NicFab Newsletter
Numero 5 | 27 gennaio 2026
Privacy, Data Protection, AI e Cybersecurity
Benvenuti al numero 5 della newsletter settimanale dedicata alla privacy, alla data protection, all’intelligenza artificiale, alla cybersecurity e all’etica. Ogni martedì troverete una selezione ragionata delle notizie più rilevanti della settimana precedente, con un focus su sviluppi normativi europei, giurisprudenza, enforcement e innovazione tecnologica.
In questo numero
- EDPB - COMITATO EUROPEO PROTEZIONE DATI
- EDPS - GARANTE EUROPEO PROTEZIONE DATI
- COMMISSIONE EUROPEA
- CONSIGLIO DELL’UE
- DIGITAL MARKETS & PLATFORM REGULATION
- SVILUPPI INTERNAZIONALI
- INTELLIGENZA ARTIFICIALE
- CYBERSECURITY
- TECH & INNOVAZIONE
- RICERCA SCIENTIFICA
- AI Act in Pillole
- Dal Blog NicFab
- Eventi e incontri segnalati
- Conclusione
EDPB - COMITATO EUROPEO PROTEZIONE DATI
Nuove procedure di cooperazione per le clausole contrattuali sotto il GDPR
L’EDPB ha pubblicato un documento che stabilisce procedure di cooperazione per l’autorizzazione delle clausole contrattuali secondo l’articolo 46(3)(a) del GDPR e per l’adozione di clausole contrattuali standard sotto l’articolo 46(2)(d). Questo framework mira a standardizzare il processo decisionale tra le autorità di protezione dati europee, garantendo maggiore coerenza nell’applicazione delle regole sui trasferimenti internazionali.
Per i DPO, questo documento rappresenta un importante punto di riferimento per comprendere come le autorità valutano e approvano le clausole contrattuali personalizzate. La standardizzazione delle procedure dovrebbe ridurre i tempi di approvazione e aumentare la prevedibilità delle decisioni, facilitando la pianificazione dei trasferimenti di dati verso paesi terzi che non beneficiano di una decisione di adeguatezza.
EDPB ed EDPS chiedono maggiori garanzie nell’implementazione dell’AI Act
L’EDPB e l’EDPS hanno adottato un parere congiunto sulla proposta “Digital Omnibus on AI” della Commissione Europea, che mira a semplificare l’implementazione dell’AI Act. Pur supportando l’obiettivo di ridurre la complessità amministrativa, le autorità avvertono che la semplificazione non deve compromettere la protezione dei diritti fondamentali.
Particolare preoccupazione riguarda la proposta di eliminare l’obbligo di registrazione per alcuni sistemi AI ad alto rischio e l’estensione del trattamento di categorie speciali di dati per la correzione dei bias. Le autorità sottolineano l’importanza di mantenere il ruolo centrale delle DPA nella supervisione del trattamento dei dati personali e raccomandano un maggiore coinvolgimento nella creazione delle sandbox normative europee.
Parere congiunto 1/2026 sul Digital Omnibus AI
Il parere congiunto EDPB-EDPS 1/2026 fornisce la posizione ufficiale delle autorità di protezione dati sulla proposta di regolamento per la semplificazione delle regole armonizzate sull’intelligenza artificiale. Il documento analizza nel dettaglio le implicazioni delle modifiche proposte all’AI Act, con particolare focus sulla protezione dei dati personali.
Questo parere rappresenta un documento fondamentale per i DPO che operano nel settore dell’AI, poiché chiarisce la posizione delle autorità europee sui requisiti di protezione dati nell’implementazione di sistemi di intelligenza artificiale. Le raccomandazioni contenute influenzeranno probabilmente la versione finale del regolamento e dovranno essere considerate nella progettazione di sistemi AI conformi.
Aggiornate le FAQ EU-US Data Privacy Framework per le imprese europee
L’EDPB ha pubblicato la versione 2.0 delle FAQ sul Data Privacy Framework EU-USA destinate alle imprese europee. L’aggiornamento riflette l’evoluzione pratica dell’applicazione di questo meccanismo di trasferimento e fornisce chiarimenti su questioni emerse dall’esperienza operativa degli ultimi mesi.
Le FAQ aggiornate offrono guidance pratica su come utilizzare correttamente il DPF per i trasferimenti verso gli Stati Uniti, inclusi i controlli da effettuare sui fornitori certificati e le procedure di reclamo disponibili. Per i DPO, questo documento rappresenta una risorsa essenziale per implementare trasferimenti conformi verso gli USA, considerando che il DPF è attualmente uno dei meccanismi più utilizzati per questi trasferimenti dopo l’invalidazione del Privacy Shield.
Nuove regole di procedura per il Panel informale delle DPA europee
L’EDPB ha aggiornato alla versione 2.0 le regole di procedura per il “Panel informale delle DPA UE” nell’ambito del Data Privacy Framework EU-USA. Questo meccanismo permette alle autorità europee di coordinarsi efficacemente nella gestione dei reclami e delle questioni interpretative relative al DPF.
Le nuove regole stabiliscono procedure più chiare per la cooperazione tra DPA europee e autorità statunitensi, migliorando l’efficacia del sistema di ricorsi e la coerenza nell’applicazione del framework. Per i DPO, comprendere questi meccanismi è importante per gestire eventuali reclami o questioni che potrebbero sorgere dai trasferimenti verso gli USA, garantendo una risposta coordinata e tempestiva alle problematiche dei soggetti interessati.
EDPS - GARANTE EUROPEO PROTEZIONE DATI
🎙️ TechSonar Podcast: TechSonar: Debunking coding assistants
19 gennaio 2026
How are AI-powered coding assistants transforming software development? Will greater accessibility lead to new data protection challenges? Can organisations and service providers build stronger governance and privacy-by-design into coding assistants? With our guest, Laura Hernandez, we will decode the key risks, responsibilities and opportunities behind AI coding assistants.
EDPB-EDPS Joint Press Release
Il Garante europeo per la protezione dei dati (EDPS) e il Comitato europeo per la protezione dei dati (EDPB) hanno pubblicato un comunicato congiunto sull’implementazione dell’AI Act, esprimendo una posizione equilibrata ma ferma sulla regolamentazione dell’intelligenza artificiale.
Le due autorità sostengono la necessità di semplificare l’attuazione del regolamento sull’IA, riconoscendo l’importanza di procedure più snelle per favorire l’innovazione. Tuttavia, sottolineano che tale semplificazione non deve avvenire a scapito della protezione dei diritti fondamentali, chiedendo garanzie più robuste in questo senso.
Per i DPO, questa posizione rappresenta un importante punto di riferimento nell’implementazione dei sistemi di IA nelle organizzazioni. La necessità di bilanciare efficienza operativa e tutela dei diritti suggerisce che sarà cruciale sviluppare framework di compliance che integrino sia i requisiti dell’AI Act sia quelli del GDPR.
COMMISSIONE EUROPEA
Cybersecurity Act 2: La nuova proposta per rafforzare ENISA
La Commissione Europea ha presentato la proposta per il “Cybersecurity Act 2”, un regolamento che sostituirà l’attuale normativa ENISA del 2019. La nuova proposta mira a rafforzare il ruolo dell’Agenzia dell’UE per la cybersecurity, estendendo il framework europeo di certificazione della cybersecurity e introducendo nuove disposizioni sulla sicurezza della supply chain ICT.
Per i DPO, questa evoluzione normativa rappresenta un’opportunità di allineamento tra protezione dei dati e cybersecurity. Il nuovo regolamento potrebbe introdurre requisiti di certificazione più stringenti per i fornitori di tecnologie, impattando sulla valutazione dei rischi e sulla gestione dei rapporti contrattuali con i data processor.
Impact Assessment del Cybersecurity Act 2
Il documento di valutazione d’impatto accompagna le proposte normative sul Cybersecurity Act 2, fornendo un’analisi dettagliata delle implicazioni economiche e operative delle nuove misure. L’assessment considera sia l’impatto sul rafforzamento di ENISA che le modifiche alla Direttiva NIS2.
L’analisi d’impatto è fondamentale per i DPO che devono pianificare l’adeguamento organizzativo. Il documento evidenzia come le nuove misure di semplificazione possano ridurre gli oneri amministrativi, pur mantenendo elevati standard di sicurezza. La convergenza tra cybersecurity e data protection richiederà un approccio integrato nella gestione dei compliance program.
Modifiche alla Direttiva NIS2: semplificazione e allineamento
La proposta COM(2026) 13 introduce emendamenti alla Direttiva NIS2, focalizzandosi su misure di semplificazione e allineamento con il nuovo Cybersecurity Act 2. Gli interventi mirano a ridurre la frammentazione normativa e a creare un framework più coerente per la cybersecurity europea.
Per i DPO operanti in settori critici, queste modifiche rappresentano un’evoluzione significativa. La semplificazione delle procedure di notifica e la maggiore armonizzazione tra Stati membri faciliteranno la gestione dei data breach che coinvolgono aspetti di cybersecurity. L’allineamento normativo richiederà tuttavia un aggiornamento delle procedure interne e dei programmi di formazione.
Digital Networks Act: nuova regolamentazione per le reti digitali
La Commissione ha proposto il Digital Networks Act, un regolamento che sostituirà il Codice Europeo delle Comunicazioni Elettroniche e altre normative settoriali. La proposta mira a modernizzare il framework regolamentare per le reti digitali, considerando l’evoluzione tecnologica e le nuove esigenze di connettività.
L’impatto per i DPO riguarda principalmente la gestione dei dati nelle comunicazioni elettroniche. Il nuovo regolamento potrebbe introdurre modifiche significative ai requisiti di privacy by design per gli operatori di telecomunicazioni e i fornitori di servizi digitali. La convergenza tra regolamentazione delle reti e protezione dati richiederà particolare attenzione nell’implementazione di misure tecniche e organizzative appropriate.
Consolidamento normativo: verso un ecosistema digitale integrato
L’insieme delle proposte presentate dalla Commissione delinea una strategia complessiva di modernizzazione del framework normativo digitale europeo. Il coordinamento tra Cybersecurity Act 2, modifiche alla NIS2 e Digital Networks Act evidenzia l’approccio sistemico dell’UE alla regolamentazione digitale.
Per i professionisti della data protection, questo consolidamento normativo richiede una visione strategica integrata. La convergenza tra cybersecurity, comunicazioni elettroniche e protezione dati impone un aggiornamento delle competenze professionali e un rafforzamento della collaborazione interdisciplinare all’interno delle organizzazioni.
CONSIGLIO DELL’UE
Cybersecurity Act 2: La nuova proposta di regolamento
Il Consiglio dell’UE ha pubblicato la proposta per il Cybersecurity Act 2, che sostituirà il regolamento 2019/881. Il nuovo testo rafforza significativamente il ruolo dell’ENISA, introduce nuove disposizioni per la sicurezza della supply chain ICT e aggiorna il framework europeo per le certificazioni di cybersecurity.
Per i DPO, questa evoluzione normativa rappresenta un’opportunità di allineamento tra protezione dei dati personali e sicurezza informatica. Le nuove disposizioni sulla sicurezza della catena di fornitura ICT richiederanno una valutazione più approfondita dei fornitori e dei sistemi utilizzati per il trattamento dei dati personali.
Allegati tecnici al Cybersecurity Act 2
Gli allegati alla proposta di regolamento forniscono i dettagli operativi per l’implementazione del nuovo framework di cybersecurity. Questi documenti tecnici specificano i criteri per le certificazioni, i requisiti per la valutazione della sicurezza e le procedure per la gestione dei rischi nella supply chain.
I DPO dovranno prestare particolare attenzione ai requisiti di certificazione che potrebbero impattare sui sistemi di trattamento dati. La convergenza tra sicurezza informatica e protezione dei dati richiederà un approccio integrato nella valutazione d’impatto sulla protezione dei dati.
Valutazione EDPB della Direttiva LED
L’European Data Protection Board ha presentato il proprio contributo alla valutazione della Direttiva sulla protezione dei dati nelle attività di prevenzione e repressione dei reati (LED). Il documento analizza l’efficacia dell’attuale framework normativo e identifica le aree di miglioramento.
La valutazione dell’EDPB evidenzia questioni cruciali per i DPO che operano in contesti di sicurezza pubblica o collaborano con le autorità competenti. Le raccomandazioni potrebbero portare a modifiche significative nella gestione dei trasferimenti di dati verso autorità di polizia e giudiziarie.
Parere del Regulatory Scrutiny Board
Il Regulatory Scrutiny Board ha espresso il proprio parere sulla revisione del Cybersecurity Act, fornendo raccomandazioni per migliorare la qualità regolatoria della proposta. Il documento evidenzia le aree che necessitano di maggiore chiarezza e propone modifiche per garantire un’implementazione più efficace.
Per i DPO, il parere del Board rappresenta una guida preziosa per comprendere le potenziali criticità della nuova normativa. Le raccomandazioni potrebbero influenzare la versione finale del regolamento, impattando sulle procedure di compliance che dovranno essere adottate.
Direttiva di modifica della NIS2
La proposta di direttiva per modificare la NIS2 introduce misure di semplificazione e allineamento con il Cybersecurity Act 2. L’allegato tecnico specifica le modalità di coordinamento tra i due strumenti normativi, garantendo coerenza nell’approccio europeo alla cybersecurity.
I DPO dovranno valutare attentamente le interconnessioni tra NIS2 e protezione dei dati personali. Le modifiche proposte potrebbero semplificare alcuni adempimenti ma richiedono una comprensione approfondita delle nuove procedure di notificazione e gestione degli incidenti che coinvolgono dati personali.
DIGITAL MARKETS & PLATFORM REGULATION
UE pronta ad azioni contro Grok di Musk
La Commissione europea si prepara a intensificare l’azione di contrasto contro Grok, l’IA di Elon Musk, secondo quanto dichiarato dalla commissaria Virkkunen ai parlamentari europei. Al centro delle preoccupazioni ci sono i rischi legati agli strumenti di “nudification” basati su intelligenza artificiale, che possono creare contenuti inappropriati.
Per i Data Protection Officer, questo sviluppo rappresenta un’importante evoluzione nell’applicazione del Digital Services Act. La capacità dell’UE di agire contro specifiche funzionalità AI dimostra l’estensione della supervisione normativa oltre i tradizionali servizi digitali. I DPO dovranno monitorare attentamente come queste azioni influenzeranno la compliance per altre piattaforme che utilizzano strumenti AI simili, specialmente in termini di valutazione dei rischi e misure di mitigazione.
Bruxelles verso il blocco obbligatorio di Huawei nel 5G
La Commissione europea sta preparando una nuova proposta di Cybersecurity Act che renderebbe obbligatorio per i governi nazionali bloccare Huawei e altri fornitori cinesi dalle reti 5G critiche. Dopo anni di linee guida volontarie largamente ignorate, l’UE passa a misure vincolanti per eliminare i “fornitori ad alto rischio” dalle infrastrutture critiche.
La proposta avrà impatti significativi anche su settori come energia, trasporti e sicurezza, introducendo criteri di valutazione del rischio basati sulla provenienza geografica delle tecnologie. Per i DPO, questo sviluppo implica una maggiore attenzione alla supply chain dei fornitori tecnologici e alla valutazione dei rischi geopolitici nei trattamenti di dati su infrastrutture critiche. La nuova normativa richiederà probabilmente aggiornamenti alle procedure di vendor assessment e due diligence.
SVILUPPI INTERNAZIONALI
Vietnam: nuove leggi su protezione dati e governance digitale
Il Vietnam ha completato una significativa riforma del proprio framework normativo con l’entrata in vigore di due leggi fondamentali nel 2025: la Legge sulla Protezione dei Dati Personali (Law No. 91/2025) e la Legge sui Dati (Law No. 60/2025). La prima, operativa dal gennaio 2026, mantiene un approccio basato sul consenso ma introduce raffinate distinzioni tra dati “basic” e “sensitive”, oltre a nuove eccezioni per i trasferimenti internazionali pur mantenendo i Transfer Impact Assessments.
La Legge sui Dati rappresenta il primo framework comprensivo per la governance di dati personali e non-personali, applicandosi anche a soggetti stranieri che operano nel paese. Per i DPO, l’intersezione tra le due normative crea nuove complessità compliance, specialmente per i trasferimenti cross-border e per settori ad alto rischio come sanità, finanza e social media.
Corea del Sud: innovazione e privacy come alleati
L’esperienza della Corea del Sud dimostra che innovazione e privacy non sono nemici naturali, secondo l’analisi dell’ex Chairman della Personal Information Protection Commission (PIPC) Haksoo Ko. Il paese ha sviluppato meccanismi pragmatici di compatibilità dal 2023, superando la falsa dicotomia tra protezione dei dati e sviluppo dell’AI.
Il punto critico non è la protezione privacy in sé, ma l’incertezza legale sui percorsi leciti per usi innovativi dei dati, particolarmente complessa nei sistemi AI con pipeline intricate. La Corea ha risposto con engagement strutturato pre-deployment, ambienti controllati di sperimentazione e framework di risk assessment ripetibili, abbracciando un approccio di “regolamentazione cooperativa” che offre prevedibilità procedurale mantenendo le tutele privacy.
INTELLIGENZA ARTIFICIALE
Grok e il problema dei deepfake: 3 milioni di immagini sessualizzate in 11 giorni
Il chatbot AI Grok di X ha generato secondo stime circa 3 milioni di immagini sessualizzate in soli 11 giorni di gennaio, di cui 23.000 raffiguranti minori. Lo studio del Center for Countering Digital Hate evidenzia come la funzione di generazione immagini di Grok sia diventata virale principalmente per la capacità di “spogliare” le persone.
La Commissione Europea sta valutando come applicare il Digital Services Act e l’AI Act per affrontare questa emergenza. X ha implementato alcune restrizioni il 9 e 14 gennaio, ma il danno reputazionale e normativo è significativo. Per i DPO, questo caso rappresenta un esempio critico di come l’AI possa amplificare rischi legati alla privacy, protezione dei minori e consenso al trattamento dati.
Vulnerabilità ChainLeak nel framework AI Chainlit
Due vulnerabilità ad alto impatto sono state scoperte nel popolare framework open-source Chainlit, utilizzato per creare chatbot conversazionali. Le falle, denominate ChainLeak, permettono il furto di file sensibili (CVE-2026-22218) e attacchi SSRF (CVE-2026-22219), con punteggi CVSS rispettivamente di 7.1 e 8.3.
Gli attaccanti possono sfruttare queste vulnerabilità per accedere a chiavi API, credenziali e file di database, potenzialmente compromettendo interi ambienti cloud. Con oltre 220.000 download settimanali, l’impatto potenziale è significativo. Le vulnerabilità sono state risolte nella versione 2.9.4. I DPO dovrebbero verificare l’aggiornamento dei framework AI utilizzati e implementare controlli di sicurezza aggiuntivi per componenti terze parti.
VoidLink: malware Linux sviluppato con assistenza AI
Ricercatori hanno identificato VoidLink, un sofisticato framework malware Linux di 88.000 righe di codice, sviluppato principalmente tramite intelligenza artificiale. Il malware, presumibilmente di origine cinese, rappresenta uno dei primi casi documentati di malware avanzato generato con AI.
Le evidenze includono output di debug sistematici, dati placeholder tipici dell’addestramento LLM e versioning uniforme. Lo sviluppo è avvenuto in meno di una settimana utilizzando approcci “Spec Driven Development” con agenti di coding AI. Sebbene non siano state rilevate infezioni reali, il caso dimostra come l’AI possa accelerare drasticamente lo sviluppo di minacce informatiche, richiedendo ai DPO nuovi approcci nella valutazione dei rischi cyber.
AI Act UE: aziende AI non rispettano gli obblighi di trasparenza
Le principali aziende di intelligenza artificiale stanno tardando a conformarsi agli obblighi di trasparenza dell’AI Act europeo riguardo i dati di addestramento. Le regole richiedono di dichiarare dataset utilizzati, siti web oggetto di scraping e contenuti sotto copyright, informazioni cruciali per artisti e scrittori.
Solo Hugging Face ha proattivamente pubblicato la documentazione richiesta, completando il template della Commissione in sole due ore. I modelli rilasciati dopo agosto 2025 dovrebbero essere immediatamente conformi, ma l’enforcement inizierà solo quest’estate. Per i DPO, questo ritardo evidenzia potenziali gap di compliance che potrebbero esporre le organizzazioni a sanzioni significative una volta iniziati i controlli formali.
Google Gemini: vulnerabilità prompt injection via inviti calendario
Ricercatori hanno scoperto una vulnerabilità in Google Gemini che sfrutta prompt injection indiretti attraverso Google Calendar. L’attacco utilizza inviti calendario con payload nascosti nel campo descrizione per bypassare i controlli di autorizzazione ed estrarre dati privati dalle riunioni.
Quando l’utente chiede innocuamente informazioni sul proprio calendario, Gemini esegue il prompt malevolo, creando un nuovo evento con il riepilogo di tutte le riunioni private. Nei calendari aziendali configurati per la condivisione, l’attaccante può visualizzare questi dati esfiltrati. Google ha risolto la vulnerabilità, ma il caso dimostra come le funzionalità AI-native possano introdurre nuovi vettori d’attacco che i DPO devono considerare nelle valutazioni di rischio.
CYBERSECURITY
CISA Aggiunge Vulnerabilità VMware vCenter alla Lista KEV
La CISA ha inserito la vulnerabilità critica CVE-2024-37079 di VMware vCenter Server nel catalogo delle vulnerabilità sfruttate attivamente. Questa flaw, con CVSS score 9.8, permette l’esecuzione remota di codice attraverso un heap overflow nel protocollo DCE/RPC, sfruttabile tramite pacchetti di rete appositamente creati.
La vulnerabilità, già patchata nel giugno 2024, fa parte di un set di quattro bug scoperti nel servizio DCE/RPC. Per i DPO è essenziale verificare l’aggiornamento di tutti i sistemi VMware vCenter nell’organizzazione e documentare le misure adottate per la remediation, considerando che le agenzie federali USA devono conformarsi entro il 13 febbraio 2026.
Cisco Risolve Zero-Day CVE-2026-20045 Sfruttato Attivamente
Cisco ha rilasciato patch critiche per CVE-2026-20045, una vulnerabilità zero-day attivamente sfruttata che colpisce prodotti Unified Communications e Webex. La flaw consente ad attaccanti non autenticati di eseguire comandi arbitrari e ottenere privilegi root attraverso richieste HTTP crafted all’interfaccia di gestione web.
Il bug impatta Unified CM, Unity Connection e Webex Calling Dedicated Instance. Gli attacchi osservati permettono escalation privilegiata completa sui sistemi vulnerabili. I DPO devono prioritizzare l’applicazione immediata delle patch disponibili e implementare monitoraggio specifico per tentativi di exploit, dato che CISA ha già inserito questa vulnerabilità nel catalogo KEV con scadenza 11 febbraio 2026.
Conferma Attacchi su Zero-Day Cisco Unified CM
SecurityWeek conferma l’attività di exploit attiva contro CVE-2026-20045, la vulnerabilità critica di Cisco Unified CM che permette esecuzione remota di codice non autenticata. L’exploit rappresenta un rischio immediato per le infrastrutture di comunicazione aziendale.
La conferma indipendente dell’attività malevola sottolinea l’urgenza dell’applicazione delle patch Cisco. I DPO devono considerare questa vulnerabilità come priorità assoluta nei propri programmi di patch management e valutare l’implementazione di controlli compensativi temporanei dove l’aggiornamento immediato non sia possibile.
Proposta UE: Modifica alla Direttiva NIS2
La Commissione Europea ha presentato la proposta COM(2026) 13 per modificare la Direttiva NIS2, introducendo misure di semplificazione e allineamento con il futuro Cybersecurity Act 2. La proposta mira a ridurre gli oneri burocratici mantenendo elevati standard di sicurezza informatica.
Per i DPO, questa evoluzione normativa rappresenta un’opportunità per ottimizzare i processi di compliance cybersecurity. È fondamentale monitorare l’iter legislativo per anticipare i cambiamenti normativi e adeguare tempestivamente framework e procedure di sicurezza. La semplificazione potrebbe tradursi in maggiore efficacia operativa dei programmi di cybersecurity aziendali.
Fortinet Conferma Bypass SSO FortiCloud su Sistemi Aggiornati
Fortinet ha confermato nuova attività di exploit che bypassa le patch per CVE-2025-59718 e CVE-2025-59719, vulnerabilità SSO FortiCloud. Gli attacchi colpiscono dispositivi FortiGate completamente aggiornati, suggerendo l’esistenza di un nuovo vettore di attacco non ancora completamente mitigato.
Gli attaccanti creano account generici per persistenza, modificano configurazioni VPN e esfiltrano configurazioni firewall. Le raccomandazioni includono la disabilitazione dell’SSO FortiCloud e la restrizione dell’accesso amministrativo via internet. I DPO devono valutare urgentemente l’esposizione dei propri dispositivi Fortinet e implementare le mitigazioni consigliate, considerando che il problema si estende potenzialmente a tutte le implementazioni SAML SSO.
TECH & INNOVAZIONE
GDPR: Multe Record da 1,2 Miliardi nel 2025
Le autorità europee hanno superato il miliardo di euro in sanzioni GDPR nel 2025, raggiungendo quota 1,2 miliardi. Ancora più preoccupante è l’impennata delle notifiche di data breach: oltre 400 al giorno, un aumento del 22% rispetto all’anno precedente.
L’Irlanda mantiene il primato con 4,04 miliardi di euro totali dal 2018. Le cause dell’escalation includono tensioni geopolitiche, attacchi informatici sempre più sofisticati e la sovrapposizione di nuovi regimi normativi come NIS2 e DORA. Per i DPO, questo scenario richiede un rafforzamento urgente delle difese cyber e dei processi di incident response.
Under Armour: 72 Milioni di Email Compromesse
Under Armour sta investigando un data breach che ha coinvolto 72 milioni di indirizzi email e dati personali come nomi, genere e codici postali. L’azienda esclude compromissioni di password o informazioni finanziarie, ma la mancanza di una comunicazione ufficiale tempestiva ha suscitato critiche.
Il caso evidenzia l’importanza di strategie comunicative efficaci post-breach. I DPO devono bilanciare trasparenza e gestione del rischio reputazionale, garantendo disclosure tempestive come richiesto dalle normative vigenti.
ShinyHunters Colpisce via Okta: Campagna Voice-Phishing
Il gruppo ShinyHunters ha compromesso Crunchbase, Betterment e SoundCloud, utilizzando voice-phishing per sottrarre codici Okta SSO. Complessivamente, oltre 50 milioni di record sono stati esposti, contenenti informazioni personali e dati corporativi sensibili.
La sofisticazione degli attacchi di social engineering richiede programmi formativi specifici per i dipendenti e protocolli di verifica rafforzati. I DPO devono implementare controlli multi-livello per l’accesso ai sistemi critici e rivedere le procedure di autenticazione.
Pwn2Own Automotive 2026: 76 Vulnerabilità Scoperte
Il concorso Pwn2Own Automotive ha distribuito 1 milione di dollari per la scoperta di 76 vulnerabilità in sistemi infotainment e stazioni di ricarica elettrica. L’evento sottolinea la crescente superficie di attacco nel settore automotive connesso.
Per le organizzazioni che gestiscono flotte o servizi di mobilità, emerge la necessità di valutazioni di sicurezza dedicate ai dispositivi IoT automotive e di piani di patch management specifici per questi ecosistemi complessi.
Sicurezza in Breve: Rainbow Tables e Bypass WAF
Tra le notizie minori ma significative: pubblicazione di rainbow tables per Net-NTLMv1, bypass di Cloudflare WAF, abuso del Canonical Snap Store per distribuzione malware e chiusura del programma bug bounty di Curl per mancanza di fondi.
Questi sviluppi evidenziano la necessità per i DPO di monitorare costantemente l’evoluzione delle minacce e mantenere aggiornate le valutazioni di rischio su strumenti e protocolli legacy ancora in uso nelle infrastrutture aziendali.
RICERCA SCIENTIFICA
Selezione dei paper più rilevanti della settimana da arXiv su AI, Machine Learning e Privacy
Attacchi AI e Sicurezza dei Sistemi
How malicious AI swarms can threaten democracy
La ricerca evidenzia come agenti AI autonomi combinati con LLM possano orchestrare campagne di disinformazione su scala senza precedenti. Le tecniche di reasoning AI amplificano la capacità di manipolazione delle opinioni pubbliche. Per i DPO, emerge la necessità di framework di governance specifici per contrastare l’uso malevolo dell’AI generativa.
arXiv
CAFE-GB: Scalable Feature Selection for Malware Detection
Il paper propone un approccio innovativo per la selezione di feature nei dataset ad alta dimensionalità per il rilevamento malware. La metodologia affronta problemi di ridondanza e scalabilità che ostacolano l’efficacia dei sistemi ML. Rilevante per i compliance officer che gestiscono la sicurezza dei sistemi di AI detection.
arXiv
RECAP: Resource-Efficient Adversarial Prompting
Lo studio presenta metodi più efficienti per generare prompt adversarial contro LLM, superando le difese di allineamento esistenti. La ricerca dimostra vulnerabilità persistenti nei guardrail dei modelli linguistici. Critico per chi definisce politiche di sicurezza per l’implementazione di LLM aziendali.
arXiv
Privacy e Protezione Dati
Challenges in Tabular Membership Inference Attacks
Analisi sistematica degli attacchi di inferenza di appartenenza sui dati tabulari, evidenziando gap critici nelle valutazioni privacy attuali. Lo studio copre scenari di apprendimento centralizzato e federato. Fondamentale per DPO che devono valutare i rischi privacy nei sistemi ML su dati strutturati.
arXiv
Data-Free Privacy-Preserving for LLMs
Innovativa tecnica di machine unlearning che non richiede accesso ai dati di training originali per rimuovere informazioni sensibili dai LLM. Utilizza model inversion e selective unlearning per proteggere PII memorizzate. Soluzione pratica per compliance GDPR quando i dati di training sono inaccessibili.
arXiv
Knowledge Graph-Guided Crawler Attack on RAG Systems
Ricerca sui nuovi rischi privacy nei sistemi RAG, dove query crafted possono estrarre gradualmente contenuti sensibili. Gli attacchi multi-turn superano le difese attuali attraverso strategie di estrazione a lungo termine. Implicazioni critiche per la governance dei sistemi RAG aziendali.
arXiv
AI in Sanità e Settori Regolamentati
Balancing Security and Privacy in Healthcare AI
Studio sull’equilibrio tra sicurezza e privacy nell’implementazione di AI nei sistemi sanitari. Esamina come l’AI possa migliorare la threat detection mantenendo la conformità privacy. Analizza casi reali del settore healthcare. Essenziale per compliance officer in ambiti sanitari e settori altamente regolamentati.
arXiv
TempoNet: Network Traffic Simulation
Framework per la simulazione realistica del traffico di rete, cruciale per testare sistemi di rilevamento intrusioni. La generazione di traffico benigno autentico rappresenta una sfida chiave per ambienti di cybersecurity training. Rilevante per la valutazione di sistemi di sicurezza AI-based.
arXiv
AI ACT IN PILLOLE - Parte 4
Articolo 9 - Sistema di gestione dei rischi
Dopo aver esplorato nella scorsa puntata le definizioni fondamentali dell’AI Act, oggi entriamo nel cuore operativo del regolamento analizzando l’Articolo 9, che stabilisce uno dei pilari centrali per i fornitori di sistemi IA ad alto rischio: il sistema di gestione dei rischi.
L’Articolo 9 impone ai fornitori di sistemi di IA ad alto rischio l’obbligo di istituire, implementare, documentare e mantenere un sistema di gestione dei rischi che accompagni l’intero ciclo di vita del sistema. Non si tratta di un adempimento una tantum, ma di un processo dinamico e continuo che deve evolversi insieme al sistema di IA.
Chi deve implementare il sistema di gestione dei rischi
L’obbligo si applica esclusivamente ai fornitori di sistemi di IA ad alto rischio, ovvero quelli elencati nell’Allegato III del regolamento o classificati come tali secondo i criteri dell’Articolo 6. Parliamo quindi di sistemi utilizzati in ambiti critici come il riconoscimento biometrico, la gestione delle infrastrutture critiche, l’istruzione, l’occupazione, i servizi pubblici essenziali e l’applicazione della legge.
Gli elementi costitutivi del sistema
Il sistema di gestione dei rischi deve seguire un approccio strutturato che prevede innanzitutto l’identificazione e l’analisi dei rischi noti e ragionevolmente prevedibili. Questi rischi possono emergere sia quando il sistema funziona come previsto, sia in caso di malfunzionamenti o usi impropri ragionevolmente prevedibili. Il fornitore deve considerare non solo i rischi tecnici, ma anche quelli legati all’impatto sui diritti fondamentali delle persone.
Una volta identificati i rischi, il fornitore deve stimarne e valutarne l’impatto sulla salute, la sicurezza e i diritti fondamentali, considerando sia la gravità del danno potenziale che la sua probabilità di verificarsi. Questa valutazione deve tener conto delle diverse modalità d’uso del sistema e del contesto in cui verrà utilizzato.
La fase successiva prevede la valutazione di altri rischi che potrebbero emergere in base all’analisi dei dati raccolti dal sistema di monitoraggio post-commercializzazione. Questo collegamento diretto tra gestione dei rischi e sorveglianza continua rappresenta un elemento innovativo del regolamento.
Misure di gestione e controllo
Il fornitore deve adottare misure appropriate di gestione dei rischi in relazione a ciascun rischio identificato. Il regolamento stabilisce una gerarchia nelle misure di controllo: quando possibile, i rischi devono essere eliminati o ridotti attraverso una progettazione e uno sviluppo adeguati. Solo quando questo non è fattibile o sufficiente, si può ricorrere a misure di mitigazione e controllo appropriate, che potrebbero includere avvisi, limitazioni d’uso o requisiti per la formazione degli utenti.
Implicazioni pratiche per le organizzazioni
Per i team di compliance, questo articolo comporta la necessità di strutturare processi documentali robusti che dimostrino l’implementazione effettiva del sistema di gestione dei rischi. La documentazione deve essere mantenuta aggiornata e deve permettere di tracciare l’evoluzione della valutazione dei rischi nel tempo.
Un esempio concreto: un fornitore di un sistema di IA per il riconoscimento facciale utilizzato negli aeroporti dovrà identificare rischi come i falsi positivi che potrebbero impedire il transito a passeggeri legittimi, i falsi negativi che potrebbero compromettere la sicurezza, e i potenziali bias discriminatori verso determinate categorie di persone. Per ciascuno di questi rischi, dovrà definire misure specifiche di controllo e monitoraggio.
Le sanzioni per l’inadempimento di questi obblighi possono raggiungere il 2% del fatturato mondiale annuo o 10 milioni di euro, rendendo questo adempimento non solo un imperativo etico ma anche economico.
Nella prossima puntata della nostra serie analizzeremo l’Articolo 10, dedicato ai dati e alla governance dei dati, esplorando come l’AI Act disciplina la qualità dei dati utilizzati per il training e la validazione dei sistemi di IA ad alto rischio.
DAL BLOG NICFAB
Protocollo Gemini: Un’Alternativa Human-Centric al Web Dominato dall’AI
23 gennaio 2026
Esplorazione del protocollo Gemini: storia, connessione con la NASA, benefici per la privacy, limitazioni e la mia capsula personale su gemini://nicfab.eu
L’approccio danese ai deepfake: il copyright può tutelare l’identità digitale?
22 gennaio 2026
Analisi critica della proposta danese di utilizzare il diritto d'autore per tutelare i cittadini dai deepfake generati dall'intelligenza artificiale, con riflessioni sulle implicazioni per il quadro normativo europeo.
Eventi e incontri segnalati
| Data | Evento |
|---|---|
| 28 gennaio 2026 | Data Protection Day 2026: Reset or refine? - Conferenza EDPS/Consiglio d’Europa, Bruxelles |
| 9 febbraio 2026 | Info Day: GenAI in Public Administrations - Commissione Europea (online) |
| 12 febbraio 2026 | Data takes flight: Navigating privacy at the airport - EDPS/EDPB Trainees |
Conclusione
Il panorama normativo europeo attraversa una fase di profonda trasformazione strutturale, dove cybersecurity, intelligenza artificiale e protezione dati convergono verso un modello di governance digitale sempre più integrato. Gli sviluppi di questa settimana delineano i contorni di quello che potremmo definire il “Digital Security Framework 2.0” dell’Unione Europea.
La proposta per il Cybersecurity Act 2 rappresenta il tassello più rilevante di questa evoluzione. Non si tratta di un semplice aggiornamento tecnico, ma di una vera e propria rivoluzione nell’approccio europeo alla sicurezza delle supply chain ICT. La Commissione introduce per la prima volta meccanismi vincolanti che potrebbero escludere sistematicamente i fornitori ad alto rischio dai mercati critici, superando l’approccio frammentario nazionale finora prevalente. L’impatto su Huawei e altri vendor cinesi nelle reti 5G appare inevitabile, ma le implicazioni si estendono ben oltre il settore telecomunicazioni, abbracciando l’intero ecosistema delle infrastrutture digitali critiche.
Parallelamente, l’EDPB consolida l’architettura operativa del GDPR attraverso nuove procedure di cooperazione per le clausole contrattuali standard. Questo sviluppo, apparentemente tecnico, rivela una maturità crescente del sistema di governance privacy europeo. Le organizzazioni che gestiscono trasferimenti internazionali di dati dovranno aggiornare i propri framework contrattuali, ma soprattutto dovranno comprendere che l’era delle interpretazioni creative del GDPR si sta definitivamente chiudendo. L’armonizzazione procedurale tra le diverse autorità nazionali riduce gli spazi di manovra per strategie di compliance opportunistiche basate sul forum shopping.
La tensione più interessante emerge però dal confronto sull’AI Act. L’opinione congiunta EDPB-EDPS sul Digital Omnibus evidenzia una frattura significativa tra l’approccio pragmatico della Commissione e la visione garantista delle autorità privacy. Mentre Bruxelles cerca di semplificare l’implementazione dell’AI Act per favorire l’innovazione europea, i data protection authorities temono che questa semplificazione possa compromettere le tutele fondamentali. La questione non è meramente procedurale: si sta decidendo se l’Europa privilegerà la competitività tecnologica o la protezione dei diritti fondamentali quando questi obiettivi entrano in conflitto.
Il caso Grok di Elon Musk diventa paradigmatico di questa tensione. La stima di tre milioni di deepfake sessuali potenzialmente generati in undici giorni non rappresenta solo un problema di moderazione dei contenuti, ma un test cruciale per l’efficacia del sistema normativo europeo. La minaccia di “ulteriori azioni” da parte della Commissione Virkkunen segnala che l’Europa intende applicare concretamente i propri standard anche ai giganti tecnologici più influenti, ma resta da verificare se gli strumenti normativi disponibili siano sufficientemente incisivi.
Dal punto di vista operativo, i DPO e i compliance officer si trovano di fronte a una fase di transizione particolarmente complessa. Le nuove procedure EDPB richiedono revisioni immediate dei contratti internazionali, mentre l’evoluzione dell’AI Act impone valutazioni continue sui sistemi di intelligenza artificiale già implementati. La convergenza tra cybersecurity e privacy protection significa che le competenze tradizionali del data protection non sono più sufficienti: serve una comprensione integrata dei rischi tecnologici, geopolitici e normativi.
L’escalation delle vulnerabilità zero-day, evidenziata dai casi VMware vCenter e Cisco Unified CM, dimostra che la sicurezza informatica non può più essere considerata un tema separato dalla protezione dei dati i. I 1,2 miliardi di euro di sanzioni GDPR nell’ultimo anno riflettono non solo violazioni della privacy, ma spesso carenze strutturali di cybersecurity che hanno esposto i dati personali.
La vera sfida per le organizzazioni sarà sviluppare una governance integrata che consideri simultaneamente compliance privacy, resilienza cyber e conformità AI. Il modello tradizionale di gestione per silos normativi risulta sempre più inadeguato di fronte alla complessità dell’ecosistema digitale contemporaneo.
Resta aperta la questione fondamentale: l’Europa riuscirà a costruire un modello di sovranità digitale che sia al contempo protettivo per i cittadini e competitivo per l’innovazione? La risposta determinerà non solo il futuro del mercato unico digitale, ma l’influenza globale del modello normativo europeo.
📧 A cura di Nicola Fabiano
Avvocato - Studio Legale Fabiano
🌐 Studio Legale Fabiano: https://www.fabiano.law
🌐 Blog: https://www.nicfab.eu
🌐 DAPPREMO: www.dappremo.eu
Partnership
Telegram → @nicfabnews
Matrix → #nicfabnews:matrix.org
Mastodon → @nicfab@fosstodon.org
Bluesky → @nicfab.eu