😎 Appunti di Dag7

Risk Management 1

22 minuti

Risk management - Concetti generali e GPDR

2025/2026 - Materiale liberamente tratto, adattato, e riassunto dal prof. Gargiulo.

Disclaimer

Questi appunti, come tutti i miei appunti sul sito, sono condivisi “così come sono” Possono contenere errori, imprecisioni o parti mancanti. Usali a tuo rischio. Non mi assumo alcuna responsabilità se li prendi come unica fonte e poi l’esame va male, ottieni risultati negativi, confusioni o qualsiasi altra conseguenza dovuta all’uso di questo materiale. In breve: studia con la testa, non solo con questi appunti.

Grazie per il tuo supporto

Se questi appunti ti sono stati utili, puoi offrirmi un caffè cliccando qui

Rischio

Definizione di Rischio

Il rischio è definito come l’alta possibilità di verificazione di un evento dannoso. Questa possibilità si chiama probabilità, che presuppone la capacità di previsione basata sulla conoscenza della catena causale degli eventi. Per pericoli individuali si basa sulla percezione soggettiva; per rischi collettivi servono competenze specifiche.

Proattività e Risk Management

La proattività consiste nell’uso di tecniche per prevenire i rischi, alla base del risk management. Questo include informazioni tecniche, competenze (anche giuridiche) e strumenti per gestire i rischi, prevenendoli o mitigandone le conseguenze se imprevedibili.

Informazioni e Tassonomia

La prevenzione richiede dati e informazioni (aggregazioni strutturate di dati). La tassonomia ordina gerarchicamente i dati nell’informazione e le informazioni nel discorso, con focus su semantica (contenuto informativo).

Unità e Univocità dei Dati

Ogni dato ha significante (forma esterna) e significato (contenuto). In una comunità linguistica vale l’unità (un significante per significato) e univocità (un significato per significante). Esempio: “casa” (IT) e “maison” (FR) condividono significato ma hanno significanti diversi solo tra lingue.

JUS

Lo jus non è la legge, ma è ciò che sta alla base.

Reato

Un’entità con 3 oggetti:

  • soggetto: una persona con determinate caratteristiche
  • norma penale
  • il fatto: cioè un insieme di avvenimenti che creano un evento.

Un’azione invece è una transizione: l’uomo “esce” da sè e opera nell’ambiente esterno, che potrebbe essere anche un’altra persona (human fact).

Subsumption

Quando osserviamo un fatto commesso, ci riferiamo normalmente a un fatto tipico.

La comparazione è sempre linguistica. Occorre chiederci due domande:

  • la narrazione è stata descritta accuratamente?
  • corrisponde al fatto tipico?

Il fattore K e il fattore T

  • Il fattore K è un insieme di più fattori, che determinano il fattore psicologico
  • Il fattore T è il fattore transizionale (transitional factor)

Questo fattore K è composto da:

  • coscienza e volontà (K1) o suitas
  • intenzioni (K2)
  • colpa (K3)

K1 suitas

Nessuno puo’ essere punito per un’azione od omissione preveduta dalla legge come reato, se non l’ha commessa con coscienza e volonta’.

Nessuno puo’ essere punito per un fatto preveduto dalla legge come delitto, se non l’ha commesso con dolo, salvi i casi di delitto preterintenzionale o colposo espressamente preveduti dalla legge.

La legge determina i casi nei quali l’evento e’ posto altrimenti a carico dell’agente, come conseguenza della sua azione od omissione.

Nelle contravvenzioni ciascuno risponde della propria azione od omissione cosciente e volontaria, sia essa dolosa o colposa.

  • art42 cp stabilisce quindi che bisogna che ci siano azione o omissione, azione o omissione che sia classificata come reato, commessa con coscienza e volontà

La suitas è la componente psichica del reato.

La domanda chiave per ricordarsela è

chi fa l’azione, sa quello che vuole e vuole farla?

K2 intenzioni

  • doloso o secondo l’intenzione, quando l’evento dannoso o pericoloso, che è il risultato dell’azione od omissione e da cui la legge fa dipendere l’esistenza del delitto, è dall’agente preveduto e voluto come conseguenza della propria azione od omissione;

In questo caso, il soggetto deve volere l’evento e avere coscienza dell’evento.

(es. uccido qualcuno con un coltello e la voglio uccidere)

  • è preterintenzionale, o oltre l’intenzione, quando dall’azione od omissione deriva un evento dannoso o pericoloso più grave di quello voluto dall’agente;

In questo caso, l’intenzione originale è il dolo ma senza intenzione specifica.

(es. picchio una persona “per dargli una lezione”, ma gli causo una commozione cerebrale e muore)

La domanda chiave è:

per fare cosa?

K3 Colpa

  • è colposo, o contro l’intenzione, quando l’evento, anche se preveduto, non è voluto dall’agente e si verifica a causa di negligenza o imprudenza o imperizia, ovvero per inosservanza di leggi, regolamenti, ordini o discipline

In questo caso l’evento provocato non è voluto ed è stato prodotto con la violazione di leggi o disattenzioni. L’evento provocato è esattamente quello che le leggi mirano ad evitare.

(es. superi il limite di velocità e uccidi una persona)

Il concetto è chiave

ho violato una norma, ma le cose si sono complicate

Reati internazionali

  • nel 1989 viene identificata la lista minima di reati informatici, che includono frode, contraffazione documenti, atti distruttivi, accessi non autorizzati, copie non autorizzate.

  • 547/93: prima legge vera e propria contro i crimini informatici, frode, contraffazione, integrita e confidenzialità dei dati

  • 2001: a Budapest viene fatta una convenzione che stabilisce in maniera uniforme quali sono i reati: accesso, intercettazioni, attacco a integrità dei dati, attacco a integrità di un sistema, abuso di dispositivi, frode, cp, copyright, diffamazione, stalking

  • 2008: legge 48 include firme elettroniche

In Europa

  • framework decision 2005/222/GA contro i cyber attacchi: la prima adottata in Europa per combattere il cybercrimine. Accesso a sistemi informatici, interferenze non autorizzate, istigazione e complicità, sanzioni, circostanze aggravanti, e responsabilità delle persone

  • 2001/413/JHA of 2828 May 2001: frode e pagamenti contraffatti

  • 22 maggio 2007: comunicazione intitolata “Towards a general policy on the fight against cybercrime”

  • 2009: trattato di Lisbona: l’UE stabilisce le pene per i vari reati informatici

Timeline

  • 1989: Raccomandazione Consiglio Europa R(89)9 - lista minima reati informatici

  • 1993: Legge 547/93 Italia - prima legge cybercrime italiana

  • 28 maggio 2001: Framework Decision 2001/413/JHA - frodi pagamenti non-cash

  • 23 novembre 2001: Convenzione Budapest - trattato chiave (ratifica Italia 2008)

  • 24 febbraio 2005: Framework Decision 2005/222/GAI - attacchi sistemi

  • 22 maggio 2007: COM(2007)0267 - politica generale UE cybercrime

  • 26 marzo 2009: Raccomandazione PE 2008/2160(INI) - furto ID/grooming

  • Trattato Lisbona (Art.83): base legale UE per direttive computer crime

  • 12 agosto 2013: Direttiva 2013/40/UE - sostituisce 2005, attacchi info systems

Cybercrime: serie di crimini commessi esclusivamente o principalmente utilizzando computer. CP e sexting o revenge porn.

Articoli Codice penale

  • Art. 491-bis e 495-bis: falsificazione di documenti e falsificazione di firma digitale.

  • Art. 615: accesso non autorizzato a un computer o sistema di telecomunicazioni; possesso e distribuzione di codici di accesso; diffusione di programmi o dispositivi informatici destinati a danneggiare o bloccare sistemi informatici o aziendali.

  • Art. 617: intercettazione, interruzione o impedimento di comunicazioni informatiche; installazione di dispositivi (come jammer); falsificazione di comunicazioni.

  • Art. 635: danneggiamento di dati o sistemi informatici; distruzione o alterazione di dati; danni a computer dello Stato o di pubblica utilità.

  • Art. 640: frode (inganno per ottenere un vantaggio); frode informatica, cioè lo stesso reato commesso attraverso sistemi telematici.

Che cosa si intende per sistema informatica

La legge n. 547 del 1993 aggiorna il codice penale per proteggere i sistemi informatici e telematici. Non dà una definizione precisa, ma considera “sistema informatico” qualsiasi insieme di apparecchiature che usano tecnologia elettronica per registrare, elaborare e trasmettere dati in forma digitale (bit).

Un computer è un sistema informatico se:

  • usa software per gestire varie funzioni,

  • può collegarsi (anche solo potenzialmente) ad altri dispositivi,

  • elabora molti dati e li trasforma in informazioni.

Cass. 17325/2015: Dispositivo elettronico diventa informatico con software supervisione, periferiche esterne, interconnessione, elaborazione multi-dati.

Il sistema telematico è invece l’insieme di apparecchi e reti che permettono la trasmissione a distanza di dati (internet, reti telefoniche, satellite, ecc.).

La legge quindi protegge tutti i dispositivi e le reti capaci di automatizzare, elaborare e scambiare informazioni digitali, dai computer personali fino ai sistemi complessi interconnessi.

NOTA BENE!

Elettronico = materiali; Informatico = hardware + software per organizzare dati con programmi variabili e scopi eterogenei

UE - Organi

In ambito europeo sono emessi provvedimenti di rilievo per contrastare il cybercrime.

A tal fine, si farà breve menzione delle istituzioni dell’U.E. e dei relativi atti normativi.

Fra le istituzioni dell’Unione Europea menzioniamo il Parlamento europeo, il Consiglio Europeo, il Consiglio dell’Unione europea, la Commissione europea, la Corte di Giustizia dell’Unione europea, il Tribunale dell’Unione Europea

Parlamento europeo

  • Il Parlamento Europeo è eletto a suffragio universale dai cittadini degli Stati membri

  • È composto da 750 parlamentari con mandato di 5 anni

  • Ha sede a Strasburgo (sessioni ordinarie) e Bruxelles (sessioni straordinarie)

  • Non ha un potere legislativo pieno

  • Esercita il potere legislativo congiuntamente al Consiglio dell’Unione europea

  • Ha un potere di iniziativa legislativa limitato (solo in alcune materie)

  • In via ordinaria il potere di iniziativa legislativa spetta alla Commissione europea

  • Questa limitazione ha portato a parlare di “deficit di democrazia” del Parlamento europeo

Consiglio europeo

  • Il Consiglio Europeo è composto dai capi di Stato o di governo dei Paesi membri

  • Ne fanno parte anche il Presidente del Consiglio Europeo e il Presidente della Commissione europea

  • Ha compiti di indirizzo politico, soprattutto in materia di politica estera e di sicurezza

  • Il Presidente resta in carica per 2 anni e mezzo

  • Il mandato può essere rinnovato una sola volta

Consiglio dell’Unione Europea

  • Il Consiglio dell’Unione Europea (o Consiglio dei ministri europei) è il principale organo decisionale dell’UE

  • Condivide il potere legislativo con il Parlamento europeo

  • Ha composizione variabile, formata da un ministro per ogni Stato membro in base alla materia trattata

  • Il presidente è scelto a rotazione tra gli Stati membri e dura in carica sei mesi

  • Da non confondere con:

    • il Consiglio Europeo, che riunisce i capi di Stato o di governo

    • il Consiglio d’Europa, che non fa parte dell’UE e si occupa di democrazia, diritti umani e cooperazione culturale e sociale

Commissione Europea

  • La Commissione Europea è l’organo esecutivo dell’Unione Europea

  • Possiede il potere di iniziativa legislativa, orientando così gli indirizzi politici dell’UE

  • È composta da un commissario per ciascuno Stato membro, scelto per autonomia di giudizio e indipendenza politica

  • Il Presidente della Commissione è nominato previa approvazione del Parlamento europeo

Corte di giustizia dell’Unione Europea

  • La Corte di Giustizia dell’Unione Europea ha sede in Lussemburgo

  • Esercita il potere giurisdizionale in diversi ambiti del diritto dell’UE

  • Si occupa delle procedure di infrazione contro gli Stati membri (ricorso per inadempimento) attivate dalla Commissione Europea

  • Decide sui ricorsi per annullamento presentati da Stati o cittadini contro atti dell’Unione Europea (regolamenti, direttive, decisioni, raccomandazioni, pareri) ritenuti contrari al diritto dell’UE

  • Può anche pronunciarsi su richieste di risarcimento danni contro gli Stati membri

  • Fornisce pareri interpretativi sulla normativa comunitaria

Tribunale Unione Europea

  • Il Tribunale dell’Unione Europea ha competenza su materie specifiche

  • Esamina i ricorsi di cittadini o imprese contro atti delle istituzioni comunitarie

  • Decide sui ricorsi degli Stati membri contro la Commissione o il Consiglio dell’Unione Europea

  • Si occupa di ricorsi in materia di marchio comunitario

  • Le decisioni del Tribunale possono essere impugnate davanti alla Corte di Giustizia dell’Unione Europea

Riassunto

OrganoComposizioneFunzioni principaliSedeDurata mandato / PresidenzaNote importantiMnemonico
Parlamento Europeo750 membri eletti a suffragio universaleEsercita potere legislativo con Consiglio UEStrasburgo/Bruxelles5 anniIniziativa legislativa limitata → “deficit democrazia""750 PARLAMENTARI eletti per 5 anni”
Consiglio EuropeoCapi di Stato/Governo + 2 PresidentiIndirizzi politici generali (esteri/sicurezza)BruxellesPres. 2,5 anni (rinnov. 1 volta)Non legislativo”CAPI STATO per 2,5 ANNI”
Consiglio UE (ministri)1 ministro per Stato (variabile)Potere legislativo con Parlamento; decisioniBruxellesPres. rotazione 6 mesiNon confondere con Consiglio Europeo”MINISTRI rotazione 6 MESI”
Commissione Europea1 commissario per Stato + Pres.Esecutivo; iniziativa legislativaBruxellesPres. approvato ParlamentoCommissari indipendenti”COMMISSARI INIZIATIVA legislativa”
Corte di Giustizia UEGiudici per Stato + avvocati generaliGiurisdizione: infrazioni, ricorsi, diritto UELussemburgoInterpretazione uniforme diritto UE”LUSSEMBURGO = GIUSTIZIA UE”
Tribunale UEGiudici nominatiRicorsi cittadini/imprese/Stati; marchiLussemburgoImpugnabile alla Corte”TRIBUNALE = RICORSI cittadini”

I provvedimenti dell’UE

L’Unione Europea svolge i suoi molteplici compiti istituzionali attraverso organismi diversi, che manifestano la loro volontà all’esterno attraverso provvedimenti. I più significativi fra questi sono:

  1. I regolamenti: benché non definiti leggi, sono veri e propri atti legislativi, caratterizzati dal requisito della generalità, della obbligatorietà e della diretta applicabilità. In qualche modo sono considerati leggi a tutti gli effetti. Override alle norme dello stato membro. Vengono emanati dal Consiglio dei ministri e dal parlamento europeo
  2. Le decisioni: vengono emesse dal Consiglio dell’UE. Sono come i regolamenti ma non sono generali, quindi sono ad hoc per ogni singolo soggetto o stato. Entrano in vigore subito, a differenza dei regolamenti che entrano in vigore 20 giorni dopo la pubblicazione in gazzetta europea.
  3. Le direttive: sono leggi in cui l’EU indica una serie di obiettivi che devono essere raggiunti in un certo settore. Resta però compito di ogni stato implementare queste direttive.
    • In particolare 2016/1148cd direttiva NIS (network and information security) con il dlgs18/65 l’UE ha migliorato il livello minimo comune della protezione dei diversi componenti (reti, sistemi, dati). Impone anche la notifica degli incidenti. Differenzia gli OSE (operatori servizi essenziali) dagli FSD (fornitori servizi digitali).
  4. Le raccomandazioni: non sono proveddimenti ma degli inviti in cui l’UE esorta un paese ad adottare un determinato comportamento.
  5. I pareri: non sono vincolanti. Gli organi dell’UE esprimono il loro punto di vista su questioni di vario genere.

Cybersecurity

Secondo il Framework nazionale per la cybersecurity (2015), è possibile definire la cybersecurity come “quella pratica che consente a un’entità, ad esempio, organizzazione, cittadino, nazionale etc. la protezione dei propri asset fisici e la confidenzialità, integrità e disponibilità delle proprie informazioni dalle minacce che arrivano dal cyberspace”.

  • Triade CIA

lo scopo della cybersecurity, rilevante ai fini della presente indagine: tutelare l’azienda da eventuali eventi dannosi verificatisi o perpetrati attraverso il funzionamento o l’utilizzo di strumenti informatici. Eventi dannosi di diversa natura e provenienza possono essere i seguenti: attacchi informatici (o cyber) esterni, attacchi informatici (o cyber) interni, incidenti informatici.

Una parte integrante della cybersecurity si è visto essere l’Information security, e, a sua volta, la sicurezza delle informazioni non può che passare attraverso la sicurezza dei dati, specifici elementi che costruiscono la stessa informazione.

Il GDPR

Il quadro normativo in materia da cui è necessario partire è il Regolamento europeo 2016/679/UE (GDPR), relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (Regolamento generale sulla protezione dei dati).

Come “dato personale” si definisce «qualsiasi informazione riguardante una persona fisica identificata o identificabile; si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale».

Il termine “trattamento” dei dati si riferisce invece a «qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione».

I soggetti interessati da questa normativa sono: il titolare del trattamento, ossia la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali e il responsabile del trattamento, ossia la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.

In particolare, all’art. 5, comma 1, lett. f), il Regolamento stabilisce che i dati personali siano «trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali

La responsabilità del trattamento dei dati ricade sul titolare del trattamento, secondo i dettami del principio della cosiddetta accountability.

Per quanto riguarda la sicurezza dei dati, essa coinvolge sia il titolare che il responsabile del trattamento, e trova la propria disciplina alla Sezione 2 del Capo IV (art. 32 ss.).

In base all’art. 32, par. 1: «tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio

GDPR e rischio

Il concetto di “rischio” ha un ruolo significativo all’interno del GDPR, è il parametro su cui costruire un sistema organizzativo che tuteli e garantisca la sicurezza dei dati personali.

La produzione di un dato digitale porta, infatti, con sé l’inevitabile rischio connesso al trattamento che viene fatto dello stesso: il dato, una volta che è inserito nel circuito digitale, verrà utilizzato, comunicato, diffuso, incrociato con altri dati e sistemi, per finalità alcune volte imprevedibili.

Per questo le misure che deve adottare il titolare del trattamento devono partire sempre da una valutazione sistematica dei rischi attuali e potenziali del trattamento.

Cosa è considerato personale

Le informazioni su condanne e reati sono considerate dati personali ai sensi del GDPR.
Possono essere trattate solo da autorità pubbliche e solo se strettamente necessarie per compiti di interesse pubblico o normativo.

La divulgazione è ammessa solo con consenso esplicito dell’interessato o per motivi di pubblico interesse prevalenti sulla riservatezza.

Interessato e suoi diritti

Un interessato è una persona fisica identificata o identificabile, i cui dati vengono raccolti o trattati.
Le persone giuridiche (aziende, associazioni) non rientrano in tale definizione.

Gli interessati hanno diversi diritti fondamentali:

  • Diritto di accesso: conoscere se e dove i propri dati vengono trattati, con possibilità di riceverne una copia.

  • Diritto di rettifica: chiedere la correzione o il completamento dei dati errati o incompleti.

  • Diritto all’oblio: richiedere la cancellazione dei dati in determinate circostanze.

  • Diritto alla limitazione del trattamento: sospendere temporaneamente il trattamento dei dati.

  • Diritto alla portabilità: ottenere i propri dati in formato leggibile e trasferirli ad altro fornitore.

  • Diritto di opposizione: rifiutare il trattamento per fini di marketing in qualunque momento.

  • Diritto di non essere sottoposto a decisioni automatizzate (inclusa la profilazione) che producano effetti legali o significativi.

GDPR e soggetti

Titolare del trattamento

Il titolare del trattamento dei dati può essere una persona fisica o giuridica (pubblica o privata) che decide finalità e modalità del trattamento.

Ha il dovere di garantire la conformità al GDPR e di dimostrarlo.

Esistono anche i contitolari del trattamento, che condividono responsabilità tramite accordi trasparenti.

Responsabile del trattamento

Il responsabile del trattamento è un soggetto terzo che tratta dati per conto del titolare.

Deve garantire il rispetto pieno delle regole GDPR e non può coinvolgere altri responsabili senza autorizzazione scritta del titolare.

In caso di autorizzazione generale, deve comunque informare il titolare di ogni variazione.

Responsabile della protezione dei dati (DPO)

Il DPO è nominato dal titolare o dal responsabile per assistere nella conformità al GDPR.
La nomina è obbligatoria in tre casi:

  1. Quando il titolare o responsabile è un’autorità pubblica (escluse le corti).

  2. Quando il trattamento comporta monitoraggio su larga scala o utilizzo di dati sensibili e criminali.

  3. Quando l’attività principale comporta osservazione regolare su larga scala dei soggetti.

Il DPO può essere condiviso tra più organizzazioni, lavorare da remoto, essere interno o un consulente esterno, ma deve essere scelto in base alla competenza professionale (Art. 37 GDPR).

Trattamento dei dati

Per GDPR, “trattare dati” significa qualsiasi operazione sui dati personali, come:
raccolta, registrazione, organizzazione, conservazione, modifica, consultazione, uso, diffusione, combinazione, limitazione o distruzione.
Questa definizione è molto ampia e copre quasi qualsiasi utilizzo dei dati personali.

Protezione dei dati e principi fondamentali

La protezione dei dati consiste in misure di sicurezza per prevenire accessi non autorizzati o trattamenti illegali.

Il GDPR si basa su sette principi fondamentali (Art. 5):

  1. Liceità, correttezza e trasparenza: i dati devono essere trattati in modo lecito e trasparente.

  2. Limitazione delle finalità: raccogliere i dati solo per scopi chiari e legittimi.

  3. Minimizzazione dei dati: trattare solo ciò che è strettamente necessario.

  4. Esattezza: mantenere i dati aggiornati ed eliminare quelli errati.

  5. Limitazione della conservazione: non conservare i dati oltre il tempo necessario.

  6. Integrità e riservatezza: proteggere da perdita, furto o uso illecito.

  7. Responsabilità: dimostrare in ogni momento la conformità a questi principi.

Dati biometrici

I dati biometrici identificano una persona tramite caratteristiche fisiche o comportamentali (es. impronte digitali, volto, iride).

Sono dati sensibili, quindi richiedono una protezione aggiuntiva e, di norma, non possono essere trattati solo per identificazione personale, salvo:

  • consenso esplicito della persona;

  • motivo di interesse pubblico rilevante (Art. 9 GDPR).

Trasferimenti internazionali

Il trasferimento di dati personali fuori dallo Spazio Economico Europeo (SEE) è permesso solo se:

  • il paese o l’organizzazione garantisce un livello adeguato di protezione (decisione di adeguatezza UE);

  • in assenza di tale decisione, sono previste misure di protezione adeguate e rimedi legali efficaci;

  • se nessuna delle due condizioni è soddisfatta, il trasferimento è consentito solo in casi eccezionali (es. consenso esplicito, contratto, interesse vitale o pubblico).

Protezione dei dati by design

Il GDPR incoraggia la protezione dei dati fin dalla progettazione.

Le misure di sicurezza devono essere integrate nella fase di sviluppo di prodotti e servizi, nei processi aziendali e nei flussi di lavoro, limitando:

  • la raccolta;

  • l’accesso;

  • la conservazione dei dati;

e garantendo accuratezza e sicurezza.

Valutazione d’impatto (DPIA)

La valutazione d’impatto sulla protezione dei dati (Art. 35) serve a identificare e mitigare i rischi prima di trattare dati personali.

È obbligatoria quando:

  1. vengono effettuate valutazioni automatizzate o profilazioni con effetto significativo sulle persone;

  2. si trattano in massa categorie speciali di dati o dati penali;

  3. si realizza monitoraggio sistematico di aree pubbliche.
    La DPIA deve essere condotta prima dell’inizio del trattamento e aggiornata periodicamente.

Registri delle attività di trattamento

Il titolare del trattamento deve mantenere un registro aggiornato delle attività, contenente:

  • nome e contatti del titolare;

  • finalità del trattamento;

  • descrizione dei dati e delle categorie di interessati;

  • destinatari e trasferimenti internazionali;

  • tempi di conservazione e misure di sicurezza (Art. 30 GDPR).

Come restare conformi al GDPR

Le aziende possono mantenere la conformità seguendo questi passaggi pratici:

  • Nominare un DPO (se richiesto).

  • Formare il personale sulla normativa.

  • Mappare tutti i dati trattati e individuarne la base giuridica.

  • Aggiornare le privacy policy.

  • Gestire in modo strutturato le richieste degli interessati.

  • Documentare i consensi e il loro ritiro.

  • Applicare la privacy by design e condurre DPIA.

  • Creare procedure per i data breach (rilevazione, segnalazione e gestione).

Direttiva NIS

La Direttiva UE 2016/1148 (NIS) sulla sicurezza delle reti e dei sistemi informativi mira a:

  1. migliorare le capacità nazionali di cybersecurity;

  2. rafforzare la cooperazione tra Stati UE;

  3. promuovere la cultura di rischio e di notifica degli incidenti.

Per “sicurezza della rete e dei sistemi informativi” si intende la capacità di resistere ad azioni che compromettono disponibilità, autenticità, integrità o riservatezza dei dati e dei servizi digitali.

  • NIS 1: Obblighi per OSE (energia, sanità, etc.) e FSD (cloud, search) obbligo di segnalazione incidenti e fornitura misure di sicurezza adeguate; notifica incidenti va comunicato tempestivamente alle autorità competenti., autorità italiane (ACN, CSIRT) supervisionano segnalazioni, coordinano la risposta e mantengono la vigilanza nazionale.

  • NIS 2: Espande a 18 settori, risk management (10 misure), reporting 24h/72h/1mese, EU-CyCLONe cooperazione e coordinamento tra Stati membri in caso di grandi incidenti cyber su scala continentale

  • ENISA: Certificazioni ICT volontarie, resilienza supply chain (gestione dei rischi lungo l’intero processo, per ridurre vulnerabilità disseminate.)

  • Italia: Legge 109/2021 crea ACN; evoluzione post-COVID.

  • Reati: Art. 615-ter (frodi), 612-ter (revenge porn), GDPR violazioni.

10 misure del NIS

1. Policies on Risk Analysis and Information System Security

Valutare continuamente i rischi cyber dell’organizzazione. Significa identificare quali risorse supportano i servizi critici, dove si trovano (cloud, on-premises, carta) e quanto sono importanti. Fare regolarmente test di vulnerabilità.

2. Incident Handling

Avere strumenti e procedure per rilevare, rispondere e gestire incidenti di sicurezza. Include piani di risposta, ruoli chiari, monitoraggio in tempo reale con sistemi SIEM e IDS ​

3. Business Continuity

Pianificare come continuare le operazioni critiche dopo un incidente. Fare backup regolari di dati/sistemi, configurare risorse in alta disponibilità, anche con archivi off-site ​

4. Supply Chain Security

Gestire la sicurezza dei fornitori diretti e service provider. Includere obblighi contrattuali, valutare i rischi dei vendor, chiedere certificazioni di conformità. ​

5. Acquisition, Development, and Maintenance of Systems

Integrare la sicurezza nel ciclo di vita dei sistemi: durante l’acquisto, lo sviluppo (secure coding), e la manutenzione. Applicare patch tempestive e divulgare vulnerabilità responsabilmente

6. Assess Effectiveness and Improve

Effettuare regolarmente revisioni delle politiche di sicurezza, test penetration, e verificare se i controlli funzionano. Migliorare continuamente le misure se non raggiungono i risultati attesi. ​

7. Basic Cyber Hygiene

Implementare pratiche base: aggiornamenti software, password forti, backup, training anti-phishing per i dipendenti. Usare endpoint detection e web filtering. ​

8. Cryptography and Encryption

Usare crittografia per dati in transito (VPN, ZTNA) e a riposo (database, file sensibili). Impedire che i dati rubati siano leggibili. ​

9. Human Resources and Access Control

Gestire onboarding/offboarding per evitare accessi non autorizzati. Applicare il principio di “least privilege” (accesso minimo necessario) e multi-factor authentication (MFA) ​

10. Business Continuity and Crisis Management

Pianificare il recupero da incidenti maggiori: come ripristinare i sistemi, procedure di emergenza, team di crisis response

AI Act

L’AI Act è il Regolamento UE 2024/1689 del 13 giugno 2024, primo regolamento globale sull’IA, entrato in vigore ad agosto 2024 e applicabile dal 2026 (con alcune regole anticipate dal 2025). Il PDF è una presentazione guida bilingue che spiega struttura, rischi, requisiti e governance dell’AI Act, più la legge italiana n. 132/2025 che lo implementa con articoli specifici.

Classificazione IA per rischio: 4 livelli (inaccettabile: vietato; alto: requisiti stretti; limitato: trasparenza; minimo: libero).

Obiettivi: proteggere diritti fondamentali, innovazione sicura, mercato unico UE. Esenzioni per militare/ricerca.

  • Divieti (rischio inaccettabile): manipolazione subliminale comportamento, sfruttamento vulnerabilità, social scoring, riconoscimento facciale scraping, inferenza emozioni in contesti sensibili, identificazione biometrica real-time (salvo eccezioni).

  • Alto rischio: sanità, trasporti, forza pubblica, infrastrutture critiche, istruzione/lavoro/giustizia. Requisiti: valutazione conformità, supervisione umana, registrazione database UE, trasparenza, cybersecurity.

  • Trasparenza: chatbot informano di essere IA; output generativi marcati (deepfake visibili); obblighi per modelli generali (GPAI). ​

  • Governance: AI Office Commissione UE, autorità nazionali, AI Board, panel scientifici. Multe fino al 7% fatturato globale.

Legge Italiana 132/2025

  • Art. 1-3: Principi generali: etica, trasparenza, controllo umano, cybersecurity, non discriminazione.

  • Art. 4-5: Privacy dati (consenso minori), sviluppo economico (supporto PMI/startup).

  • Art. 7: Sanità/disabilità: IA ausiliaria, mai sostitutiva.

  • Art. 11,13,14,15: Lavoro (no controllo punitivo), professioni intellettuali (supporto tecnico), PA/giustizia (decisioni umane).

  • Art. 20,26: Autorità (AgID/ACN), reati nuovi (deepfake fino 5 anni carcere).

Categoria RischioEsempiRequisiti Principali
InaccettabileManipolazione, sorveglianza biometricaVietato
AltoSanità, trasporti, poliziaConformità, supervisione umana, database UE
LimitatoChatbot, deepfakeInformazione utente, marcatura output
MinimoTutto il restoNessuno

Vista grafico