Newsletter #13 - 24 marzo 2026

Leggi sul sito

---

NicFab Newsletter

Numero 13 | 24 marzo 2026

Privacy, Data Protection, AI e Cybersecurity

---

Benvenuti al numero 13 della newsletter settimanale dedicata alla privacy, alla data protection, all’intelligenza artificiale, alla cybersecurity e all’etica. Ogni martedì troverete una selezione ragionata delle notizie più rilevanti della settimana precedente, con un focus su sviluppi normativi europei, giurisprudenza, enforcement e innovazione tecnologica.

---

In questo numero

---

GARANTE PRIVACY ITALIA

Tribunale di Roma: annullata la sanzione a OpenAI

Il Garante per la protezione dei dati personali aveva reso noto il 20 dicembre 2024 il provvedimento n. 755 del 2 novembre 2024 nei confronti di OpenAI, irrogando una sanzione da 15 milioni di euro per presunte violazioni del GDPR legate a ChatGPT. OpenAI aveva impugnato il provvedimento e ottenuto la sospensione cautelare nel marzo 2025.

Nella pagina del comunicato del Garante relativo a quel provvedimento è ora apposta una nota secondo cui il provvedimento n. 755 del 2 novembre 2024 è stato temporaneamente rimosso dal sito a seguito della sentenza del Tribunale di Roma n. 4153/2026, pubblicata il 18 marzo 2026, con la quale è stata accolta l’opposizione proposta avverso il provvedimento del Garante. Il testo integrale della sentenza non risulta pubblicamente disponibile; le motivazioni non sono allo stato note.

Per i DPO, questa pronuncia segnala che i tribunali stanno acquisendo un ruolo sempre più centrale nella definizione dei confini tra GDPR e intelligenza artificiale, affiancando le autorità di controllo in un terreno normativo ancora in costruzione. La questione della base giuridica per l’addestramento dei modelli AI rimane aperta sul piano giurisprudenziale europeo.

Fonte istituzionale — Garante Privacy

Fonte stampa — Reuters

Approfondimento — HWUpgrade

Nuovo episodio del podcast “A proposito di privacy” sui dossier sanitari

Il Garante Privacy ha pubblicato il sesto episodio del podcast “A proposito di privacy”, dedicato al tema dei dossier sanitari. L’iniziativa conferma l’impegno dell’Autorità nella divulgazione e sensibilizzazione sui temi della protezione dati attraverso canali digitali più accessibili.

Il focus sui dossier sanitari è particolarmente rilevante considerando la crescente digitalizzazione del settore sanitario e le numerose sfide privacy correlate. Per i DPO operanti in ambito sanitario, questo contenuto può fornire chiarimenti utili sulle best practice e sui principali adempimenti normativi in un settore ad alta sensibilità dei dati trattati.

Fonte

---

EDPB - COMITATO EUROPEO PROTEZIONE DATI

CEF 2026: azione coordinata su trasparenza e obblighi informativi

L’EDPB ha lanciato l’azione del Coordinated Enforcement Framework per il 2026, focalizzandosi sulla conformità agli obblighi di trasparenza e informazione previsti dagli articoli 12, 13 e 14 del GDPR. Dopo l’azione del 2025 sul diritto alla cancellazione, venticinque Autorità di controllo europee — incluso il Garante italiano — valuteranno la compliance dei titolari attraverso azioni di enforcement ed esercizi fact-finding. La CNIL francese coordinerà l’iniziativa a livello europeo.

Le verifiche avverranno tramite questionari inviati a titolari del trattamento operanti in diversi settori: pubblico, assicurativo-finanziario, sanitario, utilities e marketing, con eventuali follow-up mirati. L’iniziativa mira a verificare come i titolari informino gli interessati sul trattamento dei loro dati in forma concisa, trasparente e facilmente accessibile, come richiesto dagli articoli 5, 12, 13 e 14 del GDPR. I risultati delle singole Autorità confluiranno in un report EDPB nella seconda metà dell’anno, che potrà indicare ulteriori iniziative di approfondimento a livello nazionale ed europeo.

I DPO devono prepararsi a possibili verifiche, rivedendo le informative privacy e i processi di comunicazione con gli interessati per assicurare piena conformità agli obblighi informativi.

Fonte EDPB

|

Fonte Garante

|

Fonte CNIL

Parere congiunto EDPB-EDPS 4/2026 su Cybersecurity Act 2 e NIS2

L’EDPB e l’EDPS hanno adottato il parere congiunto 4/2026 sulla proposta della Commissione per un Cybersecurity Act 2 e sugli emendamenti alla Direttiva NIS2. Il documento sottolinea l’interconnessione reciproca tra protezione dati e cybersicurezza, evidenziando come le misure di sicurezza debbano essere implementate senza compromettere i diritti fondamentali degli individui.

Il parere accoglie favorevolmente il rafforzamento del ruolo di ENISA e la facilitazione dell’adozione di certificazioni di cybersicurezza. Particolare attenzione è dedicata alla coordinazione tra ENISA ed EDPB, con la previsione di consultazioni preventive per garantire una chiara divisione delle responsabilità. Le autorità di protezione dati entrano nel merito della regolamentazione cybersecurity con competenza specifica, segnalando una convergenza istituzionale che va oltre la mera consultazione formale.

Per i DPO, questa iniziativa rappresenta un’opportunità per rafforzare l’approccio integrato tra sicurezza e privacy, richiedendo una maggiore collaborazione tra funzioni tecniche e compliance.

Fonte

---

EDPS - GARANTE EUROPEO PROTEZIONE DATI

Towards trustworthy AI in the EU public administration: The EDPS Compass for its new role under the AI Act

L’EDPS ha pubblicato una guida strategica per l’implementazione di sistemi di IA affidabili nelle pubbliche amministrazioni europee, delineando il proprio nuovo ruolo sotto l’AI Act. Il documento fornisce orientamenti pratici per garantire che l’adozione dell’IA nel settore pubblico rispetti i principi di trasparenza, equità e protezione dei diritti fondamentali.

La guida assume particolare rilevanza per i DPO del settore pubblico, che dovranno coordinare gli adempimenti dell’AI Act con quelli del GDPR. L’EDPS enfatizza l’importanza di valutazioni d’impatto integrate e di meccanismi di governance che tengano conto di entrambi i framework normativi, richiedendo competenze trasversali sempre più specializzate.

Fonte

High-Level Debate: “From Omnibus to Opportunity: Driving Data Protection and Innovation”

L’EDPS, insieme ai garanti tedesco e bavarese, organizzerà l'8 giugno 2026 un dibattito ad alto livello sulle proposte Omnibus della Commissione Europea e le loro implicazioni per il GDPR. L’evento, che si terrà presso la Rappresentanza della Baviera a Bruxelles, esplorerà come le modifiche normative possano conciliare protezione dati e innovazione.

Il dibattito rappresenta un’opportunità cruciale per i DPO di comprendere le future evoluzioni del quadro normativo europeo. Le proposte Omnibus potrebbero infatti introdurre significative modifiche al GDPR, richiedendo un aggiornamento delle procedure interne e delle competenze professionali. La partecipazione a questi eventi di alto profilo diventa essenziale per anticipare i cambiamenti normativi.

Fonte

---

CNIL - AUTORITÀ FRANCESE

Dispositivi di captazione sonora e videosorveglianza

La CNIL chiarisce le regole per l’uso di dispositivi di captazione audio abbinati alla videosorveglianza. Mentre la registrazione audio integrata nelle telecamere rimane vietata, è possibile installare sistemi separati in luoghi accessibili al pubblico, ma non sulla via pubblica.

I dispositivi sono consentiti solo se non interconnessi automaticamente con le telecamere, attivabili manualmente in caso di aggressione e utilizzabili esclusivamente dal personale direttamente minacciato. Devono inoltre rispettare i principi di necessità, proporzionalità e conformità GDPR.

I DPO dovranno valutare attentamente l’implementazione di tali sistemi, documentando la necessità specifica, implementando controlli tecnici adeguati e assicurando formazione appropriata al personale autorizzato all’attivazione.

Fonte

Ordine del giorno seduta plenaria 19 marzo 2026

La seduta plenaria della CNIL del 19 marzo ha affrontato importanti aggiornamenti normativi. Tra i punti principali: l’evoluzione delle metodologie di riferimento per la ricerca medica, con nuove deliberazioni su MR-001 e MR-003, e una raccomandazione sulla sicurezza dei sistemi di voto elettronico per corrispondenza.

Sono stati inoltre esaminati progetti di decreto riguardanti il software per la redazione delle procedure della polizia nazionale (LRPPN) e le modalità di elezione elettronica per gli ordini delle professioni mediche. La sessione ha incluso anche autorizzazioni per agenti CNIL e pareri su trattamenti per ricerca scientifica.

Per i DPO del settore sanitario e delle istituzioni pubbliche, questi sviluppi offrono nuove linee guida operative e framework di riferimento per assicurare la conformità normativa nei rispettivi ambiti.

Fonte

---

PARLAMENTO EUROPEO

Ok del Parlamento europeo al rinvio di alcune norme sull’intelligenza artificiale

I deputati europei hanno approvato una proposta per posticipare l’applicazione di alcune regole dell’AI Act, riconoscendo che gli standard tecnici chiave potrebbero non essere pronti entro la scadenza del 2 agosto 2026. Le nuove date proposte prevedono il 2 dicembre 2027 per i sistemi ad alto rischio in settori critici come biometria, infrastrutture e giustizia, e l’agosto 2028 per i sistemi coperti dalla legislazione settoriale UE.

Particolarmente rilevante per i DPO è l’introduzione del divieto per i sistemi “nudifier” che creano immagini intimate senza consenso, e le nuove disposizioni che permettono di processare dati personali per rilevare bias nei sistemi AI, seppur con garanzie stringenti. Queste modifiche offrono maggiore flessibilità alle aziende mantenendo la protezione dei diritti fondamentali.

Fonte

Chat Control: nessuna intesa tra Parlamento UE e Consiglio

Il Parlamento europeo e il Consiglio dell’UE non hanno raggiunto un’intesa sulla proroga della deroga alle norme privacy che consentiva alle piattaforme di effettuare la scansione volontaria delle comunicazioni private per individuare materiale pedopornografico (CSAM). La deroga, prorogata dal Parlamento fino ad agosto 2027 con vincoli molto più stringenti rispetto alle versioni precedenti, non ha trovato il necessario accordo con il Consiglio, che ha preferito non accettare la versione alleggerita approvata da Strasburgo.

Con la scadenza del 3 aprile 2026 della misura eccezionale, viene meno la base giuridica che permetteva ai fornitori di servizi digitali di effettuare controlli su larga scala sulle comunicazioni private. Il riferimento torna al quadro ordinario fondato su GDPR e direttiva ePrivacy. Il Parlamento ha nel frattempo consolidato due principi rilevanti: tutela della crittografia end-to-end da logiche di controllo sistematico, e applicazione del principio di proporzionalità orientato verso contenuti già noti o soggetti già individuati dalle autorità.

Per i DPO, il mancato accordo implica che le piattaforme non potranno più contare su una deroga esplicita per le attività di detection e dovranno ricondurre qualsiasi trattamento a tale scopo nell’alveo del GDPR e della direttiva ePrivacy, con tutte le conseguenze in termini di base giuridica e proporzionalità.

Fonte

Semplificare la reportistica cybersecurity: il meccanismo Single-Entry Point

Il Digital Omnibus propone l’implementazione di un meccanismo Single-Entry Point (SEP) per semplificare gli obblighi di reportistica cybersecurity. Attualmente, le aziende devono navigare attraverso multiple procedure di segnalazione con autorità, scadenze e requisiti diversi, creando significativi oneri amministrativi.

Il SEP permetterebbe di soddisfare gli obblighi di reportistica previsti da diverse normative UE attraverso un processo unificato. Per i DPO, questa iniziativa rappresenta un importante passo verso la riduzione della complessità regolamentare, particolarmente rilevante considerando l’aumento degli attacchi cyber che sfruttano l’AI per compromettere i sistemi di sicurezza e violare la protezione dei dati personali.

Fonte

Sandbox regolatorie AI: sfide nell’implementazione

L’AI Act obbliga gli Stati membri a stabilire almeno una sandbox regolatoria AI, ambienti controllati per testare la conformità dei sistemi AI. Tuttavia, i ricercatori hanno identificato sfide significative relative a design, frammentazione e tempistiche di implementazione.

Questi ambienti di test rappresentano un’opportunità cruciale per i DPO di comprendere meglio l’impatto dei sistemi AI sulla protezione dati prima della loro implementazione su larga scala. Le sandbox potrebbero facilitare lo sviluppo di best practice per la conformità simultanea all’AI Act e al GDPR, permettendo di identificare e risolvere potenziali conflitti normativi in un contesto controllato.

Fonte

Enforcement dell’AI Act: modello ibrido di controllo

L’AI Act adottato nel 2024 stabilisce un modello di enforcement ibrido che divide le responsabilità tra Stati membri e Commissione europea. Mentre le regole per i sistemi AI ad alto rischio sono applicate a livello nazionale, la supervisione dei modelli GPAI è esclusivamente della Commissione.

Questo approccio decentralizzato dominante potrebbe portare a un’applicazione non uniforme nell’UE, creando incertezze per i DPO che operano in contesti multinazionali. Il modello differisce significativamente da quello del GDPR con il suo meccanismo “one-stop shop”, suggerendo la necessità di sviluppare strategie di compliance più articolate per gestire le diverse autorità competenti.

Fonte

Quadro normativo AI: sistemi e modelli general-purpose

L’AI Act regola sia i sistemi AI che i modelli general-purpose (GPAI), applicando un approccio basato sul rischio che distingue tra rischi inaccettabili, alti, di trasparenza e minimi. I modelli GPAI con rischi sistemici, come GPT-5 e Gemini 3, sono soggetti a requisiti aggiuntivi di valutazione e assessment del rischio.

Per i DPO, questa stratificazione regolatoria richiede una comprensione approfondita delle diverse categorie di rischio e dei relativi obblighi. La classificazione dei sistemi AI impatta direttamente sulle misure di protezione dati da implementare, rendendo essenziale una valutazione accurata del livello di rischio per garantire conformità sia all’AI Act sia al GDPR.

Fonte

---

CONSIGLIO DELL’UNIONE EUROPEA

Cybersecurity Act 2: Consultazione del Comitato Economico e Sociale

Il Consiglio dell’UE ha avviato la consultazione del Comitato Economico e Sociale Europeo sulla proposta di regolamento per il “Cybersecurity Act 2”, che andrà a sostituire l’attuale Regolamento 2019/881. La nuova normativa punta a rafforzare il ruolo dell’Agenzia europea per la cybersicurezza (ENISA) e a introdurre un framework più robusto per la certificazione della cybersicurezza.

Particolare attenzione viene dedicata alla sicurezza della supply chain ICT, tema di crescente rilevanza per i DPO che devono valutare i rischi derivanti dai fornitori tecnologici. La proposta introduce misure specifiche per garantire maggiore trasparenza e controllo lungo tutta la catena di fornitura, con potenziali impatti significativi sui processi di due diligence e valutazione dei fornitori.

Fonte

Parere congiunto sui servizi legali per il Cybersecurity Act 2

Il documento presenta il parere congiunto dei servizi legali del Consiglio sulla proposta di regolamento ENISA e sulla relativa direttiva di modifica della NIS2. Questo parere tecnico-giuridico fornisce chiarimenti interpretativi cruciali per comprendere l’interazione tra le nuove norme di cybersicurezza e l’attuale framework normativo.

Per i DPO, l’analisi dei servizi legali rappresenta una fonte preziosa per anticipare le modalità di implementazione pratica delle nuove disposizioni. Il parere evidenzia le aree di potenziale sovrapposizione o conflitto tra diverse normative, aspetto fondamentale per pianificare strategie di compliance integrate e coerenti.

Fonte

Consultazione su modifiche alla Direttiva NIS2

Il Consiglio ha contestualmente avviato la consultazione del Comitato Economico e Sociale anche sulla proposta di direttiva che modifica la NIS2 per allinearla al nuovo Cybersecurity Act 2. Le modifiche proposte puntano a semplificare gli adempimenti e a garantire coerenza normativa nel panorama della cybersicurezza europea.

Le misure di semplificazione potrebbero alleggerire alcuni oneri amministrativi per le organizzazioni soggette alla NIS2, tema di particolare interesse per i DPO che operano in settori critici. L’allineamento normativo dovrebbe inoltre ridurre le ambiguità interpretative e facilitare l’implementazione di sistemi di gestione integrati per cybersicurezza e protezione dati.

Fonte

---

CORTE DI GIUSTIZIA UE

Caso C-371/24: Limiti alla raccolta di dati biometrici nelle indagini penali

La Corte di Giustizia ha stabilito criteri stringenti per la raccolta di dati biometrici da parte delle autorità di polizia durante le indagini penali. Il principio di stretta necessarietà diventa il banco di prova per valutare la legittimità di tali operazioni, richiedendo una valutazione caso per caso della proporzionalità tra l’obiettivo investigativo e l’invasività della misura.

Per i DPO che operano in contesti di sicurezza pubblica o collaborano con le forze dell’ordine, questa sentenza rafforza l’importanza di implementare procedure rigorose di valutazione preliminare. È essenziale documentare accuratamente le ragioni che giustificano la raccolta biometrica e assicurarsi che esistano alternative meno invasive prima di procedere.

Fonte

Caso C-526/24: Richieste di accesso abusive e risarcimenti GDPR

La Corte ha chiarito quando una richiesta di accesso ai dati personali possa essere considerata abusiva, specificatamente quando presentata con il solo intento di creare i presupposti per successive richieste di risarcimento per presunte violazioni del GDPR. Questa decisione offre ai titolari del trattamento uno strumento difensivo contro pratiche opportunistiche.

La sentenza fornisce ai DPO criteri oggettivi per valutare la genuinità delle richieste di accesso, permettendo di identificare pattern comportamentali che suggeriscono intenti meramente risarcitori. Tuttavia, rimane fondamentale mantenere un approccio equilibrato che non comprometta i diritti legittimi degli interessati di accedere ai propri dati.

Fonte

---

DIGITAL MARKETS & PLATFORM REGULATION

X paga la multa UE da 120 milioni di euro

Elon Musk’s X ha rispettato la scadenza per la multa di 120 milioni di euro imposta dall’UE a dicembre, confermando la cooperazione con la Commissione Europea nonostante il ricorso legale in corso. La sanzione deriva dalla violazione del Digital Services Act per il design delle verifiche blu e mancanze negli obblighi di trasparenza.

Per i DPO, questo caso evidenzia l’importanza del compliance proattivo: X ha dovuto presentare proposte correttive entro marzo per le verifiche e avrà tempo fino ad aprile per rimediare alle violazioni su pubblicità e trasparenza dei dati. La strategia di pagare mantenendo l’appello dimostra come le aziende possano bilanciare conformità immediata e contestazione legale delle decisioni regolatorie.

Fonte

Congresso USA richiede comunicazioni private Big Tech-UE

Il Comitato Giudiziario del Congresso USA ha intimato alle Big Tech di fornire tutte le comunicazioni con funzionari UE sull’applicazione del Digital Services Act, inclusi messaggi auto-cancellanti. L’iniziativa segue le rivelazioni che i funzionari UE usano Signal con messaggi a scomparsa automatica per evitare pressioni americane.

Per i DPO operanti internazionalmente, questo caso sottolinea la necessità di politiche chiare sulla conservazione delle comunicazioni istituzionali. Le comunicazioni con regolatori potrebbero essere soggette a disclosure in giurisdizioni diverse, richiedendo strategie di document retention che bilancino trasparenza, riservatezza operativa e compliance multi-giurisdizionale.

Fonte

---

SVILUPPI INTERNAZIONALI

Il Future of Privacy Forum ha organizzato un tavolo di discussione sull’AgeTech, evidenziando le tensioni tra privacy individuale e supporto assistenziale per gli anziani. Le tecnologie emergenti raccolgono dati altamente sensibili (salute, localizzazione, comportamenti) in cambio della possibilità di vivere più a lungo in autonomia domestica.

Le sfide principali includono la gestione del consenso spesso delegata ai caregiver, compromettendo l’autonomia dell’assistito, e le impostazioni predefinite che possono influenzare inconsapevolmente le decisioni degli utenti. L’AI presenta un ruolo duale: può sia facilitare le frodi contro gli anziani sia aiutare a rilevarle.

Per i DPO, questo settore richiede particolare attenzione alla progettazione di controlli collaborativi che bilancino accesso dei caregiver e autonomia degli interessati, considerando i dati degli anziani come categoria speciale che necessita protezioni rafforzate.

Fonte

Privacy Papers for Policymakers 2026: focus su AI e governance

Il Future of Privacy Forum ha concluso la 16ª edizione del programma “Privacy Papers for Policymakers”, presentando ricerche innovative su privacy e governance dell’AI. L’iniziativa ha premiato sette lavori principali che analizzano questioni emergenti e propongono soluzioni concrete per il policy-making.

Gli eventi virtuali hanno riunito accademici di prestigiose università (Princeton, Northwestern, Chicago) con esperti di industria e società civile, discutendo approcci normativi volontari negli USA, linee rosse dell’EU AI Act, e riforme sulla protezione dei dati in Africa.

Il programma rappresenta un ponte cruciale tra ricerca accademica e applicazione pratica per i professionisti della privacy. I DPO possono trovare in questi studi strumenti analitici avanzati per affrontare le sfide normative attuali, particolarmente utili per comprendere l’evoluzione del panorama regolamentare internazionale.

Fonte

UE sanziona tre entità e due individui per cyberattacchi contro gli Stati membri

Il Consiglio dell’Unione europea ha adottato il 16 marzo 2026 nuove misure restrittive contro tre entità e due individui ritenuti responsabili di cyberattacchi che minacciano l’Unione o i suoi Stati membri. Tra i soggetti colpiti figurano le società cinesi Integrity Technology Group e Anxun Information Technology (i-Soon), nonché la società iraniana Emennet Pasargad.

Secondo il Consiglio, Emennet Pasargad è stata coinvolta in attività di cyberattacco e campagne di manipolazione dell’informazione, comprese operazioni collegate a Charlie Hebdo e ai Giochi olimpici di Parigi 2024. Le due entità cinesi sono invece indicate dal Consiglio come fornitrici di prodotti e servizi di hacking impiegati contro dispositivi, infrastrutture critiche e funzioni critiche negli Stati membri e in paesi terzi.

Per i DPO, queste misure confermano la necessità di integrare il rischio geopolitico nelle valutazioni sui fornitori, nelle analisi di sicurezza e nelle strategie di governance dei trasferimenti internazionali di dati.

Fonte istituzionale — Consiglio dell’Unione europea

Fonte stampa — Dark Reading

---

INTELLIGENZA ARTIFICIALE

Red Lines under the EU AI Act: Understanding the ban of the untargeted scraping of facial images and facial recognition databases

L’AI Act introduce un divieto specifico per i sistemi di IA che creano o espandono database di riconoscimento facciale attraverso il “scraping non mirato” di immagini facciali da Internet o filmati CCTV. Questa disposizione (Articolo 5(1)(e)) si concentra sulle attività preparatorie al riconoscimento facciale vero e proprio, considerandole pratiche particolarmente intrusive che alimentano la percezione di sorveglianza di massa.

La distinzione tra scraping “mirato” e “non mirato” è cruciale per i DPO, poiché delimita chiaramente l’ambito di applicazione del divieto. Mentre il primo rimane consentito sotto certe condizioni, il secondo è categoricamente vietato. Questa regolamentazione si integra con il GDPR esistente, creando un framework normativo stratificato che richiede particolare attenzione nell’implementazione di sistemi di riconoscimento facciale e nella gestione dei relativi database.

Fonte

---

CYBERSECURITY

CISA Aggiunge Vulnerabilità Apple, Craft CMS e Laravel al Catalogo KEV

CISA ha inserito cinque vulnerabilità critiche nel catalogo Known Exploited Vulnerabilities, richiedendo alle agenzie federali di applicare le patch entro il 3 aprile 2026. Tra queste spiccano tre flaw Apple (WebKit e kernel) con punteggi CVSS fino a 8.8, una vulnerabilità Craft CMS con score 10.0 e un bug Laravel Livewire da 9.8.

L’aspetto più preoccupante per i DPO riguarda l’exploit kit iOS “DarkSword” che sfrutta le vulnerabilità Apple per distribuire malware come GHOSTBLADE per il furto di dati. Il bug Craft CMS è stato sfruttato come zero-day dal febbraio 2025, mentre quello Laravel è attribuito al gruppo iraniano MuddyWater in attacchi contro infrastrutture critiche diplomatiche ed energetiche.

Fonte

CISA Ordina Patch Immediata per Vulnerabilità Critica Cisco

CISA ha ordinato alle agenzie federali di correggere entro domenica 22 marzo la vulnerabilità CVE-2026-20131 (CVSS 10.0) in Cisco Secure Firewall Management Center. Il bug consente l’esecuzione di codice Java arbitrario come root senza autenticazione attraverso la deserializzazione non sicura nell’interfaccia web.

Amazon ha confermato lo sfruttamento attivo da parte del gruppo ransomware Interlock già da fine gennaio 2026, oltre un mese prima della pubblicazione della patch. Per i DPO è cruciale notare che Cisco FMC gestisce sistemi di sicurezza critici come firewall e protezione malware, rendendo questa vulnerabilità particolarmente pericolosa per l’integrità dell’infrastruttura di sicurezza aziendale.

Fonte

Oracle Rilascia Patch d’Emergenza per Identity Manager

Oracle ha pubblicato un aggiornamento di sicurezza fuori programma per correggere CVE-2026-21992, una vulnerabilità critica (CVSS 9.8) in Identity Manager e Web Services Manager che consente l’esecuzione remota di codice senza autenticazione. Il bug è sfruttabile remotamente via HTTP con bassa complessità e senza interazione utente.

La criticità per i DPO deriva dal ruolo centrale di Oracle Identity Manager nella gestione delle identità e degli accessi aziendali. Una compromissione potrebbe esporre l’intera infrastruttura di identity governance, compromettendo la conformità GDPR e altri framework normativi. Oracle raccomanda l’applicazione immediata delle patch, disponibili solo per versioni sotto supporto Premier o Extended.

Fonte

Vulnerabilità Langflow Sfruttata in Poche Ore dalla Disclosure

Una vulnerabilità critica in Langflow (CVE-2026-33017, CVSS 9.3) è stata sfruttata dai threat actor solo 20 ore dopo la divulgazione pubblica. Il framework open source per AI agent presenta un bug nell’endpoint POST che consente l’esecuzione di codice Python non autenticato attraverso definizioni di nodo manipolate.

Sysdig ha osservato tre fasi di attacco: scansioni automatizzate da quattro IP, ricognizione attiva con infrastruttura pre-allestita, ed esfiltrazione dati verso server C&C comuni. Per i DPO è fondamentale considerare che gli attaccanti mirano al furto di chiavi e credenziali per database connessi, potenzialmente preparando attacchi alla supply chain. La rapidità di exploitation sottolinea l’importanza di patch management proattivo per framework AI.

Fonte

DoJ Smantella Botnet IoT da 3 Milioni di Dispositivi

Il Dipartimento di Giustizia americano ha smantellato l’infrastruttura di comando e controllo di quattro botnet IoT (AISURU, Kimwolf, JackSkid, Mossad) che controllavano oltre 3 milioni di dispositivi compromessi. Le botnet hanno lanciato attacchi DDoS record da 31.4 Tbps, sfruttando principalmente dispositivi Android come smart TV e set-top box.

L’operazione, supportata da Canada, Germania e aziende private, ha rivelato un modello “cybercrime-as-a-service” che vendeva accesso ai dispositivi compromessi. Per i DPO è cruciale comprendere che centinaia di migliaia di dispositivi negli Stati Uniti erano coinvolti, evidenziando l’importanza della sicurezza IoT nell’ecosistema aziendale e la necessità di politiche di gestione dispositivi che includano anche apparecchiature tradizionalmente considerate “non critiche”.

Fonte

---

TECH & INNOVAZIONE

Delve accusata di “finta compliance” dai clienti

Una denuncia anonima pubblicata su Substack accusa la startup Delve di aver ingannato centinaia di clienti facendo loro credere di essere conformi alle normative privacy e sicurezza, potenzialmente esponendoli a responsabilità penali sotto HIPAA e pesanti sanzioni GDPR. La startup, supportata da Y Combinator con un Series A da 32 milioni di dollari, avrebbe fornito “false evidenze di meeting, test e processi mai avvenuti”.

L’accusatore, identificato come “DeepDelver” e presumibilmente ex-cliente, sostiene che Delve raggiunga la sua velocità dichiarata producendo documentazione fasulla e saltando requisiti fondamentali dei framework normativi. La compagnia ha respinto le accuse definendole “fuorvianti” e contenenti “affermazioni imprecise”.

Per i DPO, questo caso evidenzia l’importanza di verificare accuratamente le credenziali dei fornitori di compliance e di non affidarsi ciecamente a soluzioni “tutto incluso” senza una dovuta diligenza approfondita.

Fonte

---

RICERCA SCIENTIFICA

Selezione dei paper più rilevanti della settimana da arXiv su AI, Machine Learning e Privacy

Rilevamento e Verifica dell’AI

Automatic detection of Gen-AI texts: A comparative framework of neural models

La crescente proliferazione dei Large Language Models rende sempre più difficile distinguere tra testi umani e generati da AI. Lo studio presenta un framework comparativo di quattro architetture neurali per il rilevamento automatico di contenuti AI-generati, affrontando questioni critiche per domini accademici, editoriali e sociali.

arXiv

NANOZK: Layerwise Zero-Knowledge Proofs for Verifiable Large Language Model Inference

Presenta un sistema di proof crittografiche zero-knowledge per rendere verificabile l’inferenza dei LLM. Gli utenti possono confermare crittograficamente che il modello dichiarato sia stato effettivamente utilizzato, prevenendo sostituzioni con modelli più economici o risposte cached. Fondamentale per la trasparenza algoritmica e compliance.

arXiv

Real-Time Trustworthiness Scoring for LLM Structured Outputs and Data Extraction

CONSTRUCT offre un metodo per valutare in tempo reale l’affidabilità degli output strutturati dei LLM, identificando dove concentrare la revisione umana. Essenziale per applicazioni enterprise dove errori sporadici ostacolano l’adozione dell’AI e richiedono meccanismi di controllo per la governance.

arXiv

Privacy-Preserving Machine Learning

Informationally Compressive Anonymization: Non-Degrading Sensitive Input Protection

Introduce l’Anonymization Compressiva Informazionale (ICA) come alternativa alle tecniche tradizionali di privacy-preserving ML. Supera le limitazioni di Differential Privacy e Homomorphic Encryption che degradano performance o richiedono overhead computazionale proibitivo, mantenendo protezione dei dati sensibili senza compromessi prestazionali.

arXiv

Bias e Fairness negli LLM

Vulnerability of LLMs’ Stated Beliefs? LLMs Belief Resistance Check

Valuta sistematicamente la suscettibilità dei LLM alla persuasione attraverso il framework comunicativo Source-Message-Channel-Receiver. Dimostra come i LLM possano adottare credenze controfattuali, sollevando preoccupazioni critiche per l’affidabilità delle risposte in contesti decisionali sensibili e compliance.

arXiv

When Names Change Verdicts: Intervention Consistency Reveals Systematic Bias

ICE-Guard rileva dipendenze spurie nei LLM attraverso test di consistenza: bias demografici, di autorità e di framing. Analizza 3.000 vignette in 10 domini ad alto rischio, evidenziando come caratteristiche irrilevanti influenzino decisioni critiche, con implicazioni significative per equità e non-discriminazione.

arXiv

Implicit Grading Bias in Large Language Models

Investiga i bias impliciti nei LLM utilizzati come valutatori automatici in ambito educativo. Lo studio dimostra che lo stile di scrittura influenza le valutazioni anche quando la correttezza del contenuto rimane costante, sollevando preoccupazioni critiche per fairness e equità nell’automazione valutativa.

arXiv

Sicurezza e Contenuti Dannosi

SynBullying: A Multi LLM Synthetic Conversational Dataset for Cyberbullying Detection

Presenta un dataset sintetico multi-LLM per lo studio del cyberbullying, offrendo un’alternativa scalabile ed eticamente sicura alla raccolta dati umani. Fornisce strutture conversazionali multi-turno e annotazioni context-aware, essenziali per sviluppare sistemi di moderazione conformi alle normative su contenuti dannosi.

arXiv

---

AI ACT IN PILLOLE - Parte 13

Articolo 17 - Il sistema di gestione della qualità

Dopo aver esaminato nella Parte 12 l’Articolo 16 e il catalogo degli obblighi operativi dei fornitori di sistemi di IA ad alto rischio — dalla documentazione tecnica ai sistemi di logging, dalla valutazione di conformità alla cooperazione con le autorità — ci addentriamo ora in una delle disposizioni più strutturali dell’intero impianto normativo: l’Articolo 17, che disciplina il sistema di gestione della qualità che i fornitori sono tenuti ad adottare.

Si tratta di una norma che per certi versi prefigura l’AI Act come un sistema di management, non solo come un insieme di divieti e obblighi puntuali. La logica è quella già consolidata in altri settori regolamentati — farmaceutico, aeronautico, dispositivi medici — dove la qualità non è un attributo del prodotto finito ma un processo organizzativo continuo.

Un sistema, non un documento

L’Articolo 17 richiede ai fornitori di istituire, documentare, implementare, monitorare, mantenere e migliorare continuamente un sistema di gestione della qualità. La scelta del verbo “migliorare” non è casuale: il legislatore europeo ha mutuato dalla norma ISO 9001 la logica del ciclo PDCA (Plan-Do-Check-Act), imponendo un approccio dinamico alla compliance che supera la visione statica della semplice certificazione.

Il sistema deve essere proporzionato alle dimensioni dell’organizzazione del fornitore, il che rappresenta un elemento di flessibilità importante per le PMI che si trovano ad affrontare obblighi normalmente concepiti per grandi organizzazioni. Tuttavia, la proporzionalità riguarda le modalità di implementazione, non la sostanza degli obblighi.

I contenuti minimi del sistema di gestione della qualità

L’Articolo 17 individua con precisione gli elementi che il sistema di gestione della qualità deve necessariamente comprendere. In primo luogo, una strategia di conformità normativa che specifichi come il fornitore garantirà il rispetto dell’AI Act e degli altri atti normativi applicabili, incluso il GDPR quando il sistema di IA tratta dati personali.

Il sistema deve includere tecniche, procedure e azioni sistematiche per la progettazione e il controllo del sistema di IA, nonché tecniche per la verifica, la validazione e i test dei sistemi. Questo elemento è di particolare rilevanza per i DPO, poiché implica che i test di conformità al GDPR — dalla DPIA alla verifica delle misure di sicurezza — debbano essere integrati nel ciclo di sviluppo del sistema di IA fin dalle fasi iniziali, non aggiunti ex post.

Il sistema deve prevedere procedure per la gestione dei dati, incluse le procedure relative all’acquisizione, all’annotazione, alla pulizia e all’arricchimento dei dati di addestramento. Per i professionisti della protezione dati, questi requisiti si sovrappongono direttamente agli obblighi GDPR sulla qualità e sulla minimizzazione dei dati, creando un’area di convergenza normativa che richiede coordinamento tra team tecnici e compliance.

Gestione del rischio, monitoraggio e miglioramento

Il sistema di gestione della qualità deve comprendere un sistema di gestione del rischio come previsto dall’Articolo 9, ma in chiave più ampia: non solo i rischi per gli utenti e i terzi, ma anche i rischi operativi e di compliance. Deve inoltre includere procedure per la gestione delle modifiche apportate al sistema durante il suo ciclo di vita, aspetto critico poiché molti sistemi di IA evolvono nel tempo attraverso aggiornamenti e fine-tuning.

Fondamentale è anche il sistema per la comunicazione di incidenti gravi, che si raccorda con gli obblighi di segnalazione previsti dall’AI Act e, per i sistemi che trattano dati personali, con le notifiche di violazione previste dall’Articolo 33 del GDPR. I DPO dovranno definire procedure coordinate che soddisfino entrambi i framework, evitando duplicazioni e garantendo la completezza delle segnalazioni.

Documentazione e conservazione

Il sistema di gestione della qualità deve essere documentato in modo sistematico, con politiche e procedure redatte per iscritto. La documentazione deve essere conservata per un periodo di almeno dieci anni dall’immissione sul mercato del sistema di IA, termine che si prolunga a quindici anni per i sistemi di identificazione biometrica remota. Queste scadenze si intersecano con i periodi di conservazione previsti dal GDPR per le documentazioni correlate, richiedendo una pianificazione integrata delle politiche di retention.

Implicazioni pratiche per i DPO

L’Articolo 17 trasforma la compliance all’AI Act da un adempimento una tantum in un processo organizzativo permanente. Per i DPO, questo significa che il loro ruolo non si esaurisce nella predisposizione iniziale della documentazione, ma include la partecipazione continuativa al sistema di gestione della qualità: dalle revisioni periodiche delle politiche di trattamento dati integrate nel sistema, alla verifica dell’aggiornamento delle DPIA quando il sistema di IA viene modificato, fino alla gestione coordinata degli incidenti.

Il raccordo tra il sistema di gestione della qualità dell’AI Act e il registro delle attività di trattamento del GDPR diventa un’esigenza operativa concreta: le organizzazioni che sviluppano o distribuiscono sistemi di IA ad alto rischio dovranno garantire la coerenza tra i due sistemi documentali, evitando che emergano disallineamenti nelle informazioni relative agli stessi trattamenti di dati.

Nella prossima puntata analizzeremo l’Articolo 18, che disciplina gli obblighi di conservazione della documentazione, completando così il quadro degli adempimenti documentali fondamentali previsti dall’AI Act per i fornitori di sistemi ad alto rischio.

---

Prompting giuridico: metodo, non magia

Il Legal Prompting non è semplicemente usare ChatGPT o un altro modello linguistico per fare ricerche giuridiche. È qualcosa di più preciso e più esigente: è la capacità di formulare istruzioni strutturate ai modelli di linguaggio tenendo conto della gerarchia delle fonti, del ragionamento giuridico, della deontologia professionale e delle implicazioni pratiche per il cliente o per l’organizzazione.

La differenza tra un prompt generico e un prompt giuridicamente strutturato non sta nella tecnologia — sta nel metodo. E il metodo richiede competenza giuridica solida: non si può delegare al modello ciò che non si è in grado di valutare criticamente.

Tre premesse che torneranno in ogni puntata di questa rubrica. Prima: i modelli linguistici non ragionano come i giuristi — costruiscono output plausibili, non necessariamente corretti dal punto di vista giuridico. La supervisione umana è un obbligo deontologico, non un’opzione. Seconda: il contesto normativo europeo — AI Act, GDPR, codici deontologici, Legge 132/2025 — pone limiti precisi all’uso dell’AI in ambito professionale che il professionista deve conoscere prima ancora di aprire un’interfaccia. Terza: la scelta del modello e dell’infrastruttura (locale vs cloud) non è una questione tecnica ma una questione di compliance, di segreto professionale e di responsabilità.

Nei prossimi numeri: tecniche avanzate di prompting per l’analisi normativa, RAG e i suoi rischi nel legal, come strutturare prompt per provvedimenti del Garante e sentenze della Corte di Giustizia, e come integrare il Legal Prompting nei processi di compliance aziendale senza creare rischi aggiuntivi.

Per approfondire le basi:

Legal Prompting: la nuova frontiera dell’AI in ambito giuridico

---

PODCAST

Il tema del Legal Prompting arriva anche in formato audio. Il primo episodio dedicato a questa rubrica introduce il concetto, le premesse metodologiche e il percorso che svilupperemo nelle prossime settimane — pensato per chi preferisce ascoltare durante gli spostamenti o vuole approfondire in un formato diverso dalla lettura.

Ascolta l’episodio

---

DAL BLOG NICFAB

AI Act: i regulatory sandbox tra obbligo normativo e vuoto attuativo

20 marzo 2026

Ad agosto 2025, un solo Stato membro su ventisette disponeva di un sandbox operativo. Un'analisi critica delle sfide di design, frammentazione e timing, con tutte le fonti citate nel documento EPRS PE 785.673.

Leggi l’articolo completo

AI Act: il modello di enforcement ibrido tra norme e realtà

19 marzo 2026

A marzo 2026, solo 8 Stati membri su 27 hanno designato i propri punti di contatto unici. Un'analisi critica del modello ibrido di enforcement tra livello nazionale e AI Office, con un confronto strutturale con il GDPR.

Leggi l’articolo completo

Il Consiglio UE sanziona tre entità e due individui per cyber-attacchi contro gli Stati membri

18 marzo 2026

Analisi della decisione del Consiglio UE del 16 marzo 2026 che impone misure restrittive contro tre entità cinesi e iraniane per cyber-attacchi contro gli Stati membri.

Leggi l’articolo completo

Diritto d’autore e IA generativa: la Risoluzione del Parlamento europeo tra principi e lacune operative

16 marzo 2026

Il Parlamento europeo ha approvato il 10 marzo 2026 la Risoluzione P10_TA(2026)0066 sul diritto d'autore e l'IA generativa. Un'analisi critica tra principi condivisibili e deficit operativi che la Commissione è chiamata a colmare.

Leggi l’articolo completo

---

Eventi e incontri segnalati

EDPB-EDPS Joint Opinion on the Proposal for a Cybersecurity Act 2 and the Proposal on amendments to the NIS 2 Directive (pubblicato il 18 marzo 2026)

EDPS |

Info

EDPB and EDPS support strengthening EU’s cybersecurity and easing compliance while protecting individuals’ personal data (pubblicato il 19 marzo 2026)

EDPB |

Info

CEF 2026: EDPB launches coordinated enforcement action on transparency and information obligations under the GDPR (pubblicato il 19 marzo 2026)

EDPB |

Info

Apply AI webinars sectoral deep dive - Agrifood, climate & environment (pubblicato il 19 marzo 2026)

European Commission |

Info

AI for 3D Digital Twins in Cultural Heritage: Stakeholder Forum (evento del 23 marzo 2026)

European Commission |

Info

Blog post: Advancing into Practice: Third Meeting of the AI Act Correspondents Network

EDPS |

Info

Commission holds first meeting of Special Panel on child safety online

European Commission |

Info

European Union endorses Leaders’ Declaration at AI Summit in India

European Commission |

Info

---

Conclusione

Il coordinamento europeo entra in una nuova fase di maturità, con l’EDPB che lancia il CEF 2026 sui fondamentali della trasparenza mentre parallelamente costruisce ponti strategici con la cybersecurity attraverso l’opinione congiunta sul Cybersecurity Act 2. Emerge un quadro dove l’enforcement diventa più sistematico e le barriere tra discipline normative si assottigliano progressivamente.

La scelta dell’EDPB di concentrare l’azione coordinata 2026 su trasparenza e obblighi informativi segna un ritorno alle origini dopo anni di focus sui diritti più mediatici. Venticinque autorità di controllo verificheranno simultaneamente la qualità delle informative privacy, un’operazione che avrà impatti diretti sulla compliance aziendale. Non si tratta di un tema secondario: la trasparenza costituisce il presupposto di ogni altro diritto GDPR, e la sua inadeguatezza può compromettere l’intera architettura di protezione dati di un’organizzazione.

La pronuncia del Tribunale di Roma che annulla la sanzione da 15 milioni di euro a OpenAI è probabilmente la notizia più significativa della settimana per chi opera nel settore. Le motivazioni non sono ancora pubblicate, ma l’effetto è immediato: per la prima volta un tribunale italiano annulla un provvedimento sanzionatorio del Garante su un tema — la base giuridica per l’addestramento dei modelli AI — che è al centro del dibattito normativo europeo. Questo non significa che l’approccio del Garante fosse necessariamente errato, né che OpenAI sia esente da obblighi GDPR. Significa che il confine tra liceità e illiceità nel trattamento di dati per l’addestramento dell’AI è ancora in fase di definizione giurisprudenziale, e che i tribunali stanno acquisendo un ruolo determinante in questa definizione accanto alle autorità di controllo.

Il mancato accordo sul Chat Control tra Parlamento e Consiglio introduce un’altra complessità operativa rilevante: dal 3 aprile 2026 le piattaforme non potranno più contare su una deroga esplicita per le attività di rilevamento del materiale pedopornografico e dovranno ricondurre qualsiasi trattamento nell’alveo ordinario di GDPR e direttiva ePrivacy. Per i DPO dei fornitori di servizi di comunicazione elettronica, questo richiede una revisione urgente delle basi giuridiche attualmente utilizzate.

L’opinione congiunta EDPB-EDPS sul Cybersecurity Act 2 rappresenta forse la novità più significativa sul piano istituzionale, segnalando una convergenza che va oltre la mera consultazione formale. Le autorità di protezione dati entrano nel merito della regolamentazione cybersecurity con competenza specifica, superando l’approccio tradizionale dove privacy e sicurezza informatica procedevano su binari paralleli. Questa integrazione diventa cruciale considerando che molte violazioni di dati originano da incidenti di sicurezza, e che le misure di cybersecurity spesso comportano trattamenti di dati personali significativi.

Sul versante enforcement internazionale, la vicenda di X che coopera con la multa di 120 milioni di euro segna un precedente importante. Nonostante la retorica anti-regolatoria, la compliance con le tempistiche europee dimostra la forza deterrente del framework normativo UE. Le nuove sanzioni UE contro tre entità e due individui collegati a cyberattacchi confermano un approccio sempre più assertivo, con implicazioni dirette per le valutazioni di rischio geopolitico nei processi di due diligence sui fornitori.

Sul versante cybersecurity, le vulnerabilità critiche in Cisco FMC (CVSS 10.0), Oracle Identity Manager (CVSS 9.8) e Langflow — quest’ultima sfruttata 20 ore dopo la divulgazione — confermano che il patch management proattivo non è più un’opzione. Lo smantellamento della botnet IoT da 3 milioni di dispositivi da parte del DoJ ricorda che anche i dispositivi apparentemente non critici possono diventare vettori di attacco su larga scala.

Per i professionisti della compliance, questa settimana delinea priorità chiare: preparazione immediata per il CEF 2026 sulla trasparenza, revisione delle basi giuridiche per le attività di detection dopo il mancato accordo sul Chat Control, monitoraggio delle motivazioni della sentenza OpenAI che ridisegneranno i confini dell’applicazione del GDPR all’AI, e integrazione crescente tra privacy e cybersecurity nei programmi di conformità. La sfida principale rimane quella di gestire la complessità crescente di un ecosistema normativo sempre più interconnesso, dove le decisioni prese in un ambito hanno ripercussioni immediate sugli altri.

Resta aperta la questione fondamentale: l’Europa riuscirà a mantenere la leadership normativa senza soffocare l’innovazione tecnologica? La risposta determinerà non solo il futuro del digitale europeo, ma anche l’equilibrio globale tra progresso tecnologico e protezione dei diritti fondamentali.

---

📧 A cura di Nicola Fabiano

Avvocato - Studio Legale Fabiano

🌐 Studio Legale Fabiano:

https://www.fabiano.law

🌐 Blog:

https://www.nicfab.eu

🌐 DAPPREMO:

www.dappremo.eu

---

Supporter

https://lawandtechnology.eu/

https://caffe20.it/

https://privacykit.it/

---

Iscriviti alla newsletter su

nicfab.eu

Segui le nostre news su questi canali:

Telegram

Telegram →

@nicfabnews

Matrix

Matrix →

#nicfabnews:matrix.org

Mastodon

Mastodon →

@nicfab@fosstodon.org

Bluesky

Bluesky →

@nicfab.eu

---

.newsletter-subscription-box {

max-width: 600px;

margin: 2.5rem auto;

padding: 2.5rem;

background: linear-gradient(135deg, #f8f9fa 0%, #e9ecef 100%);

border-radius: 12px;

border: 2px solid #7f1d1d;

box-shadow: 0 4px 6px rgba(0,0,0,0.1);

}

.newsletter-form-group {

margin-bottom: 1.5rem;

}

.newsletter-form-label {

display: block;

font-size: 1.1rem;

font-weight: 700;

margin-bottom: 0.75rem;

color: #1a1a1a;

}

.newsletter-form-input {

width: 100%;

padding: 1rem;

border: 2px solid #ddd;

border-radius: 8px;

font-size: 1rem;

transition: all 0.3s ease;

box-sizing: border-box;

}

.newsletter-form-input:focus {

outline: none;

border-color: #7f1d1d;

box-shadow: 0 0 0 4px rgba(127, 29, 29, 0.1);

}

.newsletter-captcha-group {

margin-bottom: 1.5rem;

display: flex;

justify-content: center;

}

.newsletter-submit-btn {

width: 100%;

padding: 1.25rem;

background: #7f1d1d;

color: white;

border: none;

border-radius: 8px;

font-size: 1.1rem;

font-weight: 700;

cursor: pointer;

transition: all 0.3s ease;

text-transform: uppercase;

letter-spacing: 0.5px;

}

.newsletter-submit-btn:hover {

background: #991b1b;

transform: translateY(-2px);

box-shadow: 0 4px 12px rgba(127, 29, 29, 0.3);

}

.newsletter-submit-btn:disabled {

background: #9ca3af;

cursor: not-allowed;

transform: none;

box-shadow: none;

}

.newsletter-privacy-notice {

margin-top: 1.5rem;

text-align: center;

font-size: 0.9rem;

color: #666;

line-height: 1.6;

}

.newsletter-privacy-notice a {

color: #7f1d1d;

text-decoration: underline;

font-weight: 600;

}

Indirizzo Email *

Nome

Iscriviti alla Newsletter

Rispettiamo la tua privacy. Double opt-in obbligatorio. Disiscrizione in qualsiasi momento.

Informativa Privacy

---

Torna all'elenco newsletter

Sezione italiana

Home

Proxied content from gemini://nicfab.eu/it/newsletterit/2026/2026-03-24-issue-13_it.gmi

Gemini request details:

Original URL
gemini://nicfab.eu/it/newsletterit/2026/2026-03-24-issue-13_it.gmi
Status code
Success
Meta
text/gemini;lang=en-US
Proxied by
kineto

Be advised that no attempt was made to verify the remote SSL certificate.