Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Cerca
UtiliaCS 970x120
Banner Ransomfeed 320x100 1

Autore: Stefano Gazzella

NIS 2: arriva il referente CSIRT, il vero braccio operativo della sicurezza informatica italiana

Stefano Gazzella 07/10/2025

Con la determinazione del 19 settembre 2025, ACN introduce con l’art. 7 la figura del referente CSIRT all’interno degli adempimenti previsti dalla NIS 2. O, per meglio dire, dal decreto di recepimento della direttiva in Italia. Mentre il punto di contatto è la persona fisica designata dal soggetto NIS che ha il compito di curare l’attuazione delle disposizioni del decreto NIS per conto del soggetto stesso, il referente CSIRT è una persona delegata da questi che ha il compito di interloquire con lo CSIRT Italia, e di effettuare le notifiche degli incidenti e delle informazioni pertinenti. Le qualità professionali di questa figura

Ottobre è il mese europeo della sicurezza cyber. Ma al popolo quanto interessa?

Stefano Gazzella 06/10/2025

Diciamo la verità: sono anni che si celebra in modo ricorsivo il mese europeo della sicurezza cyber. Si leggono report, si indicano buone prassi, si producono innumerevoli linee guida e bene o male possiamo dire che ci sono delle vibes terribilmente equiparabili ai consigli per contrastare l’ondata di caldo estivo che si ascoltano al telegiornale. Al posto dell’anticiclone africano abbiamo la guerra ibrida, il consiglio di evitare le ore più calde e idratarsi spesso viene sostituito dall’igiene digitale. E magari c’è spazio per il parere dell’esperto che ci spiega anche come mai ci si debba mettere la crema solare a meno che

Che fine ha fatto l’amministratore di sistema con il GDPR?

Stefano Gazzella 03/10/2025

Ah, l’amministratore di sistema. Old but gold. Figura che nell’organigramma privacy risale ad un provvedimento del Garante Privacy del 27 novembre 2008, modificato il 25 giugno 2009 e rimasto pressoché intatto fino ad oggi. Il tutto, nonostante il nuovo quadro normativo introdotto dal GDPR e, soprattutto, le rilevanti modifiche del contesto tecnologico e del ruolo del sysadmin. Certo, la definizione di amministratore di sistema pecca di un certo grado di vaghezza: figura professionale dedicata alla gestione e alla manutenzione di impianti di elaborazione con cui vengano effettuati trattamenti di dati personali, compresi i sistemi di gestione delle basi di dati, i sistemi

La trappola del “dato non sensibile”: l’errore che costa caro alle aziende

Stefano Gazzella 01/10/2025

Un argomento meravigliosamente diffuso nel campo largo di chi svolge attività sui dati personali è quello di sottovalutare i rischi o non volerli guardare affatto è quello secondo cui non occorre farsi particolari problemi nel caso in cui siano trattati dati “non sensibili”. La premessa ontologica per la ricerca di soluzioni e correttivi in ambito di liceità e sicurezza è la capacità di farsi le giuste domande. Motivo per cui la propensione al troppo facile skip non può comporre una strategia funzionale o minimamente utile. Certo, i dati sensibili esistono nel GDPR e richiamano elevate esigenze di protezione. Questo non comporta però

GDPR: fra il dire e il fare c’è di mezzo… l’accountability!

Stefano Gazzella 25/09/2025

Accountability, bestia strana. Viene citata dal 2016, quando il GDPR era un po’ come l’Inverno di Game of Thrones. Che poi in realtà è arrivato ma non è stato tutta questa confusione, il grosso dei danni l’hanno fatto per lo più operatori e, soprattutto, autorità di controllo che non si sono dimostrate granché pronte. Ma acqua passata non macina più, ma ha comportato dei gap cognitivi niente male. Primo fra tutti intendere – o concordare – che cosa si intende con quel principio cardine di accountability o responsabilizzazione. Che già a colpo d’occhio dovrebbe richiamare un’assunzione di responsabilità, l’interiorizzazione di una tendenza

Disciplinare la posta elettronica prima per non pentirsi dopo

Stefano Gazzella 22/09/2025

La gestione della casella di posta elettronica dei dipendenti è un argomento spesso trascurato da parte delle organizzazioni, nonostante lo strumento dell’e-mail sia largamente impiegato e comporti rilevanti impatti su privacy e security. Per quanto strumento di lavoro, infatti, una casella di posta elettronica individuale (e dunque: nominale e attribuita ad un singolo operatore) è considerata domicilio digitale del dipendente e, di conseguenza, richiede una ragionevole protezione a tutela di diritti, libertà fondamentali e dignità degli interessati coinvolti negli scambi delle comunicazioni (intestatario e soggetti terzi). Questa complessità, riconosciuta non solo dalla giurisprudenza ma anche dalle autorità di controllo per quanto riguarda

Questo ennesimo articolo “contro” ChatControl sarà assolutamente inutile?

Stefano Gazzella 18/09/2025

Avevamo già parlato della proposta di regolamento “ChatControl” quasi due anni fa, ma vista la roadmap che è in atto ci troviamo nell’imbarazzo di doverne parlare nuovamente. Sembra però un déjà vu ma al posto del gatto nero nel corridoio assistiamo all’UE che alternando abbondanti dosi di chine fatali e argomenti fantoccio prosegue nell’allineare il proprio desiderio di tecnocontrollo all’esempio statunitense denunciato ai tempi da Snowden. Probabilmente, per quell’ambizione propria del Vecchio Continente che ancora si crede ancora essere il centro del mondo. Ma veramente possiamo pensare che servirà a qualcosa pubblicare un ennesimo articolo in cui si discetta sull’eccesso di una

Disciplinare l’out-of-office: una buona prassi per le organizzazioni, e non solo.

Stefano Gazzella 15/09/2025

Quando si parla di sicurezza delle informazioni bisogna prima prendersi un respiro e concepire che bisogna immergersi più a fondo dei sistemi informatici e delle sole informazioni direttamente espresse. Riguarda tutte le informazioni e tutti i sistemi informativi. Quindi bisogna prendere decisamente un bel respiro perché altrimenti è naturale trovarsi con qualche giramento di testa che porta a non considerare quanto viene comunicato a voce, tutto ciò che è possibile dedurre, ad esempio. E se noi siamo in ammanco di ossigeno, chi invece sta progettando un attacco contro di noi – anzi: contro un cluster entro cui malauguratamente siamo inclusi, perché raramente

Data breach: cosa leggiamo nella relazione del Garante Privacy

Stefano Gazzella 11/09/2025

All’interno della relazione presentata da parte dell’Autorità Garante per la protezione dei dati personali con riferimento all’attività svolta nel 2024, un capitolo è dedicato ai data breach. Saltano all’occhio il numero di notifiche e la particolare frequenza delle violazioni di riservatezza e disponibilità. Non solo: nel 66,6 % dei casi (quindi: 2 su 3), è avvenuta una notifica per fasi con una notifica preliminare e successive notifiche integrative. Doverosa considerazione di metodo: il rapporto riguarda i settori che hanno notificato o per cui sono stati rilevati data breach da parte dell’autorità di controllo. Questo impone pertanto di fare attenzione a non incappare

Il Tribunale dell’Unione Europea “salva” il trasferimento dei dati personali verso gli Stati Uniti. Per ora

Stefano Gazzella 05/09/2025

Quello dello scorso 1 aprile non era un pesce d’aprile: la prima udienza del caso Latombe c. Commissione, infatti, rinviava alla data del 3 settembre per un giudizio sul ricorso presentato per l’annullamento della decisione di adeguatezza relativa al Data Privacy Framework. Una decisione di adeguatezza è lo strumento giuridico previsto dall’art. 45 GDPR attraverso il quale la Commissione riconosce che un paese terzo o un’organizzazione garantisce un livello di protezione adeguato, anche in relazione a un ambito territoriale o settoriale, consentendo così il trasferimento internazionale dei dati personali senza che debbano ricorrere ulteriori autorizzazioni o condizioni. Con un comunicato stampa la

Categorie