NicFab Newsletter
Numero 15 | 7 aprile 2026
Privacy, Data Protection, AI e Cybersecurity
Benvenuti al numero 15 della newsletter settimanale dedicata alla privacy, alla data protection, all’intelligenza artificiale, alla cybersecurity e all’etica. Ogni martedì troverete una selezione ragionata delle notizie più rilevanti della settimana precedente, con un focus su sviluppi normativi europei, giurisprudenza, enforcement e innovazione tecnologica.
In questo numero
- GARANTE PRIVACY ITALIA
- EDPS - GARANTE EUROPEO PROTEZIONE DATI
- COMMISSIONE EUROPEA
- CNIL - AUTORITÀ FRANCESE
- DIGITAL MARKETS & PLATFORM REGULATION
- INTELLIGENZA ARTIFICIALE
- CYBERSECURITY
- RICERCA SCIENTIFICA
- AI Act in Pillole
- Legal Prompting
- Podcast
- Dal Blog NicFab
- Eventi e incontri segnalati
- Conclusione
GARANTE PRIVACY ITALIA
Sanzione record per Intesa Sanpaolo: 31,8 milioni per data breach
Il Garante per la protezione dei dati personali ha irrogato una delle sanzioni più elevate della sua storia a Intesa Sanpaolo, pari a 31,8 milioni di euro, per gravi carenze nella sicurezza dei dati. Un dipendente ha effettuato oltre 6.600 accessi non autorizzati alle informazioni bancarie di 3.573 clienti per più di due anni, senza essere rilevato dai sistemi di controllo interni.
La violazione ha coinvolto anche clienti “ad alto rischio” con ruoli pubblici rilevanti, evidenziando l’inadeguatezza del modello operativo che permetteva l’interrogazione dell’intera base clienti senza controlli sufficienti. Il Garante ha inoltre censurato la gestione del data breach, con notifiche incomplete e tardive.
Sul piano operativo, il caso sottolinea l’importanza di implementare sistemi di monitoraggio continuo degli accessi e di adottare il principio del “need to know”, limitando l’accesso ai soli dati necessari per le funzioni lavorative specifiche.
DDL tutela minori: il Garante chiarisce la sua posizione
Il Garante per la protezione dei dati personali ha precisato che non esistono ostacoli tecnici legati alla privacy che impediscano l’approvazione del disegno di legge sulla tutela dei minori nella dimensione digitale, contrariamente a quanto dichiarato dal Ministro dell’Istruzione.
L’Autorità ha collaborato attivamente con il Governo tra agosto e settembre per risolvere le criticità del testo originario. Il nuovo testo presentato il 24 settembre 2025 recepisce tutte le indicazioni formulate dal Garante sui profili privacy sottoposti alla sua attenzione.
L’esame del provvedimento in Commissione risulta fermo dal 21 ottobre 2025 per ragioni non note all’Autorità. Questa precisazione evidenzia l’impegno del Garante nel bilanciare protezione dei dati e tutela dei minori online, smentendo narrative che vedono la privacy come ostacolo alla sicurezza digitale dei più giovani.
EDPS - GARANTE EUROPEO PROTEZIONE DATI
Consultazioni preventive: verso la trasparenza nei controlli privacy
Il Garante europeo Wojciech Wiewiórowski ha pubblicato un nuovo post sul blog dell’EDPS dedicato alle consultazioni preventive tra le autorità di giustizia dell’UE e l’ufficio dell’EDPS. Queste procedure rappresentano un meccanismo di controllo fondamentale quando le operazioni di trattamento pianificate potrebbero comportare un rischio elevato per i diritti e le libertà degli individui.
L’approccio “zero sorprese” sottolineato dall’EDPS evidenzia l’importanza della comunicazione proattiva tra istituzioni. Per chi opera nel settore pubblico europeo, questo richiamo conferma la necessità di identificare tempestivamente i trattamenti ad alto rischio e di avviare le consultazioni appropriate prima dell’implementazione.
La strategia dell’EDPS mira a rafforzare la compliance preventiva, riducendo i rischi di sanzioni e garantendo una maggiore tutela dei diritti fondamentali attraverso un dialogo costruttivo con le autorità competenti.
Fonte — Blog post dell’EDPS sulle consultazioni preventive
COMMISSIONE EUROPEA
Attacco Supply Chain Trivy: oltre 340GB di dati sottratti dall’infrastruttura cloud UE
La Commissione Europea ha confermato ufficialmente una grave violazione dei dati legata all’attacco supply chain al vulnerability scanner Trivy di Aqua Security. L’incidente, ricostruito nel dettaglio da CERT-EU, ha coinvolto due gruppi criminali distinti: TeamPCP, che ha ottenuto l’accesso iniziale il 19 marzo attraverso una versione compromessa di Trivy scaricata dalla Commissione tramite i normali canali di aggiornamento, e ShinyHunters, che ha successivamente pubblicato i dati rubati sul dark web.
Gli attaccanti hanno utilizzato la chiave API AWS compromessa per accedere ad account affiliati alla Commissione, impiegando TruffleHog per scoprire credenziali aggiuntive. Il dataset pubblicato — 91.7GB compressi, circa 340GB non compressi — comprende informazioni personali di 71 clienti del servizio di hosting Europa.eu: 42 interni alla Commissione e almeno 29 altre entità dell’Unione. L’analisi ha identificato circa 52.000 file contenenti messaggi email, molti automatici ma alcuni con contenuti potenzialmente sensibili.
La portata multi-organizzativa dell’incidente solleva questioni complesse di governance. La determinazione delle responsabilità di notifica, la valutazione dell’impatto per ciascuna organizzazione cliente e il coordinamento inter-istituzionale richiedono analisi forensi approfondite per soddisfare gli obblighi GDPR. Va inoltre segnalato che questo rappresenta il secondo data breach confermato dalla Commissione nel 2026, dopo un precedente incidente di febbraio: un pattern che suggerisce debolezze sistemiche nelle pratiche di sicurezza informatica dell’istituzione. AWS ha chiarito di non aver subito eventi di sicurezza propri, indicando che il problema risiede nella gestione delle credenziali e delle configurazioni, non nell’infrastruttura cloud.
Dal punto di vista della compliance, il caso offre tre insegnamenti operativi: la necessità di controlli rigorosi sulla supply chain software, l’importanza di evitare comunicazioni precipitose sugli incidenti prima di completare valutazioni forensi complete, e l’urgenza di implementare monitoraggio continuo degli ambienti cloud con particolare attenzione alle chiavi API con privilegi elevati.
Fonte | Fonte CERT-EU | TechCrunch | BleepingComputer | POLITICO | SecurityWeek
CNIL - AUTORITÀ FRANCESE
Designazione DPO: requisiti e procedure aggiornate
La CNIL ha aggiornato le procedure per la designazione del Delegato alla Protezione dei Dati, ribadendo tre requisiti fondamentali. Il DPO deve possedere competenze giuridiche e tecniche specifiche, con una conoscenza approfondita del settore e dei sistemi informativi dell’organizzazione. È essenziale garantire mezzi sufficienti per l’esercizio delle funzioni, includendo tempo adeguato, risorse materiali e accesso alle informazioni necessarie.
La capacità di agire in piena indipendenza rappresenta il terzo pilastro, evitando conflitti di interesse e garantendo un reporting diretto al vertice aziendale. La gestione delle designazioni avviene esclusivamente tramite il teleservizio CNIL, richiedendo il numero SIREN dell’organizzazione e, per modifiche, il numero di designazione precedente.
Controlli prioritari 2026: focus su reclutamento e settore sportivo
La CNIL ha definito le priorità di controllo per il 2026, concentrandosi su tre aree strategiche: reclutamento, repertorio elettorale unico e federazioni sportive. Per il settore HR, l’autorità verificherà l’applicazione della guida sul recruitment pubblicata nel 2023, con particolare attenzione ai sistemi decisionali automatizzati e alle durate di conservazione dei dati dei candidati.
I controlli si concentreranno su grandi aziende e società di consulenza, considerando l’elevato volume di candidature gestite. Questa iniziativa anticipa il futuro ruolo della CNIL come autorità di vigilanza nel settore lavorativo sotto il regolamento AI Act. Il 20% dei controlli annuali seguirà queste priorità tematiche, riflettendo la diversità degli obblighi GDPR.
Nuovo referenziale per la conservazione dei dati HR
La CNIL ha pubblicato un referenziale specifico per le durate di conservazione nella gestione delle risorse umane, sviluppato in collaborazione con associazioni professionali di diversi settori. Il documento copre dieci aree principali: reclutamento, gestione amministrativa, retribuzioni, sicurezza, veicoli aziendali, registrazioni telefoniche, relazioni sindacali, infortuni sul lavoro, contenzioso e whistleblowing.
Destinato a tutti gli organismi datori di lavoro soggetti al diritto francese, il referenziale supporta DPO, referenti GDPR e professionisti HR nell’identificazione delle durate appropriate. Pur non essendo vincolante, rappresenta uno strumento di “soft law” che facilita la ricerca delle durate pertinenti, completando la gamma di guide già disponibili sul sito CNIL.
Webinar IA: interesse legittimo e web scraping
La CNIL ha pubblicato la registrazione del webinar dedicato all’utilizzo dell’interesse legittimo come base giuridica per lo sviluppo di sistemi di intelligenza artificiale, con focus particolare sul web scraping. L’evento, tenutosi il 13 gennaio 2026, ha fornito criteri pratici per valutare quando questa base legale sia applicabile, enfatizzando le garanzie necessarie per limitare l’impatto dei trattamenti.
Il webinar ha approfondito le sfide specifiche del web scraping per la costituzione di dataset di training, illustrando attraverso esempi concreti come bilanciare gli interessi legittimi dell’organizzazione con i diritti degli interessati. La sessione rappresenta un supporto operativo per i professionisti che sviluppano sistemi IA, fornendo strumenti per un’analisi conforme al GDPR.
Dati post mortem: etica delle tracce digitali
Nel quadro della sua missione etica, la CNIL ha pubblicato il cahier air2025 sulle implicazioni delle tracce digitali dopo la morte, risultato del colloquio del 15 ottobre 2025 organizzato con la Biblioteca Nazionale di Francia. Il documento esplora il destino dei dati personali dei defunti, evidenziando come un terzo dei francesi si sia già confrontato con contenuti di persone decedute online.
Il cahier analizza sia la dimensione individuale, includendo il diritto di dare direttive sui propri dati e le nuove pratiche di lutto digitale, sia quella collettiva relativa alla conservazione della memoria storica digitale. L’immortalità numerica resa possibile dall’IA solleva questioni etiche complesse sui “resti digitali” e sul loro impatto su familiari e società, richiedendo nuovi approcci normativi.
DIGITAL MARKETS & PLATFORM REGULATION
Privacy e semplificazione normativa: lo scontro sul Digital Omnibus di von der Leyen
La crociata di von der Leyen per semplificare le regole sui dati si scontra con la resistenza del Parlamento e degli Stati membri, che temono un indebolimento delle protezioni GDPR. Il “digital omnibus” proposto dalla Commissione mira a ridefinire i dati personali per sbloccare informazioni utili allo sviluppo dell’IA, ma incontra forti opposizioni.
In termini di governance, questo dibattito rappresenta un momento cruciale: da un lato la necessità di competere con USA e Cina nell’IA, dall’altro la salvaguardia dei principi fondamentali del GDPR. La proposta di “pseudonimizzazione” dei dati solleva interrogativi sulla reale protezione della privacy e richiede un’attenta valutazione delle implicazioni operative.
Il processo legislativo si preannuncia lungo (conclusione prevista nel 2027), offrendo tempo per analizzare le modifiche proposte e adattare le strategie di compliance aziendale.
Dirigenti UE abbandonano gruppo Signal per timori di sicurezza
La Commissione Europea ha ordinato ai suoi dirigenti di dismettere un gruppo Signal utilizzato per comunicazioni interne, temendo attacchi hacker mirati. L’episodio si inserisce in un contesto di crescenti minacce cyber, con tentativi di phishing contro funzionari UE e intercettazioni di conversazioni private.
Il caso evidenzia la vulnerabilità delle comunicazioni digitali anche quando si utilizzano strumenti considerati sicuri come Signal. La raccomandazione ufficiale della Commissione favorisce Signal rispetto a WhatsApp, ma gli attacchi dimostrano che nessuna piattaforma è immune da rischi se il dispositivo viene compromesso.
L’episodio sottolinea l’importanza di implementare protocolli di sicurezza rigorosi per le comunicazioni sensibili e di formare il personale sui rischi di social engineering e phishing.
INTELLIGENZA ARTIFICIALE
UE AI Act: il divieto di categorizzazione biometrica per caratteristiche sensibili
Il Future of Privacy Forum analizza l’articolo 5(1)(g) dell’AI Act europeo, che proibisce sistemi di categorizzazione biometrica basati su razza, opinioni politiche, appartenenza sindacale, credenze religiose o orientamento sessuale. Il divieto si applica quando l’obiettivo specifico del sistema è inferire queste caratteristiche dai dati biometrici.
È cruciale comprendere che la norma non vieta ogni forma di categorizzazione biometrica, ma solo quella finalizzata a dedurre attributi protetti. L’interazione con il GDPR rimane complessa e necessita chiarimenti, considerando che alcune forme di trattamento potrebbero essere lecite sotto l’articolo 9(2) del Regolamento europeo.
Ministro svizzero denuncia per contenuti generati da Grok di Musk
La ministra delle finanze svizzera Karin Keller-Sutter ha sporto denuncia penale per diffamazione e insulti generati dall’assistente IA Grok di Elon Musk. Il caso nasce da un post su X del 10 marzo contenente commenti volgari creati dal chatbot di xAI, con la denuncia presentata contro “ignoti” data l’impossibilità di identificare l’utente.
Il caso solleva questioni fondamentali sulla responsabilità per contenuti generati dall’IA e rappresenta un precedente significativo. La distinzione tra libertà di espressione e denigrazione attraverso IA diventa cruciale, mentre Grok continua a essere sotto scrutinio della Commissione europea per la generazione di materiale inappropriato.
UE vieta contenuti IA-generati nelle comunicazioni ufficiali
Le principali istituzioni UE hanno vietato al personale l’uso di video e immagini generate artificialmente nelle comunicazioni ufficiali. Commissione, Parlamento e Consiglio europeo hanno adottato politiche che impediscono ai team stampa l’utilizzo di contenuti visivi completamente generati da IA, contrastando l’approccio di altri governi che sperimentano con deepfake e contenuti sintetici.
La decisione mira a preservare la credibilità istituzionale ma solleva interrogativi sulla capacità dell’UE di rimanere rilevante nell’era della comunicazione politica potenziata dall’IA. Per organizzazioni e professionisti, questo rappresenta un modello di approccio cautelativo che privilegia la trasparenza e l’autenticità, bilanciando innovazione e rischi reputazionali in un contesto dove i deepfake stanno superando numericamente i contenuti umani online.
USA pressano l’UE per aderire al club dei chip IA
Gli Stati Uniti stanno spingendo l’Unione Europea ad aderire al “Pax Silica”, un’alleanza globale lanciata a dicembre per contrastare il dominio cinese nelle supply chain dell’intelligenza artificiale, inclusi minerali critici, semiconduttori ed energia. I rappresentanti UE hanno però rifiutato di dare il via libera alla Commissione per negoziati formali con il Dipartimento di Stato americano.
Il sottosegretario USA Jacob Helberg ha intensificato le pressioni, criticando duramente le normative digitali europee come “killer dell’innovazione” e accusando l’UE di “regolamentarsi verso l’irrilevanza”. Questo scontro evidenzia la tensione tra protezione dei dati e competitività tecnologica, mentre l’AI Act e altre normative UE vengono percepite come ostacoli alla collaborazione transatlantica nell’IA.
CYBERSECURITY
Vulnerabilità critica in FortiClient EMS sfruttata attivamente
Fortinet ha rilasciato patch di emergenza per CVE-2026-35616, una vulnerabilità critica (CVSS 9.1) in FortiClient EMS sfruttata come zero-day prima della disclosure. La falla consente ad attaccanti non autenticati di eseguire codice arbitrario tramite bypass completo dell’autenticazione API e colpisce le versioni 7.4.5-7.4.6.
Con oltre 2.000 istanze FortiClient EMS esposte online secondo Shadowserver, principalmente negli USA e Germania, l’impatto potenziale è significativo. Gli attacchi sono stati rilevati durante il weekend di Pasqua, confermando il trend di sfruttamento durante i periodi festivi quando i team di sicurezza operano a capacità ridotta. La tempistica ravvicinata di due vulnerabilità critiche nello stesso prodotto solleva preoccupazioni sulla robustezza dei controlli di sicurezza di Fortinet.
Dal punto di vista della compliance, le organizzazioni che utilizzano FortiClient EMS devono coordinare l’applicazione immediata delle patch e valutare l’impatto su dati personali eventualmente compromessi, considerando gli obblighi di notifica GDPR per possibili data breach.
Campagna React2Shell per il Furto Automatizzato di Credenziali
I ricercatori di Cisco Talos hanno scoperto una massiccia campagna automatizzata che sfrutta React2Shell (CVE-2025-55182) per compromettere applicazioni Next.js. In sole 24 ore, il framework NEXUS Listener ha compromesso 766 host, rubando credenziali database, chiavi SSH, token cloud e segreti ambientali.
L’operazione, attribuita al gruppo UAT-10608, utilizza script automatizzati per estrarre sistematicamente dati sensibili da applicazioni vulnerabili. Il furto include informazioni personali identificabili, esponendo le vittime a violazioni delle normative privacy.
Compromissioni massive di questa portata richiedono notifiche alle autorità competenti e agli interessati. È cruciale implementare audit immediati sull’esposizione server-side e rotazione delle credenziali, valutando attentamente l’impatto su larga scala dei dati sottratti.
Malware npm Sfrutta Database per Impianti Persistenti
SafeDep ha identificato 36 pacchetti npm malevoli mascherati da plugin Strapi CMS. I pacchetti sfruttano Redis e PostgreSQL per distribuire reverse shell, raccogliere credenziali e installare impianti persistenti attraverso script post-installazione automatici.
I pacchetti, caricati da quattro account fittizi, utilizzano nomi ingannevoli che imitano plugin ufficiali Strapi. Il payload evoluto include escape dei container Docker, scansione del disco per segreti (wallet crypto, API Elasticsearch) e exfiltrazione di dati sensibili.
In termini di governance, è fondamentale sensibilizzare i team di sviluppo sui rischi delle supply chain attacks e implementare controlli rigorosi sui pacchetti di terze parti, incluso lo scanning automatico delle dipendenze e politiche di approvazione per l’inclusione di nuovi package nel codice aziendale.
Hack da $285 Milioni: Operazione DPRK di Sei Mesi
Drift ha rivelato che l’attacco del 1° aprile che ha sottratto $285 milioni è stato il risultato di un’operazione di social engineering nordcoreana durata sei mesi. Il gruppo UNC4736/Golden Chollima ha orchestrato un approccio strutturato iniziato nell’autunno 2025 attraverso contatti a conferenze crypto.
L’operazione dimostra la sofisticazione crescente degli attacchi state-sponsored contro il settore cryptocurrency, con tecniche di intelligence tradizionali applicate agli asset digitali. Il collegamento on-chain con precedenti attacchi conferma la persistenza e capacità operativa del gruppo.
Per il settore fintech, il caso impone un rafforzamento della formazione anti-social engineering e l’implementazione di procedure di verifica rigorose per partnership e integrazioni, includendo scenari di attacchi prolungati e multi-vettore tipici delle minacce state-sponsored.
RICERCA SCIENTIFICA
Selezione dei paper più rilevanti della settimana da arXiv su AI, Machine Learning e Privacy
Differential Privacy e Machine Learning
Beyond Laplace and Gaussian: Exploring the Generalized Gaussian Mechanism for Private Machine Learning
Nuova ricerca sui meccanismi di rumore additivo per la privacy differenziale che va oltre i tradizionali approcci Laplace e Gaussian. Il lavoro esplora meccanismi generalizzati per bilanciare meglio il trade-off tra utilità e privacy negli algoritmi di machine learning. arXiv
Federated Learning e Dati Sanitari
BVFLMSP : Bayesian Vertical Federated Learning for Multimodal Survival with Privacy
Framework per l’analisi predittiva multimodale su dati sensibili distribuiti tra più parti, rispettando vincoli di privacy. Il modello integra approcci bayesiani per fornire stime di confidenza nelle previsioni, cruciale per applicazioni in ambito sanitario e decisioni critiche. arXiv
DISCO-TAB: A Hierarchical Reinforcement Learning Framework for Privacy-Preserving Synthesis of Complex Clinical Data
Soluzione per la sintesi di dati clinici complessi attraverso reinforcement learning gerarchico. Affronta le sfide della scarsità di dati biomedici high-fidelity mantenendo la privacy, particolarmente rilevante per lo sviluppo di sistemi di supporto decisionale clinico conformi al GDPR. arXiv
Privacy negli Agenti AI
Do Phone-Use Agents Respect Your Privacy?
Primo studio sistematico sul rispetto della privacy da parte degli agenti mobili AI. Introduce MyPhoneBench, framework per valutare comportamenti privacy-compliant negli agenti che interagiscono con smartphone. Evidenzia lacune critiche nella protezione dati durante l’esecuzione di task apparentemente innocui. arXiv
Do LLMs Know What Is Private Internally? Probing and Steering Contextual Privacy Norms in Large Language Model Representations
Ricerca fondamentale su come i Large Language Models codificano internamente le norme di privacy contestuale. Analizza perché persistono violazioni della privacy nonostante i modelli possano teoricamente riconoscere informazioni private, con implicazioni dirette per la governance AI aziendale. arXiv
CARE: Privacy-Compliant Agentic Reasoning with Evidence Discordance
Sistema di ragionamento per LLM che mantiene compliance privacy anche in presenza di evidenze contraddittorie. Particolarmente rilevante per applicazioni sanitarie dove sintomi riportati dai pazienti possono contraddire segni medici oggettivi, richiedendo gestione accurata della riservatezza. arXiv
Sicurezza e Detection
AEGIS: Adversarial Entropy-Guided Immune System – Thermodynamic State Space Models for Zero-Day Network Evasion Detection
Sistema di detection per attacchi zero-day che utilizza modelli termodinamici per l’analisi del traffico crittografato TLS 1.3. Affronta vulnerabilità degli attuali classificatori Transformer-based agli attacchi adversarial, cruciale per la protezione dei sistemi che processano dati personali. arXiv
RuleForge: Automated Generation and Validation for Web Vulnerability Detection at Scale
Piattaforma di automazione per la generazione di meccanismi di detection delle vulnerabilità web. Con oltre 48.000 nuove CVE pubblicate nel 2025, automatizza la creazione di regole di sicurezza, essenziale per mantenere standard di protezione dati adeguati. arXiv
AI ACT IN PILLOLE - Parte 15
Articolo 19 - Registrazione generata automaticamente
Parte 15
Dopo aver esaminato nella parte precedente gli obblighi documentali dell’Articolo 18, proseguiamo il nostro percorso nell’AI Act analizzando l’Articolo 19, che introduce un elemento tecnico fondamentale per la governance dei sistemi di IA: la registrazione automatica delle attività operative.
L’Articolo 19 stabilisce che i sistemi di IA ad alto rischio devono essere progettati e sviluppati con capacità di registrazione automatica degli eventi che si verificano durante il loro funzionamento. Questo obbligo si applica ai fornitori di sistemi di IA ad alto rischio e rappresenta una componente essenziale dell’architettura di compliance richiesta dal Regolamento.
Contenuto dei log automatici
La registrazione deve catturare diversi elementi critici del funzionamento del sistema. Innanzitutto, i log devono documentare i periodi di utilizzo del sistema, fornendo una traccia temporale precisa delle attività. Questa informazione risulta cruciale per correlare eventuali anomalie o incidenti con specifici momenti operativi.
I dati di input rappresentano un altro elemento fondamentale da registrare. Il sistema deve mantenere traccia delle informazioni elaborate, permettendo di ricostruire le condizioni che hanno portato a determinate decisioni o output. Particolare attenzione deve essere riservata alle persone fisiche monitorate dal sistema, quando applicabile, garantendo al contempo il rispetto della normativa sulla protezione dei dati personali.
Finalità e utilizzo dei log
La registrazione automatica persegue obiettivi specifici di accountability e trasparenza. I log costituiscono uno strumento indispensabile per le attività di monitoraggio post-commercializzazione, consentendo ai fornitori di identificare pattern anomali o degradi delle performance nel tempo. Inoltre, rappresentano una risorsa fondamentale per le autorità di vigilanza durante le attività ispettive e di controllo.
Un esempio pratico può essere rappresentato da un sistema di IA utilizzato per il credit scoring bancario. I log dovrebbero registrare ogni valutazione effettuata, i dati considerati nella decisione, l’esito della valutazione e l’identità del soggetto valutato, nel rispetto delle normative sulla privacy. Questa tracciabilità permetterebbe di verificare la coerenza delle decisioni nel tempo e di individuare eventuali bias discriminatori.
Considerazioni tecniche e operative
L’implementazione della registrazione automatica richiede scelte architetturali precise fin dalla fase di progettazione del sistema. I fornitori devono bilanciare l’esigenza di completezza della registrazione con considerazioni di performance, storage e sicurezza informatica. I log, contenendo spesso informazioni sensibili, devono essere protetti con adeguate misure di sicurezza e gestiti secondo principi di minimizzazione del dato.
La sincronizzazione tra questo articolo e le disposizioni dell’Articolo 18 sulla conservazione documentale è evidente: mentre l’Articolo 18 disciplina la documentazione statica del sistema (specifiche tecniche, istruzioni d’uso, valutazioni di conformità), l’Articolo 19 governa la documentazione dinamica generata durante l’operatività.
Implicazioni per gli utilizzatori
Sebbene l’obbligo principale ricada sui fornitori, gli utilizzatori dei sistemi di IA ad alto rischio devono essere consapevoli dell’esistenza e delle finalità di questa registrazione. Devono inoltre cooperare nella gestione dei log, specialmente quando questi contengono dati personali di cui sono titolari del trattamento, assicurando la conformità al GDPR.
Le sanzioni per il mancato rispetto degli obblighi di registrazione rientrano nel regime sanzionatorio generale dell’AI Act. L’articolo 99 prevede, per le violazioni degli obblighi dei fornitori di sistemi ad alto rischio, sanzioni amministrative pecuniarie fino a 15 milioni di euro o, se superiore, fino al 3% del fatturato mondiale totale annuo.
Nella prossima puntata analizzeremo l’Articolo 20 dedicato alle azioni correttive e al dovere di informazione, esaminando come i fornitori devono gestire le situazioni di non conformità e gli obblighi di notifica alle autorità competenti.
LEGAL PROMPTING
Informative privacy e intelligenza artificiale: opportunità e limiti
Dopo aver esplorato le tecniche di prompting per l’analisi normativa, affrontiamo oggi un tema che riguarda ogni organizzazione soggetta al GDPR: la redazione delle informative privacy.
L’informativa è il primo punto di contatto tra il titolare e l’interessato. Gli articoli 13 e 14 del Regolamento ne definiscono il contenuto obbligatorio; l’articolo 12 ne disciplina la forma, richiedendo un linguaggio conciso, trasparente e facilmente comprensibile. Eppure, nella pratica, molte informative restano documenti opachi, sovraccarichi di formule standardizzate e poveri di contenuto effettivo.
L’intelligenza artificiale può supportare il professionista in questo ambito, ma a condizioni precise. Il valore aggiunto non risiede nella generazione ex novo del documento — un modello linguistico non conosce i trattamenti dell’organizzazione, i fornitori coinvolti, i tempi di conservazione effettivi — bensì nell’assistenza a operazioni specifiche: la revisione sistematica di un testo esistente rispetto ai requisiti normativi, la riformulazione di passaggi complessi per migliorarne la leggibilità, la declinazione di un’informativa consolidata verso contesti operativi diversi.
Ciascuna di queste attività richiede che il professionista mantenga il controllo sui contenuti sostanziali e utilizzi il modello come strumento di verifica formale e rielaborazione linguistica, non come fonte di informazioni giuridiche o fattuali. L’articolo 12, in particolare, pone una sfida interessante: semplificare senza perdere precisione giuridica è un esercizio di equilibrio che il modello può facilitare ma che solo il giurista può validare.
Resta centrale la questione infrastrutturale. Condividere con un modello cloud la struttura dei trattamenti di un’organizzazione significa far transitare informazioni organizzative verso un fornitore terzo, con implicazioni dirette per il segreto professionale e per gli obblighi contrattuali verso i clienti. L’AI Act e il GDPR convergono nell’esigere che questa scelta sia consapevole e documentata.
Chi segue questa rubrica si aspettava probabilmente di trovare oggi il tema del RAG, anticipato nel numero precedente. Un aggiornamento del piano editoriale ci ha portato a dare priorità alle informative privacy, tema che si lega direttamente all’episodio podcast di questa settimana. Il RAG — Retrieval-Augmented Generation — sarà al centro del prossimo numero, dove affronteremo la questione delle fonti e i rischi specifici che questa tecnica introduce nell’ambito legale.
Per approfondire: Legal Prompting: la nuova frontiera dell’AI in ambito giuridico
PODCAST
NicFab Podcast — Legal Prompting - Redigere informative privacy con l’AI
Terzo episodio della serie Legal Prompting.
Come utilizzare l’intelligenza artificiale per lavorare sulle informative privacy: verificare la completezza di un’informativa esistente rispetto agli articoli 13 e 14 del GDPR, semplificare il linguaggio mantenendo la precisione giuridica, adattare un’informativa base a contesti specifici (dipendenti, app, servizi). Perché generare un’informativa da zero è un errore e come strutturare prompt efficaci per queste tre operazioni concrete.
Leggi la rubrica nella newsletter.
DAL BLOG NICFAB
Born Private: la prima email di tuo figlio è una scelta di protezione dei dati
4 aprile 2026
Born Private di Proton: riservare un’email cifrata per un minore. Cosa significa per l’identità digitale dei bambini alla luce del GDPR, del principio di minimizzazione e del dibattito europeo sulla protezione dei minori online.
IA a scuola: 10 categorie di strumenti AI e come si classificano sotto l’AI Act
2 aprile 2026
Matrice pratica di classificazione sotto l’AI Act per 10 categorie di strumenti AI utilizzati nelle scuole europee. Per ogni categoria: cosa fa, quale punto dell’Allegato III coinvolge, se è potenzialmente ad alto rischio, chi è il deployer.
Human Oversight, Legal Prompting e il quadro regolatorio europeo sull’intelligenza artificiale
1 aprile 2026
Analisi del quadro regolatorio europeo sull’intelligenza artificiale a partire dalle pronunce dei Tribunali di Ferrara e Siracusa del febbraio 2026: human oversight come principio trasversale, legal prompting come competenza professionale e prospettiva internazionale.
Eventi e incontri segnalati
IAPP Global Summit 2026: Privacy, AI governance, Cybersecurity law (30 marzo - 2aprile 2026)
EDPB | Info
Committee on Civil Liberties, Justice and Home Affairs (LIBE) meeting (8 aprile 2026)
European Parliament | Info
Privacy Symposium (20 aprile 2026)
EDPB | Info
Computers, Privacy and Data Protection - CPDP Brussels (19 maggio 2026)
EDPB | Info
Nordic meeting (21 maggio 2026)
EDPB | Info
Commission holds first meeting of Special Panel on child safety online
European Commission | Info
10th Cybersecurity Standardization Conference (svolta il 12 marzo 2026)
CEN, CENELEC, ETSI e ENISA | Resoconto della conferenza sulla standardizzazione della cybersecurity nel contesto del Cybersecurity Act e della NIS2. | Info
Conclusione
L’ecosistema europeo della protezione dati attraversa una fase di profonda ridefinizione, segnata da eventi che rivelano tanto la maturità raggiunta dal sistema sanzionatorio quanto le crescenti vulnerabilità delle infrastrutture digitali critiche.
La sanzione record di 31,8 milioni di euro a Intesa Sanpaolo segna un punto di svolta nell’enforcement del GDPR. Oltre 6.600 accessi indebiti a informazioni di 3.573 clienti “ad alto rischio”, protratti per oltre due anni senza essere rilevati, dimostrano che l’implementazione formale di misure tecniche e organizzative non è sufficiente: il Garante ha chiaramente segnalato che conta l’effettiva capacità di prevenzione e rilevazione, non la conformità documentale.
L’attacco alla Commissione Europea aggiunge una dimensione diversa ma correlata. La compromissione attraverso il tool Trivy, seguita dalla pubblicazione dei dati di oltre 70 entità europee da parte di ShinyHunters, rappresenta un paradigma nuovo nella convergenza tra cybercrime specializzato e data extortion. Si tratta del secondo data breach confermato dalla Commissione nel 2026, un elemento che rende il pattern ancora più rilevante. Parallelamente, le preoccupazioni emerse sulla sicurezza delle comunicazioni interne via Signal e il divieto di contenuti IA-generati nelle comunicazioni ufficiali rivelano un clima di crescente attenzione alla sicurezza istituzionale.
Sul fronte dell’intelligenza artificiale, le “red lines” dell’AI Act per la categorizzazione biometrica e la denuncia del ministro svizzero per contenuti generati da Grok mostrano quanto sia complesso tradurre i principi regolatori in strumenti di tutela effettivi. L’attività della CNIL — dal référentiel per la conservazione dei dati HR ai controlli 2026 su reclutamento e federazioni sportive — indica un approccio sempre più settoriale e specializzato, che anticipa il futuro della data protection attraverso standard verticali.
La convergenza tra privacy, cybersecurity e AI regulation non è più una prospettiva futura, ma una realtà operativa che richiede competenze interdisciplinari e approcci integrati. La questione aperta è come costruire sistemi di governance simultaneamente resilienti, efficaci e sostenibili, senza cadere nella paralisi della over-compliance.
📧 A cura di Nicola Fabiano
Avvocato - Studio Legale Fabiano
🌐 Studio Legale Fabiano: https://www.fabiano.law
🌐 Blog: https://www.nicfab.eu
🌐 DAPPREMO: www.dappremo.eu
Supporter
Telegram → @nicfabnews
Matrix → #nicfabnews:matrix.org
Mastodon → @nicfab@fosstodon.org
Bluesky → @nicfab.eu