NicFab Newsletter

Numero 3 | 13 Gennaio 2026

Privacy, Data Protection, AI e Cybersecurity

Con questo numero si apre ufficialmente il 2026 della NicFab Newsletter, un anno che si preannuncia particolarmente rilevante per l’evoluzione della protezione dei dati personali e della regolazione dell’intelligenza artificiale.

La pubblicazione riprende regolarmente dopo la pausa festiva, con l’obiettivo di continuare a offrire un’analisi critica e sistemica delle principali novità normative, istituzionali e tecnologiche.

Buona lettura!

In questo numero

  • Garante Privacy: allarme deepfake
  • EDPS: Opinion 1/2026 su accesso dati IVA
  • Commissione Europea: consultazione DMA Review
  • CNIL: regole per webcam turistiche
  • Parlamento Europeo: revisione Cybersecurity Act
  • USA: nuove leggi AI in vigore dal 1° gennaio
  • Cybersecurity: data breach e vulnerabilità critiche
  • AI Act in pillole – Parte 2
  • Dal Blog NicFab

GARANTE PRIVACY ITALIA

Deepfake: il Garante avverte sui rischi per diritti e libertà fondamentali

8 gennaio 2026 - Il Garante per la protezione dei dati personali ha emesso un provvedimento di avvertimento rivolto agli utenti di strumenti come Grok, ChatGPT e Clothoff, utilizzati per la generazione di contenuti deepfake.

L’Autorità ha sottolineato come la creazione e diffusione di immagini, video o audio manipolati tramite intelligenza artificiale senza il consenso delle persone raffigurate costituisca una grave violazione del GDPR e possa ledere i diritti e le libertà fondamentali degli interessati.

Il provvedimento evidenzia in particolare i rischi connessi a:

  • Creazione di contenuti sessualmente espliciti non consensuali
  • Furto d’identità digitale
  • Diffamazione e danno reputazionale
  • Manipolazione dell’opinione pubblica

Il Garante ricorda che chi genera e diffonde deepfake senza consenso può incorrere in sanzioni amministrative fino a 20 milioni di euro o al 4% del fatturato annuo globale, oltre a possibili responsabilità penali.

Provvedimento Garante Privacy

EDPS - GARANTE EUROPEO PROTEZIONE DATI

Opinion 1/2026: accesso dati IVA per la lotta alle frodi

8 gennaio 2026 - Il Garante Europeo della Protezione dei Dati (EDPS) ha pubblicato l’Opinion 1/2026 sulla proposta di Regolamento che modifica il Reg. (UE) n. 904/2010 in materia di accesso ai dati IVA da parte di EPPO (Procura Europea) e OLAF (Ufficio europeo per la lotta antifrode).

Il Supervisore Wojciech Wiewiórowski ha espresso supporto agli obiettivi della proposta, riconoscendo che un accesso mirato e limitato a determinate informazioni IVA può essere necessario per garantire indagini efficaci contro le frodi MTIC (Missing Trader Intra-Community), che costano all’UE tra 12,5 e 32,8 miliardi di euro l’anno.

Tuttavia, l’EDPS ha formulato un avvertimento cruciale: non si devono confondere i confini tra trattamento amministrativo e penale dei dati personali. I due regimi seguono principi giuridici distinti che devono essere rigorosamente rispettati nel quadro normativo.

Opinion EDPS 1/2026

Prossimi eventi EDPS

28 gennaio 2026 - Data Protection Day 2026: Reset or refine?
Conferenza organizzata congiuntamente da Consiglio d’Europa ed EDPS per celebrare la firma della Convenzione 108, primo trattato vincolante sulla protezione della privacy nell’era digitale.

12 febbraio 2026 - Data takes flight: Navigating privacy at the airport
Conferenza organizzata da EDPS e EDPB Trainees sulla protezione dei dati personali nel contesto dei viaggi aerei.

COMMISSIONE EUROPEA

DMA Review: pubblicato il sommario della consultazione

8 gennaio 2026 - La Commissione Europea ha pubblicato il sommario e le risposte ricevute nella consultazione sulla revisione del Digital Markets Act (DMA), con oltre 450 contributi da stakeholder di tutta Europa.

I risultati evidenziano:

Ampio supporto agli obiettivi del DMA, con richieste di rafforzare:

  • Interoperabilità tra piattaforme
  • Accesso ai dati per sviluppatori terzi
  • Estensione dell’ambito di applicazione a settori AI e cloud

Preoccupazioni dei gatekeeper sulla proporzionalità degli obblighi e sui costi di conformità.

Il report finale è atteso per il 3 maggio 2026.

DMA Review - Commissione Europea

CNIL - AUTORITÀ FRANCESE

Webcam turistiche: chiarite le regole per i Comuni

5 gennaio 2026 - La CNIL ha pubblicato un bilancio dei controlli effettuati sulle webcam turistiche installate dai Comuni francesi, chiarendo le regole per la loro gestione nel rispetto della privacy.

Punti chiave del provvedimento:

  • L’interesse legittimo non può essere invocato come base giuridica per telecamere che riprendono aree pubbliche
  • Le telecamere devono essere configurate per evitare la cattura di persone identificabili o targhe di veicoli
  • Il framework della vidéoprotection (videosorveglianza di sicurezza) non si applica alle webcam turistiche
  • È necessaria una valutazione d’impatto (DPIA) quando il trattamento presenta rischi elevati

CNIL - Caméras touristiques

PARLAMENTO EUROPEO

Cybersecurity Act: cosa aspettarsi dalla revisione

5-9 gennaio 2026 - Il Think Tank del Parlamento Europeo ha pubblicato due documenti chiave sulla revisione del Cybersecurity Act (CSA), la cui proposta è attesa per il 14 gennaio 2026.

Contesto: Il CSA è entrato in vigore nel 2019, formalizzando il mandato permanente di ENISA e istituendo il framework di certificazione europea (ECCF).

Dati allarmanti dal briefing sul Digital Package:

  • +150% di aumento degli attacchi informatici nel 2024
  • Risorse ENISA sotto pressione crescente
  • Ritardi significativi nell’implementazione dell’ECCF: ad oggi solo lo schema EUCC (Common Criteria) è stato adottato

Temi chiave della revisione:

  • Semplificazione delle procedure di certificazione
  • Rafforzamento della resilienza delle infrastrutture critiche
  • Razionalizzazione del panorama regolatorio (coordinamento con NIS2, CRA, DORA)
  • Requisiti di sovranità negli schemi di certificazione cloud (EUCS) - tema controverso

Cybersecurity Act Review - EP Think Tank

Digital Package Briefing

SVILUPPI INTERNAZIONALI

USA: nuove leggi sull’AI in vigore dal 1° gennaio 2026

Il nuovo anno ha segnato l’entrata in vigore di importanti normative statali sull’intelligenza artificiale negli Stati Uniti:

California - Transparency in Frontier AI Act (TFAIA)
Obblighi di trasparenza per sviluppatori di sistemi AI frontier, inclusi requisiti di reporting su capacità e rischi.

Texas - Responsible AI Governance Act (RAIGA)
Framework per l’uso responsabile dell’AI da parte di enti pubblici statali, con requisiti di valutazione d’impatto.

Illinois - HB 3773 (AI in Employment)
Regole specifiche sull’uso dell’AI nei processi di selezione del personale, con obblighi di notifica ai candidati.

Il Colorado AI Act entrerà invece in vigore il 30 giugno 2026 (posticipato dal 1° febbraio originario).

CYBERSECURITY

Data Breach e Vulnerabilità Critiche

Trust Wallet - 24 dicembre 2025
Attacco alla supply chain dell’estensione Chrome di Trust Wallet. Hacker hanno compromesso le credenziali GitHub, ottenendo accesso alle API del Chrome Web Store. Sottratti 8,5 milioni di dollari in criptovalute. L’attacco, denominato “Shai-Hulud”, evidenzia i rischi delle dipendenze nella catena di sviluppo software.

Korean Air - 31 dicembre 2025
Il gruppo ransomware Cl0p ha rivendicato il furto di 30.000 record di dipendenti della compagnia aerea coreana, ottenuti attraverso la compromissione di un fornitore di servizi catering (KC&D).

RondoDox Botnet - Gennaio 2026
Scoperta una campagna durata 9 mesi che sfrutta la vulnerabilità CVE-2025-55182 (React2Shell, CVSS 10.0). Colpite 84.916 istanze vulnerabili, di cui 66.200 negli Stati Uniti. Target: dispositivi IoT e server web.

AI ACT IN PILLOLE - Parte 2

Articolo 6: La classificazione dei sistemi ad alto rischio

L’Articolo 6 del Regolamento (UE) 2024/1689 (AI Act) stabilisce i criteri per determinare quando un sistema di intelligenza artificiale deve essere classificato come ad alto rischio.

Due percorsi di classificazione:

1. Sistemi AI come componenti di sicurezza (Art. 6, par. 1)
Un sistema AI è ad alto rischio quando:

  • È un componente di sicurezza di un prodotto disciplinato dalla normativa di armonizzazione UE elencata nell’Allegato I, oppure
  • È esso stesso un prodotto coperto da tale normativa

E in entrambi i casi:

  • Il prodotto deve essere sottoposto a valutazione di conformità da parte terza ai sensi della legislazione applicabile

2. Sistemi AI in settori critici (Art. 6, par. 2)
Sono considerati ad alto rischio i sistemi AI elencati nell’Allegato III, che copre aree sensibili come:

  • Identificazione biometrica
  • Gestione infrastrutture critiche
  • Istruzione e formazione professionale
  • Occupazione e gestione dei lavoratori
  • Accesso a servizi essenziali
  • Attività di contrasto, migrazione, giustizia

Eccezione importante (Art. 6, par. 3)
Un sistema non è considerato ad alto rischio se non presenta rischi significativi di danno alla salute, sicurezza o diritti fondamentali, in particolare quando:

  • Esegue un compito procedurale limitato
  • Migliora il risultato di un’attività umana precedente
  • Rileva pattern decisionali senza sostituire la valutazione umana
  • Esegue un compito preparatorio per una valutazione rilevante

Il fornitore che ritenga che il proprio sistema rientri in questa eccezione deve documentare formalmente la valutazione prima dell’immissione sul mercato e registrarla nella banca dati UE.

Nella prossima puntata: Articolo 5 - Le pratiche di AI vietate

DAL BLOG NICFAB

Markdown: Dal 2004 all’era dell’AI

6 gennaio 2026 - Un viaggio nella storia del formato Markdown, dalla sua creazione da parte di John Gruber e Aaron Swartz nel 2004 fino alla sua convergenza naturale con l’intelligenza artificiale. I Large Language Model producono output nativamente in Markdown, confermando i principi di portabilità dei dati che sono alla base del GDPR.

Leggi l’articolo completo

WhatsApp, metadati e privacy: quando il problema non è il contenuto ma il contesto

5 gennaio 2026 - Due recenti ricerche (Università di Vienna e Tal Be’ery) rivelano vulnerabilità significative nei metadati di WhatsApp: 3,5 miliardi di account enumerabili e fingerprinting dei dispositivi. La crittografia end-to-end protegge il contenuto, ma non i metadati. Analisi delle implicazioni GDPR e delle alternative open source come XMPP, Matrix e SimpleX Chat.

Leggi l’articolo completo

Motori di ricerca e intelligenza artificiale: tra trasformazione tecnologica e rischi emergenti

29 dicembre 2025 - Analisi del report EPRS “Search engines in times of AI” e dell’advisory Gartner sui browser agentici. Google AI Overviews copre già il 60% delle ricerche, con previsioni di calo del traffico del 25% entro il 2026. Rischi dei browser agentici: data leak, prompt injection, compliance fittizia. Il quadro regolatorio: DSA, DMA, AI Act, GDPR e Direttiva Copyright.

Leggi l’articolo completo

Prossimi appuntamenti

DataEvento
14 gennaio 2026Proposta revisione Cybersecurity Act
27 gennaio 2026Digital Clearinghouse 2.0
28 gennaio 2026Data Protection Day 2026
12 febbraio 2026“Data takes flight” - EDPS/EDPB

Conclusione

Il 2026 si apre con segnali inequivocabili di una piena convergenza tra intelligenza artificiale, protezione dei dati personali e cybersecurity, destinata a dominare l’agenda regolatoria e operativa dell’anno. L’avvertimento del Garante italiano sui deepfake rappresenta un campanello d’allarme significativo, evidenziando come le tecnologie generative abbiano ormai raggiunto un livello di sofisticazione tale da porre rischi concreti e immediati ai diritti fondamentali dei cittadini. Non si tratta più di scenari futuri, ma di violazioni che avvengono quotidianamente.

Sul piano europeo, il quadro normativo continua a evolversi con la revisione del Cybersecurity Act e del Digital Markets Act. Il dato più preoccupante emerge dal briefing del Parlamento Europeo: un aumento del 150% degli attacchi informatici nel 2024 evidenzia quanto la minaccia cyber sia ormai sistemica e richieda risposte coordinate a livello continentale. La lentezza nell’adozione degli schemi di certificazione ECCF - con solo l’EUCC operativo dopo anni dall’entrata in vigore del CSA - solleva interrogativi sulla capacità dell’Unione di tradurre tempestivamente la normativa in strumenti tecnici e operativi realmente utilizzabili.

Dall’altra parte dell’Atlantico, gli Stati Uniti procedono con un approccio frammentato ma dinamico: California, Texas e Illinois hanno inaugurato il 2026 con nuove leggi sull’AI, ciascuna con priorità diverse. Questa proliferazione normativa statale, in assenza di una legge federale organica, crea un mosaico complesso per le aziende che operano su scala nazionale e internazionale.

La rubrica “AI Act in Pillole” prosegue con l’analisi dell’Articolo 6, cuore pulsante della classificazione dei sistemi ad alto rischio. Comprendere questi meccanismi è essenziale per tutti gli operatori che sviluppano o utilizzano sistemi di intelligenza artificiale nell’Unione Europea.

Infine, gli incidenti di sicurezza delle ultime settimane - da Trust Wallet a Korean Air - confermano una tendenza ormai consolidata: gli attacchi alla supply chain e ai fornitori terzi rappresentano il vettore privilegiato per compromettere anche organizzazioni dotate di robuste difese perimetrali. La sicurezza non può più essere concepita come responsabilità individuale delle singole organizzazioni, ma richiede un approccio ecosistemico che coinvolga l’intera catena del valore.

Vi do appuntamento al prossimo numero per proseguire insieme questo percorso di analisi, monitoraggio e approfondimento.

📧 A cura di Nicola Fabiano
Avvocato - Studio Legale Fabiano

🌐 Studio Legale Fabiano: https://www.fabiano.law
🌐 Blog: https://www.nicfab.eu
🌐 DAPPREMO: www.dappremo.eu

Partnership

Law & Technology
Caffè 2.0 Privacy Podcast

Iscriviti alla newsletter su nicfab.eu

Telegram Seguici su Telegram 👉 @nicfabnews