Andrea Capelli : 25 Giugno 2025 22:22
Il concetto di accountability è noto ai più, soprattutto tra chi legge questo contributo, ma è opportuno farne una breve sintesi, quantomeno come “cappello” introduttivo al tema di cui si andrà a discutere.
L’accountability viene definita in diversi modi:
Nel linguaggio quotidiano il concetto si può riassumere nella frase “io (legislatore) ti dico dove devi arrivare, come ci arrivi lo decidi tu purché me lo motivi”. A titolo esemplificativo: vige l’obbligo di adottare misure tecniche adeguate, quali siano queste misure lo stabilisci tu, purché motivi le ragioni per cui le hai ritenute adeguate.
Questo principio è di origine anglosassone, poco conosciuto e ancor meno praticato nella tradizione giuridica dell’Europa continentale fino all’arrivo del GDPR. Gli Stati continentali, infatti, hanno creato e applicato, da secoli, un sistema di diritto c.d. positivistico, che assume la “natura ‘positiva’ del diritto, ossia il suo essere positum («posto») da un’autorità legislatrice umana o, comunque, a opera esclusiva dell’uomo” (https://www.treccani.it/enciclopedia/positivismo-giuridico_(Dizionario-di-filosofia)/).
Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class", previsto per febbraio.
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato.
Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
In parole comuni: “io (legislatore) ti dico cosa fare e come farlo, oppure cosa non fare” (ad esempio, non andare a più di 90km/h, non importa se la strada è libera, rettilinea e non ci sono pericoli, se vai a 92 km/h orari, ti sanziono).
Quando ho approcciato per la prima volta il concetto dell’accountability, mi fecero questo esempio, molto utile, in tema privacy: il codice della privacy del 2003 prevedeva delle “misure minime” di sicurezza, il GDPR prevede l’adozione di misure adeguate. Quindi, nel primo caso c’era una “to do list”, nel secondo caso c’è una “done list”.
L’introduzione di questo nuovo principio giuridico non è stata semplice. Spesso nelle Organizzazioni, dopo la spiegazione teorica, veniva rivolta la domanda: si ma quindi? Cosa dobbiamo fare?
Il GDPR, come noto, è in vigore dal 2018. Nel frattempo sono state adottate molte altre normative europee, soprattutto in ambito digitale e tutte hanno fatto proprio il concetto di accountability come “faro guida” per la conformità normativa.
Tuttavia, mentre l’Unione Europea sembrava andare in una direzione, una serie di fonti nazionali ha, poco per volta, rimesso in secondo piano l’applicazione del principio di accountability, ristabilendo, più o meno consapevolmente, la supremazia dell’approccio più positivista del cosa fare o non fare, con il quale i nostri sistemi giuridici hanno più confidenza. Ed è certamente un caso che, dal 2018 anno del GDPR, l’unico Stato europeo a tradizione anglosassone ha lasciato l’Unione Europea.
La direttiva c.d. NIS2 n. 2022/2555, in materia di sicurezza informatica, adottata dall’Unione nel 2022, al suo articolo 21 dispone che i soggetti rientranti nel perimetro NIS2 “adottino misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza”. Invero al suo comma n. 2, l’articolo indica misure minime introdotte con la formula “comprendono almeno gli elementi seguenti” e ne fa un’elencazione. La maggior parte di queste misure riguardano documenti e politiche organizzative, la cui genericità consente di mantenere un minimo di autonomia decisionale. Tuttavia altre misure, parimenti inserite nell’elenco, ad esempio l’obbligo di formazione alla dirigenza e l’adozione di MFA, rappresentano misure molto specifiche e puntuali.
Un provvedimento che, di certo, ha avuto il merito di rendere manifesto il ritorno ad un approccio più normativo e meno “accountable” è stato la determinazione ACN 164179 del 14 aprile 2025. Con questo documento l’Agenzia per la cybersicurezza nazionale ha stabilito che “per l’adempimento degli obblighi di cui agli articoli 23, 24, e 25 del decreto NIS, i soggetti NIS, sono tenuti ad adottare le misure di sicurezza di base”[1], allegate al provvedimento. Queste altro non sono che una dettagliat(issim)a check list di 86 (OTTANTASEI!) controlli per i soggetti importanti e 115 (CENTOQUINDICI!) controlli per i soggetti essenziali.
Ultimo in ordine di tempo è il provvedimento adottato dal Garante per la Protezione dei Dati Personali, n. 243 del 29 aprile 2025. Con questa decisione l’Autorità ha decretato che il tempo massimo, adeguato, per la conservazione dei file dei metadati delle e-mail è di 21 giorni, mentre il periodo di conservazione dei file di log è di 90 giorni. In questo modo si è, di fatto, introdotta una regola e un termine fisso, validi per ciascuna Organizzazione indipendentemente dall’attività, dalla dimensione, ecc, derogabili solo per motivate ragioni.
Invero, applicando la logica dell’accountability, la determinazione del periodo massimo di conservazione dovrebbe avvenire all’esito di una valutazione del rischio al fine di determinare il periodo adeguato. L’ operazione dovrebbe essere svolta dal Titolare del trattamento dei dati personali, mentre con questo provvedimento l’Autorità Garante si è assunta il compito di effettuare la valutazione determinando un periodo massimo che deve valere per ciascuna Organizzazione.
A ciò si aggiunga che, ai sensi dell’art. 58 par. 2 l’Autorità Garante ha indicato una serie di misure correttive che sono, nei fatti, diventate una lista di misure che qualunque Organizzazione sarà chiamata ad adottare, considerato che la loro adeguatezza è stata già “certificata” dall’Autorità.
Il principio di accountability, quindi, nel nostro sistema se non è morto ampiamente agonizzante e con questo contributo non si vuole certo esprimere un giudizio. Anche un sistema più “positivistico” ha i suoi vantaggi, ad esempio in termini di chiarezza e determinatezza normativa che, spesso, è ciò che le Organizzazioni cercano. Certamente andrebbe presa una decisione, e scelta una strada continuando a percorrerla con decisione, senza prendere delle deviazioni che conducono ora su una via, ora su un’altra.
[1] https://www.acn.gov.it/portale/nis/modalita-specifiche-base
Andrea CapelliUna falla di sicurezza cruciale nell’HTTP/1.1 è stata resa pubblica dagli esperti di sicurezza, mettendo in luce una minaccia che continua ad impattare sull’infrastruttura web da pi...
Il cybercrime è sempre da condannare. Che tu colpisca una multinazionale o un piccolo negozio online, resta un crimine. Ma quando prendi di mira ospedali, associazioni senza scopo di lucro, fonda...
Un nuovo firmware personalizzato per il dispositivo multiuso Flipper Zero, è capace di eludere molti dei sistemi di sicurezza con codice variabile, implementati nella maggioranza dei veicoli di u...
Negli ultimi mesi, il dibattito sull’intelligenza artificiale ha assunto toni sempre più estremi. Da un lato, le grandi aziende che sviluppano e vendono soluzioni AI spingono narrazioni ap...
L’utilizzo di Linux su desktop e laptop aziendali continua a crescere. Un’analisi di quasi 18,5 milioni di dispositivi ha rilevato che la quota di Linux sui dispositivi aziendali è ...
