NicFab Newsletter

Numero 6 | 3 febbraio 2026

Privacy, Data Protection, AI e Cybersecurity

Benvenuti al numero 6 della newsletter settimanale dedicata alla privacy, alla data protection, all’intelligenza artificiale, alla cybersecurity e all’etica. Ogni martedì troverete una selezione ragionata delle notizie più rilevanti della settimana precedente, con un focus su sviluppi normativi europei, giurisprudenza, enforcement e innovazione tecnologica.

In questo numero

  • GARANTE PRIVACY ITALIA
  • EDPB - COMITATO EUROPEO PROTEZIONE DATI
  • EDPS - GARANTE EUROPEO PROTEZIONE DATI
  • COMMISSIONE EUROPEA
  • PARLAMENTO EUROPEO
  • CONSIGLIO DELL’UNIONE EUROPEA
  • DIGITAL MARKETS & PLATFORM REGULATION
  • STANDARD E CERTIFICAZIONI AI
  • SVILUPPI INTERNAZIONALI
  • CYBERSECURITY
  • TECH & INNOVAZIONE
  • RICERCA SCIENTIFICA
  • AI Act in Pillole
  • Dal Blog NicFab
  • Eventi e incontri segnalati
  • Conclusione

GARANTE PRIVACY ITALIA

Caso Garlasco: richiamo del Garante sui limiti dell’informazione

Il Garante per la protezione dei dati personali ha stigmatizzato il comportamento di media e siti web nella copertura del caso Chiara Poggi, denunciando un progressivo aumento del livello di dettaglio nella ricostruzione di fatti, contesti personali e profili individuali che eccede le legittime finalità informative.

L’Autorità sottolinea come la pubblicazione reiterata di tali elementi trasformi la cronaca in “morbosa spettacolarizzazione”, violando il principio di essenzialità dell’informazione e le regole deontologiche del giornalismo. Il rispetto della dignità deve essere garantito non solo alla vittima, ma anche ai familiari, agli indagati e a tutte le persone coinvolte nella narrazione mediatica.

Per i DPO delle aziende editoriali, questo richiamo evidenzia la necessità di implementare processi di valutazione preventiva sui contenuti, bilanciando il diritto di cronaca con la protezione dei dati personali.

Fonte

Newsletter: sanzioni e novità normative per il settore lavoro

La newsletter del Garante evidenzia diverse decisioni significative per la protezione dei dati nei rapporti di lavoro. Una società del settore agricolo è stata sanzionata con 120mila euro per aver installato dispositivi sui veicoli aziendali che monitoravano lo stile di guida dei dipendenti, raccogliendo dati per 13 mesi e assegnando punteggi mensili comportamentali senza le garanzie previste dallo Statuto dei lavoratori.

Parallelamente, l’Autorità ha chiarito che l’accesso alla casella email del lavoratore licenziato viola la privacy, stabilendo limiti precisi per le aziende. Sul fronte innovazione, è stato approvato il sistema per il rilascio delle targhe per monopattini elettrici e attivato un nuovo strumento contro il telemarketing selvaggio.

Per i DPO aziendali, queste decisioni sottolineano l’importanza di bilanciare controlli legittimi e rispetto della privacy dei dipendenti, implementando procedure conformi alla normativa.

Fonte

Monopattini: via libera alla piattaforma per il rilascio delle targhe

Il Garante ha dato parere favorevole allo schema di decreto del Ministero delle Infrastrutture e dei Trasporti che disciplina la piattaforma telematica per la richiesta e il rilascio delle targhe dei monopattini. L’Autorità ha posto alcune condizioni per garantire maggiore tutela dei dati: eliminare la verifica automatica tramite ANPR (l’identificazione avviene già mediante SPID o CIE), specificare le banche dati per le verifiche relative alle imprese e ai poteri di rappresentanza, e attribuire al MIT la competenza esclusiva per l’informativa e la gestione dei diritti degli interessati.

Fonte

SegnalaODM: attivo il nuovo strumento contro il telemarketing

Da gennaio 2026 è operativa SegnalaODM, la piattaforma dell’Organismo di Monitoraggio del Codice di Condotta in materia di telemarketing e teleselling. Gli utenti possono segnalare eventuali violazioni da parte degli operatori aderenti. Prima di inviare una segnalazione, è necessario contattare l’operatore interessato; in caso di mancata o inadeguata risposta, e qualora il comportamento risulti riconducibile a una violazione del Codice di Condotta, sarà possibile procedere con la segnalazione tramite la piattaforma.

Regolamento UE 2025/2518: nuove norme procedurali per casi transfrontalieri GDPR

Il 1° gennaio 2026 è entrato in vigore il Regolamento UE 2025/2518 che stabilisce norme procedurali aggiuntive per l’applicazione del GDPR nei casi transfrontalieri. L’obiettivo è armonizzare la trattazione dei reclami e la conduzione delle istruttorie. Tra le novità: criteri formali di ammissibilità dei reclami transfrontalieri, procedura di risoluzione rapida (“early resolution”), termini stringenti per lo sportello unico (One-Stop-Shop), introduzione di fascicolo amministrativo e fascicolo di cooperazione, e il diritto di essere ascoltati prima dell’adozione delle decisioni. Il Regolamento si applicherà a partire dal 2 aprile 2027.

Giornata Europea della Privacy: focus sull’educazione digitale dei giovani

In occasione della ventesima Giornata europea della protezione dei dati, il Garante ha posto l’accento sull’educazione digitale dei minori, categoria particolarmente vulnerabile nel contesto digitale. I giovani faticano a riconoscere i pericoli online, tendono a fidarsi degli sconosciuti e condividono dati personali senza piena consapevolezza delle conseguenze a lungo termine.

L’Autorità ha aggiornato due strumenti fondamentali: la guida “Social privacy. Come tutelarsi nell’era dei social media” per un uso più responsabile e consapevole delle piattaforme digitali, e il vademecum “La scuola a prova di privacy” che affronta tematiche attuali come l’uso degli smartphone in classe e l’introduzione dell’intelligenza artificiale nella didattica.

Per i DPO del settore education e delle aziende che trattano dati di minori, questi aggiornamenti rappresentano riferimenti essenziali per implementare policy conformi e programmi di sensibilizzazione efficaci.

Fonte

Caso Report: Garante valuta ricorso in Cassazione

Il Garante per la protezione dei dati personali ha preso atto della sentenza del Tribunale di Roma che ha annullato la sanzione irrogata alla Rai per la diffusione dell’audio della conversazione tra l’ex ministro Sangiuliano e la moglie durante la trasmissione Report. L’Autorità, pur rispettando la pronuncia giudiziaria, si è riservata di valutare l’impugnazione mediante ricorso per Cassazione.

Questo caso evidenzia la complessità del bilanciamento tra diritto di cronaca e protezione dei dati personali, particolarmente quando sono coinvolte conversazioni private di figure pubbliche. La decisione di valutare il ricorso dimostra la determinazione del Garante nel far valere i principi della normativa privacy anche nei casi mediaticamente rilevanti.

Per i DPO delle aziende editoriali, il caso sottolinea l’importanza di procedure chiare per la gestione di contenuti sensibili e la necessità di valutazioni caso per caso.

Fonte

EDPB - COMITATO EUROPEO PROTEZIONE DATI

Evento stakeholder sulla pubblicità politica: esprimi il tuo interesse

L’EDPB organizza un evento remoto per il 27 marzo 2026 per raccogliere feedback sulle Linee Guida relative al trattamento dei dati personali per la pubblicità politica mirata, in conformità al regolamento sulla trasparenza e targeting della pubblicità politica.

L’iniziativa rappresenta un’opportunità significativa per i DPO di contribuire allo sviluppo di standard normativi in un settore sempre più rilevante. La partecipazione è aperta a individui e organizzazioni con competenze specifiche nel settore. Per i professionali della privacy, questo evento offre l’occasione di influenzare direttamente le future interpretazioni normative e di acquisire insights preziosi su un ambito in rapida evoluzione.

La scadenza per manifestare interesse è fissata al 9 febbraio. I DPO dovrebbero considerare la partecipazione come investimento strategico nella comprensione delle dinamiche normative emergenti.

Fonte

Data Protection Day 2026: proteggere i dati dei minori online

Il Data Protection Day 2026 pone l’accento sulla protezione dei dati dei minori online, tema strategico per l’EDPB. I bambini risultano particolarmente vulnerabili nel digitale per la loro limitata capacità di riconoscere i rischi e la tendenza a condividere informazioni personali inconsapevolmente.

L’EDPB ha intensificato gli sforzi in questo ambito: a febbraio 2025 ha adottato una Dichiarazione sull’age assurance, definendo dieci principi per la verifica dell’età conforme al GDPR. Inoltre, è in sviluppo “Privacy for Kids”, un hub educativo multilingue con risorse per genitori, insegnanti ed educatori.

Per i DPO, questi sviluppi sottolineano l’importanza di implementare misure specifiche per la protezione dei minori, bilanciando efficacia e proporzionalità nelle verifiche di età e adottando approcci privacy-by-design nei servizi rivolti ai bambini.

Fonte

EDPS - GARANTE EUROPEO PROTEZIONE DATI

🎙️ TechSonar Podcast: Meet your AI companion

26 gennaio 2026

What if a machine listens, remembers and cares like a friend or even a loved one? Who benefits most from digital intimacy and who is most at risk? Does ‘data extraction through intimacy’ reshape our behaviour and self-determination? Can we draw ethical and legal lines? We will discuss these and other questions raised around privacy, consent and influence with Vítor Bernardo.

Ascolta il podcast

Happy Data Protection Day 2026!

Il 28 gennaio si celebra il Data Protection Day, ricorrenza che commemora l’anniversario della Convenzione 108 del Consiglio d’Europa, primo strumento giuridico internazionale vincolante per la protezione dei dati personali. Questa giornata rappresenta un momento di riflessione sull’evoluzione della privacy digitale e sui diritti fondamentali dei cittadini.

Per i DPO, il Data Protection Day costituisce un’occasione strategica per sensibilizzare le organizzazioni sull’importanza della conformità normativa e per promuovere una cultura della privacy. È il momento ideale per organizzare sessioni formative, aggiornare le policy aziendali e rafforzare il dialogo con il management sui rischi legati al trattamento dei dati.

La celebrazione di questa ricorrenza sottolinea inoltre l’importanza del ruolo del DPO come garante dei diritti degli interessati e promotore di best practice nella gestione dei dati personali.

Fonte

COMMISSIONE EUROPEA

Nuova indagine formale contro X sotto il Digital Services Act

La Commissione Europea ha avviato una nuova indagine formale contro X (ex Twitter) nell’ambito del Digital Services Act, concentrandosi specificamente su Grok e sui sistemi di raccomandazione della piattaforma. Questa iniziativa rappresenta un ulteriore inasprimento della supervisione europea sui grandi operatori digitali.

L’indagine si inserisce nel quadro più ampio dell’applicazione del DSA, che richiede alle piattaforme online di dimensioni molto grandi di implementare misure adeguate per mitigare i rischi sistemici. Per i DPO, questa azione sottolinea l’importanza di garantire che i sistemi algoritmici rispettino non solo i principi del GDPR, ma anche gli obblighi specifici previsti dal DSA in materia di trasparenza e gestione dei contenuti.

Fonte

Decisione di adeguatezza per il Brasile: nuovo ponte per i trasferimenti internazionali

La Commissione ha adottato una decisione di adeguatezza che riconosce un livello adeguato di protezione dei dati personali in Brasile, facilitando i trasferimenti di dati tra UE e il paese sudamericano senza necessità di ulteriori garanzie. Il Brasile diventa così il diciassettesimo paese a beneficiare di una decisione di adeguatezza UE.

Questa decisione rappresenta un importante sviluppo per le organizzazioni che operano in entrambe le giurisdizioni, semplificando significativamente gli adempimenti burocratici. I DPO dovranno aggiornare le proprie procedure interne e rivedere gli accordi esistenti che coinvolgono il Brasile, potendo ora fare affidamento su questa decisione di adeguatezza invece di ricorrere a clausole contrattuali standard o altre misure di salvaguardia.

Fonte

Procedimenti di specificazione DMA per Google

La Commissione europea ha avviato due procedimenti di specificazione per supportare Google nell’adempimento dei propri obblighi sotto il Digital Markets Act. Questi procedimenti riguardano l’interoperabilità e la condivisione di dati di ricerca online, aspetti cruciali per garantire un mercato digitale più equo e aperto.

Per i DPO, questo sviluppo sottolinea l’importanza di monitorare attentamente l’evoluzione normativa europea, specialmente quando le proprie organizzazioni operano in ecosistemi digitali interconnessi. La definizione di specifiche tecniche per l’interoperabilità potrebbe influenzare i flussi di dati e richiedere adeguamenti nelle valutazioni d’impatto sulla protezione dei dati.

Fonte

7° Cyber Dialogue UE-Giappone

Il 28 gennaio 2026 si è tenuto a Bruxelles il settimo dialogo cyber tra Unione Europea e Giappone, confermando la cooperazione strategica tra le due giurisdizioni in materia di cybersecurity e resilienza digitale.

La Commissione ha inviato alla Slovenia una lettera di messa in mora (INFR(2025)4023) per la mancata corretta applicazione della Direttiva InfoSoc e della Direttiva sulla gestione collettiva dei diritti d’autore.

FAMES: inaugurata pilot line per semiconduttori

È stata inaugurata presso CEA-Leti a Grenoble (Francia) la pilot line FAMES per semiconduttori ultra-low-power, nell’ambito della strategia europea per rafforzare la sovranità tecnologica nel settore dei chip.

PARLAMENTO EUROPEO

Briefing - Understanding EU data protection policy

Il Parlamento Europeo ha pubblicato un aggiornamento del suo briefing sulla politica europea di protezione dei dati, evidenziando l’evoluzione del framework normativo dal GDPR ad oggi. Il documento sottolinea come la “dataficazione” della vita quotidiana e i recenti scandali abbiano reso la protezione dei dati una priorità politica crescente nell’UE.

Particolare attenzione viene dedicata alle sfide emerse nell’implementazione del GDPR, incluse le difficoltà nell’enforcement transfrontaliero e le tensioni tra compliance e competitività. Per i DPO, il briefing evidenzia preoccupazioni concrete come il potenziale sovraccarico delle PMI con requisiti di conformità eccessivi e le complessità nel bilanciare accesso ai dati per finalità di sicurezza con la protezione della privacy.

Il documento anticipa inoltre iniziative legislative future, incluso un possibile framework permanente per sostituire le regole temporanee anti-abusi online e una regulation omnibus digitale per alleggerire alcuni requisiti in supporto della competitività e dello sviluppo dell’IA.

Fonte

Ask the European Parliament 2025: il rapporto annuale

L’EPRS ha pubblicato il rapporto annuale “Ask the European Parliament 2025” che documenta l’attività del servizio di risposta ai cittadini. Nel 2025 sono state gestite 10.184 richieste individuali e 8.809 messaggi di campagna. I temi principali hanno riguardato democrazia UE e diritto parlamentare (2.758 richieste), libertà/sicurezza/giustizia (1.076) e affari esteri (1.044). Le campagne più significative hanno riguardato l’etichettatura OGM/NGT, Gaza e diritti umani, e detenuti all’estero.

Accelerazione procedure autorizzazione infrastrutture energetiche

Il Parlamento sta esaminando la proposta legislativa 2025/0400(COD) - COM(2025) 1007 del 10 dicembre 2025, che modifica le Direttive (EU) 2018/2001, 2019/944 e 2024/1788. Parte del “European grids package”, l’iniziativa mira a creare un framework regolatorio per reti di trasmissione e distribuzione, storage, stazioni di ricarica e progetti rinnovabili, affrontando le criticità relative a sistemi amministrativi incoerenti, carenza di risorse delle autorità nazionali, complessità delle valutazioni di impatto ambientale e limitata digitalizzazione.

CONSIGLIO DELL’UNIONE EUROPEA

Priorità UE per i fora ONU sui diritti umani 2026

Il 30 gennaio 2026 il Consiglio ha approvato le conclusioni sulle priorità dell’UE nei fori ONU dedicati ai diritti umani per il 2026. Il documento conferma l’impegno universale per il rispetto, la protezione e l’adempimento dei diritti umani.

Le priorità geografiche includono: la Russia (in relazione alla guerra di aggressione contro l’Ucraina e le violazioni sistemiche in Russia e Bielorussia), i Territori Palestinesi Occupati, l’Iran, il Venezuela (per una transizione democratica pacifica e inclusiva) e l’Afghanistan (con particolare attenzione al meccanismo di accountability operativo).

Il Consiglio ha inoltre sottolineato l’importanza del ventesimo anniversario del Consiglio ONU per i Diritti Umani, il focus sulla fine dell’impunità e l’accountability (con supporto alla Corte Penale Internazionale), e la protezione dello spazio civico online e offline, condannando la repressione transnazionale.

Fonte

DIGITAL MARKETS & PLATFORM REGULATION

WhatsApp designato come Very Large Online Platform sotto il DSA

WhatsApp è diventato il primo servizio di messaggistica a essere classificato come Very Large Online Platform (VLOP) sotto il Digital Services Act europeo, con 46,8 milioni di utenti nell’UE. La designazione si applica specificamente ai canali pubblici di WhatsApp, non alla messaggistica privata.

Come VLOP, WhatsApp dovrà ora implementare misure per mitigare rischi sistemici, inclusi contenuti che potrebbero minacciare il benessere dei minori o i processi democratici. Il primo rapporto di conformità dovrà essere presentato entro quattro mesi. Per i DPO, questa evoluzione evidenzia come la classificazione regolatoria possa espandersi rapidamente, richiedendo monitoraggio continuo delle soglie di utenti e preparazione per obblighi aggiuntivi di governance.

Fonte

Nuova indagine DSA contro X per i deepfake di Grok

La Commissione europea ha aperto una nuova indagine formale contro X sotto il Digital Services Act, focalizzandosi sui rischi associati al chatbot AI Grok. L’indagine riguarda la generazione di immagini deepfake sessualmente esplicite di persone reali, inclusi minori, che hanno invaso la piattaforma.

La Commissione valuterà se X abbia adeguatamente valutato e mitigato i rischi prima di integrare Grok nella piattaforma. Secondo stime, il chatbot avrebbe generato fino a 3 milioni di immagini sessuali non consensuali in soli 11 giorni. Per i DPO, questo caso sottolinea l’importanza di condurre valutazioni d’impatto approfondite prima dell’implementazione di sistemi AI, considerando tutti i potenziali rischi per i diritti degli interessati.

Fonte

UE intensifica controlli su X dopo skandalo Grok

L’indagine europea su X si estende oltre i deepfake, includendo l’impatto della decisione della piattaforma di passare a un algoritmo basato su Grok. La Commissione non esclude misure interim, come la modifica degli algoritmi o la sospensione del chatbot, sebbene la soglia per tali interventi rimanga elevata.

Le autorità UE sostengono che senza la loro pressione, X probabilmente non avrebbe implementato le restrizioni successive su Grok. Questo approccio proattivo della Commissione dimostra una vigilanza crescente sui rischi dell’AI integrata nelle piattaforme social. Per i DPO, emerge l’importanza di stabilire meccanismi di monitoraggio continuo e risposta rapida per sistemi AI che potrebbero generare contenuti problematici.

Fonte

WhatsApp Channels sotto scrutinio UE per rischi sistemici

La designazione di WhatsApp come VLOP si concentra specificamente sui Channels, dove gli amministratori possono trasmettere annunci a gruppi di persone. Con oltre 51,7 milioni di utenti UE, il servizio ha superato la soglia critica di 45 milioni, attivando automaticamente gli obblighi DSA più stringenti.

Meta ha ora quattro mesi per valutare e mitigare rischi sistemici sulla piattaforma, inclusi contenuti illegali, minacce al discorso civico, elezioni e diritti fondamentali. La distinzione tra messaggistica privata (esclusa) e canali pubblici (inclusi) evidenzia la complessità nell’applicazione delle normative digitali. Per i DPO, questo caso illustra come funzionalità apparentemente secondarie possano innescare obblighi normativi significativi quando raggiungono scala sufficiente.

Fonte

STANDARD E CERTIFICAZIONI AI

CEN-CENELEC: MoU con la Fundamental Rights Agency per l’AI

CEN e CENELEC hanno siglato un Memorandum of Understanding con la Fundamental Rights Agency (FRA) dell’UE per collaborare sulla standardizzazione europea nel campo dell’intelligenza artificiale. La FRA fornirà consulenza specifica sui diritti fondamentali, assicurando che gli standard tecnici tengano adeguatamente conto dell’impatto sui diritti delle persone.

Fonte CEN-CENELEC
Fonte FRA

10° Cybersecurity Standardization Conference

Sono aperte le registrazioni per la 10° Cybersecurity Standardization Conference, in programma il 12 marzo 2026 a Bruxelles. L’evento, organizzato congiuntamente da CEN, CENELEC, ETSI ed ENISA, affronterà le sfide della standardizzazione per il Cyber Resilience Act e il futuro della standardizzazione europea in materia di cybersecurity.

Fonte CEN-CENELEC
Fonte ENISA

SBS: aggiornato il test di compatibilità PMI per gli standard

Lo Small Business Standards (SBS) ha pubblicato l'8 gennaio 2026 una nuova versione aggiornata del proprio SME Compatibility Test, basato sulla CEN/CENELEC e ISO Guide 17. Lo strumento consente di verificare se gli standard in sviluppo sono effettivamente accessibili e implementabili dalle piccole e medie imprese.

Fonte

Euralarm: guida per la protezione delle infrastrutture critiche

Euralarm ha pubblicato una guida sulle misure precauzionali per la protezione delle infrastrutture critiche, con focus sulla protezione fisica e la resilienza delle installazioni vitali in linea con la Direttiva CER.

Fonte PDF

ForHumanity: certificazioni per auditor AI in espansione

ForHumanity, organizzazione non-profit dedicata all’audit indipendente dei sistemi AI, prosegue l’espansione dei propri programmi di certificazione con oltre 40 schemi e più di 7.000 criteri di audit per compliance con GDPR, EU AI Act e Digital Services Act. L’organizzazione collabora con CEN-CENELEC JTC 21 per lo sviluppo di criteri di audit allineati agli standard europei.

Fonte

ForHumanity Italy: “Conversazioni su AI, Etica e Standard”

Il chapter italiano di ForHumanity ha avviato il progetto “Conversazioni su AI, Etica e Standard”, una serie di incontri con esperti del settore dedicata alla diffusione in Italia della cultura dell’audit indipendente dei sistemi AI.

ForHumanity è un’organizzazione nonprofit internazionale con la missione di rendere l’intelligenza artificiale sicura per tutti. Attraverso un processo aperto e collaborativo che coinvolge oltre 1.500 contributori da tutto il mondo, sviluppa criteri di audit indipendente, schemi di certificazione e programmi formativi focalizzati su etica, bias, privacy, fiducia e cybersecurity, operazionalizzando normative fondamentali come il GDPR e l’EU AI Act.

I web meeting e podcast promossi da ForHumanity Italy affrontano le sfide dell’AI governance, della protezione dei dati, dell’etica algoritmica e degli standard internazionali. L’iniziativa nasce dalla collaborazione tra i Fellows e i membri italiani di ForHumanity, volontari impegnati a promuovere un approccio responsabile e human-centric all’innovazione tecnologica nel nostro Paese.

Fonte

UNINFO: recepite in italiano le norme ISO/IEC 5259 sulla qualità dei dati AI

UNINFO ha reso disponibili in italiano le quattro parti della norma UNI CEI EN ISO/IEC 5259 “Intelligenza artificiale - Qualità dei dati per l’analisi e l’apprendimento automatico (ML)”. La norma fornisce strumenti e linee guida per garantire dati affidabili, trasparenti e appropriati nei sistemi AI. La Commissione UNI/CT 533 opera come mirror nazionale delle attività ISO/IEC JTC 1/SC 42 e partecipa ai lavori del CEN-CENELEC JTC 21.

Fonte

SVILUPPI INTERNAZIONALI

2026: anno cruciale per la protezione dei dati globale

Il 2026 si configura come un momento di svolta per la privacy internazionale, con tre forze convergenti che stanno ridefinendo il panorama normativo. La riapertura inaspettata del GDPR rappresenta il cambiamento più significativo, introducendo due importanti novità: l’abbandono della neutralità tecnologica con riferimenti specifici all’AI e nuove legittime basi per il trattamento di dati sensibili nell’addestramento di sistemi intelligenti.

Questi sviluppi europei avranno inevitabilmente ripercussioni globali, influenzando le legislazioni nazionali che si ispirano al modello GDPR. Per i DPO, significa prepararsi a un framework normativo più complesso, dove AI e protezione dati dovranno trovare un nuovo equilibrio. La geopolitica digitale e la protezione dei minori online emergeranno come priorità strategiche nei prossimi mesi.

Fonte

Olanda: allarme sovranità digitale dall’autorità privacy

L’Autoriteit Persoonsgegevens olandese lancia un avvertimento urgente sulla dipendenza tecnologica del paese, catalizzato dall’acquisizione di DigiD (servizio di identità digitale nazionale) da parte di un’azienda statunitense. L’autorità denuncia l’assenza di strategie di uscita quando fornitori critici vengono acquisiti da società extraeuropee, evidenziando rischi di “gravi sconvolgimenti sociali”.

Le raccomandazioni includono l’applicazione dei criteri di sovranità cloud della Commissione europea negli appalti pubblici, con punteggi minimi obbligatori. Vengono inoltre proposte clausole contrattuali che permettano la risoluzione immediata in caso di acquisizioni extraeuropee. Per i DPO, questo caso dimostra l’importanza crescente della sovranità digitale nelle valutazioni di impatto e nella selezione dei fornitori.

Fonte

France Travail: 5 milioni di multa CNIL per data breach

La CNIL ha sanzionato France Travail (ex Pôle Emploi) con 5 milioni di euro per una violazione che ha coinvolto i dati di tutti gli utenti registrati negli ultimi vent’anni. L’attacco, basato su tecniche di ingegneria sociale, ha sfruttato account compromessi di consulenti CAP EMPLOI per accedere a numeri di previdenza sociale, email e dati di contatto.

L’autorità francese ha giudicato “inadeguate” le misure di sicurezza, non assenti ma mal implementate. La sanzione include l’obbligo di dimostrare le correzioni adottate, con penale di 5.000 euro al giorno per eventuali ritardi. Il caso evidenzia come anche enti pubblici siano soggetti a sanzioni severe e quanto sia cruciale per i DPO garantire misure di sicurezza proporzionate al rischio, specialmente nel trattamento di dati su larga scala.

Fonte

CYBERSECURITY

Attacco alla rete elettrica polacca: vulnerabilità critiche nell’infrastruttura energetica

Il governo polacco ha confermato che hacker russi hanno compromesso parti della rete elettrica nazionale a fine dicembre 2025, sfruttando gravi lacune di sicurezza. Gli attaccanti hanno preso di mira 30 siti tra parchi eolici, solari e centrali di cogenerazione, utilizzando credenziali predefinite e sistemi privi di autenticazione multi-fattore.

I ricercatori di ESET e Dragos attribuiscono l’attacco al gruppo Sandworm/ELECTRUM, noto per aver causato blackout in Ucraina nel 2015, 2016 e 2022. Gli hacker hanno impiegato il malware “DynoWiper” per distruggere i sistemi di controllo industriale, rendendo inoperabili diverse apparecchiature senza possibilità di ripristino.

Per i DPO del settore energetico, questo incidente evidenzia l’urgenza di implementare controlli di sicurezza basilari e piani di continuità operativa robusti, considerando che le infrastrutture critiche sono obiettivi primari di attacchi state-sponsored.

Fonte

Analisi tecnica dell’attacco ELECTRUM: nuovo modello operativo russo

Dragos ha pubblicato un’analisi dettagliata dell’attacco polacco, identificando una nuova strategia operativa russa che separa le responsabilità tra KAMACITE (accesso iniziale) ed ELECTRUM (esecuzione finale). Questa divisione del lavoro consente maggiore flessibilità e persistenza negli ambienti OT (Operational Technology).

L’attacco rappresenta il primo caso documentato di cyber-attacco su larga scala contro risorse energetiche distribuite (DER), colpendo sistemi di comunicazione e controllo critici per le operazioni di rete. Sebbene non si siano verificati blackout, gli aggressori hanno dimostrato capacità di accesso a sistemi OT strategici.

La metodologia evidenzia l’evoluzione delle minacce cyber contro infrastrutture critiche, richiedendo ai DPO approcci di sicurezza stratificati e monitoraggio continuo dei sistemi industriali.

Fonte

Sandworm colpisce ancora: dieci anni dopo l’Ucraina

ESET ha attribuito con “media confidenza” l’attacco alla Polonia al gruppo Sandworm, unità del GRU russo specializzata in sabotaggi informatici. L’attacco è stato cronometrato per coincidere con il decimo anniversario del primo blackout causato da malware in Ucraina nel 2015.

Il malware DynoWiper utilizzato conferma la firma operativa di Sandworm, che ha una lunga storia nell’uso di strumenti distruttivi come CaddyWiper e WhisperGate contro infrastrutture critiche. L’attacco mirava a interrompere le comunicazioni tra sistemi rinnovabili e operatori di distribuzione energetica.

L’incidente sottolinea come le tensioni geopolitiche si traducano in minacce cyber concrete per infrastrutture civili, rendendo essenziale per i DPO considerare il contesto geopolitico nella valutazione dei rischi e nell’implementazione di misure protettive.

Fonte

Dispositivi ICS compromessi irreversibilmente

SecurityWeek riporta che l’attacco russo ha causato danni permanenti a dispositivi di controllo industriale (ICS) presso 30 siti energetici polacchi. I sistemi di comunicazione e controllo sono stati “brickati” - resi completamente inutilizzabili - attraverso l’impiego mirato di malware distruttivo.

L’incident rappresenta un’escalation significativa nelle tattiche di cyber-warfare, dove l’obiettivo non è più solo l’interruzione temporanea dei servizi, ma la distruzione fisica dell’hardware critico. Questo approccio aumenta esponenzialmente i costi di ripristino e i tempi di recovery.

Per i DPO, l’evento evidenzia la necessità di implementare strategie di backup hardware e procedure di disaster recovery che contemplino la distruzione totale dei sistemi primari, oltre a valutare assicurazioni cyber specifiche per danni fisici.

Fonte

Implicazioni strategiche per la sicurezza delle infrastrutture critiche

Il secondo rapporto di SecurityWeek conferma l’attribuzione dell’attacco al gruppo Sandworm, evidenziando come dieci anni dopo il primo successo in Ucraina, il gruppo abbia affinato le proprie capacità distruttive. L’uso di data-wiping malware rappresenta un’evoluzione tattica significativa.

L’attacco dimostra che i gruppi APT state-sponsored stanno intensificando le operazioni contro alleati della NATO, utilizzando le infrastrutture energetiche come vettori di pressione geopolitica. La Polonia, forte sostenitrice dell’Ucraina, diventa così bersaglio di ritorsioni cyber.

Questo scenario richiede ai DPO una revisione completa delle minacce, considerando non solo aspetti tecnici ma anche implicazioni geopolitiche nella gestione del rischio cyber, implementando controlli specifici per minacce state-sponsored.

Fonte

TECH & INNOVAZIONE

L’autorità austriaca per la protezione dei dati (DSB) ha stabilito che Microsoft ha violato il GDPR installando illegalmente cookie di tracciamento sui dispositivi di uno studente minorenne che utilizzava Microsoft 365 Education. I cookie in questione analizzano il comportamento degli utenti, raccolgono dati del browser e vengono utilizzati per scopi pubblicitari.

La decisione, ottenuta dal gruppo di campagna None of Your Business (noyb), evidenzia un problema critico: né la scuola né il Ministero dell’Educazione austriaco erano a conoscenza del tracciamento. Microsoft ha ora quattro settimane per cessare l’uso di questi cookie sui dispositivi del minore.

Per i DPO, questo caso sottolinea l’importanza di condurre valutazioni approfondite dei fornitori di servizi educativi e di non delegare completamente la responsabilità della conformità GDPR alle piattaforme tecnologiche, specialmente quando si tratta di dati di minori.

Fonte

RICERCA SCIENTIFICA

Selezione dei paper più rilevanti della settimana da arXiv su AI, Machine Learning e Privacy

Machine Unlearning e Privacy

Per-parameter Task Arithmetic for Unlearning in Large Language Models - Nuovo approccio per rimuovere informazioni private dai modelli linguistici attraverso sottrazione selettiva di parametri. La tecnica riduce il “sovra-oblio” che può compromettere altre funzionalità del modello. Cruciale per il rispetto del diritto alla cancellazione previsto dal GDPR. arXiv

Representation Unlearning: Forgetting through Information Compression - Framework innovativo che opera direttamente nello spazio delle rappresentazioni del modello invece di modificare i parametri. Promette maggiore stabilità e efficienza computazionale per la rimozione di dati sensibili, elemento fondamentale per la conformità privacy. arXiv

From Logits to Latents: Contrastive Representation Shaping for LLM Unlearning - Introduce CLReg, un regolarizzatore contrastivo che identifica e separa concetti da dimenticare nelle rappresentazioni interne. Affronta il problema della persistenza di informazioni sensibili nelle rappresentazioni latente, critico per audit di conformità. arXiv

Sicurezza e Vulnerabilità AI

RedSage: A Cybersecurity Generalist LLM - Modello linguistico specializzato per operazioni di cybersecurity, addestrato su 11.8B token di dati specifici del dominio. Offre alternative privacy-preserving rispetto alle API proprietarie per organizzazioni che gestiscono dati sensibili e devono rispettare requisiti di localizzazione. arXiv

The Trojan in the Vocabulary: Stealthy Sabotage of LLM Composition - Dimostra vulnerabilità critiche nel processo di “tokenizer transplant” utilizzato per combinare modelli da diverse fonti. Evidenzia rischi per la supply chain dell’AI e necessità di controlli di sicurezza approfonditi prima dell’implementazione aziendale. arXiv

Hardware-Triggered Backdoors - Rivela come variazioni numeriche nell’hardware possano essere sfruttate per creare backdoor nei modelli ML. Solleva questioni critiche sulla verifica dell’integrità dei modelli e necessità di controlli hardware nelle valutazioni di impatto algoritmico. arXiv

Privacy e Generazione Dati

SmartMeterFM: Unifying Smart Meter Data Generative Tasks Using Flow Matching Models - Framework per generazione di dati sintetici da smart meter, affrontando limitazioni dovute a regolamentazioni privacy. Rilevante per utilities che devono bilanciare utilità operativa e protezione dati personali sotto normative settoriali. arXiv

Membership Inference Attacks Against Fine-tuned Diffusion Language Models - Prima analisi sistematica degli attacchi di inferenza su modelli di diffusione linguistici, identificando nuove vulnerabilità privacy. Essenziale per DPO che valutano rischi di re-identificazione in sistemi basati su questi modelli emergenti. arXiv

AI ACT IN PILLOLE - Parte 5

Articolo 10 - Dati e governance dei dati

Dopo aver esaminato nella Parte 4 l’Articolo 9 relativo al sistema di gestione dei rischi, proseguiamo il nostro viaggio attraverso l’AI Act analizzando l’Articolo 10, che disciplina uno degli aspetti più critici per lo sviluppo di sistemi di IA ad alto rischio: i dati e la loro governance.

Il cuore dell’Articolo 10

L’Articolo 10 stabilisce requisiti stringenti per i set di dati utilizzati nell’addestramento, validazione e test dei sistemi di IA ad alto rischio. La norma riconosce che la qualità dei dati è determinante per il comportamento e le prestazioni di un sistema di intelligenza artificiale: dati di scarsa qualità, non rappresentativi o contenenti bias possono tradursi in decisioni discriminatorie o errate con impatti significativi sui diritti fondamentali delle persone.

Governance e pratiche di gestione dei dati

Il paragrafo 2 dell’Articolo 10 elenca gli elementi che devono essere oggetto di pratiche di governance appropriate:

  • Scelte progettuali rilevanti: le decisioni architetturali che influenzano la raccolta e l’uso dei dati
  • Processi di raccolta e origine dei dati: inclusa, per i dati personali, la finalità originaria della raccolta
  • Operazioni di preparazione: annotazione, etichettatura, pulizia, aggiornamento, arricchimento e aggregazione
  • Formulazione delle ipotesi: in particolare riguardo a cosa i dati dovrebbero misurare e rappresentare
  • Valutazione della disponibilità e adeguatezza: quantità e idoneità dei set di dati necessari
  • Esame dei possibili bias: in particolare quelli che possono incidere su salute, sicurezza, diritti fondamentali o condurre a discriminazioni vietate dal diritto dell’Unione
  • Misure appropriate per rilevare, prevenire e mitigare i bias identificati
  • Identificazione di lacune o carenze che impediscono la conformità al Regolamento

Requisiti di qualità dei dati

Il paragrafo 3 stabilisce che i set di dati devono essere:

  • Pertinenti rispetto alla finalità prevista
  • Sufficientemente rappresentativi della popolazione o dei gruppi su cui il sistema sarà utilizzato
  • Privi di errori nella misura del possibile
  • Completi in relazione allo scopo previsto
  • Dotati delle proprietà statistiche appropriate, incluse quelle relative alle persone o ai gruppi interessati

L’eccezione per i dati sensibili (paragrafo 5)

Una delle disposizioni più innovative e discusse è il paragrafo 5, che consente eccezionalmente ai fornitori di trattare categorie particolari di dati personali (dati sensibili ai sensi del GDPR) quando ciò sia strettamente necessario per rilevare e correggere i bias. Questa previsione riconosce una realtà pratica: per verificare se un sistema discrimina, ad esempio, in base all’origine etnica o alla religione, può essere necessario disporre di tali informazioni.

Tuttavia, questo trattamento è soggetto a condizioni rigorose:

  • Il rilevamento dei bias non può essere effettuato efficacemente con dati sintetici o anonimizzati
  • Devono essere applicate limitazioni tecniche al riutilizzo dei dati
  • Devono essere implementate misure di sicurezza e privacy allo stato dell’arte, inclusa la pseudonimizzazione
  • I dati devono essere protetti con controlli rigorosi sull’accesso
  • I dati sensibili non possono essere trasmessi o trasferiti ad altre parti
  • I dati devono essere cancellati una volta corretto il bias o al termine del periodo di conservazione
  • I registri delle attività di trattamento devono documentare le ragioni per cui il trattamento era strettamente necessario

Implicazioni pratiche per le organizzazioni

Per i DPO e i responsabili della compliance AI, l’Articolo 10 impone:

  1. Documentazione rigorosa: ogni fase del ciclo di vita dei dati deve essere tracciata e documentata
  2. Valutazioni d’impatto integrate: le DPIA dovranno essere coordinate con le valutazioni di conformità AI Act
  3. Competenze multidisciplinari: la governance dei dati richiede collaborazione tra data scientist, legali e esperti di etica
  4. Audit periodici: verifiche regolari sulla qualità dei dati e sulla presenza di bias
  5. Procedure per il trattamento di dati sensibili: policy specifiche quando si utilizzano categorie particolari di dati per la correzione dei bias

Verso l’Articolo 11

L’Articolo 10 rappresenta il fondamento su cui si costruisce la qualità e l’affidabilità dei sistemi di IA ad alto rischio. Nella prossima puntata, analizzeremo l’Articolo 11, che disciplina la documentazione tecnica che i fornitori devono predisporre per dimostrare la conformità dei propri sistemi ai requisiti del Regolamento.

DAL BLOG NICFAB

Il costo nascosto del digitale

31 gennaio 2026

Una riflessione personale sull’impatto ambientale del digitale e dell’AI. Dalla carta ai data center: abbiamo sostituito un problema visibile con uno invisibile. Consapevolezza senza illusioni.

Leggi l’articolo completo

Data Protection Day 2026: 45 anni di Convention 108 e la sfida di mantenere alta la guardia

28 gennaio 2026

Il 28 gennaio 2026 celebriamo il Data Protection Day, anniversario della Convention 108. Tra proposte di revisione del GDPR, semplificazioni e nuove tecnologie, la protezione dei dati personali richiede vigilanza costante.

Leggi l’articolo completo

EVENTI E INCONTRI SEGNALATI

Implementation of the Data Act: Workshop on guidelines on selected definitions (pubblicato il 26 gennaio 2026)

European Commission | Info

Meeting with NOYB (pubblicato il 27 gennaio 2026)

EDPB | Info

Apply AI sectoral deep dive - robotics & manufacturing (pubblicato il 27 gennaio 2026)

European Commission | Info

Data Protection Day 2026: keeping children’s personal data safe online (pubblicato il 28 gennaio 2026)

EDPB | Info

Stakeholder event on political advertising: express your interest (pubblicato il 29 gennaio 2026)

EDPB | Info

Info Day: Building an ecosystem for GenAI in Public Administrations (pubblicato il 9 febbraio 2026)

European Commission | Info

Data takes flight: Navigating privacy at the airport (pubblicato il 12 febbraio 2026)

EDPS | Info

The 15th annual Data Protection and Privacy Conference - Forum Europe (pubblicato il 17 marzo 2026)

EDPB | Info

Happy Data Protection Day 2026!

EDPS | Info

Conclusione

Il Data Protection Day 2026 ha segnato un punto di svolta strategico nelle politiche europee di protezione dati, con le autorità di controllo che consolidano un approccio dual-track sempre più sofisticato: da un lato intensificano l’enforcement nel mondo del lavoro e della comunicazione pubblica, dall’altro investono massicciamente nell’educazione preventiva, specialmente verso i minori.

La decisione della Commissione Europea di riconoscere l’adeguatezza del Brasile rappresenta molto più di un semplice atto amministrativo. Si tratta della prima grande espansione geografica del regime di adeguatezza post-Brexit, che apre scenari inediti per i trasferimenti internazionali verso l’America Latina. Questa mossa strategica, combinata con l’aggiornamento delle FAQ EU-US Data Privacy Framework, ridisegna la mappa globale dei flussi di dati e offre alle multinazionali nuove opzioni per la localizzazione dei servizi cloud e delle operations digitali.

Nel contesto domestico, il Garante italiano mostra una crescente assertività nell’interpretare il GDPR in chiave sociale e lavorativa. Il divieto del controllo dello stile di guida dei lavoratori e le sanzioni per l’accesso illegittimo alle email aziendali confermano un trend già osservato nelle settimane precedenti: il workplace privacy non è più terreno di compromessi tecnici ma di principi fondamentali. Le organizzazioni che ancora considerano il monitoraggio dei dipendenti come una questione meramente tecnologica rischiano di trovarsi impreparate di fronte a un enforcement sempre più rigoroso.

Particolarmente significativa è l’attenzione convergente che EDPB, EDPS e autorità nazionali dedicano alla protezione dei minori online. L’evento stakeholder sulla pubblicità politica, il focus su AI companions e bambini, e l’aggiornamento dei vademecum per le scuole rivelano una strategia coordinata che va oltre la semplice compliance GDPR. Le autorità sembrano aver compreso che la prossima frontiera della data protection si gioca sulla formazione di una “cultura della privacy” nelle nuove generazioni, un approccio che potrebbe rivelarsi più efficace delle sole sanzioni ex post.

L’indagine della Commissione su X e Grok sotto il Digital Services Act introduce un elemento di particolare complessità. La sovrapposizione tra violazioni GDPR, DSA e potenziali violazioni del Digital Markets Act crea un panorama normativo stratificato che richiede competenze trasversali. Per gli studi legali specializzati, questo scenario apre opportunità ma impone anche la necessità di sviluppare expertise integrate che spaziano dal data protection al diritto della concorrenza digitale.

L’attacco informatico russo alla rete elettrica polacca, con il conseguente danneggiamento di dispositivi industriali, solleva questioni urgenti sulla convergenza tra cybersecurity e protezione dati. Gli incidenti cyber che colpiscono infrastrutture critiche non generano solo rischi operativi ma anche massicce esposizioni di dati personali, creando scenari di breach notification particolarmente complessi quando coinvolgono aspetti di sicurezza nazionale.

Il caso Microsoft sui cookies nelle scuole austriache rappresenta un campanello d’allarme per il settore EdTech. La decisione delle autorità olandesi di alzare l’attenzione sulla sovranità tecnologica europea si inserisce in un dibattito più ampio sulla dipendenza delle istituzioni pubbliche da fornitori extra-UE. Questo sviluppo potrebbe anticipare restrizioni più severe per i contratti pubblici nel settore digitale.

La multa di 5 milioni di euro a France Travail dimostra che nemmeno gli enti pubblici godono di immunità di fronte alle violazioni GDPR. Questo precedente francese potrebbe incoraggiare altre autorità europee ad alzare il livello di enforcement verso il settore pubblico, tradizionalmente considerato meno esposto a sanzioni significative.

L’emergere del nuovo Regolamento UE sui casi transfrontalieri promette di semplificare procedure che spesso si trasformavano in labirinti burocratici. Tuttavia, rimane da vedere se questo strumento riuscirà effettivamente ad accelerare i tempi di risoluzione dei reclami o se introdurrà nuove complessità procedurali.

La settimana lascia aperti interrogativi fondamentali: riuscirà l’approccio educativo a ridurre effettivamente il carico sanzionatorio futuro? Come si evolverà l’equilibrio tra sovranità digitale europea e competitività globale? E soprattutto, le organizzazioni sono pronte ad affrontare un enforcement sempre più sofisticato che integra multiple normative digitali?

📧 A cura di Nicola Fabiano
Avvocato - Studio Legale Fabiano

🌐 Studio Legale Fabiano: https://www.fabiano.law
🌐 Blog: https://www.nicfab.eu
🌐 DAPPREMO: www.dappremo.eu

Partnership

Law & Technology
Caffè 2.0 Privacy Podcast

Iscriviti alla newsletter su nicfab.eu

Segui le nostre news su questi canali:
Telegram Telegram → @nicfabnews
Matrix Matrix → #nicfabnews:matrix.org
Mastodon Mastodon → @nicfab@fosstodon.org
Bluesky Bluesky → @nicfab.eu