NicFab Newsletter
Numero 9 | 24 febbraio 2026
Privacy, Data Protection, AI e Cybersecurity
Benvenuti al numero 9 della newsletter settimanale dedicata alla privacy, alla data protection, all’intelligenza artificiale, alla cybersecurity e all’etica. Ogni martedì troverete una selezione ragionata delle notizie più rilevanti della settimana precedente, con un focus su sviluppi normativi europei, giurisprudenza, enforcement e innovazione tecnologica.
In questo numero
- GARANTE PRIVACY ITALIA
- EDPB - COMITATO EUROPEO PROTEZIONE DATI
- EDPS - GARANTE EUROPEO PROTEZIONE DATI
- COMMISSIONE EUROPEA
- CNIL - AUTORITÀ FRANCESE
- PARLAMENTO EUROPEO
- CONSIGLIO DELL’UNIONE EUROPEA
- DIGITAL MARKETS & PLATFORM REGULATION
- SVILUPPI INTERNAZIONALI
- INTELLIGENZA ARTIFICIALE
- CYBERSECURITY
- TECH & INNOVAZIONE
- RICERCA SCIENTIFICA
- AI Act in Pillole - Parte 9
- Eventi e incontri segnalati
- Conclusione
GARANTE PRIVACY ITALIA
Sanzione a eCampus per riconoscimento facciale: un monito per il settore education
Il Garante ha inflitto una sanzione di 50.000 euro all’Università eCampus per l’utilizzo illegittimo di sistemi di riconoscimento facciale durante i corsi di abilitazione all’insegnamento online. La violazione ha riguardato oltre 450 corsisti per lezione, evidenziando l’ampiezza dell’impatto sui diritti degli interessati.
L’Autorità ha evidenziato due criticità fondamentali: l’assenza di una base giuridica idonea per il trattamento di dati biometrici e la mancata esecuzione della DPIA obbligatoria. Particolarmente significativa è la considerazione sulla disponibilità di strumenti alternativi meno invasivi per verificare la presenza degli studenti.
Per i DPO del settore educativo, questo caso rappresenta un chiaro monito: i dati biometrici richiedono garanzie rafforzate e una valutazione rigorosa della proporzionalità, privilegiando sempre soluzioni meno intrusive quando disponibili.
Screening sanitari: nuove linee guida per l’uso dei recapiti telefonici
Il Garante ha adottato specifiche linee guida che consentono alle aziende sanitarie di utilizzare i recapiti telefonici dei pazienti, raccolti per precedenti prestazioni, per promuovere campagne di screening pubbliche. La decisione si basa sul principio di compatibilità tra finalità di cura originarie e prevenzione sanitaria pubblica.
Le garanzie imposte sono stringenti: aggiornamento dell’informativa, limitazione alle sole campagne previste per legge, esclusione dei dati raccolti in contesti sensibili (IVG, parti anonimi, prestazioni per sieropositivi), identificazione chiara del mittente e modalità immediate per l’opt-out.
Per i DPO sanitari, queste linee guida offrono una base solida per bilanciare efficacemente l’interesse pubblico alla prevenzione con la tutela dei diritti degli interessati, fornendo un quadro operativo chiaro per l’implementazione pratica.
Body cam della Polizia locale di Pescara: parere negativo del Garante
Il Garante ha espresso parere negativo sulla valutazione di impatto (DPIA) presentata dal Comune di Pescara per l’utilizzo di body cam da parte degli agenti di polizia locale nell’ambito delle attività ausiliarie di pubblica sicurezza e di polizia giudiziaria. Numerose le criticità riscontrate nel sistema nonostante le indicazioni fornite dall’Autorità nel corso di più interlocuzioni.
Le principali problematiche riguardano la sicurezza delle soluzioni tecnologiche: il sistema informatico per la gestione dei dati è fornito da un’azienda statunitense e il Comune non ha chiarito se siano state valutate alternative presenti sul mercato. Il Garante ha inoltre riscontrato l’assenza di misure di sicurezza in grado di escludere che il fornitore possa accedere in chiaro ai dati trattati, con conseguente rischio di trasferimento verso paesi terzi in violazione della Direttiva UE 2016/680. Ulteriore criticità la presenza di una SIM all’interno della body cam su cui non sono stati forniti chiarimenti.
Per i DPO degli enti locali, questo caso evidenzia l’importanza cruciale di condurre valutazioni approfondite sui fornitori tecnologici, specialmente quando i trattamenti ad alto rischio coinvolgono dati di law enforcement e potenziali trasferimenti extra-UE.
Linee guida AGID sull’accessibilità dei servizi: parere favorevole del Garante
Il Garante ha espresso parere favorevole sullo schema di decreto dell’AGID che definisce le Linee guida sull’accessibilità dei servizi pubblici e privati, quali trasporto passeggeri, internet e sistemi di pagamento. L’obiettivo è offrire servizi e informazioni fruibili anche dalle persone con disabilità, senza discriminazioni.
Lo schema recepisce le indicazioni del Garante per assicurare la conformità alla normativa privacy. Sulla base dei principi di privacy by design e privacy by default del GDPR, i fornitori di servizi dedicati a persone con disabilità avranno l’obbligo di adottare misure idonee a evitare la tracciatura degli strumenti, delle soluzioni e delle impostazioni d’uso che li aiutano ad accedere ai servizi digitali, e dovranno dichiarare espressamente di non ricorrere a tecniche web di tracciamento dalle quali sia possibile desumere eventuali condizioni di disabilità dell’utente.
Per i DPO, queste linee guida rappresentano un modello virtuoso di integrazione tra accessibilità e protezione dati, dimostrando come i principi del GDPR possano tutelare categorie particolarmente vulnerabili senza ostacolare l’erogazione di servizi essenziali.
EDPB - COMITATO EUROPEO PROTEZIONE DATI
EDPB identifica le sfide nell’implementazione del diritto alla cancellazione
L’EDPB ha pubblicato un importante rapporto sui risultati dell’azione coordinata 2025 sul diritto all’oblio (Art. 17 GDPR), coinvolgendo 32 autorità di protezione dati e 764 titolari del trattamento in tutta Europa. L’iniziativa ha rivelato sette sfide ricorrenti che ostacolano la piena implementazione di questo diritto fondamentale.
Tra i problemi più significativi emergono la mancanza di procedure interne adeguate per gestire le richieste, l’uso di tecniche di anonimizzazione inefficienti come alternativa alla cancellazione, e le difficoltà nella determinazione dei periodi di conservazione e nella gestione dei backup. Particolarmente critica è la complessità nel bilanciare il diritto alla cancellazione con altri diritti e libertà fondamentali.
Per i DPO, questo rapporto offre una roadmap preziosa per migliorare i processi interni e garantire la conformità. L’EDPB svilupperà ulteriore guidance a livello europeo, sfruttando le migliori pratiche già disponibili a livello nazionale.
Rapporto completo sull’azione coordinata per il diritto alla cancellazione
È disponibile il documento completo dell’azione coordinata CEF 2025 sul diritto alla cancellazione, comprensivo di allegati con i rapporti nazionali delle singole autorità di protezione dati. Il documento rappresenta un’analisi approfondita delle pratiche implementative del diritto all’oblio negli Stati membri.
Il rapporto evidenzia come 9 autorità abbiano avviato indagini formali mentre 23 hanno condotto attività di fact-finding. I risultati aggregati mostrano disparità significative nell’applicazione pratica dell’articolo 17 GDPR, con particolare attenzione alle difficoltà delle PMI nell’implementare procedure efficaci.
Per i professionisti della privacy, il documento costituisce una risorsa essenziale per comprendere le aspettative delle autorità e identificare le aree di miglioramento nei propri processi di gestione delle richieste di cancellazione.
Rapporto sull’evento stakeholder su anonimizzazione e pseudonimizzazione
L’EDPB ha pubblicato il rapporto dell’evento stakeholder del 12 dicembre 2025 dedicato alle tecniche di anonimizzazione e pseudonimizzazione. L’evento ha riunito esperti del settore, rappresentanti delle autorità di controllo e organizzazioni della società civile per discutere le sfide tecniche e legali di questi strumenti di privacy.
Le discussioni si sono concentrate sull’evoluzione delle tecnologie di anonimizzazione in un contesto di crescente sofisticazione degli strumenti di re-identificazione, ponendo interrogativi sulla robustezza delle tecniche attualmente utilizzate. Particolare attenzione è stata dedicata agli standard di valutazione dell’efficacia delle misure di anonimizzazione.
Per i DPO, questo documento fornisce insight preziosi sulle aspettative future dell’EDPB riguardo l’implementazione di queste tecniche, suggerendo una revisione delle attuali pratiche organizzative alla luce delle nuove sfide tecnologiche.
Risposta EDPB su abusi di spyware nell’UE
L’EDPB ha risposto alla lettera aperta della società civile sui recenti casi di abuso di spyware nell’Unione Europea. La risposta affronta le preoccupazioni sollevate riguardo l’uso improprio di software di sorveglianza da parte di autorità statali e le implicazioni per i diritti fondamentali alla privacy e protezione dati.
Il documento chiarisce il ruolo delle autorità di protezione dati nel monitoraggio e nell’enforcement quando il trattamento di dati personali tramite spyware non rientra nelle esenzioni per sicurezza nazionale. L’EDPB ribadisce l’importanza di garanzie procedurali robuste e della necessaria proporzionalità nell’uso di tali strumenti.
Per i professionisti del settore, questa risposta sottolinea l’evoluzione del perimetro di applicazione del GDPR in contesti di sicurezza e l’importanza di valutare attentamente le basi giuridiche per trattamenti sensibili.
EDPS - GARANTE EUROPEO PROTEZIONE DATI
Data takes flight: Navigating privacy at the airport
Il 12 febbraio 2026, EDPS e EDPB hanno organizzato una conferenza dedicata alla protezione dei dati personali nel trasporto aereo. L’evento ha esplorato le complesse dinamiche tra sicurezza e privacy negli aeroporti, dove i passeggeri sono soggetti a molteplici forme di raccolta e trattamento dati.
Per i DPO che operano nel settore dei trasporti o collaborano con compagnie aeree, questa iniziativa evidenzia l’importanza di bilanciare esigenze di sicurezza nazionale e diritti fondamentali. L’evento fornisce materiali pratici per comprendere meglio i flussi di dati negli aeroporti e sviluppare strategie di compliance più efficaci.
Blog post: Advancing into Practice: Third Meeting of the AI Act Correspondents Network
L’EDPS ha pubblicato un blog post sul terzo incontro della rete di corrispondenti dell’AI Act, segnalando il passaggio dalla fase teorica a quella pratica dell’implementazione. Questi incontri rappresentano un momento cruciale per definire le modalità operative di supervisione dei sistemi di intelligenza artificiale.
Per i DPO, questa evoluzione implica la necessità di prepararsi concretamente all’applicazione dell’AI Act. La rete di corrispondenti sta sviluppando linee guida pratiche che saranno fondamentali per la compliance aziendale, specialmente per organizzazioni che utilizzano o sviluppano sistemi AI ad alto rischio.
Extension of interim rules to combat child sexual abuse online must address shortcomings and prevent indiscriminate scanning
L’EDPS ha espresso preoccupazioni riguardo l’estensione delle regole interim per combattere l’abuso sessuale minorile online, sottolineando la necessità di evitare scansioni indiscriminate. La posizione evidenzia il delicato equilibrio tra protezione dell’infanzia e diritti digitali fondamentali.
Questa presa di posizione è particolarmente rilevante per i DPO di piattaforme digitali e fornitori di servizi di comunicazione elettronica. Le future regole dovranno incorporare garanzie più robuste per prevenire il monitoraggio generalizzato, richiedendo approcci più mirati e rispettosi della privacy per il rilevamento di contenuti illeciti.
COMMISSIONE EUROPEA
Indagine su Shein sotto il Digital Services Act
La Commissione Europea ha avviato un procedimento formale contro Shein, la piattaforma di e-commerce cinese, nell’ambito del Digital Services Act. Questa azione rappresenta un’escalation significativa nell’applicazione della nuova normativa europea sui servizi digitali, che mira a garantire un ambiente online più sicuro e trasparente.
L’indagine si concentra presumibilmente sulle pratiche di moderazione dei contenuti e sui sistemi di raccomandazione della piattaforma. Per i DPO, questo caso sottolinea l’importanza di allineare le strategie di compliance non solo al GDPR, ma anche alle crescenti responsabilità derivanti dal DSA, specialmente per le piattaforme che operano nel mercato europeo.
Questo precedente evidenzia come l’UE stia intensificando l’enforcement delle proprie normative digitali, richiedendo una maggiore attenzione alla governance dei dati e alla trasparenza operativa.
Verso Ecosistemi Digitali Aperti Europei
La Commissione ha pubblicato una comunicazione strategica “Towards European Open Digital Ecosystems”, delineando la visione dell’UE per la sovranità tecnologica e l’interoperabilità digitale. Questa iniziativa si inserisce nel contesto delle linee guida politiche della Presidente von der Leyen e mira a ridurre la dipendenza tecnologica europea.
Il documento rappresenta una call for evidence che invita stakeholder e cittadini a contribuire alla definizione di soluzioni per ecosistemi digitali più aperti e interoperabili. Per i DPO, questa iniziativa potrebbe tradursi in nuovi standard di portabilità dei dati e requisiti di interoperabilità che influenzeranno le architetture di gestione dati.
L’enfasi su ecosistemi aperti suggerisce un futuro orientamento verso maggiore trasparenza e controllo degli utenti sui propri dati, richiedendo strategie di privacy by design più sofisticate.
Due anni di Digital Services Act: 50 milioni di decisioni ribaltate
La Commissione Europea ha celebrato i due anni di applicazione del Digital Services Act con dati significativi: le piattaforme online hanno ribaltato quasi 50 milioni di decisioni che riguardavano contenuti o account degli utenti, consentendo ai cittadini europei di esercitare i propri diritti online. Su 165 milioni di decisioni di moderazione impugnate attraverso i meccanismi interni delle piattaforme, il 30% è stato rivisto a favore degli utenti.
I dati evidenziano anche l’efficacia degli organismi di risoluzione extragiudiziale: nel primo semestre 2025, hanno esaminato oltre 1.800 controversie relative a contenuti su Facebook, Instagram e TikTok nell’UE, ribaltando le decisioni delle piattaforme nel 52% dei casi. Il DSA ha inoltre introdotto il divieto di pubblicità mirata ai minori, obblighi di tracciabilità dei venditori per i marketplace e un accesso senza precedenti per ricercatori e società civile alle pratiche di moderazione.
Per i DPO, questi risultati confermano il DSA come strumento operativo efficace che si affianca al GDPR nella tutela dei diritti digitali, richiedendo una visione integrata della compliance che consideri entrambi i regolamenti.
CNIL - AUTORITÀ FRANCESE
Droit à l’effacement: bilancio dei controlli CNIL nell’azione coordinata europea
La CNIL ha pubblicato i risultati dei controlli condotti nel 2025 sul diritto alla cancellazione, nell’ambito della quarta azione coordinata europea. L’autorità francese ha ispezionato sei organizzazioni di diversi settori, identificate anche sulla base di reclami ricevuti.
Il bilancio è globalmente positivo: le richieste di cancellazione vengono generalmente rispettate dai titolari del trattamento. Quando viene opposto un rifiuto, questo si basa sulle eccezioni previste dal GDPR, come gli obblighi legali di conservazione. Tuttavia, persistono alcune difficoltà nell’implementazione pratica del diritto.
Questo approccio coordinato a livello europeo dimostra l’importanza della cooperazione tra autorità di controllo e offre ai DPO un quadro di riferimento sulle aspettative regolatorie relative al diritto alla cancellazione.
Ordine del giorno della seduta plenaria del 19 febbraio 2026
La CNIL ha pubblicato l’agenda della seduta plenaria del 19 febbraio, che include temi di particolare rilevanza per i professionisti della privacy. Tra i punti all’ordine del giorno figurano l’esame di un progetto di deliberazione sulla protezione dell’infanzia e la comunicazione sul bilancio delle attività di controllo 2025 con le proposte per il programma 2026.
La seconda parte della seduta affronta il controllo dell’onorabilità degli operatori che assistono persone anziane e disabili, con l’esame di progetti normativi relativi alla verifica dei precedenti giudiziari. Questi sviluppi sono particolarmente significativi per i settori sanitario e sociale.
Per i DPO, questi argomenti evidenziano l’attenzione crescente verso la protezione dei soggetti vulnerabili e l’evoluzione delle strategie di controllo dell’autorità.
Seconda edizione del Premio CNIL-EHESS
La CNIL e l’École des Hautes Études en Sciences Sociales (EHESS) lanciano la seconda edizione del loro premio dedicato alle scienze umane e sociali, nell’ambito del Privacy Research Day del 24 giugno 2026 a Parigi. Le candidature sono aperte fino al 22 marzo.
Il premio mira a promuovere la ricerca interdisciplinare sulla protezione della vita privata e delle libertà. Sono ammessi articoli di 30.000-60.000 caratteri in francese o inglese, che presentino risultati originali, nuove tipologie o metodologie innovative. Tra i temi suggeriti figurano questioni trasversali che toccano diritto, sociologia, economia e tecnologia.
Questa iniziativa sottolinea l’importanza dell’approccio multidisciplinare alla privacy e offre ai professionisti del settore l’opportunità di rimanere aggiornati sui più recenti sviluppi della ricerca accademica.
PARLAMENTO EUROPEO
Il Parlamento Europeo disabilita le funzioni AI sui dispositivi di lavoro
Il Parlamento Europeo ha disabilitato le funzionalità di intelligenza artificiale sui dispositivi di lavoro di deputati e staff a causa di preoccupazioni per la cybersicurezza e la protezione dei dati. La decisione riguarda assistenti di scrittura, riassunto automatico e altre funzioni AI integrate che utilizzano servizi cloud esterni.
La motivazione è chiara: molte di queste funzioni inviano dati sensibili a fornitori di servizi terzi, creando potenziali rischi per la sicurezza. Per i DPO, questo caso rappresenta un esempio concreto di come applicare il principio di precauzione quando si valutano nuove tecnologie. La decisione del Parlamento evidenzia l’importanza di condurre valutazioni approfondite sui flussi di dati prima di implementare soluzioni AI, specialmente in contesti istituzionali.
L’istituzione ha raccomandato ai deputati di applicare precauzioni simili anche sui dispositivi personali utilizzati per lavoro, sottolineando la necessità di politiche di governance che coprano l’intero ecosistema tecnologico.
CONSIGLIO DELL’UNIONE EUROPEA
ST 5611 2026 ADD 3 REV 1
Il Regulatory Scrutiny Board dell’Unione Europea ha rilasciato il proprio parere sulla revisione del Cybersecurity Act, documento che rappresenta un passaggio cruciale nell’evoluzione del quadro normativo europeo in materia di sicurezza informatica. Questa valutazione tecnica fornisce indicazioni strategiche per il perfezionamento della legislazione esistente.
Per i Data Protection Officer, tale revisione assume particolare rilevanza poiché il Cybersecurity Act interagisce direttamente con il GDPR nella definizione degli standard di sicurezza dei dati personali. Le modifiche proposte potrebbero introdurre nuovi requisiti tecnici e organizzativi che impatteranno sui processi di compliance e sulle valutazioni di impatto privacy.
L’opinione del Board rappresenta un elemento fondamentale per anticipare i futuri sviluppi normativi e preparare le organizzazioni alle nuove sfide della cybersecurity in ambito europeo, richiedendo un monitoraggio attento dell’evoluzione legislativa.
DIGITAL MARKETS & PLATFORM REGULATION
X sfida la multa UE da 120 milioni di euro
Elon Musk’s X ha portato in tribunale la storica multa di 120 milioni di euro della Commissione Europea per violazioni del DSA, sostenendo “errori procedurali gravi” e “bias prosecutoriale”. La sanzione, prima nel suo genere sotto il Digital Services Act, riguardava trasparenza insufficiente e il design ingannevole delle spunte blu.
Tre ricorsi sono stati depositati presso la Corte di Giustizia UE da X Internet Unlimited, X Holdings, xAI Holdings e apparentemente dallo stesso Musk. Questo caso rappresenta la prima sfida giudiziaria a una multa DSA e potrebbe stabilire precedenti cruciali per l’enforcement, il calcolo delle sanzioni e le protezioni dei diritti fondamentali sotto la regolamentazione 2022.
Per i DPO, questo sviluppo evidenzia l’importanza di mantenere procedure di compliance rigorose e documentazione dettagliata per prepararsi a possibili contenziosi normativi nel contesto delle nuove regolamentazioni digitali.
Bruxelles indaga Shein per bambole sessuali infantili
La Commissione Europea ha aperto un’indagine formale contro Shein sotto il DSA, focalizzandosi su violazioni legate alla vendita di prodotti illegali, incluse bambole sessuali con sembianze infantili che potrebbero configurarsi come materiale pedopornografico. L’inchiesta, trattata con priorità, esamina anche i meccanismi di gamification e la trasparenza degli algoritmi di raccomandazione.
Bruxelles scrutina le strategie addictive della piattaforma, come punti premio e gamification, che potrebbero danneggiare il benessere dei consumatori, specialmente minori. La Commissione verificherà inoltre se Shein rispetti gli obblighi DSA sulla trasparenza dei sistemi di raccomandazione e offra opzioni non basate sulla profilazione.
Questo caso rappresenta un test cruciale per l’enforcement del DSA su marketplace globali, evidenziando come le piattaforme debbano implementare controlli più stringenti sui contenuti e prodotti commercializzati nell’UE.
Indagine UE su xAI per immagini sessualizzate generate da AI
Il Data Protection Commissioner irlandese ha avviato un’indagine “su larga scala” contro X per la creazione di immagini sessualizzate non consensuali generate dal chatbot Grok di xAI, che ha processato dati di utenti UE. L’inchiesta GDPR esamina se X abbia rispettato gli obblighi fondamentali sulla protezione dati nelle controversie sui deepfake sessualizzati generati a gennaio.
L’indagine si aggiunge alle probe esistenti sotto il DSA e segue i raid negli uffici parigini di X da parte di investigatori francesi ed europei. Anche l’ICO britannico ha lanciato un’investigazione parallela su X e xAI, citando “serie preoccupazioni” sull’uso di dati personali da parte di Grok.
Per i DPO, questo caso sottolinea l’urgente necessità di valutare i rischi privacy legati all’AI generativa e implementare salvaguardie robuste quando si processano dati personali per training o inference di modelli AI.
Commissione UE lancia indagine su Shein per bambole e armi
La Commissione Europea ha avviato la prima indagine formale su Shein dopo la scoperta di bambole sessuali infantili e armi tra i prodotti venduti, verificando possibili violazioni del DSA. L’indagine esamina se la piattaforma abbia adeguatamente valutato e mitigato i rischi di vendita di beni illegali, inclusi giocattoli e cosmetici non sicuri.
L’indagine copre anche il design “addictivo” di Shein, specificamente programmi a punti bonus e gamification che potrebbero danneggiare il benessere mentale e fisico dei consumatori. La Commissione sta inoltre esaminando la trasparenza del sistema di raccomandazione della piattaforma.
Shein ha dichiarato di prendere “seriamente” gli obblighi DSA e di aver investito significativamente in misure di compliance, inclusi controlli età per impedire ai minori l’accesso a contenuti inappropriati. Le violazioni DSA possono comportare multe fino al 6% del fatturato globale annuale.
SVILUPPI INTERNAZIONALI
Consiglio britannico espone dati personali in controversia sui diritti trans
Il Consiglio della Cornovaglia ha commesso una grave violazione dei dati personali condividendo informazioni riservate di dieci cittadini che avevano presentato reclami contro una consigliera per commenti discriminatori. La violazione ha esposto non solo i nomi dei ricorrenti (inclusi quelli che avevano richiesto l’anonimato), ma anche indirizzi di casa, email e numeri di telefono.
L’incidente evidenzia criticità sistemiche nella gestione delle procedure di reclamo da parte degli enti pubblici. Per i DPO è un caso emblematico di come procedure inadeguate possano trasformarsi in violazioni massive, particolarmente gravi quando coinvolgono dati sensibili di cittadini vulnerabili. La mancanza di controlli sui flussi informativi interni rappresenta un rischio significativo per qualsiasi organizzazione pubblica.
Francia: violato il registro nazionale dei conti bancari, 1,2 milioni di utenti coinvolti
Il Ministero delle Finanze francese ha subito un cyberattacco che ha compromesso FICOBA, il registro centralizzato dei conti bancari. Gli aggressori hanno utilizzato credenziali rubate a un funzionario pubblico per accedere ai dati di 1,2 milioni di conti, inclusi IBAN, identità dei titolari, indirizzi e codici fiscali.
L’incidente ha paralizzato le operazioni del sistema e rappresenta uno dei più gravi attacchi mai subiti dall’infrastruttura finanziaria francese. La compromissione di un registro così strategico solleva questioni cruciali sulla sicurezza delle banche dati governative e sull’efficacia dei controlli di accesso. Il caso dimostra come le credenziali compromesse rimangano il vettore d’attacco principale contro le infrastrutture critiche.
PayPal: errore software espone dati sensibili per sei mesi
PayPal ha notificato una violazione dei dati che ha esposto informazioni personali sensibili, inclusi numeri di previdenza sociale, per quasi sei mesi. L’incidente, causato da un errore software nell’applicazione PayPal Working Capital, ha interessato circa 100 clienti dal luglio al dicembre 2025.
Nonostante il numero limitato di utenti coinvolti, la durata dell’esposizione e la sensibilità dei dati compromessi rendono questo incidente particolarmente significativo. PayPal ha implementato misure correttive immediate e offre servizi gratuiti di monitoraggio del credito per due anni. Il caso sottolinea l’importanza di test approfonditi nelle modifiche del codice e di sistemi di monitoraggio continuo per rilevare tempestivamente anomalie nei flussi di dati.
PromptSpy: primo malware Android che sfrutta l’AI di Google
ESET ha scoperto PromptSpy, il primo malware Android che utilizza Gemini AI di Google per automatizzare le proprie funzioni maligne. Il malware invia prompt all’intelligenza artificiale insieme a screenshot del dispositivo, ricevendo istruzioni dettagliate per mantenere la persistenza nel sistema e evitare la rimozione.
Questa evoluzione rappresenta un cambio di paradigma nelle minacce mobile, dimostrando come l’AI generativa possa essere weaponizzata per creare malware più adattivi e resistenti. Il malware, principalmente distribuito in Argentina, utilizza servizi di accessibilità Android per eseguire azioni remote e intercettare credenziali. L’approccio innovativo potrebbe ispirare una nuova generazione di minacce più sofisticate e difficili da contrastare.
INTELLIGENZA ARTIFICIALE
Red Lines under the EU AI Act: Understanding ‘Prohibited AI Practices’
L’AI Act europeo ha introdotto “linee rosse” invalicabili che vietano specifiche pratiche di intelligenza artificiale ritenute troppo pericolose o non etiche. Tra queste: manipolazione dannosa, social scoring, valutazione individuale del rischio, riconoscimento delle emozioni e identificazione biometrica in tempo reale per scopi di law enforcement.
Dal febbraio 2025, l’Articolo 5 è diventato applicabile e dall’agosto 2025 è pienamente esecutivo, con sanzioni fino a 35 milioni di euro o il 7% del fatturato globale annuo. Per i DPO, questo rappresenta una nuova area di compliance che si interseca con GDPR e DSA, richiedendo un approccio integrato alla valutazione dei rischi e alla governance dei dati personali utilizzati in sistemi AI.
Leggi AI negli Stati Uniti 2023-2025
Tra il 2023 e il 2025, gli Stati Uniti hanno approvato 27 leggi AI in 14 stati, segnando una svolta verso regolamentazioni settoriali specifiche. Nel 2025, particolare attenzione è stata dedicata ai chatbot AI, con cinque stati (California, Maine, New Hampshire, New York e Utah) che hanno introdotto obblighi di trasparenza e protocolli di sicurezza, specialmente per applicazioni sanitarie mentali.
Il trend legislativo si è spostato da leggi quadro generali verso misure mirate per casi d’uso specifici. Per i DPO che operano a livello globale, questo mosaico normativo richiede una mappatura precisa delle giurisdizioni e dei rispettivi obblighi, particolarmente per sistemi di decisione automatizzata e trattamento di dati sensibili.
Summit AI Globale: 88 Paesi Firmano Dichiarazione Senza Impegni Vincolanti
Il quarto summit globale sull’AI a Nuova Delhi ha visto 88 paesi, inclusi USA, Regno Unito e UE, firmare una dichiarazione che privilegia la “democratizzazione” dell’AI rispetto alla sicurezza. Il documento, promosso dall’India, enfatizza l’accessibilità e l’adozione su larga scala della tecnologia, includendo un supporto esplicito all’AI open-source.
Il summit segna un cambio di paradigma rispetto al focus sulla sicurezza del primo incontro del 2023 in Regno Unito. Per i DPO, questo orientamento verso l’accessibilità potrebbe tradursi in una maggiore proliferazione di strumenti AI nelle organizzazioni, richiedendo framework più robusti per la valutazione d’impatto e la gestione dei rischi privacy.
Momenti Controversi dal Summit AI dell’India
Il summit AI di Nuova Delhi è stato caratterizzato da assenze eccellenti e controversie. Bill Gates ha cancellato il suo keynote a causa del rinnovato scrutinio sui suoi legami passati con Jeffrey Epstein, mentre Jensen Huang di Nvidia era assente per malattia. Il timing del summit, coincidente con il Capodanno cinese e il lancio del Board of Peace di Trump, ha limitato la partecipazione di alto livello.
Un momento virale è stato il “robo-dog fiasco” dell’Università Galgotias, che ha presentato una demo robotica rivelatasi ingannevole. Questi episodi evidenziano le sfide nell’organizzazione di eventi globali sull’AI e la necessità per i DPO di valutare criticamente le tecnologie presentate, distinguendo tra marketing e reale innovazione tecnica.
UE Criticata per Eccessiva Regolamentazione dell’AI
Durante il summit di Nuova Delhi, l’approccio europeo all’AI è stato duramente criticato. Sriram Krishnan, consigliere della Casa Bianca per l’AI, ha definito l’AI Act “non favorevole agli imprenditori” e ha invitato l’UE a concentrarsi meno sulla governance e più sull’innovazione. Diversi rappresentanti industriali hanno criticato l’UE per aver “sparato sui propri piedi” con una regolamentazione prematura.
L’Europa, che nel 2023 era leader nelle conversazioni sulla sicurezza AI, ora appare isolata nel panorama globale. Per i DPO europei, questo scenario presenta una sfida: mantenere la compliance con l’AI Act rigoroso mentre l’ecosistema globale privilegia approcci più permissivi, potenzialmente creando svantaggi competitivi per le organizzazioni europee.
CYBERSECURITY
CISA: Vulnerabilità BeyondTrust Sfruttata in Attacchi Ransomware
La vulnerabilità CVE-2026-1731 nei prodotti BeyondTrust Remote Support e Privileged Remote Access è ora attivamente sfruttata in campagne ransomware. Il flaw, che consente l’esecuzione remota di codice tramite injection di comandi OS, ha colpito versioni fino alla 25.3.1 per Remote Support e 24.3.4 per Privileged Remote Access.
CISA ha inserito la vulnerabilità nel catalogo KEV con un termine di soli tre giorni per la patch, evidenziando la gravità della situazione. Particolarmente preoccupante è il fatto che gli exploit erano già in circolazione dal 31 gennaio, rendendo CVE-2026-1731 un zero-day per almeno una settimana prima della disclosure pubblica del 6 febbraio.
Per i DPO, questo caso sottolinea l’importanza di procedure di patching accelerate per sistemi critici e la necessità di inventari aggiornati dei sistemi di accesso remoto privilegiato.
Threat Actor Assistito da AI Compromette 600+ Dispositivi FortiGate
Un gruppo di cybercriminali di lingua russa ha compromesso oltre 600 dispositivi FortiGate in 55 paesi utilizzando servizi di AI generativa commerciali. L’attacco, documentato da Amazon Threat Intelligence, si è svolto tra gennaio e febbraio 2026 senza sfruttare vulnerabilità software, ma piuttosto configurazioni deboli e credenziali facilmente indovinabili.
Gli attaccanti hanno utilizzato l’AI per sviluppare strumenti, pianificare attacchi e generare comandi, dimostrando come l’intelligenza artificiale stia abbassando le barriere d’ingresso per il cybercrime. Il gruppo ha compromesso ambienti Active Directory completi ed estratto database di credenziali, probabilmente preparando il terreno per attacchi ransomware.
Questo caso evidenzia l’urgente necessità per le organizzazioni di implementare autenticazione multi-fattore e politiche di gestione delle credenziali robuste, specialmente per sistemi di sicurezza perimetrali critici come i firewall.
Dell RecoverPoint: Zero-Day Sfruttato dal 2024
Una vulnerabilità critica (CVE-2026-22769, CVSS 10.0) in Dell RecoverPoint for Virtual Machines è stata sfruttata come zero-day dal gruppo cinese UNC6201 da metà 2024. La vulnerabilità deriva da credenziali hardcoded che permettono accesso non autorizzato al sistema operativo sottostante con privilegi root.
Google Mandiant ha identificato meno di una dozzina di organizzazioni impattate, ma avverte che la portata completa della campagna rimane sconosciuta. Gli attaccanti hanno utilizzato le credenziali hardcoded per accedere al Tomcat Manager, caricare web shell e installare backdoor BRICKSTORM e GRIMBOLT per persistenza a lungo termine.
Il caso sottolinea l’importanza di audit di sicurezza approfonditi per sistemi di backup e recovery, spesso trascurati nelle valutazioni di risk assessment. I DPO dovrebbero assicurarsi che questi sistemi critici siano inclusi nei programmi di vulnerability management.
Analisi Italiana: 600 Firewall Compromessi con AI
L’analisi di Red Hot Cyber conferma la gravità della campagna AI-assisted contro i firewall FortiGate, evidenziando come l’intelligenza artificiale stia rivoluzionando il panorama delle minacce. Gli attaccanti hanno automatizzato le fasi di ricognizione, analizzando rapidamente sistemi esposti e automatizzando il cracking delle password su larga scala.
La velocità dell’attacco - 600 sistemi in cinque settimane - rappresenta un cambio di paradigma nel cybercrime. Quello che una volta richiedeva mesi di lavoro manuale ora può essere automatizzato, permettendo anche a gruppi con risorse limitate di condurre operazioni su scala industriale.
Per i DPO, questo scenario richiede una revisione urgente delle strategie di difesa, privilegiando l’automazione anche nelle difese e l’implementazione di controlli di sicurezza che possano rilevare e mitigare attacchi automatizzati ad alta velocità.
Amazon Conferma: AI Trasforma il Panorama delle Minacce
Il report di Amazon fornisce dettagli tecnici sulla campagna AI-assisted, rivelando come gli attaccanti abbiano utilizzato strumenti Python e Go generati dall’AI per automatizzare l’estrazione e la decrittazione di configurazioni dei firewall. Il codice analizzato mostra caratteristiche tipiche dell’AI: commenti ridondanti, architettura semplicistica e gestione naive del JSON.
Una volta compromessi i dispositivi, gli attaccanti estraevano credenziali SSL-VPN, configurazioni IPsec, topologia di rete e informazioni di routing. Questi dati venivano poi utilizzati per muoversi lateralmente nelle reti compromesse utilizzando scanner come gogo e Nuclei per identificare servizi HTTP e controller di dominio.
L’incidente dimostra come l’AI stia democratizzando capacità offensive avanzate, rendendo accessibili a criminali con competenze tecniche limitate operazioni precedentemente riservate ad APT sofisticati. I DPO devono prepararsi ad affrontare un volume e una velocità di attacchi senza precedenti.
TECH & INNOVAZIONE
Microsoft: bug in Office espone email confidenziali a Copilot AI
Microsoft ha confermato l’esistenza di un bug che per settimane ha permesso al suo Copilot AI di accedere e riassumere email confidenziali dei clienti senza autorizzazione. Il problema, identificato come CW1226324, ha interessato i messaggi con etichette di riservatezza, ignorando le policy di prevenzione della perdita dati (DLP) implementate dalle organizzazioni.
Il bug ha particolare rilevanza per i DPO, poiché evidenzia i rischi dell’integrazione di sistemi AI con dati sensibili. Nonostante le misure di protezione configurate, le informazioni confidenziali sono state elaborate dal modello linguistico di Microsoft, creando potenziali violazioni del GDPR. La tempistica della scoperta - dopo settimane di esposizione - solleva inoltre questioni sulla trasparenza e sui tempi di notifica.
Microsoft ha iniziato il rollout della correzione a febbraio, ma non ha rivelato il numero di clienti coinvolti. L’incidente sottolinea l’importanza di audit continui sui sistemi AI e di policy chiare per la gestione dei dati nelle soluzioni cloud integrate.
RICERCA SCIENTIFICA
Selezione dei paper più rilevanti della settimana da arXiv su AI, Machine Learning e Privacy
Machine Unlearning e Privacy
MeGU: Machine-Guided Unlearning with Target Feature Disentanglement
Una nuova tecnica per implementare il “diritto all’oblio” nei modelli di ML, affrontando il trade-off tra cancellazione efficace dei dati target e mantenimento dell’utilità del modello. Particolarmente rilevante per DPO che devono gestire richieste di cancellazione GDPR mantenendo la performance dei sistemi. arXiv
Federated Learning Privacy-Preserving
U-FedTomAtt: Ultra-lightweight Federated Learning with Attention for Tomato Disease Recognition
Approccio federated learning ultra-leggero per applicazioni agricole che riduce overhead di comunicazione e rischi privacy evitando centralizzazione dei dati raw. Dimostra come FL possa essere implementato efficacemente in settori verticali con vincoli di risorse e privacy. arXiv
Catastrophic Forgetting Resilient One-Shot Incremental Federated Learning
Framework per federated learning incrementale che gestisce flussi di dati privacy-sensitive distribuiti geograficamente. Affronta sfide di compliance in scenari big-data dove la centralizzazione è problematica per privacy e latenza, offrendo soluzioni per apprendimento continuo. arXiv
Identificazione PII e Deanonimizzazione
Discovering Universal Activation Directions for PII Leakage in Language Models
Framework UniLeak per identificare direzioni di attivazione che controllano il leakage di informazioni personali nei LLM. Cruciale per compliance officer che devono valutare e mitigare rischi di esposizione PII nei modelli linguistici utilizzati nelle organizzazioni. arXiv
Large-scale online deanonymization with LLMs
Studio che dimostra capacità dei LLM di deanonimizzare utenti su larga scala usando profili pseudonimi online. Evidenzia rischi significativi per tecniche di anonimizzazione tradizionali e necessità di rivalutare strategie di protezione dati in era AI. arXiv
Differential Privacy e Sicurezza
Efficient privacy loss accounting for subsampling and random allocation
Miglioramenti nell’accounting della privacy loss per schemi di campionamento in contesti di ottimizzazione differentially private. Fornisce strumenti più precisi per quantificare garanzie privacy, essenziale per compliance con normative che richiedono dimostrazioni matematiche di protezione. arXiv
Exact Certification of Data-Poisoning Attacks Using Mixed-Integer Programming
Framework di verifica per attacchi di data poisoning con garanzie complete durante training di reti neurali. Permette certificazione esatta della robustezza contro manipolazioni dati, cruciale per validare integrità di sistemi AI in ambienti ad alto rischio. arXiv
Fail-Closed Alignment for Large Language Models
Propone principio fail-closed per alignment robusto nei LLM, identificando debolezze strutturali nei meccanismi di rifiuto attuali. Fondamentale per governance AI che deve garantire comportamenti sicuri anche sotto attacchi di jailbreaking e manipolazione dei prompt. arXiv
AI ACT IN PILLOLE - Parte 9
Articolo 13 - Trasparenza e fornitura di informazioni ai deployer
Dopo aver analizzato nell’ultima puntata gli obblighi di registrazione automatica previsti dall’Articolo 12, ci spostiamo ora su uno dei pilastri più significativi del Regolamento AI Act per la governance operativa: l’Articolo 13, dedicato alla trasparenza e alla fornitura di informazioni ai deployer dei sistemi di IA ad alto rischio.
Il principio cardine: trasparenza sufficiente per un uso informato
L’Articolo 13 stabilisce che i sistemi di IA ad alto rischio devono essere progettati e sviluppati in modo tale da garantire che il loro funzionamento sia sufficientemente trasparente da consentire ai deployer di interpretare l’output del sistema e utilizzarlo in modo appropriato. Questo requisito non si limita a un obbligo formale di documentazione: impone una vera e propria progettazione orientata alla comprensibilità.
La trasparenza deve essere accompagnata da istruzioni d’uso appropriate, in un formato adeguato, che includano informazioni concise, complete, corrette e chiare, rilevanti, accessibili e comprensibili per i deployer. Le istruzioni devono consentire ai deployer di comprendere le capacità e i limiti del sistema, nonché di prendere decisioni informate sul suo utilizzo.
Contenuto minimo delle istruzioni d’uso
Il Regolamento specifica dettagliatamente cosa devono contenere le istruzioni fornite ai deployer. In particolare: l’identità e i dati di contatto del fornitore, le caratteristiche, capacità e limitazioni delle prestazioni del sistema, compreso il livello di accuratezza per specifici gruppi di persone, le modifiche predeterminate dal fornitore, le misure di sorveglianza umana, le risorse computazionali e hardware necessarie, nonché la durata prevista del sistema e le eventuali misure di manutenzione necessarie.
Particolarmente rilevante è l’obbligo di specificare i livelli di accuratezza, robustezza e cybersicurezza rispetto ai quali il sistema è stato testato e validato, insieme alle circostanze prevedibili che potrebbero comportare rischi per la salute, la sicurezza o i diritti fondamentali.
La sfida dell’interpretabilità
Un aspetto cruciale dell’Articolo 13 riguarda la necessità che i deployer possano interpretare correttamente gli output del sistema. Questo va oltre la semplice trasparenza algoritmica: richiede che le informazioni fornite siano calibrate sul livello di competenza tecnica dei destinatari previsti. Un sistema utilizzato da personale medico richiederà un tipo di spiegazione diversa rispetto a uno impiegato nel settore finanziario o nella gestione delle risorse umane.
Questa esigenza di interpretabilità si collega direttamente con il diritto alla spiegazione previsto dal GDPR per le decisioni automatizzate, creando un ponte normativo tra i due regolamenti che i DPO devono saper gestire in modo integrato.
Implicazioni pratiche per le organizzazioni
Per DPO, compliance officer e consulenti legali, l’Articolo 13 comporta una revisione approfondita delle modalità di comunicazione con gli utilizzatori dei sistemi AI. Le organizzazioni che operano come deployer dovranno verificare di aver ricevuto dal fornitore documentazione completa e comprensibile, mentre i fornitori dovranno investire nella produzione di istruzioni che vadano ben oltre il tradizionale manuale tecnico.
La trasparenza diventa così un requisito di progettazione continuo, non un adempimento una tantum: ogni aggiornamento del sistema, ogni modifica delle condizioni d’uso o dei contesti applicativi richiede un corrispondente aggiornamento delle informazioni fornite ai deployer.
Sanzioni
Il mancato rispetto degli obblighi di trasparenza può comportare sanzioni amministrative pecuniarie fino a 15 milioni di euro o, per le imprese, fino al 3% del fatturato mondiale annuo dell’esercizio precedente. La completezza e l’adeguatezza delle informazioni fornite saranno elementi chiave nelle valutazioni di conformità da parte delle autorità competenti.
La prossima settimana, nella Parte 10, analizzeremo l’Articolo 14 dedicato alla sorveglianza umana, uno dei requisiti più innovativi e discussi del Regolamento, che impone il mantenimento di un controllo umano significativo sui sistemi di IA ad alto rischio.
Eventi e incontri segnalati
Meeting Data Protection Working Group, Council (27 febbraio 2026)
EDPB | Info
117th Plenary meeting (18 marzo 2026)
EDPB | Info
Blog post: Advancing into Practice: Third Meeting of the AI Act Correspondents Network
EDPS | Info
European Union endorses Leaders’ Declaration at AI Summit in India
European Commission | Info
Executive Vice-President Virkkunen in India for summit on artificial intelligence
European Commission | Info
Conclusione
La settimana evidenzia un doppio binario nell’azione delle autorità europee: da un lato l’enforcement diretto su violazioni concrete, dall’altro la costruzione di strumenti normativi che anticipano le sfide future. I due piani si alimentano reciprocamente, disegnando un panorama regolatorio sempre più maturo e operativo.
Il Garante italiano ha agito con decisione su tre fronti distinti ma convergenti. La sanzione a eCampus per il riconoscimento facciale nei corsi online e il parere negativo sulle body cam della Polizia locale di Pescara condividono la stessa logica: le tecnologie biometriche e di sorveglianza richiedono garanzie rafforzate e non possono essere implementate senza una solida base giuridica, una DPIA adeguata e la valutazione di alternative meno invasive. Il caso Pescara aggiunge una dimensione critica: il rischio di trasferimento dati verso paesi terzi attraverso fornitori statunitensi, in violazione della Direttiva 2016/680, dimostra come le scelte tecnologiche degli enti pubblici abbiano implicazioni immediate sulla protezione dei diritti fondamentali. In contrasto costruttivo, il parere favorevole sulle Linee guida AGID per l’accessibilità dei servizi e le nuove disposizioni sugli screening sanitari mostrano un’autorità capace di bilanciare tutela e innovazione, fornendo ai DPO quadri operativi chiari per implementare servizi pubblici rispettosi della privacy.
L’EDPB ha rilasciato il rapporto sull’azione coordinata 2025 sul diritto alla cancellazione, coinvolgendo 32 autorità e 764 titolari del trattamento. Le sette sfide ricorrenti identificate — dalle procedure interne inadeguate alla gestione problematica dei backup — offrono una roadmap preziosa per i professionisti della privacy, mentre segnalano che l’enforcement coordinato europeo sta raggiungendo una capacità di analisi sistematica senza precedenti. Il rapporto sulle tecniche di anonimizzazione e pseudonimizzazione e la risposta sugli abusi di spyware completano un quadro di attenzione crescente verso le sfide tecniche più complesse della protezione dati.
La decisione del Parlamento Europeo di disabilitare le funzionalità AI sui dispositivi di lavoro rappresenta un paradosso illuminante: l’istituzione che ha plasmato l’AI Act applica il principio di precauzione nella propria operatività quotidiana, riconoscendo che l’invio di dati sensibili a servizi cloud esterni crea rischi concreti per la cybersecurity. Questo precedente istituzionale fornisce ai DPO un argomento potente per sostenere valutazioni approfondite prima dell’adozione di strumenti AI negli ambienti di lavoro.
Il bilancio dei due anni di Digital Services Act — con 50 milioni di decisioni di moderazione ribaltate a favore degli utenti — conferma l’efficacia del DSA come strumento operativo complementare al GDPR. L’indagine su Shein per design addittivo, prodotti illegali e opacità algoritmica, insieme alla contestazione della multa da 120 milioni di euro da parte di X e all’indagine irlandese su xAI per deepfake sessualizzati, dimostra come l’ecosistema regolatorio europeo stia convergendo su molteplici fronti per responsabilizzare le piattaforme globali.
Sul versante della cybersecurity, la campagna AI-assisted contro oltre 600 firewall FortiGate, documentata da Amazon Threat Intelligence, segna un cambio di paradigma: l’intelligenza artificiale sta democratizzando capacità offensive che erano prerogativa di gruppi APT sofisticati, comprimendo in settimane operazioni che prima richiedevano mesi. Il bug Microsoft che ha esposto email confidenziali a Copilot AI e la scoperta di PromptSpy, primo malware Android che sfrutta Gemini, confermano che l’integrazione dell’AI nei sistemi e nelle minacce procede più velocemente delle contromisure.
Per DPO e compliance officer, questi sviluppi convergono verso un’esigenza comune: la necessità di governance frameworks che integrino GDPR, AI Act, DSA e normative di cybersecurity in un approccio unitario. L’epoca della compliance per compartimenti stagni si sta chiudendo, sostituita dalla necessità di valutazioni d’impatto che considerino simultaneamente la protezione dei dati, la sicurezza informatica, la trasparenza algoritmica e i diritti fondamentali.
Come si ridefiniranno le competenze professionali dei DPO in un panorama dove la comprensione delle architetture AI e delle dinamiche di cybersecurity diventa tanto importante quanto la conoscenza giuridica del GDPR?
📧 A cura di Nicola Fabiano
Avvocato - Studio Legale Fabiano
🌐 Studio Legale Fabiano: https://www.fabiano.law
🌐 Blog: https://www.nicfab.eu
🌐 DAPPREMO: www.dappremo.eu
Supporter
Telegram → @nicfabnews
Matrix → #nicfabnews:matrix.org
Mastodon → @nicfab@fosstodon.org
Bluesky → @nicfab.eu