📬 NicFab Newsletter
Numero Zero - 9 Dicembre 2025
Privacy, Data Protection, AI, Cybersecurity & Tech Law - Weekly Review
Benvenuti al numero inaugurale della newsletter settimanale dedicata alla privacy, alla data protection, all’intelligenza artificiale, alla cybersecurity e all’etica. Ogni martedì troverete una selezione ragionata delle notizie più rilevanti della settimana precedente, con un focus su sviluppi normativi europei, giurisprudenza, enforcement e innovazione tecnologica.
📰 DALLA SETTIMANA PRECEDENTE (1-7 dicembre 2025)
🖊️ DAL MIO BLOG
Safer Internet Forum 2025 e il Framework Europeo per la Protezione dei Minori Online
La Commissione europea ha aperto il Safer Internet Forum 2025 presentando tre pilastri fondamentali: linee guida DSA sulla protezione dei minori (luglio 2025), blueprint per la verifica dell’età e prime azioni di enforcement contro Snapchat, YouTube, Apple App Store e Google Play. Analisi completa del framework europeo per la sicurezza online dei bambini.
🇪🇺 DALLE ISTITUZIONI EUROPEE
⚖️ Corte di Giustizia UE
Sentenza C-492/23 - Russmedia Digital (2 dicembre 2025)
La CGUE stabilisce che il gestore di un marketplace online è titolare del trattamento dei dati personali contenuti negli annunci pubblicati sulla piattaforma. Deve implementare misure tecniche per verificare il consenso prima della pubblicazione, identificare annunci con dati sensibili, e impedire la copia illecita su altri siti. Non può invocare la direttiva e-commerce per sottrarsi agli obblighi GDPR.
🏛️ Parlamento Europeo + Consiglio
Payment Services: Accordo su Protezione da Frodi Online e Commissioni Nascoste (27 novembre 2025)
Parlamento e Consiglio hanno raggiunto un accordo provvisorio su un settore dei servizi di pagamento UE più aperto e competitivo, con difese rafforzate contro frodi e violazioni dati. Le nuove regole puntano a proteggere i consumatori dalle crescenti minacce di cybercrime nel settore finanziario digitale, imponendo standard più elevati di sicurezza e trasparenza sulle commissioni.
🏛️ Commissione Europea
TikTok - Impegni sulla Trasparenza Pubblicitaria DSA (5 dicembre 2025)
La Commissione accetta gli impegni vincolanti di TikTok sulla trasparenza della pubblicità ai sensi del Digital Services Act, evitando sanzioni formali.
X (Twitter) - Multa di €120 milioni per violazioni DSA
Sanzione per violazioni degli obblighi di trasparenza, moderazione dei contenuti e cooperazione con le autorità sotto il Digital Services Act.
EU Digital Omnibus Package (19 novembre 2025)
📖 Digital Omnibus on AI: European Commission Proposes Simplifications to the AI Act
📖 Digital Omnibus: Cookies, GDPR and AI Training - New European Privacy Rules
📊 Parlamento Europeo
Report: Youth and Social Media (6 dicembre 2025)
Analisi approfondita sui rischi per i giovani nell’uso dei social media, con focus su protezione dati dei minori, impatto degli algoritmi AI, contenuti inappropriati e meccanismi di dipendenza.
Studio: Interplay tra AI Act e Legislazione Digitale UE
Studio commissionato dal Committee ITRE analizza sovrapposizioni regolatorie tra AI Act, GDPR, DSA, DMA, Data Act e CRA. Evidenzia oneri duplicati, incertezze procedurali e impatto negativo sulla competitività: solo 3 aziende UE nella Forbes AI 50 vs 42 USA. Raccomanda coordinamento enforcement, riconoscimento reciproco impact assessments, e semplificazione medio-lungo termine.
🤝 EDPB + Commissione Europea
Joint Guidelines DMA-GDPR (consultazione chiusa 4 dicembre 2025)
Linee guida congiunte EDPB-Commissione sull’interazione tra Digital Markets Act e GDPR per i gatekeeper. Prossimo step: linee guida AI Act-GDPR (in preparazione con AI Office) per chiarire sovrapposizioni tra valutazioni impatto (FRIA vs DPIA).
Standardizzazione AI: accelerazione in corso
Le informazioni che seguono provengono dall’Inclusiveness Newsletter curata da ETUC (Confederazione Europea dei Sindacati), che fornisce il segretariato al Task Group Inclusiveness del CEN-CENELEC JTC 21. Questa newsletter rappresenta una fonte preziosa per seguire i progressi nella standardizzazione europea dell’AI, garantendo la rappresentanza anche della prospettiva dei lavoratori.
Il panorama della standardizzazione europea sull’intelligenza artificiale sta vivendo una fase di forte accelerazione. Durante l’incontro plenario del CEN-CENELEC JTC 21 tenutosi a Copenaghen a novembre, la Commissione Europea ha ribadito le scadenze serrate per la consegna degli standard a supporto dell’AI Act. La novità più rilevante riguarda la proposta Omnibus presentata il 19 novembre: l’applicazione delle regole sui sistemi AI ad alto rischio sarà ora legata alla disponibilità effettiva degli standard armonizzati, un cambio di prospettiva che potrebbe alleggerire la pressione immediata sulle aziende.
Sul fronte operativo, il primo standard europeo – prEN 18286 sui sistemi di gestione della qualità – è entrato in fase di Public Enquiry con scadenza 22 gennaio 2026. Seguiranno a breve gli standard su trasparenza, supervisione umana e robustezza dei sistemi AI. Nel frattempo, è attivo da ottobre l’AI Service Desk della Commissione, uno sportello dedicato per domande sull’AI Act accessibile in tutte le lingue ufficiali UE.
Per chi cerca strumenti pratici immediati, segnalo le guide danesi DS PAS 2500 (ora disponibili in inglese) su trasparenza, bias e AI literacy, e l’Academic Guide to AI Act Compliance realizzata da ricercatori francesi, che offre un approccio operativo alla conformità seguendo la struttura degli standard ISO sui sistemi di gestione.
Link utili:
🌍 DAL MONDO
🇺🇸 Stati Uniti - Privacy & Data Protection
FTC sanziona Illuminate Education per Data Breach (1 dicembre 2025)
Violazione dei dati di oltre 10 milioni di studenti (dicembre 2021) causata da credenziali di un ex dipendente non revocate dopo 3,5 anni. Settlement impone: implementazione di un programma di sicurezza completo, cancellazione dei dati non necessari, schedule pubblico di retention, notifica rapida di breach futuri.
California Privacy Protection Agency - Enforcement (3 dicembre 2025)
CPPA multa azienda di marketing ($56.600) per vendita “custom audiences” senza registrazione come data broker, intensificando enforcement della Delete Act e della normativa dei data broker in California.
20 Stati USA con Leggi Privacy Comprensive (1 gennaio 2025)
Nuove leggi entrate in vigore: Delaware, Iowa, Nebraska, New Hampshire, New Jersey. Trend emergenti: soglie di applicabilità più basse, definizioni dei dati sensibili ampliate, regolamentazione del profiling/automated decision-making, protezioni rafforzate minori, riduzione/eliminazione dei right-to-cure periods.
🔗 Chambers Practice Guide 2025
🤖 Intelligenza Artificiale
Trump Administration - Dibattito Regolamentazione AI
Il Senato degli USA vota quasi all’unanimità per rimuovere la moratoria decennale sulla regolamentazione statale dell’AI dalla proposta legislativa del GOP. Tensione federale vs statale: California, Colorado, Utah, Texas hanno già leggi AI. Executive Order leaked suggerisce una possibile preemption delle leggi statali.
Cina propone World AI Cooperation Organization (WAICO)
Presidente Xi Jinping rilancia la proposta di governance globale dell’AI attraverso un’organizzazione internazionale dedicata. Focus cinese: modelli open weight, politica AI+ per crescita economica, regolamentazione precoce (dal 2022), concentrazione su applicazioni pratiche vs AGI.
🔒 Cybersecurity
Data Breach Globali 2025 - Report Experian (7 dicembre 2025)
Oltre 8.000 breach globali nei primi sei mesi 2025, con 345 milioni record esposti. Previsioni 2026: aumento uso AI da cybercriminali (agentic AI, polymorphic malware), crescita donne nel settore cybersecurity (da 11% a 35%), quantum computing + AI come nuova frontiera attacchi.
Breach Rilevanti della Settimana
Coupang (Corea del Sud): 34 milioni clienti. British Telco Brsk: 230.000+ record con dati personali e installazione. GitLab: 17.430 secrets verificati in repository pubblici (API keys, passwords, tokens). Air France/KLM: incident su tool customer support terze parti.
US Energy Infrastructure - Allarme Sicurezza (3 dicembre 2025)
Testimonianza al Congresso conferma: sistemi energetici USA già compromessi da attori statali (principalmente Cina). Preoccupazione per riduzione supporto federale programmi sicurezza grid mentre minacce aumentano.
Vulnerabilità Apache Tomcat CVE-2025-48989
Flaw critico HTTP/2 “Made You Reset” consente esaurimento memoria server. Versioni affette: 11.0.0-M1 to 11.0.9, 10.1.0-M1 to 10.1.43, 9.0.0.M1 to 9.0.107. Patch disponibili: aggiornamento urgente richiesto.
🔬 APPROFONDIMENTI TECH & INNOVAZIONE
Quantum Technologies e AI: Una Partnership Necessaria (OECD, 3 dicembre 2025)
L’OECD analizza come l’AI sia diventata fondamentale per lo sviluppo delle tecnologie quantistiche: supporta quantum computing (ottimizzazione error correction da 1% a 0.0001%, emulazione sistemi fino a 50 qubit), quantum sensing (filtraggio rumore, interpretazione dati complessi, navigazione GPS-free), e quantum communication (gestione errori trasmissione, ottimizzazione reti ibride quantum-classical).
O’Reilly Radar Trends: Panorama Tech Dicembre 2025
Sintesi trend tecnologici rilevanti: rilascio modelli AI nuova generazione (Gemini 3, GPT-5.1, Opus 4.5, Olmo 3), strumenti AMD GPU (HipKittens), IDE agentiche (Antigravity), security (attacchi TEE, CoPhishing via Copilot), progetti infrastrutturali (data center spaziali, NANDA per rete decentralizzata agenti AI). Focus su bias linguistico LLM e copyright musica AI-generated.
📅 APPUNTAMENTI DELLA SETTIMANA (9-15 Dicembre 2025)
Consiglio UE - Trasporti, Telecomunicazioni ed Energia (9-10 dicembre)
- Approvazione conclusioni competitività europea decennio digitale
- Scambio opinioni su applicazione DSA in relazione a piattaforme e e-commerce
- Dibattito semplificazione e digitalizzazione per ridurre oneri imprese settore digitale
💡 COMMENTO DI ANALISI
La settimana che ha cristallizzato le tensioni del 2025
La prima settimana di dicembre 2025 ha offerto una fotografia nitida delle tensioni che caratterizzeranno l’anno a venire nel panorama tech-legal globale.
Sul fronte europeo, la sentenza Russmedia rappresenta un punto di svolta interpretativo: la Corte di Giustizia conferma che il GDPR prevale sulle altre normative digitali in materia di protezione dei dati personali. Il messaggio è chiaro: le piattaforme non possono nascondersi dietro lo status di “mero hosting provider” per evitare responsabilità sul trattamento dei dati. Questa linea dura si riflette anche nell’enforcement DSA contro X (€120M) e nella chiusura della consultazione sulle linee guida DMA-GDPR, segnalando un’accelerazione dell’applicazione del nuovo framework digitale europeo.
L’accordo sui servizi di pagamento, con un focus rafforzato su frodi online e su data breaches, conferma che la cybersecurity è diventata parte integrante della regolamentazione finanziaria. Non è più soltanto un tema tecnico: è un requisito legale con conseguenze concrete per chi non si adegua.
Paradossalmente, mentre l’UE intensifica l’enforcement, il Digital Omnibus ammette implicitamente ciò che lo studio del Parlamento europeo documenta esplicitamente: l’eccesso di regolamentazione sta soffocando l’innovazione europea. Solo 3 aziende UE tra le top 50 AI globali è un dato che dovrebbe allarmare. La semplificazione proposta è un passo necessario ma tardivo, e solleva una domanda scomoda: è possibile mantenere la leadership normativa europea senza competitività tecnologica?
Oltreoceano, gli Stati Uniti mostrano una frammentazione crescente. Con 20 stati che hanno leggi privacy comprensive e altri che legiferano sull’AI, la tanto invocata legge federale sembra più lontana che mai. Il voto del Senato contro la moratoria AI statale è significativo: anche in un contesto politicamente polarizzato, c’è consenso bipartisan sul fatto che le regolamentazioni AI non possono attendere. La questione è come regolare, non se regolare.
La dimensione cybersecurity emerge come il filo rosso che unisce tutte le altre tematiche. Gli 8.000+ breach del primo semestre 2025 non sono solo statistiche: sono il sintomo di un’infrastruttura digitale costruita con la sicurezza come afterthought. Il caso di Illuminate Education (credenziali non revocate per 3,5 anni!) è emblematico di una cultura della sicurezza ancora immatura, nonostante decenni di breach. E quando il Congresso USA conferma che le infrastrutture critiche energetiche sono già compromesse da attori statali, capiamo che non stiamo parlando di minacce future, ma di vulnerabilità presenti.
La convergenza quantum-AI descritta dall’OECD apre scenari affascinanti ma anche preoccupanti dal punto di vista regolatorio. Come si applicherà l’AI Act a sistemi ibridi quantum-AI? Come garantire trasparenza e explicability quando la meccanica quantistica stessa sfida la nostra capacità di comprensione deterministica? E soprattutto: mentre l’Europa dibatte sulla semplificazione normativa, Cina e USA corrono su quantum computing e AI generativa. Il rischio è che quando l’Europa avrà semplificato le sue regole, la tecnologia sarà già altrove.
La protezione dei minori online, tema del mio articolo e del report EP, rappresenta forse l’unica area in cui c’è convergenza tra enforcement rigoroso (Snapchat, YouTube) e consenso pubblico. Ma anche qui emergono tensioni: i sistemi di age verification richiesti creano nuovi honeypot per gli attaccanti, come evidenziato nella rassegna sulla cybersecurity. Ogni soluzione genera nuovi problemi.
In sintesi: il 2025 si conferma l’anno della accountability reale. Non bastano più i framework normativi; serve enforcement (sentenza Russmedia, multa X, FTC vs Illuminate). Non basta più proclamare “privacy by design”; servono conseguenze quando fallisci (€120M sono un deterrente credibile). E non basta più parlare di “AI etica”; servono scelte concrete su come bilanciare innovazione e protezione.
La domanda che questa settimana lascia aperta è: l’Europa riuscirà a trovare questo equilibrio prima che sia troppo tardi? O continueremo ad essere il continente che scrive le regole migliori per tecnologie sviluppate altrove?
📧 A cura di Nicola Fabiano
Avvocato - Studio Legale Fabiano
🌐 Studio Legale Fabiano: fabiano.law
🌐 Blog: www.nicfab.eu
🌐 DAPPREMO: www.dappremo.eu
Questa è la newsletter inaugurale. Feedback e suggerimenti sono benvenuti per migliorare le prossime edizioni. Ci ritroviamo martedì prossimo!