Alchimie Digitali

ACN e la sicurezza della posta elettronica: cosa devono sapere aziende e professionisti

y.damato — Mon, 27 Apr 2026 15:44:29 +0000

In sintesi – L’Agenzia per la Cybersicurezza Nazionale (ACN) ha pubblicato le nuove linee guida ufficiali per la configurazione della posta elettronica. Il documento indica come implementare correttamente SPF, DKIM e DMARC – i tre protocolli che autenticano il mittente e proteggono il dominio da phishing e spoofing. Se la tua posta non è configurata secondo questi standard, rischi che le email vengano filtrate come spam o rifiutate dai server destinatari, spesso senza che tu lo sappia. Se hai affidato la gestione della posta a un tecnico o a un’agenzia, è il momento di chiedere una verifica.

L’ACN ha pubblicato le nuove linee guida per l’autenticazione email

L’Agenzia per la cybersicurezza nazionale ha pubblicato le Linee guida per la configurazione del servizio di posta elettronica per l’autenticazione del mittente, con l’obiettivo di rafforzare l’affidabilità del servizio di posta elettronica di tutte le organizzazioni interessate.

Non si tratta di raccomandazioni generiche: è un framework tecnico operativo, rivolto a tutte le organizzazioni pubbliche e private, che stabilisce come configurare correttamente tre protocolli ormai fondamentali per qualsiasi infrastruttura email.

Il documento ufficiale è disponibile sul sito ACN: Framework di Autenticazione per la Posta Elettronica

Perché la posta elettronica è un punto critico

Il funzionamento della posta elettronica si basa sul protocollo SMTP, che non incorpora nativamente meccanismi di autenticazione del mittente né di protezione dell’integrità dei messaggi. Queste vulnerabilità espongono le organizzazioni al rischio di spoofing, phishing e manomissione del contenuto durante il transito.

In termini pratici questo significa che, senza protezioni adeguate, chiunque potrebbe inviare email fingendo di provenire dal tuo dominio — spacciandosi per te con i tuoi clienti, fornitori o colleghi — senza che tu lo sappia e senza che sia necessario accedere al tuo account.

Il problema non è teorico: quasi una organizzazione italiana su quattro non è in grado di impedire a soggetti terzi di inviare email fraudolente a suo nome.

I tre protocolli al centro delle linee guida

Le linee guida dell’ACN forniscono indicazioni operative per la corretta implementazione di SPF, DKIM e DMARC: tre standard ampiamente adottati a livello internazionale che, se configurati in modo coerente, permettono di aumentare il livello di fiducia nei messaggi ricevuti e di limitare l’uso fraudolento dei domini.



SPF — Chi può inviare email a nome del tuo dominio?

SPF pubblica nel DNS del dominio un elenco degli indirizzi IP autorizzati a inviare email per suo conto. Quando arriva un messaggio che dichiara di provenire dal tuo dominio, il server ricevente controlla se il mittente è nella lista. Se non lo è, si attiva la policy configurata.

Esempio concreto

se usi Microsoft 365 come client email principale ma hai anche un CRM o un gestionale che invia notifiche automatiche, entrambi devono essere esplicitamente autorizzati nel record SPF. Dimenticare anche una sola sorgente significa che quelle email vengono trattate come sospette dai server destinatari.



DKIM — Il messaggio è integro?

DKIM firma digitalmente i messaggi tramite crittografia asimmetrica. Il server ricevente può verificare l’autenticità del messaggio recuperando la chiave pubblica dal DNS del mittente. Se il contenuto è stato modificato anche di un solo carattere durante il transito, la firma non corrisponde e la verifica fallisce.

DKIM garantisce quindi non solo che il mittente sia autentico, ma anche che il messaggio sia arrivato esattamente com’era stato inviato.



DMARC — Come devono comportarsi i server se qualcosa non torna?

DMARC unifica e governa SPF e DKIM. Permette al proprietario del dominio di specificare una policy di gestione per le email che non superano le verifiche, e di ricevere report aggregati sull’utilizzo del dominio.

Policy DMARC	Cosa succede alle email sospette
`p=none`	Vengono registrate nei report, ma non bloccate (fase di monitoraggio)
`p=quarantine`	Finiscono nella cartella spam del destinatario
`p=reject`	Vengono rifiutate e non recapitate

DMARC introduce anche il concetto di allineamento: verifica che il dominio visibile nel campo “Da:” corrisponda a quello autenticato via SPF o DKIM, intercettando le impersonificazioni anche nei casi tecnici più sofisticati.

Non è solo sicurezza: è anche recapitabilità

Questo è l’aspetto che le aziende sottovalutano più spesso. I principali provider di posta — Gmail, Microsoft 365, Yahoo — hanno progressivamente irrigidito i loro filtri antispam. Oggi valutano attivamente la presenza e la correttezza di SPF, DKIM e DMARC. Un dominio privo di questi record, o con una configurazione errata, viene automaticamente trattato con più sospetto.

Il risultato è che puoi inviare un preventivo, una conferma d’ordine, una risposta urgente — e il destinatario non la riceve, o la trova nello spam giorni dopo. Il tuo server non ti segnala nessun errore: l’email parte regolarmente. Il problema avviene in silenzio, sul lato del destinatario.

Il collegamento con NIS 2 e il quadro normativo italiano

Le linee guida ACN non sono un documento isolato. Le misure descritte si inseriscono nel contesto della Direttiva NIS 2, del Perimetro di Sicurezza Nazionale Cibernetica e del Regolamento Cloud ACN. In questo scenario, la sicurezza della posta elettronica non è più solo una best practice: per molte organizzazioni diventa un requisito di conformità.

Oggi in Italia sono già stati identificati oltre 21.000 soggetti obbligati dalla NIS 2, di cui almeno 5.000 classificati come essenziali. Per queste realtà, verificare la configurazione della posta non è più rimandabile.

Configurare SPF, DKIM e DMARC: più complesso di quanto sembri

Questi protocolli agiscono sui record DNS del dominio. In teoria bastano poche modifiche. In pratica ci sono insidie frequenti che portano a configurazioni errate, spesso senza che nessuno se ne accorga:

SPF ha un limite di 10 lookup DNS. Superarlo causa errori su tutte le email in uscita. È un problema comune nelle aziende che usano più servizi in parallelo (CRM, newsletter, gestionale, PEC).
DKIM richiede la gestione di chiavi crittografiche che vanno protette, ruotate periodicamente e configurate per ogni sorgente di invio.
Passare subito a p=reject senza una fase di monitoraggio preliminare può bloccare email legittime, creando disservizi immediati.
L’inoltro automatico delle email (forwarding) può invalidare le verifiche SPF e DKIM se non gestito correttamente.
I servizi di terze parti — piattaforme di email marketing, CRM, ERP — devono essere esplicitamente inclusi e configurati per firmare con DKIM.

L’approccio corretto è graduale: partire con DMARC in monitoraggio per mappare i flussi reali, poi passare a quarantine e reject quando la configurazione è stabile e verificata.

Cosa fare adesso

Hai un tecnico o un’agenzia che gestisce la tua posta?

Contattali e chiedi una verifica esplicita su questi quattro punti:

Il record SPF è presente, corretto e ottimizzato (entro il limite dei 10 lookup)?
DKIM è configurato per tutte le sorgenti di invio, non solo per il client principale?
È presente un record DMARC con una policy attiva?
I report DMARC vengono monitorati regolarmente?

Non dare per scontato che sia già tutto a posto. La posta “che funziona” non è la stessa cosa della posta “correttamente autenticata”.

Gestisci direttamente la tua infrastruttura IT?

Segui il percorso raccomandato dall’ACN:

Avvia DMARC in modalità p=none con indirizzi di report configurati
Analizza i report per 2–4 settimane e mappa tutte le sorgenti di invio
Configura SPF e DKIM in modo completo su tutte le sorgenti
Passa progressivamente a p=quarantine e poi a p=reject

In sintesi

Le linee guida pubblicate dall’ACN chiariscono un punto che per anni è stato sottovalutato: la posta elettronica non è un servizio “che funziona o non funziona”, ma un’infrastruttura che deve essere configurata, monitorata e governata.

SPF, DKIM e DMARC non sono più elementi opzionali o tecnici “da specialisti”: sono il livello minimo per garantire affidabilità, protezione del dominio e continuità operativa nelle comunicazioni.

In questo scenario, il vero rischio non è solo subire un attacco, ma non accorgersi che qualcosa non sta funzionando correttamente: email che non arrivano, dominio utilizzato da terzi, reputazione compromessa senza segnali evidenti.

Le indicazioni dell’ACN offrono oggi un riferimento chiaro. Il punto non è tanto “implementarle”, ma essere consapevoli dello stato reale della propria infrastruttura email e delle sue implicazioni in termini di sicurezza e conformità.

Contattaci

Fonte ufficiale: ACN — Framework di Autenticazione per la Posta Elettronica Articolo redatto da Alchimie Digitali

FAQ

Le linee guida ACN sono obbligatorie per tutte le aziende?

Il framework non introduce scadenze obbligatorie universali, ma è integrato con gli obblighi NIS 2 e del Perimetro di Sicurezza Nazionale per i soggetti rientranti in quelle normative. Per tutte le altre organizzazioni rappresenta una raccomandazione tecnica ufficiale che è prudente seguire.

Come verifico se il mio dominio è già configurato correttamente?

Puoi usare strumenti online come MXToolbox o mail-tester.com per una prima verifica autonoma. Per un’analisi completa di tutte le sorgenti di invio e della deliverability, è consigliabile affidarsi a un tecnico specializzato.

Quanto tempo richiede la configurazione?

Per un’azienda con un unico provider (Google Workspace o Microsoft 365) la configurazione base richiede poche ore. Per organizzazioni con più sorgenti di invio, la fase di monitoraggio e ottimizzazione richiede 2–4 settimane.

Se uso Microsoft 365 o Google Workspace sono già a posto?

Non automaticamente. Queste piattaforme supportano SPF, DKIM e DMARC, ma devono essere configurati esplicitamente dall’amministratore. E se hai altri servizi che inviano email dal tuo dominio, devono essere inclusi nella configurazione.

Cosa rischio concretamente se non intervengo?

Le tue email possono finire nello spam o essere rifiutate senza che tu riceva notifiche di errore. Il tuo dominio rimane inoltre esposto all’uso fraudolento da parte di terzi, con potenziali danni alla tua reputazione e a quella dei tuoi contatti.

L'articolo ACN e la sicurezza della posta elettronica: cosa devono sapere aziende e professionisti proviene da Alchimie Digitali.

NIS2 2026: nuovi adempimenti ACN, scadenze e cosa devono fare davvero i soggetti interessati

y.damato — Thu, 16 Apr 2026 09:43:21 +0000

NIS2 2026: nuovi adempimenti ACN, scadenze e cosa devono fare davvero i soggetti interessati

L’ACN ha pubblicato nuove determinazioni sugli adempimenti NIS2 per i soggetti inseriti nel 2026 e ha aggiornato le modalità di accesso e utilizzo della piattaforma digitale ACN. Il punto chiave è questo: la fase “dichiarativa” sta lasciando spazio a una fase più operativa, strutturata e verificabile.

Come indicato nella comunicazione ufficiale ACN sulle nuove determinazioni NIS2, e nella determina completa ACN sulla piattaforma NIS, il quadro normativo entra ora in una fase pienamente operativa.

Non basta più sapere di essere soggetti NIS. Ora bisogna organizzare ruoli, aggiornare correttamente i dati, censire i fornitori rilevanti, classificare attività e servizi e rispettare una roadmap precisa.

Cosa cambia davvero nel 2026

Il 13 aprile 2026 segna il passaggio dalla teoria all’operatività. L’ACN non si limita più a identificare i soggetti, ma impone un modello strutturato di gestione.

Non si tratta di un aggiornamento burocratico. È un cambio di paradigma: la cybersicurezza diventa governance, responsabilità e capacità dimostrabile.

Le scadenze per i soggetti NIS inseriti nel 2026

Per i soggetti che entrano nel perimetro NIS nel 2026, la roadmap è chiara:

31 maggio 2026 → Designazione sostituto punto di contatto
1 maggio – 30 giugno 2026 → Categorizzazione attività e servizi
31 dicembre 2026 → Designazione referente CSIRT
1 gennaio 2027 → Obbligo notifica incidenti
31 luglio 2027 → Adozione misure di sicurezza di base

Attenzione: queste scadenze non sono universali ma dipendono dalla data di inclusione nel perimetro NIS.

La piattaforma ACN: il vero centro della compliance

La piattaforma digitale ACN non è un semplice portale. È il punto centrale di:

registrazione
aggiornamento annuale
aggiornamento continuo
categorizzazione servizi

Tutte le comunicazioni ufficiali passano da qui. La qualità dei dati inseriti diventa parte integrante della compliance.

Aggiornamento annuale: cosa va davvero gestito

Dal 15 aprile al 31 maggio, ogni soggetto NIS deve aggiornare:

dati anagrafici e legali
organi di amministrazione
IP e domini
servizi erogati
referente CSIRT
fornitori rilevanti

Non è una formalità. È un processo di allineamento tra organizzazione reale e rappresentazione verso ACN.

Fornitori rilevanti: la sicurezza esce dall’azienda

La determina introduce un punto chiave: la sicurezza della supply chain.

I soggetti NIS devono censire i fornitori che:

forniscono servizi ICT
oppure sono critici per la continuità operativa

Per ciascun fornitore vanno indicati dati, paese, CPV e criterio di rilevanza.

Questo significa una cosa: la sicurezza non è più perimetro, ma ecosistema.

Categorizzazione attività e servizi: il vero nodo strategico

Dal 1 maggio al 30 giugno, ogni soggetto deve classificare le proprie attività e servizi.

Questa attività non è solo descrittiva. È la base per:

analisi di impatto (BIA)
definizione delle priorità
costruzione della sicurezza

ACN può verificare a campione e richiedere modifiche.

Ruoli NIS2: non sono nomine simboliche

I ruoli chiave sono:

Punto di contatto
Sostituto punto di contatto
Referente CSIRT

Devono essere persone reali, operative e competenti. In particolare, il referente CSIRT deve essere in grado di gestire incidenti e interfacciarsi con CSIRT Italia.

Il punto critico: la responsabilità è del management

La NIS2 non è un tema IT.

È responsabilità degli organi di amministrazione e direttivi.

Questo comporta:

responsabilità diretta
necessità di governance
obbligo di controllo e supervisione

Chi delega senza controllo è esposto.

Verifiche ACN: non è più un’autodichiarazione

L’ACN può:

verificare le informazioni
chiedere integrazioni
contestare incongruenze

La compliance deve essere coerente, difendibile e documentata.

Cosa devono fare ora le aziende

Le aziende devono partire da qui:

chiarire il perimetro NIS
definire i ruoli
mettere ordine su asset e servizi
censire i fornitori
prepararsi alla categorizzazione
strutturare governance e processi

Chi parte dalla piattaforma senza struttura rischia di costruire una compliance fragile.

Vuoi capire davvero se sei conforme NIS2?

La differenza non è tra chi ha compilato la piattaforma e chi no, ma tra chi ha costruito una struttura solida e chi ha solo dichiarato di averlo fatto.

Se vuoi fare chiarezza sul tuo perimetro NIS, sui fornitori rilevanti e su cosa devi davvero mettere in piedi nei prossimi mesi, puoi confrontarti con noi. Analizziamo la tua situazione attuale e ti diamo una lettura concreta, senza teoria inutile.

Richiedi un confronto diretto qui:

Self-Assessment NIS2

Nota importante: questo strumento non è sostitutivo di una gap analysis ma fornisce una valutazione orientativa. Non sostituisce una consulenza legale né un audit tecnico certificato. Le risposte restano solo nel browser e vengono perse alla chiusura della pagina.

FAQ

Cosa cambia con la determina ACN del 2026?

Introduce nuove scadenze, rafforza l’uso della piattaforma ACN e impone una gestione più strutturata di dati, fornitori e servizi.

Quando scatta l’obbligo di notifica incidenti?

Dal 1 gennaio 2027 per i soggetti inseriti nel 2026.

Chi è il referente CSIRT?

È la figura incaricata di gestire le comunicazioni con CSIRT Italia e notificare gli incidenti.

La NIS2 riguarda anche i fornitori?

Sì. I fornitori rilevanti devono essere censiti e valutati.

La responsabilità è dell’IT?

No. È degli organi di amministrazione e direttivi.

L'articolo NIS2 2026: nuovi adempimenti ACN, scadenze e cosa devono fare davvero i soggetti interessati proviene da Alchimie Digitali.

Cyber law per privati: a chi rivolgerti quando il digitale rischia di finire in tribunale

y.damato — Tue, 14 Apr 2026 12:36:45 +0000

Cyber law per privati: a chi rivolgerti quando il digitale rischia di finire in tribunale

Un telefono che si comporta in modo strano. Un accesso che non riconosci. Dati che spariscono, file modificati, contenuti online che ti riguardano e che non dovrebbero esserci.

Il primo errore, in questi casi, è quasi sempre lo stesso: pensare che sia solo un problema tecnico.

In realtà è spesso il momento esatto in cui il digitale smette di essere un disagio operativo e comincia a diventare una questione più delicata — fatta di prove, responsabilità, verifiche, tempi e possibili conseguenze legali.

Il vero problema non è solo capire cosa è successo. È capire a chi rivolgersi prima di compromettere tutto.

Quando un problema digitale diventa una questione legale

Molte situazioni vengono ancora trattate come semplici anomalie informatiche, quando richiedono invece un approccio molto più attento. Non basta “sistemare” un dispositivo, recuperare un accesso o fare qualche controllo superficiale.

Serve capire cosa è accaduto, cosa può essere dimostrato e come muoversi senza peggiorare il quadro complessivo.

Alcune circostanze in cui il digitale incontra il diritto sono più comuni di quanto si pensi: il sospetto che un telefono sia stato controllato o compromesso, accessi non autorizzati a un account email o social, cancellazione o modifica di dati rilevanti, contenuti online diffamatori o lesivi della reputazione, contenziosi tra soci o collaboratori in cui i fatti transitano da dispositivi, file, cronologie e sistemi digitali.

In questi casi, intervenire senza metodo non aiuta. Spesso danneggia.

Il digitale lascia tracce ma ogni intervento eseguito nel modo sbagliato può alterarle, sovrascriverle o renderle inutilizzabili in una fase successiva.

Cos’è davvero il supporto tecnico-forense in ambito digitale

Il supporto tecnico-forense non sostituisce uno studio legale e non è una normale assistenza informatica. È qualcosa di preciso: un intervento specialistico che entra in gioco quando un problema digitale ha riflessi legali, probatori o contenziosi.

In pratica, significa avere accanto qualcuno in grado di analizzare dati e dispositivi con metodo, preservare le informazioni rilevanti, leggere correttamente ciò che è accaduto sul piano tecnico e tradurre quegli elementi in un quadro comprensibile anche per chi deve valutare il caso sotto un profilo giuridico.

Non è solo una questione tecnica. È una questione di metodo, rigore e tempestività.

Tra il tecnico che interviene ma non sempre lavora in ottica probatoria e il legale, che ha bisogno di elementi chiari, verificabili e tecnicamente fondati, si apre spesso un vuoto. Ed è lì che nascono gli errori più gravi: verifiche improvvisate, tracce perse, dati alterati, elementi che diventano difficili da ricostruire o da utilizzare correttamente.

Dove si colloca Alchimie Digitali in questo scenario

È esattamente in questo spazio che opera Alchimie Digitali, con un approccio che unisce competenze tecniche, capacità di analisi e supporto strutturato nei contesti più delicati.

Quando il digitale incontra il diritto, il rischio maggiore è muoversi tardi o muoversi male. Per questo è fondamentale avere accanto un interlocutore che sappia leggere il problema per quello che è davvero, senza ridurlo a una semplice anomalia tecnica.

Il servizio di assistenza forense e al contenzioso è pensato per affiancare privati, aziende, professionisti e legali nei casi in cui serva una lettura tecnica strutturata — utile a comprendere i fatti e a gestirli correttamente.

A supporto di quest’area opera Periti Digitali, la business unit specializzata nelle attività forensi e nelle analisi tecniche avanzate. Una struttura dedicata che permette di affrontare casi sensibili con maggiore profondità, metodo e coerenza operativa, soprattutto quando la componente digitale non può essere trattata con leggerezza.

Quando è il momento giusto per chiedere supporto

La risposta breve: prima di quanto si pensi.

Molte persone si attivano troppo tardi. Prima provano a risolvere da sole, poi chiedono a un conoscente, poi cambiano password, eliminano contenuti, aggiornano dispositivi — convinte di migliorare la situazione. Nel frattempo, alcune tracce cambiano, spariscono o diventano molto più difficili da interpretare.

Nel digitale, il tempo non sempre chiarisce. A volte compromette.

Vale la pena valutare un supporto tecnico-forense quando:



hai il sospetto che il tuo telefono o dispositivo sia stato controllato o violato



noti accessi anomali o attività che non riconosci su account o sistemi



temi che dati, file o conversazioni possano avere rilievo in un contenzioso



un avvocato ha bisogno di un approfondimento tecnico per leggere correttamente una dinamica digitale

Le prove possono essere sovrascritte. I dati possono essere alterati. E anche un intervento fatto in buona fede può rendere più complessa la ricostruzione dei fatti. Non sempre un caso finisce in tribunale — ma quando accade, ciò che è stato fatto prima pesa moltissimo.

Cyber law per privati: perché questa espressione ha senso oggi

L’espressione cyber law può sembrare tecnica o distante, ma descrive qualcosa di molto concreto: l’area in cui tecnica, analisi e contesto legale devono dialogare bene, senza improvvisazioni.

È un’area reale, in crescita costante, che riguarda sempre più persone comuni — non solo aziende strutturate o soggetti esposti. Chiunque utilizzi dispositivi digitali nella propria vita professionale o personale può trovarsi, prima o poi, in una situazione in cui ciò che ha fatto o non ha fatto sul piano tecnico diventa rilevante.

Capire presto, con il metodo giusto, è spesso il primo passo per proteggersi davvero.

Hai un dubbio su un accesso anomalo, un dispositivo compromesso o una situazione digitale potenzialmente delicata? Valutare subito il contesto con il giusto supporto può fare la differenza tra un problema gestito e un problema aggravato.

Contattaci

FAQ

Come faccio a capire se il mio telefono è spiato?

Segnali come consumo anomalo della batteria, surriscaldamento, traffico dati elevato o comportamenti strani delle app possono essere indicatori. Tuttavia, per avere una risposta affidabile è necessario eseguire un’analisi tecnica approfondita del dispositivo, evitando interventi improvvisati che potrebbero alterare eventuali prove.

Cosa fare subito in caso di account email o social violato?

La prima reazione è spesso cambiare password, ma non è sempre la scelta migliore in ottica tecnica e legale. Prima di intervenire è consigliabile valutare la situazione per preservare eventuali tracce utili a capire come è avvenuto l’accesso e se può avere implicazioni più ampie.

Quando serve una perizia informatica per un privato?

Una perizia informatica può essere utile quando un problema digitale ha possibili conseguenze legali, come accessi abusivi, diffamazione online, perdita o manipolazione di dati, o contenziosi tra privati. In questi casi è fondamentale raccogliere e analizzare le informazioni con un metodo corretto.

Le prove digitali possono essere utilizzate in tribunale?

Sì, ma solo se raccolte e gestite in modo corretto. Interventi non strutturati o fatti senza metodo possono compromettere l’integrità dei dati e ridurre il valore probatorio delle informazioni.

È possibile recuperare dati cancellati con valore legale?

In alcuni casi sì, ma dipende da come e quando si interviene. Il recupero dati deve essere effettuato con strumenti e procedure adeguate, soprattutto se le informazioni devono essere utilizzate in un contesto legale.

Chi contattare in caso di problemi digitali con possibili implicazioni legali?

Quando il problema non è solo tecnico, ma può avere conseguenze legali o probatorie, è utile rivolgersi a professionisti che uniscano competenze tecniche e capacità di operare in contesti di contenzioso, collaborando eventualmente con legali.

Quanto è importante intervenire subito in caso di sospetto accesso abusivo?

È molto importante. Nel digitale le informazioni possono essere modificate, sovrascritte o perse rapidamente. Intervenire in modo corretto fin dalle prime fasi può fare la differenza nella ricostruzione dei fatti.

Domande frequenti dei clienti

Cosa fare se qualcuno ha accesso al mio account email?

È importante non agire in modo impulsivo. Cambiare subito password o cancellare attività può sembrare la soluzione, ma potrebbe compromettere la possibilità di ricostruire l’accesso. La scelta migliore è valutare prima la situazione per capire come è avvenuta la violazione e intervenire in modo strutturato.

È reato entrare nel telefono di un’altra persona?

In molti casi sì. L’accesso abusivo a un dispositivo o a un sistema informatico senza autorizzazione può configurare un illecito, soprattutto se comporta la violazione della privacy o l’acquisizione di dati personali. La valutazione dipende sempre dal contesto e dalle modalità con cui è avvenuto l’accesso.

Come dimostrare un accesso abusivo a un account?

Per dimostrare un accesso non autorizzato è necessario raccogliere elementi tecnici come log, indirizzi IP, cronologie di accesso e attività sospette. Queste informazioni devono essere analizzate e conservate correttamente per poter essere utilizzate in un eventuale contesto legale.

Le chat WhatsApp possono essere usate come prova?

Sì, ma non sempre in modo automatico. Le chat possono avere valore probatorio se vengono acquisite e presentate correttamente. Screenshot o esportazioni non verificabili possono essere contestati, mentre una raccolta strutturata delle informazioni offre maggiore affidabilità.

Quando serve un perito informatico?

Un perito informatico è utile quando un problema digitale ha possibili implicazioni legali, come accessi abusivi, perdita o manipolazione di dati, controversie tra privati o aziende, o situazioni in cui è necessario ricostruire tecnicamente un evento. In questi casi è fondamentale operare con metodo per evitare errori difficilmente recuperabili.

Nota: le informazioni contenute in questa pagina hanno finalità divulgativa e non sostituiscono il parere di un avvocato o di un consulente legale. Ogni situazione va valutata caso per caso.

L'articolo Cyber law per privati: a chi rivolgerti quando il digitale rischia di finire in tribunale proviene da Alchimie Digitali.

NIS2: perché molte aziende si fermano all’analisi (e cosa succede dopo)

y.damato — Fri, 27 Mar 2026 08:30:38 +0000

NIS2: perché molte aziende si fermano all’analisi (e cosa succede dopo)

Basta una gap analysis per essere conformi alla NIS2? No, non basta. Eppure questa è la trappola in cui stanno cadendo molte organizzazioni italiane: commissionano un’analisi iniziale, ricevono una fotografia della loro situazione e si fermano lì.

Non per disinteresse. Non per mancanza di comprensione. Ma perché adeguarsi alla NIS2 è un percorso strutturato, non un documento da archiviare e molte aziende non sono ancora pronte ad affrontarlo nella sua interezza.

Il rischio sottovalutato di fermarsi alla sola analisi

La gap analysis è necessaria: serve a capire dove si è, quali sono le criticità reali e quali i rischi prioritari. Ma sapere dove sono i problemi non li risolve. Avere un documento, una checklist o un report non equivale a essere conformi.

La NIS2 non richiede consapevolezza. Richiede azione.

Fermarsi all’analisi genera un problema specifico e spesso sottovalutato: la falsa sicurezza. L’azienda crede di aver “fatto qualcosa”, mentre di fatto non ha ancora intrapreso nulla di strutturalmente rilevante ai fini della normativa.

Cosa significa davvero adeguarsi alla NIS2

In Italia la NIS2 è stata recepita con il D.Lgs. 138/2024, in vigore dal 18 ottobre 2024. L’autorità competente è l’ACN (Agenzia per la Cybersicurezza Nazionale) che gestisce il portale NIS, definisce le specifiche tecniche e supervisiona la conformità.

La normativa introduce un meccanismo di adeguamento progressivo, che parte dalla comunicazione ufficiale di ACN con cui l’azienda viene inserita nell’elenco dei soggetti essenziali o importanti. Da quel momento scattano due scadenze precise e non negoziabili:

Entro 9 mesi dalla comunicazione ACN: devono essere attivi i processi di gestione e notifica degli incidenti significativi al CSIRT Italia.
Entro 18 mesi dalla comunicazione ACN: devono essere implementate tutte le misure tecniche e organizzative di sicurezza previste dal decreto.

Poiché le prime comunicazioni ACN sono partite ad aprile 2025, per la maggior parte dei soggetti questi termini scadono rispettivamente a gennaio 2026 e ottobre 2026.

L’adeguamento richiede interventi concreti su più livelli: misure tecniche reali, processi aziendali strutturati, formazione del personale, sistemi di monitoraggio attivi, procedure di gestione degli incidenti definite e testate. Non è un documento. È un sistema che deve funzionare.

Ed è, soprattutto, una responsabilità diretta del management: il D.Lgs. 138/2024 prevede per i soggetti essenziali sanzioni fino a 10 milioni di euro o il 2% del fatturato mondiale annuo, con responsabilità personali anche per le figure di direzione e controllo.

Il punto di contatto CSIRT: cosa è davvero (e cosa non è)

Uno degli elementi più citati — e più fraintesi — della NIS2 è il punto di contatto CSIRT. Chiarire cosa sia realmente è fondamentale per non costruire su basi errate.

Il punto di contatto CSIRT è il riferimento ufficiale dell’organizzazione verso il Computer Security Incident Response Team nazionale per la notifica degli incidenti, la gestione delle comunicazioni ufficiali e il coordinamento in caso di eventi critici.

Avere il punto di contatto non significa però essere conformi. È solo uno degli elementi richiesti.

Ciò che fa davvero la differenza non è il titolo della persona che ricopre il ruolo, ma il contesto organizzativo in cui opera. Può essere anche una figura interna non strettamente tecnica, a condizione che sia inserita in una struttura che le consenta di agire correttamente: con processi chiari di gestione degli incidenti, supporto tecnico adeguato, strumenti di monitoraggio e procedure interne definite.

Le competenze necessarie sono distribuite, non individuali: capacità di coordinamento, comprensione dei processi aziendali, accesso a competenze tecniche, capacità di attivare le procedure corrette nei tempi richiesti dalla normativa, pre-notifica entro 24 ore, notifica formale entro 72 ore, relazione finale entro 30 giorni.

La domanda giusta non è “chi è il punto di contatto?” ma “quanto l’azienda è pronta a supportarlo?”

Un approccio sostenibile: il percorso a fasi

Proprio per questa complessità, il modo corretto di affrontare la NIS2 non è un pacchetto unico e rigido. È un percorso progressivo, costruito per accompagnare l’organizzazione nel tempo senza bloccarla.

Il percorso si articola in fasi con obiettivi e output precisi: analisi reale dello stato attuale, definizione delle priorità e della roadmap, formazione del board e del management, implementazione tecnica delle misure, formazione operativa e adeguamento dei processi, monitoraggio e continuità operativa.

La formazione del board è un passaggio chiave, spesso sottovalutato. La NIS2 responsabilizza esplicitamente i vertici aziendali: i dirigenti devono seguire percorsi formativi sulla sicurezza informatica, approvare le politiche di sicurezza e monitorarne l’implementazione. Prima di intervenire sull’azienda, chi prende le decisioni deve avere piena consapevolezza dei rischi e delle proprie responsabilità personali.

Strutturare il percorso a fasi consente all’azienda di iniziare, valutare, comprendere il valore del lavoro svolto e decidere come proseguire, senza vincoli insostenibili e senza rischiare di paralizzarsi di fronte alla complessità complessiva.

Adeguamento NIS2: dalla strategia all’operatività, con un unico partner

Adeguarsi alla NIS2 è obbligatorio. Il modo in cui ci si arriva deve essere sostenibile.

Il valore di avere un unico partner lungo tutto il percorso, dalla prima analisi fino alla piena operatività, sta proprio in questo: non si limita a indicare i problemi, ma li affronta e li risolve insieme all’azienda. Nella definizione della strategia, nella formazione del management, nell’implementazione tecnica, nella riorganizzazione dei processi, nella continuità operativa.

Il primo passo: consapevolezza reale della propria situazione

Il momento più delicato è spesso proprio l’inizio. Prendere consapevolezza delle proprie vulnerabilità non è comodo. Ma è inevitabile.

Se la tua azienda rientra tra i soggetti NIS2, perché opera in uno dei 18 settori previsti, perché supera determinate soglie dimensionali, o perché è parte di una filiera rilevante, non si tratta più di valutare se adeguarsi. Si tratta di capire come farlo, con quali priorità e con quale sostenibilità.

Il primo passo è sempre un’analisi reale dello stato attuale. Solo così è possibile costruire una roadmap efficace e iniziare nel modo giusto.

La NIS2 non si acquista. Si costruisce. È un percorso, non un documento. L’importante non è iniziare tutto subito: è iniziare nel modo giusto.

Parliamone

FAQ

Cosa succede se non mi adeguo alla NIS2?

Il mancato adeguamento espone l’azienda a sanzioni significative — fino a 10 milioni di euro o il 2% del fatturato per i soggetti essenziali, fino a 7 milioni o l’1,4% per i soggetti importanti — oltre a responsabilità personali del management e a rischi operativi concreti in caso di incidente informatico.

La NIS2 riguarda anche la mia azienda?

Molte organizzazioni non sanno di rientrare nella normativa. Se operi in uno degli 11 settori altamente critici o nei 7 settori critici previsti dal decreto, o se sei fornitore di un soggetto NIS2, potresti essere coinvolto anche senza saperlo.

Chi è responsabile della compliance NIS2 in azienda?

La responsabilità non è solo tecnica: ricade sul management. Il D.Lgs. 138/2024 prevede che i vertici aziendali garantiscano l’adozione e il funzionamento delle misure, con responsabilità personali espressamente normate.

Serve cambiare tutta l’infrastruttura IT?

Non necessariamente. Ma nella maggior parte dei casi è necessario intervenire su configurazioni, processi e strumenti per raggiungere il livello di sicurezza richiesto dalle specifiche di base ACN.

Quanto tempo ho per adeguarmi?

Dalla comunicazione ufficiale di ACN hai 9 mesi per attivare il sistema di notifica degli incidenti e 18 mesi per implementare le misure di sicurezza complete. Chi ha ricevuto la comunicazione ad aprile 2025 ha le scadenze rispettivamente a gennaio e ottobre 2026.

Cos’è il punto di contatto CSIRT nella NIS2?

È il riferimento ufficiale verso il CSIRT nazionale per notifiche e gestione degli incidenti. Da solo non garantisce la conformità: deve essere supportato da processi, strumenti e competenze distribuite all’interno dell’organizzazione.

Posso fare tutto internamente?

Alcune attività possono essere gestite internamente, ma la definizione della strategia, la corretta implementazione tecnica e il rispetto delle scadenze normative richiedono quasi sempre il supporto di un partner esperto.

L'articolo NIS2: perché molte aziende si fermano all’analisi (e cosa succede dopo) proviene da Alchimie Digitali.

Workshop NIS2 a Modena: cosa abbiamo costruito insieme (e da dove si riparte)

y.damato — Fri, 20 Mar 2026 14:47:36 +0000

Workshop NIS2 a Modena: cosa abbiamo costruito insieme (e da dove si riparte)

È stato utile partecipare al workshop NIS2?

Sì, se ha generato una cosa: consapevolezza reale del proprio stato di maturità.

Il workshop NIS2 che si è tenuto a Modena presso Alchimie Digitali non voleva essere un semplice momento informativo.L’obiettivo era più concreto: aiutare le aziende a capire dove sono oggi e cosa devono davvero fare nei prossimi 9 e 18 mesi.

Grazie a chi ha partecipato (e si è messo in gioco davvero)

Un grazie sincero a tutte le aziende e ai professionisti che hanno partecipato.

Non è scontato fermarsi, dedicare tempo e confrontarsi su temi come:

responsabilità del management
gestione degli incidenti cyber
evidenze documentali
organizzazione interna

La partecipazione attiva, le domande e i confronti emersi durante il workshop hanno reso l’incontro concreto, utile e costruttivo.

Il valore del confronto: non teoria, ma realtà aziendale

Il workshop ha seguito una logica precisa:non spiegare la normativa in astratto, ma calarla dentro le aziende.

Guidati da Pietro Suffritti, abbiamo affrontato:

cosa cambia davvero con gli aggiornamenti ACN
cosa significa responsabilità diretta del management
perché il tema non è “tecnico”, ma organizzativo
quali evidenze servono in caso di verifica

Il tutto senza semplificazioni inutili, ma con un linguaggio chiaro e diretto.

Un lavoro di squadra: il team NIS2

Dietro al workshop c’è stato un lavoro strutturato e multidisciplinare.

Un ringraziamento a:

Nicola Fabbri
Avv. Antonello Maria Giacobazzi
Ing. Marco Marchi
Avv. Simone Bonfante

Un team che ha portato competenze diverse ma complementari:legali, tecniche, organizzative e strategiche.

Il punto chiave: l’autoconsapevolezza è l’inizio, non la fine

Durante il workshop è emersa una cosa chiara: La NIS2 non si “fa”. Si costruisce.

E si costruisce partendo da una domanda semplice: A che punto è davvero la mia azienda?

L’autodiagnosi svolta durante l’incontro ha mostrato che molte realtà:

hanno elementi già presenti
ma non formalizzati
oppure non testati
oppure non dimostrabili

Ed è proprio qui che nasce il problema.

NIS2: non è una questione di sicurezza, ma di responsabilità

Uno dei messaggi più forti emersi:

non è solo cybersecurity
non è solo IT
non è solo compliance

È responsabilità diretta del management e questo cambia completamente il modo di affrontare il tema.

E adesso?

Se il workshop ha funzionato, ha lasciato una sensazione chiara: “Ok, ora so cosa devo fare… ma devo farlo davvero.”

I prossimi passi non sono teorici:

costruire una roadmap
formalizzare ciò che esiste
testare ciò che è stato definito
creare evidenze dimostrabili

Un ultimo grazie (e un invito)

Grazie a chi ha partecipato, ascoltato, fatto domande e condiviso esperienze. Speriamo sia stato per tutti un momento utile, concreto e costruttivo. Perché il vero risultato non è aver partecipato a un workshop, ma aver iniziato un percorso.

Se non hai partecipato

Se ti sei perso questo incontro, la domanda è semplice: Sai davvero a che punto è la tua azienda rispetto alla NIS2? Se la risposta non è chiara, probabilmente è da lì che bisogna partire.

L'articolo Workshop NIS2 a Modena: cosa abbiamo costruito insieme (e da dove si riparte) proviene da Alchimie Digitali.

Workshop – NIS2: La Strada È Chiara. 9 mesi per essere pronti. 18 per essere solidi.

y.damato — Fri, 20 Feb 2026 08:52:02 +0000

NIS2: La Strada È Chiara

9 mesi per essere pronti. 18 per essere solidi.

Gli aggiornamenti ACN di fine 2025 hanno segnato un punto di svolta: la NIS2 non è più un labirinto interpretativo, ma un percorso misurabile e strutturabile.

Oggi la domanda non è solo “Cosa prevede la norma?”
La domanda è: la tua azienda è pronta a dimostrare di essere conforme?

Il 20 marzo 2026 Alchimie Digitali Srl organizza un workshop operativo in presenza, dedicato alle aziende soggette alla Direttiva NIS2, pensato per trasformare l’obbligo normativo in metodo concreto e verificabile.

VENERDÌ 20 MARZO 2026 | 11:00 - 13:00

Giorno(s)

Ore(s)

Minuto(i)

Second(s)

Prenota il tuo posto

Perché partecipare

Il workshop offrirà:

Un inquadramento chiaro e aggiornato del contesto normativo NIS2 alla luce delle indicazioni ACN 2025
Una lettura operativa delle responsabilità del management
Un collegamento diretto tra norma, organizzazione e processi aziendali
Una roadmap concreta 9 mesi / 18 mesi

Non sarà un incontro teorico, ma un momento di approfondimento strutturato che unisce quadro normativo e applicazione pratica.

La NIS2 oggi si misura su elementi concreti:

Governance e responsabilità
Identificazione del perimetro e gestione del rischio
Misure di sicurezza documentate
Monitoraggio continuo e capacità di rilevamento
Gestione e notifica degli incidenti
Ripristino e continuità operativa

Cosa affronteremo durante l’incontro

Durante il workshop analizzeremo:

Gli aggiornamenti ACN 2025 e cosa comportano per le imprese
Le responsabilità dirette del management
Il processo di gestione degli incidenti e le tempistiche di notifica verso CSIRT e ACN
Il monitoraggio continuo di apparati, reti e servizi
Le evidenze documentali richieste in caso di verifica
La roadmap operativa: cosa deve esistere entro 9 mesi e cosa deve essere consolidato entro 18 mesi

L’obiettivo è fornire ai partecipanti una visione integrata tra norma, organizzazione e strumenti operativi.

Sessione finale: autovalutazione guidata NIS2

Nella parte conclusiva dell’evento proporremo un momento di autovalutazione strutturata.

Un questionario articolato in 15 indicatori chiave (75 punti complessivi) che consente di comprendere il livello attuale di preparazione dell’organizzazione rispetto agli obblighi NIS2.

Si tratta di uno strumento di presa di consapevolezza, pensato per aiutare aziende, IT Manager, Legal e Direzione a capire:

Quali elementi sono già presenti
Quali aspetti devono essere formalizzati
Dove manca monitoraggio o verifica
Quali aree richiedono priorità di intervento

Non è un audit. Non è una verifica formale. È un momento di analisi strutturata del proprio stato di avanzamento.

La NIS2 non è una questione di punteggio. È una questione di organizzazione, responsabilità ed evidenze.

Iscrizione

Se la tua azienda è soggetta alla NIS2 o sta valutando il proprio livello di conformità, questo workshop rappresenta un’occasione concreta per fare chiarezza e definire le priorità.A chi è rivolto

Il workshop è rivolto a:

IT Manager e Responsabili Cybersecurity
Legal e Compliance Officer
CEO e Direzione Generale

Particolarmente indicato per aziende con sede a Modena, in Emilia-Romagna e nel Nord Italia, ma aperto a organizzazioni su tutto il territorio nazionale.

Modalità e luogo

Il workshop si svolgerà esclusivamente in presenza.

Data: 20 Marzo 2026
Orario: 11:00 – 13:00
Sede: Alchimie Digitali Srl
Via Elia Rainusso 110 – 41124 Modena (MO)

Non è prevista modalità online o ibrida. La scelta dell’incontro in presenza nasce dalla volontà di favorire confronto diretto e dialogo tra professionisti.

Posti limitati, perciò per mantenere un contesto di confronto diretto e favorire la qualità dell’interazione tra i partecipanti, le richieste di partecipazione saranno confermate fino a esaurimento posti.

La conferma verrà inviata via mail una volta completata valutate le candidature previa registrazione.

FAQ

Cos’è la Direttiva NIS2 e chi riguarda?

La Direttiva NIS2 è la normativa europea che rafforza gli obblighi di cybersecurity per aziende considerate essenziali o importanti. In Italia è recepita e monitorata da ACN (Agenzia per la Cybersicurezza Nazionale). Riguarda imprese di diversi settori strategici e realtà che forniscono servizi critici o digitali.

Quali sono le principali novità degli aggiornamenti ACN 2025?

Gli aggiornamenti ACN 2025 hanno chiarito responsabilità del management, obblighi di notifica degli incidenti, requisiti di monitoraggio continuo e necessità di evidenze documentali verificabili. L’attenzione si sposta dalla teoria alla dimostrabilità delle misure adottate.

Cosa significa essere conformi alla NIS2?

Essere conformi alla NIS2 significa avere governance formalizzata, analisi del rischio aggiornata, misure di sicurezza documentate, monitoraggio continuo attivo, gestione strutturata degli incidenti e piani di ripristino verificati. Non basta avere strumenti: servono processi tracciabili.

Entro quando bisogna adeguarsi alla NIS2?

imi strutturali; entro 18 mesi occorre consolidare e rendere verificabile l’intero sistema organizzativo e tecnico.

Cosa succede se un’azienda non è conforme alla NIS2?

La mancata conformità può comportare sanzioni amministrative, responsabilità del management e impatti reputazionali. Inoltre, in caso di incidente informatico, l’assenza di evidenze organizzative può aggravare la posizione dell’azienda.

Il workshop è utile anche per CEO non tecnici?

Sì. Il workshop è progettato per essere comprensibile anche ai CEO e alla Direzione Generale. Non richiede competenze tecniche avanzate, ma offre una visione chiara delle responsabilità organizzative e decisionali.

È previsto supporto successivo all’evento?

Sì. Le aziende interessate potranno richiedere un approfondimento o un percorso strutturato di adeguamento NIS2 attraverso audit, roadmap operative e affiancamento tecnico-organizzativo.

L'articolo Workshop – NIS2: La Strada È Chiara. 9 mesi per essere pronti. 18 per essere solidi. proviene da Alchimie Digitali.

NIS2: con le Linee Guida ACN la strada è finalmente chiara. Ecco cosa fare adesso.

y.damato — Mon, 16 Feb 2026 09:00:45 +0000

NIS 2: con le Linee Guida ACN la strada è finalmente chiara. Ecco cosa fare adesso.

La Direttiva NIS2 (UE) 2022/2555, recepita in Italia con il D.Lgs. 138/2024, è entrata nella sua fase operativa. Con la pubblicazione delle Linee Guida – Specifiche di base – Guida alla lettura (versione 2.0, dicembre 2025), l’Agenzia per la Cybersicurezza Nazionale (ACN) ha reso concrete le modalità applicative degli articoli 23, 24 e 25 del decreto.

NIS2: non è (più) solo un tema IT

Quando si parla di NIS2, molte organizzazioni pensano ancora a un adeguamento tecnico. Sbagliato.

L’articolo 23 del D.Lgs. 138/2024 disciplina espressamente gli obblighi in capo agli organi di amministrazione e direttivi. Questo significa tre cose concrete:

La sicurezza informatica non può essere delegata esclusivamente alla funzione IT.
Le decisioni strategiche in materia di cybersecurity devono essere formalizzate e approvate.
La documentazione adottata deve essere coerente con le misure effettivamente implementate.

La NIS2 sposta la cybersecurity dal livello operativo al livello di governance. Per un consiglio di amministrazione, adeguarsi significa dotarsi di un sistema formalizzato di gestione del rischio cyber — non acquistare una tecnologia, ma strutturare un modello decisionale, documentato e verificabile.

Le scadenze che il management non può ignorare

Le Linee Guida ACN ribadiscono due termini fondamentali, entrambi calcolati dalla ricezione della comunicazione ufficiale di inserimento nell’elenco dei soggetti NIS:

Obbligo	Termine
Adozione delle misure di sicurezza di base	18 mesi
Adempimento dell’obbligo di notifica degli incidenti significativi	9 mesi

Dal 12 aprile 2025 l’ACN ha avviato le comunicazioni di inserimento nell’elenco. Da quella data decorrono i termini per ciascun soggetto.

La differenza tra i 18 e i 9 mesi non è casuale: la capacità di notificare un incidente significativo deve essere operativa prima del completamento dell’intero impianto di sicurezza. È una priorità di processo, non solo tecnica.

Cosa succede se non si rispettano le scadenze?

Le Linee Guida ACN hanno natura operativa e interpretativa: chiariscono le modalità applicative, non disciplinano il regime sanzionatorio.

Le sanzioni previste per il mancato adeguamento o la mancata notifica sono stabilite dal D.Lgs. 138/2024. In particolare, la mancata notifica di un incidente significativo costituisce violazione dell’articolo 25 del decreto. Per conoscere i dettagli sanzionatori è necessario fare riferimento al testo normativo.

Misure di sicurezza di base: un approccio fondato sul rischio

Le misure di sicurezza previste dagli Allegati 1 e 2 della determinazione ACN sono strutturate in coerenza con il Framework Nazionale per la Cybersecurity e organizzate per funzioni, categorie, sottocategorie e requisiti.

L’impianto è costruito esplicitamente su un approccio basato sul rischio. Le clausole presenti nelle specifiche di base lo confermano, ad esempio:

“per almeno i sistemi informativi e di rete rilevanti”
“in accordo agli esiti della valutazione del rischio di cui alla misura ID.RA-05”
“fatte salve motivate e documentate ragioni normative o tecniche”
“forniture con potenziali impatti sulla sicurezza dei sistemi informativi e di rete”

Implicazione pratica: senza una valutazione del rischio strutturata (misura ID.RA-05), non è possibile dimostrare la corretta applicazione delle misure. La valutazione del rischio non è un’attività propedeutica: è il pilastro su cui si regge l’intero impianto.

Soggetti essenziali e soggetti importanti: cosa cambia

Il D.Lgs. 138/2024 ha sostituito le categorie della Direttiva: Operatori di Servizi Essenziali (OSE) e Fornitori di Servizi Digitali (FSD) con due nuove categorie:

Soggetti essenziali
Soggetti importanti

Le Linee Guida ACN di dicembre 2025 non introducono questa classificazione, ma la declinano operativamente nelle specifiche di base. Le differenze non sono solo terminologiche, ma si traducono in obblighi quantitativamente e qualitativamente differenti:

Categoria	Misure	Requisiti
Soggetti importanti	37	87
Soggetti essenziali	43	116

Alcune misure sono previste esclusivamente per i soggetti essenziali; altre presentano requisiti aggiuntivi rispetto alla versione destinata ai soggetti importanti. La classificazione determina l’estensione concreta degli obblighi.

Incidenti significativi: quando scatta l’obbligo di notifica

Le Linee Guida distinguono le tipologie di incidenti significativi in base alla categoria del soggetto:

Soggetti importanti: 3 tipologie di incidenti
Soggetti essenziali: 4 tipologie di incidenti

Le tipologie comprendono eventi come:

perdita di riservatezza verso l’esterno
perdita di integrità con impatto verso l’esterno
violazione dei livelli di servizio attesi
accesso non autorizzato o con abuso dei privilegi concessi

Due termini da rispettare:

Pre-notifica: entro 24 ore dall’evidenza oggettiva dell’incidente
Notifica completa: entro 72 ore dall’evidenza oggettiva dell’incidente

Un dettaglio spesso trascurato: l’obbligo non riguarda solo gli attacchi intenzionali. Anche eventi accidentali che compromettano disponibilità, integrità o riservatezza dei sistemi rientrano nell’obbligo di notifica.

Appendice C: la cybersecurity diventa responsabilità formale del CDA

L’Appendice C delle Linee Guida elenca i documenti che devono essere approvati dagli organi di amministrazione e direttivi. Si tratta di un elenco che trasforma la cybersecurity in un sistema di governance formale:

Organizzazione per la sicurezza informatica
Politiche di sicurezza informatica
Valutazione del rischio
Piano di trattamento del rischio
Piano di adeguamento
Piano di continuità operativa
Piano di ripristino in caso di disastro
Piano di gestione delle crisi
Piano di formazione
Piano di gestione degli incidenti

Non si tratta di documenti da archiviare. Devono essere approvati, aggiornati e verificabili nel tempo dai massimi livelli decisionali dell’organizzazione.

Questo elenco ci è familiare. Da molto tempo.

Quando abbiamo analizzato l’Appendice C delle Linee Guida ACN, la prima reazione non è stata sorpresa. È stata riconoscimento.

Politiche di sicurezza, valutazione del rischio, piano di continuità operativa, disaster recovery, gestione degli incidenti, formazione: sono esattamente le aree su cui Alchimie Digitali lavora con i propri clienti da anni. Non perché abbiamo anticipato la NIS 2 — ma perché è sempre stata semplicemente informatica fatta bene.

Nel tempo, più di qualche cliente ci ha chiesto: “Ma voi quante cose fate?”. La risposta è che non si tratta di tante cose separate. Si tratta di un unico sistema in cui ogni pezzo è consequenziale al successivo e nessuno può esistere senza gli altri. Non puoi avere un piano di ripristino da disastro senza prima aver fatto una valutazione del rischio. Non puoi gestire un incidente se non hai definito le procedure prima che accada. Non puoi garantire la continuità operativa se non sai cosa devi proteggere e perché.

La NIS2 e in particolare l’Appendice C, ha fatto una cosa utile: ha messo per iscritto, in un documento normativo vincolante, quello che chi lavora seriamente nell’IT ha sempre considerato ovvio. Ha dato un nome di legge a una catena logica di attività che non nasce dalla compliance, ma dal buon senso applicato alla gestione dei sistemi informativi.

Il risultato pratico per i nostri clienti è che molti di loro sono già parzialmente coperti, o hanno una base solida da cui partire. Non perché si siano adeguati alla NIS2 in anticipo, ma perché hanno scelto un approccio alla gestione IT che non separava mai la tecnologia dalla continuità del business.

Per chi invece sta affrontando questi temi per la prima volta, la buona notizia è questa: i pezzi non vanno costruiti uno per uno in isolamento. Vanno progettati insieme, perché insieme funzionano.

Le evidenze documentali: dimostrare l’adeguamento

L’adeguamento NIS2 non è solo implementazione tecnica. È capacità di dimostrazione.

Tra le evidenze documentali richieste rientrano: elenchi, inventari, piani, politiche, procedure e registri. L’organizzazione può strutturarli secondo il proprio contesto, ma devono essere coerenti, disponibili e fruibili in caso di verifica.

Come strutturare un percorso di adeguamento NIS2 sostenibile

Un percorso coerente con le Linee Guida ACN prevede queste fasi in sequenza:

Identificazione del perimetro NIS — capire se e in quale categoria si rientra
Valutazione del rischio — costruire la base su cui si reggono tutte le misure (misura ID.RA-05)
Piano di trattamento — definire priorità e azioni
Formalizzazione dei documenti Appendice C — predisporre ciò che richiede approvazione del CDA
Implementazione delle misure — tecniche e organizzative
Definizione delle procedure di notifica — operative entro i 9 mesi
Approvazione del management — indispensabile per i documenti previsti dall’Appendice C

Un audit iniziale consente di verificare il gap rispetto alle specifiche di base e definire una roadmap sostenibile.

Scopri il servizio di Audit NIS 2 di Alchimie Digitali

In uno scenario regolato, la differenza la fa il metodo

Le Linee Guida ACN di dicembre 2025 consolidano un modello di sicurezza strutturato, governato e verificabile. Adeguarsi alla NIS 2 non significa compilare checklist tecniche, ma costruire un sistema di gestione del rischio cyber formalizzato, coerente e sostenibile nel tempo.

Il primo passo è sapere dove si è.

Richiedi un Audit NIS 2 con Alchimie Digitali

FAQ

Da quando decorrono i 18 mesi per adeguarsi alla NIS 2?

I 18 mesi decorrono dalla ricezione della comunicazione ufficiale di inserimento nell’elenco dei soggetti NIS da parte dell’ACN. Le prime comunicazioni sono partite dal 12 aprile 2025. Il termine vale individualmente per ciascun soggetto dalla data della propria comunicazione.

Cosa succede se non notifico un incidente significativo entro i termini?

La mancata notifica entro le 72 ore (o la pre-notifica entro le 24 ore) dall’evidenza oggettiva dell’incidente costituisce violazione dell’articolo 25 del D.Lgs. 138/2024. Il regime sanzionatorio è disciplinato dal decreto, non dalle Linee Guida ACN, che hanno natura esclusivamente operativa.

È obbligatoria l'approvazione del CDA per i documenti NIS2?

Sì. L’Appendice C delle Linee Guida ACN prevede espressamente l’approvazione da parte degli organi di amministrazione e direttivi per una serie di documenti, tra cui politiche di sicurezza, valutazione del rischio, piano di continuità operativa e piano di gestione degli incidenti.

Le PMI sono escluse dagli obblighi NIS2?

No, non automaticamente. Le PMI possono rientrare nell’ambito applicativo della NIS 2 qualora soddisfino i criteri dimensionali o settoriali previsti dal D.Lgs. 138/2024. La classificazione dipende dal settore di attività e dalla soglia di fatturato/organico, non solo dalle dimensioni aziendali.

Qual è la differenza tra soggetti essenziali e soggetti importanti nella NIS 2?

I soggetti essenziali sono soggetti a 43 misure e 116 requisiti; i soggetti importanti a 37 misure e 87 requisiti. Alcune misure sono previste solo per i soggetti essenziali. Questa classificazione sostituisce la precedente distinzione tra Operatori di Servizi Essenziali (OSE) e Fornitori di Servizi Digitali (FSD) prevista dalla Direttiva NIS 1.

Cosa sono le Linee Guida ACN versione 2.0 di dicembre 2025?

Sono le Linee Guida – Specifiche di base – Guida alla lettura (versione 2.0) pubblicate dall’Agenzia per la Cybersicurezza Nazionale a dicembre 2025. Chiariscono in modo puntuale le modalità applicative degli obblighi previsti dagli articoli 23, 24 e 25 del D.Lgs. 138/2024 (decreto NIS). Non disciplinano il regime sanzionatorio, ma forniscono un quadro operativo per l’adeguamento.

Altre domande su NIS 2 che le persone cercano

Cos'è la NIS2 e a chi si applica in Italia?

La NIS 2 è la Direttiva europea (UE) 2022/2555 sulla sicurezza delle reti e dei sistemi informativi. In Italia è stata recepita con il D.Lgs. 138/2024, in vigore dal 16 ottobre 2024. Si applica a organizzazioni — pubbliche e private — che operano in settori considerati critici per l’economia e la società: energia, trasporti, banche, sanità, infrastrutture digitali, pubblica amministrazione e altri. Non si applica solo alle grandi imprese: anche le medie aziende possono rientrare nell’ambito applicativo se operano nei settori previsti dal decreto.

Qual è la differenza tra NIS1 e NIS2?

La Direttiva NIS 1 (2016/1148) si applicava a un numero limitato di operatori, suddivisi in Operatori di Servizi Essenziali (OSE) e Fornitori di Servizi Digitali (FSD). La NIS 2 amplia significativamente il perimetro: introduce due nuove categorie — soggetti essenziali e soggetti importanti — estende l’applicazione a nuovi settori e aumenta i requisiti di sicurezza e governance. In Italia, con il D.Lgs. 138/2024, gli obblighi vengono estesi anche agli organi di amministrazione delle organizzazioni, che diventano direttamente responsabili delle decisioni in materia di cybersecurity.

Entro quando bisogna adeguarsi alla NIS2 in Italia?

I termini decorrono dalla ricezione della comunicazione ufficiale di inserimento nell’elenco dei soggetti NIS da parte dell’ACN, le cui prime notifiche sono partite dal 12 aprile 2025. Da quella data, ogni soggetto ha 18 mesi per adottare le misure di sicurezza di base e 9 mesi per rendere operativa la capacità di notifica degli incidenti significativi. I termini sono individuali: decorrono dalla propria comunicazione, non da una data unica uguale per tutti.

Chi controlla il rispetto della NIS 2 in Italia?

In Italia l’autorità competente per la supervisione e l’applicazione della NIS 2 è l’ACN — Agenzia per la Cybersicurezza Nazionale, istituita nel 2021. L’ACN gestisce l’elenco dei soggetti NIS, pubblica le linee guida operative (come le Specifiche di base versione 2.0 di dicembre 2025), coordina la gestione degli incidenti e può avviare attività di verifica e ispezione nei confronti dei soggetti obbligati.

Cosa si intende per "incidente significativo" nella NIS 2?

Un incidente significativo ai sensi della NIS2 è un evento, intenzionale o accidentale, che compromette in modo rilevante la disponibilità, l’integrità o la riservatezza dei sistemi informativi e di rete di un’organizzazione. Le Linee Guida ACN (versione 2.0, dicembre 2025) identificano 3 tipologie per i soggetti importanti e 4 tipologie per i soggetti essenziali, che includono perdita di riservatezza verso l’esterno, perdita di integrità con impatto esterno, violazione dei livelli di servizio attesi e accesso non autorizzato o con abuso dei privilegi. La pre-notifica all’ACN deve avvenire entro 24 ore e la notifica completa entro 72 ore dall’evidenza oggettiva dell’incidente.

Quanto costano le sanzioni NIS 2 in Italia?

Le sanzioni per il mancato rispetto degli obblighi NIS 2 sono disciplinate dal D.Lgs. 138/2024 e non dalle Linee Guida operative ACN. Il regime sanzionatorio della Direttiva NIS 2 prevede, per i soggetti essenziali, sanzioni amministrative fino a 10 milioni di euro o il 2% del fatturato mondiale annuo (si applica l’importo più elevato). Per i soggetti importanti, le sanzioni arrivano fino a 7 milioni di euro o l’1,4% del fatturato mondiale. Per i dettagli applicativi nel contesto italiano è necessario fare riferimento al testo del decreto.

La NIS2 riguarda anche la Business Continuity e il Disaster Recovery?

Sì. L’Appendice C delle Linee Guida ACN (versione 2.0, dicembre 2025) prevede espressamente che gli organi di amministrazione approvino sia il Piano di continuità operativa sia il Piano di ripristino in caso di disastro (Disaster Recovery). Questi documenti non sono opzionali: rientrano tra le evidenze documentali richieste per dimostrare l’adeguamento. La NIS 2 tratta la continuità operativa come un requisito di governance, non solo come una buona pratica tecnica

Cosa deve approvare il consiglio di amministrazione per la NIS 2?

Secondo l’Appendice C delle Linee Guida ACN, gli organi di amministrazione e direttivi devono approvare formalmente: la politica di sicurezza informatica, la valutazione del rischio, il piano di trattamento del rischio, il piano di adeguamento, il piano di continuità operativa, il piano di ripristino in caso di disastro, il piano di gestione delle crisi, il piano di formazione e il piano di gestione degli incidenti. L’approvazione non è delegabile: la NIS2 colloca la cybersecurity al livello della governance aziendale, con responsabilità dirette per gli amministratori.

Un'azienda già dotata di sistemi di gestione ISO 27001 deve comunque adeguarsi alla NIS2?

L’adozione di un sistema di gestione per la sicurezza delle informazioni conforme alla ISO/IEC 27001 costituisce una base solida e coerente con l’approccio basato sul rischio richiesto dalla NIS2. Tuttavia, la certificazione ISO 27001 non equivale automaticamente alla conformità NIS2: la normativa italiana introduce requisiti specifici (in particolare sull’Appendice C, sulla notifica degli incidenti e sulla governance formale degli organi di amministrazione) che vanno verificati caso per caso attraverso un’analisi del gap rispetto alle Specifiche di base ACN.

L'articolo NIS2: con le Linee Guida ACN la strada è finalmente chiara. Ecco cosa fare adesso. proviene da Alchimie Digitali.

Safer Internet Day 2026: sicurezza online, comportamenti digitali e responsabilità per le imprese

y.damato — Tue, 10 Feb 2026 08:50:16 +0000

Safer Internet Day 2026: sicurezza online, comportamenti digitali e responsabilità per le imprese

Oggi, 10 febbraio, si celebra il Safer Internet Day 2026, la giornata internazionale promossa a livello europeo per riflettere sull’uso sicuro e consapevole di Internet. Il tema di quest’anno è incentrato in particolare sul rapporto tra giovani e intelligenza artificiale, affiancato – come da tradizione – dall’attenzione ai fenomeni di cyberbullismo e comportamenti digitali a rischio.

Un approccio importante, ma che riguarda solo una parte del problema.

Dal punto di vista delle imprese, la sicurezza online non è una questione di sensibilizzazione occasionale: è un tema strutturale, continuo, che coinvolge tecnologia, persone e responsabilità legali. Ed è proprio da qui che vogliamo partire.

Navigare sicuri in rete: cosa significa davvero per un’azienda

Sicurezza online in azienda: dal “tool” al rischio misurabile

In azienda, la sicurezza online non è un prodotto: è una riduzione del rischio.

Per un’organizzazione, “navigare sicuri in rete” non significa semplicemente evitare contenuti pericolosi o adottare buone pratiche individuali. Significa ridurre il rischio digitale complessivo che può impattare su dati, operatività e reputazione.

Navigare in modo sicuro significa:

proteggere dati e informazioni aziendali
ridurre l’esposizione a incidenti informatici
prevenire accessi non autorizzati e abusi
governare l’uso degli strumenti digitali
limitare rischi operativi, reputazionali e legali

La sicurezza online, in ambito aziendale, va quindi letta come processo di governance, non come semplice adozione di strumenti tecnici.

Quando il fattore umano diventa il punto debole (e come ridurre il rischio)

Il rischio più comune non è una falla: è un comportamento

Il fattore umano non è “il problema”: è il perimetro più esposto.

Molti incidenti informatici non hanno origine da una vulnerabilità tecnologica, ma da comportamenti digitali non governati. Email, chat, piattaforme collaborative e social network sono oggi parte integrante anche dei contesti lavorativi, e introducono dinamiche relazionali che, se trascurate, possono trasformarsi in rischio.

Fenomeni come molestie digitali, conflitti online, uso improprio degli strumenti aziendali o escalation di comportamenti ostili rappresentano spesso il primo anello di una catena che può portare a problemi ben più concreti.

Cosa insegna la lotta al cyberbullismo quando il digitale entra in azienda

Quando le dinamiche online diventano policy, procedure e responsabilità

Senza regole chiare, il digitale amplifica conflitti e ambiguità.

Da anni, accanto all’attività tecnica e consulenziale, opera anche l’esperienza dell’APS Zemian Dojo, impegnata nella lotta al cyberbullismo e nello studio delle dinamiche relazionali online.
Il lavoro svolto dall’associazione evidenzia un punto chiave anche per il mondo aziendale: la sicurezza digitale non dipende solo dalla tecnologia, ma dai comportamenti delle persone che la utilizzano.

Le stesse logiche che alimentano il cyberbullismo – mancanza di consapevolezza, uso distorto degli strumenti digitali, sottovalutazione delle conseguenze – sono spesso presenti anche in contesti professionali.

Quando un conflitto online diventa un caso aziendale (e legale)

Tracce digitali, contesto e tutela: cosa cambia quando “resta tutto scritto”

Nel digitale, ciò che accade spesso lascia tracce. Il punto è gestirle correttamente.

Quando un comportamento digitale supera una certa soglia, il tema non è più solo organizzativo o disciplinare. In alcuni casi, può trasformarsi in un problema tecnico-legale, con impatti diretti sull’azienda.

Chat, email, profili social, dispositivi e account diventano tracce digitali persistenti, che possono essere contestate, analizzate e utilizzate come elementi di tutela o di difesa.

Quando servono prove e metodo: il ruolo dell’informatica forense

Dati, log, chat e dispositivi: perché la prova digitale non si improvvisa

Se la prova non è gestita bene, il problema non è solo tecnico: diventa anche legale.

Nei casi più complessi, che coinvolgono fenomeni di cyberbullismo, cyberstalking o abusi digitali con rilevanza giuridica, è necessario un approccio tecnico rigoroso. È qui che entra in gioco l’informatica forense, anche quando è necessario analizzare e gestire correttamente prove digitali a supporto di tutela, contenziosi o procedimenti.

Per approfondire l’ambito tecnico-forense: Periti Digitali.

L’analisi delle prove digitali richiede competenze specifiche, metodo e rispetto delle procedure, soprattutto quando le evidenze devono essere utilizzate in ambito legale o a supporto di contenziosi.

La sicurezza online in azienda è governance, non solo IT

Un modello efficace unisce prevenzione, comportamento e capacità di intervento

La sicurezza online funziona quando è un processo: continuo, misurabile, condiviso.

Il Safer Internet Day può essere un utile momento di riflessione, ma per le imprese la sicurezza online non si esaurisce in una giornata. È una responsabilità continua che coinvolge:

infrastruttura IT
processi organizzativi
comportamenti digitali
gestione del rischio
consapevolezza delle implicazioni legali

Affrontarla in modo efficace significa adottare una visione integrata, capace di unire cybersecurity, fattore umano e competenze forensi.

Perché parlare di sicurezza online solo un giorno all’anno non è sufficiente

Navigare sicuri in rete oggi significa riconoscere che la sicurezza digitale non è solo una questione tecnologica. È un equilibrio tra prevenzione, consapevolezza dei comportamenti e capacità di intervenire in modo tecnico quando il digitale diventa un problema reale.

FAQ

Cos’è la sicurezza online per un’azienda?

È l’insieme di misure tecniche, organizzative e comportamentali che riducono il rischio digitale complessivo.

Il cyberbullismo può riguardare anche il contesto lavorativo?

Sì. Comportamenti digitali ostili possono manifestarsi anche in ambito professionale e avere conseguenze operative e legali.

Quando serve l’informatica forense?

Quando un evento digitale deve essere analizzato in modo tecnico per fini legali, disciplinari o di tutela aziendale.

La sicurezza informatica riguarda solo l’IT?

No. Coinvolge persone, processi e responsabilità, non solo sistemi e software.

Domande frequenti dei clienti

Cosa significa davvero sicurezza online per un’azienda?

Significa ridurre il rischio digitale complessivo, non solo proteggere i sistemi: persone, comportamenti e responsabilità fanno parte della sicurezza.

Perché il fattore umano è centrale nella cybersecurity?

Perché molti incidenti nascono da errori, abitudini scorrette o mancanza di regole, non da vulnerabilità tecniche.

Il cyberbullismo può avere conseguenze legali anche in ambito lavorativo?

Sì. Quando avviene attraverso strumenti digitali aziendali o tra colleghi, può generare responsabilità organizzative e legali.

Quando serve l’informatica forense in un’azienda?

Quando è necessario analizzare chat, email, log o dispositivi come prove digitali a supporto di tutela, contenziosi o procedimenti.

La sicurezza online riguarda solo l’IT?

No. È un tema di governance che coinvolge direzione, HR, IT e consulenti esterni.

I redirect possono interferire con Cloudflare o altre CDN?

Sì. Una regola CDN può sovrascrivere o entrare in conflitto con le regole del server origin, generando loop o comportamenti imprevisti. È fondamentale mantenere una gerarchia di routing chiara.

Qual è l’errore più comune nel 2025?

Uniformare redirect e forward come se fossero intercambiabili. Oggi, con architetture complesse e SEO più severo, la scelta errata può causare perdita di ranking, problemi di routing o vulnerabilità di sicurezza.

L'articolo Safer Internet Day 2026: sicurezza online, comportamenti digitali e responsabilità per le imprese proviene da Alchimie Digitali.

PERIZIA INFORMATICA FORENSE: COSA FARE SUBITO SE CHAT, MESSAGGI O AUDIO NON TORNANO

y.damato — Fri, 12 Dec 2025 09:19:27 +0000

PERIZIA INFORMATICA FORENSE: COSA FARE SUBITO SE CHAT, MESSAGGI O AUDIO NON TORNANO

Messaggi cancellati, chat WhatsApp modificate, audio alterati, accessi sospetti a email o social network: oggi molte situazioni delicate, personali o aziendali, nascono da comunicazioni digitali.

Il modo in cui ci si muove nelle prime ore può incidere molto sulla possibilità di utilizzare correttamente queste informazioni come elementi tecnici e, se necessario, anche in un procedimento giudiziario.

Questo articolo spiega quando può essere utile una perizia di informatica forense, come muoversi in modo prudente e in quali casi può essere richiesta una perizia informatica forense asseverata, sia per aziende sia per privati.

Fornisce indicazioni pratiche su cosa fare e cosa evitare fin dalle prime fasi, senza sostituire in alcun modo il parere di un avvocato.

L’articolo è basato sull’esperienza operativa di periti informatici forensi che operano a supporto di aziende, privati e avvocati, anche in ambito giudiziario.

COS’È UNA PERIZIA DI INFORMATICA FORENSE

Una perizia di informatica forense è un’attività tecnica svolta con metodologie strutturate e riconosciute, finalizzata a:

preservare i dati digitali nel modo più possibile rispettoso del loro stato originario
analizzare dispositivi, chat, file, audio e account
ricostruire eventi e sequenze temporali
produrre risultati documentati e verificabili, potenzialmente utilizzabili anche in sede legale

Non si tratta di un semplice parere informale o di una lettura “a vista” dei dati.

Una perizia informatica forense mira a trasformare i dati digitali in elementi tecnici strutturati, idonei a essere presi in considerazione all’interno di un procedimento, fermo restando che la valutazione finale spetta sempre al giudice.

QUANDO PUÒ SERVIRE (PRIVATI E AZIENDE)

La perizia di informatica forense è uno strumento di tutela concreto in molti contesti diversi.

Per i privati



stalking e molestie digitali



revenge porn o diffusione non consensuale di immagini



messaggi WhatsApp cancellati o potenzialmente manipolati



audio o messaggi vocali che si sospetta siano stati alterati



accessi non autorizzati a email o social



conflitti personali o familiari in cui le comunicazioni digitali hanno un ruolo centrale

Per le aziende



dispute con ex dipendenti



cancellazione o alterazione di comunicazioni interne



utilizzo improprio di dati aziendali



verifiche su possibili comportamenti scorretti



necessità di chiarire i fatti in vista o nel corso di procedimenti legali

COSA NON FARE: GLI ERRORI PIÙ COMUNI

Quando si sospetta un problema legato a chat, messaggi o dispositivi digitali, è importante evitare azioni impulsive che potrebbero complicare il lavoro forense.

Conviene in particolare evitare di:

cancellare chat, file o messaggi
installare software di recupero dati “fai da te”
inoltrare conversazioni su altri dispositivi per “metterle al sicuro”
effettuare backup non controllati o non documentati
rinominare, spostare o modificare file
tentare soluzioni improvvisate senza un confronto tecnico

Interventi di questo tipo possono rendere più difficile o, in alcuni casi, impossibile ricostruire con precisione lo stato originario delle prove digitali.

COSA FARE SUBITO

Se ritieni di poter aver bisogno di una perizia forense, alcuni comportamenti prudenti possono fare la differenza.

È generalmente consigliabile:

limitare l’uso del dispositivo interessato
evitare di reinstallare app o sistemi
non cancellare nulla, anche se il contenuto è delicato
conservare smartphone o computer nello stato attuale
contattare il prima possibile un perito informatico forense o il tuo avvocato di fiducia

In situazioni particolarmente delicate, su indicazione del perito o dell’avvocato, può essere utile isolare fisicamente il dispositivo inserendolo in una busta di Faraday.

Si tratta di uno speciale involucro schermato che riduce o impedisce le comunicazioni radio (rete mobile, Wi‑Fi, Bluetooth) e può contribuire a:



limitare sincronizzazioni automatiche



ostacolare eventuali accessi remoti



preservare quanto più possibile lo stato del dispositivo



mantenere più integre le evidenze digitali nel tempo

L’uso della busta di Faraday non è necessario in tutti i casi, ma può rappresentare una misura cautelativa utile in attesa di una valutazione tecnica.

Il ruolo dei backup nel recupero dei messaggi WhatsApp

Quando si parla di recupero di messaggi WhatsApp cancellati, il fattore determinante è spesso la presenza di un backup precedente alla cancellazione. WhatsApp effettua salvataggi automatici su iCloud o Google Drive, che possono sovrascrivere i dati in modo irreversibile. Se dopo la cancellazione viene eseguito un nuovo backup, le informazioni eliminate rischiano di essere definitivamente perse. Per questo motivo, in presenza di una controversia legale, è fondamentale intervenire tempestivamente e bloccare eventuali backup automatici prima di qualsiasi tentativo di ripristino. L’eventuale reinstallazione dell’app e il recupero dell’ultimo backup disponibile devono essere valutati con attenzione tecnica e giuridica, soprattutto quando è necessario garantire la validità probatoria dell’acquisizione in sede giudiziaria.

PERCHÉ SCREENSHOT E CHAT ESPORTATE POSSONO NON BASTARE

Uno screenshot o una chat esportata possono costituire un primo elemento documentale, ma presentano alcuni limiti:



non garantiscono da soli l’integrità del contenuto

possono essere contestati quanto ad autenticità e completezza



non includono tutti i metadati tecnici originari



possono essere alterati con relativa facilità

In diversi casi, gli screenshot vengono comunque valutati dal giudice, ma spesso hanno un valore probatorio più fragile, soprattutto se la controparte solleva contestazioni tecniche.

Per rafforzare la tenuta della prova, è di norma preferibile affiancare agli screenshot una vera acquisizione forense, quando il caso lo giustifica.

La perizia informatica forense si basa infatti su:

acquisizioni strutturate dei dati
calcolo di hash di verifica
gestione documentata della catena di custodia
analisi ripetibili, tracciate e descritte in modo chiaro nelle relazioni tecniche

IL RUOLO DEL PERITO E L’ASSISTENZA IN TRIBUNALE

Il perito informatico forense, o consulente tecnico, si occupa in genere di:



analizzare dispositivi e dati digitali in modo sistematico



redigere relazioni tecniche dettagliate e comprensibili



supportare clienti e avvocati nella lettura degli aspetti tecnici



operare come consulente tecnico di parte (CTP)



interfacciarsi con eventuali consulenti nominati dal giudice



illustrare in modo chiaro le conclusioni tecniche anche in aula, quando richiesto

Queste attività possono riguardare sia procedimenti civili che penali, in coordinamento con la strategia legale definita dall’avvocato.

LA PERIZIA INFORMATICA FORENSE ASSEVERATA

In alcune situazioni, su indicazione dell’avvocato o per specifiche esigenze procedurali, può essere richiesta una perizia informatica forense asseverata.

L’asseverazione è un atto formale con cui il perito dichiara sotto giuramento:

la veridicità di quanto affermato nella relazione
la correttezza metodologica seguita
la coerenza tecnica delle conclusioni

Una perizia informatica forense asseverata tende ad avere un peso formale maggiore all’interno di un procedimento, pur restando soggetta alla valutazione del giudice e al contraddittorio tra le parti.

Quando opportuno, i periti di Alchimie Digitali possono predisporre e asseverare la perizia, operando in coordinamento con l’avvocato e nel rispetto della normativa vigente.

LA COLLABORAZIONE CON GLI AVVOCATI

Nei casi più delicati, come stalking, revenge porn o molestie digitali, il coinvolgimento di un avvocato fin dalle prime fasi è spesso decisivo.

In Alchimie Digitali la collaborazione con gli studi legali del territorio è costante, perché analisi tecnica e strategia legale devono procedere in modo coordinato.

In molti casi è importante:

valutare con il legale se, quando e come sporgere denuncia
seguire le indicazioni dell’avvocato prima di intraprendere azioni autonome
raccogliere e preservare correttamente le prove, anche in vista del contraddittorio

In situazioni particolarmente sensibili, l’avvocato può anche consigliare di eleggere domicilio legale presso il proprio studio, ad esempio quando non si desidera rendere facilmente rintracciabile il proprio indirizzo a chi sta creando problemi o molestie.

“MI STANNO CONTROLLANDO IL TELEFONO”: COME ORIENTARSI

Capita spesso che arrivino richieste da persone convinte di avere il telefono, le email o gli account social sotto controllo.

È importante distinguere tra semplici impressioni, coincidenze e situazioni in cui emergono elementi tecnici concreti che possono far pensare a un reale problema di sicurezza.

Alcuni contesti che meritano attenzione sono, ad esempio:



password condivise in passato o facilmente intuibili



dispositivi lasciati incustoditi per periodi prolungati



account sincronizzati su più telefoni o computer



accessi segnalati da località inattese



app installate da terzi senza piena consapevolezza

In altri casi, invece, non emergono evidenze tecniche concrete di compromissione.

Una verifica professionale serve proprio a distinguere i fatti dalle percezioni, evitando sia allarmismi inutili sia interventi improvvisati che possono peggiorare la situazione.

PERCHÉ AFFIDARSI A SPECIALISTI

L’informatica forense è una disciplina tecnica con implicazioni legali significative.

Un approccio improvvisato, pur mosso dalle migliori intenzioni, può compromettere proprio quelle informazioni che potrebbero rivelarsi decisive in un secondo momento.

In Alchimie Digitali operano periti ed esperti in informatica forense che assistono aziende e privati, dalla prima valutazione tecnica fino all’eventuale supporto in tribunale, inclusa la predisposizione di perizie informatiche forensi asseverate, quando necessario.

Per approfondire il servizio di assistenza forense e al contenzioso:

Visita la pagina

FAQ

Queste domande riassumono alcuni dei dubbi più comuni di aziende e privati che si trovano ad affrontare problemi legati a chat, messaggi, audio o dispositivi digitali.

Cos’è una perizia informatica forense asseverata?

È una perizia tecnica in cui il perito, tramite un atto formale di asseverazione, attesta sotto giuramento la veridicità di quanto dichiarato e la correttezza del metodo seguito, conferendo al documento una maggiore forza formale.

Quando può servire una perizia informatica forense asseverata?

Di solito viene valutata quando lo richiede l’avvocato o in procedimenti che richiedono un livello di formalità e strutturazione probatoria più elevato.

Uno screenshot WhatsApp è una prova valida?

Uno screenshot può essere preso in considerazione, ma spesso non è sufficiente da solo, perché è più facilmente contestabile quanto a integrità e completezza rispetto a un’acquisizione forense strutturata.

Cosa devo fare se penso che mi controllino il telefono?

È prudente evitare interventi drastici o improvvisati e rivolgersi a un professionista (perito o avvocato) per una valutazione tecnica del caso concreto, che tenga conto anche dei possibili risvolti legali.

Quanto tempo serve per una perizia informatica forense?

I tempi dipendono da molti fattori (tipo di dispositivo, quantità di dati, complessità delle domande poste al perito), ma in generale è sempre utile attivarsi il prima possibile.

Domande frequenti dei clienti

Come capire se un messaggio WhatsApp è stato cancellato o modificato?

In diversi casi una semplice lettura della chat non basta: un’analisi forense specializzata è il modo più affidabile per cercare tracce tecniche e metadati utili a ricostruire cosa è accaduto.

Una perizia informatica forense può essere utilizzata in tribunale?

Sì, una perizia svolta con metodologia corretta e ben documentata può essere presa in considerazione in giudizio, soprattutto se inserita nel corretto contesto procedurale e, quando opportuno, asseverata.

Chi può fare una perizia informatica forense?

In genere se ne occupano periti ed esperti qualificati, con competenze tecniche specifiche in digital forensics e conoscenze di base delle procedure giudiziarie rilevanti.

Serve un avvocato per una perizia informatica forense?

Il coinvolgimento di un avvocato è spesso consigliabile, soprattutto quando sono prevedibili o già in corso procedimenti legali, perché consente di inquadrare correttamente la perizia nel contesto giuridico.

Nota: le informazioni contenute in questa pagina hanno finalità divulgativa e non sostituiscono il parere di un avvocato o di un consulente legale. Ogni situazione va valutata caso per caso.

L'articolo PERIZIA INFORMATICA FORENSE: COSA FARE SUBITO SE CHAT, MESSAGGI O AUDIO NON TORNANO proviene da Alchimie Digitali.

Redirect e Forward nel 2025: cosa è cambiato, perché sono più importanti di prima e come scegliere l’approccio corretto

y.damato — Fri, 05 Dec 2025 09:13:17 +0000

Redirect e Forward nel 2025: cosa è cambiato, perché sono più importanti di prima e come scegliere l’approccio corretto

Articolo aggiornato dell’originale del 28 settembre 2019

Introduzione

Dal 2019 al 2025 il modo in cui web server, CDN e applicazioni gestiscono routing, reindirizzamenti e riscritture interne è cambiato profondamente.

L’arrivo di HTTP/2, HTTP/3, l’adozione massiva di reverse proxy (Nginx, Traefik, Envoy) e la crescita di architetture basate su API, microservizi e Single Page Application richiede una revisione completa del tema redirect vs forward.

L’articolo del 2019 rimane valido nelle fondamenta, ma oggi il contesto è molto più complesso e interconnesso.

Ecco quindi la versione aggiornata al 2025.

Riepilogo dei concetti fondamentali: redirect vs forward (versione 2025)

Redirect

Una risposta HTTP che istruisce il browser a effettuare una nuova richiesta verso una nuova URL.

Caratteristiche:

L’URL visibile cambia
Il browser effettua una nuova richiesta
I codici più usati: 301, 302, 307, 308
Ideale per SEO, migrazioni, canonicalizzazioni, HTTPS, login/logout

Forward (o Internal Rewrite)

Il server o reverse proxy riscrive internamente la richiesta, senza cambiare l’URL visto dal client.

Caratteristiche:

Il browser non vede cambiamenti
Nessuna nuova richiesta HTTP
Ideale per routing interno, microservizi, API Gateway, SPA

Cosa è cambiato dal 2019 al 2025

Evoluzione dei protocolli

HTTP/2 e HTTP/3 hanno ridotto la latenza, ma le catene di redirect sono più penalizzate
I motori di ricerca e le AI Overview interpretano i redirect come segnali semantici strutturali

Diffusione dei reverse proxy

Oggi quasi tutte le applicazioni utilizzano un livello intermedio che gestisce routing, compressione, caching, riscritture, load balancing, sicurezza.

Il forward è diventato una pratica quotidiana.

SPA (React, Vue, Angular)

Le SPA richiedono quasi sempre rewrite interni:

try_files $uri /index.html;

Sicurezza 2025

Particolare attenzione a:

open redirect
redirect cross-domain
meta refresh lato client
conflitti tra regole CDN e server

Email routing e autenticazioni SPF/DKIM/DMARC

Nel 2025 forward e redirect lato mail possono:

invalidare SPF
annullare DKIM
violare DMARC

Un forward che modifica gli header è rischioso.
Un redirect che preserva gli header è generalmente preferibile.

Impatto SEO e GEO

Le AI Overview valutano i redirect come segnali algoritmici:

301 e 308 consolidano l’autorità semantica
302 indica contenuto instabile
catene multiple riducono coerenza e interpretabilità

Quando usare un redirect nel 2025

Migrazioni URL
Canonicalizzazioni (www, slash/no-slash)
Passaggio HTTPS
Login/logout
Regole su CDN come Cloudflare, Fastly

Esempio redirect Nginx:

return 308 https://$host$request_uri;

Quando usare un forward/rewrite nel 2025

Microservizi
API Gateway
Web server come layer di orchestrazione
SPA routing
Offuscamento struttura interna

Esempio Nginx API Proxy:

location /api/ {
    proxy_pass http://backend-service:8080/;
}

Forward per SPA:

try_files $uri /index.html;

Esempi aggiornati per Apache, Nginx, Node e CDN

Apache – Redirect

Redirect 301 /pagina-vecchia /pagina-nuova

Apache – Rewrite

RewriteRule ^app/(.*)$ /index.php?route=$1 [L]

Node.js / Express – Redirect

app.get('/old', (req, res) => {
  res.redirect(301, '/new');
});

Node.js / Express – Forward tramite proxy

app.use('/api', createProxyMiddleware({
  target: 'http://backend:8080'
}));

Redirect e forward nel JAMStack (Netlify, Vercel, Cloudflare Pages)

Netlify — file _redirects

/old-url   /new-url   301

Vercel — rewrites.json

{
  "source": "/api/:path*",
  "destination": "https://backend.example.com/:path*"
}

Cloudflare — Redirect Rule (rappresentazione logica)

IF (http.host eq "example.com" AND http.request.uri.path eq "/old")
THEN
  STATIC_REDIRECT to "https://example.com/new" status_code = 301

Errori comuni nel 2025

Catene di redirect non ottimizzate
Meta refresh lato client
Rewrite che espongono endpoint sensibili
Loop CDN ↔ reverse proxy ↔ app server
SPA senza fallback (404)
Forward email che rompono DMARC

Tabella Comparativa

Esigenza	Redirect	Forward
Cambiare URL al client	Sì	No
SEO e migrazioni	Sì	No
Routing interno	No	Sì
SPA	No	Sì
Sicurezza login	Possibile	Possibile
Performance	Variabile	Alta

Conclusioni

Nel 2025 redirect e forward non sono più semplici strumenti tecnici, ma componenti fondamentali della progettazione moderna.

Impattano direttamente su:

SEO
sicurezza
deliverability email
performance
coerenza semantica percepita dalle AI

Il nostro articolo del 2019 rimane la base. Questa versione aggiornata riflette le esigenze delle infrastrutture moderne.

FAQ

Qual è la differenza principale tra redirect e forward nel 2025?

Il redirect cambia URL e richiede una nuova richiesta HTTP; il forward riscrive internamente mantenendo lo stesso URL.

HTTP/3 cambia il comportamento dei redirect?

Sì. Riduce la latenza, ma penalizza le catene di redirect e aumenta il peso semantico dei 301/308.

Cos'è meglio per una SPA moderna?

Il forward (rewrite interno). I redirect si usano solo nei flussi di autenticazione.

Le CDN possono causare errori nei redirect?

Sì. Le regole CDN possono entrare in conflitto con rewrite e redirect configurati sul server origin.

Il forward può generare problemi di sicurezza?

Sì, se mal configurato può esporre endpoint interni o creare open proxy.

Il forward nelle email è sicuro?

Solo se preserva SPF/DKIM/DMARC. Se altera gli header aumenta il rischio di spam o bounce.

Perché i redirect sono importanti per la GEO?

Perché definiscono la struttura semantica percepita dalle AI Overview e incidono sulla coerenza dei contenuti.

Domande frequenti dei clienti

Quando devo usare un redirect invece di un forward?

Usa un redirect quando vuoi cambiare l’URL visibile all’utente, consolidare SEO, gestire migrazioni di contenuti o assicurarti che i motori di ricerca indicizzino correttamente la nuova destinazione. Usa invece un forward quando devi mantenere l’URL invariato e gestire routing interni, microservizi o SPA.

I redirect possono rallentare il sito?

Sì. Ogni redirect introduce un nuovo round-trip tra browser e server. Con HTTP/2 e HTTP/3 l’impatto è minore, ma le catene di redirect rimangono penalizzanti in termini di performance e SEO. Google consiglia di evitarne più di uno consecutivo.

I redirect temporanei (302) fanno perdere ranking?

Non necessariamente, ma possono creare incertezza nei motori di ricerca. Se il cambio è permanente, è sempre meglio un 301 o un 308. I 302 sono interpretati come instabili e poco affidabili anche dalle AI Overview.

È vero che le SPA richiedono quasi sempre il forward?

Sì. Framework come React, Vue e Angular usano routing lato client e necessitano di riscritture interne per funzionare correttamente. Se non configuri un forward (rewrite) otterrai errori 404 per tutte le rotte interne.

Un forward può creare problemi di sicurezza?

Sì, se la riscrittura interna non è filtrata correttamente può esporre endpoint privati, generare open proxy o permettere a un attaccante di aggirare controlli di autenticazione. Va configurato con ACL precise.

I redirect possono interferire con Cloudflare o altre CDN?

Sì. Una regola CDN può sovrascrivere o entrare in conflitto con le regole del server origin, generando loop o comportamenti imprevisti. È fondamentale mantenere una gerarchia di routing chiara.

Qual è l’errore più comune nel 2025?

L'articolo Redirect e Forward nel 2025: cosa è cambiato, perché sono più importanti di prima e come scegliere l’approccio corretto proviene da Alchimie Digitali.