutenzione del software, inclusi quelli legati alla disponibilità del supporto per i prodotti acquistati e alla continuità del servizio.
6. Miglioramento continuo: Le informazioni raccolte durante le attività di manutenzione e assistenza devono essere utilizzate per identificare opportunità di miglioramento, sia per il software che per i processi di supporto. Questo approccio contribuisce a garantire che il software rimanga rilevante e soddisfi le esigenze dei clienti nel tempo.

Implementando queste pratiche, le organizzazioni possono garantire che la manutenzione del software e l’assistenza tecnica siano gestite in modo efficace, contribuendo così alla soddisfazione del cliente e alla qualità complessiva del prodotto.

Naturalmente non vanno dimenticati i requisiti contrattuali con i clienti. Spesso le attività di manutenzione orinaria sono comprese nel canone di licenza d’uso (o canone di abbonamento per software SaaS). Esse comprendono la risoluzione dei bug o malfunzionamenti software, il supporto operativo nell’utilizzo dell’applicativo (talvolta compreso un “monte ore” di assistenza), interventi eseguiti entro determinati SLA e così via.

Las manutenzione comprende non solo attività correttive, ma anche attività evolutive, ovvero modifiche che migliorano le funzionalità e la sicurezza del software. La loro gestione deve essere mantenuta sotto controllo attraverso procedure di change management che definiscano un ciclo di approvazione delle modifiche comprendente anche la valutazione dei possibili effetti negativi dell’implementazione delle modifiche sulle funzionalità preesistenti, prevedendo appositi test di regressione (regression test).

È opportuno che il fornitore del servizio di assistenza software stabilisca con il cliente una classificazione delle anomalie segnalate per livello di gravità (es. Bloccante, Critica, Secondaria…) e per priorità dell’intervento (es. priorità alta richiede un intervento entro 4 ore, ecc.).

In base ai requisiti contrattuali il fornitore del servizio di assistenza dovrà dimensionare adeguatamente le proprie risorse dedicate.

Documenti e registrazioni

Ma quali sono le principali registrazioni da conservare e documenti da mantenere nel ciclo di progettazione e sviluppo software?

Secondo la norma UNI CEI ISO/IEC/IEEE 90003:2020, è fondamentale mantenere una serie di registrazioni e documenti durante il ciclo di progettazione e sviluppo del software per garantire la qualità e la tracciabilità del processo. Le principali registrazioni e documenti da conservare includono:

1. Piani di progetto: Documenti che definiscono gli obiettivi, le risorse, le tempistiche e le strategie per il progetto di sviluppo software.
2. Requisiti del software: Documentazione che specifica i requisiti funzionali e non funzionali del software, inclusi i criteri di accettazione.
3. Specifiche di progettazione e sviluppo: Documenti che descrivono l’architettura, il design e le specifiche tecniche del software, inclusi diagrammi di flusso e modelli E-R.
4. Casi di test e risultati: Documentazione relativa ai casi di test sviluppati per verificare e validare il software, insieme ai risultati ottenuti durante le attività di test.
5. Documentazione di sviluppo: Include codice sorgente, pseudo codice, modelli di dati e qualsiasi altro output generato durante il processo di sviluppo.
6. Documentazione di supporto: Manuali utente, documentazione operativa, materiale di formazione e documentazione di manutenzione.
7. Registrazioni dei riesami, verifiche e validazioni: Verbali delle riunioni e delle review del progetto, che documentano le decisioni prese e le modifiche apportate durante il ciclo di vita del progetto.
8. Registrazioni delle modifiche: Documentazione delle modifiche apportate al software, inclusi i motivi delle modifiche e l’impatto previsto (processo di change management).
9. Documentazione di gestione della configurazione: Registrazioni relative alla gestione della configurazione del software, che includono lo stato delle versioni, le modifiche e le approvazioni. Il processo di configuration management oggi non può più essere gestito senza tool appositi (es. SVN, GitHub, Microsoft Source Safe, ecc.).
10. Feedback e valutazioni*: Documentazione relativa al feedback ricevuto dagli utenti e alle valutazioni delle prestazioni del software, che possono essere utilizzate per miglioramenti futuri.

Mantenere questi documenti e registrazioni non solo aiuta a garantire la qualità del software, ma fornisce anche una base per audit, revisioni e miglioramento continuo del processo di sviluppo.

Il processo di progettazione e sviluppo software

Vediamo ora una breve sintesi del capitolo più importante di questa norma, ovvero quello dedicato al processo di Progettazione e sviluppo software.

8.3 PROGETTAZIONE E SVILUPPO DI PRODOTTI E SERVIZI

8.3.1 Generalità

• La progettazione e lo sviluppo devono essere disciplinati per prevenire problemi.
• Riduzione della dipendenza dalla verifica e validazione per l’identificazione dei problemi.

8.3.2 Pianificazione della progettazione e dello sviluppo

• La pianificazione deve coprire attività come analisi, progettazione, sviluppo, testing, installazione e supporto.
• Include anche gestione delle risorse, interfacce, analisi dei rischi e altro.

8.3.2.2 Ciclo di vita del software

• L’uso di modelli di ciclo di vita  (es. Waterfall, Agile) appropriati è essenziale.
• Adattamento delle procedure con il progredire del progetto.

8.3.2.3 Riesame, verifica e validazione

• Riesame, verifica e validazione per la progettazione e lo sviluppo del software.
• Operazioni e manutenzione del software trattate negli accordi sul livello di servizio o nelle procedure di manutenzione.

8.3.2.4 Responsabilità e autorità

• Applicabile al software, ma senza una guida specifica per il software.

8.3.2.5 Interfacce

• Definizione chiara delle responsabilità e delle informazioni tra le parti coinvolte nel prodotto software.
• Coinvolgimento degli utenti finali e funzioni operative intermedie nelle interfacce.

8.3.3 Input di progettazione e sviluppo

• Necessità di input chiari e precisi per garantire un progetto e sviluppo efficace.
• Revisione accurata per eliminare ambiguità e assicurare coerenza.

8.3.4 Riesame, verifica e validazione dei risultati

• Attività formali per assicurare che i risultati siano conformi ai requisiti.
• Procedure di gestione delle carenze identificate durante le attività di revisione.

8.3.5 Risultati della progettazione e dello sviluppo

• Definizione e documentazione completa degli output del processo di progettazione e sviluppo.
• Conservazione dei risultati specificati per un periodo coerente con la politica di gestione documenti.

Per la gestione della configurazione viene fatto riferimento alla norma ISO/IEC/IEEE 12207:2017.

Conclusioni

Oggi il software impatta in modo significativo non solo sulle attività produttive, ma anche sulle attività umane ordinarie (rapporti con la P.A. per richiedere informazioni e fornire dichiarazioni e pagamenti, sistemi di pagamento,  sistemi IOT presenti in aziende ed anche in ambienti domestici, app per lo svago e l’intrattenimento,…), pertanto è necessario che chi progetta, sviluppa e manutiene il software applichi regole consolidate per garantire un livello di qualità e sicurezza delle applicazioni adeguato all’utilizzo che ne viene fatto.

Sicuramente l’Intelligenza Artificiale è uno (se non il primo) degli argomenti più in vogha e dibattuti di questi ultimi mesi.

Dall’uscita di ChatGPT, seguita da Microsoft Copilot e Google Bard, in poi si è dibattuto su diversi aspetti dell’IA: aspetti etici, di privacy, perdita di posti di lavoro, strumento utile per le imprese e così via.

Proprio per questo la Commissione Europea è voluta intervenire in gran fretta emanando il c.d. “AI Act” di cui si parla molto in questi giorni.

L’AI non è una novità degli ultimi anni, ma il passaggio epocale si è avuto con il passaggio all’AI generativa che si differenzia da altre applicazioni di AI. Ma cos’è l’IA generativa?

L’intelligenza artificiale generativa (AI generativa) è una categoria di intelligenza artificiale (IA) che si concentra sulla creazione di dati o contenuti, come immagini, musica, testo, o altri tipi di informazioni, invece che sull’analisi o sull’interpretazione di dati esistenti.

Ci sono diverse modalità attraverso le quali l’IA generativa può operare:

1. Reti neurali generative (GANs): Le reti neurali generative sono uno dei metodi più diffusi per l’IA generativa. Le GANs sono composte da due reti neurali: il generatore e il discriminatore. Il generatore crea nuovi dati, mentre il discriminatore cerca di distinguere i dati generati da quelli reali. Le due reti vengono addestrate insieme in modo che il generatore possa migliorare continuamente nella creazione di dati realistici.
2. Reti neurali ricorrenti (RNNs) e reti neurali trasformative (TNNs): Questi tipi di reti sono utilizzate per generare sequenze di dati, come testo o musica. Le RNNs sono particolarmente efficaci nel generare dati sequenziali poiché possono tenere conto del contesto temporale. Le TNNs, d’altra parte, utilizzano trasformatori per elaborare sequenze di dati in parallelo, rendendo il processo più efficiente.
3. Altri approcci: Ci sono anche altri approcci all’IA generativa che utilizzano tecniche diverse, come le reti neurali Bayesiane o i modelli di Markov nascosti.

Le principali differenze tra l’IA generativa e altre tipologie di intelligenza artificiale, come l’IA basata su regole o l’IA di apprendimento supervisionato, risiedono nel loro scopo e nella modalità di funzionamento:

1. Scopo: L’IA generativa si concentra sulla creazione di nuovi dati o contenuti, mentre altre forme di IA possono essere utilizzate per compiti come la classificazione, la previsione o l’ottimizzazione.
2. Modalità di funzionamento: Mentre altre forme di IA spesso lavorano con dati esistenti per estrarre informazioni o fare previsioni, l’IA generativa crea nuovi dati dall’interno del sistema, spesso senza dipendere direttamente dai dati di addestramento.

In sintesi, l’IA generativa è un ramo dell’intelligenza artificiale che si occupa della creazione di nuovi dati o contenuti, utilizzando una varietà di tecniche e approcci, come le reti neurali generative o le reti neurali ricorrenti. Le sue principali differenze risiedono nel suo scopo e nella modalità di funzionamento rispetto ad altre forme di IA.

Ma quali sono le applicazioni dell’intelligenza artificiale che possono essere utili per le imprese?

Le applicazioni dell’intelligenza artificiale (IA) per le imprese sono molteplici e sempre più diffuse in diversi settori. Alcuni esempi includono:

1. Automatizzazione dei processi: L’IA può automatizzare una vasta gamma di processi aziendali, riducendo il carico di lavoro manuale e migliorando l’efficienza. Questo può includere l’automatizzazione dei processi di produzione, gestione delle scorte, fatturazione, supporto clienti e molto altro.
2. Analisi dei dati: L’IA può analizzare grandi quantità di dati aziendali per estrarre insight significativi e informazioni utili per prendere decisioni informate. Questo può includere l’analisi predittiva per prevedere tendenze di mercato, la segmentazione dei clienti per personalizzare le offerte, l’individuazione di anomalie per la sicurezza informatica e molto altro.
3. Servizi clienti intelligenti: L’IA può essere utilizzata per migliorare l’esperienza del cliente attraverso chatbot intelligenti che forniscono supporto immediato e personalizzato, sistemi di raccomandazione per suggerire prodotti o servizi pertinenti e analisi dei sentimenti per comprendere meglio le esigenze e le opinioni dei clienti.
4. Manutenzione predittiva: L’IA può essere impiegata per prevedere guasti o problemi di manutenzione in anticipo, consentendo alle imprese di effettuare interventi preventivi e ridurre i costi di manutenzione e i tempi di inattività.
5. Ottimizzazione delle risorse: L’IA può ottimizzare l’utilizzo delle risorse aziendali, come la gestione delle flotte di veicoli, l’allocazione delle risorse umane e la pianificazione della produzione, per massimizzare l’efficienza e ridurre i costi operativi.
6. Personalizzazione dei servizi: L’IA può aiutare le imprese a offrire servizi altamente personalizzati ai propri clienti, utilizzando algoritmi di apprendimento automatico per adattare le offerte in base alle preferenze individuali e al comportamento passato dei clienti.
7. Sicurezza informatica: L’IA può migliorare la sicurezza informatica attraverso sistemi di rilevamento delle minacce basati sull’apprendimento automatico che identificano e rispondono in tempo reale alle potenziali minacce alla sicurezza dei dati aziendali.
8. Produzione di contenuti: Produzione di contenuti: L’IA può generare contenuti scritti, come post per siti web o pubblicità personalizzate.
9. Ottimizzazione delle operazioni di inventario: L’IA aiuta a gestire gli stock in modo efficiente

Questi sono solo alcuni esempi delle molte applicazioni dell’IA per le imprese. In generale, l’IA può essere utilizzata per migliorare l’efficienza operativa, ottimizzare le decisioni aziendali, migliorare l’esperienza del cliente e creare nuove opportunità di business.

Dai di addestramento dell’AI

Questo, però, solo in teoria, perché l’IA deve essere addestrata con informazioni reali e, come avviene per altri processi di elaborazione computerizzata di dati, il risultato di un algoritmo deterministico produce dati che dipendono dall’input e si può ricordare il principio “garbage in – garbage out”. Ovvero se i dati in input sono una schifezza, i dati in output lo saranno altrettanto!

Ho sentito parlare di grandi opportunità per le imprese di utilizzare i dati in loro possesso attraverso l’intelligenza artificiale, ma molte imprese, soprattutto le medio-piccole, non hanno dati validi da analizzare. Questo perché anche molti progetti della c.d. Industria 4.0 sono stati unicamente finalizzati ad acquistare macchinari ed apparecchiature varie con sgravi fiscali, ma l’interconnessione e la raccolta dati è stata solo virtuale, ovvero non si sono impiegati software per la raccolta e la gestione dei dati provenienti dalle macchine. Dunque, molte aziende hanno acquistato macchinari moderni, in grado di acquisire deti sulla produzione, sui fermi macchina, sulla qualità dei prodotti e molto altro, ma non hanno investito nell’integrazione con sistemi MES, schedulatori, sistemi di Business Intelligence in grado di sfruttare i dati che le macchine potevano acquisire.

In queste situazioni l’IA non serve a nulla, bisogna fare un passo indietro e ricominciare daccapo con la raccolta dati.

La qualità dei risultati ottenuti dall’Intelligenza Artificiale dipende, pertanto, sia dalla programmazione dello strumento – realizzata dai tecnici che progettano e realizzano sistemi di IA – , sia dall’entità e dalla qualità dei dati per l’addestramento. Ecco, quindi, che diventa sempre più importante avere il controllo sui dati.

Rischi operativi

Possiamo citare diversi casi di IA oggi fallimentare: i chatbot ed alcuni sistemi di previsione delle esigenze dei clienti che ti propongono offerte di acquisto in base alle tue preferenze.

I chatbot che dovrebbero fornire assistenza ai clienti in realtà fanno spesso perdere tempo al cliente perché nella stragrande maggioranza dei casi non risolvono i problemi del cliente che sarà quasi sempre costretto a contattare un essere umano (possibilmente competente, magari anche che capisca bene la nostra lingua, ma questo è un altro discorso…) dopo aver accumulato una buona quantità di frustrazioni ed essersi indispettito per il rapporto intercorso con il chatbot.

Tra l’altro recentemente si è verificato un caso in cui una Compagnia di Assicurazione si è vista dover risarcire un cliente dei costi sostenuti per un’errata risposta di un chatbot sull’applicazione di uno sconto. Se aggiungiamo a questi rischi operativi anche i rischi privacy (che vedremo dopo), allora dovremmo riflettere bene prima di “ingaggiare” un chatbot per rispondere ai clienti. Si risparmieranno risorse, ma il livello di insoddisfazione del cliente crescerà sicuramente.

Anche sulla validità dei suggerimenti di acquisto proposti dall’AI ci sarebbe molto da obiettare e il passaggio da algoritmi deterministici poco efficaci e applicazioni dell’AI nel marketing digitale dovrebbe portare un valore aggiunto tangibile.

Altre ipotesi di applicazione dell’AI sono presenti nel campo della sanità. Facciamo un esempio.

L’AI potrebbe analizzare una mole considerevole di dati di esami diagnostici e prevedere una diagnosi per un paziente, se non addirittura una cura. Potrebbe essere sicuramente utile sfruttare il lavoro dell’IA per ipotizzare una diagnosi, ma poi la decisione la deve prendere un medico competente e deve anche assumersene le responsabilità. Riguardo alla cura il problema potrebbe non essere tutto sulle previsioni dell’IA, ma sui dati di addestramento, i dati in input. Per fare un esempio ormai noto a tutti, di fronte ad un caso di Covid-19 l’IA potrebbe suggerire una cura secondo i c.d. “protocolli ufficiali”, ovvero “tachipirina e vigile attesa”, tanto per intenderci. Ma molti medici – in forza di diversi studi – ritengono che tale cura sia non adeguata. Per cui torniamo sempre alla responsabilità del medico sulla decisione da prendere, senza potersi rivalere sull’IA in caso di errore.

Stesso discorso potrebbe essere fatto per la scelta di un farmaco: incrociando i dati del paziente, la diagnosi e i farmaci disponibili per la cura l’IA potrebbe suggerire il farmaco più adatto, ma parliamo sempre di un ausilio al medico, che potrebbe aiutarlo anche a non commettere errori (ad esempio valutando i possibili effetti avversi), ma non un esonero di responsabilità.

Passando ad altri impieghi dell’AI si è molto discusso delle possibili applicazioni – anche semplicemente di ChatGPT e dei suoi “cugini” – per generare testo su determinati argomenti e sulla possibilità che un tale impiego provochi l’eliminazione di posti di lavoro.

Evidentemente CHatGPT può essere utilizzato per redigere un articolo o un post di un Blog, per riassumere un testo o un libro noto ed anche per predisporre un questionario con un certo numero di domande con risposta multipla di cui una sola corretta su un determinato argomento non troppo specifico.

In tutti questi casi, per un utilizzo professionale (ovvero ad es. non per svolgere i compiti di scuola), è comunque necessaria una supervisione di una persona esperta dell’argomento per evitare di lasciar passare errori di contenuto.  Anche la semplice sintesi di un documento normativo effettuata da un tool di AI potrebbe evidenziare rischi di interpretazione errata di alcuni passi fondamentali.

Infine, bisogna considerare che l’IA (ad es. Chat GPT) non esprime pareri, dunque se un autore volesse analizzare un argomento fornendo il proprio punto di vista, dovrebbe comunque rielaborare la risposta di ChatGPT, Copilot, Bard o altre IA.

Molto utile si prospetta l’impiego dell’IA per sviluppare codice, ma anche qui vedremo in seguito che esistono dei rischi di sicurezza, dunque la revisione e test approfonditi di un programmatore esperto è fortemente consigliata.

Rischi Privacy

Ci sono due tipi di rischi sulla protezione dei dati personali legati all’IA:

• I dati raccolti dagli utenti che chiedono informazioni all’IA potrebbero non essere utilizzati con finalità lecite (con il consenso dell’utente dove richiesto) e tutto questo insieme di dati raccolti, se non anonimizzato, potrebbe – in caso di violazione degli archivi (data breach) – apportare danni significativi agli utenti stessi, in modo indefinito, perché non sappiamo quali domande pone e quali informazioni fornisce un utente all’IA. Ad es. un chatbot di una Banca o di una Assicurazione potrebbe raccogliere dati sensibili (dati relativi alla salute, dati finanziari, credenziali di accesso, ecc.);
• Se un determinato processo è governato dall’IA esso potrebbe portare a decisioni che comportano rischi per i diritti e le libertà dell’interessato. Anche qui gli esempi sono molteplici: dall’errata diagnosi di una malattia di un paziente, all’assegnazione o non assegnazione di un lavoro a un candidato, alla mancata erogazione di un premio, ecc.

Non voglio qui trattare rischi dovuti ad un uso illecito dell’IA, salvo quanto riportato a proposito dell’IT Security; naturalmente come qualsiasi strumento – fisico o informatico – anche l’IA se usata per scopi criminali può arrecare danni alle persone, sia fisici che morali, compresi quelli disciplinati dalla normativa privacy (GDPR in UE).

Sicurezza informatica

Un discorso a parte va fatto sulla sicurezza informatica.

Da un lato l’AI aiuta le difese dagli attacchi hacker per riconoscere in tempo reale un attacco, un’intrusione nascosta nei sistemi, un tentativo di phishing e molto altro; dall’altro l’IA è uno strumento a disposizione anche dei criminali informatici per preparare virus, e-mail di phishing e altro in tempi più ridotti-

La sicurezza informatica dell’applicazione di IA è fondamentale per evitare risultati inattesi e potenzialmente dannosi per l’utente dell’applicazione di IA, qualunque essa sia.

L’opportunità di sfruttare l’IA per sviluppare codice sorgente (software) presenta anche la possibilità, per l’IA manomessa, di inserire codice malevolo in grado di infettare i computer che eseguiranno il programma software oppure di inserire vulnerabilità che poi potranno essere sfruttate dai criminali informatici per  introdursi nel sistema dell’utente.

Aspetti etici

Dunque, l’AI potrebbe agevolare e velocizzare molte attività, ma la supervisione ed il controllo di umani competenti è sempre necessario, sia nella progettazione del modello e dell’applicazione di IA, sia nella verifica dei risultati. Proprio perché i risultati dell’AI non dipendono da algoritmi deterministici, come devono essere testati i risultati di una comune applicazione software, a maggior ragione devono essere verificati i risultati di un’applicazione di AI prima di impiegarli per qualsiasi scopo, anche se nella maggiornaza dei casi l’IA ci fornirà un servizio migliore di qualsiasi essere umano, soprattutto in termini di tempo.

Non mi sembra ci siano tante differenze rispetto ad altre novità ed invenzioni tecnologiche del passato: dalle macchine automatiche per la produzione industriale ai programmi di elaborazione elettronica dei dati che hanno evitato di compiere azioni manuali, dalle e-mail al cloud computer, dalle auto elettriche al BIM. Tutte le innovazioni hanno portato alla scomparsa di posti di lavoro ed alla creazione di altri.

Chiaramente l’uso dello strumento deve rispettare le regole dell’etica ed in questo dovrebbero venire in aiuto le leggi che si sta cercando di introdurre, dall’AI Act in poi.

Come molti degli strumenti ed innovazioni che sono state introdotte negli ultimi decenni,  anche l’AI può essere utilizzata per compiere attività illecite, reati e provocare danni – morali e materiali –  a persone e cose, ma non per questo deve essere vietata od ostacolata. In fondo anche un coltello da cucina o un’automobile possono essere impiegati per uccidere persone!

L’AI cancellerà posti di lavoro? Ne creerà di altri? Una risposta positiva ad entrambe queste domande non deve preoccupare. In fondo ci sono già diverse decisioni e regolamentazioni, introdotte almeno a livello europeo, che potrebbero creare effetti economici negativi per alcune imprese e lavoratori e positivi per altre: gli obblighi introdotti dal legislatore UE sull’immatricolazione di sole auto elettriche e l’eliminazione delle caldaie a gas sono solo alcuni esempi significativi che impatteranno il mondo del lavoro forse più dell’introduzione dell’AI.

La sicurezza di un sito web è fondamentale per proteggere i dati e le informazioni degli utenti e dei gestori.

Sappiamo (dalla ISO 27001 e dal GDPR in primis) che la sicurezza va declinata nelle sue proprietà: Riservatezza, Integrità e Disponibilità. Dunque, non solo è importante garantire la riservatezza dei dati, ma anche la loro integrità (esattezza, correttezza) e la loro disponibilità in tempi idonei laddove attraverso il sito web si fornisce un servizio a clienti effettivi e potenziali. Inoltre, l’indisponibilità del sito web a causa di un attacco hacker (attacco DDOS, defacement del sito web) comporta un grave rischio reputazionale per il suo proprietario.

L’impresa deve dunque assicurarsi che il gestore del sito lo mantenga adeguatamente protetto, perché la sicurezza di un sito web è fondamentale per proteggere i dati personali e le informazioni degli utenti e dell’impresa proprietaria del sito. Tuttavia, esistono diverse vulnerabilità che possono compromettere la sicurezza di un sito web e renderlo esposto agli attacchi informatici. Alcune di queste vulnerabilità sono:

• L’iniezione di codice, che consiste nell’inserire dei comandi o delle query malevoli nel sito web, sfruttando le sue interfacce di input. Questo può portare a modificare, cancellare o rubare i dati del sito web o ad eseguire azioni indesiderate.
• Il cross-site scripting (XSS), che consiste nell’inserire dei codici JavaScript nel sito web, sfruttando le sue pagine web dinamiche. Questo può portare a manipolare il contenuto del sito web o a rubare le informazioni degli utenti, come i cookie o le credenziali di accesso.
• Il cross-site request forgery (CSRF), che consiste nell’indurre gli utenti a eseguire delle richieste non autorizzate al sito web, sfruttando la loro sessione attiva. Questo può portare a modificare le impostazioni del sito web o a effettuare delle operazioni dannose, come il trasferimento di denaro o l’invio di e-mail spam.
• Il furto di identità, che consiste nell’ottenere le informazioni personali degli utenti, come il nome, l’e-mail, il numero di telefono o i dati bancari. Questo può portare a utilizzare queste informazioni per scopi fraudolenti, come l’accesso ai loro account online o l’effettuazione di acquisti non autorizzati.

Per prevenire queste vulnerabilità e rendere il sito web più sicuro, esistono diverse misure di sicurezza che possono essere adottate. Alcune di queste misure sono le seguenti:

• Utilizzare un protocollo HTTPS per criptare le comunicazioni tra il sito web e i visitatori. Questo impedisce che i dati possano essere intercettati o modificati da terze parti malintenzionate. Inoltre, i siti “non https” vengono considerati come pericolosi dai browser e dagli antivirus e indicizzati con priorità bassa da Google, per cui risultano meno accessibili.
• Mantenere aggiornato il software del sito web, compresi i temi, i plugin e il sistema di gestione dei contenuti (CMS quali WordPress, Joomla od altri). Questo riduce il rischio di vulnerabilità e bug che potrebbero essere sfruttati dagli hacker.
• Impostare delle regole di accesso al sito web, come l’utilizzo di password forti, l’autenticazione a due fattori e il blocco degli indirizzi IP sospetti. Questo limita le possibilità di accesso non autorizzato al sito web e ai suoi dati.
• Effettuare dei backup regolari del sito web e dei suoi dati, in modo da poter ripristinare il tutto in caso di danni o perdite. Questo garantisce la continuità del servizio e la salvaguardia delle informazioni.
• Monitorare il traffico e le attività sul sito web, per individuare eventuali anomalie o tentativi di intrusione. Questo permette di intervenire tempestivamente in caso di problemi e di prevenire ulteriori danni.

Queste sono solo alcune delle misure di sicurezza che possono essere adottate per rendere un sito web più sicuro. Ogni sito web ha delle esigenze specifiche e richiede una valutazione personalizzata delle minacce che incombono su di esso, delle sue vulnerabilità e delle sue soluzioni. Per questo, è consigliabile affidarsi a dei professionisti del settore, che possano offrire una consulenza qualificata e un supporto tecnico adeguato.

Talvolta, infatti, le web agency sono molto preparate sulle tecniche di digital marketing e di pubblicità on-line, ma lo sono meno gli sviluppatori del sito web dal punto di vista della sicurezza.

In questo ambito, poi, si inserisce il rispetto del GDPR. Il General Data Protection Regulation (GDPR) è la normativa europea che stabilisce le regole sulla protezione dei dati personali dei cittadini dell’Unione Europea. Il GDPR (Regolamento UE 2016/679) ha un impatto diretto sulla gestione dei dati personali dei visitatori del sito web. Infatti, se il sito web che raccoglie dati personali dei visitatori, è importante che rispetti il GDPR. Ecco alcune delle caratteristiche che il sito web dovrebbe avere per essere conforme al GDPR:

1. Politica sulla privacy: Il sito web deve avere una privacy policy facilmente accessibile e comprensibile per i visitatori. La politica sulla privacy dovrebbe spiegare come i dati personali verranno raccolti, elaborati e utilizzati. Inoltre, dovrebbe essere indicato chi è il titolare del trattamento dei dati personali e come i visitatori possono esercitare i loro diritti di protezione dei dati.
2. Cookie banner e Cookie policy: in conformità alle disposizioni relative ai cookie e tecnologie similari il sito deve presentare, all’apertura, un c.d. banner che permette di accettare o rifiutare, oppure personalizzare, la gestione dei cookie non necessari (cookie tecnici), richiamando la cookie policy (spesso inclusa nella privacy policy generale). Tale funzionalità può essere efficacemente attuata tramite appositi plugin dei CMS, progettati allo scopo.
3. Consenso informato: I visitatori del sito web devono essere informati in modo chiaro e trasparente sui dati personali che verranno raccolti e su come verranno utilizzati. Inoltre, i visitatori devono essere invitati ad accettare o rifiutare l’utilizzo dei loro dati personali in modo esplicito e inequivocabile. Questo processo di consenso – necessario se i dati raccolti verranno utilizzati per finalità di marketing – dovrebbe essere documentato in modo che si possa dimostrare di aver ottenuto il consenso informato dei visitatori. Anche i moduli di contatto, form nei quali l’utente compila alcuni dati personali e formula una richiesta, dovranno comprendere un riferimento all’informativa privacy con un flag di spunta che attesta, almeno formalmente, che l’utente ha letto e compreso tale informativa.
4. Protezione dei dati: Il sito web deve garantire la sicurezza e la protezione dei dati personali dei visitatori. Ciò significa che deve utilizzare misure di sicurezza tecniche e organizzative per proteggere i dati personali da accessi non autorizzati, perdite o danni. Inoltre, si dovrebbe implementare un piano di gestione dei dati personali che preveda la cancellazione dei dati personali una volta che non sono più necessari.
5. Diritti degli interessati: I visitatori del sito web hanno diritti specifici in relazione ai loro dati personali. Questi diritti includono il diritto di accesso, il diritto di rettifica, il diritto all’oblio, il diritto di limitazione del trattamento, il diritto alla portabilità dei dati e il diritto di opposizione. Il sito web dovrebbe fornire ai visitatori un modo semplice ed efficace per esercitare questi diritti.
6. Responsabile del trattamento dei dati: Il proprietario del sito web dovrebbe nominare un responsabile del trattamento dei dati personali nella figura del fornitore della gestione del sito (normalmente la web agency). Questo soggetto dovrebbe essere responsabile di garantire che il tuo sito web rispetti le regole del GDPR e dovrebbe essere in grado di rispondere alle istanze dei visitatori sulla gestione dei dati personali. Si ricorda che anche siti dinamici semplici, realizzati con CMS quali WordPress, memorizzano in un database del sito i dati di coloro che si iscrivono alla newsletter o compilano form di richiesta contatto. Dunque, chi gestisce il sito ha accesso ai dati personali memorizzati nel database del sito.
7. Trasferimento dati extra–UE: i dati personali memorizzati nel sito potrebbero essere ospitati in un servizio cloud collocato al di fuori dello Spazio Economico Europeo e dunque soggetto a decisioni di adeguatezza della UE oppure ad altri meccanismi atti  a garantire la conformità dei trattamenti di dati svolti fuori UE. Anche se la recente decisione della Commissione Europea (Data Protection Framework USA-UE) dovrebbe regolarizzare l’esportazione di dati personali negli Stati Uniti, occorre comunque tenere in considerazione questo aspetto, anche in considerazione dell’utilizzo di plugin specifici.

In sintesi, per essere conforme al GDPR, il sito web deve rispettare le regole sulla protezione dei dati personali dei visitatori. Ciò significa che occorre garantire la trasparenza nella raccolta e nel trattamento dei dati personali, la sicurezza dei dati e il rispetto dei diritti degli interessati. Se il sito web rispetta queste regole, i visitatori avranno maggiore fiducia nella gestione dei loro dati personali e il proprietario del sito potrà evitare pesanti sanzioni.

Normalmente i soggetti che entrano in gioco nella progettazione, sviluppo e gestione del sito web sono i seguenti:

• Impresa committente che vuole realizzare un nuovo sito web, proprietaria del dominio internet;
• Web Agency che gestisce le attività di digital marketing;
• Sviluppatori software del sito
• Cloud Service Provider che ospita il sito (hosting)

La prima risulta titolare del trattamento, gli altri nella maggior parte delle situazioni sono Responsabili del Trattamento e devono avere un apposito atto ai sensi dell’art. 28 del Reg. UE 679/2016 che li vincola al titolare del trattamento. Questo aspetto deve essere visto da entrambe i punti di vista: del committente e del fornitore. Da un lato il committente dovrà predisporre un contratto coerente con i requisiti del Regolamento UE 679/2016 e che fornisca sufficienti garanzie al proprietario del sito che ne risponde nei confronti della legge, dall’altro il fornitore potrà proporre il proprio contratto a tutti i propri clienti per semplificare la gestione e regolarizzare il rapporto definendo compiti e responsabilità di ciascuno. Per quest’attività spesso è opportuno rivolgersi ad un consulente legale affiancato da un esperto delle tecnologie utilizzate.

Chiaramente se attraverso il sito web si vendono prodotti (e-commerce) le cose si complicano e le responsabilità aumentano, per non parlare dei siti di e-commerce per la vendita di farmaci, parafarmici, cosmetici ed altri prodotti che possono far presumere uno stato di salute dell’acquirente.

L’azienda titolare del dominio è direttamente responsabile di eventuali violazioni del sito (data breach) che possono comportare conseguenze negative ai diritti e alle libertà delle persone che hanno i propri dati memorizzati nel sito, ma spesso da un lato è spinta dalla web agency che vorrebbe attuare azioni di marketing non rispettose della normativa privacy, dall’altro non riesce a controllare l’efficacia delle misure di sicurezza del sito web.

Spesso capita che l’impresa committente non si preoccupi della corretta gestione dei consensi raccolti per l’invio delle newsletter, delle c.d. “fidelity card” o di altri concorsi a premi gestiti attraversò il sito web ed eventuali app per mobile collegate ad esso e nemmeno dei corretti tempi di conservazione dei dati degli utenti nelle diverse situazioni.

Dal punto di vista del fornitore del sito è invece opportuno puntualizzare che cosa ne farà l’azienda del sito web e chi sarà responsabile della predisposizione delle informative privacy.

In conclusione, i rischi per l’impresa che commissiona la realizzazione e gestione di un sito web sono molteplici, ma anche il ruolo del fornitore deve essere correttamente inquadrato, infatti diverso è il caso di chi progetta, realizza e mantiene il sito – azioni di marketing digitale annesse – e quello del fornitore che realizza il sito, lo avvia presso un cloud provider qualsiasi e poi lo consegna all’impresa che dovrà mantenere tutto secondo normativa privacy.

In quest’articolo andremo a commentare le nuove revisioni delle due più importanti norme della famiglia ISO 27k, avvenute nel corso del 2022:

• ISO/IEC 27001:2022 – Information security, cybersecurity and privacy protection — Information security management systems — Requirements
• ISO IEC 27002:2022 Information security, cybersecurity and privacy protection — Information security controls

La seconda è stata anche pubblicata dall’UNI con il prefisso UNI CEI EN alcuni mesi fa, ma di fatto l’Ente di Normazione Italiano si è astenuto dal tradurre le 170 pagine di norma, limitandosi alla traduzione del titolo (“Sicurezza delle informazioni, cybersecurity e protezione della privacy – Controlli di sicurezza delle informazioni”) e poco più, lasciando molti delusi visto che la precedente versione era stata tradotta. Ora ci si aspetta la pubblicazione della UNI CEI EN ISO 27001 con traduzione in italiano che dovrebbe costare pochi sforzi viste le limitate differenze rispetto alla versione precedente e le similitudini con altre norme con struttura HLS. Aspettative che non dovrebbero andare eluse visto che la ISO 27001 è anche una norma certificabile.

Le modifiche alla ISO 27001, oltre al recepimento dei “corriggendum” della precedente versione della norma e l’allineamento alla struttura HLS delle altre norme sui sistemi di gestione, sono veramente minime. I cambiamenti che hanno un impatto sui sistemi di gestione della sicurezza delle informazioni (SGSI) sono sostanzialmente:

• Definire quali requisiti delle parti interessate saranno affrontate nel SGSI (punto 4.2)
• Esplicitazione dei processi necessari al sistema di gestione (punto 4.4)
•  Pianificazione dei cambiamenti – al punto 6.3, completamente nuovo – in piena analogia con le altre norme sui sistemi di gestione
• Al punto 7.4 deve essere stabilito “come si deve comunicare”, ma i sottopunti d) ed e) precedenti eliminati non dicevano cose tanto diverse
• I riferimenti ai controlli di sicurezza al punto 6.1.3 e nell’Annex A.

Proprio quest’ultimo è il cambiamento più significativo della norma in quanto stabilisce che l’elenco dei controlli dell’Annex A (e della ISO 27002) sono solo una possibile lista di controlli di sicurezza sulla quale basare il SGSI e la Dichiarazione di Applicabilità (S.o.A.).

Poiché, salvo alcune realtà particolari, non credo che la gran parte delle organizzazioni si rivolga a framework diversi da quello proposto dalla ISO 27002, direi che è proprio questa norma che apporta modifiche sostanziali al SGSI.

Dunque, i controlli della ISO 27001, che sono diventati 93 (dai 114 precedenti) restano i capisaldi della SoA e per ognuno di essi si dovrà esplicitare le eventuali motivazioni di non applicabilità e le motivazioni di applicabilità (requisiti cogenti, requisiti contrattuali o di business, esigenza derivante dalla valutazione del rischio…).

La ISO 27002, oltre ad essere stata modificata – in parte – nei contenuti dei controlli di sicurezza, è anche stata completamente cambiata nella sua struttura che risulta semplificata.

Ora, infatti, i controlli sono suddivisi in 4 (macro) temi:

• controlli organizzativi (37 controlli);
• controlli sulle persone (8 controlli);
• controlli fisici (14 controlli);
• controlli tecnologici (34 controlli)-

Anche se la maggior parte dei controlli sono classificati come “organizzativi”, fra di essi vi sono molti controlli di forte caratterizzazione tecnologica ed ICT, ad esempio:

• A.5.7    Threat intelligence (Monitoraggio delle minacce)
• A.5.11  Return of assets (Restituzione degli asset)
• A.5.15  Access control (Controllo degli accessi)
• A.5.16  Identity management (Gestione delle identità)
• A.5.17  Authentication information (Informazioni di autenticazione)
• A.5.21  Managing information security in the information and communication technology (ICT) supply-chain (Sicurezza delle informazioni nella filiera di fornitura ICT)
• A.5.23  Information security for use of cloud services (Sicurezza delle informazioni per l’uso dei servizi cloud)
• ….

Appare evidente che non solo alcuni controlli riguardano, nella stragrande maggioranza di casi, “oggetti” ICT (A.5.11: per lo più si restituiscono dispositivi elettronici, A.5.17: stiamo parlando di username e password…), ma alcuni riguardano proprio solamente informazioni in formato digitale (A.5.23). Evidentemente l’Ente normatore (ovvero il Gruppo di lavoro che ha preparato la norma) ha inteso enfatizzare la componente “gestionale” di tali controlli.

Per analogia con le “misure di sicurezza tecniche ed organizzative” richieste dal GDPR si dovrebbe – ad esempio – comprendere il “controllo degli accessi (logici)” fra le misure di sicurezza organizzative e così via.

Al di là della numerosità dei controlli nelle 4 tematiche, è interessante la suddivisione dei controlli tenendo chiaramente separati i controlli relativi alla sicurezza fisica ed ambientale, dai controlli che mettono al centro il fattore umano, dai controlli organizzativi a quelli legati alla sicurezza informatica.

Dal pinto di vista contenutistico i cambiamenti nei controlli possono essere così riassunti

• 11 nuovi controlli
• 35 invariati
• 24 accorpati da controlli esistenti
• 58 aggiornati.

In realtà se andiamo a leggere con attenzione i 93-11= 82 controlli che non sono “nuovi” troviamo molte novità, non solo dovute ad aggiornamenti tecnologici e dello stato dell’arte della cybersecurity e della data protection. Pertanto, in fase di transizione dei SGSI esistenti occorre fare molta attenzione anche ai controlli i cui contenuti non sono apparentemente variati.

Altre novità interessanti della norma riguardano la terminologia e l’introduzione degli attributi.

La norma, infatti, riporta un ampio spettro di termini, definizioni e glossario di abbreviazioni che integrano i contenuti della ISO 27000. Peccato che sia mancata la traduzione nella nostra lingua.

Ma la novità forse più rilevante è stata l’introduzione di una serie di attributi associati ad ogni controllo, una sorta di tag o metadati che caratterizzano i controlli stessi.

Ogni controllo viene caratterizzato, infatti, dai seguenti attributi:

• Tipo di Controllo: Preventivo, di Monitoraggio (detective) o Correttivo
• Proprietà: Riservatezza, Integrità, Disponibilità
• Cybersecurity concepts: Identify, Protect, Detect, Respond, Recover
• Operational capabilities: Governance, Asset management, Information protection, Human resource security, Physical security, System and network security, Application security, Secure configuration, Identity and access management, Threat and vulnerability management,         Continuity, Supplier relationships security, Legal and compliance, Information security event management, Information security assurance
• Security domains: Governance and Ecosystem, Protection, Defense, Resilience.

Quindi, a parte le Proprietà dei Controlli (Confidentiality, Integrity e Availability in inglese) che costituiscono una mezza novità in quanto le stesse proprietà della Sicurezza delle Informazioni sono note da tempo, ma non erano state ufficialmente associate ai controlli, gli altri attributi costituiscono una grossa novità della norma al fine di classificare/categorizzare i controlli.

A fini puramente statistici possiamo notare che i controlli sono classificati in 83 Preventivi, 13 di Monitoraggio (Detective) e 14 Correttivi, da cui appare chiaro che ogni controllo può essere classificato in più di un solo tipo. Emerge anche il fatto che prevale l’ottica di prevenzione degli incidenti e delle violazioni di sicurezza. Ci si aspetterebbe che i controlli preventivi siano focalizzati alla riduzione della probabilità che una minaccia si concretizzi in un rischio di sicurezza delle informazioni, ad esempio attraverso l’eliminazione di vulnerabilità. Per i controlli classificati come Detective (o di monitoraggio) ci si aspetterebbe un indicatore di monitoraggio dell’efficacia delle misure di sicurezza adottate.

Più equilibrio c’è sulle proprietà dei controlli (R I D) dove si hanno 87 controlli che impattano la Riservatezza, 84 l’Integrità, 85 la Disponibilità: dunque sono pochi i controlli che non mirano a tutelare tutte e tre le Proprietà di sicurezza dell’informazione.

Curiosamente l’attributo Physical Security del gruppo di attributi “Operational capabilities” comprende 16 controlli di cui 2 non appartenenti al tema dei “controlli fisici”: “Procedure operative documentate” e “Lavoro da remoto”. Naturalmente ciò si giustifica per il fatto che devono essere presenti procedure documentate sui controlli fisici e che il lavoro da remoto (lavoro agile e/o smartworking) comprende aspetti che riguardano i controlli fisici (dove svolgo il lavoro da remoto? Come proteggo la postazione di lavoro da accessi fisici non autorizzati?).

Lasciando da parte queste statistiche sulla classificazione dei controlli nei vari attributi, la cui importanza ed utilità probabilmente si evidenzierà nelle fasi applicative della norma, veniamo ad esaminare alcuni aspetti pratici.

Cosa deve fare un’organizzazione certificata ISO 27001 per migrare alla nuova versione della norma?

Come anticipato le modifiche alla ISO 27001 sono davvero poco significative e il grosso del lavoro riguarderà i controlli dell’Annex A ovvero della ISO 27002:2022.

Sono reperibili, anche nella norma ISO 27002:2022 stessa, delle tabelle di conversione tra i vecchi controlli (114) ai nuovi controlli (93). Alcuni esperti consigliano di partire da qui per “convertire” la vecchia S.o.A. nella nuova S.o.A., cercando di coprire i nuovi controlli.

Questo approccio è valido nella maggior parte dei casi e ci permette di fare una gap analysis che comunque sarà richiesta anche dagli enti di certificazione nell’eventuale audit di sorveglianza 2024 laddove l’organizzazione non sia già pronta per la migrazione alla nuova norma.

È comunque opportuno valutare se non sia il caso di ristrutturare completamente il sistema di gestione della sicurezza delle informazioni, partendo dalla valutazione dei rischi. Questo requisito, infatti, è stato rielaborato dalla norma ISO 27005:2022 che ora considera due diversi approcci e molti esperti ritengono che modelli di risk assessment diversi da quello proposto dalla linea guida ISO 27005 siano migliori, perché più snelli e più facilmente applicabili nelle nostre imprese.

Dunque, si potrebbe passare dall’approccio classico, basato su asset – minacce – vulnerabilità – probabilità – gravità, ad un approccio basato sugli scenari o solo sulle vulnerabilità, intese come assenza o inefficacia dei controlli. Al proposito si segnala la disponibilità del tool gratuito VERA di Cesare Gallotti per la valutazione dei rischi ISO 27001:2022.

Dopo la valutazione dei rischi occorre riprogettare la S.o.A., evidentemente riconsiderando solamente i documenti che descrivono l’implementazione dei vari controlli di sicurezza.

Se le policy di sicurezza e le istruzioni operative relative ai controlli erano legate alla vecchia nomenclatura dei controlli sarebbe opportuno modificare la struttura del SGSI.

Se esiste un Manuale del Sistema di Gestione (che magari copre anche altre normative, ISO 9001, ISO 14001…)  si potrebbe partire da esso per richiamare i documenti di secondo livello del SGSI, ovvero le policy o le procedure. Esse dovrebbero riportare la descrizione dei processi e delle policy di sicurezza nei vari ambiti (controlli relativi alle persone, controlli di sicurezza fisica, controllo degli accessi logici, protezione dal malware, continuità operativa, gestione relazioni con i fornitori, ecc.), comprendenti le responsabilità ed i principi generali di scurezza delle informazioni.

Tali procedure potrebbero poi richiamare delle istruzioni operative di dettaglio che descrivono le modalità operative di attuazione dei controlli, richiamando eventuali documenti di consultazione, database o prospetti consultabili da sistema informatico (applicativi, funzioni del sistema operativo, tabelle Excel o Word, ecc.).

Procedure/policy ed istruzioni operative dovrebbero poi essere richiamate nella Dichiarazione di Applicabilità (SoA) in corrispondenza dei vari controlli.

Non è efficiente predisporre una procedura o una istruzione per ogni controllo della ISO 27002, ma determinate procedure potrebbero comprendere più controlli assimilabili ad una medesima attività.

Chiaramente esisteranno documenti prodotti ed aggiornati periodicamente che dovranno rispondere ad uno o più controlli nella SoA, ad es. il Business Continuity Plan.

Una struttura con dettagli crescenti a partire dal vertice della cosiddetta “Piramide della Documentazione”, nota nei sistemi qualità da alcuni lustri, costituito dal Manuale del Sistema di Gestione, favoriscono anche una classificazione dei documenti del SGSI. Infatti Manuale e Procedure/Policy avranno un livello di astrazione tale da poterli trasmettere anche all’esterno a clienti e partner che lo richiedono, mentre le istruzioni operative ed i documenti ad essa allegati o richiamati – quali ad esempio l’elenco degli asset informatici, la mappa della rete, l’elenco degli utenti con le relative autorizzazioni, le configurazioni ICT, ecc. – dovrebbero essere classificati come documenti riservati, accessibili, anche internamente, ad un numero limitato di persone.

Naturalmente, come avviene per qualunque sistema di gestione ed a maggior ragione per i SGSI, la struttura modulare della documentazione deve essere progettata in modo che le modifiche più frequenti ai documenti riguardino un piccolo insieme di documenti a livello più basso nella Piramide della Documentazione, in quanto si tratta dei documenti di maggior dettaglio.

Per quelle organizzazioni che dispongono anche di una certificazione ISO 27017 e/o ISO 27018 la cattiva notizia è che i controlli di queste normative saranno allineati successivamente alla ISO 27002:2022, dunque, in attesa che ciò avvenga, bisogna cercare di barcamenarsi alla meglio fra nuovi e vecchi controlli e ciò non sarà poco complicato.

Infine, per chi si approccia con questa nuova versione della norma alla progettazione di un nuovo SGSI il consiglio è quello di non farsi condizionare dall’approccio minimalista della documentazione dei sistemi qualità ISO 9001 di questi tempi: nel SGSI ISO 27001 è necessario documentare molto di più, soprattutto gli aspetti di dettaglio; non solo perché sono richiesti dagli Organismi di Certificazione, ma anche perché per una gestione interna efficace ed efficiente solo mantenendo un elevato livello di documentazione delle attività operative – soprattutto quelle in ambito ICT – si riesce a mantenere il controllo delle stesse a fronte di cambiamenti di tecnologie e di persone e a garantire l’accountability del sistema, anche lato privacy (il GDPR docet).

La certificazione ai sensi dell’art. 42 del Regolamento Generale sulla Protezione dei Dati (General Data Protection Regulation, GDPR) è un processo che dimostra l’impegno di un’azienda a proteggere i dati personali gestiti (ad es. dei propri clienti e dipendenti), relativamente ad un processo, prodotto o servizio.

La certificazione GDPR non è obbligatoria, ma può essere un’ottima opportunità per le aziende che desiderano dimostrare il loro impegno verso la conformità alle normative sulla protezione dei dati personali e, quindi, aumentare la loro reputazione sul mercato, magari accedendo, in un prossimo futuro, a gare di appalto particolarmente significative.

Il processo di certificazione GDPR prevede una valutazione dettagliata dei sistemi e dei processi di protezione dei dati dell’organizzazione da parte di un organismo di certificazione accreditato. Questo Organismo esaminerà le procedure interne dell’azienda, le tecnologie utilizzate per proteggere i dati e la formazione del personale in materia di sicurezza dei dati. Se l’azienda supera la valutazione, verrà rilasciata una certificazione che dimostra che il prodotto, processo o servizio dell’organizzazione oggetto di certificazione è conforme ai requisiti del GDPR.

La certificazione GDPR non è permanente e deve essere rinnovata regolarmente ogni 3 anni. Questo significa che l’azienda deve continuare a monitorare e migliorare i propri sistemi e processi per garantire che rimangano conformi alle norme sulla protezione dei dati personali. Inoltre, le organizzazioni devono essere in grado di dimostrare la loro conformità in caso di controlli da parte dell’Autorità di Controllo per la protezione dei dati personali. Controlli nei confronti dei quali la certificazione non è esimente, ma può costituire un motivo per attenuare le eventuali sanzioni.

Gli standard che comprendono la protezione dei dati personali nel loro ambito di applicazione sono diversi, a partire dalla ISO 27001 sulla sicurezza delle informazioni che ha comunque un controllo specifico sulla privacy, il controllo A.18.1.4), la ISO 27701 che è un’estensione della ISO 27001 per le organizzazioni che vogliono certificare il loro sistema di gestione della privacy, la UNI PdR 43.2 ed altri. Ricordiamo però che la più completa ISO 27701 riguarda il sistema di gestione della sicurezza delle informazioni ed in particolare delle informazioni personali e pertanto è fuori dallo scopo del Regolamento UE 679 che prevede una certificazione di prodotto, processo o servizio ai sensi della ISO 17065 e non della ISO 17021 (accreditamento degli Organismi di certificazione sui sistemi di gestione). Anche la PdR 43 ha un difetto: si applica solo ai sistemi informatici, dunque l’organizzazione che la adotta non riuscirebbe a dimostrare la conformità dei trattamenti effettuati su supporto analogico/cartaceo.

Gli schemi attualmente approvati dall’European Data Protection Board (EDPB) sono CARPA (Schema del Lussemburgo), EUROPRISE (applicabile solo in Germania) ed EURROPRIVACY. Per motivi diversi solo quest’ultimo è applicabile in Italia, anche se risulta molto impegnativo ed orientato solo alle medio-grandi aziende.

In Italia, però, esiste uno schema di certificazione sul GDPR, che è in procinto di essere approvato dall’Autorità Garante per la Protezione dei Dati Personali e successivamente dall’EDPB. Si tratta dello schema ISDP©10003 di Inveo (scheme owner), accreditato da ACCREDIA, che è attualmente impiegato per la certificazione della protezione dei dati personali di prodotti, processi e servizi, anche se non ha ancora l’imprimatur ufficiale di certificazione ai sensi dell’art. 42.5 del Regolamento UE 679/2016.

Il processo di certificazione ISDP©10003 prevede una valutazione dettagliata dei sistemi e dei processi di protezione dei dati dell’organizzazione da parte di un Organismo di Certificazione accreditato. Il percorso di certificazione si articola in due passi successivi (come le altre certificazioni di sistema o prodotto): la verifica documentale e l’audit in campo. Non ci sono particolari differenze rispetto ad altri schemi di certificazione su iter di certificazione, classificazione dei rilievi e conferimento del certificato. Quello che differenzia sostanzialmente la certificazione ISDP©10003 – come le altre certificazioni sul GDPR – dalle certificazioni dei sistemi di gestione a cui molte organizzazioni sono abituate è il fatto che qui l’ambito di certificazione è un prodotto, processo o servizio di trattamento dati e, quindi, la normativa di riferimento per l’accreditamento è la ISO 17065, non la ISO 17021 come per le altre certificazioni di sistema.

L’organizzazione può, quindi, certificare un suo prodotto (ad es. un software), un processo di trattamento dati o un servizio erogato oppure una combinazione di essi.

Passando ad esaminare in dettaglio lo schema ISDP©10003 (scaricabile liberamente dal sito di INVEO) si notano comunque diverse analogie con altri schemi di certificazione. Infatti, la struttura dello standard è allineata alla struttura HLS dei sistemi di gestione (ISO 9001, ISO 14001, ISO 27001), ma comprende anche, nell’Appendice A, gli obiettivi di controllo da osservare, sulla falsariga della ISO 27001 sui sistemi di gestione per la sicurezza delle informazioni.

 I punti dello schema sono illustrati nel seguito:

INTRODUZIONE

Nella sezione introduttiva si illustra gli aspetti generali dello schema, la sua struttura (oltre ai requisiti generali si introduce l’Allegato A che rappresenta i criteri di controllo già menzionato e l’Allegato B che riporta la “tabella di corrispondenza” fra requisiti e controlli dello schema, con gli articoli e i considerando del GDPR, le linee guida dell’EDPB e dell’Autorità Garante Nazionale (GPDP).

Inoltre, si indica la ISO 19011 come normativa di riferimento per la conduzione degli audit, unitamente alla ISO 17065 e alle linee guida EDPB 4/2018 Allegato 1. Tale norma rappresenta, infatti, la linea guida per la conduzione di audit di sistemi di gestione, ma può essere tranquillamente applicata anche ad altri tipi di audit, come quelli su prodotti, processi e servizi.

Questa sezione richiama anche l’approccio per processi, comune a tutte le norme sui sistemi di gestione. Infatti, occorre vedere i trattamenti di dati personali (oggetto di certificazione) come processi, al fine di gestirli in modo più efficace ed efficiente, oltre che conforme ai dettami normativi.

Inoltre, in questa sezione vengono esplicitati gli “aspetti di conformità” che caratterizzano lo schema e la valutazione della conformità allo stesso, con riferimento alla sopra citata Linea Guida EDPB 4/2018, evidenziato anche attraverso una chiara tabella di corrispondenza.

Infine, viene dichiarata la compatibilità (denominata “interoperabilità”) con altre norme che condividono la struttura HLS.

SCOPO E CAMPO DI APPLICAZIONE

In questa sezione si definisce un ambito di applicazione generale e specifico dello standard che può essere applicato a prodotti, processi e servizi erogati dall’organizzazione in qualità di titolare o responsabile del trattamento. Nell’ambito di applicazione generale tutti i controlli dell’Allegato A devono essere applicati, nel caso, invece di ambito di applicazione specifico – a un prodotto, un processo o un servizio specifico – alcuni controlli potrebbero essere esclusi. Come in quasi tutte le altre norme certificabili il perimetro può essere personalizzato.

RIFERIMENTI NORMATIVI

La sezione riporta i riferimenti normativi ISO richiamati nel testo, oltre al GDPR, ma l’organizzazione certificanda dovrebbe acquisire conoscenze anche sulla normativa italiana (D.Lgs 196/2003 aggiornato al D.lgs 101/2018 oltre ai numerosi provvedimenti del GPDP), sulle Linee Guida EDPB e su altre normative e direttive UE eventualmente applicabili all’attività svolta.

TERMINI E DEFINIZIONI

Sono riportati numerosi termini e definizioni, alcune proprie del Regolamento UE 679, altre definite nell’ambito dello schema stesso. Sezione molto utile anche per coloro che, pur non mirando alla certificazione, vogliono costruire un modello organizzativo privacy utilizzando termini appropriati.

PRINCIPI E QUADRO DI RIFERIMENTO

In questa sezione sono illustrati e sviluppati i principi base del GDPR ed alcuni concetti chiave per la corretta comprensione dello schema e della normativa europea.

CONSAPEVOLEZZA E RESPONSABILIZZAZIONE

In questa sezione, come in altre norme ISO, si espongono requisiti come l’impegno della Direzione (persone fisiche che rappresentano il Titolare/Responsabile del Trattamento), la definizione di una politica per la protezione dei dati personali e la definizione di una struttura organizzativa che comprenda ruoli e responsabilità ben precise per la data protection.

OBIETTIVI E PIANIFICAZIONE DELLA GESTIONE DEL RISCHIO

L’obiettivo primario dell’applicazione dello schema ISDP©10003, come peraltro quello del GDPR, è il rispetto dei diritti e delle libertà dell’interessato nel trattamento di dati personali. In questa sezione si enfatizza il fatto che deve essere sempre analizzato il contesto del trattamento e nel quale opera l’organizzazione e che prima di intraprendere un nuovo trattamento deve essere condotta una valutazione dei rischi che preveda la determinazione del  rischio inerente e, a fronte dell’attuazione di ulteriori misure di sicurezza, il titolare/responsabile del trattamento dovrà calcolare il rischio residuo, da poter confrontare con il livello di rischio giudicato accettabile.

La politica del rischio dell’organizzazione deve poi comprendere tutte le fonti di rischio che possono compromettere la riservatezza, l’integrità e la disponibilità dei dati personali, tipiche proprietà che caratterizzano la sicurezza dell’informazione, a cui lo schema aggiunge anche la qualità del dato. Questo concetto è molto caro allo standard ISDP©10003 che definisce la qualità del dato nelle sezioni precedenti, prevedendone anche la misurazione. Evidentemente si tratta di un concetto superiore all’integrità del dato, che presuppone la sua correttezza. Garantire la sicurezza in termini di integrità del dato significa che se un dato è memorizzato in un campo di un sistema informativo quel dato rimane sempre uguale se non viene modificato volontariamente. Garantire la qualità del dato, invece, significa garantire che quel dato sia sempre esatto ed aggiornato rispetto alla fonte che lo ha generato; ad esempio, che un indirizzo o un numero telefonico sia quello aggiornato alla data. Ciò presuppone un comportamento proattivo dell’organizzazione titolare o responsabile del trattamento finalizzato a preoccuparsi che tutti i dati raccolti siano corretti ed aggiornati. Naturalmente ciò si applica solo quando la qualità del dato risulta essere importante per i diritti e le libertà dell’interessato.

Nel processo di valutazione del rischio lo schema introduce, come sopra esposto, il c.d. rischio inerente (Ri), definito in una nota come il rischio relativo al trattamento prima delle eventuali mitigazioni (rischio lordo) (cons. 83 riga 2 Reg. UE 20161679). Letto anche il Considerando 83 verrebbe da chiedersi cos’è il “rischio inerente al trattamento”.

Una definizione corretta potrebbe essere la seguente: Il rischio inerente è il rischio attuale e potenziale cui il soggetto è esposto in ragione dell’attività concretamente svolta nel suo complesso. Quindi il rischio inerente va calcolato a prescindere dai controlli, presidi o misure di sicurezza applicate per mitigare il rischio. Dopo l’applicazione dei controlli e delle misure di mitigazione il rischio si attenua e diventa il rischio residuo.

Tra le varie metodologie di valutazione del rischio lo schema ISDP impone dei vincoli, quello di determinare il rischio inerente ed il rischio residuo attraverso un metodo (un algoritmo) oggettivo e ripetibile.

Come si calcola il rischio inerente? Anche ChatGPT potrebbe fornirci una risposta attendibile.

Il rischio inerente si calcola valutando la probabilità di una possibile violazione dei dati personali e il possibile impatto che questa violazione potrebbe avere sulle persone interessate.

Per calcolare il rischio inerente, si possono utilizzare diverse metodologie e framework, come ad esempio quello proposto dal NIST (National Institute of Standards and Technology), che prevede una valutazione basata su tre fattori principali:

1. Probabilità: la probabilità di una violazione dei dati personali in base alle minacce esistenti e alle vulnerabilità presenti nei sistemi e nei processi di trattamento dei dati.
2. Impatto: l’impatto che una violazione dei dati personali potrebbe avere sulle persone interessate, come la perdita di informazioni sensibili, la violazione della privacy o l’uso improprio dei dati personali.
3. Magnitudine del rischio: la gravità del rischio inerente, che dipende dalla combinazione della probabilità e dell’impatto.

La valutazione del rischio inerente può essere effettuata utilizzando un punteggio numerico o una scala di valutazione per ogni fattore, in modo da ottenere una valutazione complessiva del rischio.  Il calcolo può essere fatto moltiplicando i valori di Probabilità ed Impatto, introducendo un eventuale fattore correttivo di ponderazione.

Lo schema ISDP, inoltre, prevede un monitoraggio delle misure di sicurezza adottate a seguito della valutazione del rischio ed un monitoraggio dei risultati della valutazione del rischio stessa. Tale monitoraggio va effettuato anche attraverso audit interni ed audit sui Responsabili del trattamento.

SUPPORTO

In questa sezione lo standard stabilisce che il Titolare/Responsabile deve mettere in atto misure tecniche ed organizzative adeguate a garantire la sicurezza e l’esattezza dei dati personali e deve essere in grado di dimostrarlo.

Nel resto della sezione c’è di tutto un po’: definizione ed attuazione di policy per la protezione del dato personale, predisposizione di procedure documentate, adeguatezza delle risorse umane, formazione e consapevolezza del personale, vincoli di riservatezza, istituzione di audit interni e verso i responsabili del trattamento e così via.

Vengono poi anche stabiliti alcuni elementi per verificare l’adeguatezza dei processi interni, tra cui la verifica della minimizzazione dei dati trattati, dei rapporti fra contitolari, fra titolare e responsabile, ecc.

Nella medesima sezione vi è anche un punto specifico sulla nomina del Responsabile della Protezione Dati (DPO), necessario, peraltro, quando il GDPR stesso lo richiede.

Alla “Formazione” viene dedicato un punto specifico nel quale si enfatizza la necessità di attuare un processo di formazione pianificato e puntuale, del quale occorre dare evidenza attraverso opportune registrazioni dell’avvenuta formazione ed eventuali test di valutazione delle competenze se del caso.

Gran parte di questi compiti sono assegnati al RPD, che deve anche definire le competenze minime per il personale.

Il successivo punto “Documentazione” esplicita tutti i documenti (lo schema non cita il termine “informazioni documentate”) che è necessario predisporre per la certificazione, comprendente

1. Modello organizzativo privacy o documento equivalente: di fatto una sorta di Manuale di Gestione della Privacy, eventualmente costituito da una serie di documenti.
2. Registro dei trattamenti
3. Valutazione del rischio e relativa metodologia adottata
4. Procedure che regolano la raccolta ed il trattamento dei dati, l’esercizio dei diritti dell’interessato, la gestione dei data breach, la valutazione delle misure di sicurezza, la gestione della Privacy-by-Design e Privacy-by-default, gli audit interni, ecc.
5. Relazione annuale del DPO e Relazione dell’Amministratore di sistema.
6. Documentazione tecnica specifica del prodotto, processo o servizio oggetto di certificazione.

ATTIVITÀ OPERATIVE

Il titolare deve dimostrare la propria responsabilizzazione (accountability) nel conformarsi al GDPR attraverso scelte motivate ed adeguata documentazione del Modello Organizzativo Privacy (MOP) adottato.

La documentazione minima richiesta per dimostrare la conformità al regolamento UE 679 è costituita da:

• Mappatura dei trattamenti di dati personali (occorre scendere in un elevato livello di dettaglio, lo schema cita l’esempio dell’invio di allegati a messaggi di posta elettronica).
• Registro dei trattamenti
• Valutazione del rischio
• Valutazione di impatto (se necessario)

In questa sezione viene richiesta l’applicazione dei princìpi di Privacy by Design e Privacy by Default prima dell’avvio di nuovi prodotti e servizi (è implicito che rientrino nel campo di applicazione della certificazione) attraverso definizione di politiche, processi e misure di sicurezza.

Viene poi introdotto il requisito del “Controllo dei processi, prodotti e servizi forniti dall’esterno”, del tutto analogo all’omonimo requisito delle norme sui sistemi di gestione ISO 9001 e ISO 27001. Il fornitore deve essere sottoposto ad un processo di valutazione e qualifica, nel quale si dovrebbe tenere in considerazione la classificazione dei dati personali che dovranno essere trattati nella sua attività.

MONITORAGGIO

L’efficacia delle politiche e delle misure di sicurezza attuate deve essere valutata in primis attraverso audit interni ed esterni, per i quali vigono le stesse regole dei sistemi di gestione (programmazione in base all’importanza e alla criticità dei trattamenti, definizione dei criteri, registrazione dei risultati).

Nelle attività di monitoraggio occorre valutare la puntuale applicazione delle procedure, il Documento di mappatura dei trattamenti, il Registro dei trattamenti, il Documento aggiornato di valutazione dei rischi, il monitoraggio della Valutazione d’Impatto, Informazioni e statistiche puntuali o a campione di controllo sulla qualità ed esattezza dei dati contenuti negli archivi di dati personali, lo stato delle eventuali azioni correttive, l’analisi delle procedure relative ad informative e consenso, l’analisi del corretto rispetto dei diritti degli interessati e le modalità di campionamento interno dei trattamenti per il controllo.

Infine la sezione tratta le modalità di valutazione delle procedure dei responsabili (del trattamento) per la conduzione di audit di seconda parte (riscontro di garanzie sufficienti per assicurare la conformità dei processi di trattamento a loro affidati, misure di sicurezza tecniche ed organizzative adottate, ecc.).

MIGLIORAMENTO

Il titolare o il responsabile deve valutare continuamente le procedure di valutazione del rischio, mantenendo un registro dei rischi, al fine di identificare quei rischi che richiedono interventi migliorativi delle misure di sicurezza.

Il monitoraggio deve prevedere alcune azioni minime, tra cui flussi informativi costanti don il RPD (DPO) e la Direzione, la valutazione dell’efficacia delle azioni di trattamento dei rischi, il coinvolgimento del personale e così via.

Nel requisito “Rilievi e azioni correttive” è prescritta una procedura per registrare i rilievi che dovranno essere classificati (lo schema ISDP©10003 definisce non conformità/carenze, osservazioni e commenti) ed affrontati con azioni finalizzati ad eliminarne le cause, attraverso, se del caso, idonee azioni correttive che dovranno essere gestite come avviene negli altri sistemi di gestione (analisi delle cause, pianificazione dell’azione correttiva, attuazione, verifica di efficacia, secondo il classico ciclo PDCA).

L’unica cosa che si discosta da altre norme su sistemi di gestione (ISO 9001 in primis) è che le azioni correttive dovrebbero esistere solo per affrontare non conformità o problemi effettivamente verificatisi, mente ad es. un rilievo classificato come commento necessiterebbe di un’azione “preventiva” secondo quanto era definito nelle versioni precedenti della ISO 9001 (dal 2008 indietro) o nella specifica IATF 16949 per l’automotive.

OBIETTIVI DI CONTROLLO

L’appendice A dello schema ISDP©10003, in completa analogia con la norma ISO 27001, riporta un nutrito elenco di obiettivi di controllo e controllo che un’organizzazione certificanda dovrebbe adottare. Essi, organizzati in 7 macroprocessi, consentono di analizzare gli elementi forndamentali che caratterizzano i trattamenti di dati personali: caratteristiche dei dati personali, procedure e processi, sistemi tecnici e tecnologici (hardware e software) per il trattamento dati.

Dagli obiettivi di controllo discendono i controlli (oltre 130) che coprono tutti gli elementi del GDPR ed includono anche elementi di tipo organizzativo e gestionale, come l’istituzione di un Comitato Privacy e la conduzione di un riesame della direzione. Tali controlli possono essere tranquillamente trasformati in una check-list per verificare la conformità di un modello organizzativo privacy. Anzi una check-list in Excel con alcuni automatismi per determinare una valutazione ponderata dell’organizzazione auditata è reperibile sul sito INVEO previa registrazione (https://www.in-veo.com/privacy-tools-new/16-compliance-checklist-isdp-10003-2020) ed utilizzabile con qualche limitazione.

CONCLUSIONI

Sebbene lo schema presenti qualche ridondanza dovuta alla ripetizione di requisiti in punti diversi dello standard è sicuramente un modello completo al fine di perseguire la conformità al GDPR.

In conclusione, lo schema di certificazione ISDP©10003 è un ottimo strumento per le organizzazioni che desiderano dimostrare il loro impegno nella protezione dei dati personali e aumentare la loro reputazione sul mercato. La certificazione ISDP©10003 può aiutare le organizzazioni a identificare eventuali vulnerabilità nei loro sistemi e processi di protezione dei dati e a implementare misure per prevenirle, garantendo al tempo stesso la conformità alle normative internazionali sulla protezione dati.

L’ottenimento della certificazione sul GDPR costituisce comunque un obiettivo ambizioso, poiché sono ben poche le organizzazioni che dispongono di un sistema di gestione o modello organizzativo privacy pienamente conforme alle normative, tuttavia l’ISDP©10003 rappresenterà, una volta approvato come standard di certificazione sul GDPR, una strada più agevole – per costi e impatto – di altre per qualificarsi nel settore della protezione dati, anche per organizzazioni medio piccole. La stessa ISO 27701, pur non costituendo una certificazione specifica sul GDPR, non può prescindere da una certificazione ISO 27001, di per sé piuttosto impegnativa.

La possibilità di certificare soltanto un prodotto, processo o servizio e di restringerla alle attività svolte anche solo come Responsabile del Trattamento, apre le porte a soluzioni più snelle per qualificare determinate forniture di prodotti e/o servizi in certi ambiti (es. sanità). Al di là dell’obiettivo di perseguire ed ottenere una certificazione specifica sul GDPR, questo schema può fornire numerosi spunti per progettare e/o migliorare il proprio modello organizzativo privacy, indipendentemente dal fatto che la certificazione ISDP©10003 è orientata prodotti, processi e servizi, lo schema può essere tranquillamento adattato e preso a riferimento per il proprio “sistema di gestione privacy” volontario.