Andrea Capelli : 25 Giugno 2025 22:22
Il concetto di accountability è noto ai più, soprattutto tra chi legge questo contributo, ma è opportuno farne una breve sintesi, quantomeno come “cappello” introduttivo al tema di cui si andrà a discutere.
L’accountability viene definita in diversi modi:
Nel linguaggio quotidiano il concetto si può riassumere nella frase “io (legislatore) ti dico dove devi arrivare, come ci arrivi lo decidi tu purché me lo motivi”. A titolo esemplificativo: vige l’obbligo di adottare misure tecniche adeguate, quali siano queste misure lo stabilisci tu, purché motivi le ragioni per cui le hai ritenute adeguate.
CALL FOR SPONSOR - Sponsorizza l'ottavo episodio della serie Betti-RHC
Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"?
Conosci il nostro corso sul cybersecurity awareness a fumetti?
Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati.
Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Questo principio è di origine anglosassone, poco conosciuto e ancor meno praticato nella tradizione giuridica dell’Europa continentale fino all’arrivo del GDPR. Gli Stati continentali, infatti, hanno creato e applicato, da secoli, un sistema di diritto c.d. positivistico, che assume la “natura ‘positiva’ del diritto, ossia il suo essere positum («posto») da un’autorità legislatrice umana o, comunque, a opera esclusiva dell’uomo” (https://www.treccani.it/enciclopedia/positivismo-giuridico_(Dizionario-di-filosofia)/).
In parole comuni: “io (legislatore) ti dico cosa fare e come farlo, oppure cosa non fare” (ad esempio, non andare a più di 90km/h, non importa se la strada è libera, rettilinea e non ci sono pericoli, se vai a 92 km/h orari, ti sanziono).
Quando ho approcciato per la prima volta il concetto dell’accountability, mi fecero questo esempio, molto utile, in tema privacy: il codice della privacy del 2003 prevedeva delle “misure minime” di sicurezza, il GDPR prevede l’adozione di misure adeguate. Quindi, nel primo caso c’era una “to do list”, nel secondo caso c’è una “done list”.
L’introduzione di questo nuovo principio giuridico non è stata semplice. Spesso nelle Organizzazioni, dopo la spiegazione teorica, veniva rivolta la domanda: si ma quindi? Cosa dobbiamo fare?
Il GDPR, come noto, è in vigore dal 2018. Nel frattempo sono state adottate molte altre normative europee, soprattutto in ambito digitale e tutte hanno fatto proprio il concetto di accountability come “faro guida” per la conformità normativa.
Tuttavia, mentre l’Unione Europea sembrava andare in una direzione, una serie di fonti nazionali ha, poco per volta, rimesso in secondo piano l’applicazione del principio di accountability, ristabilendo, più o meno consapevolmente, la supremazia dell’approccio più positivista del cosa fare o non fare, con il quale i nostri sistemi giuridici hanno più confidenza. Ed è certamente un caso che, dal 2018 anno del GDPR, l’unico Stato europeo a tradizione anglosassone ha lasciato l’Unione Europea.
La direttiva c.d. NIS2 n. 2022/2555, in materia di sicurezza informatica, adottata dall’Unione nel 2022, al suo articolo 21 dispone che i soggetti rientranti nel perimetro NIS2 “adottino misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza”. Invero al suo comma n. 2, l’articolo indica misure minime introdotte con la formula “comprendono almeno gli elementi seguenti” e ne fa un’elencazione. La maggior parte di queste misure riguardano documenti e politiche organizzative, la cui genericità consente di mantenere un minimo di autonomia decisionale. Tuttavia altre misure, parimenti inserite nell’elenco, ad esempio l’obbligo di formazione alla dirigenza e l’adozione di MFA, rappresentano misure molto specifiche e puntuali.
Un provvedimento che, di certo, ha avuto il merito di rendere manifesto il ritorno ad un approccio più normativo e meno “accountable” è stato la determinazione ACN 164179 del 14 aprile 2025. Con questo documento l’Agenzia per la cybersicurezza nazionale ha stabilito che “per l’adempimento degli obblighi di cui agli articoli 23, 24, e 25 del decreto NIS, i soggetti NIS, sono tenuti ad adottare le misure di sicurezza di base”[1], allegate al provvedimento. Queste altro non sono che una dettagliat(issim)a check list di 86 (OTTANTASEI!) controlli per i soggetti importanti e 115 (CENTOQUINDICI!) controlli per i soggetti essenziali.
Ultimo in ordine di tempo è il provvedimento adottato dal Garante per la Protezione dei Dati Personali, n. 243 del 29 aprile 2025. Con questa decisione l’Autorità ha decretato che il tempo massimo, adeguato, per la conservazione dei file dei metadati delle e-mail è di 21 giorni, mentre il periodo di conservazione dei file di log è di 90 giorni. In questo modo si è, di fatto, introdotta una regola e un termine fisso, validi per ciascuna Organizzazione indipendentemente dall’attività, dalla dimensione, ecc, derogabili solo per motivate ragioni.
Invero, applicando la logica dell’accountability, la determinazione del periodo massimo di conservazione dovrebbe avvenire all’esito di una valutazione del rischio al fine di determinare il periodo adeguato. L’ operazione dovrebbe essere svolta dal Titolare del trattamento dei dati personali, mentre con questo provvedimento l’Autorità Garante si è assunta il compito di effettuare la valutazione determinando un periodo massimo che deve valere per ciascuna Organizzazione.
A ciò si aggiunga che, ai sensi dell’art. 58 par. 2 l’Autorità Garante ha indicato una serie di misure correttive che sono, nei fatti, diventate una lista di misure che qualunque Organizzazione sarà chiamata ad adottare, considerato che la loro adeguatezza è stata già “certificata” dall’Autorità.
Il principio di accountability, quindi, nel nostro sistema se non è morto ampiamente agonizzante e con questo contributo non si vuole certo esprimere un giudizio. Anche un sistema più “positivistico” ha i suoi vantaggi, ad esempio in termini di chiarezza e determinatezza normativa che, spesso, è ciò che le Organizzazioni cercano. Certamente andrebbe presa una decisione, e scelta una strada continuando a percorrerla con decisione, senza prendere delle deviazioni che conducono ora su una via, ora su un’altra.
[1] https://www.acn.gov.it/portale/nis/modalita-specifiche-base
Andrea CapelliA livello di definizione, per wetware si intende quella tecnologia che combina hardware e software per potenziare le forme di vita biologiche. Steve M. Potter, è un professore associato presso il...
Gli Stati Uniti e diversi Paesi alleati hanno lanciato un allarme congiunto sulla crescente offensiva cibernetica condotta da attori sponsorizzati dalla Repubblica Popolare Cinese. Secondo una nuova C...
Un esperto di sicurezza ha scoperto che sei dei gestori di password più diffusi, utilizzati da decine di milioni di persone, sono vulnerabili al clickjacking, un fenomeno che consente agli aggres...
NetScaler ha avvisato gli amministratori di tre nuove vulnerabilità in NetScaler ADC e NetScaler Gateway, una delle quali è già utilizzata in attacchi attivi. Sono disponibili aggiornam...
Grazie alla nostra community recentemente sono venuto a conoscenza di un tentativo di phishing contro PagoPA e ho deciso di fare due cose. Per prima cosa attivarmi in prima persona per arrecare un dan...
