NicFab Newsletter
Numero 11 | 10 marzo 2026
Privacy, Data Protection, AI e Cybersecurity
Benvenuti al numero 11 della newsletter settimanale dedicata alla privacy, alla data protection, all’intelligenza artificiale, alla cybersecurity e all’etica. Ogni martedì troverete una selezione ragionata delle notizie più rilevanti della settimana precedente, con un focus su sviluppi normativi europei, giurisprudenza, enforcement e innovazione tecnologica.
In questo numero
- GARANTE PRIVACY ITALIA
- EDPB - COMITATO EUROPEO PROTEZIONE DATI
- EDPS - GARANTE EUROPEO PROTEZIONE DATI
- CNIL - AUTORITÀ FRANCESE
- PARLAMENTO EUROPEO
- CONSIGLIO DELL’UNIONE EUROPEA
- SVILUPPI INTERNAZIONALI
- INTELLIGENZA ARTIFICIALE
- CYBERSECURITY
- TECH & INNOVAZIONE
- RICERCA SCIENTIFICA
- AI Act in Pillole
- Eventi e incontri segnalati
- Conclusione
GARANTE PRIVACY ITALIA
Famiglia nel bosco: il Garante monitora la vicenda e richiama alla tutela dei minori
Il Garante per la protezione dei dati personali è intervenuto sulla vicenda mediatica della cosiddetta “famiglia nel bosco”, richiamando tutti gli organi di informazione al rispetto rigoroso della privacy dei minori coinvolti. L’Autorità monitora attentamente gli sviluppi del caso, prestando particolare attenzione alla protezione dei dati personali delle persone di minore età.
Il comunicato sottolinea l’importanza di rispettare i principi di essenzialità dell’informazione e tutela della dignità, raccomandando massima cautela nella diffusione di elementi che possano permettere, anche indirettamente, l’identificazione dei minori. Per i DPO del settore editoriale e mediatico, questo richiamo rappresenta un promemoria cruciale sulla necessità di implementare controlli preventivi nei processi di pubblicazione, specialmente quando sono coinvolti soggetti vulnerabili come i minori.
EDPB - COMITATO EUROPEO PROTEZIONE DATI
Stakeholder event on political advertising: agenda available now
L’EDPB ha pubblicato l’agenda per l’evento del 27 marzo dedicato alla raccolta di input da parte degli stakeholder sulle linee guida per il trattamento di dati personali nella pubblicità politica mirata. L’iniziativa si inserisce nel quadro del regolamento sulla trasparenza e il targeting della pubblicità politica, confermando l’impegno del Comitato verso il coinvolgimento delle parti interessate.
Per i DPO, questo rappresenta un’opportunità cruciale per comprendere l’evoluzione del quadro normativo in un settore particolarmente sensibile. La pubblicità politica presenta sfide uniche in termini di bilanciamento tra diritti fondamentali e libertà democratiche, richiedendo particolare attenzione ai principi di trasparenza e minimizzazione dei dati.
Conference on cross-regulatory cooperation in the EU
Il 17 marzo si terrà la conferenza “Cross-regulatory interplay and cooperation in the EU: a data protection perspective”, che offrirà una panoramica del lavoro dell’EDPB nel panorama normativo europeo. L’evento si concentrerà sull’interazione tra diversi framework regolamentari e sui meccanismi di cooperazione tra autorità.
L’iniziativa evidenzia la crescente complessità del panorama normativo europeo, dove GDPR, Digital Services Act, AI Act e altre normative si intersecano. Per i DPO diventa essenziale comprendere queste interconnessioni per garantire compliance integrata e anticipare eventuali conflitti normativi nella gestione quotidiana della protezione dati.
Data brokers market study
L’EDPB ha pubblicato uno studio sul mercato dei data broker che fornisce una metodologia per identificarli e presenta una tipologia completa dei loro modelli di business con relativa analisi dei rischi. Lo studio, condotto in Belgio nel contesto del programma Support Pool of Experts, evidenzia l’alta diversità del mercato con livelli variabili di rischio nell’utilizzo dei dati personali.
La ricerca offre ai DPO strumenti concreti per valutare i fornitori di dati e identificare potenziali data broker ad alto rischio. Particolare attenzione merita la metodologia proposta, che può essere applicata anche in altri contesti nazionali per mappare l’ecosistema dei fornitori di dati personali e orientare le strategie di due diligence.
EDPS - GARANTE EUROPEO PROTEZIONE DATI
TechDispatch Talks - Digital Identity Wallets
L’EDPS lancia un nuovo episodio del podcast TechDispatch Talks dedicato ai portafogli di identità digitale europei. Dal 2026, ogni Stato membro dell’UE dovrebbe offrire almeno un wallet ufficiale per l’identità digitale europea, promettendo di rivoluzionare il modo in cui dimostriamo la nostra identità online e offline.
Il podcast, condotto da Miriam Cakurdova e Massimo Attoresi, esplora come questi strumenti potrebbero sostituire decine di password e ridurre la dipendenza dalle piattaforme “Log in with”, permettendo di archiviare credenziali digitali - da documenti d’identità a diplomi universitari - in un unico wallet sicuro sul telefono.
Per i DPO, l’analisi dell’EDPS sui rischi reali di privacy e sicurezza rappresenta una risorsa preziosa per comprendere le implicazioni di questa transizione tecnologica e prepararsi alla gestione dei nuovi flussi di dati personali.
Nuovo Episodio sui Digital Identity Wallets Disponibile
L’EDPS annuncia la disponibilità del nuovo episodio TechDispatch Talks sui portafogli di identità digitale, sottolineando l’importanza del tema nell’intersezione tra tecnologia, protezione dei dati e privacy. L’episodio si concentra sul potenziale trasformativo di questi strumenti nella gestione dell’identità digitale.
La discussione affronta una questione cruciale per i professionisti della privacy: questi wallet potrebbero effettivamente ridurre l’oversharing dei dati e il profiling, oppure introducono nuovi rischi? L’analisi dell’EDPS promette di esaminare sia i benefici potenziali che le criticità di sicurezza e privacy.
L’approccio dell’EDPS offre ai DPO una prospettiva equilibrata su una tecnologia destinata a impattare significativamente le pratiche di gestione dell’identità digitale nei prossimi anni.
CNIL - AUTORITÀ FRANCESE
Clôture de l’injonction prononcée à l’encontre de la société KASPR
La CNIL ha chiuso il procedimento sanzionatorio contro la società KASPR, inizialmente multata per 240.000 euro nel dicembre 2024. La sanzione originaria derivava da gravi violazioni: raccolta di dati da profili LinkedIn con visibilità limitata, conservazione eccessiva per 5 anni ad ogni aggiornamento, mancanza di informativa (fino al 2022) e successivamente solo in inglese.
Il caso evidenzia l’importanza di rispettare i limiti di visibilità sui social network professionali e di implementare politiche di conservazione proporzionate. Per i DPO, rappresenta un promemoria sulla necessità di verificare costantemente le modalità di raccolta dati e di fornire informative complete e accessibili nella lingua appropriata.
IA e sanità: consultazione pubblica CNIL-HAS su guida alle buone pratiche
La CNIL e la Haute Autorité de Santé (HAS) hanno avviato una consultazione pubblica su un progetto di guida per l’uso responsabile dell’intelligenza artificiale in ambito sanitario. L’iniziativa mira a definire standard e raccomandazioni per “Accompagner le bon usage des systèmes d’IA en contexte de soins”.
La collaborazione tra autorità sanitarie e garante privacy dimostra l’approccio integrato necessario per governare l’IA in settori sensibili. Per i DPO del settore sanitario, questa guida rappresenterà uno strumento fondamentale per bilanciare innovazione tecnologica e protezione dei dati sanitari, particolarmente critici per la loro natura sensibile.
Gestione dati per la consultazione pubblica CNIL/HAS
La CNIL ha pubblicato le modalità di trattamento dei dati personali per la consultazione pubblica condotta congiuntamente con HAS. Il trattamento, basato sull’articolo 6(1)e del RGPD (esercizio di autorità pubblica), consente la raccolta e analisi delle contribuzioni, contatti per approfondimenti e elaborazione di statistiche anonime.
L’iniziativa esemplifica la trasparenza procedurale richiesta anche alle autorità pubbliche nel trattamento dati. I DPO possono trarre spunto dall’approccio metodologico della CNIL per strutturare consultazioni pubbliche rispettose della privacy, definendo chiaramente finalità, base legale e modalità di utilizzo dei dati raccolti.
Tables Informatique et Libertés: aggiornamento 2026
La CNIL ha pubblicato l’aggiornamento 2026 delle Tables Informatique et Libertés, strumento di riferimento che raccoglie e organizza sistematicamente le decisioni, deliberazioni e orientamenti dell’autorità francese. Questo documento rappresenta una bussola interpretativa essenziale per comprendere l’evoluzione della giurisprudenza privacy.
L’aggiornamento annuale riflette le nuove sfide normative e tecnologiche emerse nell’ultimo anno. Per i DPO, le Tables costituiscono una risorsa preziosa per anticipare orientamenti interpretativi, verificare la conformità delle proprie pratiche e comprendere l’approccio della CNIL su questioni specifiche, facilitando decisioni informate nella gestione quotidiana della privacy.
PARLAMENTO EUROPEO
Protezione del copyright nell’era dell’intelligenza artificiale
Il Parlamento Europeo si prepara a definire principi cruciali per proteggere i contenuti protetti da copyright dall’uso libero nell’addestramento dell’IA generativa. La proposta, presentata dal relatore Axel Voss, mira a garantire che i fornitori di IA riconoscano chiaramente i contenuti protetti utilizzati e garantiscano una giusta remunerazione ai titolari dei diritti.
La normativa prevede che i detentori di diritti possano impedire l’uso dei loro contenuti protetti per l’addestramento dell’IA e stabilisce che l’addestramento con contenuti generati nell’UE debba sottostare alle leggi europee. Particolare attenzione è rivolta alla protezione del settore stampa e ai rischi dell’IA generativa per il pluralismo mediatico.
Per i DPO, questa iniziativa rappresenta un punto di riferimento essenziale per navigare le complesse intersezioni tra protezione dei dati, diritti di proprietà intellettuale e innovazione tecnologica nell’implementazione di sistemi di IA.
Cooperazione digitale UE-Regno Unito
Nonostante la Brexit, la cooperazione digitale tra UE e Regno Unito continua attraverso dialoghi strutturati su temi strategici come intelligenza artificiale, cybersicurezza, minacce informatiche e manipolazione dell’informazione straniera (FIMI). Questa collaborazione si concretizza principalmente attraverso scambi informativi, aggiornamenti normativi e cooperazione nelle arene internazionali.
La continuità di questa partnership evidenzia l’importanza della collaborazione transfrontaliera nella governance digitale, specialmente per la regolamentazione delle piattaforme e la condivisione di dati. Per i professionisti della protezione dati, questa cooperazione facilita l’armonizzazione degli standard e delle best practice, creando un framework più coeso per la gestione dei flussi di dati internazionali.
L’evoluzione di questi rapporti sarà cruciale per definire il futuro landscape normativo europeo e britannico nel settore digitale.
Diritti delle donne e democrazia nell’era digitale
L’espansione delle tecnologie digitali e dell’intelligenza artificiale presenta opportunità trasformative ma anche sfide significative per i diritti delle donne. Mentre queste innovazioni rivoluzionano l’accesso all’educazione e amplificano i movimenti femministi, esacerbano anche rischi specifici di genere: bias algoritmici, molestie online e weaponizzazione della tecnologia deepfake.
Il briefing del Parlamento sottolinea come gli stessi strumenti che abilitano il progresso possano rafforzare le disuguaglianze. La soluzione proposta prevede l’integrazione di framework basati sui diritti nelle politiche di IA, piattaforme e sistemi di dati.
Per i DPO, questa analisi evidenzia l’importanza di considerare l’impatto di genere nelle valutazioni d’impatto sulla protezione dati e nell’implementazione di sistemi algoritmici, garantendo che la privacy by design includa prospettive di genere inclusive.
CONSIGLIO DELL’UNIONE EUROPEA
Semplificazione delle norme UE sui biocidi
Il Consiglio dell’Unione Europea ha raggiunto un accordo per snellire la regolamentazione sui biocidi, estendendo il periodo di protezione dei dati. Questa decisione rappresenta un passo significativo verso la semplificazione del quadro normativo europeo per i prodotti biocidi, utilizzati per controllare organismi nocivi come batteri, virus e funghi.
L’estensione del periodo di protezione dei dati mira a incentivare l’innovazione nel settore, offrendo alle aziende maggiori garanzie sui loro investimenti in ricerca e sviluppo. Per i Data Protection Officer, questo sviluppo può comportare implicazioni nella gestione dei dati relativi alla ricerca e alla registrazione di questi prodotti.
La semplificazione normativa dovrebbe facilitare l’immissione sul mercato di nuovi biocidi, mantenendo al contempo elevati standard di sicurezza per la salute umana e l’ambiente. Sarà importante monitorare l’evoluzione di questa posizione durante il processo legislativo.
SVILUPPI INTERNAZIONALI
Germania: Privacy Chief emarginata mentre i servizi di intelligence si rafforzano
Il capo dell’autorità tedesca per la protezione dei dati ha lanciato un allarme sulla crescente difficoltà nel proteggere i cittadini dalla sorveglianza dei servizi di intelligence. Un tribunale amministrativo ha respinto la richiesta del BfDI di accedere ai dati sulle attività di spionaggio del BND, limitando gravemente la supervisione.
La Germania sta rivedendo le storiche limitazioni imposte ai suoi servizi di intelligence dopo la Seconda Guerra Mondiale, preparando una riforma che conferirà poteri molto più ampi alle agenzie di spionaggio. Per i DPO tedeschi, questo sviluppo rappresenta una sfida significativa: come bilanciare la sicurezza nazionale con la protezione dei dati personali quando la supervisione viene di fatto compromessa?
USA: FTC ammette che l’age verification viola le leggi sulla privacy minorile
Un paradosso normativo emerge negli Stati Uniti: la Federal Trade Commission riconosce che i sistemi di verifica dell’età violano le leggi sulla privacy dei minori, ma decide di ignorare questa contraddizione. L’ironia è evidente: per proteggere i bambini da contenuti ritenuti inappropriati, si espongono a violazioni della privacy che consentono a corporation e malintenzionati di raccogliere i loro dati.
Per i DPO che operano a livello internazionale, questo caso evidenzia come la “protezione dei minori” possa diventare un pretesto per erodere diritti fondamentali. È essenziale valutare criticamente le misure proposte, distinguendo tra protezione reale e mera retorica politica.
Regno Unito: ICO indaga sui Ray-Ban smart glasses di Meta
L’autorità britannica per la privacy sta investigando sui Ray-Ban smart glasses di Meta dopo rivelazioni che i contractor umani hanno accesso a contenuti estremamente privati. L’inchiesta giornalistica svedese ha rivelato che i lavoratori kenioti incaricati di migliorare l’AI vedono di tutto: dalle conversazioni quotidiane a momenti intimi, inclusi dettagli bancari e documenti personali.
Il caso solleva questioni cruciali sui trasferimenti transfrontalieri di dati sotto GDPR e sulla trasparenza nel trattamento dei dati. Per i DPO, rappresenta un esempio perfetto di come l’innovazione tecnologica possa creare rischi imprevisti per la privacy, richiedendo valutazioni d’impatto più approfondite.
Regno Unito avverte: rischio cyberattacchi iraniani nel conflitto mediorientale
Il National Cyber Security Centre britannico ha emesso un avviso per le organizzazioni UK riguardo l’aumentato rischio di cyberattacchi iraniani, particolarmente per entità con presenza o catene di fornitura in Medio Oriente. Nonostante un blackout internet diffuso in Iran, i gruppi di hacking sponsorizzati dallo stato mantengono probabilmente capacità operative.
L’avvertimento evidenzia come i conflitti geopolitici si riflettano immediatamente nel cyberspace. Per i DPO di organizzazioni multinazionali, è essenziale mappare l’esposizione geografica e implementare monitoraggio rafforzato. La raccomandazione di rivedere la superficie d’attacco esterna diventa prioritaria quando la sicurezza nazionale incontra la protezione dati.
INTELLIGENZA ARTIFICIALE
EU AI Act: il social scoring come pratica proibita
L’AI Act europeo stabilisce chiari “red lines” per le pratiche di intelligenza artificiale, includendo il divieto di social scoring che valuti individui o gruppi basandosi sui loro comportamenti sociali. La proibizione si applica quando il trattamento risulta sproporzionato rispetto al comportamento valutato o quando coinvolge contesti sociali non correlati.
Per i DPO, questa norma si interseca significativamente con il GDPR, particolarmente nelle aree di profilazione e decisioni automatizzate. Rimangono lecite le valutazioni legittime come scoring creditizio, valutazioni assicurative e sistemi anti-frode, purché rispettino le salvaguardie proporzionate. La sfida sarà distinguere tra personalizzazione AI legittima e social scoring proibito.
Infrastruttura open-source per compliance Articolo 12 AI Act
È stata sviluppata una libreria TypeScript open-source per soddisfare i requisiti dell’Articolo 12 dell’AI Act, che entrerà in vigore ad agosto richiedendo registrazione automatica degli eventi e conservazione di sei mesi per sistemi ad alto rischio. La soluzione crea log append-only con hash SHA-256 per rilevare manomissioni.
La libreria evidenzia una lacuna pratica nella compliance: molte organizzazioni hanno già buona osservabilità, ma non possono dimostrare l’integrità delle decisioni AI mesi dopo. Per i DPO, questo strumento rappresenta un approccio pragmatico per documentare le inferenze AI in modo verificabile, anche se rimangono questioni sulla sicurezza crittografica completa.
CYBERSECURITY
Recent Cisco Catalyst SD-WAN Vulnerability Now Widely Exploited
La vulnerabilità CVE-2026-20127 che colpisce i sistemi Cisco Catalyst SD-WAN sta subendo un’escalation preoccupante. WatchTowr segnala tentativi di exploit provenienti da numerosi indirizzi IP unici, indicando una campagna di attacchi coordinata e diffusa su scala globale.
Per i DPO, questa situazione rappresenta un rischio critico per le organizzazioni che utilizzano infrastrutture SD-WAN Cisco. È essenziale verificare immediatamente la presenza di questi sistemi nella propria infrastruttura e coordinare con i team IT l’applicazione urgente delle patch di sicurezza. La natura diffusa degli attacchi suggerisce che i threat actor stanno sfruttando attivamente questa vulnerabilità per compromettere le reti aziendali.
Hikvision and Rockwell Automation CVSS 9.8 Flaws Added to CISA KEV Catalog
CISA ha aggiunto due vulnerabilità critiche (CVSS 9.8) al catalogo KEV: CVE-2017-7921 per prodotti Hikvision e CVE-2021-22681 per sistemi Rockwell Automation. La prima consente escalation di privilegi su telecamere di sorveglianza, mentre la seconda permette bypass dell’autenticazione su controller industriali.
Le agenzie federali hanno tempo fino al 26 marzo 2026 per implementare le correzioni. Per i DPO del settore privato, queste vulnerabilità rappresentano un rischio significativo per infrastrutture critiche e sistemi di videosorveglianza. È fondamentale condurre un audit immediato dei dispositivi interessati e pianificare aggiornamenti urgenti, considerando l’impatto potenziale su sicurezza fisica e controlli industriali.
Cognizant TriZetto breach exposes health data of 3.4 million patients
Un data breach presso TriZetto Provider Solutions ha esposto informazioni sanitarie di oltre 3,4 milioni di persone. L’accesso non autorizzato è iniziato nel novembre 2024 ma è stato rilevato solo nell’ottobre 2025, evidenziando un tempo di permanenza preoccupante di quasi un anno.
I dati compromessi includono nomi, indirizzi, SSN, informazioni assicurative e demografiche sanitarie. Per i DPO del settore healthcare, questo incidente sottolinea l’importanza di implementare sistemi di monitoraggio continuo e detection tempestiva. Il ritardo nella notifica ai pazienti (avvenuta solo a febbraio 2026) solleva questioni di compliance normativa che richiedono revisione delle procedure di incident response e notification.
FBI Investigating ‘Suspicious’ Cyber Activity on System Holding Sensitive Surveillance Information
L’FBI sta indagando su attività cyber sospette su un sistema contenente informazioni sensibili di sorveglianza. L’agenzia ha notificato il Congresso mentre lavora per determinare portata e impatto dell’incidente, che coinvolge sistemi critici per la sicurezza nazionale.
Questo evento evidenzia la vulnerabilità anche delle infrastrutture governative più sensibili. Per i DPO, rappresenta un promemoria dell’importanza di implementare controlli di sicurezza multi-livello e monitoraggio continuo, specialmente per sistemi che gestiscono dati classificati o di intelligence. La trasparenza nella comunicazione con stakeholder e autorità di vigilanza diventa cruciale in scenari ad alto impatto.
Cisco Confirms Active Exploitation of Two Catalyst SD-WAN Manager Vulnerabilities
Cisco ha confermato lo sfruttamento attivo di due ulteriori vulnerabilità: CVE-2026-20122 (sovrascrittura file arbitrari) e CVE-2026-20128 (disclosure di informazioni). Gli attacchi mostrano deployment di web shell con picchi di attività il 4 marzo, concentrati prevalentemente negli Stati Uniti.
La simultanea exploitation di multiple vulnerabilità Cisco SD-WAN indica una campagna coordinata che richiede risposta immediata. I DPO devono considerare qualsiasi sistema esposto come potenzialmente compromesso fino a prova contraria. È essenziale implementare misure di contenimento, applicare patch urgentemente e condurre forensics per verificare l’integrità dei sistemi. La natura opportunistica degli attacchi suggerisce che l’esposizione continuerà nel lungo termine.
TECH & INNOVAZIONE
TikTok combatte per i suoi legami con la Cina
TikTok ha iniziato una battaglia legale cruciale contro l’autorità irlandese per la protezione dei dati, che potrebbe definire il futuro delle aziende cinesi in Europa. La controversia ruota attorno a una multa da 530 milioni di euro per aver permesso al personale cinese di accedere ai dati degli utenti europei senza garanzie adeguate sulla protezione.
L’autorità irlandese vuole che TikTok interrompa i flussi di dati verso la Cina, a meno che non possa dimostrare che le informazioni degli utenti siano al sicuro dalle invasive leggi di sorveglianza di Pechino. Per i DPO, questo caso rappresenta un test fondamentale del GDPR nei trasferimenti verso la Cina. TikTok stima costi fino a 5 miliardi per conformarsi, dovendo potenzialmente scollegarsi completamente dalla Cina per continuare a servire gli utenti europei.
Ray-Ban Meta: dipendenti osservano contenuti intimi
Un’inchiesta svedese ha rivelato che i lavoratori di Sama, subappaltatore di Meta in Kenya, hanno visionato filmati sensibili catturati dagli smart glasses Ray-Ban Meta, incluse scene di nudità, rapporti sessuali e uso del bagno. Meta conferma di condividere “talvolta” contenuti con contractor per migliorare l’esperienza utente, affermando di filtrare i dati per proteggere la privacy.
Tuttavia, le fonti contestano l’efficacia della sfocatura dei volti promessa da Meta. Per i DPO, emerge la criticità del controllo sui fornitori terzi e della trasparenza nelle policy sulla privacy. La scoperta solleva questioni fondamentali sulla supervisione umana dell’AI e sui rischi di subappalti in paesi con standard di protezione dati diversi, evidenziando la necessità di audit più rigorosi sui processi di annotazione dei dati.
Class action contro Meta per gli smart glasses
Meta affronta una nuova class action negli Stati Uniti dopo le rivelazioni sui controlli umani dei filmati degli smart glasses. I ricorrenti accusano Meta di pubblicità ingannevole, citando slogan come “progettati per la privacy, controllati da te” mentre i filmati intimi venivano visionati da lavoratori esterni.
La causa evidenzia come oltre 7 milioni di persone abbiano acquistato gli smart glasses Meta nel 2025, con i loro dati automaticamente inseriti in pipeline di revisione senza possibilità di opt-out. Per i DPO, il caso sottolinea l’importanza di comunicazioni trasparenti sulle pratiche di trattamento dati e la necessità di meccanismi di consenso granulari. La discrepanza tra marketing e realtà operativa rappresenta un rischio significativo di non conformità e danno reputazionale per le aziende che implementano tecnologie AI.
Confermato attacco spyware contro giornalista italiano
Le autorità italiane hanno confermato che il giornalista Francesco Cancellato, direttore di Fanpage, è stato effettivamente hackerato con spyware Paragon insieme ad attivisti per l’immigrazione. L’attacco è avvenuto nelle prime ore del 14 dicembre 2024, come parte di una campagna coordinata di infezioni.
Mentre i servizi di intelligence italiani avevano legalmente preso di mira gli attivisti, non risultano operazioni contro Cancellato sui loro server, suggerendo l’intervento di attori sconosciuti. Il caso evidenzia la proliferazione degli strumenti di sorveglianza commerciali e i rischi per giornalisti e società civile. Per i DPO, questo sottolinea l’importanza di misure di sicurezza robuste per proteggere comunicazioni sensibili e la necessità di audit di sicurezza regolari, specialmente per organizzazioni che gestiscono informazioni critiche.
Data broker vendono trascrizioni private di chatbot
I data broker stanno vendendo accesso a dati sensibili catturati durante conversazioni con chatbot AI, nonostante affermazioni di anonimizzazione e consenso. Le estensioni del browser, che promettono VPN gratuiti o blocco ads, intercettano silenziosamente le comunicazioni con ChatGPT, Gemini e altri servizi AI sovrascrivendo le funzioni native del browser.
I dati, memorizzati con ID pseudonimizzati ma contenuto verbatim, includono nomi reali, date di nascita, numeri di cartelle cliniche e codici diagnostici. Una ricerca ha identificato circa 490 prompt unici da 435+ utenti in 20 categorie sensibili, inclusi discussioni su depressione, suicidio, abuso di sostanze e diagnosi mediche. Per i DPO, questo evidenzia i rischi nascosti delle estensioni browser e l’importanza di educare gli utenti sui pericoli della condivisione di informazioni sensibili con servizi AI non verificati.
RICERCA SCIENTIFICA
Selezione dei paper più rilevanti della settimana da arXiv su AI, Machine Learning e Privacy
AI Safety e Alignment
Why Is RLHF Alignment Shallow? A Gradient Analysis
Ricerca che dimostra come l’allineamento basato sui gradienti si concentri solo sui punti dove viene deciso il danno, vanificando oltre. L’analisi matematica rivela limiti strutturali delle tecniche RLHF attuali, con implicazioni critiche per la governance di AI aziendali e valutazioni di conformità. arXiv
ThaiSafetyBench: Assessing Language Model Safety in Thai Cultural Contexts
Benchmark di 1.954 prompt malevoli in thailandese evidenzia carenze nella valutazione safety degli LLM per lingue non-inglesi. Sottolinea necessità di approcci culturalmente specifici per compliance globale e gestione rischi AI multilingue nelle organizzazioni internazionali. arXiv
Attacchi e Vulnerabilità LLM
Censored LLMs as a Natural Testbed for Secret Knowledge Elicitation
Studio su modelli censurati come testbed naturali per l’elicitazione di conoscenze nascoste, superando i limiti di costrutti artificiali. Fornisce insight pratici per valutare robustezza di sistemi AI in produzione e identificare vulnerabilità di sicurezza reali. arXiv
Jailbreak Foundry: From Papers to Runnable Attacks for Reproducible Benchmarking
Sistema multi-agente che traduce paper su jailbreak in moduli eseguibili per valutazioni immediate. Facilita testing di robustezza standardizzato per team compliance, permettendo valutazioni comparative riproducibili delle difese AI implementate. arXiv
Privacy-Preserving Technologies
A Late-Fusion Multimodal AI Framework for Privacy-Preserving Deduplication in National Healthcare Data Environments
Framework multimodale per deduplicazione sanitaria conforme GDPR/HIPAA senza identificatori diretti. Risolve sfide compliance nella gestione dati sanitari, offrendo approccio privacy-by-design per analytics su larga scala nel settore sanitario. arXiv
Privacy-Aware Camera 2.0 Technical Report
Evoluzione delle tecnologie di sorveglianza privacy-preserving per ambienti sensibili con garanzie matematiche di irreversibilità. Supera limiti di offuscamento tradizionale, cruciale per deployment conformi in settori regulated richiedenti bilanciamento sicurezza-privacy. arXiv
Governance e Tracciabilità
Code Fingerprints: Disentangled Attribution of LLM-Generated Code
Tecnica per attribuzione disaggregata di codice generato da LLM, fondamentale per governance software e compliance. Abilita vulnerability triage e incident investigation, supportando accountability aziendale nell’adozione di strumenti AI per sviluppo. arXiv
Detecting Hallucinations in Authentic LLM-Human Interactions
Rilevazione allucinazioni in dialoghi LLM-umani autentici per domini sensibili come medicina e legale. Supera benchmark artificiali fornendo metriche realistiche per valutazione rischi operativi e implementazione controlli qualità in applicazioni critiche. arXiv
AI ACT IN PILLOLE - Parte 11
Articolo 15 - Accuratezza, robustezza e cybersicurezza
Dopo aver esaminato nella scorsa puntata l’Articolo 14 e il cruciale requisito della sorveglianza umana, proseguiamo il nostro viaggio attraverso l’AI Act analizzando l’Articolo 15, che stabilisce i requisiti fondamentali per garantire che i sistemi di IA ad alto rischio rispettino standard tecnici rigorosi in termini di accuratezza, robustezza e cybersicurezza.
Il cuore della norma tecnica
L’Articolo 15 rappresenta uno dei pilastri tecnici dell’AI Act, imponendo ai fornitori di sistemi di IA ad alto rischio di progettare e sviluppare le loro soluzioni secondo parametri di qualità ben definiti. Il legislatore europeo ha voluto garantire che questi sistemi non solo funzionino correttamente, ma mantengano prestazioni affidabili nel tempo e resistano a potenziali minacce informatiche.
Il requisito di accuratezza impone che i sistemi di IA raggiungano e mantengano un livello appropriato di precisione nelle loro prestazioni durante tutto il ciclo di vita. Questo significa che un sistema di riconoscimento facciale utilizzato per il controllo degli accessi in un aeroporto deve mantenere tassi di errore contenuti sia al momento dell’implementazione sia dopo mesi di utilizzo intensivo.
Robustezza: resilienza alle sfide operative
La robustezza richiede che i sistemi mantengano le loro prestazioni anche in condizioni avverse o impreviste. Un sistema di IA per la diagnosi medica, ad esempio, deve continuare a fornire risultati affidabili anche quando riceve input di qualità inferiore o si trova ad operare in condizioni diverse da quelle per cui è stato inizialmente addestrato.
Il regolamento specifica che i sistemi devono essere progettati per gestire errori, guasti o incongruenze che potrebbero verificarsi durante il funzionamento. Questo include la capacità di rilevare quando si trovano di fronte a situazioni al di fuori del loro dominio di competenza e di reagire appropriatamente, evitando output dannosi o fuorvianti.
Cybersicurezza: una priorità assoluta
Il requisito di cybersicurezza assume particolare rilevanza in un’epoca in cui gli attacchi informatici diventano sempre più sofisticati. L’Articolo 15 impone che i sistemi di IA ad alto rischio siano progettati per resistere a tentativi di compromissione della loro sicurezza, inclusi attacchi adversariali specificamente progettati per ingannare gli algoritmi di machine learning.
Un sistema di IA utilizzato nel settore bancario per la valutazione del credito deve, per esempio, implementare misure di sicurezza che impediscano manipolazioni malevole dei dati di input volte a ottenere approvazioni fraudolente.
Implementazione pratica e sfide organizzative
Per le organizzazioni, questi requisiti si traducono in investimenti significativi in termini di risorse tecniche e umane. È necessario implementare processi di monitoraggio continuo delle prestazioni, sistemi di testing robusti e protocolli di sicurezza informatica dedicati.
Le aziende dovranno inoltre documentare accuratamente le misure adottate per garantire conformità, creando un framework di governance tecnica che dimostri il rispetto degli standard richiesti. Questo include la definizione di metriche specifiche per misurare accuratezza e robustezza, nonché l’implementazione di procedure di incident response per gestire eventuali compromissioni della sicurezza.
Sanzioni e responsabilità
Il mancato rispetto dell’Articolo 15 espone le organizzazioni alle sanzioni previste dall’AI Act, che possono raggiungere il 4% del fatturato annuo globale o 20 milioni di euro. La natura tecnica di questi requisiti richiede una stretta collaborazione tra team legali, di compliance e tecnici per garantire un approccio integrato alla conformità.
La prossima settimana analizzeremo l’Articolo 16, che definisce gli obblighi principali dei fornitori di sistemi di IA ad alto rischio, esplorando come questi soggetti debbano strutturare le loro responsabilità organizzative per garantire la conformità normativa lungo tutto il ciclo di vita del sistema.
Eventi e incontri segnalati
Conference on cross-regulatory cooperation in the EU (17 March) - Programme available now (pubblicato il 3 marzo 2026)
EDPB | Info
Stakeholder event on political advertising: agenda available now (pubblicato il 6 marzo 2026)
EDPB | Info
117th Plenary meeting (pubblicato il 18 marzo 2026)
EDPB | Info
Apply AI webinars sectoral deep dive - Agrifood, climate & environment (pubblicato il 19 marzo 2026)
European Commission | Info
AI for 3D Digital Twins in Cultural Heritage: Stakeholder Forum (pubblicato il 23 marzo 2026)
European Commission | Info
Blog post: Advancing into Practice: Third Meeting of the AI Act Correspondents Network
EDPS | Info
Happy Data Protection Day 2026!
EDPS | Info
Commission holds first meeting of Special Panel on child safety online
European Commission | Info
European Union endorses Leaders’ Declaration at AI Summit in India
European Commission | Info
Executive Vice-President Virkkunen in India for summit on artificial intelligence
European Commission | Info
Conclusione
Il panorama regolamentare europeo attraversa una fase di maturazione accelerata, dove la convergenza tra protezione dati, intelligenza artificiale e diritti fondamentali assume contorni sempre più definiti. I segnali di questa settimana delineano un quadro in cui le autorità di controllo stanno affinando strumenti e metodologie per affrontare sfide che richiedono approcci multidisciplinari.
L’intervento del Garante italiano sulla vicenda della “famiglia nel bosco” rappresenta un caso emblematico di come la protezione dei minori nell’era digitale richieda un equilibrio delicato tra diritto all’informazione e tutela della privacy. Questa posizione si inserisce in una narrazione più ampia che emerge dalle iniziative europee, dove la lotta agli stereotipi e alla violenza digitale evidenziata dal briefing parlamentare sui diritti delle donne rivela come le vulnerabilità si intersechino trasversalmente. Non si tratta più di proteggere categorie separate, ma di riconoscere pattern sistemici di esposizione al rischio in ambienti digitali.
Il focus crescente sui Digital Identity Wallets da parte dell’EDPS segnala una transizione verso infrastrutture identitarie che promettono di ridurre il data oversharing, ma introducono nuovi vettori di rischio. La dicotomia emerge chiaramente: mentre questi strumenti potrebbero limitare la dispersione di dati personali attraverso meccanismi di disclosure selettiva, creano simultaneamente punti di concentrazione del rischio che richiedono governance sofisticate. La sfida per i professionisti della privacy sarà sviluppare framework di valutazione che tengano conto non solo dei benefici immediati, ma delle implicazioni sistemiche di lungo termine.
Lo studio EDPB sui data broker rappresenta un banco di prova metodologico significativo. L’approccio adottato per il mercato belga fornisce un template che verosimilmente verrà esteso ad altri Stati membri, creando una mappatura europea dell’ecosistema dei broker dati. Questa iniziativa si collega direttamente agli sviluppi internazionali, dove il caso Meta-Kaspr chiuso dalla CNIL dimostra come l’enforcement stia diventando più mirato e efficace nel colpire pratiche specifiche di data brokering.
La questione del copyright nell’intelligenza artificiale discussa dal Parlamento Europeo introduce una dimensione che trascende la mera proprietà intellettuale per toccare aspetti fondamentali del trattamento dati nell’addestramento algoritmico. La proposta di meccanismi di riconoscimento e compensazione per i contenuti utilizzati nel training potrebbe creare precedenti rilevanti per l’interpretazione del GDPR in contesti di AI development. Se il principio si consolidasse, potremmo assistere a un ripensamento delle basi giuridiche utilizzate per il trattamento di dati personali negli algoritmi di machine learning.
Le vulnerabilità di sicurezza riportate su sistemi Cisco, Hikvision e Rockwell Automation, insieme al data breach di Cognizant che ha esposto 3,4 milioni di record sanitari, sottolineano come la cybersecurity rimanga il prerequisito fondamentale per qualsiasi strategia di protezione dati. La coincidenza temporale di queste violazioni evidenzia la fragilità sistemica di infrastrutture critiche, rendendo ancora più urgente l’implementazione completa della Direttiva NIS2.
Il controverso caso dei Ray-Ban Meta smart glasses, con dipendenti che hanno visualizzato contenuti intimi registrati inconsapevolmente, cristallizza i dilemmi etici dell’ubiquitous computing. La class action intentata negli Stati Uniti potrebbe influenzare le policy europee sui dispositivi wearable, specialmente considerando che la registrazione involontaria di terzi rappresenta una delle aree grigie più complesse del GDPR.
La consultazione pubblica lanciata da CNIL e HAS sull’intelligenza artificiale in sanità segna un approccio collaborativo che potrebbe diventare modello per altri settori ad alto impatto. L’integrazione tra expertise sanitaria e privacy by design rappresenta un’evoluzione metodologica che anticipa le sfide dell’AI Act nella sua fase operativa.
Resta aperta la questione di come questi sviluppi si integreranno con le resistenze alle riforme privacy europee segnalate nelle settimane precedenti. La tensione tra ambizioni regolamentari e pragmatismo implementativo continuerà a definire il ritmo effettivo dell’innovazione normativa nei prossimi mesi.
📧 A cura di Nicola Fabiano
Avvocato - Studio Legale Fabiano
🌐 Studio Legale Fabiano: https://www.fabiano.law
🌐 Blog: https://www.nicfab.eu
🌐 DAPPREMO: www.dappremo.eu
Supporter
Telegram → @nicfabnews
Matrix → #nicfabnews:matrix.org
Mastodon → @nicfab@fosstodon.org
Bluesky → @nicfab.eu