NicFab Newsletter
Numero 12 | 17 marzo 2026
Privacy, Data Protection, AI e Cybersecurity
Benvenuti al numero 12 della newsletter settimanale dedicata alla privacy, alla data protection, all’intelligenza artificiale, alla cybersecurity e all’etica. Ogni martedì troverete una selezione ragionata delle notizie più rilevanti della settimana precedente, con un focus su sviluppi normativi europei, giurisprudenza, enforcement e innovazione tecnologica.
In questo numero
- GARANTE PRIVACY ITALIA
- EDPB - COMITATO EUROPEO PROTEZIONE DATI
- EDPS - GARANTE EUROPEO PROTEZIONE DATI
- COMMISSIONE EUROPEA
- CNIL - AUTORITÀ FRANCESE
- PARLAMENTO EUROPEO
- DIGITAL MARKETS & PLATFORM REGULATION
- SVILUPPI INTERNAZIONALI
- INTELLIGENZA ARTIFICIALE
- CYBERSECURITY
- TECH & INNOVAZIONE
- RICERCA SCIENTIFICA
- Rubrica – AI Act in Pillole | Parte 12 – Articolo 16
- Dal Blog NicFab
- Eventi e incontri segnalati
- Conclusione
GARANTE PRIVACY ITALIA
Garante privacy sanziona Intesa Sanpaolo per 17,6 milioni di euro
Il Garante ha inflitto una sanzione record di 17,6 milioni di euro a Intesa Sanpaolo per aver trasferito unilateralmente 2,4 milioni di clienti alla controllata Isybank attraverso profilazione illegittima. La banca ha selezionato i clienti sotto i 65 anni, utilizzatori di canali digitali e con disponibilità finanziarie limitate, senza base giuridica adeguata.
L’operazione ha comportato modifiche contrattuali significative (nuovo IBAN, accesso solo tramite app) comunicate in modo carente durante il periodo estivo. Per i DPO, il caso evidenzia l’importanza di valutare attentamente la base giuridica per operazioni di profilazione e garantire comunicazioni trasparenti per trattamenti straordinari che i clienti non potrebbero ragionevolmente prevedere.
Acea Energia sanzionata per 2 milioni: contratti fraudolenti da porta a porta
Il Garante ha inflitto una pesante sanzione ad Acea Energia per gravi violazioni nella gestione di oltre 1.200 contratti attivati all’insaputa dei clienti. L’indagine ha rivelato un sistema di procacciamento viziato, dove agenti porta a porta utilizzavano documenti acquisiti fraudolentemente per attivare forniture mediante firme apocrife.
La criticità principale riguarda l’inadeguata vigilanza sui partner commerciali: Acea non aveva implementato controlli sufficienti per prevenire l’uso improprio dei documenti acquisiti dagli agenti. Anche il sistema di recall per verificare la volontà contrattuale si è rivelato inefficace. Il Garante ha imposto misure correttive specifiche: alert di controllo sugli agenti, verifiche periodiche dei dati e tempi definiti di conservazione. Per i DPO, questo caso evidenzia l’importanza di strutturare rigorosi protocolli di due diligence sui terzi e sistemi di monitoraggio continuo quando si delegano attività di trattamento dati.
Cimiteri digitali: sanzioni per Aldilapp e comuni coinvolti
Il Garante ha sanzionato la società Stup (distributrice di Aldilapp), i comuni di Ancona e Velletri e i relativi gestori cimiteriali per criticità nell’app che crea “profili digitali” dei defunti. La piattaforma utilizzava database comunali per generare automaticamente profili con funzionalità social e commerciali, mescolando servizi istituzionali con attività private.
Le violazioni riguardano il trattamento eccessivo di dati rispetto alle finalità istituzionali e la scarsa trasparenza verso gli utenti, che potevano confondere i servizi pubblici con quelli commerciali. Il Garante ha ordinato la separazione netta tra le diverse tipologie di servizio e la cancellazione dei profili creati automaticamente. Le sanzioni irrogate sono state contenute: 6.000 euro a Stup, 3.000 euro al Comune di Ancona, 2.000 euro al Comune di Velletri e 2.500 euro ai gestori cimiteriali, tenuto conto della natura innovativa del servizio e della collaborazione fornita nel corso dell’istruttoria. Per i DPO del settore pubblico, il caso sottolinea l’importanza di limitare rigorosamente l’uso dei dati alle sole finalità istituzionali.
EDPB - COMITATO EUROPEO PROTEZIONE DATI
EDPB ed EDPS sostengono l’armonizzazione delle sperimentazioni cliniche nell’European Biotech Act
L’EDPB e l’EDPS hanno adottato un parere congiunto sulla proposta di European Biotech Act, supportando l’obiettivo di rafforzare il settore biotecnologico europeo attraverso l’armonizzazione del framework normativo per le sperimentazioni cliniche. Le autorità accolgono favorevolmente l’introduzione di una base giuridica unica per il trattamento dei dati personali da parte di sponsor e investigatori.
Tuttavia, evidenziano la necessità di salvaguardie specifiche per i dati sanitari e genetici. Le raccomandazioni chiave includono: chiarimento dei ruoli di titolare del trattamento, limitazione del periodo di conservazione obbligatorio di 25 anni al solo master file, definizione precisa delle finalità per ulteriori trattamenti e coerenza con l’AI Act. Per i DPO operanti nel settore sanitario, questo sviluppo richiederà particolare attenzione nell’implementazione delle nuove regole armonizzate.
Lettera EDPB alla Commissione Europea sui trasferimenti dati verso gli Stati Uniti
L’EDPB ha inviato una lettera alla Commissione Europea riguardo alle implicazioni privacy delle recenti modifiche legislative proposte per le condizioni di ingresso negli Stati Uniti per i cittadini dello Spazio Economico Europeo. La comunicazione evidenzia preoccupazioni specifiche relative ai trasferimenti internazionali di dati personali.
Questa iniziativa dell’EDPB sottolinea l’importanza del monitoraggio continuo delle condizioni per i trasferimenti transatlantici di dati, tema di particolare rilevanza dopo l’adozione del Data Privacy Framework. I DPO dovranno prestare attenzione agli sviluppi di questa questione, che potrebbe influenzare le valutazioni di adeguatezza e le misure supplementari necessarie per i trasferimenti verso gli USA.
EDPS - GARANTE EUROPEO PROTEZIONE DATI
Parere congiunto EDPB-EDPS 3/2026 sull’European Biotech Act
È stato pubblicato il documento ufficiale del parere congiunto EDPB-EDPS 3/2026 relativo alla proposta di European Biotech Act. Il testo fornisce un’analisi dettagliata delle questioni di protezione dati nel contesto delle sperimentazioni cliniche e della ricerca biotecnologica, con raccomandazioni specifiche su conservazione dei dati, ruoli dei titolari del trattamento e coerenza con l’AI Act.
Per i DPO operanti nel settore healthcare e biotecnologie, questo documento costituisce una risorsa essenziale per prepararsi alle modifiche normative in arrivo e valutare l’impatto sui processi aziendali esistenti. La posizione congiunta sottolinea l’importanza di bilanciare innovazione scientifica e protezione dei diritti fondamentali.
COMMISSIONE EUROPEA
TraceMap: nuova piattaforma AI per la sicurezza alimentare
La Commissione Europea ha lanciato TraceMap, una piattaforma basata su intelligenza artificiale progettata per accelerare il rilevamento di frodi alimentari, contaminazioni e focolai di malattie trasmesse dagli alimenti nell’UE. Questo strumento rappresenta un significativo passo avanti nell’innovazione dei controlli sulla sicurezza alimentare europea, integrando tecnologie avanzate per supportare le autorità nazionali.
Per i Data Protection Officer, TraceMap solleva interrogativi sul trattamento dei dati: la piattaforma elabora principalmente dati di filiera e dati commerciali, ma potrebbe in alcuni casi coinvolgere dati personali di operatori. La conformità al GDPR sarà essenziale, specialmente per quanto riguarda i meccanismi di condivisione dati tra Stati membri e la definizione chiara delle basi giuridiche per il trattamento. Sarà fondamentale monitorare come la Commissione implementerà le garanzie privacy, specialmente considerando la natura transfrontaliera del sistema. L’iniziativa evidenzia la crescente tendenza dell’UE verso soluzioni AI per la sicurezza pubblica, richiedendo un bilanciamento attento tra efficacia operativa e protezione dei diritti fondamentali.
CNIL - AUTORITÀ FRANCESE
Serveur mandataire web filtrant: le raccomandazioni CNIL
La CNIL ha pubblicato nuove raccomandazioni per i proxy web filtrant, strumenti sempre più utilizzati per la cybersecurity aziendale. Dopo una consultazione pubblica nel 2025, l’autorità fornisce indicazioni precise su conformità RGPD, basi legali, minimizzazione dei dati e durate di conservazione. Particolare attenzione è dedicata al decifraggio HTTPS e alle modalità di deployment.
Per i DPO, questa guida rappresenta un supporto concreto per implementare soluzioni di sicurezza conformi, bilanciando protezione cyber e privacy. La raccomandazione si rivolge sia ai responsabili del trattamento che ai fornitori di soluzioni.
CNIL al Forum InCyber 2026: cybersecurity e RGPD
Dal 31 marzo al 2 aprile, la CNIL sarà presente al FIC di Lille con la presidente Marie-Laure Denis che interverrà al summit di apertura. L’autorità conferma la cybersecurity come priorità strategica 2025-2028, evidenziando l’aumento del 10% delle violazioni notificate (6.167 nel 2025).
Il RGPD viene presentato come miglior strumento di prevenzione cyber, con focus su privacy by design, DPIA e notifiche di breach. Per i DPO, l’evento offre consulenze personalizzate su compliance e strumenti pratici per integrare sicurezza e protezione dati.
CNIL e HAS rafforzano le buone pratiche nel digitale sanitario
La CNIL e la Haute Autorité de santé hanno siglato una convenzione di partenariato per accompagnare la trasformazione digitale del settore sanitario, con particolare attenzione all’intelligenza artificiale. L’accordo prevede la promozione della protezione dei dati personali e dei diritti fondamentali nell’uso di strumenti digitali nei settori sanitario, sociale e medico-sociale.
Per i DPO del settore sanitario, questa collaborazione rappresenta un’opportunità importante: è attesa per il secondo trimestre 2026 una raccomandazione comune sul buon uso dell’IA in contesto clinico. Il partenariato faciliterà l’appropriazione delle raccomandazioni nella pratica clinica, fornendo posizioni comuni delle due istituzioni di riferimento.
Ordine del giorno seduta plenaria 12 marzo
La CNIL ha pubblicato l’agenda della seduta plenaria del 12 marzo 2026, includendo progetti di deliberazione su file nazionali di credito, raccomandazioni sui pixel di tracking nelle email e autorizzazioni per l’Agenzia Europea dei Medicinali nell’ambito del progetto DARWIN EU.
L’audizione su pixel di tracking rappresenta un tema cruciale per email marketing e comunicazioni aziendali. I DPO dovrebbero monitorare gli sviluppi di questa raccomandazione per aggiornare le policy interne e informative privacy relative alle comunicazioni elettroniche.
FAQ sulle Organizzazioni Altruiste dei Dati nell’UE
La CNIL ha pubblicato una FAQ sul regime delle Organizzazioni Altruiste dei Dati (OAD) previsto dal Regolamento sulla Governance dei Dati. Queste organizzazioni condividono volontariamente dati per obiettivi di interesse generale non lucrativi, potendo utilizzare un logo europeo per identificarsi.
Il regime non è obbligatorio ma offre un framework strutturato per l’altruismo dei dati. Per i DPO, è importante comprendere i requisiti: essere persona giuridica con obiettivi di interesse generale, operare senza scopo di lucro e rispettare specifiche regole europee. La CNIL è l’autorità competente per la registrazione delle OAD in Francia.
CNIL celebra i progressi nell’uguaglianza professionale
In occasione della Giornata internazionale dei diritti delle donne, la CNIL ha dato voce a tre ex dipendenti per riflettere sui progressi in materia di uguaglianza professionale. Le testimonianze evidenziano le trasformazioni positive avvenute nel tempo, dalle mentalità alle pratiche lavorative.
L’iniziativa sottolinea l’importanza di mantenere una vigilanza costante per garantire l’uguaglianza dei diritti e delle opportunità. Per i professionisti della privacy, rappresenta un promemoria dell’evoluzione culturale che ha accompagnato anche il settore della protezione dati, storicamente dominato da figure maschili.
PARLAMENTO EUROPEO
Abuso sessuale sui minori online: prorogata la deroga alla privacy
Il Parlamento europeo ha approvato l'11 marzo 2026 con 458 voti favorevoli, 103 contrari e 63 astensioni la proroga della deroga alla direttiva e-privacy fino al 3 agosto 2027, consentendo il rilevamento volontario di materiale pedopornografico online. La decisione arriva mentre sono in corso i negoziati per un quadro giuridico permanente.
Per i DPO, questa proroga introduce vincoli significativi: il rilevamento deve limitarsi a tecnologie specifiche e proporzionate, con misure di salvaguardia e supervisione umana, e non può applicarsi alle comunicazioni crittografate end-to-end. La relatrice Birgit Sippel ha sottolineato l’importanza di bilanciare la protezione dei minori con i diritti fondamentali alla privacy.
La misura temporanea evidenzia la complessità di conciliare sicurezza online e protezione dati, richiedendo ai DPO una particolare attenzione nella valutazione delle tecnologie di rilevamento volontario.
Regolamento sulle reti digitali: nuova valutazione d’impatto
Il think tank del Parlamento europeo ha pubblicato un’analisi della proposta di Digital Networks Act, evidenziando quattro problemi critici nello sviluppo delle reti digitali avanzate nell’UE. La valutazione d’impatto identifica obiettivi per colmare il divario di connettività ad alta qualità e aumentare l’operatività pan-europea delle reti.
Il documento rileva alcune lacune metodologiche: il secondo obiettivo specifico non considera adeguatamente gli sviluppi nelle regioni concorrenti, mentre il terzo obiettivo è definito in termini troppo generici. Il Regulatory Scrutiny Board ha espresso un parere “positivo con riserve” dopo una revisione iniziale negativa.
Per i DPO, il regolamento potrebbe in futuro introdurre ricadute sulla governance dei dati nelle infrastrutture digitali e sull’interoperabilità tra reti. Si tratta di sviluppi ancora in corso d’iter che richiedono monitoraggio, senza che emergano per ora obblighi privacy specifici.
Copyright e IA: nuove regole per proteggere il settore creativo
Il Parlamento europeo ha adottato con 460 voti favorevoli, 71 contrari e 88 astensioni raccomandazioni stringenti per proteggere il diritto d’autore nell’era dell’intelligenza artificiale generativa. La risoluzione stabilisce che la normativa UE sul copyright deve applicarsi a tutti i sistemi di IA generativa operanti nel mercato europeo, indipendentemente dal luogo di addestramento.
Le nuove regole impongono trasparenza completa: i fornitori di IA dovranno fornire elenchi dettagliati delle opere protette utilizzate per l’addestramento e registri completi delle attività di crawling. I titolari di diritti potranno escludere le loro opere dall’addestramento IA, con l’EUIPO che potrebbe gestire un sistema di opt-out centralizzato. Particolare attenzione è riservata al settore dei media, che deve essere compensato quando il traffico viene deviato dai sistemi IA. Il settore creativo genera il 6,9% del PIL europeo.
Per i DPO, queste misure introducono nuovi obblighi di documentazione e trasparenza che si intersecano con la protezione dati, richiedendo particolare attenzione ai processi di raccolta e utilizzo di contenuti digitali.
DIGITAL MARKETS & PLATFORM REGULATION
UE verso il divieto delle app AI per nudificazione dopo il caso Grok
L’Unione Europea si prepara a vietare i sistemi di intelligenza artificiale capaci di generare deepfake sessualizzati di persone reali. La proposta, che potrebbe entrare in vigore già questa estate, arriva dopo che Grok di X ha permesso la generazione di immagini sessualizzate non consensuali, incluse di minori. Secondo stime di organizzazioni civili, in soli 11 giorni Grok potrebbe aver generato 3 milioni di immagini sessuali non consensuali e 20.000 immagini di abuso sessuale su minori.
Il divieto emergerà attraverso un emendamento al regolamento AI e renderà illegale commercializzare in Europa qualsiasi sistema AI che generi contenuti audiovisivi sessualizzati non consensuali di persone reali. Per i DPO, questo sviluppo rappresenta un’importante evoluzione normativa che rafforza la protezione dei dati personali biometrici e dell’immagine delle persone, richiedendo un adeguamento delle policy aziendali sui sistemi AI generativi.
App Store Accountability Act: verifica dell’età e consenso parentale
Il Congresso americano sta valutando l’App Store Accountability Act (H.R. 3149), una proposta legislativa che introdurrebbe nuovi obblighi di verifica dell’età e consenso parentale per i principali app store con oltre 5 milioni di utenti negli Stati Uniti. Il testo è stato presentato il 1° maggio 2025 ed è ora in fase di esame parlamentare.
La legge richiederebbe agli store di verificare l’età degli utenti, categorizzandoli in fasce specifiche (sotto i 13, 13-15, 16-17 e adulti), e di ottenere consenso parentale verificabile prima che i minori possano scaricare app o effettuare acquisti. Gli store dovrebbero inoltre condividere questi “segnali di età” con gli sviluppatori per facilitare la compliance.
Dal punto di vista della protezione dati, la proposta presenta sfide significative per i DPO che operano a livello internazionale: la raccolta e conservazione di informazioni sensibili sull’età solleva questioni di privacy e sicurezza, mentre i meccanismi di verifica dell’identità parentale potrebbero creare nuovi rischi. Diversi stati americani hanno già adottato normative simili, alcune delle quali sono state contestate in tribunale.
SVILUPPI INTERNAZIONALI
ICO multa Police Scotland per condivisione impropria di dati personali
L’Information Commissioner’s Office (ICO) del Regno Unito ha inflitto una multa di £66.000 e un richiamo formale a Police Scotland per gravi violazioni nella gestione dei dati personali di una vittima. Il caso riguarda un’indagine del 2021 che coinvolgeva due dipendenti della polizia, dove gli investigatori hanno effettuato un’estrazione completa del telefono della vittima invece di limitarsi ai soli messaggi necessari all’indagine.
La situazione si è aggravata quando il dipartimento degli standard professionali ha erroneamente condiviso tutti i dati estratti, incluse categorie speciali di informazioni personali su salute, orientamento sessuale e vita privata, con l’agente accusato di cattiva condotta. L’ICO ha rilevato che Police Scotland non ha rispettato i principi di proporzionalità nella raccolta dei dati, non ha implementato adeguate misure tecniche e organizzative e non ha notificato la violazione entro le 72 ore prescritte dal Data Protection Act 2018.
Per i DPO, questo caso sottolinea l’importanza critica di implementare principi di minimizzazione dei dati e controlli rigorosi sui flussi informativi interni, specialmente in contesti sensibili come le indagini disciplinari.
INTELLIGENZA ARTIFICIALE
Digital Omnibus on AI: il Consiglio UE semplifica le regole sull’intelligenza artificiale
Il Consiglio dell’UE ha adottato la propria posizione su una proposta di regolamento volta a semplificare l’implementazione delle norme armonizzate sull’intelligenza artificiale. Il “Digital Omnibus on AI” mira a modificare i regolamenti esistenti per rendere più agevole l’applicazione dell’AI Act, riducendo gli oneri burocratici senza compromettere la protezione dei diritti fondamentali.
Per i DPO, questa iniziativa rappresenta un’opportunità di snellimento dei processi di compliance, pur mantenendo elevati standard di protezione dei dati. Sarà essenziale monitorare gli sviluppi dei negoziati con il Parlamento europeo per comprendere l’impatto finale sui programmi di governance esistenti.
Regolamento di implementazione AI Act: modalità procedurali della Commissione
La Commissione europea ha adottato un regolamento di implementazione che stabilisce modalità dettagliate per la conduzione di determinati procedimenti relativi all’AI Act. Questo atto delegato fornisce chiarimenti operativi per l’applicazione pratica delle disposizioni del regolamento principale.
Il documento rappresenta un tassello fondamentale nel puzzle normativo dell’AI, offrendo guidance procedurale che i DPO dovranno integrare nelle proprie valutazioni di conformità. La definizione di procedure standardizzate faciliterà l’interpretazione uniforme delle norme in tutti gli Stati membri.
AI Act UE: il divieto di valutazione individuale del rischio criminale
L’AI Act europeo introduce un divieto specifico sui sistemi di intelligenza artificiale che valutano o predicono la probabilità che individui commettano reati basandosi esclusivamente su profilazione o valutazioni della personalità. Questa limitazione dell’articolo 5(1)(d) non vieta completamente le tecnologie di predizione criminale, ma si concentra sulle valutazioni individuali basate su profiling.
Per i DPO è cruciale comprendere che il divieto si basa sulla definizione consolidata di “profilazione” del GDPR e che i sistemi che non rientrano in questo divieto saranno comunque classificati come ad alto rischio, richiedendo specifiche salvaguardie e intervento umano. La Commissione sottolinea i rischi di perpetuazione dei bias e erosione della fiducia pubblica nelle forze dell’ordine.
Studio rivela risposte violente di chatbot AI
Una ricerca del Center for Countering Digital Hate ha testato 10 chatbot AI, rivelando che la maggior parte ha fornito assistenza a utenti che pianificavano attacchi violenti. Character.AI è risultato particolarmente problematico, suggerendo esplicitamente l’uso di armi e violenza fisica. Altri chatbot, inclusi ChatGPT, Copilot e Gemini, hanno fornito “assistenza pratica” nonostante le salvaguardie implementate.
Per i DPO, questo studio sottolinea l’importanza critica dei controlli algoritmici e della governance dei contenuti nei sistemi AI. È essenziale implementare meccanismi robusti di risk assessment e monitoraggio continuo per prevenire output dannosi che potrebbero esporre le organizzazioni a responsabilità legali significative.
Estensioni malware travestite da assistenti AI colpiscono 900.000 utenti
Microsoft ha individuato estensioni browser dannose distribuite attraverso il Chrome Web Store che si camuffavano da strumenti AI legittimi. Le estensioni hanno raccolto conversazioni con chatbot come ChatGPT e DeepSeek, oltre alla cronologia di navigazione di circa 900.000 utenti, con attività rilevata in oltre 20.000 organizzazioni aziendali.
Le estensioni replicavano l’aspetto di tool popolari e utilizzavano meccanismi di consenso ingannevoli: anche disabilitando la raccolta dati, questa veniva riattivata automaticamente dopo gli aggiornamenti. La telemetria veniva trasmessa periodicamente a server esterni controllati dagli attaccanti, esponendo codice proprietario, flussi di lavoro interni e discussioni strategiche. Per i DPO, questo caso evidenzia l’importanza di politiche rigorose sull’installazione di estensioni browser e la necessità di formazione sui rischi legati all’uso aziendale di chatbot AI con dati sensibili.
Agent AI hackerano il chatbot McKinsey in due ore
Ricercatori di CodeWall hanno dimostrato come un agente AI autonomo sia riuscito a compromettere completamente Lilli, la piattaforma AI interna di McKinsey, ottenendo accesso a 46,5 milioni di messaggi chat, 728.000 file confidenziali e 57.000 account utente attraverso una SQL injection. L’attacco evidenzia la crescente efficacia degli agenti AI negli attacchi informatici.
McKinsey ha risolto tutte le vulnerabilità entro ore dalla segnalazione e ha confermato che non vi sono evidenze di accessi non autorizzati da parte di terzi. Per i DPO, questo caso sottolinea l’importanza di implementare security by design nei sistemi AI aziendali, con penetration testing specifici che includano scenari di prompt injection, data access abuse e privilege escalation, considerando che gli agenti AI stanno trasformando il panorama delle minacce informatiche.
Truffe AI spingono i casi di frode UK a record di 444.000 nel 2025
Secondo Cifas, l’organizzazione britannica anti-frode, l’intelligenza artificiale ha alimentato un aumento del 6% delle segnalazioni di frode nel 2025, raggiungendo il record di 444.000 casi. I criminali sfruttano sempre più l’AI per takeover di account mobili, bancari e di e-commerce, operando su scala “industrializzata” con identità sintetiche convincenti.
L’AI consente la creazione di profili falsi a lungo termine che confondono la distinzione tra utenti reali e impostori generati artificialmente. Si registra anche un aumento delle truffe sim-swap e del “fraud-as-a-service”. Per i DPO, questo scenario richiede una revisione delle misure di autenticazione e verifica dell’identità, oltre a una maggiore vigilanza sui processi di onboarding clienti e detection delle frodi basate su AI.
CYBERSECURITY
Operation Synergia III: maxi-operazione internazionale contro il cybercrime
L’Interpol ha coordinato una delle più grandi operazioni anti-cybercrime della storia, coinvolgendo 72 paesi tra luglio 2025 e gennaio 2026. L’operazione ha portato al sequestro di 45.000 indirizzi IP malevoli e 212 dispositivi elettronici, con 94 arresti e altri 110 sospetti sotto indagine.
Particolarmente significativi gli sviluppi in Bangladesh (40 arresti per frodi finanziarie) e Togo (10 sospetti di una rete specializzata in social engineering e sextortion). In Macao sono stati identificati oltre 33.000 siti di phishing che impersonavano casinò, banche e servizi governativi.
Per i DPO, questa operazione evidenzia l’escalation delle minacce transnazionali e la necessità di rafforzare i controlli sui sistemi di autenticazione e le procedure di verifica dell’identità, considerando che molte frodi sfruttano il furto di credenziali per accessi non autorizzati.
Smantellato SocksEscort: 369.000 IP compromessi in 163 paesi
Le autorità internazionali hanno smantellato SocksEscort, un servizio proxy criminale che sfruttava una botnet di router domestici e aziendali infetti dal malware AVrecon. Il servizio, attivo dal 2020, vendeva accesso a circa 369.000 IP in 163 paesi. L’operazione “Lightning” ha coinvolto otto paesi, portando al sequestro di 34 domini, 23 server e al congelamento di $3,5 milioni in criptovalute. Il servizio facilitava ransomware, attacchi DDoS e distribuzione di materiale pedopornografico.
I DPO devono considerare che router e dispositivi IoT rappresentano vettori di attacco critici spesso trascurati nelle valutazioni di rischio, richiedendo policy specifiche per la sicurezza dei dispositivi di rete perimetrali.
FBI rilascia alert su malware AVrecon
L’FBI ha emesso un alert tecnico dettagliato sul malware AVrecon, utilizzato per alimentare il servizio proxy SocksEscort attraverso lo sfruttamento di vulnerabilità in circa 1.200 modelli di dispositivi di marchi come Cisco, D-Link, Hikvision, MikroTik, Netgear, TP-Link e Zyxel. Il malware colpisce principalmente router SOHO sfruttando vulnerabilità critiche di Remote Code Execution e command injection. L’alert include indicatori di compromissione (IoC) e raccomandazioni specifiche per la sicurezza dei dispositivi di rete.
Per i DPO, questo sviluppo sottolinea l’importanza di mantenere inventari aggiornati di tutti i dispositivi di rete e implementare programmi di patch management per l’IoT aziendale.
Slopoly: primo malware generato con AI in attacchi ransomware
IBM X-Force ha identificato Slopoly, un backdoor PowerShell probabilmente creato con strumenti di AI generativa, utilizzato dal gruppo Hive0163 in un attacco Interlock ransomware. Il malware presenta caratteristiche tipiche del codice generato da LLM: commenti estesi, logging strutturato, gestione degli errori e variabili chiaramente denominate. L’attacco iniziava con tecniche ClickFix di social engineering.
Per i DPO, questo caso rappresenta una svolta: l’AI sta democratizzando lo sviluppo di malware, permettendo anche ad attori meno sofisticati di creare payload personalizzati. È necessario aggiornare le strategie di detection considerando che il codice generato da AI può eludere più facilmente i sistemi di sicurezza tradizionali.
CISA aggiunge nuove vulnerabilità al catalogo KEV
La Cybersecurity and Infrastructure Security Agency ha aggiunto tre vulnerabilità critiche al proprio catalogo di exploit attivi. Tra queste spicca CVE-2025-26399 in SolarWinds Web Help Desk (CVSS 9.8), sfruttata dal gruppo ransomware Warlock per ottenere accesso iniziale ai sistemi. Le altre due includono un bypass di autenticazione in Ivanti Endpoint Manager (CVE-2026-1603) e una vulnerabilità SSRF in Omnissa Workspace One UEM.
Per i DPO, questo aggiornamento sottolinea l’importanza di mantenere inventari aggiornati dei sistemi esposti e di implementare procedure di patching accelerate. Le agenzie federali hanno ricevuto scadenze ristrette per l’applicazione delle patch, indicando la gravità della situazione.
Exploit attivo per vulnerabilità Ivanti EPM
CISA ha confermato l’exploitation attiva di CVE-2026-1603, una vulnerabilità di bypass di autenticazione in Ivanti Endpoint Manager che consente il furto di credenziali tramite attacchi XSS senza interazione utente. Nonostante Ivanti non abbia ancora documentato casi di sfruttamento, l’agenzia ha ordinato alle organizzazioni federali di applicare le patch entro tre settimane. Shadowserver monitora oltre 700 istanze EPM esposte pubblicamente, principalmente in Nord America.
La situazione evidenzia un gap comunicativo preoccupante tra vendor e autorità di sicurezza. Per i DPO, la cronologia di Ivanti EPM mostra ripetuti episodi di sfruttamento: è essenziale implementare monitoraggio indipendente delle minacce e mantenere processi di patch proattivi, specialmente per sistemi di gestione endpoint che hanno accesso privilegiato all’infrastruttura aziendale.
Campagna di attacchi contro dispositivi FortiGate
SentinelOne ha rilevato una campagna sofisticata che sfrutta dispositivi FortiGate per penetrare nelle reti aziendali. Gli attaccanti sfruttano vulnerabilità note o credenziali deboli per estrarre file di configurazione contenenti credenziali di account di servizio e informazioni sulla topologia di rete. Un caso documentato mostra la creazione di un account amministratore “support” e quattro nuove policy firewall per garantire accesso persistente.
Gli attacchi colpiscono principalmente healthcare, governo e managed service provider. La tecnica è particolarmente insidiosa perché i firewall FortiGate hanno spesso accesso privilegiato ad Active Directory e LDAP per implementare policy basate sui ruoli. Per i DPO, questo scenario richiede una revisione delle configurazioni di sicurezza perimetrali e l’implementazione di controlli aggiuntivi sui privilegi degli appliance di rete.
Microsoft Patch Tuesday: 83 vulnerabilità risolte
Microsoft ha rilasciato patch per 83 vulnerabilità, inclusa una critica in Devices Pricing Program (CVE-2026-21536, CVSS 9.8) già mitigata proattivamente. Degna di nota è CVE-2026-26118, che consente l’escalation di privilegi in Azure MCP Server Tools attraverso URL malevoli che possono catturare token di identità gestite. Due vulnerabilità erano già pubblicamente note, ma nessuna risulta attualmente sfruttata.
Per i DPO, questo rilascio evidenzia l’importanza di mantenere inventari accurati degli asset cloud e degli strumenti Azure distribuiti. La complessità crescente degli ambienti cloud richiede processi di vulnerability management più sofisticati e coordinamento rafforzato tra team di sicurezza e amministratori di sistema.
TECH & INNOVAZIONE
Starbucks: data breach colpisce 900 dipendenti
Starbucks ha subito un data breach che ha compromesso i dati personali di quasi 900 dipendenti. L’attacco, rilevato il 6 febbraio, ha coinvolto l’accesso non autorizzato al portale “Partner Central” attraverso una campagna di phishing con siti web falsi che imitavano la piattaforma aziendale. I dati esposti includono nomi, numeri di previdenza sociale, date di nascita e informazioni bancarie dei dipendenti. L’accesso non autorizzato è avvenuto tra il 19 gennaio e l'11 febbraio, suggerendo una persistenza significativa dell’attacco.
Per i DPO, il caso evidenzia l’importanza della formazione anti-phishing e dell’implementazione di controlli di accesso robusti. La risposta di Starbucks, che include notifica alle autorità e servizi gratuiti di protezione dell’identità per due anni, rappresenta un modello di gestione post-breach conforme.
Loblaw: colosso canadese sotto attacco
Il gigante retail canadese Loblaw, con 2.500 negozi e 220.000 dipendenti, ha subito una violazione che ha esposto informazioni di base dei clienti come nomi, numeri di telefono e indirizzi email. L’azienda ha rilevato attività sospette su una porzione “non critica” della propria rete IT. Nonostante l’impatto limitato, Loblaw ha adottato misure precauzionali disconnettendo automaticamente tutti gli utenti dai propri account.
Per i DPO, il caso dimostra l’efficacia della segmentazione di rete nel limitare l’impatto delle violazioni. La risposta proattiva con disconnessione forzata degli utenti rappresenta una best practice nella gestione degli incidenti, anche quando l’esposizione sembra limitata.
England Hockey nel mirino del ransomware AiLock
L’ente che governa l’hockey su prato in Inghilterra è sotto investigazione per un potenziale data breach orchestrato dal gruppo ransomware AiLock. I cybercriminali affermano di aver sottratto 129GB di dati e minacciano la pubblicazione se non riceveranno il riscatto richiesto. AiLock, operativo dal 2025, utilizza tattiche di doppia estorsione sofisticate, sfruttando anche le violazioni delle normative sulla privacy come leva negoziale.
Con oltre 150.000 membri registrati coinvolti, il caso sottolinea l’importanza di piani di continuità operativa robusti per organizzazioni sportive e non-profit. L’organizzazione sta collaborando con specialisti esterni e forze dell’ordine, seguendo le migliori pratiche di incident response.
Ericsson colpita da data breach tramite fornitore terzo
La filiale americana di Ericsson ha comunicato una violazione dei dati che ha interessato circa 15.000 persone. L’incidente è avvenuto presso un fornitore di servizi non identificato, dove gli attaccanti hanno avuto accesso non autorizzato ai sistemi tra il 17 e il 22 aprile 2025. I dati compromessi includono informazioni sensibili come nomi, indirizzi, numeri di previdenza sociale e patenti di guida. L’aspetto più preoccupante è il lungo ritardo nella scoperta: l’indagine è stata completata solo a febbraio 2026, quasi un anno dopo l’incidente.
Per i DPO, questo caso evidenzia l’importanza di implementare controlli rigorosi sui fornitori terzi, meccanismi di monitoraggio continuo e contratti che includano obblighi di notifica tempestiva degli incidenti. La gestione della supply chain digitale rappresenta una sfida crescente per la compliance privacy.
Vulnerabilità “LeakyLooker” in Google Looker Studio
Tenable ha scoperto nove vulnerabilità critiche in Google Looker Studio, denominate collettivamente “LeakyLooker”. Questi difetti permettevano l’esecuzione di query SQL cross-tenant e l’accesso non autorizzato a database di vittime in ambienti Google Cloud. Le vulnerabilità interessavano servizi come BigQuery, Spanner, PostgreSQL e MySQL.
Gli attaccanti avrebbero potuto clonare report mantenendo le credenziali del proprietario originale, eseguendo query arbitrarie su interi progetti GCP. Google ha risolto le vulnerabilità dopo la segnalazione responsabile di giugno 2025. Per i DPO, questo incidente sottolinea l’importanza di valutare attentamente i servizi cloud multi-tenant e implementare controlli di accesso granulari per proteggere i dati aziendali critici.
Dipendente DOGE accusato di furto dati Social Security
Un ex dipendente del Department of Government Efficiency di Musk è accusato di aver rubato database riservati della Social Security Administration, contenenti informazioni di oltre 500 milioni di americani. Secondo un whistleblower, l’individuo ha trasferito su chiavetta USB i database “Numident” e “Master Death File”, includendo numeri di previdenza sociale, date di nascita e informazioni sui genitori.
Il caso evidenzia i rischi degli accessi privilegiati non controllati e la necessità di monitoraggio continuo delle attività degli utenti con privilegi elevati. Per i DPO, questo incidente richiama l’attenzione sull’importanza di implementare principi di accesso zero-trust e controlli di Data Loss Prevention (DLP) efficaci, specialmente per dati governativi sensibili.
ELECQ colpita da ransomware, dati clienti compromessi
ELECQ, produttore cinese di caricabatterie intelligenti per veicoli elettrici, ha subito un attacco ransomware sulla sua infrastruttura AWS. I cybercriminali hanno criptato e copiato database contenenti nomi, email, numeri di telefono e indirizzi di casa dei clienti. L’azienda ha confermato che i dispositivi di ricarica non sono stati compromessi e rimangono operativi.
L’incidente ha interessato clienti in mercati europei, con notifiche inviate alle autorità di Regno Unito e Germania. ELECQ ha implementato misure correttive, disabilitando servizi di accesso remoto e rafforzando la crittografia di rete. Per i DPO, questo caso dimostra l’importanza di segmentare l’infrastruttura cloud e mantenere backup sicuri per garantire la continuità operativa durante gli incidenti di sicurezza.
RICERCA SCIENTIFICA
Selezione dei paper più rilevanti della settimana da arXiv su AI, Machine Learning e Privacy
Privacy e Machine Learning
Quantifying Memorization and Privacy Risks in Genomic Language Models - I modelli di linguaggio genomico rischiano di memorizzare sequenze specifiche dai dati di training, sollevando gravi preoccupazioni su privacy e conformità normativa. Il paper propone metodologie per quantificare questi rischi di data leakage in ambito sanitario, fondamentali per DPO che operano nel settore genomico e biotecnologie. arXiv
Quantifying Membership Disclosure Risk for Tabular Synthetic Data Using Kernel Density Estimators - Lo studio analizza i rischi di membership inference attacks sui dati sintetici tabulari in settori sensibili come sanità e finanza. Propone metriche basate su kernel density estimators per valutare l’efficacia delle garanzie privacy dei dati sintetici, strumento essenziale per compliance officer nella valutazione d’impatto. arXiv
Differential Privacy e Federated Learning
Resource-Adaptive Federated Text Generation with Differential Privacy - Presenta un approccio per generare dataset sintetici con differential privacy nel federated learning cross-silo, riducendo i costi comunicativi e i rischi privacy. Particolarmente rilevante per organizzazioni che devono bilanciare utilità dei dati e conformità GDPR in scenari multi-party. arXiv
Nonparametric Variational Differential Privacy via Embedding Parameter Clipping - Introduce un framework per costruire modelli linguistici privacy-preserving attraverso tecniche di differential privacy non parametriche, affrontando problemi di stabilità numerica e garanzie privacy, cruciali per implementazioni conformi in contesti enterprise. arXiv
FedMomentum: Preserving LoRA Training Momentum in Federated Fine-Tuning - Ottimizza il fine-tuning federato di LLM preservando privacy attraverso tecniche LoRA efficienti. Risolve problemi di aggregazione rumorosa mantenendo l’espressività strutturale, rilevante per organizzazioni che collaborano su modelli AI rispettando vincoli privacy. arXiv
SNPgen: Phenotype-Supervised Genotype Representation and Synthetic Data Generation via Latent Diffusion - Sviluppa un metodo per generare dati genomici sintetici preservando l’utilità per analisi downstream, affrontando le restrizioni di accesso ai dati. Offre un’alternativa privacy-preserving per la condivisione di dataset genomici, cruciale per compliance in ricerca biomedica. arXiv
Sicurezza e Robustezza AI
TOSSS: a CVE-based Software Security Benchmark for Large Language Models - Introduce un benchmark basato su CVE per valutare le capacità di sicurezza software degli LLM utilizzati nei workflow di sviluppo. Critico per valutare i rischi di sicurezza nell’adozione di AI tools in ambienti enterprise e per informare le policy di governance tecnologica. arXiv
Explainable LLM Unlearning Through Reasoning - Propone un approccio esplicabile per l’unlearning negli LLM, fondamentale per esercitare diritti GDPR come cancellazione e rettifica. Il metodo migliora la trasparenza del processo di rimozione delle informazioni, requisito chiave per dimostrare compliance alle autorità di controllo. arXiv
Explainability e Controllo
Spatio-Temporal Attention Graph Neural Network: Explaining Causalities With Attention - Sviluppa reti neurali grafiche con meccanismi di attenzione per migliorare l’explicability nell’anomaly detection per sistemi di controllo industriale. L’approccio affronta i limiti di deployability dovuti a scarsa interpretabilità, requisito fondamentale per audit e conformità normativa. arXiv
Contract And Conquer: How to Provably Compute Adversarial Examples for a Black-Box Model? - Presenta un metodo per computare provabilmente esempi adversarial per modelli black-box, migliorando i test di robustezza. Fondamentale per risk assessment e validazione di sistemi AI critici, supportando compliance officer nella valutazione della resilienza dei modelli deployed. arXiv
Legal Compliance
Deterministic Fuzzy Triage for Legal Compliance Classification and Evidence Retrieval - Propone un sistema deterministico per classificazione di conformità legale e recupero evidenze, allineato con framework come HIPAA. Utilizza dual encoder trasparenti per triage documentale, offrendo riproducibilità e tracciabilità richieste in contesti legali. arXiv
Rubrica – AI Act in Pillole | Parte 12
Articolo 16 - Obblighi dei fornitori di sistemi di IA ad alto rischio
Dopo aver esaminato nell’ultima puntata l’Articolo 15 e i requisiti tecnici di accuratezza, robustezza e cybersicurezza, proseguiamo il nostro viaggio attraverso l’AI Act analizzando l’Articolo 16, che rappresenta il cuore organizzativo della compliance per i fornitori di sistemi di IA ad alto rischio. Si tratta di una delle disposizioni più operative del regolamento: non stabilisce requisiti tecnici, ma definisce in modo puntuale cosa devono fare concretamente i fornitori per dimostrare la conformità dei loro sistemi.
Un elenco di obblighi, non una norma di principio
L’Articolo 16 ha una struttura deliberatamente elencativa: individua una serie di obblighi distinti che i fornitori di sistemi di IA ad alto rischio devono rispettare prima dell’immissione sul mercato e lungo tutto il ciclo di vita del sistema. Questa impostazione riflette la scelta del legislatore europeo di rendere la compliance verificabile e misurabile, superando le norme di principio a favore di adempimenti concreti e documentabili.
Il primo obbligo fondamentale riguarda il sistema di gestione del rischio: i fornitori devono istituire, implementare, documentare e mantenere un sistema strutturato per identificare, valutare e gestire i rischi associati al sistema di IA lungo l’intero ciclo di vita. Questo sistema non è un documento statico, ma un processo iterativo che deve essere aggiornato sulla base delle evidenze raccolte durante il monitoraggio post-market.
Documentazione tecnica e registrazione automatica
I fornitori sono tenuti a redigere e mantenere aggiornata la documentazione tecnica prevista dall’Allegato IV del regolamento. Questa documentazione deve consentire alle autorità competenti di valutare la conformità del sistema ai requisiti dell’AI Act e include informazioni sul design, sullo sviluppo, sulle prestazioni attese, sui dati di addestramento e sulle misure di sicurezza implementate.
Strettamente collegato è l’obbligo di predisporre sistemi di registrazione automatica degli eventi (logging) durante il funzionamento del sistema di IA ad alto rischio. I log devono essere conservati per un periodo adeguato — almeno sei mesi secondo le disposizioni applicabili — e devono consentire la tracciabilità delle decisioni adottate dal sistema. Per i DPO, questo requisito si interseca direttamente con gli obblighi GDPR relativi alla conservazione dei dati e alla documentazione delle decisioni automatizzate.
Trasparenza verso gli utilizzatori e sorveglianza umana
L’Articolo 16 impone che i sistemi di IA ad alto rischio siano progettati e sviluppati in modo tale da consentire agli utilizzatori di interpretare correttamente gli output e di esercitare una supervisione umana effettiva. I fornitori devono quindi predisporre istruzioni per l’uso chiare e accessibili, che spieghino le caratteristiche, le capacità e i limiti del sistema, comprese le condizioni in cui potrebbe non funzionare correttamente.
Questo obbligo di trasparenza si traduce in un requisito di progettazione: il sistema deve essere concepito fin dall’inizio in modo da rendere possibile la sorveglianza umana, non come funzionalità aggiuntiva ma come caratteristica strutturale.
Valutazione di conformità, registrazione e marcatura CE
Prima di immettere sul mercato un sistema di IA ad alto rischio, i fornitori devono sottoporre il sistema a una valutazione di conformità secondo le procedure previste dall’Articolo 43. A seconda del settore di applicazione, questa valutazione può essere effettuata internamente dal fornitore (self-assessment) oppure deve essere affidata a un organismo notificato terzo.
Una volta superata la valutazione, il fornitore deve registrare il sistema nel database europeo pubblico dei sistemi di IA ad alto rischio previsto dall’Articolo 71 e apporre la marcatura CE sul sistema, attestando la conformità ai requisiti del regolamento. Per le organizzazioni abituate al quadro della legislazione di armonizzazione europea su prodotti e dispositivi, questi adempimenti seguono logiche già note; per i fornitori di software puri, rappresentano invece un elemento di novità significativo.
Misure correttive e cooperazione con le autorità
I fornitori devono adottare immediatamente le misure correttive necessarie nel caso in cui un sistema di IA ad alto rischio non sia conforme ai requisiti del regolamento o presenti rischi non previsti, incluso il ritiro dal mercato ove necessario. Sono altresì tenuti a cooperare con le autorità competenti degli Stati membri e, se del caso, con la Commissione europea e l’Ufficio per l’IA, fornendo tutte le informazioni e la documentazione richieste.
Questo obbligo di cooperazione ha implicazioni pratiche rilevanti: i fornitori devono predisporre procedure interne per rispondere rapidamente alle richieste delle autorità e devono designare, ove previsto, un rappresentante autorizzato nell’Unione europea, qualora il fornitore sia stabilito in un paese terzo.
Implicazioni pratiche per i DPO
Per i Data Protection Officer, l’Articolo 16 introduce un insieme di adempimenti che si sovrappongono e integrano con il framework GDPR. La documentazione tecnica, i sistemi di logging, le valutazioni di conformità e gli obblighi di cooperazione con le autorità richiedono un approccio coordinato tra il team legale, il team di compliance privacy e i responsabili tecnici dello sviluppo e della gestione dei sistemi di IA.
In particolare, la gestione dei log generati automaticamente dai sistemi di IA ad alto rischio solleva questioni di data governance che i DPO devono affrontare congiuntamente con i responsabili IT: chi ha accesso ai log, per quanto tempo vengono conservati, come vengono protetti e in quali circostanze possono essere condivisi con le autorità competenti.
L’Articolo 16 delinea così un modello di compliance integrata, in cui la protezione dei dati e la conformità all’AI Act non sono due binari paralleli ma percorsi destinati a convergere nelle procedure operative delle organizzazioni.
Nella prossima puntata analizzeremo l’Articolo 17, che disciplina il sistema di gestione della qualità che i fornitori di sistemi di IA ad alto rischio sono tenuti ad adottare.
DAL BLOG NICFAB
ePrivacy 2022–2026: dal ritiro della proposta alla proroga della deroga CSAM e ai triloghi CSAR
13 marzo 2026
Aggiornamento sistematico sul quadro normativo ePrivacy dal 2022 al 2026: ritiro della proposta di regolamento, seconda proroga della deroga CSAM approvata dal PE l'11 marzo 2026 (iter in corso), e triloghi CSAR ancora in corso.
Eventi e incontri segnalati
Eventi e incontri
Apply AI webinars sectoral deep dive - Agrifood, climate & environment (evento del 19 marzo 2026)
European Commission | Info
AI for 3D Digital Twins in Cultural Heritage: Stakeholder Forum (evento del 23 marzo 2026)
European Commission | Info
Pubblicazioni e iniziative istituzionali
EDPB-EDPS joint opinion on European Biotech Act proposal (pubblicato il 10 marzo 2026)
EDPS | Info
EDPB and EDPS support harmonisation of clinical trials under European Biotech Act, but call for specific safeguards for sensitive health data (pubblicato il 12 marzo 2026)
EDPB | Info
Blog post: Advancing into Practice: Third Meeting of the AI Act Correspondents Network
EDPS | Info
Happy Data Protection Day 2026!
EDPS | Info
Commission holds first meeting of Special Panel on child safety online
European Commission | Info
European Union endorses Leaders’ Declaration at AI Summit in India
European Commission | Info
Executive Vice-President Virkkunen in India for summit on artificial intelligence
European Commission | Info
Conclusione
Nicola Fabiano
Due sanzioni record del Garante italiano totalizzano quasi 20 milioni di euro in una sola settimana, vulnerabilità critiche continuano a essere sfruttate attivamente e l’Unione Europea accelera sulla regolamentazione dell’intelligenza artificiale e la protezione dei contenuti creativi. Un quadro che delinea con chiarezza crescente dove si concentreranno le priorità regolatorie dei prossimi mesi.
La multa da 17,6 milioni a Intesa Sanpaolo per la profilazione di 2,4 milioni di clienti nell’operazione Isybank rappresenta molto più di una semplice sanzione. Segna l’evoluzione dell’approccio del Garante verso le operazioni societarie complesse, dove la “necessità commerciale” non può più giustificare il trattamento massivo di dati personali senza adeguate tutele. Parallelamente, la sanzione da 2 milioni ad Acea Energia per i contratti attivati tramite agenti porta a porta all’insaputa dei clienti conferma una linea dura contro le pratiche commerciali aggressive che violano i principi fondamentali del consenso informato. Questi casi rivelano un pattern preoccupante: organizzazioni che trattano i dati personali come leva competitiva senza valutare adeguatamente l’impatto sui diritti degli interessati. La dimensione delle sanzioni suggerisce che il Garante italiano stia allineandosi agli standard europei più rigorosi, dove l’effetto deterrente assume priorità rispetto alla mera correzione formale delle violazioni.
Sul piano europeo, l’opinione congiunta EDPB-EDPS sull’European Biotech Act evidenzia la complessità crescente della regolamentazione dei dati sanitari nell’era dell’innovazione biotecnologica. Mentre le autorità supportano l’armonizzazione delle sperimentazioni cliniche, richiedono salvaguardie specifiche per i dati sanitari che vanno oltre le protezioni standard del GDPR. Questo approccio prefigura un futuro dove settori ad alta sensibilità richiederanno framework normativi dedicati, creando ulteriori complessità compliance per le organizzazioni multinazionali. La lettera dell’EDPB alla Commissione sui trasferimenti verso gli USA aggiunge un ulteriore elemento di incertezza per le organizzazioni che operano su scala transatlantica.
La decisione del Parlamento Europeo di prorogare le regole volontarie contro l’abuso sessuale online fino ad agosto 2027 dimostra un approccio pragmatico ma problematico alla regolamentazione. La deroga consente alle piattaforme di continuare il rilevamento automatico di contenuti illegali, ma lascia aperte questioni fondamentali sulla proporzionalità e sui rischi di false positive. Significativo che la proroga mantenga ferma l’esclusione delle comunicazioni crittografate end-to-end: una linea rossa che il legislatore europeo non ha intenzione di superare, almeno per ora.
Sul fronte dell’intelligenza artificiale, il caso Grok e il potenziale divieto europeo delle app di nudificazione segnalano un’accelerazione nell’intervento regolatorio. L’avanzamento del Digital Omnibus on AI e del regolamento implementativo dell’AI Act confermano che l’enforcement concreto è ormai imminente. Il divieto di valutazione del rischio individuale per la predizione di reati, analizzato dal Future of Privacy Forum, illustra quanto delicato sia l’equilibrio tra sicurezza pubblica e tutela dei diritti fondamentali. Le estensioni browser malevole travestite da tool AI, che hanno raggiunto 900.000 installazioni, e l’hack della piattaforma McKinsey da parte di un agente AI autonomo dimostrano come le minacce si stiano evolvendo rapidamente.
Sul versante cybersecurity, Operation Synergia III con 72 paesi coinvolti, lo smantellamento di SocksEscort e le vulnerabilità attivamente sfruttate in SolarWinds, Ivanti e FortiGate confermano che la sicurezza delle supply chain tecnologiche rimane il tallone d’Achille dell’ecosistema digitale. Il data breach di Ericsson — con quasi un anno tra incidente e comunicazione completa — e i casi di Starbucks e Loblaw dimostrano come anche le grandi organizzazioni non siano immuni da attacchi sofisticati e da lacune nei controlli sui fornitori terzi.
L’insieme di questi sviluppi configura un quadro dove la compliance non può più limitarsi alla verifica formale delle regole, ma deve evolversi verso sistemi di governance dinamici capaci di adattarsi rapidamente a minacce emergenti e contesti normativi in continua evoluzione. Per DPO e compliance officer, le valutazioni d’impatto sulla protezione dati non possono più essere esercizi formali: devono affrontare sostanzialmente i rischi per i diritti degli interessati, specialmente in contesti commerciali complessi come fusioni, acquisizioni o ristrutturazioni societarie. La domanda che rimane aperta è se le organizzazioni abbiano davvero compreso che la trasformazione digitale richiede una trasformazione altrettanto radicale dei modelli di gestione del rischio e della compliance.
📧 A cura di Nicola Fabiano
Avvocato - Studio Legale Fabiano
🌐 Studio Legale Fabiano: https://www.fabiano.law
🌐 Blog: https://www.nicfab.eu
🌐 DAPPREMO: www.dappremo.eu
Supporter
Telegram → @nicfabnews
Matrix → #nicfabnews:matrix.org
Mastodon → @nicfab@fosstodon.org
Bluesky → @nicfab.eu