Passa ai contenuti principali

Cronache di una transizione digitale: il martirio di Giovanni

 


ADT - Istituto per la Complessità Contemporanea

168 followers

di Achille De Tommaso 

(R.E.G.O.L.A PROVIENE DA UN'IDEA DI Michele Iaselli (Docente Luiss, Coordinatore Comitato scientifico Federprivacy, Funzionario Ministero Difesa, Esperto Ufficio Generale Innovazione Difesa, Presidente Comitato Scientifico ANDIP, titolare Innova Jus)

***

Giovanni, Funzionario Responsabile dell’Ufficio Procedure Semplificate (un nome, un destino beffardo) del Comune di Borgo Letargo, fissava lo schermo del PC con lo sguardo vitreo di chi ha visto l'abisso e l'abisso gli ha risposto con una richiesta di autenticazione a due fattori.

Il compito era apparso banale: redigere il Manuale operativo per l’uso del tablet di scansione dei Curriculum Vitae dei tirocinanti estivi. Una paginetta pensò. "Appoggia il foglio, premi il bottone verde".

Poi, il clic sinistro. Un promemoria sul desktop si aprì. Poi un altro. Poi un'apocalisse di notifiche normative. Giovanni iniziò a scrivere, ma la penna — metaforicamente — gli tremava.

"Premesso che..." iniziò Giovanni, e la sua mente subì un cortocircuito. "Premesso che il trattamento dei dati deve avvenire nel pieno rispetto del GDPR (Reg. UE 2016/679), ma attenzione," sussurrò tra sé, "se il tablet usa un sistema di IA per ottimizzare la scansione, entra in gioco l'AI Act (Reg. UE 2024/1689). E visto che il tablet è connesso alla rete Wi-Fi del Comune, devo verificare la conformità alla Direttiva NIS2 (recepita col D.Lgs. 138/2024)."

Giovanni prese un caffè, che ormai era freddo come la sua sanità mentale. "Ma se il tablet genera dati di utilizzo," continuò a borbottare, "ho bisogno del Data Act (Reg. UE 2023/2854). E il software del tablet? È certificato ai sensi del Cybersecurity Act (Reg. UE 2019/881)? E il produttore ha seguito il Cyber Resilience Act (Reg. UE 2024/2847)?"

Sudava. Si tolse la giacca. "Se il Comune gestisce anche le buste paga dei tirocinanti, forse devo applicare il DORA (Reg. UE 2022/2554), che è per il settore finanziario ma non si sa mai, con la PA non si sa mai! E la sede dell'ufficio è una infrastruttura critica? Allora devo consultare la Direttiva CER sulla resilienza (recepita con D.Lgs. 134/2024). E i dati, oh i dati! Condividerli col cloud del fornitore richiede il Data Governance Act (Reg. UE 2022/868)."

Giovanni iniziò a camminare in tondo nel suo ufficio di tre metri per tre. I mobili sembravano stringersi. "Non dimentichiamo la Legge 90/2024 sul rafforzamento della cybersicurezza nazionale! E l'IA... l'IA dei CV! Devo citare la Legge 132/2025 sull'intelligenza artificiale!"

Si sedette di nuovo, la fronte poggiata sulla tastiera. La sua scrivania era un cimitero di post-it. "Il DPO mi ha scritto che devo fare una DPIA. Il CISO vuole una valutazione del rischio asset. Il compliance officer mi ha inviato un questionario di 400 pagine sull'AI Act che non capisco. L'IT mi chiede tre registri diversi. È un paradosso! Sono bloccato in un loop spazio-temporale normativo!"

Giovanni guardò la pagina bianca. Era vuota. Non aveva scritto nemmeno il titolo. Proprio in quel momento, gli apparve sullo schermo un pop-up promozionale: “Scopri il Framework REGOLA: Rischio, Etica e Sicurezza, Governance, Organizzazione e Infrastruttura, Legalità e Protezione dei Dati, AI”.

Giovanni scoppiò a ridere. Una risata lunga, secca, che fece scappare il gatto del Comune che dormiva nel corridoio. "REGOLA!" urlò Giovanni al monitor. "Vogliono darmi una REGOLA! Hanno inventato una Matrice di Interoperabilità Normativa per salvarmi, ma io sto solo cercando di scansionare un pezzo di carta!"

Chiuse il documento. Aprì un file nuovo, vuoto, chiamato BOZZA_FINALE_NON_APPROVATA_MA_FORSE_SICURA.doc. Scrisse: 1. Accendi il tablet. 2. Se scatta l'allarme, scappa. 3. Chiama il DPO, il CISO, l'AI Officer e chiedi perdono a Dio.

Giovanni spense tutto. Uscì dall'ufficio. Il cartello sulla porta recitava ancora "Ufficio Procedure Semplificate". Giovanni non lo vide nemmeno: stava già pensando a come redigere il documento di valutazione per l'uso della macchinetta del caffè, temendo che la Legge 90/2024 potesse applicarsi anche al rischio di scotta-lingua.

Il paradosso: la complessità normativa richiede una governance integrata

morale: Il panorama normativo europeo e italiano dedicato al digitale ha raggiunto una complessità senza precedenti. Questa ipertrofia normativa, se non gestita in modo olistico, crea un paradosso: le organizzazioni investono risorse crescenti per essere conformi, ma finiscono per esporsi a maggiori rischi di non-compliance.

PER CHIARIRE: DI SEGUITO IL QUADRO NORMATIVO DI RIFERIMENTO PER GOVERNARE IL DIGITALE IN ITALIA

1. Il quadro normativo di riferimento

Per governare il digitale, è necessario mappare le fonti principali che, spesso, interagiscono sullo stesso perimetro di dati e infrastrutture:

  • Regolamenti Europei: GDPR (Reg. UE 2016/679): Protezione dei dati personali. AI Act (Reg. UE 2024/1689): Regolamentazione dell'Intelligenza Artificiale. Data Act (Reg. UE 2023/2854): Accesso e uso dei dati. Data Governance Act (Reg. UE 2022/868): Governance dei dati. Cybersecurity Act (Reg. UE 2019/881): Certificazione della cybersicurezza. Cyber Resilience Act (Reg. UE 2024/2847): Sicurezza dei prodotti digitali. DORA (Reg. UE 2022/2554): Resilienza operativa per il settore finanziario.
  • Direttive e Leggi Nazionali/Trasposizioni: Direttiva NIS2 (recepita con D.Lgs. 138/2024): Sicurezza delle reti e sistemi informativi. Direttiva CER (recepita con D.Lgs. 134/2024): Resilienza delle infrastrutture critiche. Legge 90/2024: Rafforzamento della cybersicurezza nazionale. Legge 132/2025: Intelligenza artificiale. Ulteriori richiami: eIDAS 2, DSA, DMA, Digital Omnibus.

2. Il problema: la gestione a COMPARTIMENTI STAGNI

Nonostante le norme convergano sullo stesso oggetto (il sistema informativo, i dati, i rischi), le organizzazioni le gestiscono in compartimenti stagni:

  • Frammentazione: Il DPO (GDPR), il CISO (Cybersecurity) e il Compliance Officer (AI Act/Data Act) operano senza una visione comune.
  • Inefficienza: Si duplicano registri e adempimenti, aumentando i costi e le lacune di governance.
  • Contraddizione: Spesso, consulenti diversi forniscono risposte divergenti sullo stesso sistema.

Esempio: Il sistema IA per la selezione del personale

Un singolo sistema IA per la scansione di CV deve essere valutato sotto quattro lenti diverse, che solitamente portano a quattro procedure separate:

  1. GDPR: Richiede base giuridica, informativa, DPIA e rispetto dell'art. 22.
  2. AI Act: Richiede valutazione di conformità, registrazione UE, FRIA (per enti pubblici), sorveglianza umana.
  3. NIS2: Richiede inclusione nell'asset inventory, misure di sicurezza, piano di risposta incidenti.
  4. Contrattualistica Fornitore: Richiede clausole DPA (art. 28 GDPR), obblighi provider (AI Act), sicurezza supply chain (NIS2), portabilità (Data Act).

3. La Soluzione: Il Framework REGOLA

Il principio fondatore è la simultaneità: ogni dato e processo vive in più dimensioni normative. Il framework REGOLA sintetizza queste dimensioni in sei domini fondamentali:

  • R - Rischio: Gestione integrata multi-normativa (ISO 31000).
  • E - Etica e Sicurezza: Presidio di NIS2, D.Lgs. 138/2024, Cyber Resilience Act, DORA, L. 90/2024, ISO/IEC 27001, inclusa la valutazione etica dell'IA.
  • G - Governance: Struttura coordinata (DPO, CISO, AI Officer, RTD), policy e miglioramento continuo.
  • O - Organizzazione e Infrastruttura: Gestione asset, supply chain, Data Act, CRA, eIDAS 2, perimetro di sicurezza nazionale.
  • L - Legalità e Protezione Dati: Nucleo storico (GDPR, Codice Privacy, DSA, DMA, Digital Omnibus).
  • A - Artificial Intelligence: AI Act, L. 132/2025, linee guida AgID, FRIA, AI literacy, inventario IA.

4. Metodologia e Governance Operativa

La Matrice di Interoperabilità Normativa (MIN)

Lo strumento operativo di REGOLA è la MIN, che permette di mappare un singolo processo su tutte le normative pertinenti.

  • Esempio "Gestione incidente informatico": La MIN integra le diverse scadenze e notifiche (GDPR 72h, NIS2 24h-72h, AI Act, DORA, L. 90/2024) in una sola procedura di incident response.
  • Esempio "Sviluppo IA": La MIN permette di unificare DPIA e FRIA in un unico documento di conformità integrato.

Il Comitato Integrato di Conformità (CIC-REGOLA)

Per superare i silos, il framework prevede l'istituzione del CIC-REGOLA: un organo collegiale che riunisce DPO, CISO, AI Officer, Risk Manager, Compliance Officer e, nelle PA, il Responsabile della Transizione Digitale.

  • Obiettivo: Non sostituire le competenze individuali, ma coordinarle in un contesto di condivisione informativa e decisionale per una governance coerente e organica.
Etichette:

Commenti

Posta un commento

Post popolari in questo blog

Le Terrificanti Armi Autonome e gli Sciami di Droni: Un Nuovo Capitolo nella Guerra Moderna

  ACHILLE DE TOMMASO Computer Science, Anthropology, Science and Information Technology, Biology, . Writer of technologies and Anthropology. CEO of large corporations, CEO of ANFOV. ex Consultant of Soviet Academy of Science and EU October 23, 2024 L’avanzamento tecnologico nel campo militare ha aperto una nuova frontiera con lo sviluppo di armi autonome e sciami di droni , capaci di cambiare il modo in cui si combattono le guerre. Questi sistemi offrono un potenziale straordinario per l'efficacia militare, ma sollevano anche preoccupazioni etiche e di sicurezza. Gli sciami di droni, in particolare, rappresentano una delle innovazioni più temibili, grazie alla loro capacità di coordinarsi in modo intelligente e spesso controllati, in alcuni casi, da elicotteri con pilota , che fungono da hub di comando. Sciami di Droni: Coordinazione Intelligente e Ruoli Specializzati Uno dei punti di forza degli sciami di droni è la loro capacità di agire come un'unica entità coordinata, d...
Posta un commento
Continua a leggere

Digital Twin vs Prototipi Fisici: Chi Vince Davvero nella Progettazione Industriale La Crisi Silenziosa della Progettazione Tradizionale

  ADT - Istituto per la Complessità Contemporanea 89 followers December 3, 2025 di Achille De Tommaso www.achilledetommaso.com La progettazione industriale si trova oggi a un bivio storico. Dietro le facciate scintillanti delle fiere internazionali e i comunicati stampa sull'innovazione, si nasconde una realtà scomoda: il modello tradizionale basato su prototipi fisici sta mostrando crepe sempre più evidenti. I dati raccontano una storia inequivocabile: quattro macchine su dieci escono con difetti di progettazione o produzione, il 45% dei produttori lavora con margini inferiori al 10%, e le catene di approvvigionamento si rivelano fragili al primo shock esterno. Non si tratta di inefficienze marginali, ma di una crisi sistemica che minaccia la competitività dell'industria manifatturiera, proprio mentre le pressioni competitive si intensificano. I clienti richiedono prodotti sempre più personalizzati, sostenibili e performanti, mentre i cicli di sviluppo devono accorciarsi e i c...
Posta un commento
Continua a leggere

Tomahawk a Kiev: un’ipotesi suggestiva ma problematica

  La proposta di fornire all’Ucraina missili da crociera Tomahawk ha riacceso il dibattito pubblico e politico su quale sia il confine tra aiuto bellico efficace e rischio di escalation. Sul piano emotivo e simbolico i Tomahawk rappresentano una capacità di proiezione di potenza a lungo raggio che molte nazioni vorrebbero vedere in mano a Kiev. Sul piano tecnico e operativo, tuttavia, la proposta presenta limiti concreti e vincoli che ne riducono fortemente la fattibilità e l’utilità pratica: poche piattaforme in grado di lanciarli, scorte limitate, tempi di produzione lunghi, rischi di proliferazione tecnologica e vulnerabilità tattiche. Di seguito un’analisi articolata, fondata sulle informazioni disponibili pubblicamente. 1. Come si lanciano i Tomahawk — la questione delle piattaforme I Tomahawk sono missili da crociera concepiti originariamente per lancio da navi di superficie e sottomarini equipaggiati con celle VLS (Vertical Launching System) o tubi di lancio. Negli ultimi an...
Posta un commento
Continua a leggere