Il concetto di accountability è noto ai più, soprattutto tra chi legge questo contributo, ma è opportuno farne una breve sintesi, quantomeno come “cappello” introduttivo al tema di cui si andrà a discutere.

L’accountability viene definita in diversi modi:

• “the fact of being responsible for what you do and able to give a satisfactory reason for it” (dictionary.cambridge.org/dicti…)
• “The accountability principle requires you to take responsibility for what you do with personal data and how you comply with the other principles.” (ico.org.uk/for-organisations/u…)

Nel linguaggio quotidiano il concetto si può riassumere nella frase “io (legislatore) ti dico dove devi arrivare, come ci arrivi lo decidi tu purché me lo motivi”. A titolo esemplificativo: vige l’obbligo di adottare misure tecniche adeguate, quali siano queste misure lo stabilisci tu, purché motivi le ragioni per cui le hai ritenute adeguate.

Questo principio è di origine anglosassone, poco conosciuto e ancor meno praticato nella tradizione giuridica dell’Europa continentale fino all’arrivo del GDPR. Gli Stati continentali, infatti, hanno creato e applicato, da secoli, un sistema di diritto c.d. positivistico, che assume la “natura ‘positiva’ del diritto, ossia il suo essere positum («posto») da un’autorità legislatrice umana o, comunque, a opera esclusiva dell’uomo” (treccani.it/enciclopedia/posit…).

In parole comuni: “io (legislatore) ti dico cosa fare e come farlo, oppure cosa non fare” (ad esempio, non andare a più di 90km/h, non importa se la strada è libera, rettilinea e non ci sono pericoli, se vai a 92 km/h orari, ti sanziono).

Quando ho approcciato per la prima volta il concetto dell’accountability, mi fecero questo esempio, molto utile, in tema privacy: il codice della privacy del 2003 prevedeva delle “misure minime” di sicurezza, il GDPR prevede l’adozione di misure adeguate. Quindi, nel primo caso c’era una “to do list”, nel secondo caso c’è una “done list”.

L’introduzione di questo nuovo principio giuridico non è stata semplice. Spesso nelle Organizzazioni, dopo la spiegazione teorica, veniva rivolta la domanda: si ma quindi? Cosa dobbiamo fare?

Il GDPR, come noto, è in vigore dal 2018. Nel frattempo sono state adottate molte altre normative europee, soprattutto in ambito digitale e tutte hanno fatto proprio il concetto di accountability come “faro guida” per la conformità normativa.

Tuttavia, mentre l’Unione Europea sembrava andare in una direzione, una serie di fonti nazionali ha, poco per volta, rimesso in secondo piano l’applicazione del principio di accountability, ristabilendo, più o meno consapevolmente, la supremazia dell’approccio più positivista del cosa fare o non fare, con il quale i nostri sistemi giuridici hanno più confidenza. Ed è certamente un caso che, dal 2018 anno del GDPR, l’unico Stato europeo a tradizione anglosassone ha lasciato l’Unione Europea.

La direttiva c.d. NIS2 n. 2022/2555, in materia di sicurezza informatica, adottata dall’Unione nel 2022, al suo articolo 21 dispone che i soggetti rientranti nel perimetro NIS2 “adottino misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza”. Invero al suo comma n. 2, l’articolo indica misure minime introdotte con la formula “comprendono almeno gli elementi seguenti” e ne fa un’elencazione. La maggior parte di queste misure riguardano documenti e politiche organizzative, la cui genericità consente di mantenere un minimo di autonomia decisionale. Tuttavia altre misure, parimenti inserite nell’elenco, ad esempio l’obbligo di formazione alla dirigenza e l’adozione di MFA, rappresentano misure molto specifiche e puntuali.

Un provvedimento che, di certo, ha avuto il merito di rendere manifesto il ritorno ad un approccio più normativo e meno “accountable” è stato la determinazione ACN 164179 del 14 aprile 2025. Con questo documento l’Agenzia per la cybersicurezza nazionale ha stabilito che “per l’adempimento degli obblighi di cui agli articoli 23, 24, e 25 del decreto NIS, i soggetti NIS, sono tenuti ad adottare le misure di sicurezza di base”[1], allegate al provvedimento. Queste altro non sono che una dettagliat(issim)a check list di 86 (OTTANTASEI!) controlli per i soggetti importanti e 115 (CENTOQUINDICI!) controlli per i soggetti essenziali.

Ultimo in ordine di tempo è il provvedimento adottato dal Garante per la Protezione dei Dati Personali, n. 243 del 29 aprile 2025. Con questa decisione l’Autorità ha decretato che il tempo massimo, adeguato, per la conservazione dei file dei metadati delle e-mail è di 21 giorni, mentre il periodo di conservazione dei file di log è di 90 giorni. In questo modo si è, di fatto, introdotta una regola e un termine fisso, validi per ciascuna Organizzazione indipendentemente dall’attività, dalla dimensione, ecc, derogabili solo per motivate ragioni.

Invero, applicando la logica dell’accountability, la determinazione del periodo massimo di conservazione dovrebbe avvenire all’esito di una valutazione del rischio al fine di determinare il periodo adeguato. L’ operazione dovrebbe essere svolta dal Titolare del trattamento dei dati personali, mentre con questo provvedimento l’Autorità Garante si è assunta il compito di effettuare la valutazione determinando un periodo massimo che deve valere per ciascuna Organizzazione.

A ciò si aggiunga che, ai sensi dell’art. 58 par. 2 l’Autorità Garante ha indicato una serie di misure correttive che sono, nei fatti, diventate una lista di misure che qualunque Organizzazione sarà chiamata ad adottare, considerato che la loro adeguatezza è stata già “certificata” dall’Autorità.

Il principio di accountability, quindi, nel nostro sistema se non è morto ampiamente agonizzante e con questo contributo non si vuole certo esprimere un giudizio. Anche un sistema più “positivistico” ha i suoi vantaggi, ad esempio in termini di chiarezza e determinatezza normativa che, spesso, è ciò che le Organizzazioni cercano. Certamente andrebbe presa una decisione, e scelta una strada continuando a percorrerla con decisione, senza prendere delle deviazioni che conducono ora su una via, ora su un’altra.

[1] acn.gov.it/portale/nis/modalit…

L'articolo Requiem for the accountability : la tradizione è dura a morire proviene da il blog della sicurezza informatica.

In passato abbiamo già assistito a come gli Stati Uniti abbiano bloccato la vendita di tecnologie e prodotti a paesi coinvolti in conflitti, come nel caso della guerra tra Ucraina e Russia. Queste restrizioni hanno accelerato lo sviluppo di soluzioni tecnologiche domestiche in molte nazioni. Ora anche l’Europa vuole seguire la stessa strada: avere il pieno controllo dei propri sistemi digitali, senza dipendere da attori stranieri.

Paradossalmente, il modello sanzionatorio adottato dagli Stati Uniti ha prodotto l’effetto opposto rispetto agli obiettivi dichiarati: anziché rallentare lo sviluppo tecnologico degli stati antagonisti, come la Russia, ha contribuito ad alimentare un forte desiderio di autonomia digitale. Un impulso che oggi sta prendendo piede in modo sorprendente anche in Europa, con conseguenze strategiche sempre più evidenti.

Voglia di Linux e di Open Source

I paesi europei stanno accelerando l’abbandono dei software e dei servizi cloud dei giganti tecnologici americani nel tentativo di riprendere il controllo dei propri sistemi digitali. A fronte delle crescenti tensioni geopolitiche e della dipendenza dalle infrastrutture statunitensi, sempre più paesi europei si stanno rivolgendo a Linux e ad altre soluzioni open source.

In Germania e Danimarca è già iniziato un massiccio passaggio dal software proprietario alle alternative open source. E non si tratta solo di risparmiare denaro: si tratta di potere, controllo e indipendenza in un panorama tecnologico instabile.

L’obiettivo principale di questa tendenza è raggiungere la sovranità digitale. Gli esperti del settore sottolineano che le organizzazioni devono controllare i propri dati e scegliere dove eseguire i carichi di lavoro di intelligenza artificiale. Indipendentemente da ciò che spinge le aziende – ottimizzazione dei costi, protezione della proprietà intellettuale, conformità normativa o desiderio di sovranità – tutto si riduce a un’esigenza fondamentale: la proprietà dei dati e la flessibilità nella loro collocazione.

È importante sottolineare che per molte organizzazioni l’indipendenza non è solo una preferenza, ma un requisito aziendale imprescindibile. Con la crescente influenza delle aziende tecnologiche americane, sempre più paesi considerano la dipendenza dall’IT come una vulnerabilità.

Il blocco alla corrispondenza del procuratore Karim Khan

Il caso Microsoft è stato un campanello d’allarme: l’azienda ha bloccato l’accesso alla corrispondenza di lavoro del procuratore della Corte penale internazionale Karim Khan, costringendo le autorità europee a riconsiderare la propria dipendenza dai servizi IT esteri. L’eurodeputata Aura Salla ha affermato direttamente che l’incidente ha chiaramente dimostrato che l’UE non può fare affidamento sui fornitori di sistemi operativi statunitensi.

La Germania è stata la prima a dimostrare come questa situazione possa essere cambiata. Nello Schleswig-Holstein, Microsoft Office sta venendo sostituito da LibreOffice, SharePoint da Nextcloud e Windows da Linux. Anche la Danimarca sta seguendo attivamente questa strada. Il Paese ha avviato progetti pilota per creare cloud con controllo garantito dalle autorità nazionali. In alcuni casi, si sta coinvolgendo anche provider cloud europei come OVHcloud.

Anche le regioni spagnole dell’Andalusia e di Valencia stanno sviluppando progetti propri basati su Linux, rafforzando l’autonomia digitale regionale. La transizione verso soluzioni aperte è associata al cosiddetto “problema della scatola nera”, ovvero l’impossibilità di controllare o modificare i sistemi di intelligenza artificiale proprietari. Nel caso degli assistenti di intelligenza artificiale per programmatori, la questione della trasparenza diventa particolarmente critica, poiché tali sistemi hanno accesso a informazioni riservate delle aziende: codice sorgente, soluzioni architetturali e logica di business.

Lo spettro del Cloud Act e del FISA Act

Tra i rischi principali, i paesi europei menzionano il Cloud Act americano, che obbliga le aziende statunitensi a fornire alle autorità l’accesso ai dati archiviati all’estero. Questa disposizione contraddice i documenti europei sulla sovranità digitale e suscita giustificate preoccupazioni tra i governi. Le aziende IT europee hanno ripetutamente avvertito che l’utilizzo di servizi cloud e sistemi di intelligenza artificiale americani porta inevitabilmente a una perdita di controllo sui dati e riduce la sicurezza.

Anche la Francia si sta allontanando dal software americano: le forze armate del paese hanno iniziato a passare a Linux. Migliaia di postazioni di lavoro sono già state migrate da Windows a Ubuntu Linux. Una tendenza simile si osserva anche al di fuori dell’Europa. L’India sta sviluppando modelli di intelligenza artificiale open source per esigenze governative, educative e militari.

È difficile dire quanto queste misure influiscano sulle performance finanziarie dei giganti IT statunitensi. Tuttavia, le aziende locali stanno già percependo il crescente interesse per i loro servizi. Ad esempio, il motore di ricerca berlinese Ecosia sta registrando un costante aumento delle richieste da parte degli utenti europei che preferiscono evitare giganti come Google e Microsoft Bing.

Secondo Similarweb, Ecosia ha ricevuto 122 milioni di visite dai paesi dell’UE a febbraio, un dato che, sebbene non paragonabile ai 10,3 miliardi di Google, mostra un costante aumento dell’interesse. Il fatturato di Ecosia ad aprile è stato di 3,2 milioni di euro, di cui 770 mila sono stati destinati alla piantumazione di 1,1 milioni di alberi.

Le più grandi aziende americane si sono astenute dal rilasciare dichiarazioni e non ci sono ancora dati specifici sulla loro perdita di quote di mercato nel mercato europeo.

L'articolo L’Europa si infligge sanzioni. Parte la rivoluzione digitale open source in nome della Sovranità Digitale proviene da il blog della sicurezza informatica.

We haven’t seen any projects from serial experimenter [Les Wright] for quite a while, and honestly, we were getting a little worried about that. Turns out we needn’t have fretted, as [Les] was deep into this exploration of the Pockels Effect, with pretty cool results.

If you’ll recall, [Les]’s last appearance on these pages concerned the automated creation of huge, perfect crystals of KDP, or potassium dihydrogen phosphate. KDP crystals have many interesting properties, but the focus here is on their ability to modulate light when an electrical charge is applied to the crystal. That’s the Pockels Effect, and while there are commercially available Pockels cells available for use mainly as optical switches, where’s the sport in buying when you can build?

As with most of [Les]’s projects, there are hacks galore here, but the hackiest is probably the homemade diamond wire saw. The fragile KDP crystals need to be cut before use, and rather than risk his beauties to a bandsaw or angle grinder, [Les] threw together a rig using a stepper motor and some cheap diamond-encrusted wire. The motor moves the diamond wire up and down while a weight forces the crystal against it on a moving sled. Brilliant!

The cut crystals are then polished before being mounted between conductive ITO glass and connected to a high-voltage supply. The video below shows the beautiful polarization changes induced by the electric field, as well as demonstrating how well the Pockels cell acts as an optical switch. It’s kind of neat to see a clear crystal completely block a laser just by flipping a switch.

Nice work, [Les], and great to have you back.

youtube.com/embed/RxjqMh3gkx8?…

hackaday.com/2025/06/25/homebr…

This week Jonathan chats with Davide Bettio and Paul Guyot about AtomVM! Why Elixir on embedded? And how!? And what is a full stack Elixir developer, anyways? Watch to find out!

• atomvm.org/
• github.com/atomvm/AtomVM
• popcorn.swmansion.com/
• kickstarter.com/projects/multi…

youtube.com/embed/3H5OU28TrTI?…

Did you know you can watch the live recording of the show right on our YouTube Channel? Have someone you’d like us to interview? Let us know, or contact the guest and have them contact us! Take a look at the schedule here.

play.libsyn.com/embed/episode/…

Direct Download in DRM-free MP3.

If you’d rather read along, here’s the transcript for this week’s episode.

Places to follow the FLOSS Weekly Podcast:

• Spotify
• RSS

Theme music: “Newer Wave” Kevin MacLeod (incompetech.com)

Licensed under Creative Commons: By Attribution 4.0 License

hackaday.com/2025/06/25/floss-…

La politica e la sicurezza europea ti appassionano? Non perdere l’occasione di partecipare alla Pirate Academy, che si terrà da settembre a novembre 2025. Trenta candidati selezionati prenderanno parte a sessioni online incentrate su sfide e aree problematiche chiave, dove acquisiranno una comprensione più approfondita del funzionamento delle istituzioni europee. Dieci di loro avranno l’…

Source

Il Governo ha pubblicato sul sito del Dipartimento per le Politiche Antidroga il testo della Relazione 2025 sul fenomeno delle tossicodipendenze in Italia un documento solitamente presentato il 26 giugno in occasione della giornata mondiale per la lotta al narcotraffico e le dipendenze. Il 26 giugno, invece, nella sala stampa della Camera si presenta il XVI Libro Bianco sulle droghe della società civili con contributi anche dell’Associazione Luca Coscioni.

“Per approfondire seriamente il fenomeno delle sostanze stupefacenti illecite, il loro impatto sulla società e le necessarie risposte socio-sanitarie nel nostro paese occorrerà leggere il Libro Bianco delle organizzazioni della Società civile e non la Relazione del Governo al Parlamento” ha affermato Marco Perduca, che per l’Associazione Luca Coscioni segue le leggi e politiche nazionali e internazionali sugli stupefacenti “il documento del Governo, con prefazione del sottosegretario Mantovano non è purtroppo all’altezza del compito. Infatti, oltre a essere sempre più breve, la Relazione segnala una leggerissima flessione nell’uso degli stupefacenti a fronte dell’aumento delle operazioni ‘anti-droga’ ma, in entrambi i casi, si ragiona in termini percentuali e non assoluti. Altrove invece ci si intrattiene su campioni molto ristretti (39 città su oltre 8000) magnificando l’efficacia rilevatrice della acque reflue, con metodologie non del tutto riconosciuti come attendibili dalla comunità scientifica internazionale e presentando la presenza di sostanze illecite ogni 100.000 persone. Una formulazione che se proposta in termini percentuali evidenzierebbe che si tratta, si e no, al massimo allo 0,7 grammi a persona!”

“Il Sottosegretario Mantovano, che l’anno scorso aveva annunciato una nuova modalità di composizione della Relazione, ci tiene a segnalare che non è stato necessario cambiare norme, omettendo di ricordare che tanto nel decreto cosiddetto Caivano quanto in quello cosiddetto Sicurezza, per non parlare della famigerata norma anti-rave del 2022, passando per il nuovo codice della strada, sono state introdotte decine di nuove norme che hanno aumentato segnalazioni, denunce, procedimenti e infine arresti per detenzione personale o piccolo spaccio di sostanze illecite che hanno interessato in particolare migliaia di persone sotto i 24 anni”.

“Ed è proprio sulla questione dell’età delle persone che la Relazione dal ‘il meglio’” continua Perduca “gli studi riguardano un vasto campione di 18-24enni che, ci viene detto, usa meno sostanze illecite ma sempre più alcol, tabacco e psicofarmaci senza ricetta – a oggi non ufficialmente incluse nelle cosiddette “tossicodipendenze”. Studi internazionali segnalano che l’età media del consumo problematico è invece intorni ai 35 anni di eà (proprio come l’età media dei decessi per overdose). Di punto in bianco, la Relazione ci offre poi numeri su dipendenze comportamentali dal gioco d’azzardo online ai telefonini e internet fino ad arrivare al cyberbullismo. Insomma un gran polverone per tentare di descrivere il cosiddetto disagio giovanile agganciando fenomeni illeciti e leciti (in grande espansione) denunciandone la pari pericolosità.

“Nella parte relativa all’offerta terapeutica o socio-sanitaria, la Relazione riempie di numeri non di facile lettura tra servizi e strutture pubbliche e private e censura la ‘riduzione del danno’, una serie di interventi che pure sono previsti dal 2019 tra i livelli essenziali di assistenza”.

“Mentre ci si dilunga sui prezzi e le quantità sequestrate, il sottosegretario Mantovano che firma l’introduzione mistifica il passato recente là dove parla della conferenza nazionale del 2021 che secondo lui sarebbe stata tenuta “nel periodo Covid in formato ristretto e con minore impatto” – mentre è noto che, tranne il Ministro della Salute Speranza, tutti gli altri dicasteri coinvolti furono rappresentati dai relativi ministri e centinaia di persone presero parte al percorso preparatorio nonché alle fasi finali in presenza in plenaria a Genova”.

“La Relazione poi informa di un giro d’affari illecito per un totale intorno ai 17,2 miliardi di euro – in crescita rispetto alla pandemia ma inferiore agli anni precedenti. Nel mercato illegale l’hashish costa 10,77 euro al grammo, la marihuana 9,33 euro, l’eroina brown 39,17, quella bianca 52,12, la cocaina 76,90. Il prezzo medio per singola dose è 22,61 euro per ecstasy, 26,32 per amfetamine, 34,99 per metamfetamine e 25,17 per LSD. Per il primo semestre del ‘24 il crack (mai rilevato prima) si attesta sui 57 euro al grammo, mentre 6-MAM e ketamina hanno il costo medio di circa 25 euro al grammo” .

“Infine” conclude Perduca “pur restando numeri drammatici, la relazione ricorda che se nel 2014 le morti per overdose registrate dalla forze dell’ordine nell’87% dei casi era legate agli oppiacei, nel 2024 questa percentuale è scesa al 48% mentre una medesima quota è stata attribuita a cocaina/crack – percentuale che nel 2014 si attesta al 13%. Nell’ultimo anno il 3% dei decessi con sostanza nota è stato attribuito al consumo di sostanze sintetiche (5 casi). Non sono chiari i numeri totali, però, secondo il sito indipendente geoverdose.it, nel periodo coperto dalla Relazione le morti sarebbero state 70, di cui 44,3% per oppiacei, 24,3% per sostanza non determinata, 8,6% cocaina e 4,3% per cocktail di sostanze, zero per cannabis. Un numero alto ma se messe in relazione con la popolazione generale (che nel corso dell’anno raddoppia per via delle presenze turistiche) o con la popolazione che fa uso abituale, ci conferma che a fronte di un immutato quadro normativo proibizionista l’autoregolamentazione dei consumi funziona come efficace riduzione di danni e rischi”.

“Se la Relazione fosse stato un compito per la maturità il Governo non l’avrebbe superata per insufficienze di merito e metodo”.

Segue dettaglio della popolazione che usa sostanze illecite tratto dalla Relazione

Nel 2024 quasi 910 mila giovani tra 15 e 19 anni, pari al 37% della popolazione studentesca, riferiscono di aver consumato una sostanza psicoattiva illegale almeno una volta nella vita e 620 mila studenti (25%) nel corso dell’ultimo anno.

Il consumo di queste sostanze è più comune tra i ragazzi (28%) rispetto alle ragazze (22%). Il trend risulta in lieve calo rispetto al biennio precedente, soprattutto se si considerano i consumi nella vita e nel corso degli ultimi 12 mesi. 660 mila studenti (27%) riferiscono di aver utilizzato cannabis almeno una volta nella vita, 520 mila lo hanno fatto nell’ultimo anno (21%) e per 67mila studenti (2,7%) si è trattato di un consumo frequente (20 o più volte nel mese).

La diffusione del consumo aumenta con l’età e si riscontra una prevalenza maggiore tra i ragazzi rispetto alle coetanee. Più di 6 consumatori su 10 hanno utilizzato cannabis per la prima volta fra i 15 e i 17 anni, mentre oltre un terzo (35%) l’ha provata a 14 anni o meno. Quest’ultimo dato è in aumento rispetto al 2023, quando la percentuale si attesta al 29%. A eccezione di coloro che riferiscono di utilizzare 20 o più volte al mese (consumo frequente) che restano in percentuale sovrapponibili a quelli dello scorso anno, diminuiscono gli studenti che riferiscono sia l’esperienza d’uso almeno una volta nella vita che coloro che hanno utilizzato cannabis nell’ultimo anno.

Poco più di 280mila studenti (12%) hanno fatto uso di almeno una Nuova Sostanza Psicoattiva (NPS) nella vita e circa 140mila (5,8%) nel corso dell’anno. Tra le NPS più utilizzate ci sono cannabinoidi sintetici (5,5%), oppioidi sintetici (2,8%) e ketamina (1,5%). I consumi di cannabinoidi sintetici e di ketamina tendono ad aumentare con l’età, raggiungendo tra i 18enni prevalenze più elevate; il consumo di oppioidi sintetici, invece, mostra una tendenza opposta con prevalenze più elevate tra i 15enni. In tutte le altre NPS, le prevalenze sono stabili indipendentemente dall’età. I consumi maschili risultano più elevati rispetto a quelli femminili e, nel 2024, il consumo di queste sostanze risulta in diminuzione.

I consumi relativi alle sostanze appartenenti al gruppo degli oppioidi sintetici mostrano un quadro in controtendenza con i consumi femminili più elevati rispetto a quelli dei coetanei e un importante aumento che riporta la prevalenza ai livelli massimi osservati nel 2015.

Oltre 110 mila ragazzi (4,7%) riferiscono uso di stimolanti (amfetamine, ecstasy, GHB, MD e MDMA) nel corso della vita, quasi 59 mila (2,4%) nel corso dell’ultimo anno e 16mila studenti li hanno consumati almeno 10 volte negli ultimi 30 giorni (0,7%). Nel corso dell’ultimo anno, il consumo di stimolanti ha riguardato in particolare i ragazzi, specialmente i 15 e i 18 anni.

Poco più della metà dei consumatori (54%) riferisce di aver usato per la prima volta stimolanti tra i 15 e i 17 anni e il 45% li ha utilizzati prima dei 15 anni. Dopo il picco del 2023, si registra nel 2024 una significativa diminuzione del consumo di sostanze stimolanti.

L'articolo La Relazione sulle tossicodipendenze al Parlamento confonde i numeri, nasconde termini, diffama governi precedenti e più in generale mente proviene da Associazione Luca Coscioni.

What has the EDRis network been up to over the past two weeks? Find out the latest digital rights news in our bi-weekly newsletter. In this edition: The case for a spyware ban, EDRi 2025-2030 strategy, EU must reassess Israel’s adequacy status, & more!

The post EDRi-gram, 25 June 2025 appeared first on European Digital Rights (EDRi).