La Direttiva NIS 2 e il Decreto di recepimento in Italia: un nuovo capitolo per la Sicurezza delle Reti e dei Sistemi Informativi

Il panorama della sicurezza informatica in Europa sta vivendo una fase di trasformazione importante, con l’introduzione della Direttiva NIS 2 (Direttiva (UE) 2022/2555 del Parlamento Europeo e del Consiglio), che aggiorna la precedente Direttiva NIS (Network and Information Security) del 2016. A supporto di tale aggiornamento, l’Italia ha recepito (tra i primi Paesi UE) la direttiva europea attraverso il Decreto Legislativo 138/2024, approvato il 4 settembre 2024, che stabilisce nuovi obblighi per le organizzazioni italiane in materia di cybersecurity e gestione dei rischi.I

n questo articolo, esploreremo i principali punti della Direttiva NIS 2 e del Decreto di recepimento, analizzando le novità, gli impatti per le aziende e gli enti pubblici, e le sfide future in un contesto sempre più digitalizzato e vulnerabile a minacce cibernetiche.

La Direttiva NIS 2: obiettivi e novità

La Direttiva NIS 2 è parte di un più ampio sforzo dell’Unione Europea per rafforzare la sicurezza informatica e contrastare i rischi legati alle infrastrutture digitali, che sono diventate essenziali per il funzionamento delle economie moderne. Tra gli obiettivi principali della NIS 2 ci sono:

  1. Aumentare il livello di protezione delle infrastrutture critiche: La Direttiva mira a garantire che tutte le organizzazioni che gestiscono infrastrutture critiche (settori come energia, trasporti, sanità, acqua, comunicazioni elettroniche) siano più preparate ad affrontare attacchi cibernetici e a limitare l’impatto di eventuali incidenti di sicurezza.
  2. Estensione della portata delle norme: La Direttiva NIS 2 amplia il campo di applicazione rispetto alla versione precedente. Non solo le entità pubbliche e le aziende più grandi sono coinvolte, ma anche i fornitori di servizi essenziali e altre organizzazioni considerate ad alto rischio (ad esempio, piattaforme di e-commerce, fornitori di servizi cloud e aziende tecnologiche).
  3. Miglioramento della cooperazione tra Stati membri: Una parte cruciale della NIS 2 è la creazione di un meccanismo di cooperazione più robusto tra gli Stati membri dell’UE. Questo implica la condivisione di informazioni sulle minacce, la gestione degli incidenti e lo sviluppo di linee guida comuni in materia di sicurezza informatica.
  4. Obbligo di gestione dei rischi e notifica degli incidenti: Le aziende devono implementare misure di sicurezza adeguate e notificare tempestivamente le violazioni della sicurezza alle autorità competenti. Inoltre, devono adottare politiche di gestione dei rischi informatici per prevenire attacchi.
  1. Sanzioni più severe: La Direttiva prevede l’introduzione di pene pecuniarie in caso di mancato adempimento degli obblighi di sicurezza, con multe che possono arrivare fino al 2% del fatturato annuale globale delle aziende coinvolte.

Il Decreto Legislativo 138/2024: Il recepimento della NIS 2 in Italia

Con la pubblicazione del Decreto Legislativo 138/2024 il 4 settembre 2024, l’Italia ha recepito la Direttiva NIS 2 nell’ordinamento nazionale, introducendo modifiche significative al quadro giuridico e regolatorio per la sicurezza delle reti e dei sistemi informativi. Alcuni degli aspetti più rilevanti includono:

  1. Ampliamento del concetto di “Entità Essenziali“: In linea con le disposizioni della NIS 2, il Decreto Italiano amplia il novero delle entità soggette agli obblighi di sicurezza. Non solo i settori tradizionali (energia, trasporti, sanità) ma anche nuovi settori come i fornitori di servizi digitali, le piattaforme di e-commerce, i servizi cloud e le infrastrutture critiche IT rientrano nella normativa.
  2. Notifica tempestiva degli incidenti di sicurezza: Le aziende e gli enti pubblici devono comunicare eventuali incidenti di sicurezza che possano avere un impatto significativo sui servizi essenziali entro 24 ore dall’accaduto. Ciò include attacchi informatici, vulnerabilità critiche e qualsiasi altro evento che minacci l’integrità dei sistemi.
  3. Politiche di Gestione dei Rischi: L’adozione di un piano di gestione dei rischi diventa obbligatoria. Il piano deve contenere misure preventive per ridurre al minimo la probabilità di attacchi, nonché strategie di risposta e recupero in caso di incidenti di sicurezza.
  4. Sanzioni e controllo: Il Decreto stabilisce un quadro sanzionatorio chiaro per le violazioni, che può arrivare a multe significative e altre misure correttive, in linea con le disposizioni europee. L’Autorità per la Cybersicurezza, che coordina gli sforzi nazionali, è anche incaricata di monitorare e fare rispettare la normativa.

Implicazioni per le Aziende e gli Enti Pubblici in Italia

L’entrata in vigore della Direttiva NIS 2 e del D.Lgs 138/2024 comporta un cambiamento significativo per molte realtà aziendali e pubbliche. Le organizzazioni devono ora adottare una strategia di cybersecurity che non si limiti a proteggere i dati sensibili, ma che abbracci una visione complessiva della sicurezza, con misure preventive, piani di risposta agli incidenti e una costante attività di monitoraggio.

Le PMI, che fino ad oggi erano meno coinvolte nella normativa, ora potrebbero essere chiamate a rispettare nuovi obblighi, soprattutto se operano in settori considerati “essenziali” o ad alto rischio. Questo significa che anche le piccole e medie imprese devono investire in soluzioni di cybersecurity avanzate, implementare formazione adeguata per i propri dipendenti e rivedere periodicamente la sicurezza dei propri sistemi.

Inoltre, la cooperazione tra enti pubblici e privati diventa fondamentale per affrontare le minacce informatiche globali. La creazione di canali di comunicazione per la condivisione delle informazioni sulle vulnerabilità e sugli attacchi è un aspetto cruciale che contribuirà a migliorare la resilienza dell’intero sistema digitale europeo.

I settori coinvolti

La Direttiva (UE) 2022/2555 interessa diversi settori chiave, che sono considerati essenziali per il funzionamento della società e dell’economia. Il D.Lgs 138/2024 riporta algli Allegati I e 2, rispettivamente, “i settori ad alta criticità” ed “altri settori critici”.

Tra i settori principali coperti dalle misure di cibersicurezza previste nella direttiva, troviamo:

1. Energia: Include le infrastrutture e i servizi legati alla produzione, distribuzione e fornitura di energia, come elettricità, gas e petrolio.

2. Trasporti: Comprende i servizi di trasporto aereo, marittimo e terrestre, nonché le infrastrutture associate.

3. Sanità: Riguarda le strutture sanitarie, i fornitori di servizi sanitari e le tecnologie dell’informazione utilizzate nel settore sanitario.

4. Acqua: Include la fornitura e la gestione delle risorse idriche, comprese le infrastrutture per la potabilizzazione e la distribuzione dell’acqua.

5. Infrastrutture digitali: Comprende i fornitori di servizi di comunicazione elettronica e i servizi di hosting, nonché le piattaforme digitali.

6. Settore finanziario: Riguarda le istituzioni finanziarie, come banche e compagnie assicurative, che gestiscono dati sensibili e transazioni economiche.

7. Servizi essenziali: Include anche altri servizi che sono fondamentali per il funzionamento della società, come i servizi di emergenza e le infrastrutture critiche.

La direttiva mira a garantire che questi settori adottino misure adeguate per proteggere le loro infrastrutture e servizi da minacce informatiche, contribuendo così a una maggiore resilienza cibernetica in tutta l’Unione Europea.

Il coinvolgimento di numerose aziende in questi settori critici porterà, a cascata, anche il coinvolgimento della catena di fornitura, con richieste contrattuali severe sulla sicurezza informatica.

Le misure di sicurezza richieste

La Direttiva (UE) 2022/2555 impone diverse misure di sicurezza alle aziende coinvolte, al fine di garantire un elevato livello di cibersicurezza. Le principali misure di sicurezza includono:

  1. Politiche di analisi dei rischi: Le aziende devono sviluppare e mantenere politiche per identificare e valutare i rischi associati alla sicurezza informatica.
  2. Strategie per la gestione degli incidenti: È necessario avere piani e procedure in atto per gestire e rispondere agli incidenti di sicurezza informatica. Le aziende sono anche obbligate a notificare alle autorità competenti qualsiasi incidente significativo di sicurezza informatica che possa avere un impatto sui servizi essenziali o sui dati sensibili. La notifica deve avvenire entro un termine specificato dalla direttiva.
  3. Piani di continuità operativa: Le aziende devono prepararsi a garantire la continuità dei servizi anche in caso di incidenti di sicurezza.
  4. Sicurezza della catena di approvvigionamento: Le misure devono estendersi anche ai fornitori e ai partner, assicurando che la sicurezza sia mantenuta lungo tutta la catena di approvvigionamento.
  5. Gestione della Sicurezza del Software: Le aziende dovranno adottare procedure per garantire la sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informatici e di rete, compresa la gestione e la divulgazione delle vulnerabilità ed i relativi aggiornamenti.
  6. Pratiche di igiene informatica: È fondamentale adottare buone pratiche di igiene informatica per prevenire attacchi e vulnerabilità.
  7. Misure tecniche, operative e organizzative: Le misure devono essere adeguate e proporzionate ai rischi identificati, mirando a proteggere i sistemi informatici e di rete da attacchi e a minimizzare l’impatto degli incidenti. Queste misure possono includere la crittografia, il controllo degli accessi, la protezione dei dati e la formazione del personale.
  8. Valutazione della conformità: Le aziende devono essere pronte a sottoporsi a valutazione della conformità per valutare l’efficacia delle misure di sicurezza intraprese e garantire che rispettino gli obblighi di sicurezza stabiliti dalla direttiva. Ciò può includere audit e controlli da parte di fornitori specializzati (es. Penetration Test e Vulnerability Assessment) delle autorità competenti.

Queste misure sono progettate per garantire che le aziende adottino un approccio proattivo alla sicurezza informatica, contribuendo così a una maggiore resilienza e protezione contro le minacce cibernetiche.

Le misure di sicurezza sono simili ai controlli previsti dalla nota ISO 27001 per i sistemi di gestione della sicurezza delle informazioni, ma quali sono le differenze? Chi è già certificato ISO 27001 o sta per farlo è già conforme alla NIS 2? Occorre fare alcune precisazioni.

Da un lato i controlli ISO 27001 (e linea guida ISO 27002) coprono uno spettro più ampio della sicurezza delle informazioni, dall’altro alcune misure di sicurezza richieste dalla NIS 2 sono più specifiche (es. gestione e notifica degli incidenti).

La NIS 2 è più orientata alla Cybersecurity ed alla protezione delle informazioni sensibili per il funzionamento delle infrastrutture critiche, mentre il campo di applicazione di un SGSI ISO 27001 può spaziare in diversi ambiti e, pertanto, potrebbe avere un perimetro più esteso di quello della NIS 2. Attenzione però che data breach di attività e servizi fuori dal perimetro della NIS 2 non possano coinvolgere attività e servizi critici entro il perimetro NIS 2.

Conclusioni

La Direttiva NIS 2 e il Decreto Legislativo 138/2024 rappresentano un passo importante nella protezione delle infrastrutture digitali e nella lotta contro il crimine informatico. Con l’adozione di misure più rigorose e la creazione di un sistema di cooperazione tra Stati membri, l’UE sta cercando di creare un ambiente digitale più sicuro e resistente.

Per diverse aziende l’interpretazione dell’ambito di applicazione, ovvero se sono obbligate o meno all’applicazione della NIS 2, non è semplice; si auspica chiarimenti da parte di ACN, molto attiva sull’argomento (si veda https://www.acn.gov.it/portale/faq/cloud).

Per le aziende italiane, la sfida non è solo adeguarsi alle nuove normative, ma farlo in modo proattivo, rafforzando la sicurezza informatica e costruendo una cultura della protezione che diventi parte integrante delle loro operazioni quotidiane.

Investire in cybersecurity non è più un’opzione: è una necessità imprescindibile per proteggere i dati, la privacy e la reputazione di ciascuna organizzazione. Con il Decreto 138/2024, l’Italia compie un passo decisivo verso una maggiore protezione delle sue reti e sistemi informativi, rafforzando la fiducia nel sistema digitale europeo.

L’intelligenza artificiale, fra etica, privacy e applicazioni per le imprese

Sicuramente l’Intelligenza Artificiale è uno (se non il primo) degli argomenti più in vogha e dibattuti di questi ultimi mesi.

blue bright lights
Photo by Pixabay on Pexels.com

Dall’uscita di ChatGPT, seguita da Microsoft Copilot e Google Bard, in poi si è dibattuto su diversi aspetti dell’IA: aspetti etici, di privacy, perdita di posti di lavoro, strumento utile per le imprese e così via.

Proprio per questo la Commissione Europea è voluta intervenire in gran fretta emanando il c.d. “AI Act” di cui si parla molto in questi giorni.

L’AI non è una novità degli ultimi anni, ma il passaggio epocale si è avuto con il passaggio all’AI generativa che si differenzia da altre applicazioni di AI. Ma cos’è l’IA generativa?

L’intelligenza artificiale generativa (AI generativa) è una categoria di intelligenza artificiale (IA) che si concentra sulla creazione di dati o contenuti, come immagini, musica, testo, o altri tipi di informazioni, invece che sull’analisi o sull’interpretazione di dati esistenti.

Ci sono diverse modalità attraverso le quali l’IA generativa può operare:

  1. Reti neurali generative (GANs): Le reti neurali generative sono uno dei metodi più diffusi per l’IA generativa. Le GANs sono composte da due reti neurali: il generatore e il discriminatore. Il generatore crea nuovi dati, mentre il discriminatore cerca di distinguere i dati generati da quelli reali. Le due reti vengono addestrate insieme in modo che il generatore possa migliorare continuamente nella creazione di dati realistici.
  2. Reti neurali ricorrenti (RNNs) e reti neurali trasformative (TNNs): Questi tipi di reti sono utilizzate per generare sequenze di dati, come testo o musica. Le RNNs sono particolarmente efficaci nel generare dati sequenziali poiché possono tenere conto del contesto temporale. Le TNNs, d’altra parte, utilizzano trasformatori per elaborare sequenze di dati in parallelo, rendendo il processo più efficiente.
  3. Altri approcci: Ci sono anche altri approcci all’IA generativa che utilizzano tecniche diverse, come le reti neurali Bayesiane o i modelli di Markov nascosti.

Le principali differenze tra l’IA generativa e altre tipologie di intelligenza artificiale, come l’IA basata su regole o l’IA di apprendimento supervisionato, risiedono nel loro scopo e nella modalità di funzionamento:

  1. Scopo: L’IA generativa si concentra sulla creazione di nuovi dati o contenuti, mentre altre forme di IA possono essere utilizzate per compiti come la classificazione, la previsione o l’ottimizzazione.
  2. Modalità di funzionamento: Mentre altre forme di IA spesso lavorano con dati esistenti per estrarre informazioni o fare previsioni, l’IA generativa crea nuovi dati dall’interno del sistema, spesso senza dipendere direttamente dai dati di addestramento.

In sintesi, l’IA generativa è un ramo dell’intelligenza artificiale che si occupa della creazione di nuovi dati o contenuti, utilizzando una varietà di tecniche e approcci, come le reti neurali generative o le reti neurali ricorrenti. Le sue principali differenze risiedono nel suo scopo e nella modalità di funzionamento rispetto ad altre forme di IA.

Ma quali sono le applicazioni dell’intelligenza artificiale che possono essere utili per le imprese?

Le applicazioni dell’intelligenza artificiale (IA) per le imprese sono molteplici e sempre più diffuse in diversi settori. Alcuni esempi includono:

  1. Automatizzazione dei processi: L’IA può automatizzare una vasta gamma di processi aziendali, riducendo il carico di lavoro manuale e migliorando l’efficienza. Questo può includere l’automatizzazione dei processi di produzione, gestione delle scorte, fatturazione, supporto clienti e molto altro.
  2. Analisi dei dati: L’IA può analizzare grandi quantità di dati aziendali per estrarre insight significativi e informazioni utili per prendere decisioni informate. Questo può includere l’analisi predittiva per prevedere tendenze di mercato, la segmentazione dei clienti per personalizzare le offerte, l’individuazione di anomalie per la sicurezza informatica e molto altro.
  3. Servizi clienti intelligenti: L’IA può essere utilizzata per migliorare l’esperienza del cliente attraverso chatbot intelligenti che forniscono supporto immediato e personalizzato, sistemi di raccomandazione per suggerire prodotti o servizi pertinenti e analisi dei sentimenti per comprendere meglio le esigenze e le opinioni dei clienti.
  4. Manutenzione predittiva: L’IA può essere impiegata per prevedere guasti o problemi di manutenzione in anticipo, consentendo alle imprese di effettuare interventi preventivi e ridurre i costi di manutenzione e i tempi di inattività.
  5. Ottimizzazione delle risorse: L’IA può ottimizzare l’utilizzo delle risorse aziendali, come la gestione delle flotte di veicoli, l’allocazione delle risorse umane e la pianificazione della produzione, per massimizzare l’efficienza e ridurre i costi operativi.
  6. Personalizzazione dei servizi: L’IA può aiutare le imprese a offrire servizi altamente personalizzati ai propri clienti, utilizzando algoritmi di apprendimento automatico per adattare le offerte in base alle preferenze individuali e al comportamento passato dei clienti.
  7. Sicurezza informatica: L’IA può migliorare la sicurezza informatica attraverso sistemi di rilevamento delle minacce basati sull’apprendimento automatico che identificano e rispondono in tempo reale alle potenziali minacce alla sicurezza dei dati aziendali.
  8. Produzione di contenuti: Produzione di contenuti: L’IA può generare contenuti scritti, come post per siti web o pubblicità personalizzate.
  9. Ottimizzazione delle operazioni di inventario: L’IA aiuta a gestire gli stock in modo efficiente

Questi sono solo alcuni esempi delle molte applicazioni dell’IA per le imprese. In generale, l’IA può essere utilizzata per migliorare l’efficienza operativa, ottimizzare le decisioni aziendali, migliorare l’esperienza del cliente e creare nuove opportunità di business.

Dai di addestramento dell’AI

Questo, però, solo in teoria, perché l’IA deve essere addestrata con informazioni reali e, come avviene per altri processi di elaborazione computerizzata di dati, il risultato di un algoritmo deterministico produce dati che dipendono dall’input e si può ricordare il principio “garbage ingarbage out”. Ovvero se i dati in input sono una schifezza, i dati in output lo saranno altrettanto!

Ho sentito parlare di grandi opportunità per le imprese di utilizzare i dati in loro possesso attraverso l’intelligenza artificiale, ma molte imprese, soprattutto le medio-piccole, non hanno dati validi da analizzare. Questo perché anche molti progetti della c.d. Industria 4.0 sono stati unicamente finalizzati ad acquistare macchinari ed apparecchiature varie con sgravi fiscali, ma l’interconnessione e la raccolta dati è stata solo virtuale, ovvero non si sono impiegati software per la raccolta e la gestione dei dati provenienti dalle macchine. Dunque, molte aziende hanno acquistato macchinari moderni, in grado di acquisire deti sulla produzione, sui fermi macchina, sulla qualità dei prodotti e molto altro, ma non hanno investito nell’integrazione con sistemi MES, schedulatori, sistemi di Business Intelligence in grado di sfruttare i dati che le macchine potevano acquisire.

In queste situazioni l’IA non serve a nulla, bisogna fare un passo indietro e ricominciare daccapo con la raccolta dati.

La qualità dei risultati ottenuti dall’Intelligenza Artificiale dipende, pertanto, sia dalla programmazione dello strumento – realizzata dai tecnici che progettano e realizzano sistemi di IA – , sia dall’entità e dalla qualità dei dati per l’addestramento. Ecco, quindi, che diventa sempre più importante avere il controllo sui dati.

Rischi operativi

Possiamo citare diversi casi di IA oggi fallimentare: i chatbot ed alcuni sistemi di previsione delle esigenze dei clienti che ti propongono offerte di acquisto in base alle tue preferenze.

I chatbot che dovrebbero fornire assistenza ai clienti in realtà fanno spesso perdere tempo al cliente perché nella stragrande maggioranza dei casi non risolvono i problemi del cliente che sarà quasi sempre costretto a contattare un essere umano (possibilmente competente, magari anche che capisca bene la nostra lingua, ma questo è un altro discorso…) dopo aver accumulato una buona quantità di frustrazioni ed essersi indispettito per il rapporto intercorso con il chatbot.

Tra l’altro recentemente si è verificato un caso in cui una Compagnia di Assicurazione si è vista dover risarcire un cliente dei costi sostenuti per un’errata risposta di un chatbot sull’applicazione di uno sconto. Se aggiungiamo a questi rischi operativi anche i rischi privacy (che vedremo dopo), allora dovremmo riflettere bene prima di “ingaggiare” un chatbot per rispondere ai clienti. Si risparmieranno risorse, ma il livello di insoddisfazione del cliente crescerà sicuramente.

Anche sulla validità dei suggerimenti di acquisto proposti dall’AI ci sarebbe molto da obiettare e il passaggio da algoritmi deterministici poco efficaci e applicazioni dell’AI nel marketing digitale dovrebbe portare un valore aggiunto tangibile.

Altre ipotesi di applicazione dell’AI sono presenti nel campo della sanità. Facciamo un esempio.

L’AI potrebbe analizzare una mole considerevole di dati di esami diagnostici e prevedere una diagnosi per un paziente, se non addirittura una cura. Potrebbe essere sicuramente utile sfruttare il lavoro dell’IA per ipotizzare una diagnosi, ma poi la decisione la deve prendere un medico competente e deve anche assumersene le responsabilità. Riguardo alla cura il problema potrebbe non essere tutto sulle previsioni dell’IA, ma sui dati di addestramento, i dati in input. Per fare un esempio ormai noto a tutti, di fronte ad un caso di Covid-19 l’IA potrebbe suggerire una cura secondo i c.d. “protocolli ufficiali”, ovvero “tachipirina e vigile attesa”, tanto per intenderci. Ma molti medici – in forza di diversi studi – ritengono che tale cura sia non adeguata. Per cui torniamo sempre alla responsabilità del medico sulla decisione da prendere, senza potersi rivalere sull’IA in caso di errore.

Stesso discorso potrebbe essere fatto per la scelta di un farmaco: incrociando i dati del paziente, la diagnosi e i farmaci disponibili per la cura l’IA potrebbe suggerire il farmaco più adatto, ma parliamo sempre di un ausilio al medico, che potrebbe aiutarlo anche a non commettere errori (ad esempio valutando i possibili effetti avversi), ma non un esonero di responsabilità.

Passando ad altri impieghi dell’AI si è molto discusso delle possibili applicazioni – anche semplicemente di ChatGPT e dei suoi “cugini” – per generare testo su determinati argomenti e sulla possibilità che un tale impiego provochi l’eliminazione di posti di lavoro.

Evidentemente CHatGPT può essere utilizzato per redigere un articolo o un post di un Blog, per riassumere un testo o un libro noto ed anche per predisporre un questionario con un certo numero di domande con risposta multipla di cui una sola corretta su un determinato argomento non troppo specifico.

In tutti questi casi, per un utilizzo professionale (ovvero ad es. non per svolgere i compiti di scuola), è comunque necessaria una supervisione di una persona esperta dell’argomento per evitare di lasciar passare errori di contenuto.  Anche la semplice sintesi di un documento normativo effettuata da un tool di AI potrebbe evidenziare rischi di interpretazione errata di alcuni passi fondamentali.

Infine, bisogna considerare che l’IA (ad es. Chat GPT) non esprime pareri, dunque se un autore volesse analizzare un argomento fornendo il proprio punto di vista, dovrebbe comunque rielaborare la risposta di ChatGPT, Copilot, Bard o altre IA.

Molto utile si prospetta l’impiego dell’IA per sviluppare codice, ma anche qui vedremo in seguito che esistono dei rischi di sicurezza, dunque la revisione e test approfonditi di un programmatore esperto è fortemente consigliata.

Rischi Privacy

Ci sono due tipi di rischi sulla protezione dei dati personali legati all’IA:

  • I dati raccolti dagli utenti che chiedono informazioni all’IA potrebbero non essere utilizzati con finalità lecite (con il consenso dell’utente dove richiesto) e tutto questo insieme di dati raccolti, se non anonimizzato, potrebbe – in caso di violazione degli archivi (data breach) – apportare danni significativi agli utenti stessi, in modo indefinito, perché non sappiamo quali domande pone e quali informazioni fornisce un utente all’IA. Ad es. un chatbot di una Banca o di una Assicurazione potrebbe raccogliere dati sensibili (dati relativi alla salute, dati finanziari, credenziali di accesso, ecc.);
  • Se un determinato processo è governato dall’IA esso potrebbe portare a decisioni che comportano rischi per i diritti e le libertà dell’interessato. Anche qui gli esempi sono molteplici: dall’errata diagnosi di una malattia di un paziente, all’assegnazione o non assegnazione di un lavoro a un candidato, alla mancata erogazione di un premio, ecc.

Non voglio qui trattare rischi dovuti ad un uso illecito dell’IA, salvo quanto riportato a proposito dell’IT Security; naturalmente come qualsiasi strumento – fisico o informatico – anche l’IA se usata per scopi criminali può arrecare danni alle persone, sia fisici che morali, compresi quelli disciplinati dalla normativa privacy (GDPR in UE).

Sicurezza informatica

Un discorso a parte va fatto sulla sicurezza informatica.

Da un lato l’AI aiuta le difese dagli attacchi hacker per riconoscere in tempo reale un attacco, un’intrusione nascosta nei sistemi, un tentativo di phishing e molto altro; dall’altro l’IA è uno strumento a disposizione anche dei criminali informatici per preparare virus, e-mail di phishing e altro in tempi più ridotti-

La sicurezza informatica dell’applicazione di IA è fondamentale per evitare risultati inattesi e potenzialmente dannosi per l’utente dell’applicazione di IA, qualunque essa sia.

L’opportunità di sfruttare l’IA per sviluppare codice sorgente (software) presenta anche la possibilità, per l’IA manomessa, di inserire codice malevolo in grado di infettare i computer che eseguiranno il programma software oppure di inserire vulnerabilità che poi potranno essere sfruttate dai criminali informatici per  introdursi nel sistema dell’utente.

Aspetti etici

Dunque, l’AI potrebbe agevolare e velocizzare molte attività, ma la supervisione ed il controllo di umani competenti è sempre necessario, sia nella progettazione del modello e dell’applicazione di IA, sia nella verifica dei risultati. Proprio perché i risultati dell’AI non dipendono da algoritmi deterministici, come devono essere testati i risultati di una comune applicazione software, a maggior ragione devono essere verificati i risultati di un’applicazione di AI prima di impiegarli per qualsiasi scopo, anche se nella maggiornaza dei casi l’IA ci fornirà un servizio migliore di qualsiasi essere umano, soprattutto in termini di tempo.

Non mi sembra ci siano tante differenze rispetto ad altre novità ed invenzioni tecnologiche del passato: dalle macchine automatiche per la produzione industriale ai programmi di elaborazione elettronica dei dati che hanno evitato di compiere azioni manuali, dalle e-mail al cloud computer, dalle auto elettriche al BIM. Tutte le innovazioni hanno portato alla scomparsa di posti di lavoro ed alla creazione di altri.

Chiaramente l’uso dello strumento deve rispettare le regole dell’etica ed in questo dovrebbero venire in aiuto le leggi che si sta cercando di introdurre, dall’AI Act in poi.

Come molti degli strumenti ed innovazioni che sono state introdotte negli ultimi decenni,  anche l’AI può essere utilizzata per compiere attività illecite, reati e provocare danni – morali e materiali –  a persone e cose, ma non per questo deve essere vietata od ostacolata. In fondo anche un coltello da cucina o un’automobile possono essere impiegati per uccidere persone!

L’AI cancellerà posti di lavoro? Ne creerà di altri? Una risposta positiva ad entrambe queste domande non deve preoccupare. In fondo ci sono già diverse decisioni e regolamentazioni, introdotte almeno a livello europeo, che potrebbero creare effetti economici negativi per alcune imprese e lavoratori e positivi per altre: gli obblighi introdotti dal legislatore UE sull’immatricolazione di sole auto elettriche e l’eliminazione delle caldaie a gas sono solo alcuni esempi significativi che impatteranno il mondo del lavoro forse più dell’introduzione dell’AI.

La sicurezza del sito web: le regole per realizzare un sito conforme

La sicurezza di un sito web è fondamentale per proteggere i dati e le informazioni degli utenti e dei gestori.

Sappiamo (dalla ISO 27001 e dal GDPR in primis) che la sicurezza va declinata nelle sue proprietà: Riservatezza, Integrità e Disponibilità. Dunque, non solo è importante garantire la riservatezza dei dati, ma anche la loro integrità (esattezza, correttezza) e la loro disponibilità in tempi idonei laddove attraverso il sito web si fornisce un servizio a clienti effettivi e potenziali. Inoltre, l’indisponibilità del sito web a causa di un attacco hacker (attacco DDOS, defacement del sito web) comporta un grave rischio reputazionale per il suo proprietario.

Leggi tutto

Le nuove ISO 27001 e ISO 27002

security logo
Photo by Pixabay on Pexels.com

In quest’articolo andremo a commentare le nuove revisioni delle due più importanti norme della famiglia ISO 27k, avvenute nel corso del 2022:

  • ISO/IEC 27001:2022 – Information security, cybersecurity and privacy protection — Information security management systems — Requirements
  • ISO IEC 27002:2022 Information security, cybersecurity and privacy protection — Information security controls

La seconda è stata anche pubblicata dall’UNI con il prefisso UNI CEI EN alcuni mesi fa, ma di fatto l’Ente di Normazione Italiano si è astenuto dal tradurre le 170 pagine di norma, limitandosi alla traduzione del titolo (“Sicurezza delle informazioni, cybersecurity e protezione della privacy – Controlli di sicurezza delle informazioni”) e poco più, lasciando molti delusi visto che la precedente versione era stata tradotta. Ora ci si aspetta la pubblicazione della UNI CEI EN ISO 27001 con traduzione in italiano che dovrebbe costare pochi sforzi viste le limitate differenze rispetto alla versione precedente e le similitudini con altre norme con struttura HLS. Aspettative che non dovrebbero andare eluse visto che la ISO 27001 è anche una norma certificabile.

Leggi tutto

Responsabile della Conservazione Digitale

Molte imprese si sono trovate a dover nominare il Responsabile della Conservazione (RdC) per ottemperare ai requisiti delle nuove Linee Guida AgiD sulla conservazione dei documenti digitali. Tale adempimento non riveste, infatti, solo le Pubbliche Amministrazioni, ma tutte le imprese che utilizzano sistemi di conservazione “a norma” (archiviazione sostitutiva), compresi i sistemi di fatturazione elettronica, ormai divenuti obbligatori per tutte le organizzazioni.

Leggi tutto

Valutazione del rischio per la sicurezza delle informazioni vs. valutazione del rischio privacy

In un precedente articolo abbiamo trattato della valutazione del rischio privacy per adempiere ai requisiti del GDPR (Regolamento UE 2016/679 sulla protezione dei dati personali), ma chi ha o deve implementare un sistema di gestione per la sicurezza delle informazioni come deve considerare la valutazione dei rischi sui trattamenti di dati personali? Tale valutazione è implicita nella valutazione dei rischi sulla sicurezza delle informazioni, ovvero è un “di cui” di essa? Oppure, come sostengono alcuni esperti di privacy, è tutta un’altra cosa e va considerata separatamente? Cerchiamo di chiarire questi aspetti.

Leggi tutto

La certificazione SSAE 18 per i servizi in outsourcing

Oggi le imprese tendono ad esternalizzare molti processi ed attività secondarie al fine di ottimizzarne i costi e la qualità del servizio risultante che, se svolto da personale specializzato, è spesso superiore a quello ottenibile impiegando il personale interno.

Alcune di queste attività – ad esempio la gestione delle paghe e del personale, l’acquisizione di documenti e dati in formato digitale e la relativa archiviazione sostitutiva, la gestione contabile e fiscale, i servizi informatici, ecc. – prevedono la gestione di informazioni critiche del punto di vista della riservatezza e degli aspetti legali e di compliance ad essi correlati.

Leggi tutto

TISAX: la sicurezza delle informazioni nell’automotive

La normativa IATF 16949 prevede alcuni requisiti che riguardano la sicurezza delle informazioni dell’organizzazione automotive ed infatti le Sanctioned Interpretation riguardano anche la sicurezza delle informazioni gestite. Ricordiamo che una Sanctioned Interpretation modifica l’interpretazione di una regola o di un requisito della IATF 16949 e diventa essa stessa la base di una non conformità.

Leggi tutto

Si fa presto a dire “Misure di Sicurezza adeguate”

Come noto il Regolamento UE 679/2016 (GDPR) non prevede più – a differenza del previgente D.Lgs 196/2003 – di attuare delle misure “minime” di sicurezza” a protezione dei dati personali trattati da un’organizzazione (titolare o responsabile del trattamento), bensì misure di sicurezza adeguate, stabilite a fronte di una valutazione dei rischi sui trattamenti.

In particolare, all’Articolo 32 del GDPR: Sicurezza del trattamento (Considerando 83), si riporta quanto segue:

1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:

a) la pseudonimizzazione e la cifratura dei dati personali;

b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;

c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;

d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

2. Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.


Leggi tutto

Misure di sicurezza di un’applicazione web per essere conformi al GDPR

Nella gestione della privacy di un’organizzazione talvolta ci si trova a valutare la conformità al GDPR (Regolamento UE 2016/679) di una applicazione web o web application fornita, spesso con modalità SaaS (Software As A Service) da un fornitore esterno.

Da un lato l’art. 28 del GDPR ci chiede di affidarci solo a responsabili del trattamento che garantiscano adeguate misure di sicurezza e la conformità al GDPR stesso, dall’altro l’art. 25 ci chiede che gli applicativi software che trattano dati personali siano “privacy by design” e “privacy by default”, ma cosa significa tutto ciò? Cosa dobbiamo realmente chiedere al fornitore di una web application? Anzi cosa dobbiamo pretendere per garantirci la conformità al GDPR?

Al di là degli obblighi del GDPR, molti imprenditori si pongono queste domande:

  1. Dove sono conservati i miei dati?
  2. Chi li può visionare?
  3. Saranno sempre nella mia disponibilità?
Leggi tutto