055-0317957
[email protected]
Contattaci

Our Blog

We only talk about the good stuff. Curated Collections, Freebies, well researched articles and much more

Consulenza certificazione ISO 42001 e audit sistemi gestione intelligenza artificiale per conformità AI Act
Compliance, iso42001

Certificazione ISO 42001: Guida alla Compliance IA e AI Act

1 Marzo 2026

Certificazione ISO/IEC 42001: Il Nuovo Standard per l’Eccellenza e la Compliance nell’IA

Nel panorama tecnologico attuale, l’Intelligenza Artificiale non è più una scommessa sul futuro, ma una realtà operativa che richiede un governo rigoroso. Tuttavia, l’adozione dell’IA porta con sé sfide inedite in termini di etica, trasparenza e, soprattutto, compliance normativa.

In questo contesto, la ISO/IEC 42001 emerge come il primo standard internazionale per i Sistemi di Gestione dell’Intelligenza Artificiale (SGIA). Certificarsi oggi non è solo un atto di conformità, ma una dichiarazione di eccellenza che distingue le organizzazioni d’élite nel mercato ITC.

Perché l’ISO 42001 definisce l’azienda di “Elite” nel settore IA

In un mercato affollato di soluzioni tecnologiche spesso opache, ottenere la certificazione ISO 42001 rappresenta un elemento di differenziazione competitiva basato su tre pilastri strategici:

  • Affidabilità e Fiducia degli Stakeholder: Dimostra a partner, clienti e investitori che la vostra IA è governata attraverso processi strutturati che mitigano i rischi reputazionali e garantiscono l’impatto positivo del business.
  • Anticipazione del Quadro Normativo (EU AI Act): La ISO 42001 è lo strumento tecnico d’elezione per rispondere ai requisiti dell’AI Act europeo. Adottarla oggi significa trasformare un obbligo di legge imminente in un vantaggio competitivo già consolidato.
  • Ottimizzazione del ROI e Scalabilità Operativa: Implementare un sistema di gestione certificato riduce i costi derivanti da sistemi inefficienti. Permette di scalare i progetti IA con una metodologia ripetibile, riducendo gli sprechi di risorse e accelerando il time-to-market.

Consulenza e Audit ISO 42001: Competenze Lead Auditor al Vostro Servizio

L’implementazione di un Sistema di Gestione IA richiede un equilibrio delicato tra competenze tecniche di Data Science e profonda conoscenza dei framework di auditing internazionale. Grazie alla nostra qualifica di Lead Auditor ISO 42001, supportiamo le aziende lungo l’intero percorso di certificazione:

  • Gap Analysis e Roadmap Strategica: Un’analisi approfondita per mappare la distanza tra i processi attuali e i requisiti dello standard ISO.
  • Design del Sistema di Gestione IA: Supporto nella creazione di una governance che integri etica, sicurezza dei dati e performance tecnologica.
  • Audit di Pre-certificazione e Interni: Effettuiamo verifiche rigorose per garantire che il sistema sia solido e pronto per l’audit ufficiale dell’ente certificatore.

L’importanza di un Audit Interno a regime

Mantenere la certificazione richiede un monitoraggio costante. Il nostro servizio di auditing garantisce che il sistema di gestione evolva di pari passo con l’evoluzione dei vostri algoritmi, mantenendo sempre alti i livelli di sicurezza e compliance.

Costruire il futuro dell’Intelligenza Artificiale con metodo

Non si tratta semplicemente di ottenere un bollino di conformità, ma di definire una nuova cultura aziendale dove l’innovazione è governata e mai lasciata al caso. Essere tra i primi a certificarsi ISO 42001 significa dettare le regole del mercato anziché limitarsi a subirle.

È il momento di trasformare l’incertezza tecnologica in un vantaggio strutturale.
Possiamo analizzare insieme come il framework ISO 42001 possa integrarsi nella vostra visione aziendale per proiettarvi verso una nuova classe di affidabilità sul mercato.

[Scopri come elevare il tuo standard IA]

by Redazione
Uncategorized

NIS2: Cosa Cambia per la Tua Azienda? Guida agli Adempimenti Chiave

20 Marzo 2025

NIS2: Come Prepararsi alla Nuova Normativa Europea sulla Cybersecurity

La direttiva NIS2, operativa dal 2024, introduce regole più stringenti per la sicurezza informatica di aziende e organizzazioni critiche. Se operi in settori strategici come energia, trasporti, sanità o digitale, è probabile che tu debba adeguarti.
Ecco cosa devi sapere per muoverti in anticipo ed evitare rischi.

1. Quali Aziende Sono Coinvolte?

La NIS2 amplia il perimetro rispetto alla precedente direttiva, includendo:

  • Medie e grandi imprese in settori critici (acqua, energia, telecomunicazioni, etc.)
  • Fornitori di servizi digitali (cloud, motori di ricerca, social media)
  • Realtà considerate “vitali” per la sicurezza nazionale

Non sei sicuro di rientrare? Contatta i nostri esperti per una prima analisi.

2. I 3 Pilastri della Conformità NIS2

La direttiva si basa su tre aspetti fondamentali:

  1. Valutazione dei rischi: identificare vulnerabilità IT e processi aziendali esposti.
  2. Misure di sicurezza avanzate: crittografia, backup, controllo degli accessi.
  3. Piano di gestione degli incidenti: procedure per reagire a cyberattacchi e violazioni.

3. Attenzione alla Filiera: Anche i Tuoi Fornitori Devono Essere Conformi

La NIS2 obbliga a verificare la sicurezza informatica di partner e supplier. Ecco cosa controllare:

  • Certificazioni cybersecurity (es. ISO 27001)
  • Policy di gestione dei rischi documentate
  • Procedure di notifica degli incidenti

4. Sanzioni e Scadenze: Perché Non Puoi Permetterti di Aspettare

Le multe previste arrivano fino al 2% del fatturato globale o a 10 milioni di euro. Le autorità nazionali definiranno le scadenze operative nel 2024, ma le aziende devono avviare subito:

  • Analisi di conformità
  • Aggiornamento dei protocolli
  • Formazione del personale

Domande Frequenti (Senza Giri di Parole)

❓ “La mia PMI è esclusa se ha meno di 50 dipendenti?”
Risposta: Dipende dal settore e dall’impatto potenziale. Necessaria una verifica caso per caso.

❓ “Abbiamo già certificazioni IT: bastano per la NIS2?”
Risposta: Serve un allineamento specifico. Prenota una call per un audit preliminare.

❓ “Non siamo settore critico, possiamo sentirci esclusi dall’applicazione?”
Risposta: Dipende, perché se l’azienda fa parte di una filiera di un cliente che è sottoposto alla NIS2, probabilmente dovrete adeguarvi anche voi.

Come Affrontare la NIS2 Senza Perdere Tempo

La conformità alla direttiva non è un mero adempimento burocratico, ma un’opportunità per:

  • ✅ Rafforzare la protezione dei dati aziendali
  • ✅ Migliorare la fiducia di clienti e partner
  • ✅ Ridurre i costi legati a potenziali violazioni

Vuoi Sapere Esattamente da Dove Iniziare?

CLICCA QUI PER FISSARE UN APPUNTAMENTO

Riceverai un percorso chiaro e cronologico.


by Redazione
Compliance, News

European Accessibility Act (EAA): meno di 150 giorni all’ingresso ufficiale

11 Febbraio 2025

Mancano ormai meno di 150 giorni all’entrata in vigore del European Accessibility Act (EAA) che entrerà in vigore ufficialmente il 28 Giugno 2025, di seguito i passaggi fondamentali per le aziende italiane che devono conformarsi.

Quadro Temporale

  • 28 giugno 2022: Termine per gli Stati membri di recepire l’EAA nella legislazione nazionale. In Italia, il recepimento è avvenuto con il Decreto Legislativo n. 139 del 10 ottobre 2023.
  • 28 giugno 2025: Data entro cui le aziende devono adeguarsi agli obblighi di accessibilità. Dal 29 giugno 2025, tutti i prodotti e servizi coperti dall’EAA immessi sul mercato (nuovi o aggiornati) devono essere conformi.

Settori e Obblighi Principali

  • Prodotti/servizi interessati:
    • E-commerce, banche, servizi di trasporto, piattaforme digitali (siti web, app), e-book, dispositivi self-service (es. ATM, biglietterie), servizi di comunicazione elettronica.
    • Escluse microimprese, salvo per servizi essenziali come quelli bancari o di e-commerce.
  • Requisiti di accessibilità:
    • Digitale
    • Fisico
    • Informativo

Sanzioni

  • Amministrative: Previste dal Decreto 139/2023, con multe in base alla gravità e alla persistenza della violazione. Le microimprese beneficiano di riduzioni del 50%.
  • Azioni correttive: Obbligo di adeguamento entro un termine stabilito, con possibile sospensione delle attività in caso di mancato rispetto.

Autorità di Controllo

  • AGID (Agenzia per l’Italia Digitale): Verifica l’accessibilità digitale (siti web, app).
  • Ministero delle Imprese e del Made in Italy (MIMIT): Supervisione generale e coordinamento.
  • Autorità locali (es. Camera di Commercio): Controlli su aspetti fisici e territoriali.
  • Rapporti periodici: Le aziende devono presentare autodichiarazioni o documentazione tecnica per dimostrare la conformità.

Passaggi Pratici per le Aziende

Per adeguarsi all’European Accessibility Act (EAA) e garantire la conformità entro il 28 giugno 2025, le aziende devono seguire un percorso strutturato e ben definito. Ecco i passaggi chiave da intraprendere:

  1. Audit di accessibilità: Il primo passo è valutare lo stato attuale dei propri prodotti e servizi. Un’analisi approfondita permette di identificare le aree critiche e le lacune da colmare per rispettare i requisiti di accessibilità.
  2. Formazione del personale: L’accessibilità non è solo una questione tecnica, ma anche culturale. È essenziale formare il personale, dai dirigenti ai dipendenti operativi, sugli standard tecnici (come gli WCAG 2.1) e sulle normative vigenti. Solo un team consapevole può garantire un’implementazione efficace.
  3. Implementazione delle modifiche: Una volta identificate le criticità, è necessario agire concretamente. Questo include l’aggiornamento di siti web, app, dispositivi fisici (come ATM o terminali di pagamento) e qualsiasi altro prodotto o servizio coperto dall’EAA. L’obiettivo è rendere tutto accessibile a tutti, inclusi utenti con disabilità.
  4. Redazione della dichiarazione di accessibilità.

Questi passaggi non sono solo un obbligo legale, ma rappresentano un’opportunità per migliorare l’esperienza degli utenti, ampliare il proprio mercato e rafforzare la reputazione aziendale. Agire ora significa evitare sanzioni, perdite economiche e danni all’immagine del brand.

Note Importanti

  • Responsabilità diretta: Anche i fornitori terzi (es. sviluppatori software) devono garantire la conformità dei loro prodotti.
  • Tutela degli utenti: I cittadini possono segnalare violazioni alle autorità competenti o avviare azioni legali per danni.

Pericolosità Economica per l’Azienda che Non si Mette a Norma

  • Rischio di sanzioni pesanti: Le multe possono essere significative e gravare sulle finanze aziendali.
  • Sospensione delle attività: In caso di mancato adeguamento, l’azienda rischia la sospensione delle operazioni, con conseguente perdita di fatturato e danni reputazionali.
  • Danni reputazionali: La non conformità può ledere l’immagine aziendale, allontanando clienti e partner commerciali.
  • Perdita di opportunità di mercato: Le aziende non conformi rischiano di essere escluse da gare d’appalto o collaborazioni con enti pubblici e grandi aziende che richiedono il rispetto delle normative.

Se la vostra azienda non sa se deve rispettare gli obblighi normativi e cosa fare per adeguarsi, vi inviatiamo a contattarci oggi stesso per una consulenza personalizzata in modo da rispondere al 100% alle richieste dell’European Accessibility Act.

by Redazione
2024, Controllo mail lavoratori, GDPR

Lavoro: dal Garante Privacy nuove tutele per la email dei dipendenti

6 Febbraio 2024

I datori di lavoro pubblici e privati che per la gestione della posta elettronica utilizzano programmi forniti anche in modalità cloud da oggi hanno a disposizione nuove indicazioni utili a prevenire trattamenti di dati in contrasto con la disciplina sulla protezione dei dati e le norme che tutelano la libertà e la dignità dei lavoratori.

Il Garante per la protezione dei dati personali ha infatti adottato un documento di indirizzo denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” rivolto ai datori di lavoro pubblici e privati.

Il documento nasce a seguito di accertamenti effettuati dall’Autorità dai quali è emerso che alcuni programmi e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori anche in modalità cloud, sono configurati in modo da raccogliere e conservare – per impostazione predefinita, in modo preventivo e generalizzato – i metadati relativi all’utilizzo degli account di posta elettronica dei dipendenti (ad esempio, giorno, ora, mittente, destinatario, oggetto e dimensione dell’e-mail). In alcuni casi è emerso anche che i sistemi non consentono ai datori di lavoro di disabilitare la raccolta sistematica dei dati e ridurre il periodo di conservazione.

Con il documento odierno il Garante chiede quindi ai datori di lavoro di verificare che i programmi e i servizi informatici di gestione della posta elettronica in uso ai dipendenti (specialmente in caso di prodotti di mercato forniti in cloud o as-a-service) consentano di modificare le impostazioni di base, impedendo la raccolta dei metadati o limitando il loro periodo di conservazione ad un massimo di 7 giorni, estensibili, in presenza di comprovate esigenze, di ulteriori 48 ore. Periodo considerato congruo, sotto il profilo prettamente tecnico, per assicurare il regolare funzionamento della posta elettronica in uso al lavoratore.

I datori di lavoro che per esigenze organizzative e produttive o di tutela del patrimonio anche informativo del titolare (in particolare, ad esempio, per specifiche esigenze di sicurezza dei sistemi) avessero necessità di trattare i metadati per un periodo di tempo più esteso, dovranno espletare le procedure di garanzia previste dallo Statuto dei lavoratori (accordo sindacale o autorizzazione dell’ispettorato del lavoro). L’estensione del periodo di conservazione oltre l’arco temporale fissato dal Garante può infatti comportare un indiretto controllo a distanza dell’attività del lavoratore.

Fonte: Garante

by Redazione
Best pratices, GDPR

Nuove linee guida sulla conservazione delle password

22 Dicembre 2023

L’Agenzia per la Cybersicurezza Nazionale e il Garante per la protezione dei dati personali hanno redatto congiuntamente, specifiche linee guida relative alla conservazione delle password, fornendo indicazioni importanti circa le misure tecniche da adottare in ogni Organizzazione al fine di aumentare il livello di sicurezza.

Devono adottare tali linee guida tutte le organizzazioni (imprese e pubbliche amministrazioni – PA) nella misura in cui queste, agiscano sia come titolari che come responsabili del trattamento, e per l’effetto, conservino delle password.

Il paper completo “Linee guida alle funzioni crittografiche” può essere scaricato direttamente dal link PDF.

 

by Redazione
Agliana, Campi Bisenzio, Emergenza alluvione, Prato, Quarrata

Emergenza zone alluvionate – Consigli per salvare il materiale alluvionato

5 Novembre 2023

In queste ore di dramma umano ed economico, ci sentiamo nel nostro piccolo di dare alcune istruzioni per cercare di limitare i danni dovuti all’acqua e al fango, in particolare alle aziende e alle persone che oltre ai danni materiali agli immobili dovranno confrontarsi domani con la ripresa delle attività lavorative e con i danni procurati da pc, server e tutte le apparecchiature elettroniche che si potrebbero essere trovate sommerse da acqua e fango.

  1. Per qualsiasi apparecchiatura elettronica è fondamentale togliere qualsiasi fonte di alimentazione, compresi gruppi di continuità, batterie dei portatili e anche le batterie a bottone delle schede madri dei pc fissi o dei server;
  2. Non tentare assolutamente di accendere gli apparecchi a meno che non siano passate minimo 48 ore da quando sono entrati in contatto con l’acqua, anche se erano spenti;
  3. Nel caso in cui gli apparecchi siano interessati dal fango, i componenti devono essere puliti da aziende specializzate prima di essere nuovamente avviati, non tentate di farli ripartire prima di aver eseguito la pulitura in modo adeguato;
  4. Se si è pratici, smontare le parti scollegabili e lasciarle in aree ventilate con granuli di gel di silice o simili per almeno 48 ore in modo da rimuovere ulteriormente l’umidità presente;
  5. Cercare di isolare almeno il disco fisso contenente i dati importanti e cercare di annotare eventuali password che possano permettere l’accesso ai dati una volta collegabili ed avviabili;
  6. Evitare assolutamente l’esposizione a fonti solari o asciugature a meno phon e simili per non aggravare ulteriormente i possibili danni;
  7. Non tentare di collegare penne usb o dischi esterni di cui non si abbia la certezza di non essere bagnati a pc non alluvionati, per evitare corti circuiti generati dalle periferiche esterne bagnate;
  8. Se disponibile, tentate di avviare il pc con un alimentatore (interno o esterno) differente che non abbia avuto contatti con l’acqua;
  9. Nel caso in cui il pc riparta, effettuate immediatamente un backup dei dati anche se il pc sembra funzionare correttamente.

Un grosso forza a tutti i nostri conterranei in difficoltà!

by Redazione
2023, GDPR, News, whistleblowing

Whistleblowing settore privato: tutte le info e la nostra soluzione

11 Ottobre 2023

WHISTLEBLOWING 2023: LE RICHIESTE NORMATIVE

Il 2023 è l’anno in cui anche in Italia, attraverso il decreto legislativo n.24/2023 si recepisce la direttiva n. 1937/2019 concernente proprio l’introduzione di nuove misure per la protezione dei whistleblowers tanto nel settore pubblico quanto in quello privato e volta ad armonizzare le normative nazionali in ottica di rafforzamento dei principi di trasparenza e responsabilità e di prevenzione dei reati.

La direttiva trova applicazione nei confronti di tutti gli enti privati che abbiano più di 50 dipendenti, indipendentemente dalla natura delle loro attività e, di conseguenza, a prescindere dal fatto che tali enti abbiano adottato modelli organizzativi volti a ridurre il rischio di commissione di reati nell’interesse e a vantaggio dell’Ente – come quelli previsti dal d.lgs. 231/2001 – e con riferimento a qualsiasi violazione di diritto comunitario.

In Italia è ANAC (Autorità Nazionale Anti Corruzione) che sarà parte attiva nel ricevere le segnalazioni che non troveranno seguito negli enti privati, che erogherà le sanzioni del caso e che si preoccupa di fornire linee guida per l’applicazione delle norme in oggetto.

Sotto lo schema riassuntivo per il settore privato:

La novità è l’applicazione nei confronti di tutti gli enti privati che abbiano più di 50 dipendenti, indipendentemente dalla natura delle loro attività e, di conseguenza, a prescindere dal fatto che tali enti abbiano adottato modelli organizzativi volti a ridurre il rischio di commissione di reati nell’interesse e a vantaggio dell’Ente – come quelli previsti dal d.lgs. 231/2001 – e con riferimento a qualsiasi violazione di diritto comunitario.

Pertanto, ogni azienda sopra i 50 dipendenti è tenuta a conformarsi alle disposizioni di legge entro il 17 dicembre 2023.

COSA SERVE PER METTERSI A NORMA CON LA LEGGE SUL WHISTLEBLOWING

La legge prevede essenzialmente 2 rami di adeguamento: una parte che risponda ai requisiti di tutela per il segnalatore e, di conseguenza, sia conforme anche alle prescrizioni del GDPR; un’altra parte che preveda l’adozione di strumenti e procedure che permettano l’introduzione in azienda di quel canale interno di segnalazione che è la prima opzione cui si deve rivolgere il segnalante.

Ricordiamo, infatti, che i canali di segnalazione devono essere utilizzati in forma progressiva, nell’ordine segnalazione interna -> segnalazione esterna (ANAC) -> divulgazione pubblica.

Per far ciò è essenziale che l’azienda scelga strumenti adeguati per proteggere il whistleblower da possibili ritorsioni garantendo anonimato, riscontro e protezione da azioni illecite post segnalazione come ad es. licenziamento o sospensione, sanzioni, retrocessioni di grado, discriminazioni.

In seguito alle scelte adeguate dovranno essere messi in atto alcuni adempimenti sulla protezione dei dati, come la valutazione di impatto, aggiornate le informative e il registro del trattamento.

Questo perché il trattamento è considerato di quelli ad alto rischio, pertanto oltre a motivare adeguatamente le scelte fatte, sarà necessario formare adeguatamente il personale che dovrà occuparsi della gestione delle segnalazioni come misura essenziale.

IN COSA POSSIAMO AIUTARVI

Se ancora non avete provveduto a regolarizzare la vostra situazione in ambito di compliance con le prescrizioni del GDPR, è il momento di farlo. Non si può essere considerati conformi con la legge sul whistleblowing se non abbiamo un adeguato livello di accountability con il GDPR. Possiamo seguirvi inoltre anche se siete parzialmente conformi attraverso l’aggiornamento della documentazione già disponibile e guidarvi ovviamente in una redazione di una valutazione di impatto che sia efficace.

Se non avete già scelto un servizio per le segnalazioni interne possiamo offrirvi la nostra soluzione: una soluzione esternalizzata attraverso un motore open source che permette di rispondere alle richieste di legge, differenziando gli accessi e anonimizzandoli fin dall’accesso al sito.

Altro aspetto importante sarà la gestione del personale: da un lato saranno importanti le procedure operative da mettere in gioco e dall’altro le aziende dovranno formare adeguatamente il personale preposto, in modo da creare un flusso di lavoro corretto.

Se non avete ancora effettuato i passi per adeguarvi o non sapete quello che la vostra azienda deve fare, vi invitiamo a contattarci per informazioni su adeguamento, soluzioni e costi.

by Redazione
Best pratices, News, Soluzioni informatiche

PMI a rischio: perché un piano di disaster recovery e un test di sicurezza esterno sono cruciali per proteggere il tuo business

13 Marzo 2023

Le PMI sono le imprese che rappresentano il tessuto economico delle nostre comunità. Tuttavia, molte di queste aziende operano senza un piano di disaster recovery e senza eseguire mai un test di sicurezza sui propri sistemi da parte di un esterno. Questo mette a rischio il loro business e la loro reputazione. In questo articolo, spiegheremo perché è importante avere un piano di disaster recovery e come un test di sicurezza può aiutare a proteggere l’azienda.

by Redazione
Uncategorized

Nuova ISO 27001:2022

4 Novembre 2022

La nuova versione dello standard ISO 27001 ha visto la pubblicazione ufficiale per la fine di ottobre ed è quindi disponibile per il download (solamente in inglese al momento in cui scriviamo).

La norma aggiorna il proprio titolo in ”Information security, cybersecurity and privacy protection — Information security management systems — Requirements” e cambia la parte dei controlli diminuendo il numero da 114 a 93 accorpando alcuni controlli che già si ripetevano; dimuendo le sezioni da 14 a 4 e introducendo 11 nuovi controlli.

Le aziende avranno in ogni caso un periodo transitorio di 3 anni per poter migrare i propri sistemi di gestione adeguandosi ai nuovi controlli.

Per ogni necessità a riguardo, l’azienda è già operativa per la compliance con le nuove richieste.

 

by Redazione
ISO27001, ISO27002, News, Tech

Nuova ISO 27002:2022

18 Febbraio 2022

Rilasciata poche ore fa, la nuova versione della ISO 27002:2022 stravolge completamente il rapporto con la 27001, andando di fatto a ridisegnare completamente l’approccio operativo nell’implementazione della norma.

Nella ISO 27001:2013 sono presenti 114 controlli raggruppati in 14 capitoli; nella ISO 27002 sono adesso presenti solamente 4 capitoli e 93 controlli.

Il documento è stravolto nella struttura, alcuni controlli sono stati consolidati, altri rimossi o aggiunti da zero.

I punti più interessanti sono sicuramente quelli legati all’introduzione di specifici punti legati al cloud, ai dati personali ma soprattutto ai controlli legati agli stessi leak di dati all’interno delle organizzazioni.

Con l’introduzione di questi cambiamenti, diventa fondamentale l’integrazione delle nuove linee guida all’interno del proprio sistema di gestione, soprattutto in previsione dei rinnovi e degli audit di sorveglianza da parte degli enti di certificazione.

Per ogni necessità, lo studio della nuova versione della ISO è già in cantiere e siamo pronti a supportarvi nell’integrazione della stessa nelle nuove procedure.

ISO27002 aggiornamento, cosa cambia, modifiche

by Redazione
1 2
Articoli recenti
Recent Posts
Get a Quote