L’intelligenza artificiale, fra etica, privacy e applicazioni per le imprese

Sicuramente l’Intelligenza Artificiale è uno (se non il primo) degli argomenti più in vogha e dibattuti di questi ultimi mesi.

blue bright lights — Photo by Pixabay on Pexels.com

Dall’uscita di ChatGPT, seguita da Microsoft Copilot e Google Bard, in poi si è dibattuto su diversi aspetti dell’IA: aspetti etici, di privacy, perdita di posti di lavoro, strumento utile per le imprese e così via.

Proprio per questo la Commissione Europea è voluta intervenire in gran fretta emanando il c.d. “AI Act” di cui si parla molto in questi giorni.

L’AI non è una novità degli ultimi anni, ma il passaggio epocale si è avuto con il passaggio all’AI generativa che si differenzia da altre applicazioni di AI. Ma cos’è l’IA generativa?

L’intelligenza artificiale generativa (AI generativa) è una categoria di intelligenza artificiale (IA) che si concentra sulla creazione di dati o contenuti, come immagini, musica, testo, o altri tipi di informazioni, invece che sull’analisi o sull’interpretazione di dati esistenti.

Ci sono diverse modalità attraverso le quali l’IA generativa può operare:

Reti neurali generative (GANs): Le reti neurali generative sono uno dei metodi più diffusi per l’IA generativa. Le GANs sono composte da due reti neurali: il generatore e il discriminatore. Il generatore crea nuovi dati, mentre il discriminatore cerca di distinguere i dati generati da quelli reali. Le due reti vengono addestrate insieme in modo che il generatore possa migliorare continuamente nella creazione di dati realistici.
Reti neurali ricorrenti (RNNs) e reti neurali trasformative (TNNs): Questi tipi di reti sono utilizzate per generare sequenze di dati, come testo o musica. Le RNNs sono particolarmente efficaci nel generare dati sequenziali poiché possono tenere conto del contesto temporale. Le TNNs, d’altra parte, utilizzano trasformatori per elaborare sequenze di dati in parallelo, rendendo il processo più efficiente.
Altri approcci: Ci sono anche altri approcci all’IA generativa che utilizzano tecniche diverse, come le reti neurali Bayesiane o i modelli di Markov nascosti.

Le principali differenze tra l’IA generativa e altre tipologie di intelligenza artificiale, come l’IA basata su regole o l’IA di apprendimento supervisionato, risiedono nel loro scopo e nella modalità di funzionamento:

Scopo: L’IA generativa si concentra sulla creazione di nuovi dati o contenuti, mentre altre forme di IA possono essere utilizzate per compiti come la classificazione, la previsione o l’ottimizzazione.
Modalità di funzionamento: Mentre altre forme di IA spesso lavorano con dati esistenti per estrarre informazioni o fare previsioni, l’IA generativa crea nuovi dati dall’interno del sistema, spesso senza dipendere direttamente dai dati di addestramento.

In sintesi, l’IA generativa è un ramo dell’intelligenza artificiale che si occupa della creazione di nuovi dati o contenuti, utilizzando una varietà di tecniche e approcci, come le reti neurali generative o le reti neurali ricorrenti. Le sue principali differenze risiedono nel suo scopo e nella modalità di funzionamento rispetto ad altre forme di IA.

Ma quali sono le applicazioni dell’intelligenza artificiale che possono essere utili per le imprese?

Le applicazioni dell’intelligenza artificiale (IA) per le imprese sono molteplici e sempre più diffuse in diversi settori. Alcuni esempi includono:

Automatizzazione dei processi: L’IA può automatizzare una vasta gamma di processi aziendali, riducendo il carico di lavoro manuale e migliorando l’efficienza. Questo può includere l’automatizzazione dei processi di produzione, gestione delle scorte, fatturazione, supporto clienti e molto altro.
Analisi dei dati: L’IA può analizzare grandi quantità di dati aziendali per estrarre insight significativi e informazioni utili per prendere decisioni informate. Questo può includere l’analisi predittiva per prevedere tendenze di mercato, la segmentazione dei clienti per personalizzare le offerte, l’individuazione di anomalie per la sicurezza informatica e molto altro.
Servizi clienti intelligenti: L’IA può essere utilizzata per migliorare l’esperienza del cliente attraverso chatbot intelligenti che forniscono supporto immediato e personalizzato, sistemi di raccomandazione per suggerire prodotti o servizi pertinenti e analisi dei sentimenti per comprendere meglio le esigenze e le opinioni dei clienti.
Manutenzione predittiva: L’IA può essere impiegata per prevedere guasti o problemi di manutenzione in anticipo, consentendo alle imprese di effettuare interventi preventivi e ridurre i costi di manutenzione e i tempi di inattività.
Ottimizzazione delle risorse: L’IA può ottimizzare l’utilizzo delle risorse aziendali, come la gestione delle flotte di veicoli, l’allocazione delle risorse umane e la pianificazione della produzione, per massimizzare l’efficienza e ridurre i costi operativi.
Personalizzazione dei servizi: L’IA può aiutare le imprese a offrire servizi altamente personalizzati ai propri clienti, utilizzando algoritmi di apprendimento automatico per adattare le offerte in base alle preferenze individuali e al comportamento passato dei clienti.
Sicurezza informatica: L’IA può migliorare la sicurezza informatica attraverso sistemi di rilevamento delle minacce basati sull’apprendimento automatico che identificano e rispondono in tempo reale alle potenziali minacce alla sicurezza dei dati aziendali.
Produzione di contenuti: Produzione di contenuti: L’IA può generare contenuti scritti, come post per siti web o pubblicità personalizzate.
Ottimizzazione delle operazioni di inventario: L’IA aiuta a gestire gli stock in modo efficiente

Questi sono solo alcuni esempi delle molte applicazioni dell’IA per le imprese. In generale, l’IA può essere utilizzata per migliorare l’efficienza operativa, ottimizzare le decisioni aziendali, migliorare l’esperienza del cliente e creare nuove opportunità di business.

Dai di addestramento dell’AI

Questo, però, solo in teoria, perché l’IA deve essere addestrata con informazioni reali e, come avviene per altri processi di elaborazione computerizzata di dati, il risultato di un algoritmo deterministico produce dati che dipendono dall’input e si può ricordare il principio “garbage in – garbage out”. Ovvero se i dati in input sono una schifezza, i dati in output lo saranno altrettanto!

Ho sentito parlare di grandi opportunità per le imprese di utilizzare i dati in loro possesso attraverso l’intelligenza artificiale, ma molte imprese, soprattutto le medio-piccole, non hanno dati validi da analizzare. Questo perché anche molti progetti della c.d. Industria 4.0 sono stati unicamente finalizzati ad acquistare macchinari ed apparecchiature varie con sgravi fiscali, ma l’interconnessione e la raccolta dati è stata solo virtuale, ovvero non si sono impiegati software per la raccolta e la gestione dei dati provenienti dalle macchine. Dunque, molte aziende hanno acquistato macchinari moderni, in grado di acquisire deti sulla produzione, sui fermi macchina, sulla qualità dei prodotti e molto altro, ma non hanno investito nell’integrazione con sistemi MES, schedulatori, sistemi di Business Intelligence in grado di sfruttare i dati che le macchine potevano acquisire.

In queste situazioni l’IA non serve a nulla, bisogna fare un passo indietro e ricominciare daccapo con la raccolta dati.

La qualità dei risultati ottenuti dall’Intelligenza Artificiale dipende, pertanto, sia dalla programmazione dello strumento – realizzata dai tecnici che progettano e realizzano sistemi di IA – , sia dall’entità e dalla qualità dei dati per l’addestramento. Ecco, quindi, che diventa sempre più importante avere il controllo sui dati.

Rischi operativi

Possiamo citare diversi casi di IA oggi fallimentare: i chatbot ed alcuni sistemi di previsione delle esigenze dei clienti che ti propongono offerte di acquisto in base alle tue preferenze.

I chatbot che dovrebbero fornire assistenza ai clienti in realtà fanno spesso perdere tempo al cliente perché nella stragrande maggioranza dei casi non risolvono i problemi del cliente che sarà quasi sempre costretto a contattare un essere umano (possibilmente competente, magari anche che capisca bene la nostra lingua, ma questo è un altro discorso…) dopo aver accumulato una buona quantità di frustrazioni ed essersi indispettito per il rapporto intercorso con il chatbot.

Tra l’altro recentemente si è verificato un caso in cui una Compagnia di Assicurazione si è vista dover risarcire un cliente dei costi sostenuti per un’errata risposta di un chatbot sull’applicazione di uno sconto. Se aggiungiamo a questi rischi operativi anche i rischi privacy (che vedremo dopo), allora dovremmo riflettere bene prima di “ingaggiare” un chatbot per rispondere ai clienti. Si risparmieranno risorse, ma il livello di insoddisfazione del cliente crescerà sicuramente.

Anche sulla validità dei suggerimenti di acquisto proposti dall’AI ci sarebbe molto da obiettare e il passaggio da algoritmi deterministici poco efficaci e applicazioni dell’AI nel marketing digitale dovrebbe portare un valore aggiunto tangibile.

Altre ipotesi di applicazione dell’AI sono presenti nel campo della sanità. Facciamo un esempio.

L’AI potrebbe analizzare una mole considerevole di dati di esami diagnostici e prevedere una diagnosi per un paziente, se non addirittura una cura. Potrebbe essere sicuramente utile sfruttare il lavoro dell’IA per ipotizzare una diagnosi, ma poi la decisione la deve prendere un medico competente e deve anche assumersene le responsabilità. Riguardo alla cura il problema potrebbe non essere tutto sulle previsioni dell’IA, ma sui dati di addestramento, i dati in input. Per fare un esempio ormai noto a tutti, di fronte ad un caso di Covid-19 l’IA potrebbe suggerire una cura secondo i c.d. “protocolli ufficiali”, ovvero “tachipirina e vigile attesa”, tanto per intenderci. Ma molti medici – in forza di diversi studi – ritengono che tale cura sia non adeguata. Per cui torniamo sempre alla responsabilità del medico sulla decisione da prendere, senza potersi rivalere sull’IA in caso di errore.

Stesso discorso potrebbe essere fatto per la scelta di un farmaco: incrociando i dati del paziente, la diagnosi e i farmaci disponibili per la cura l’IA potrebbe suggerire il farmaco più adatto, ma parliamo sempre di un ausilio al medico, che potrebbe aiutarlo anche a non commettere errori (ad esempio valutando i possibili effetti avversi), ma non un esonero di responsabilità.

Passando ad altri impieghi dell’AI si è molto discusso delle possibili applicazioni – anche semplicemente di ChatGPT e dei suoi “cugini” – per generare testo su determinati argomenti e sulla possibilità che un tale impiego provochi l’eliminazione di posti di lavoro.

Evidentemente CHatGPT può essere utilizzato per redigere un articolo o un post di un Blog, per riassumere un testo o un libro noto ed anche per predisporre un questionario con un certo numero di domande con risposta multipla di cui una sola corretta su un determinato argomento non troppo specifico.

In tutti questi casi, per un utilizzo professionale (ovvero ad es. non per svolgere i compiti di scuola), è comunque necessaria una supervisione di una persona esperta dell’argomento per evitare di lasciar passare errori di contenuto. Anche la semplice sintesi di un documento normativo effettuata da un tool di AI potrebbe evidenziare rischi di interpretazione errata di alcuni passi fondamentali.

Infine, bisogna considerare che l’IA (ad es. Chat GPT) non esprime pareri, dunque se un autore volesse analizzare un argomento fornendo il proprio punto di vista, dovrebbe comunque rielaborare la risposta di ChatGPT, Copilot, Bard o altre IA.

Molto utile si prospetta l’impiego dell’IA per sviluppare codice, ma anche qui vedremo in seguito che esistono dei rischi di sicurezza, dunque la revisione e test approfonditi di un programmatore esperto è fortemente consigliata.

Rischi Privacy

Ci sono due tipi di rischi sulla protezione dei dati personali legati all’IA:

I dati raccolti dagli utenti che chiedono informazioni all’IA potrebbero non essere utilizzati con finalità lecite (con il consenso dell’utente dove richiesto) e tutto questo insieme di dati raccolti, se non anonimizzato, potrebbe – in caso di violazione degli archivi (data breach) – apportare danni significativi agli utenti stessi, in modo indefinito, perché non sappiamo quali domande pone e quali informazioni fornisce un utente all’IA. Ad es. un chatbot di una Banca o di una Assicurazione potrebbe raccogliere dati sensibili (dati relativi alla salute, dati finanziari, credenziali di accesso, ecc.);
Se un determinato processo è governato dall’IA esso potrebbe portare a decisioni che comportano rischi per i diritti e le libertà dell’interessato. Anche qui gli esempi sono molteplici: dall’errata diagnosi di una malattia di un paziente, all’assegnazione o non assegnazione di un lavoro a un candidato, alla mancata erogazione di un premio, ecc.

Non voglio qui trattare rischi dovuti ad un uso illecito dell’IA, salvo quanto riportato a proposito dell’IT Security; naturalmente come qualsiasi strumento – fisico o informatico – anche l’IA se usata per scopi criminali può arrecare danni alle persone, sia fisici che morali, compresi quelli disciplinati dalla normativa privacy (GDPR in UE).

Sicurezza informatica

Un discorso a parte va fatto sulla sicurezza informatica.

Da un lato l’AI aiuta le difese dagli attacchi hacker per riconoscere in tempo reale un attacco, un’intrusione nascosta nei sistemi, un tentativo di phishing e molto altro; dall’altro l’IA è uno strumento a disposizione anche dei criminali informatici per preparare virus, e-mail di phishing e altro in tempi più ridotti-

La sicurezza informatica dell’applicazione di IA è fondamentale per evitare risultati inattesi e potenzialmente dannosi per l’utente dell’applicazione di IA, qualunque essa sia.

L’opportunità di sfruttare l’IA per sviluppare codice sorgente (software) presenta anche la possibilità, per l’IA manomessa, di inserire codice malevolo in grado di infettare i computer che eseguiranno il programma software oppure di inserire vulnerabilità che poi potranno essere sfruttate dai criminali informatici per introdursi nel sistema dell’utente.

Aspetti etici

Dunque, l’AI potrebbe agevolare e velocizzare molte attività, ma la supervisione ed il controllo di umani competenti è sempre necessario, sia nella progettazione del modello e dell’applicazione di IA, sia nella verifica dei risultati. Proprio perché i risultati dell’AI non dipendono da algoritmi deterministici, come devono essere testati i risultati di una comune applicazione software, a maggior ragione devono essere verificati i risultati di un’applicazione di AI prima di impiegarli per qualsiasi scopo, anche se nella maggiornaza dei casi l’IA ci fornirà un servizio migliore di qualsiasi essere umano, soprattutto in termini di tempo.

Non mi sembra ci siano tante differenze rispetto ad altre novità ed invenzioni tecnologiche del passato: dalle macchine automatiche per la produzione industriale ai programmi di elaborazione elettronica dei dati che hanno evitato di compiere azioni manuali, dalle e-mail al cloud computer, dalle auto elettriche al BIM. Tutte le innovazioni hanno portato alla scomparsa di posti di lavoro ed alla creazione di altri.

Chiaramente l’uso dello strumento deve rispettare le regole dell’etica ed in questo dovrebbero venire in aiuto le leggi che si sta cercando di introdurre, dall’AI Act in poi.

Come molti degli strumenti ed innovazioni che sono state introdotte negli ultimi decenni, anche l’AI può essere utilizzata per compiere attività illecite, reati e provocare danni – morali e materiali – a persone e cose, ma non per questo deve essere vietata od ostacolata. In fondo anche un coltello da cucina o un’automobile possono essere impiegati per uccidere persone!

L’AI cancellerà posti di lavoro? Ne creerà di altri? Una risposta positiva ad entrambe queste domande non deve preoccupare. In fondo ci sono già diverse decisioni e regolamentazioni, introdotte almeno a livello europeo, che potrebbero creare effetti economici negativi per alcune imprese e lavoratori e positivi per altre: gli obblighi introdotti dal legislatore UE sull’immatricolazione di sole auto elettriche e l’eliminazione delle caldaie a gas sono solo alcuni esempi significativi che impatteranno il mondo del lavoro forse più dell’introduzione dell’AI.

Responsabile della Conservazione Digitale

Molte imprese si sono trovate a dover nominare il Responsabile della Conservazione (RdC) per ottemperare ai requisiti delle nuove Linee Guida AgiD sulla conservazione dei documenti digitali. Tale adempimento non riveste, infatti, solo le Pubbliche Amministrazioni, ma tutte le imprese che utilizzano sistemi di conservazione “a norma” (archiviazione sostitutiva), compresi i sistemi di fatturazione elettronica, ormai divenuti obbligatori per tutte le organizzazioni.

Chi è il Responsabile della Conservazione?

Il Responsabile della Conservazione Digitale è una figura chiave nell’ambito della conservazione e gestione dei documenti digitali, in particolare per quanto riguarda le pubbliche amministrazioni. Secondo l’Agenzia per l’Italia Digitale (AgID), il Responsabile della Conservazione Digitale (Responsabile della Conservazione) ha il compito di garantire che i documenti digitali prodotti o conservati dall’ente siano adeguatamente gestiti e conservati nel rispetto delle norme e delle linee guida stabilite a livello nazionale.

Il Responsabile della Conservazione deve essere un professionista con conoscenze specifiche nel campo della conservazione digitale e delle tecnologie informatiche, in grado di gestire le complessità tecniche e normative legate alla gestione dei documenti digitali. Deve essere in grado di pianificare, coordinare e controllare tutte le attività relative alla conservazione digitale, garantendo che siano rispettati i criteri di completezza, integrità, accessibilità e leggibilità dei documenti.

Il Responsabile della Conservazione è anche responsabile di garantire la conformità alle norme in materia di privacy e protezione dei dati personali, di assicurare la corretta gestione dei sistemi di conservazione digitale e di gestire la sicurezza delle informazioni digitali.

Inoltre, il Responsabile della Conservazione deve essere in grado di collaborare con altre figure professionali all’interno dell’ente, come l’archivista o il responsabile dell’informatica, per garantire la massima efficienza e integrità delle attività di conservazione digitale.

In sintesi, il Responsabile della Conservazione Digitale è un professionista chiave per la conservazione e gestione dei documenti digitali delle pubbliche amministrazioni, con il compito di garantire che i documenti siano conservati in modo sicuro, completo e accessibile, in conformità con le norme e le linee guida stabilite.

Il Responsabile del Servizio di Conservazione è una figura chiave nell’ambito della conservazione e gestione dei documenti digitali delle pubbliche amministrazioni. Secondo l’Agenzia per l’Italia Digitale (AgID), il Responsabile del Servizio di Conservazione (RSC) è responsabile della definizione, implementazione e gestione delle politiche e delle attività relative alla conservazione digitale all’interno dell’ente.

Chi è il Responsabile del Servizio di Conservazione?

Il RSC deve essere un professionista con competenze specifiche nel campo della conservazione digitale e delle tecnologie informatiche, in grado di pianificare, coordinare e controllare tutte le attività relative alla conservazione digitale. Deve anche essere in grado di garantire la conformità alle norme in materia di privacy e protezione dei dati personali, e di gestire la sicurezza delle informazioni digitali.

Il Responsabile del Servizio di Conservazione è anche responsabile di assicurare la completezza, l’integrità, l’accessibilità e la leggibilità dei documenti digitali conservati, e di collaborare con altre figure professionali all’interno dell’ente per garantire la massima efficienza e integrità delle attività di conservazione digitale.

Inoltre, il Responsabile del Servizio di Conservazione deve essere in grado di monitorare e valutare costantemente le attività di conservazione digitale e di adottare le misure necessarie per garantire che i documenti digitali siano conservati in modo sicuro e che siano rispettati i criteri stabiliti dalle norme e dalle linee guida.

In sintesi, il Responsabile del Servizio di Conservazione è un professionista chiave per la conservazione e gestione dei documenti digitali delle pubbliche amministrazioni, con il compito di pianificare, coordinare e gestire le attività di conservazione digitale in modo da garantire che i documenti siano conservati in modo sicuro, completo e accessibile, e che siano rispettati i criteri stabiliti dalle norme e dalle linee guida.

Secondo la normativa italiana, tutte le pubbliche amministrazioni devono nominare un Responsabile del Servizio di Conservazione (RSC) per la gestione dei documenti digitali. Questo include enti locali, regioni, amministrazioni centrali, enti pubblici non economici e altre organizzazioni pubbliche.

Inoltre, anche alcune organizzazioni private che gestiscono informazioni sensibili o documenti di interesse pubblico possono essere tenute a nominare un Responsabile del Servizio di Conservazione.

La nomina del Responsabile del Servizio di Conservazione deve essere effettuata con un atto formale da parte dell’organizzazione interessata e deve essere pubblicata sul sito web dell’ente. Il RSC deve essere un professionista con competenze specifiche nel campo della conservazione digitale e delle tecnologie informatiche, in grado di garantire la corretta gestione dei documenti digitali dell’ente.

Il Responsabile del Servizio di Conservazione (RSC) deve possedere alcuni requisiti specifici per garantire una gestione corretta e conforme alle norme dei documenti digitali delle pubbliche amministrazioni.

Questi requisiti includono:

Competenze specifiche nel campo della conservazione digitale e delle tecnologie informatiche.
Conoscenza delle norme e delle linee guida in materia di conservazione digitale, privacy e protezione dei dati personali.
Capacità di pianificare, coordinare e gestire le attività di conservazione digitale, garantendo la sicurezza, la completezza e l’accessibilità dei documenti digitali conservati.
Conoscenza delle tecnologie e delle soluzioni utilizzate per la conservazione digitale, inclusi sistemi di gestione dei documenti digitali e di archiviazione.
Capacità di monitorare e valutare costantemente le attività di conservazione digitale e di adottare le misure necessarie per garantire la massima efficienza e integrità.

Inoltre, è importante che il Responsabile del Servizio di Conservazione abbia una buona conoscenza della lingua italiana e delle norme sulle pubbliche amministrazioni, in modo da garantire la comprensione e l’applicazione delle norme e delle linee guida in materia di conservazione digitale.

In sintesi, il Responsabile del Servizio di Conservazione deve essere un professionista con competenze specifiche nel campo della conservazione digitale e delle tecnologie informatiche, in grado di garantire la corretta gestione dei documenti digitali dell’ente e di rispettare le norme in materia di privacy e protezione dei dati personali.

Invece il Responsabile della Conservazione, figura interna all’organizzazione, deve possedere i seguenti requisiti:

Competenze specifiche nel campo della conservazione digitale e delle tecnologie informatiche.
Conoscenza delle norme e delle linee guida in materia di conservazione digitale, privacy e protezione dei dati personali.
Capacità di pianificare, coordinare e gestire le attività di conservazione digitale, garantendo la sicurezza, la completezza e l’accessibilità dei documenti digitali conservati.
Conoscenza delle tecnologie e delle soluzioni utilizzate per la conservazione digitale, inclusi sistemi di gestione dei documenti digitali e di archiviazione.
Capacità di monitorare e valutare costantemente le attività di conservazione digitale e di adottare le misure necessarie per garantire la massima efficienza e integrità.

Inoltre, è importante che il Responsabile della Conservazione abbia una buona conoscenza della lingua italiana e delle norme sulle pubbliche amministrazioni, in modo da garantire la comprensione e l’applicazione delle norme e delle linee guida in materia di conservazione digitale.

In sintesi, il Responsabile della Conservazione Digitale deve essere un professionista con competenze specifiche nel campo della conservazione digitale e delle tecnologie informatiche, in grado di garantire la corretta gestione dei documenti digitali dell’ente e di rispettare le norme in materia di privacy e protezione dei dati personali.

Ma non tutti i responsabili di funzione o direttori di funzione o area possono ricoprire il ruolo di RdC.

Infatti, secondo l’AgiD (Agenzia per l’Italia Digitale), i seguenti responsabili di funzione interne all’organizzazione non possono ricoprire il ruolo di Responsabile della Conservazione Digitale:

Il responsabile del trattamento dei dati personali, poiché questa figura ha responsabilità diverse in materia di privacy e protezione dei dati personali.
Il responsabile della sicurezza del sistema informatico, poiché questa figura ha la responsabilità di garantire la sicurezza del sistema informatico e non quella della conservazione digitale.
Il responsabile del sistema informativo, poiché questa figura ha la responsabilità di gestire il sistema informativo dell’ente e non la conservazione digitale dei documenti digitali.

In sintesi, il Responsabile della Conservazione Digitale deve essere una figura distinta e indipendente da altri responsabili di funzione interne all’ente, in grado di garantire la corretta gestione dei documenti digitali in conformità alle norme in materia di conservazione digitale e di privacy.

Il Manuale della Conservazione

Uno dei compiti non delegabili del RdC è la redazione del Manuale della Conservazione.

Il Manuale della Conservazione Digitale è un documento che definisce le procedure, le politiche e le linee guida per la corretta gestione dei documenti digitali conservati da un’organizzazione. Il manuale è un supporto importante per il Responsabile della Conservazione Digitale (Responsabile della Conservazione) nell’esercizio delle proprie funzioni e nella realizzazione delle attività di conservazione digitale.

Il manuale della conservazione digitale comprende:

Le politiche e le linee guida per la gestione dei documenti digitali, inclusi il processo di acquisizione, catalogazione, conservazione e accesso.
Le procedure per la verifica dell’integrità e la verifica periodica dei documenti digitali conservati.
Le procedure per la gestione delle modifiche e degli eventuali danni ai documenti digitali.
Le linee guida per la sicurezza dei documenti digitali, inclusi i requisiti per la protezione dei dati personali e la protezione dei documenti digitali da eventuali perdite o danneggiamenti.

In sintesi, il manuale della conservazione digitale è uno strumento fondamentale per garantire la corretta gestione dei documenti digitali conservati da un’organizzazione, in conformità alle norme e alle linee guida in materia di conservazione digitale e privacy.

Valutazione del rischio per la sicurezza delle informazioni vs. valutazione del rischio privacy

In un precedente articolo abbiamo trattato della valutazione del rischio privacy per adempiere ai requisiti del GDPR (Regolamento UE 2016/679 sulla protezione dei dati personali), ma chi ha o deve implementare un sistema di gestione per la sicurezza delle informazioni come deve considerare la valutazione dei rischi sui trattamenti di dati personali? Tale valutazione è implicita nella valutazione dei rischi sulla sicurezza delle informazioni, ovvero è un “di cui” di essa? Oppure, come sostengono alcuni esperti di privacy, è tutta un’altra cosa e va considerata separatamente? Cerchiamo di chiarire questi aspetti.

Cos’è il rischio per la sicurezza delle informazioni?

Partiamo dalla valutazione del rischio per la sicurezza delle informazioni, ovvero essenzialmente per i sistemi di gestione certificati ISO 27001.

Prima di parlare di valutazione del rischio dovremmo soffermarci sulla terminologia: sicurezza delle informazioni non è “sicurezza informatica” e non è “cybersecurity”. Tralasciamo le discussioni sul termine cybersecurity (in italiano “sicurezza cibernetica”?) che per taluni equivale alla sicurezza informatica, per altri è la protezione delle informazioni digitali da attacchi informatici (non da incidenti naturali!), per altri ancora ha a che fare con la sicurezza degli appartai IT e OT…

La sicurezza informatica è un sottoinsieme della sicurezza delle informazioni? Dunque, la valutazione del rischio ICT è una parte della valutazione del rischio per la sicurezza delle informazioni?

Non è proprio così, ma quasi: la sicurezza informatica riguarda gli apparati ICT che normalmente trattano informazioni digitali. Ora un problema tecnico, dovuto ad un attacco informatico deliberato oppure ad un evento accidentale, comporta anche un rischio per la sicurezza delle informazioni? In teoria non è sempre così perché un attacco informatico ad una infrastruttura critica (ad es. un acquedotto o una rete elettrica) generalmente non comporta conseguenze sulla sicurezza delle informazioni, ovvero sulla sua declinazione in riservatezza, integrità e disponibilità. Perciò non costituisce un rischio per la sicurezza delle informazioni? Ma le apparecchiature informatiche e le infrastrutture ICT cosa trattano? Non trattano byte, ovvero informazioni? Facciamo un esempio su un fatto accaduto di recente: il blocco del traffico aereo alcuni giorni fa negli Stati Uniti è stato provocato da un incidente informatico, pare fosse colpa di un file “corrotto” (ma anche se fosse stato un attacco di hacker Russi, cosa che non ci diranno mai, la sostanza non cambierebbe): ebbene è considerato un incidente sulla sicurezza delle informazioni, ovvero si è concretizzato un rischio sulla sicurezza delle informazioni? Apparentemente no perché le conseguenze sono state il blocco dei voli con disagi per i passeggeri, maggiori costi per Compagnie Aeree e passeggeri e così via. Ma la causa di tutto questo non è stata la mancanza di informazioni (= mancata disponibilità di informazioni) sulla sicurezza dei voli che ha fatto prudentemente mantenere a terra molti aeromobili?

Ovviamente tutto dipende dal contesto in cui si trova l’organizzazione che deve valutare i rischi e qual è il campo di applicazione del sistema di gestione ISO 27001 che, nel caso, ci chiede la valutazione del rischio.

Il viceversa – ovvero che la sicurezza informatica non copra tutta la sicurezza delle informazioni – è dimostrabile in modo più semplice: le informazioni su supporto cartaceo devono essere protette e la loro protezione generalmente non riguarda la sicurezza informatica.

La valutazione del rischio sulla sicurezza delle informazioni

Fatta questa premessa andiamo ad esaminare cosa ci dice la teoria e la letteratura sul risk assessment per l’information security, ovvero per il SGSI ISO 27001.

In principio fu la vecchia versione della ISO 27005 a guidare queste valutazioni del rischio sulla sicurezza delle informazioni. In sintesi, questa norma ci diceva di partire dal censimento degli asset dell’organizzazione, di andare a vedere quali informazioni essi trattano (information asset) e, quindi, fare una valutazione del valore degli asset riguardo alle caratteristiche di sicurezza, ovvero riservatezza, integrità e disponibilità.

Poi occorreva identificare le minacce alla sicurezza delle informazioni (gli attacchi hacker, gli incendi, gli errori di configurazione dei sistemi, ecc.) e le vulnerabilità presenti negli asset (sistemi non aggiornati, assenza di protezione fisica del CED, mancanza di consapevolezza del personale, ecc.).

Una combinazione di questi elementi, ovvero una minaccia che sfrutta una vulnerabilità per far concretizzare un rischio su un determinato asset veniva ponderata in base alla probabilità di accadimento (in realtà viene usato il termine verosimiglianza) x la gravità delle conseguenze/danno potenziale x il valore dell’asset, al fine di ottenere un determinato livello di rischio quali-quantitativo.

Oggi l’ultima versione della medesima norma prende in considerazione due approcci:

Approccio basato sugli eventi: i rischi possono essere identificati attraverso le considerazioni della Direzione e il contesto dell’organizzazione. Questo permette di concentrare gli sforzi sui rischi più critici, senza disperdersi nella valutazione di numerosi rischi che poi giudicherò minori e non degni di essere considerati con azioni di trattamento.
Approccio basato sugli asset: i rischi possono essere identificati attraverso l’ispezione di asset, minacce e vulnerabilità. È quello già previsto dalla precedente edizione della ISO 27005.

Altri metodi di valutazione del rischio possono essere utilizzati, classificati in genere in metodi quantitativi (basati su un calcolo più o meno “preciso” del rischio, a fronte di valutazioni della probabilità matematica di accadimento dell’evento negativo e di valutazione quantitativa del danno, ad es. in termini economici) e qualitativi (il valore del rischio: “Alto”, “Medio”, “Basso”, ecc. non è espresso in valori assoluti, ma rappresenta solo un metodo di confronto fra i vari rischi).

In generale questi metodi qualitativi, secondo alcuni esperti, portano sempre ad un calcolo del rischio basato sulla formula:

r(m, a, v) ∝ p(m) ⋅ i(m, a) ⋅ g(v)

dove r rappresenta la funzione “rischio” che dipende da m= minacce, a= asset, v= vulnerabilità in modo proporzionale alla probabilità di accadimento della minaccia, all’I=impatto della minaccia sull’asset e alla g=gravità della vulnerabilità.

Un approccio completamente diverso, proposto da altri esperti, non prende in considerazione le minacce, ma parte dalle vulnerabilità presenti per determinare i rischi concreti che dovranno essere valutati attraverso la classica formula Rischio =Possibilità di accadimento x Gravità del danno o delle conseguenze provocate dal concretizzarsi del rischio.

Le fasi successive del processo di valutazione dei rischi, dopo la loro identificazione, sono sempre le stesse: analisi dei rischi, ponderazione dei rischi, scelta delle opzioni di trattamento, determinazioni dei controlli/contromisure necessari, confronto con i controlli dell’Annex A della ISO 27001 e definizione della Dichiarazione di Applicabilità (S.o.A.).

Tra i modelli disponibili per il calcolo del rischio sulla sicurezza delle informazioni secondo la ISO 27001 segnaliamo il tool VERA di Cesare Gallotti (https://www.cesaregallotti.it/Pubblicazioni.html ) che prevede l’identificazione di una serie di Minacce/Rischi per le quali sono attribuiti una probabilità di accadimento ed un impatto fino a costituire il c.d. “rischio puro” o “rischio intrinseco”. Quindi vengono stabilite le vulnerabilità che non sono altro che l’inversamente proporzionale ai controlli, ovvero all’efficacia degli stessi. Combinando il rischio intrinseco con le vulnerabilità/controlli si ottiene il valore del rischio calcolato sulla sicurezza delle informazioni. Tale modello comprende anche una parte legata alla privacy (comunque cogente anche in ambito SGSI) nella quale si valutano i soli rischi (minacce) attinenti alla privacy e le relative conseguenze.

Altri esperti definiscono il “rischio inerente” come il rischio derivante dalla combinazione di probabilità/possibilità di accadimento dell’evento e dalla gravità delle conseguenze. Applicando i controlli di sicurezza, ovvero le contromisure (le misure di sicurezza tecniche ed organizzative in termini privacy) si ottiene il “rischio residuo”, che dovrà poi essere confrontato con i criteri di accettabilità per stabilirne le opzioni di trattamento.

Altri schemi e standard prevedono valutazioni dei rischi sulla sicurezza ICT, che oggi costituisce parte preponderante della sicurezza delle informazioni. Gli approcci possono essere leggermente diversi, ma sostanzialmente non si discostano dalla seguente metodologia-

Identifico le minacce che incombono sui sistemi e sui dati (es. virus ransomware o, più in dettaglio le tecniche che rendono possibile un attacco ransomware: phishing, social engineering, attacchi di forza bruta a siti web per la ricerca di credenziali di accesso, ecc.)
Identifico gli eventi che, se si concretizza la minaccia, possono costituire un rischio per i miei dati
Valuto le misure di mitigazione che sono state implementate per fronteggiare il rischio.
Valuto la probabilità di accadimento dell’evento.
Valuto l’impatto che comporta tale rischio per i dati e tutto quel che ne consegue.
Calcolo il valore del rischio (residuo).
Definisco le azioni di trattamento del rischio (accettare il rischio oppure adottare ulteriori misure di prevenzione o protezione per ridurre il rischio o addirittura eliminarlo.

La valutazione del rischio privacy

Quando si valuta il rischio relativo alla privacy, è possibile identificare minacce specifiche per la privacy. Tra di esse vi sono:

rappresentazione scorretta, se i dati relativi a una persona sono errati, oppure presentati o elaborati in modo non corretto possono provocare danni all’interessato; questa minaccia può anche riguardare i risultati della profilazione di una persona (che, ad esempio, potrebbe essere esclusa da programmi sanitari o economici), eventualmente anche con strumenti basati sull’intelligenza artificiale;
distorsione, ossia l’interpretazione volutamente o inavvertitamente scorretta dei dati, con potenziali impatti negativi sulla singola persona; questa minaccia è, in pratica, quella del pettegolezzo e della maldicenza, che può portare al biasimo, alla stigmatizzazione, all’isolamento e anche alla perdita di libertà di una persona;
sorveglianza, attraverso l’uso dei dati, soprattutto in ambito informatico; è necessario riconoscere la differenza tra logging (ossia la raccolta di dati per assicurare la sicurezza delle persone e della proprietà) e la sorveglianza (che porta, anche se non sempre per scelta deliberata, a discriminazione, perdita di fiducia, autonomia o libertà, danni fisici o materiali);
blocco alla conoscenza dei dati trattati, ossia segretezza in merito al fatto che i dati personali sono trattati e alle modalità con cui lo sono; questo può portare all’uso dei dati personali iniquo e, per le singole persone fisiche, alla mancanza di autodeterminazione, alla perdita di fiducia e a perdite economiche;

In pratica le minacce per la privacy potrebbero essere diverse da quelle per la sicurezza delle informazioni, o meglio alcune (la maggioranza) coincidono, altre sono differenti. Ma se consideriamo che l’informazione è anche un dato personale e che la stessa ISO 27001 comprende un controllo denominato “Privacy e protezione dei dati personali” (controllo A.18.1.4 della versione 2013 della ISO 27001-27002) capiamo bene che – nella valutazione del rischio per la sicurezza delle informazioni – dobbiamo considerare anche gli impatti che una determinata violazione di dati personali può avere sui diritti e le libertà dell’interessato e non solo sul business dell’organizzazione.

Dunque un medesimo evento rischioso, ad esempio un data breach sul portale web dell’azienda oppure un ransomware che non comporta un’esfiltrazione di dati (anche personali), ma “soltanto” un blocco dei sistemi per un paio di giorni, potrebbe portare ad una valutazione e, quindi, ad un indice (livello) di rischio differente semplicemente perché – a parità di probabilità di verificarsi dell’evento – l’impatto sui diritti e le libertà dell’interessato, piuttosto che sul business dell’organizzazione, può essere sensibilmente diverso.

Quindi la valutazione dei rischi potrebbe essere unica a patto di considerare i differenti effetti a fronte del verificarsi di medesimi eventi.

Naturalmente ogni organizzazione avrà i suoi parametri e le sue specificità: dal punto di vista dell’interessato: un conto è un blocco dei sistemi informativi per un paio d giorni di un Ospedale ed un conto è il medesimo blocco per un’azienda manifatturiera dove probabilmente il fatto di non poter accedere ai dati dei dipendenti per un paio di giorni non costituirebbe un gran problema (salvo che non sia il giorno di pagamento degli stipendi…).

Tuttavia, alcuni esperti della materia privacy potrebbero obiettare: ma per il GDPR devo valutare i rischi sui trattamenti di dati personali, quindi considerare i rischi per ogni trattamento! Allora bisognerebbe riprendere il concetto di “Asset” dove i dati personali (dei dipendenti, dei clienti, ecc.) costituiscono un “asset informativo” con un certo valore, dato dalla combinazione delle diverse caratteristiche di sicurezza (Riservatezza, Integrità e Disponibilità).

Spesso, però, si può semplificare considerando il caso peggiore (worst case), ovvero dato un determinato evento rischioso (ad es. un data breach sul portale web) consideriamo lo scenario peggiore per tutti i trattamenti di dati personali. Allora per i trattamenti dei dati personali dei dipendenti avrò un determinato impatto, mentre per i dati personali dei clienti avrò un impatto di tipo e valore diverso: nel nostro caso di esempio per l’Ospedale il rischio maggiore sarebbe sui dati dei pazienti e dei relativi trattamenti (es. prenotazioni, refertazione visite ed esami, ecc.), mentre per l’azienda manifatturiera il rischio più elevato sarà sui trattamenti dei dati dei dipendenti (elaborazione paghe, ecc.).

Evidentemente la valutazione del rischio privacy per ogni singolo trattamento di dati personali che abbiamo inserito nel Registro delle Attività di Trattamento (ai sensi dell’art. 30 del GDPR) potrebbe risultare parecchio oneroso e non giustificato per una medio-piccola organizzazione. È comunque sempre opportuno raggruppare più trattamenti sui quali incombono i medesimi fattori di rischio. Ad esempio in un’organizzazione che gestisce tutti i dati in formato digitale attraverso file di Office conservati in un file Server ed un unico applicativo gestionale è perfettamente inutile replicare le medesime minacce ed eventi di rischio legati all’IT su diversi trattamenti. Eventuali vulnerabilità o misure di sicurezza non completamente efficaci legate al controllo degli accessi degli utenti, agli strumenti anti-malware, ai backup o alla (scarsa) consapevolezza del personale impattano su tutti i trattamenti di dati personali e basterà considerare solo il caso peggiore, ovvero l’impatto di gravità più alta su tutti i trattamenti per “risolvere” il problema della valutazione del rischio privacy. Infatti, ai fini della protezione dei dati personali, il trattamento del rischio che andremo ad attuare sarà finalizzato a prevenire il rischio (abbassare la probabilità che la minaccia si concretizzi) oppure a proteggere il dato dall’evento che non può essere completamente evitato (ridurre la gravità dell’impatto), dunque miglioreremo la protezione dei dati personali su tutti i trattamenti effettuati.

In conclusione il problema non è pensare di coprire anche la valutazione del rischio privacy attraverso una valutazione più ampia sulla sicurezza delle informazioni, ma fare quest’ultima valutazione in modo incompleto, senza considerare nel modo corretto i rischi associati alla protezione dei dati personali.

Come spesso accade, se si fanno le cose per bene si può fare (quasi) tutto.

La Check-list di valutazione del fornitore

Fin dagli albori dei sistemi qualità ISO 9001 (ma ai tempi era anche ISO 9002) la qualifica del fornitore è stato un elemento particolarmente significativo, da soddisfare anche attraverso la sottomissione ai fornitori di un questionario di (auto)valutazione e qualifica del fornitore che andava a valutare la sua organizzazione, le sue metodologie di assicurazione qualità e l’eventuale situazione rispetto alla certificazione di qualità (ISO 9001/ISO 9002/ISO 9003, certificazioni di prodotto, ecc.). Tali questionari avevano una loro ratio: se ben strutturati consentivano di valutare numerosi aspetti dei processi operativi del fornitore e spesso lo invitavano a migliorare i suoi controlli qualità. Chiaramente una visita in loco poteva sempre permettere al cliente di verificare la veridicità delle risposte fornite.

Nel corso degli anni i metodi di valutazione dei fornitori si sono evoluti, ma i questionari sono in parte rimasti, almeno per i fornitori di prodotti e servizi critici, magari affiancati da visite presso la loro sede o veri e propri audit di 2a parte.

Negli ultimi tempi questa modalità di valutazione è estesa ad altri settori: la privacy, la sicurezza informatica e la Sostenibilità, tipicamente declinata nei suoi elementi costituenti: Ambiente (Environment), Responsabilità Sociale (Social Accountability) e Governance, nota con l’acronimo ESG.

Purtroppo, grandi aziende hanno distribuito a pioggia questi questionari per valutare tutti i loro fornitori, senza distinzione.

Così molte aziende si sono viste recapitare (via e-mail) un questionario al quale devono tassativamente rispondere, ma non sanno come, soprattutto per quanto riguarda alcune domande.

Spesso, poi, le risposte ai questionari vengono valutate con algoritmi matematici, applicando metodi quali-quantitativi. In altre parole, ad ogni domanda bisogna rispondere con un SI o NO oppure con un Conforme/Parzialmente Conforme/Non Conforme, e così via. Ad ogni risposta è poi assegnato un punteggio (ed eventualmente un peso) che contribuisce al calcolo di un punteggio complessivo (spesso tramite una media pesata).

Dunque, troppe risposte negative o parzialmente negative possono portare ad escludere una PMI dall’Albo Fornitori di un cliente importante per aspetti non strettamente legati al prodotto/servizio fornito.

Ma andiamo ad esaminare le due principali tipologie di questionari:

quello dedicato alla Sostenibilità (ESG) e
quello dedicato alla Privacy (Data Protection secondo il GDPR, Reg UE 2016/679) ed alla Sicurezza Informatica (Cybersecurity).

I questionari sulla Sostenibilità riportano domande anche molto specifiche come, ad esempio, richieste sul calcolo della carbon footprint, delle emissioni di CO₂e/o monitoraggio dei consumi energetici.

person holding green grains — _{Photo by Min An on Pexels.com}

Ovviamente a tali domande molte PMI, soprattutto quelle nel settore dei servizi, non sanno cosa rispondere, né pensano di implementare un sistema di misura e monitoraggio di tali elementi.

In molti contesti il questionario non dovrebbe essere applicabile: se il fornitore ha un basso impatto ambientale, non dovrebbe essere valutato su questi aspetti, in quanto non posso trattare allo stesso modo un fornitore di prodotti derivanti da un processo manifatturiero, un semplice rivenditore di prodotti e un fornitore di servizi di sviluppo software ed assistenza software e sistemistica. Se il fornitore appartiene a queste ultime tipologie, dovrebbe poter rispondere: “Caro cliente, siamo un’azienda di servizi che lavora in uffici neanche tanto vasti, il nostro impatto ambientale è limitato e più che cercare di fare la raccolta differenziata e di limitare i consumi energetici (già ridotti) non possiamo”. Del resto i valori di alcuni parametri sopra menzionati non avrebbero senso e non sarebbero comunque comparabili con aziende industriali.

Sugli aspetti Social dei questionari ESG, non ha molto senso richiedere il possesso di una certificazione nell’ambito della Responsabilità Sociale (SA 8000 o altri; ci sono diversi standard, forse troppi, nessuno standard ISO certificabile), soprattutto quando il fornitore non è a rischio di non rispettare i diritti dei lavoratori, soprattutto riguardo al lavoro forzato o al lavoro minorile.

Questi ultimi aspetti, viceversa, spesso risultano difficilmente applicabili a fornitori che producono in Paesi nei quali la normativa sul lavoro non è severa come nel nostro, anzi, lo sfruttamento dei lavoratori e il disconoscimento dei loro diritti è all’ordine del giorno.

In queste situazioni il tipico caso è quello dell’azienda A (grande azienda, anche multinazionale) vuole imporre criteri rigorosi di responsabilità sociale all’azienda B (il nostro fornitore che è un semplice rivenditore) che acquista i prodotti dall’azienda C, che è una grande azienda che opera in mercati del lavoro poco regolamentati (Asia, Africa…). L’azienda B può essere assolutamente compliance a tutte le norme applicabili in Italia e forse più, ma che controllo può imporre su fornitori di altri Paesi che controllano il mercato globale?

Lato Governance spesso viene richiesta l’attuazione di un Modello Organizzativo 231 (per le aziende italiane) che per certi settori non ha senso poiché la probabilità di incappare in uno dei reati previsti dal D.lgs 231/2001 è quasi inesistente. Idem dicasi per la nuova normativa anticorruzione (ISO 37001).

Al di là del consiglio di rispondere con serietà, competenza e massima trasparenza, sarebbe utile instaurare un canale di comunicazione con il cliente per evitare di essere fortemente penalizzati da un algoritmo di valutazione del questionario che non considera adeguatamente nel calcolo il settore di appartenenza del fornitore.

Passiamo al questionario sulla Privacy e/o sulla Cybersecurity.

Il questionario Privacy viene giustamente adottato per qualificare il responsabile (esterno) del Trattamento di Dati personali ai sensi dell’art. 28 del GDPR, ma non solo. Alcune organizzazioni che hanno molto a cuore la tutela dei dati personali che gestiscono, anche perché molto critici (dati sanitari, dati bancari, ecc.), lo mandano a chiunque ha un appalto di servizi. Starà poi al fornitore spiegare che magari il proprio software in cloud non tratta dati personali di cui il cliente è titolare, a parte i dati delle credenziali di accesso degli utenti e, pertanto, non potrà mai essere investito del titolo di Responsabile del Trattamento.

Se, viceversa, il fornitore tratta dati personali occorre fare attenzione ad alcune domande. Ad esempio, spesso il cliente richiede se il fornitore ha svolto una DPIA (valutazione di impatto sui dati personali), che in realtà è applicabile solo in alcuni casi. Ricordiamo infatti che la DPIA è dovuta, oltre ai casi esplicitamente previsti dal Regolamento UE 679/2016 e dalle indicazioni del nostro Garante Privacy, se un trattamento di dati personali – a seguito della valutazione dei rischi – presenta rischi elevati per i diritti e le libertà degli interessati.

Anche le domande sul DPO (RPD) dovrebbero prevedere la non applicabilità del requisito per determinati tipi di organizzazione, anche se la nomina di un DPO è comunque un’azione volontaria consigliabile in molte realtà.

Per quanto riguarda la nomina dei responsabili del trattamento (sub-responsabili per il trattamento che un fornitore effettua per un cliente titolare del trattamento) con adeguato accordo contrattuale, essa è un atto doveroso, ma è difficile ribaltare al sub-responsabile i medesimi requisiti contrattuali imposti dal titolare (cliente) al responsabile (fornitore). Immaginiamo ad esempio una società di servizi di elaborazione dati relativi alla gestione del personale che ha numerosi clienti che la hanno nominata responsabile del trattamento, ma che ovviamente utilizza il medesimo programma software per elaborare i dati di tutti i clienti ed ha un contratto con i fornitori del software (tipicamente in Saas, ovvero in cloud) unico con la nomina del fornitore del software a responsabile del trattamento. In tale situazione è difficile che tutti i requisiti, anche quelli particolari, coincidano con quelli richiesti dal cliente titolare del trattamento.

Poi ci sono le misure di sicurezza.

Spesso le check-list comprendono riferimenti a controlli estratti da linee guida ENISA, ISO 27002 e quant’altro di meglio c’è a disposizione. Peccato che talvolta queste misure di sicurezza non sono correttamente declinate.

Ad esempio, il controllo degli accessi logici e le regole di autenticazione non possono essere imposti tu cur dal cliente al fornitore: alcune regole come il cambio password ogni 3 o 6 mesi non ha senso richiederle come obbligo. Ci sono illustri pareri (NIST in primis) che sono contrari al cambio password frequente, a vantaggio di altre misure di sicurezza alternative (es. MFA con elevata complessità della password).

Dunque, sarebbe più corretto chiedere al fornitore quali policy di controllo degli accessi logici ha implementato e non accontentarsi di risposte del tipo: “per accedere ai sistemi informatici abbiamo imposto una password” … che vuol dir tutto e vuol dir niente.

Poi chiaramente il questionario dovrebbe concentrarsi sulle misure di sicurezza relative al trattamento che il fornitore fa per il cliente. Se il responsabile del trattamento fornisce un software i cloud (SaaS) non ha particolare rilevanza come effettua i backup dei propri dati gestionali internamente, ma è importante capire quali misure di sicurezza ha adottato il datacenter che ospita il servizio.

Stesso discorso vale per backup, anti-malware, firewall ed altre misure di sicurezza che dovrebbero essere commisurate all’attività effettivamente svolta dal fornitore per il cliente. Non basta affermare di disporre di queste misure di sicurezza, bisogna capire come sono applicate. Quando l’accesso del fornitore ai dati del cliente avviene sui database installati presso il cliente normalmente le misure di sicurezza importanti sono quelle implementate dal cliente stesso (regole di autenticazione, VPN per accessi dall’esterno, ecc.). In conclusione, occorre essere preparati per rispondere adeguatamente a queste richieste dei clienti e, se si ritiene di essere adeguatamente strutturati ed organizzati su questi aspetti, è opportuno cercare un dialogo con persone competenti appartenenti all’organizzazione del cliente. Nella

Cosa sono gli adeguati assetti organizzativi?

Il nuovo art. 2086 del Codice Civile riporta quanto segue:

“Gestione dell’impresa

1. L’imprenditore è il capo dell’impresa e da lui dipendono gerarchicamente i suoi collaboratori.

2. L’imprenditore, che operi in forma societaria o collettiva, ha il dovere di istituire un assetto organizzativo, amministrativo e contabile adeguato alla natura e alle dimensioni dell’impresa, anche in funzione della rilevazione tempestiva della crisi dell’impresa e della perdita della continuità aziendale, nonché di attivarsi senza indugio per l’adozione e l’attuazione di uno degli strumenti previsti dall’ordinamento per il superamento della crisi e il recupero della continuità aziendale.”

Le PMI si stanno adeguando?

Già dal marzo 2019, con il Codice della Crisi, tutti gli Amministratori d’Impresa che non si saranno dotati di adeguati assetti organizzativi, amministrativi e contabili capaci di intercettare in tempo utile le avvisaglie delle eventuali crisi dell’impresa e la perdita della continuità aziendale, sono tenuti a rispondere anche con il proprio patrimonio in caso di insolvenza (il VI comma dell’art. 2476 C.C. infatti, ha fatto sorgere in capo agli amministratori, che non hanno adeguatamente protetto l’azienda e quindi non hanno adottato le disposizione dell’art. 2086 II comma C.C., la responsabilità diretta, solidale dei debiti della società). Purtroppo, la crisi derivante dal Covid (non per tutti, anzi) ha fatto dimenticare questo adempimento, ma le novità legislative hanno di fatto introdotto la necessità, per le imprese, di dotarsi di strumenti in grado di rilevare e superare la crisi e recuperare la continuità aziendale. Non solo gli Amministratori, ma anche i sindaci e i revisori di società sono di fatto tenuti alla verifica della corretta applicazione di suddette norme a pena di una corresponsabilità nel caso in cui sopraggiunga una crisi dell’impresa-

Come in altre situazioni (ad es. efficacia del Modello Organizzativo ex D.Lgs 231/2001) saranno i Giudici dei Tribunali a stabilire se un’azienda ha adottato un adeguato assetto organizzativo, amministrativo e contabile? Purtroppo sì e sta già accadendo.

Se da un lato sono stati definiti degli indicatori di allerta per rilevare le avvisaglie della crisi di impresa, il loro calcolo può presentarsi talvolta non pienamente attendibile e, comunque, non può rappresentare la dimostrazione di aver adottato un adeguato assetto organizzativo, amministrativo e contabile. Tali indicatori di early warning, infatti, sono i seguenti:

Patrimonio netto: se negativo, indica una situazione di piena crisi;
DSCR previsionale a 6 mesi: è un Indicatore predittivo in quanto indica la sostenibilità dei debiti almeno per i 6 mesi successivi. Non deve essere < 1Rapporto Oneri finanziari / ricavi: non deve essere superiore ai valori soglia 1,5%-3,8% nelle rispettive aree settoriali;
Rapporto Oneri finanziari / ricavi: non deve essere superiore ai valori soglia 1,5%-3,8% nelle rispettive aree settoriali;
Rapporto Patrimonio netto / mezzi di terzi: non deve essere inferiore ai valori soglia che oscillano tra 2,3%- 9,4%;
Rapporto Attivo a breve/Passivo a breve: non deve essere inferiore ai valori soglia che variano dal 69,8% al 108%;
Rapporto Cash flow/attivo: i valori soglia proposti variano da un minimo del 0,3% ad un massimo del 1,9%.

Qualche dettaglio ulteriore sul DSCR (Debt Service Coverage Ratio): è il «rapporto di copertura del servizio del debito». È un indice che misura la sostenibilità finanziaria del debito aziendale, cioè la capacità futura (nei prossimi 6 mesi) di un’impresa di onorare i propri debiti finanziari con i flussi di cassa generati dalla gestione operativa. Il DSCR è un indice che ha al numeratore il “cash flow operativo” e al denominatore il “cash flow al servizio del debito”. È un indice importante, perché ci fa capire se un’azienda produce, dalla sua gestione caratteristica, un ammontare di cassa sufficiente a pagare i debiti contratti. Esso, dunque, si calcola come rapporto tra il cash flow prodotto dalla gestione operativa (numeratore) e gli impegni finanziari assunti in termini di quota capitale ed interesse oggetto di rimborso nell’orizzonte temporale considerato (denominatore).

Lo strumento consente di valutare la sostenibilità dell’indebitamento in ottica prospettica: il periodo da considerare sono i 6 mesi successivi all’analisi. Vengono inseriti quindi sia gli interessi che la quota di debiti da rimborsare, così come previsto dai piani di ammortamento.

Dunque forse solo quest’ultimo indicatore ha una prospettiva futura attendibile, anche se le previsioni sugli incassi di alcuni crediti spesso possono essere molto soggettive.

Del resto tutti gli indicatori che derivano dall’analisi di bilancio (i c.d. indici di bilancio) presentano la carenza intrinseca di essere calcolati a consuntivo, dopo l’approvazione del bilancio, dunque con un ritardo eccessivo rispetto al momento in cui si sono svolti i fatti che hanno provocato gli effetti sul bilancio raccontati dagli appositi indici. Gli stessi indici possono altresì essere calcolati con maggior frequenza e maggior tempestività, ma risentono comunque di u n elevato livello di imprecisione, dipendente dalle caratteristiche dell’azienda (ad es. le imprese di servizi che operano su commessa non possono essere monitorate nel breve periodo da ricavi e cash flow a breve).

Sono tutti d’accordo che per dimostrare di aver adottato adeguati assetti organizzativi ci vuole altro, ma cosa?

Da parte di diversi soggetti (tra cui Enti come il CNDCEC e ASSONIME), esperti in vari settori, sono “sbocciate” diverse soluzioni e strumenti correlati che hanno lo scopo di affrontare il monitoraggio dell’andamento dell’impresa da diversi punti di vista. Un elenco, per nulla esaustivo, degli strumenti ritenuti necessari (ma non sempre sufficienti) per dimostrare di aver adottato adeguati assetti organizzativi, amministrativi e contabili può essere il seguente:

Cruscotti /dashboard di indicatori di vario tipo, quantitativi e/o qualitativi
Balanced scorecard
Sistema di gestione per la qualità ISO 9001 e relativa certificazione
Modello organizzativo secondo il D. Lgs 231
Credit Risk Management System (CRMS) comprendente l’addendum EFRMS e relativa certificazione EFRMS 14:2019 Economical Financial Risk Management System
Analisi SWOT e analisi del contesto
Mappa strategica
Business Plan
Valutazione dei rischi di business
Innovation Management
Modello UMIQ
Controllo di gestione
Budgeting
Pianificazione strategica
Organigramma e mansionario, job description
Procedure documentate che descrivono i processi aziendali
Software Gestionali e MES
Ecc.

Premesso che un po’ tutti questi strumenti possono essere utili, ma non indispensabili, ritengo che ogni Società dovrebbe identificare i propri obiettivi di business e cercare di raggiungerli attraverso una pianificazione strategica che preveda il monitoraggio di indicatori in grado di misurare tutti i processi aziendali. In pratica è quello che si prevede nella norma ISO 9001 e nella norma ISO 9004, ma purtroppo poche aziende hanno recepito nel modo corretto questi principi.

Sicuramente le Balanced Scorecard, attraverso le quattro prospettive, hanno ben accolto l’esigenza di monitorare non solo gli aspetti finanziari o non solo quelli produttivi. Ma non si limitano a questo, la metodologia di Kaplan e Norton è molto più ampia.

Alcuni modelli per il calcolo di indicatori hanno il difetto di rispondere ad una valutazione puramente qualitativa e soggettiva ad alcune domande di una check-list/questionario, senza entrar nella specificità delle dinamiche aziendali.

Il modello di gestione aziendale che prevede assetti organizzativi, amministrativi e contabili adeguati è sicuramente quel modello che si dimostra più efficace (ed anche efficiente) per monitorare l’andamento aziendale e, quindi, anche in grado di prevedere con elevato livello di attendibilità l’immediato futuro. Quindi, unitamente agli indicatori di early warning sopra menzionati, permette all’imprenditore di “alzare la mano” e chiedere aiuto prima che la crisi aziendale diventi irreversibile e, dunque, rivolgersi all’OCRI, l’Organismo di Composizione della Crisi d’Impresa appositamente predisposto ed in conclusione di evitare lo spettro della “bancarotta fraudolenta” che il Legislatore paventa per quegli amministratori che non hanno dotato l’impresa di adeguati assetti organizzativi.

La misurazione dei processi aziendali dev’essere tempestiva e con frequenza adeguata a rilevare trend negativi che potrebbero consigliare l’adozione di azioni correttive tempestive per correggere la rotta.

Come sopra anticipato (e previsto anche dalla teoria delle Balanced Scorecard) è necessario tenere sotto controllo anche obiettivi ed indicatori legati allo sviluppo dell’impresa, alla conservazione ed acquisizione delle conoscenze necessarie per migliorare, alla formazione del personale, all’innovazione tecnologica.

Sappiamo che i bilanci non sono sempre buoni indicatori dello stato di salute di un’azienda, non solo per il ritardo con il quale vengono consuntivati i valori economico-finanziari ivi contenuti, ma anche perché potrebbero nascondere inefficienze ed obsolescenza dell’impresa, soprattutto in un periodo storico come quello che stiamo vivendo, nel quale la digitalizzazione e l’innovazione tecnologica è fondamentale per accrescere il valore dell’impresa.

In conclusione ogni azienda ha dei processi che rivestono un’importanza relativa diversa e dovrebbe individuare un set di indicatori idoneo a misurare i suoi processi.

Spesso, però, gli indicatori più idonei a misurare l’andamento di determinati processi aziendali necessitano di dati affidabili ed aggiornati, desunti possibilmente dai sistemi informativi aziendali. Questi ultimi rivestono, pertanto, un ruolo fondamentale anche nel dimostrare di avere adeguati assetti organizzativi.

Pubblicato l’Elenco degli Innovation Manager

Il Ministero dello Sviluppo Economico (MISE) ha pubblicato nei giorni scorsi l’Elenco degli Innovation Manager, ovvero dei consulenti liberi professionisti e delle società di consulenza che potranno aiutare le aziende che ne faranno domanda a sviluppare l’innovazione tecnologica ed organizzativa dei loro processi usufruendo di importanti agevolazioni statali.

Le indicazioni dettagliate per le imprese che desiderano usufruire di questo finanziamento si possono trovare al sito del MISE cliccando QUI.

In pratica una Piccola o Micro Impresa può usufruire di un Voucher per consulenza negli ambiti previsti dal Decreto Ministeriale del 30 agosto 2019 per il 50% delle spese sostenute fino ad un massimo di € 80.000. Per imprese più grandi e Reti di Impresa l’agevolazione è proporzionalmente inferiore.

Un articolo che illustra in modo chiaro e preciso le modalità di erogazione del finanziamento si può trovare a questo link.

Poiché l’occasione è ghiotta per le aziende, ma anche per i consulenti (si può ottenere un contratto di consulenza fino a € 80.000 facendone pagare al cliente solo la metà), occorre fare attenzione – lato impresa che vuole innovare – alla scelta dell’Innovation Manager giusto; infatti facendo una semplice ricerca su Google si trovano diversi siti che parlano dell’argomento, alcuni dei quali che pubblicano elenchi ristretti o vetrine di Innovation Manager con lo scopo di mettere in evidenza solo i profili che si desidera o quelli che hanno pagato per comparire nella vetrina.

Bene l’unico elenco ufficiale e completo degli Innovation Manager (circa 9000) approvati dal MISE è reperibile a questo link Elenco Innovation Manager MISE.

Ogni consulente/società di consulenza è suddiviso per regione dove intende operare e per ambito di specializzazione. Dunque in base al tipo di progetto che l’impresa intende sviluppare dovrà rivolgersi ad uno degli Innovation Manager che presentano i requisiti di specializzazione adeguati.

E’ opportuno chiarire che le specializzazioni dichiarate – ed in generale tutti i requisiti dichiarati dagli Innovation Manager – non sono stati probabilmente verificati dal MISE con ulteriore documentazione oltre ai curriculum vitae presentati, sebbene tutti i candidati abbiano sottoscritto una dichiarazione ai sensi del DPR 445/2000 sulla veridicità di quanto dichiarato.

La cattiva notizia è che i tempi per le Imprese per richiedere il Voucher Innovazione sono strettissimi (scadenza 26/11/2019, salvo proroghe.

Al link seguente Scheda Innovation Manager potrete trovare la scheda del sottoscritto.

Fatturazione elettronica? Si grazie

Come tutti ormai sanno la fatturazione elettronica B2B è diventata obbligatoria dallo scorso 1° gennaio per tutti o quasi.

Al di là degli oserei dire inevitabili problemi tecnici che si stanno rilevando per mettere a regime questa rivoluzione contabile e fiscale del nostro Paese, credo sia opportuno capire meglio gli effetti di questa innovazione.

Già perché di una grande innovazione tecnologica si tratta
ed il fatto che il nostro Paese sia tra I primi ad adottarla in Europa deve,
una volta tanto, farci pensare positivo, di essere all’avanguardia. Invece
molti dicono: «ma gli altri Paesi non ce l’hanno!»

Come tutte le innovazioni occorre un po’ di impegno e di
risorse per arrivare a regime, ma questo non deve far ritenere che sia una cosa
sbagliata. Occorrerà “soffrire” un po’ per imparare ed abituarsi a questa nuova
modalità di fatturazione, ma alla fine i vantaggi saranno notevoli.

Da parte dello Stato e del Fisco (Agenzia delle Entrate) ci
saranno innumerevoli vantaggi: comunicazione tempestiva delle fatture emesse,
maggior controllo su potenziali evasioni fiscali ed altri reati, omogeneità dei
dati in formato elettronico standard, maggior possibilità di effettuare
controlli incrociati, ecc.

Ma vorrei analizzare i vantaggi dal punto di vista delle
imprese e dei professionisti, fermo restando che bisogna dare per scontato che
la possibilità di evasioni e truffe ai danni dello Stato non deve essere
considerata una penalizzazione.

Premesso ciò il nuovo sistema obbliga le imprese ed i professionisti
(eventualmente attraverso i rispettivi commercialisti) a dotarsi di un applicativo
web per l’invio delle fatture elettroniche (o di adottare quello messo a
disposizione dalla AE), A parte singoli liberi professionisti o imprese
individuali di imprenditori di ridotte capacità di utilizzo di strumenti
informatici, la scelta di adottare la soluzione proposta dal proprio software
gestionale oppure di dotarsi di un nuovo applicativo dedicato è sicuramente
quella vincente.

Tali soluzioni permetteranno alle aziende di disporre delle
fatture attive già registrate in contabilità al momento dell’emissione e del
relativo pagamento e di registrare le fatture passive al momento della
ricezione, o poco tempo dopo, con un minimo inserimento di dati. Questo
significa eliminazione completa del documento cartaceo e riduzione della
probabilità di commettere errori, ovvero riduzione dei costi del processo
contabile. Soprattutto per le piccole imprese, che magari emettevano le fatture
con un software e poi il consulente fiscale le reinseriva nel proprio
applicativo di contabilità.

Niente più pile di carta di fatture da registrare (e da pagare),
niente più fatture non ricevute con inevitabili solleciti del fornitore, niente
più paure che un’errata registrazione possa comportare sanzioni fiscali.

Per arrivare al processo amministrativo-contabile perfetto
basterebbe rendere automatici i pagamenti in base ai termini pattuiti, ma
questo è un altro discorso… sebbene volendo lo Stato potrebbe ovviare a questa
mala-abitudine di molte imprese italiane di ritardare I pagamenti oltre ogni
limite.

Certamente questa rivoluzione dei processi contabili porterà
dei vantaggi alle aziende che avranno saputo cogliere questa opportunità per
migliorare la propria efficienza. Chi avrà deciso di affidarsi a servizi di
fatturazione elettronica di terzi, ad esempio della Banca o di provider a basso
costo, piuttosto che sposare le soluzioni integrate in un proprio gestionale, pagherà
dazio nei prossimi anni perché si troverà a duplicare le registrazioni o a
pagare uno Studio Commercialista esterno per un servizio in più. A proposito
dei Commercialisti: molti di loro che hanno tenuto la contabilità dei clienti
si vedranno eliminare questo servizio per i clienti che avranno deciso di
seguire il proprio applicativo gestionale, dunque i compensi per le loro
prestazioni dovranno inevitabilmente diminuire, magari non subito, ma nel medio
periodo.

Purtroppo oggi esistono imprese che ancora non dispongono di
un software gestionale, almeno per gestire ordini e fatture, e forse avranno
colto anche loro questa opportunità di informatizzare la gestione di alcuni
processi. Parliamoci chiaro, un’impresa che fattura almeno 500 mila euro
oggigiorno non può non disporre di un software gestionale per la propria
attività.

La rivoluzione dei processi contabili, forzata dalla
fatturazione elettronica, poterà anche ad una rivalutazione nelle risorse umane
e delle relative competenze.

Anche certe abitudini delle nostre imprese di fatturare le
prestazioni a scadenze definite (ad es. metà e fine mese) dovranno essere
riviste; perché a parte il primo periodo di messa a regime della fatturazione
elettronica, fra pochi mesi per emettere una fattura con data ad es. 30 maggio,
non si potrà aspettare il 5 o 6 giugno e i tempi fra consuntivazione delle
vendite di prodotti e servizi e loro fatturazione dovranno essere rivisti.

Da un lato, dunque, cerchiamo di capire bene come funzionerà
questo nuovo sistema, dall’altro pensiamo anche come riprogettare il processo
contabile per non trovarsi in difficoltà e non dover sopportare maggiori costi.

Infine, il problema di privacy, evidenziato dal Garante per
la Protezione dei Dati Personali quando ormai mancava poco tempo all’avvio
della fatturazione elettronica obbligatoria fra privati.

Si potrebbe osservare che ci potevano pensare prima, Agenzia
delle Entrate nel progettare il sistema e Garante nell’esaminare il contesto.

In realtà sono stati posti molti interrogativi, anche
piuttosto inquietanti, sul possibile utilizzo dei dati di fatturazione
elettronica gestiti nelle varie piattaforme software e dai provider di conservazione
sostitutiva.

Mi sembra chiaro che è a prescindere vietato sfruttare i
dati presenti nelle piattaforme per ricavare dati statistici significativi,
salvo che i titolari di tali dati non ne concedano il permesso.

Sul fronte più squisitamente tecnico della sicurezza
informatica ci si pone l’interrogativo se siano sicure tutte queste fatture,
anche contenenti dati sensibili se relative a prestazioni sanitarie, nei
database conservati dai provider dei vari applicativi per la fatturazione
elettronica. E il famigerato SDI dell’Agenzia delle Entrate?

Verrebbe invece da chiedersi quanto siano sicuri i dati
conservati nei software gestionali di contabilità nei vari server aziendali (o
PC di piccole imprese e professionisti della sanità), relativamente alle
fatture gestite informaticamente finora.

Fatturazione elettronica? Si grazie

Come tutti ormai sanno la fatturazione elettronica B2B è diventata obbligatoria dallo scorso 1° gennaio per tutti o quasi.

La rivoluzione dei processi contabili, forzata dalla
fatturazione elettronica, poterà anche ad una rivalutazione nelle risorse umane
e delle relative competenze.

Infine, il problema di privacy, evidenziato dal Garante per
la Protezione dei Dati Personali quando ormai mancava poco tempo all’avvio
della fatturazione elettronica obbligatoria fra privati.

Si potrebbe osservare che ci potevano pensare prima, Agenzia
delle Entrate nel progettare il sistema e Garante nell’esaminare il contesto.

Mi sembra chiaro che è a prescindere vietato sfruttare i
dati presenti nelle piattaforme per ricavare dati statistici significativi,
salvo che i titolari di tali dati non ne concedano il permesso.

La norma UNI 11697:2017 e la figura del DPO

Lo scorso dicembre – dopo lunghe discussioni – è stata pubblicata la norma UNI 11697:2017 “Attività professionali non regolamentate – Profili professionali relativi al trattamento e alla protezione dei dati personali – Requisiti di conoscenza, abilità e competenza”, inerente la definizione dei requisiti relativi all’attività professionale dei soggetti operanti nell’ambito del trattamento e della protezione dei dati personali (compreso il DPO), da questi esercitata a diversi livelli organizzativi (pubblico o privato).

L’UNI dichiara che “La norma definisce i profili professionali relativi al trattamento e alla protezione dei dati personali coerentemente con le definizioni fornite dall’EQF e utilizzando gli strumenti messi a disposizione dalla UNI 11621-1 Attività professionali non regolamentate – Profili professionali per l’ICT – Parte 1: Metodologia per la costruzione di profili professionali basati sul sistema e-CF“.

La norma, anche dopo la sua uscita, è stata fonte di animate discussioni fra gli esperti del settore e, soprattutto, è stata vivacemente contestata da chi ritiene che non esponga in modo chiaro e preciso i requisiti professionali delle figure in oggetto oppure definisca delle figure professionali favorevoli a certi profili piuttosto che altri.

Le figure professionali delineate dalla norma UNI sono le seguenti:

Data Protection Officer (DPO), figura di supporto al titolare o responsabile del trattamento nell’applicazione e per l’osservanza del Regolamento (UE) 2016/679, in conformità all’ art. 37 (Designazione del Responsabile della protezione dei dati), art. 38 (Posizione del Responsabile della protezione dei dati) e art. 39 (Compiti del Responsabile della protezione dei dati).
Manager Privacy, figura che assiste il titolare nelle attività di coordinamento di tutti i soggetti che – nell’organizzazione – sono coinvolti nel trattamento di dati personali (responsabili, incaricati, amministratori di sistema, ecc.), garantendo il rispetto delle norme in materia di privacy e il mantenimento di un adeguato livello di protezione dei dati personali.
Specialista Privacy, figura di supporto appositamente formato (è richiesta una formazione minima di 24 ore), che collabora con il Manager Privacy e cura la corretta attuazione del trattamento dei dati personali all’interno dell’organizzazione, svolgendo le attività operative che, di volta in volta, si rendono necessarie durante tutto il ciclo di vita di un trattamento di dati personali.
Valutatore Privacy, figura dotata di una apposita formazione (minima di 40 ore) che si caratterizza per la sua terzietà sia nei confronti del Manager che dello Specialista Privacy; egli esercita una attività di monitoraggio (audit) andando ad esaminare periodicamente il trattamento dei dati personali e valutando il rispetto delle normative di settore emanate.

Concentriamoci sulla figura del DPO o RPD. La norma definisce una descrizione sintetica del profilo, una missione, dei risultati attesi, dei compiti principali, delle competenze, delle abilità e delle conoscenze.

Per ognuna delle competenze assegnate seguenti è definito un livello di competenza:

Pianificazione di Prodotto o di Servizio
Sviluppo della Strategia per la Sicurezza Informatica
Gestione del Contratto
Sviluppo del Personale
Gestione del Rischio
Gestione delle Relazioni
Gestione della Sicurezza dell’Informazione
Governante dei sistemi informativi

Tra le Abilità (Skill) stabilite che deve possedere il DPO si segnalano:

Contribuire alla strategia per il trattamento e per la protezione dei dati personali
Capacità di analisi
Capacità organizzative
Pianificazione e programmazione
Saper analizzare gli asset critici dell’azienda ed identificare debolezze e vulnerabilità riguardo ad intrusioni o attacchi
Saper anticipare i cambiamenti richiesti alla strategia aziendale dell’information security e formulare nuovi piani
Saper applicare gli standard, le best practice e i requisiti legali più rilevanti all’information security
Garantire che la proprietà intellettuale (IPR) e le norme della privacy siano rispettate
egoziare termini e condizioni del contratto
Preparare i template per pubblicazioni condivise
Progettare e documentare i processi dell’analisi e della gestione del rischio
Essere in grado di seguire e controllare l’uso effettivo degli standard documentativi aziendali

Invece tra le Conoscenze (Knowledge) possedute dal DPO vi sono:

I principi di privacy e protezione dei dati by design e by default I diritti degli interessati previsti da leggi e regolamenti vigenti Le responsabilità connesse al trattamento dei dati personali
Norme di legge italiane ed europee in materia di trattamento e di protezione dei dati personali
Norme di legge in materia di trasferimento di dati personali all’estero e circolazione dei dati personali extra UE
Le metodologie di valutazione d’impatto sulla protezione dei dati e PIA
Le norme tecniche ISO/IEC per la gestione dei dati personali
Le tecniche crittografiche
Le tecniche di anonimizzazione
Le tecniche di pseudonimizzazione
Sistemi e tecniche di monitoraggio e “reporting”
Gli strumenti di controllo della versione per la produzione di documentazione
I rischi critici per la gestione della sicurezza
I tipici KPI (key performance indicators)
Il ritorno dell’investimento comparato all’annullamento del rischio
la computer forensics (analisi criminologica di sistemi informativi)
La politica di gestione della sicurezza nelle aziende e delle sue implicazioni con gli impegni verso i clienti, i fornitori e i sub-contraenti
Le best practice (metodologie) e gli standard nella analisi del rischio
Le best practice e gli standard nella gestione della sicurezza delle informazioni
Le norme legali applicabili ai contratti
Le nuove tecnologie emergenti (per esempio sistemi distribuiti, modelli di virtualizzazione, sistemi di mobilità, data sets)
Le possibili minacce alla sicurezza
Le problematiche legate alla dimensione dei data sets (per esempio big data)
Le problematiche relative ai dati non strutturati (per esempio data analytics)
Le tecniche di attacco informatico e le contromisure per evitarli

Fra le competenze richieste determinate dalla norma emergono profili afferenti a:

Consulenti direzione
Consulenti ed esperti di sistemi di gestione della sicurezza delle informazioni (famiglia delle norme ISO 27000)
Auditor di sistemi di gestione
Esperti di Risk Management
Consulenti/esperti sulle normative attinenti alla privacy ed alla protezione dei dati personali (leggi, normative, disposizioni del Garante, ecc.)

Inoltre sono richieste conoscenze legali sulla contrattualistica, competenze sulla sicurezza informatica (tecniche di attacco, crittografia, ecc.) e sui sistemi informatici e relativi database.

Pur con le dovute precisazioni relative al fatto che il candidato DPO dovrà ricoprire un ruolo le cui caratteristiche dipendono fortemente dall’organizzazione in cui dovrà andare a operare, è evidente che prevalgono le competenze gestionali/manageriali e quelle relative alla sicurezza delle informazioni, piuttosto che quelle legali. Per quanto possa essere contestata, la norma chiaramente individua soggetti più vicini all’ingegnere dell’informazione che all’esperto legale come possibile DPO/RPD. Sicuramente le competenze legali eventualmente mancanti a un profilo molto vicino all’ingegnere dell’informazione sono più facilmente colmabili, anche attraverso consulenze specifiche, rispetto ad altre situazioni in cui il potenziale DPO si trova a dover colmare il gap di competenza relativo ai sistemi di gestione della sicurezza delle informazione, al risk management, alle basi di dati e magari anche alla cybersecurity.

Sicuramenteci sono in giro illustri avvocati esperti di info security e data protection, magari anche consulenti ed auditor ISO 27001, ma tutti coloro che si propongono per il ruolo di DPO con competenze essenzialmente giurisprudenziali saranno adatti a ricoprire il ruolo di DPO?

Naturalmente queste considerazioni valgono se si pensa di affidare il ruolo di DPO ad un’unica figura, con l’eventuale supporto di un team di esperti nelle varie discipline.

Chiaramente ogni organizzazione o ente pubblico che vorrà selezionare il proprio DPO potrà decidere come meglio crede in base ai compiti e le caratteristiche identificate per il DPO dal Regolamento UE 679/2016, ma la norma UNI 11697, volontaria, dice questo.

Organismi che effettuano verifiche ai sensi del DPR 462/2001: cosa serve per l’accreditamento ACCREDIA

Come ormai noto gli organismi abilitati alle verifiche secondo il D.P.R. 462/2001 (“Regolamento di semplificazione del procedimento per la denuncia di installazioni e dispositivi di protezione contro le scariche atmosferiche, di dispositivi di messa a terra di impianti elettrici e di impianti elettrici pericolosi”) hanno l’obbligo di accreditamento UNI CEI EN ISO/IEC 17020:2012 (“Valutazione della conformità – Requisiti per il funzionamento di vari tipi di organismi che eseguono ispezioni”) in base alle disposizioni del Ministero dello Sviluppo Economico e dagli accordi stipulati da quest’ultimo con ACCREDIA.

Con un’apposita circolare – la 29 del 2017 – l’Ente unico di accreditamento, facendo seguito alle precedenti comunicazioni, ha reso noto le modalità particolari di espletamento di tali pratiche. Oltre a ciò sono stati stabiliti alcuni requisiti aggiuntivi o integrativi della ISO 17020, della Linea Guida ILAC P15 e dei Regolamenti Accredia per l’accreditamento degli Organismi di Ispezione che operano in questo settore particolare.

Relativamente alle procedure di accreditamento, gli Organismi (OdI) sono stati suddivisi in due gruppi, in base alla data di scadenza dell’abilitazione. Il primo gruppo doveva presentare domanda di accreditamento ad ACCREDIA entro il 30 novembre 2017, il secondo dovrà farlo entro il 30 giugno 2018.

Ciò non significa che gli Organismi dovranno essere pronti ad essere accreditati ISO 17020 entro tali date, ma semplicemente che abbiano presentato domanda. Ma cosa significa ciò in pratica?

Oltre alla compilazione della domanda (che include solo informazioni societarie), reperibile sul sito ACCREDIA, gli organismi dovranno presentare una serie di documenti riepilogati nel seguito:

Manuale del Sistema di Gestione;
Nome, titolo di studio e Curriculum vitae del Responsabile Tecnico e del suo Sostituto;
Organigramma nominativo con compiti e responsabilità;
Statuto;
Ultimo bilancio disponibile con revisione contabile indipendente;
Polizza Assicurativa;
Regolamento o documento equivalente per la gestione delle attività di ispezione per le quali è richiesto l’accreditamento;
Elenco controllato degli Ispettori ed Esperti e relativi curricula vitae;
Elenco delle Procedure, istruzioni operative e altri documenti applicabili alle attività dell’Organismo;
Procedura di qualifica degli Ispettori o documenti equivalenti;
Copia tipo dei Piani di Ispezione;
Elenco dei Soggetti (organizzazioni o persone) in possesso di Rapporti di Ispezione rilasciati dall’Organismo (in questo visto che si tratta di Organismi che operano da tempo nel settore, credo sia sufficiente un elenco recente dei clienti per i quali sono state effettuate ispezioni come organismo abilitati dal Ministero).

Anche se l’elenco potrebbe spaventare, occorre ricordare che si tratta di Organismi che già operano con abilitazione Ministeriale in questo settore e dovrebbero già disporre di molte delle informazioni sopra elencate in forma documentata.

Probabilmente gli interventi più consistenti sulla documentazione già esistente si dovranno apportare al Manuale del Sistema di Gestione (in pratica un Manuale Qualità), predisposto in accordo alla ISO 17020 alla Procedura di Qualifica degli Ispettori e al Regolamento.

Riguardo agli altri documenti occorre fare alcune precisazioni in base a quanto contenuto nella Circolare Accredia n. 29/2017, anche con riferimento alla Direttiva del’11 marzo 2002:

Nello Statuto non devono figurare attività in potenziale conflitto di interessi;
Oltre al Bilancio d0esercizio è richiesta una revisione contabile indipendente (non più richiesta nell’ultima edizione della ISO 17020:2012);
La Polizza Assicurativa per Responsabilità Civile Professionale deve coprire anche l’attività degli ispettori esterni (che, quindi, non devono sopperire con la propria polizza RC professionale) e deve avere un massimale di 1, 55 milioni di euro;
Responsabile Tecnico (o Direttore Tecnico) e suo Sostituto devono soddisfare appositi requisiti di competenze e devono essere dipendenti, titolari o soci operativi operanti in esclusiva per l’Organismo (tale requisito non è imposto per i Sostituti del Direttore Tecnico dalla ISO 17020);
Anche gli ispettori – interni ed esterni – devono soddisfare appositi requisiti di competenza e devono operare, per le attività di verifica oggetto di accreditamento, in esclusiva per l’Organismo.

La Circolare Accredia sopra menzionata specifica altri aspetti maggiormente restrittivi rispetto alla ISO 17020 ed alla ILAC P15:2016, in particolare:

Gli strumenti di misura, gestiti sotto controllo dell’Organismo, devono soddisfare particolari requisiti di conferma metrologica (si veda al riguardo anche la Linea Guida ILAC P10);
Gli ispettori non possono svolgere attività potenzialmente in conflitto di interesse – quali progettazione, installazione, manutenzione e commercializzazione di impianti elettrici – non solo relativamente all’oggetto ispezionato, ma rispetto a tutti gli oggetti simili (ovvero ogni impianto elettrico);
Sono richieste all’OdI apposite dichiarazioni sul possesso e l’impiego di adeguati dispositivi di protezione individuale (D.P.I.).

Una volta presentata la domanda occorrerà attendere l’esame preliminare e la formulazione del preventivo da parte di ACCREDIA; una volta accettata l’offerta di ACCREDIA, l’Ente procederà all’esame documentale, che potrà comportare la richiesta di documenti integrativi. In caso di esito positivo di tale esame si procederà alla pianificazione della verifica ispettiva in sede ed alla verifica in accompagnamento presso i luoghi ove vengono svolte le verifiche degli impianti secondo il DPR 462/2001.

I tempi previsti da Accredia per effettuare la verifica ispettiva sono di circa 3 mesi dal ricevimento della domanda. Vista la numerosità degli Organismi che dovranno richiedere l’accreditamento entro giugno 2018, però, si può supporre che tali tempi si allunghino; comunque ogni singolo Organismo deve cercare di completare positivamente l’audit di ACCREDIA e la successiva delibera del Comitato di Accreditamento entro la scadenza della propria abilitazione, dopodiché potrà formulare al MISE la richiesta di rinnovo (o estensione) dell’accreditamento, che verrà naturalmente accolta solo in presenza di accreditamento ISO 17020.

Si vedano i precednti articoli su: