Newsletter #18 - 28 aprile 2026

Leggi sul sito

---

NicFab Newsletter

Numero 18 | 28 aprile 2026

Privacy, Data Protection, AI e Cybersecurity

---

Benvenuti al numero 18 della newsletter settimanale dedicata alla privacy, alla data protection, all’intelligenza artificiale, alla cybersecurity e all’etica. Ogni martedì troverete una selezione ragionata delle notizie più rilevanti della settimana precedente, con un focus su sviluppi normativi europei, giurisprudenza, enforcement e innovazione tecnologica.

---

In questo numero

---

GARANTE PRIVACY ITALIA

Prostituzione a Milano: il Garante richiama i media al rispetto della privacy

Il Garante privacy ha richiamato i media al rigoroso rispetto della normativa sulla protezione dei dati personali nella copertura dell’inchiesta sulle “escort di lusso” a Milano. L’Autorità ha sottolineato come la diffusione dei nomi delle persone coinvolte, anche se non indagate, possa ledere la riservatezza e la dignità degli interessati.

Il richiamo si concentra sul principio di essenzialità dell’informazione: la diffusione di dati personali deve limitarsi a quanto strettamente indispensabile per la comprensione dei fatti di cronaca, evitando riferimenti eccedenti o non pertinenti. Per chi opera nel settore editoriale - giornalisti, direttori responsabili, DPO e legali interni - il caso ribadisce un principio operativo: bilanciare il diritto di cronaca con la tutela della privacy non è una formula generica, ma significa selezionare ciò che è davvero indispensabile alla comprensione del fatto e tagliare il resto.

Fonte

Linee guida sui tracking pixel nelle email: nuovi obblighi per gli operatori

Con il provvedimento n. 284 del 17 aprile 2026, diffuso con comunicato del 21 aprile 2026, il Garante ha adottato le Linee guida sull’uso dei tracking pixel nelle email, quelle minuscole immagini trasparenti che rilevano l’apertura dei messaggi e raccolgono dati sui comportamenti degli utenti. L’Autorità riconduce il loro impiego all’art. 122 del Codice privacy, con l’effetto che, nei casi ordinari, l’utilizzo richiede consenso preventivo, libero, specifico e informato, con eccezioni limitate per finalità di sicurezza, esigenze tecniche strettamente necessarie o comunicazioni istituzionali e di servizio.

Le nuove regole impongono obblighi di trasparenza informativa e modalità semplici per la revoca del consenso, anche granulare. I soggetti interessati - dai provider email ai gestori di piattaforme per l’invio massivo - hanno sei mesi dalla pubblicazione in Gazzetta Ufficiale per adeguarsi. Per professionisti privacy, compliance officer, marketing manager e responsabili IT, il provvedimento richiede una revisione delle pratiche di email marketing e l’adozione di misure di privacy by design - ad esempio identificativi inintelligibili e non sequenziali, separati dall’indirizzo del destinatario in un layer interno della piattaforma - per ridurre l’identificabilità degli utenti e limitare la circolazione dei dati personali.

Fonte

Poste Italiane e Postepay sanzionate per oltre 12,5 milioni di euro

Con il provvedimento n. 237 del 17 aprile 2026, comunicato il 20 aprile 2026, il Garante ha irrogato sanzioni per complessivi 12.501.000 euro: 6.624.000 euro a Poste Italiane S.p.A. e 5.877.000 euro a Postepay S.p.A., per il trattamento illecito dei dati personali di milioni di utenti tramite le app BancoPosta e Postepay (poi dismesse nel 2025 e sostituite dalla nuova app unica di Poste Italiane). Le applicazioni richiedevano obbligatoriamente, come condizione per l’utilizzo dei servizi, l’autorizzazione al monitoraggio di una serie di dati contenuti nei dispositivi mobili, incluse le applicazioni installate e in esecuzione, al fine di individuare software malevoli.

L’Autorità ha rilevato un’ingerenza eccessivamente invasiva nella sfera privata degli utenti, non strettamente necessaria rispetto alle finalità di prevenzione frodi. Sono emerse inoltre carenze nell’informativa, assenza di DPIA, inadeguate misure di sicurezza e politiche di conservazione dei dati, oltre a irregolarità nella designazione del responsabile del trattamento. Poste Italiane ha respinto ogni addebito, contestando il provvedimento sia nel merito sia sotto il profilo procedimentale, e ha annunciato ricorso al Tribunale di Roma, richiamando la sentenza del TAR Lazio del 2 febbraio 2026 che aveva annullato un precedente provvedimento dell’Antitrust sullo stesso dispositivo antifrode. La lezione operativa per chi opera nei servizi finanziari e di pagamento è netta: la sicurezza antifrode non può trasformarsi in sorveglianza generalizzata del dispositivo. Anche quando giustificate da esigenze di compliance normativa, le misure devono superare un test di proporzionalità rispetto ai diritti degli interessati.

Fonte

---

EDPB - COMITATO EUROPEO PROTEZIONE DATI

Stakeholder event on competition and data protection: save the date

L’EDPB ha annunciato un evento per stakeholder dedicato all’intersezione tra diritto della concorrenza e protezione dei dati personali. L’iniziativa si inserisce nel lavoro congiunto con la Commissione Europea per sviluppare linee guida su questo tema sempre più rilevante nell’era digitale.

L’evento è un’occasione significativa per professionisti privacy, compliance officer, consulenti antitrust e legali interni di contribuire alla definizione di un quadro che potrebbe influenzare le strategie di conformità aziendale. La convergenza tra regolamentazione antitrust e privacy sta diventando un terreno operativo, soprattutto per le grandi piattaforme tecnologiche: vale la pena monitorare gli sviluppi e valutare se la propria organizzazione potrebbe essere interessata dalle future linee guida.

Fonte

Report on the use of SPE external experts in 2025

L’EDPB ha pubblicato il rapporto sull’utilizzo del Support Pool of Experts (SPE) durante il 2025, documento che illustra come il Comitato si sia avvalso di competenze esterne per supportare i propri lavori tecnici e normativi.

Lo strumento rappresenta un modello significativo di collaborazione tra istituzioni e mondo accademico-professionale, permettendo all’EDPB di accedere a expertise specialistiche su tematiche complesse. Per chi segue da vicino l’attività dell’EDPB - DPO, ricercatori, studi legali e organizzazioni che operano in ambito privacy - comprendere i meccanismi del SPE può offrire una lettura più precisa dei processi decisionali del Comitato e suggerire opportunità di contribuzione futura.

Fonte

EDPB Letter to the European Commission regarding INGO registration requirements

L’EDPB ha inviato una lettera ufficiale alla Commissione Europea riguardo ai requisiti di registrazione per le organizzazioni non governative internazionali (INGO), evidenziando possibili implicazioni per la protezione dei dati personali in questo contesto specifico.

La comunicazione segnala l’attenzione del Comitato verso settori spesso trascurati ma centrali per i diritti fondamentali. Le INGO gestiscono frequentemente dati sensibili di categorie vulnerabili, rendendo necessario un approccio bilanciato tra trasparenza amministrativa e protezione della privacy. Per chi opera nel terzo settore - DPO, responsabili compliance e legali di organizzazioni umanitarie e di advocacy - vale la pena monitorare gli sviluppi di questa interlocuzione istituzionale.

Fonte

---

EDPS - SUPERVISORE EUROPEO PROTEZIONE DATI

EDPB ed EDPS sostengono il European Biotech Act, con richiesta di garanzie sui dati sanitari

EDPB ed EDPS hanno adottato un parere congiunto sulla proposta di European Biotech Act, esprimendo sostegno all’iniziativa ma chiedendo garanzie specifiche per il trattamento dei dati sanitari. Le due autorità sottolineano la necessità di un quadro coerente con il GDPR e con il futuro European Health Data Space, evitando sovrapposizioni o riduzioni delle tutele.

Per chi opera nel settore sanitario e biotecnologico - direzioni mediche, ricercatori, DPO ospedalieri, compliance officer di aziende farmaceutiche e biotech - il parere offre indicazioni operative su come bilanciare l’esigenza di innovazione e ricerca con la protezione dei diritti fondamentali. Il riferimento ricorrente è alla qualificazione dei dati sanitari come categoria particolare ex art. 9 GDPR, con tutto ciò che ne consegue in termini di base giuridica rafforzata e misure tecniche e organizzative dedicate.

Fonte: EDPS Newsletter n. 119, aprile 2026 — link diretto da verificare

EDPB ed EDPS sulle nuove regole di cybersecurity: sostegno con richiesta di safeguard privacy

EDPB ed EDPS hanno espresso sostegno alle proposte volte a rafforzare le regole di cybersecurity a livello europeo, ma richiamano la necessità di garanzie adeguate per la protezione dei dati personali. Il parere congiunto evidenzia come la sicurezza informatica e la protezione dei dati siano obiettivi complementari e non alternativi.

Le due autorità invitano il legislatore a evitare meccanismi di sorveglianza generalizzata e a garantire proporzionalità nelle misure di raccolta e conservazione dei dati per finalità di sicurezza. Il principio operativo è chiaro: ogni misura di cybersecurity richiede una base giuridica chiara e una valutazione d’impatto, in particolare quando coinvolge il trattamento di dati personali su larga scala. Un richiamo che riguarda direttamente CISO, responsabili sicurezza, DPO e governance digitale.

Fonte: EDPS Newsletter n. 119, aprile 2026 — link diretto da verificare

L’EDPS Compass: il nuovo ruolo dell’EDPS sotto l’AI Act

L’EDPS ha pubblicato l’EDPS Compass, un documento che illustra il nuovo ruolo del Supervisore europeo nell’attuazione dell’AI Act. Il Compass chiarisce competenze, perimetro di intervento e metodologie operative dell’EDPS in qualità di autorità di vigilanza per i sistemi di IA utilizzati dalle istituzioni, organi e organismi dell’Unione.

Per chi opera in contesti istituzionali europei o fornisce sistemi di IA a istituzioni UE - aziende tech, integratori, consulenti AI governance, DPO di organi UE - il documento è una mappa di riferimento per anticipare le linee di intervento del Supervisore. Il Compass mette al centro il coordinamento tra GDPR, EUDPR e AI Act: la conformità privacy resta condizione necessaria, ma non sufficiente, per l’utilizzo di sistemi di IA ad alto rischio.

Fonte: EDPS Newsletter n. 119, aprile 2026 — link diretto da verificare

Blog post EDPS sull’early oversight in giustizia e law enforcement

L’EDPS ha pubblicato un blog post sull’early oversight nei contesti di giustizia e law enforcement, ribadendo il valore del controllo preventivo sui trattamenti di dati personali in questi ambiti particolarmente sensibili. L’intervento si inserisce nel dibattito sulle proposte legislative che incidono sui poteri di indagine e sulla cooperazione tra autorità giudiziarie.

Per DPO degli enti pubblici, autorità competenti, responsabili compliance e legali del settore giustizia, il post offre spunti su come strutturare le procedure interne per garantire un controllo tempestivo e sostanziale sui trattamenti, evitando che le valutazioni d’impatto e i pareri delle DPO arrivino solo a valle delle scelte operative. Il principio è quello dell’integrazione precoce della tutela privacy nei processi decisionali, in linea con la logica privacy by design e con le specificità della direttiva 2016/680.

Fonte: EDPS Newsletter n. 119, aprile 2026 — link diretto da verificare

---

CNIL - AUTORITÀ FRANCESE

Voto per corrispondenza elettronico: aggiornata la raccomandazione CNIL

Con la delibera n. 2026-045 del 19 marzo 2026, pubblicata il 24 aprile 2026, la CNIL ha adottato una versione aggiornata della raccomandazione sulla sicurezza dei sistemi di voto elettronico per corrispondenza, esito di una consultazione pubblica condotta nel 2025. Il documento sostituisce la raccomandazione del 25 aprile 2019 e fornisce un quadro più chiaro e operativo, mantenendo elevati standard di sicurezza, riservatezza e sincerità del voto.

La raccomandazione si rivolge a organismi pubblici e privati che implementano sistemi di voto elettronico, nonché ai fornitori di soluzioni tecnologiche. È previsto un regime transitorio: gli scrutini già in preparazione e previsti nel 2026 - comprese le elezioni dei rappresentanti del personale della funzione pubblica - potranno continuare ad applicare la versione 2019 della raccomandazione, mentre la nuova versione si applica a tutti i nuovi scrutini. Il documento è stato sviluppato in collaborazione con l’ANSSI, che ha pubblicato una guida tecnica complementare per raggiungere gli obiettivi di sicurezza definiti dalla CNIL.

Fonte

Webinar CNIL: nuove regole per il targeting elettorale

La CNIL ha organizzato un webinar dedicato alle nuove regole di targeting elettorale in vista delle elezioni municipali, affrontando le modifiche introdotte dal regolamento sulla trasparenza e il targeting della pubblicità politica mirata. L’evento ha fornito chiarimenti su prospecting politico, targeting degli elettori e obblighi di consenso nelle campagne elettorali.

Il webinar fa parte del piano d’azione della CNIL per proteggere i dati degli elettori e offre guidance pratica agli operatori politici. Per DPO, legali e responsabili comunicazione di organizzazioni coinvolte in attività politiche o sindacali, questi chiarimenti sono operativi per garantire la conformità nelle comunicazioni elettorali, specialmente alla luce delle implicazioni del targeting digitale sui diritti fondamentali degli interessati.

Fonte

---

PARLAMENTO EUROPEO

Impatto dell’intelligenza artificiale sul settore finanziario

Il Parlamento Europeo ha adottato una risoluzione sull’impatto dell’IA nel settore finanziario, delineando le sfide e opportunità emergenti. La risoluzione evidenzia come l’implementazione dell’IA in ambito bancario e assicurativo stia trasformando i processi decisionali, dalla valutazione del credito alla gestione del rischio.

Per professionisti privacy, compliance officer, responsabili rischio e legali del settore bancario e assicurativo, la risoluzione segnala la necessità di garantire trasparenza negli algoritmi decisionali automatizzati, specialmente quando impattano sui diritti fondamentali dei cittadini. Bilanciare innovazione tecnologica e protezione dei dati personali diventa un’attività operativa, che richiede framework di governance robusti per prevenire discriminazioni algoritmiche e garantire il diritto alla spiegabilità.

Fonte

Protezione dei minori online

Il Parlamento ha approvato una risoluzione sulla protezione dei minori online, affrontando le crescenti preoccupazioni legate all’esposizione di bambini e adolescenti a contenuti inappropriati e pratiche dannose nel digitale.

La risoluzione mette l’accento sulla necessità di meccanismi di verifica dell’età più efficaci e di sistemi di controllo parentale avanzati. Per chi opera con dati di minori - DPO di piattaforme digitali, edtech, social media, ma anche legali e responsabili prodotto - emerge la complessità di gestire questi trattamenti nel rispetto del GDPR, bilanciando protezione e privacy. Le piattaforme dovranno adottare approcci privacy-by-design specifici per i giovani utenti.

L’impatto sui social media e servizi online sarà significativo, con revisioni necessarie delle privacy policy e dei sistemi di consenso per garantire protezione adeguata senza compromettere l’esperienza digitale.

Fonte

---

CONSIGLIO DELL’UNIONE EUROPEA

Conclusioni del Consiglio sui docenti nell’era dell’intelligenza artificiale

Il Consiglio dell’Unione Europea ha approvato le conclusioni sulla figura degli insegnanti nell’era dell’IA, delineando le sfide e opportunità che l’intelligenza artificiale porta nel settore educativo. Il documento affronta questioni significative relative alla formazione del personale docente e all’integrazione responsabile delle tecnologie AI nelle pratiche didattiche.

Per chi si occupa di governance digitale nel mondo dell’istruzione - DPO scolastici, dirigenti, responsabili IT di scuole e università, fornitori edtech - lo sviluppo è particolarmente rilevante considerando l’uso crescente di strumenti AI in aula. Le implicazioni privacy sono significative: dall’elaborazione di dati personali degli studenti tramite algoritmi di apprendimento automatico, alla necessità di garantire trasparenza nelle decisioni automatizzate che possono influenzare i percorsi formativi. Il documento sottolinea l’importanza di bilanciare innovazione tecnologica e protezione dei diritti fondamentali.

La formazione degli insegnanti sulla privacy by design negli strumenti AI diventa una leva operativa per assicurare conformità GDPR nell’ambiente educativo del futuro.

Fonte

---

DIGITAL MARKETS & PLATFORM REGULATION

‘Nobody expected them to like it’: DG Comp chief on battling Big Tech

Anthony Whelan, nuovo Direttore Generale della DG Competition, ha offerto una prospettiva schietta sulla regolamentazione delle Big Tech americane. In un’intervista a Euractiv, Whelan ha sottolineato che le aziende tecnologiche “hanno diritto a non gradire” il Digital Markets Act, “ma non hanno diritto a non rispettarlo”. L’irlandese, ex consigliere digitale di von der Leyen, ora si trova al centro di uno dei campi di battaglia più politicizzati di Bruxelles.

Il nuovo DG riconosce l’asimmetria narrativa: le aziende più potenti e ricche del mondo hanno naturalmente più voce nel dibattito politico americano rispetto all’UE. Tuttavia, Whelan evidenzia i primi segnali positivi del DMA, citando app store alternativi e maggiore scelta nei browser come indicatori di cambiamenti nei modelli di business. Per professionisti compliance, legali tech e responsabili regolatori, è un’evoluzione significativa nell’enforcement della compliance digitale europea.

Fonte

---

SVILUPPI INTERNAZIONALI

Partnership UE-USA per la Sicurezza delle Frontiere: Privacy vs Sicurezza

Il Parlamento Europeo sta negoziando un accordo quadro con gli Stati Uniti per mantenere il programma di esenzione visti, che richiederebbe l’accesso americano ai database nazionali europei, inclusi quelli biometrici. L’Enhanced Border Security Partnership rappresenta una sfida fondamentale per chi si occupa di governance digitale: bilanciare le esigenze di sicurezza con la protezione dei dati personali.

Fonte

Resilienza Cyber nell’Era dell’AI: Governance e Supply Chain

L’intelligenza artificiale sta rivoluzionando la cybersecurity, offrendo opportunità di difesa ma creando nuove vulnerabilità. L’analisi del Future of Privacy Forum evidenzia come gli attacchi alla supply chain siano cresciuti dal 15% al 30% delle violazioni nel 2025, raddoppiando in soli due anni. Gli ecosistemi digitali interconnessi amplificano i rischi, come dimostrato dai casi SolarWinds e PyTorch.

L’evoluzione richiede un approccio coordinato alla governance della sicurezza. La gestione dei fornitori diventa centrale: ogni terza parte è una potenziale superficie d’attacco. Servono framework di valutazione del rischio che considerino l’intera catena di fornitura, dall’open source ai provider cloud. L’AI può supportare il monitoraggio automatizzato, ma richiede governance rigorosa per evitare che diventi essa stessa un vettore di rischio. Il punto operativo per CISO, DPO e responsabili supply chain: valutare la terza parte non come adempimento contrattuale, ma come componente attiva della propria postura di sicurezza.

Fonte

SECURE Data Act: Verso uno Standard Federale USA

Il SECURE Data Act è il nuovo tentativo del Congresso americano di creare una legge federale sulla privacy. La proposta adotta un approccio conservativo, basandosi sulle leggi statali più restrittive come quelle di Kentucky e Utah. Include alcuni elementi innovativi: registro federale dei data broker, classificazione dei dati dei minori 13-16 come sensibili, e processo di certificazione per codici di condotta.

L’aspetto più significativo per chi opera in contesti multinazionali è il riconoscimento delle Global Cross-Border Privacy Rules (CBPR) come standard approvato. Tuttavia, il disegno di legge presenta lacune significative: definizione ristretta di dati biometrici, assenza di valutazioni d’impatto obbligatorie, mancato riconoscimento automatico dei segnali di opt-out. La frammentazione normativa americana sembra destinata a continuare, con complessità operative crescenti per le organizzazioni multinazionali che devono navigare tra diversi standard statali. La proposta merita monitoraggio nelle prossime fasi del passaggio al Congresso.

Fonte

Violazione ANTS Francia: 11,7 Milioni di Records Compromessi

L’Agenzia nazionale francese per i documenti sicuri (ANTS) ha confermato una violazione che ha esposto dati di 11,7 milioni di cittadini. L’attacco, rivendicato dal gruppo ‘breach3d’, ha compromesso informazioni sensibili inclusi nomi completi, indirizzi, date di nascita e metadati degli account. L’agenzia gestisce documenti come patenti, carte d’identità e passaporti.

La violazione richiama l’attenzione sulla vulnerabilità delle infrastrutture governative critiche e sull’escalation degli attacchi ai servizi pubblici digitali. La risposta rapida di ANTS, con il coinvolgimento di CNIL, ANSSI e Procura di Parigi, è un modello di gestione degli incidenti, anche se la portata della violazione apre questioni concrete sulla preparedness delle istituzioni pubbliche. Il punto operativo per DPO, CISO e responsabili IT del settore pubblico: i portali che gestiscono dati di milioni di cittadini richiedono controlli di sicurezza calibrati sulla criticità del trattamento, non sulla dimensione dell’ente.

Fonte

---

INTELLIGENZA ARTIFICIALE

AI Digital Omnibus: trilogo verso una fase decisiva, possibile rinvio dell’AI Act

Il negoziato in trilogo sull’AI Digital Omnibus tra Commissione, Parlamento e Consiglio entra in una fase decisiva attorno al 28 aprile 2026. Il pacchetto di semplificazione, parte della più ampia strategia Omnibus avviata dalla Commissione nel 2025 per ridurre gli oneri amministrativi ricorrenti, ha implicazioni dirette sulla tempistica di applicazione dell’AI Act e, di riflesso, sullo sviluppo degli standard armonizzati attualmente in preparazione presso CEN-CENELEC JTC 21.

Tra le possibili modifiche in discussione vi è il rinvio dell’entrata in applicazione di alcune disposizioni: in particolare, gli obblighi relativi ai sistemi di IA ad alto rischio elencati nell’Annesso III, oggi previsti per il 2 agosto 2026, potrebbero essere posticipati. Per professionisti privacy, compliance officer, AI governance specialist e responsabili IT, il quadro è in evoluzione rapida: piani di adeguamento e roadmap di implementazione vanno costruiti con flessibilità, considerando scenari alternativi sulla data effettiva di applicazione.

Fonte

Lettera della società civile contro l’indebolimento dell’AI Act nell’Omnibus

Un gruppo di 34 organizzazioni e singoli rappresentativi della società civile, dei consumatori, di medici, ospedali e servizi sanitari, di organismi di valutazione della conformità e del mondo accademico ha indirizzato una lettera aperta congiunta alla Commissione Europea, alla Presidenza Cipriota del Consiglio UE e ai membri del Parlamento Europeo, esprimendo preoccupazione per le proposte attualmente sul tavolo nell’AI Omnibus che ridurrebbero l’ambito di applicazione e l’efficacia dell’AI Act.

La lettera, coordinata anche da BEUC, si inserisce nel dibattito sulla semplificazione come potenziale deregolamentazione mascherata. Per chi opera nel settore della compliance AI, l’iniziativa segnala la centralità del momento politico: l’esito del trilogo potrà incidere sulle priorità operative dei prossimi mesi, dalla classificazione dei sistemi ad alto rischio agli obblighi di trasparenza, fino ai requisiti di valutazione dell’impatto sui diritti fondamentali.

Fonte

AI Can Autonomously Hack Cloud Systems With Minimal Oversight: Researchers

I ricercatori di Palo Alto Networks hanno sviluppato “Zealot”, un sistema IA capace di condurre attacchi informatici autonomi contro infrastrutture cloud. L’esperimento ha dimostrato che l’IA può completare intere catene di attacco - dalla ricognizione all’esfiltrazione dati - con intervento umano minimo, improvvisando persino strategie non programmate come l’iniezione di chiavi SSH per mantenere l’accesso persistente.

L’evoluzione segnala una sfida significativa per chi si occupa di sicurezza e governance: i sistemi di rilevamento attuali, progettati per identificare pattern comportamentali umani, potrebbero risultare inadeguati contro attacchi IA che operano a velocità macchina. Le organizzazioni dovranno ripensare le proprie strategie di difesa, considerando che gli attaccanti potrebbero presto sfruttare IA autonome per condurre campagne di spionaggio su larga scala con efficienza senza precedenti.

Fonte

Germany Faces Resistance in Push to Weaken AI Rules

La Germania sta incontrando forte opposizione nel tentativo di indebolire le restrizioni dell’AI Act UE per il settore manifatturiero. Un gruppo di 10 paesi europei si oppone alla proposta tedesca di spostare dispositivi come macchinari e apparecchiature mediche dall’ambito dell’AI Act a regolamentazioni settoriali specifiche, temendo una sostanziale deregolamentazione mascherata da semplificazione.

Il dibattito riflette la tensione tra competitività industriale e tutela dei diritti fondamentali nell’era dell’IA. Per chi si occupa di AI governance, la battaglia normativa è centrale: una frammentazione della regolamentazione in dodici logiche di compliance separate renderebbe più complessa la governance dell’IA ad alto rischio. L’esito delle negoziazioni, attese nelle prossime settimane, potrebbe incidere sull’implementazione pratica dell’AI Act e sulla sua efficacia nella protezione dei cittadini europei.

Fonte

Art. 26 AI Act: Operational Checklist for Deployers of High-Risk AI Systems

L’articolo fornisce una checklist operativa dettagliata per i deployer di sistemi IA ad alto rischio, traducendo l’Articolo 26 dell’AI Act in azioni concrete. La guida copre 13 aree di compliance, dalla supervisione umana alla registrazione nel database UE, identificando funzioni organizzative responsabili e documentazione necessaria.

Lo strumento è operativo per chi deve prepararsi alla scadenza del 2 agosto 2026 per i sistemi dell’Annesso III. La checklist evidenzia l’interconnessione tra AI Act e GDPR, in particolare per la Valutazione d’Impatto sui Diritti Fondamentali (Art. 27). L’approccio sistematico proposto facilita l’implementazione di un framework di compliance robusto, riducendo il rischio di non conformità e supportando una governance dell’IA responsabile e trasparente.

Fonte

---

CYBERSECURITY

CISA Aggiorna il Catalogo KEV con Quattro Nuove Vulnerabilità

Il CISA ha aggiunto quattro vulnerabilità attivamente sfruttate al suo catalogo KEV, stabilendo la scadenza dell'8 maggio 2026 per le agenzie federali. Le falle riguardano SimpleHelp (CVE-2024-57726 e CVE-2024-57728), Samsung MagicINFO 9 Server (CVE-2024-7399) e router D-Link DIR-823X (CVE-2025-29635).

Le vulnerabilità di SimpleHelp sono state collegate a campagne ransomware, inclusa l’operazione DragonForce, mentre quella di Samsung è stata sfruttata per distribuire botnet Mirai. Il punto operativo è semplice: senza inventario aggiornato dei sistemi e patch management tempestivo, il rischio resta ingestibile, soprattutto per soluzioni di accesso remoto e dispositivi IoT che sono vettori di attacco privilegiati.

Fonte

Itron Rivela Violazione della Rete IT Interna

La società di tecnologie per servizi pubblici Itron ha comunicato alla SEC una violazione dei sistemi interni rilevata il 13 aprile 2026. L’azienda, che gestisce 112 milioni di endpoint per 7.700 clienti in 100 paesi, ha attivato il piano di risposta cybersecurity e contenuto l’attacco senza interruzioni operative significative.

Itron ha dichiarato che l’attività non si è estesa ai clienti, ma la natura del business dell’azienda - interconnessa con infrastrutture critiche come reti elettriche e idriche - amplifica le potenziali implicazioni. Il caso conferma quanto la valutazione dei rischi della supply chain richieda controlli specifici per fornitori che gestiscono infrastrutture critiche, anche quando non sembrano direttamente coinvolti nel trattamento di dati personali.

Fonte

ADT Conferma Violazione Dati Dopo Minacce di ShinyHunters

Il gigante della sicurezza domestica ADT ha confermato una violazione dati il 20 aprile 2026, dopo che il gruppo ShinyHunters ha minacciato di pubblicare 10 milioni di record rubati. L’attacco, secondo gli aggressori, sarebbe avvenuto tramite vishing contro un dipendente, compromettendo l’account Okta SSO e accedendo ai dati Salesforce.

I dati coinvolti includono nomi, numeri di telefono, indirizzi e, in alcuni casi, date di nascita e ultime quattro cifre del SSN. La violazione è il terzo incidente per ADT dal 2024, con un quadro di vulnerabilità sistemiche. Il messaggio per CISO, responsabili sicurezza e DPO è netto: i controlli anti-phishing avanzati, l’autenticazione multi-fattore robusta e il monitoraggio continuo degli accessi SSO non sono più opzionali, considerato che gli attacchi di social engineering restano una delle principali cause di violazione dei sistemi aziendali.

Fonte

Rituals Comunica Violazione del Database Clienti

Il colosso olandese dei cosmetici Rituals ha comunicato una violazione del database “My Rituals” che ha compromesso dati personali di un numero non specificato dei suoi oltre 41 milioni di membri. I dati rubati includono nomi completi, email, numeri di telefono, date di nascita e indirizzi, ma non password o informazioni di pagamento.

L’azienda ha scoperto l’incidente all’inizio di aprile dopo essere stata allertata su download non autorizzati e ha bloccato l’accesso degli aggressori. La mancanza di dettagli sulla natura dell’attacco e sull’attribuzione lascia aperte questioni sui vettori di compromissione. Per chi gestisce database clienti su scala paragonabile, il caso conferma il valore di sistemi di monitoraggio capaci di rilevare attività anomale e di piani di comunicazione chiari per gestire le notifiche di violazione in conformità con il GDPR.

Fonte

UK Biobank: 500.000 Record Sanitari in Vendita su Alibaba

Il Ministro britannico Ian Murray ha rivelato che UK Biobank ha subito una violazione che ha portato alla vendita di dati medici di circa 500.000 volontari su Alibaba. L’organizzazione, che ha stretti legami con il NHS, ha sospeso l’accesso ai dati e si è auto-segnalata all’ICO.

È il secondo incidente di sicurezza per UK Biobank in due mesi, dopo che a marzo file di dati erano stati inavvertitamente pubblicati online. L’organizzazione ha implementato nuove misure di sicurezza, inclusa una piattaforma offline per tre settimane per aggiornamenti di sicurezza. Per chi opera nel settore sanitario - DPO ospedalieri, responsabili ricerca, governance dei dati clinici - il caso conferma i rischi specifici nella condivisione di dati per ricerca e l’utilità di sistemi “airlock” automatizzati per prevenire l’esfiltrazione non autorizzata di dati sensibili da parte di ricercatori esterni.

Fonte

Russia weaponizza l’AI per cyberattacchi europei

L’intelligence militare olandese (MIVD) ha confermato che la Russia sta utilizzando l’intelligenza artificiale per automatizzare e accelerare gli attacchi informatici contro l’Europa. La capacità di eseguire operazioni cyber ad alta velocità attraverso l’automazione segnala un’escalation significativa nelle minacce ibride.

La weaponization dell’AI da parte di attori statali richiede una risposta coordinata a livello europeo. Per CISO, DPO e responsabili sicurezza, l’AI è ormai sia strumento di difesa che vettore di minaccia: l’automazione abilita attacchi di phishing più sofisticati, deepfake convincenti e analisi automatizzata delle vulnerabilità. La strategia di difesa dovrà evolversi verso sistemi AI-driven per il monitoraggio comportamentale e la detection di anomalie, mantenendo sempre l’oversight umano nelle decisioni critiche.

Fonte

---

TECH & INNOVAZIONE

Apple risolve il bug che permetteva l’estrazione di messaggi cancellati

Apple ha rilasciato un aggiornamento che corregge una vulnerabilità sfruttata dalle forze dell’ordine per estrarre messaggi eliminati da iPhone. Il bug permetteva di recuperare contenuti di notifiche cancellate fino a un mese dopo, inclusi messaggi Signal teoricamente protetti da cancellazione automatica.

La falla, rivelata da 404 Media, mostrava come il contenuto delle notifiche venisse memorizzato nel database del dispositivo anche dopo l’eliminazione dall’app originale. Signal aveva chiesto ad Apple di risolvere urgentemente il problema, sottolineando l’importanza della correzione per gli utenti a rischio.

Il caso mostra come vulnerabilità a livello di sistema operativo possano compromettere le garanzie di privacy delle applicazioni: una valutazione olistica dei rischi tecnologici nelle policy aziendali è quindi necessaria, soprattutto per chi gestisce dati sensibili o opera con utenti esposti.

Fonte

L’app UE per la verifica dell’età violata in due minuti

La Commissione Europea ha presentato un’app per la verifica dell’età online che prometteva massimi standard di privacy. Tuttavia, ricercatori di sicurezza avrebbero compromesso le protezioni in meno di due minuti, sfruttando vulnerabilità nel codice open source.

Le falle segnalate includono controlli anti-brute force modificabili, autenticazione biometrica disattivabile e credenziali sensibili non protette da hardware sicuro. La Commissione ha minimizzato definendola “versione demo”, mentre gli esperti sostengono di aver testato il codice più recente. La vicenda merita monitoraggio nelle prossime settimane.

Il caso illumina i rischi intrinseci dei sistemi di verifica dell’età, che richiedono il collegamento tra identità reale e azioni online. Per chi si occupa di compliance e governance digitale, è un richiamo alla necessità di valutazioni approfondite prima dell’implementazione di soluzioni privacy-by-design apparentemente sicure.

Fonte

---

RICERCA SCIENTIFICA

Selezione dei paper più rilevanti della settimana da arXiv su AI, Machine Learning e Privacy

Privacy e Contextual Integrity negli LLM

Reinforcing privacy reasoning in LLMs via normative simulacra from fiction

Gli autori propongono un approccio innovativo per allineare i Large Language Model alle aspettative di privacy contestuale degli utenti, basato sul framework della Contextual Integrity. La ricerca affronta il disallineamento tra le pratiche di gestione delle informazioni degli LLM e le norme privacy specifiche del contesto.

arXiv

Separable Expert Architecture: Toward Privacy-Preserving LLM Personalization via Composable Adapters and Deletable User Proxies

Viene presentata un’architettura a tre livelli che disaccoppia i dati personali dai pesi condivisi del modello, combinando un modello base statico con adattatori LoRA componibili e proxy utente eliminabili. L’approccio facilita la rimozione computazionalmente efficiente dei dati individuali senza richiedere riaddestramento completo.

arXiv

Attacchi alla Privacy e Differential Privacy

Toward Efficient Membership Inference Attacks against Federated Large Language Models: A Projection Residual Approach

La ricerca analizza i rischi di membership inference attacks nei Federated Large Language Model, dimostrando come i gradienti condivisi possano ancora esporre informazioni sensibili nonostante la localizzazione dei dati. Vengono proposte tecniche di attacco più efficienti sfruttando le proprietà uniche dei FedLLM.

arXiv

Differentially Private Model Merging

Gli autori presentano una metodologia per generare modelli che soddisfino diversi requisiti di differential privacy senza passaggi di training aggiuntivi. L’approccio risponde alla necessità di adattare dinamicamente i livelli di privacy durante l’inferenza in base a politiche e regolamentazioni variabili.

arXiv

Sicurezza e Unlearning

Mitigating Fine-tuning Risks in LLMs via Safety-Aware Probing Optimization

Lo studio affronta i rischi di compromissione della sicurezza durante il fine-tuning degli LLM, anche con dati apparentemente innocui. Viene proposto un approccio di probing safety-aware per mantenere l’allineamento di sicurezza durante le fasi di personalizzazione del modello.

arXiv

CAP: Controllable Alignment Prompting for Unlearning in LLMs

La ricerca introduce una metodologia di unlearning selettivo che non richiede modifiche ai parametri del modello, superando le limitazioni computazionali e di accessibilità dei pesi. L’approccio promette maggiore controllo sui confini dell’oblio per compliance normativa ed etica.

arXiv

Audit e Valutazione della Sicurezza

Breaking Bad: Interpretability-Based Safety Audits of State-of-the-Art LLMs

Viene presentato un audit di sicurezza completo basato su interpretabilità per otto LLM open-source all’avanguardia. La ricerca va oltre il probing black-box per scoprire sistematicamente vulnerabilità radicate negli elementi interni del modello, fornendo strumenti per valutazioni di conformità.

arXiv

Cross-Session Threats in AI Agents: Benchmark, Evaluation, and Algorithms

Lo studio identifica una vulnerabilità nei guardrail degli agenti AI: la mancanza di memoria tra sessioni permette ad attacchi distribuiti di eludere i rilevatori. Vengono proposti benchmark e algoritmi per la detection di minacce cross-session.

arXiv

---

AI ACT IN PILLOLE - Parte 18

Articolo 22 - Rappresentanti autorizzati dei fornitori

Dopo aver esplorato nella Parte 17 come i fornitori debbano cooperare con le autorità competenti, spostiamo oggi l’attenzione su una figura centrale per l’implementazione dell’AI Act: il rappresentante autorizzato. L’Articolo 22 del Regolamento disciplina infatti un meccanismo fondamentale per garantire che anche i fornitori extra-UE possano operare nel mercato europeo rispettando pienamente gli obblighi normativi.

Chi deve nominare un rappresentante autorizzato

L’obbligo di nomina si applica esclusivamente ai fornitori di sistemi di IA ad alto rischio che sono stabiliti al di fuori dell’Unione Europea ma intendono immettere i loro prodotti sul mercato comunitario sotto il proprio nome o marchio commerciale. Si tratta quindi di una disposizione che colpisce direttamente le aziende tecnologiche statunitensi, cinesi, britanniche e di altri paesi terzi che sviluppano sistemi di IA destinati al mercato europeo.

Il rappresentante autorizzato deve essere una persona fisica o giuridica stabilita nell’Unione Europea e deve essere designato mediante mandato scritto dal fornitore extra-UE. Questa designazione non è una mera formalità: il rappresentante diventa il punto di riferimento ufficiale per tutte le interazioni con le autorità di vigilanza europee.

Gli obblighi del rappresentante

Il cuore dell’Articolo 22 risiede nella definizione dei compiti specifici che il rappresentante autorizzato deve svolgere. In primo luogo, deve verificare che sia stata redatta la dichiarazione di conformità UE e che sia disponibile la documentazione tecnica richiesta. Questo significa che il rappresentante non può limitarsi a un ruolo passivo, ma deve attivarsi per controllare che il fornitore abbia effettivamente adempiuto agli obblighi documentali.

Il rappresentante ha inoltre la responsabilità di tenere a disposizione delle autorità competenti la documentazione tecnica e la dichiarazione di conformità UE per un periodo di dieci anni successivi all’immissione sul mercato del sistema di IA. Si tratta di un obbligo di conservazione particolarmente oneroso che richiede un’organizzazione documentale strutturata e sistemi di archiviazione affidabili.

Un aspetto particolarmente delicato riguarda la cooperazione con le autorità competenti. Il rappresentante deve fornire a queste ultime, su richiesta motivata, tutte le informazioni e la documentazione necessarie per dimostrare la conformità del sistema di IA. Inoltre, deve cooperare con le autorità competenti in relazione a qualsiasi azione correttiva intrapresa per eliminare i rischi posti dai sistemi di IA che rientrano nel loro mandato.

Implicazioni operative per le organizzazioni

Per le aziende extra-UE, la scelta del rappresentante autorizzato non può essere casuale. È necessario individuare soggetti con competenze specifiche in materia di IA e compliance normativa, dotati di un’organizzazione adeguata per gestire gli obblighi documentali e le relazioni con le autorità. Spesso questa figura coinciderà con studi legali specializzati o società di consulenza con expertise nel settore tecnologico.

Un esempio concreto può essere quello di una società californiana che sviluppa sistemi di IA per il riconoscimento facciale destinati al settore della sicurezza. Dovendo operare nel mercato europeo, dovrà necessariamente nominare un rappresentante autorizzato stabilito nell’UE, che si farà carico di verificare la conformità della documentazione tecnica e di interfacciarsi con le autorità competenti dei vari Stati membri in caso di controlli o richieste di informazioni.

Responsabilità e sanzioni

È importante sottolineare che la nomina del rappresentante autorizzato non libera il fornitore extra-UE dalle proprie responsabilità. Il rappresentante agisce per conto del fornitore, ma quest’ultimo rimane il soggetto principale destinatario degli obblighi normativi. Tuttavia, il rappresentante può essere chiamato a rispondere direttamente per l’inadempimento dei propri specifici obblighi, come la mancata conservazione della documentazione o la non cooperazione con le autorità.

Nella prossima puntata analizzeremo l’Articolo 23, che si occupa degli obblighi degli importatori e delle loro specifiche responsabilità nella catena di distribuzione dei sistemi di IA ad alto rischio.

---

Integrare l’AI nella compliance: strategie e cautele operative

Dopo aver esplorato l’analisi giurisprudenziale della Corte di Giustizia UE, spostiamo l’attenzione su un terreno ancora più delicato: l’integrazione del Legal Prompting nei processi di compliance aziendale senza amplificare i rischi che dovrebbe aiutare a gestire.

La compliance è per natura un’attività di sintesi e valutazione continua. Qui l’AI può supportare il lavoro professionale attraverso tre funzioni specifiche: mappatura normativa, monitoraggio delle novità legislative e assessment preliminari di conformità. Tuttavia, ogni applicazione richiede protocolli rigorosi.

Mappatura normativa assistita: Un prompt strutturato può aiutare a identificare le norme applicabili a uno scenario specifico. Ad esempio: “Identifica la normativa europea e italiana applicabile a un servizio di cloud computing che tratta dati sanitari per conto di ospedali pubblici, considerando la natura di responsabile del trattamento del fornitore cloud.” L’output fornisce una base di partenza, ma la verifica delle fonti e l’analisi delle interazioni normative restano compito del professionista.

Monitoraggio legislativo: L’AI può processare bollettini ufficiali e identificare modifiche normative rilevanti per settori specifici. Il Legal Prompting qui diventa centrale per definire parametri di ricerca precisi e criteri di prioritizzazione, evitando sia l’information overload che la perdita di aggiornamenti significativi.

Assessment preliminari: Particolarmente utili per valutazioni di impatto rapide o gap analysis iniziali. Un prompt ben costruito può strutturare l’analisi secondo framework consolidati (privacy by design, risk assessment metodologies), accelerando la fase preparatoria del lavoro professionale.

Come sempre, dobbiamo ricordare che i modelli linguistici costruiscono output plausibili senza il ragionamento deduttivo tipico del metodo giuridico. La supervisione professionale non è opzionale ma costitutiva della qualità del servizio. Inoltre, il quadro normativo europeo — AI Act, GDPR, codici deontologici — impone una valutazione preliminare di impatto per ogni implementazione di AI nei processi professionali. Infine, la scelta dell’infrastruttura (modelli in cloud vs deployment locale) diventa questione di compliance quando si trattano informazioni coperte da segreto professionale.

La prossima settimana approfondiremo un caso d’uso complementare: la revisione contrattuale assistita dall’AI, esplorando come strutturare prompt efficaci per l’analisi di clausole e l’identificazione di criticità contrattuali.

Approfondimento:

Legal Prompting: la nuova frontiera dell’AI in ambito giuridico

---

PODCAST

In questo sesto episodio applichiamo le tecniche di prompting all’analisi dei contratti.

Quattro operazioni distinte, ciascuna con un proprio prompt:

Tre cautele non negoziabili: il modello non negozia, non conosce il contesto commerciale, non sostituisce la lettura integrale da parte del professionista.

Sullo sfondo, un tema che torna: dove gira il modello che usate per analizzare un contratto del cliente. Una scelta di compliance, prima ancora che tecnica.

Nel prossimo episodio: il Legal Prompting come componente strutturale dei processi di compliance aziendale.

---

DAL BLOG NICFAB

Self-hosting email: da Proton Mail a Mailcow con MailMate

23 aprile 2026

Case study sulla migrazione email da Proton Mail a Mailcow self-hosted con MailMate come client professionale: architettura, workflow e manutenzione.

Leggi l’articolo completo

Tracking pixel nelle email: le Linee Guida del Garante e il nodo del consenso

22 aprile 2026

Analisi delle Linee Guida del Garante del 17 aprile 2026 sui tracking pixel nelle comunicazioni di posta elettronica: quadro normativo ex art. 122 del Codice Privacy, obblighi, deroghe e profili critici sul modello del consenso e sulla privacy by design.

Leggi l’articolo completo

Art. 26 AI Act: checklist operativa per il deployer di sistemi AI ad alto rischio

22 aprile 2026

Checklist operativa per i deployer di sistemi AI ad alto rischio ai sensi dell’Art. 26 dell’AI Act (Reg. UE 2024/1689). Ogni obbligo è tradotto in azioni concrete, funzioni responsabili e documentazione richiesta, con punti di coordinamento GDPR e tempistica di implementazione.

Leggi l’articolo completo

AI Literacy: cosa devono fare le imprese oggi

20 aprile 2026

AI literacy nell’AI Act: cosa devono fare le imprese oggi. Piano in 30 giorni, matrice ruoli-competenze e checklist di conformità.

Leggi l’articolo completo

---

Eventi e incontri segnalati

Stakeholder event on competition and data protection: save the date (23 aprile 2026)

EDPB |

Info

Apply AI sectoral deep dive - electronic communications (30 aprile 2026)

European Commission |

Info

High-Level Debate: “From Omnibus to Opportunity: Driving Data Protection and Innovation” (8 giugno 2026)

EDPS |

Info

---

Conclusione

La settimana dal 20 al 26 aprile 2026 segna un cambio di passo nell’enforcement del Garante italiano. Tre interventi tracciano una mappa precisa delle priorità regolatorie: la sanzione di oltre 12,5 milioni di euro a Poste Italiane e Postepay (provvedimento n. 237 del 17 aprile, comunicato il 20 aprile) ridefinisce il principio di proporzionalità - nemmeno le finalità di sicurezza e prevenzione frodi giustificano controlli invasivi sulle app mobili degli utenti; le nuove Linee guida sui tracking pixel (provvedimento n. 284 del 17 aprile) trasformano una pratica considerata standard in un potenziale rischio di compliance, con sei mesi di adeguamento e il consenso come regola generale; il richiamo ai media sul caso milanese estende la protezione dei dati ben oltre il perimetro digitale, fino al delicato equilibrio tra diritto di cronaca e dignità delle persone.

Sul fronte AI, il trilogo sull’AI Digital Omnibus entra in una fase decisiva attorno al 28 aprile, con la possibilità concreta di un rinvio dell’applicazione degli obblighi sui sistemi ad alto rischio dell’Annesso III oggi previsti per il 2 agosto 2026. La pressione tedesca per spostare interi comparti fuori dall’AI Act incontra l’opposizione di dieci paesi europei, mentre 34 organizzazioni della società civile - consumatori, sanità, valutazione di conformità, accademia - firmano una lettera congiunta contro l’indebolimento del Regolamento. Per chi opera nella compliance AI, il messaggio è chiaro: piani di adeguamento e roadmap di implementazione vanno costruiti con flessibilità, considerando scenari alternativi sulla data effettiva di applicazione.

La cybersecurity conferma la sua centralità trasversale. L’aggiornamento del catalogo KEV del CISA, i breach di Itron, ADT, Rituals e UK Biobank, e la conferma che la Russia sta utilizzando l’AI per automatizzare attacchi contro l’Europa segnalano che la finestra tra disclosure ed exploit si restringe. La supply chain - inclusi i tool AI di terze parti - emerge come vettore sistemico, mentre l’app europea di age verification, violata in due minuti, ricorda che le migliori intenzioni legislative si scontrano con vulnerabilità tecniche spesso banali.

La lettura d’insieme è una sola: le sanzioni non colpiscono più solo violazioni evidenti o negligenze grossolane, ma valutano con crescente sofisticazione la proporzionalità tra mezzi e fini. Il caso Poste insegna che invocare la sicurezza non è più un salvacondotto automatico - serve una valutazione rigorosa dell’impatto sui diritti degli interessati. La domanda che rimane aperta è se l’Europa riuscirà a mantenere questo equilibrio tra innovazione tecnologica, esigenze di sicurezza e protezione della persona mentre le pressioni geopolitiche e tecnologiche si intensificano, o se sarà costretta a scegliere tra efficacia operativa e tutela dei diritti.

---

📧 A cura di Nicola Fabiano

Avvocato - Studio Legale Fabiano

🌐 Studio Legale Fabiano:

https://www.fabiano.law

🌐 Blog:

https://www.nicfab.eu

🌐 DAPPREMO:

www.dappremo.eu

---

Supporter

https://lawandtechnology.eu/

https://caffe20.it/

https://privacykit.it/

---

Iscriviti alla newsletter su

nicfab.eu

Segui le nostre news su questi canali:

Telegram

Telegram →

@nicfabnews

Matrix

Matrix →

#nicfabnews:matrix.org

Mastodon

Mastodon →

@nicfab@fosstodon.org

Bluesky

Bluesky →

@nicfab.eu

---

.newsletter-subscription-box {

max-width: 600px;

margin: 2.5rem auto;

padding: 2.5rem;

background: linear-gradient(135deg, #f8f9fa 0%, #e9ecef 100%);

border-radius: 12px;

border: 2px solid #7f1d1d;

box-shadow: 0 4px 6px rgba(0,0,0,0.1);

}

.newsletter-form-group {

margin-bottom: 1.5rem;

}

.newsletter-form-label {

display: block;

font-size: 1.1rem;

font-weight: 700;

margin-bottom: 0.75rem;

color: #1a1a1a;

}

.newsletter-form-input {

width: 100%;

padding: 1rem;

border: 2px solid #ddd;

border-radius: 8px;

font-size: 1rem;

transition: all 0.3s ease;

box-sizing: border-box;

}

.newsletter-form-input:focus {

outline: none;

border-color: #7f1d1d;

box-shadow: 0 0 0 4px rgba(127, 29, 29, 0.1);

}

.newsletter-captcha-group {

margin-bottom: 1.5rem;

display: flex;

justify-content: center;

}

.newsletter-submit-btn {

width: 100%;

padding: 1.25rem;

background: #7f1d1d;

color: white;

border: none;

border-radius: 8px;

font-size: 1.1rem;

font-weight: 700;

cursor: pointer;

transition: all 0.3s ease;

text-transform: uppercase;

letter-spacing: 0.5px;

}

.newsletter-submit-btn:hover {

background: #991b1b;

transform: translateY(-2px);

box-shadow: 0 4px 12px rgba(127, 29, 29, 0.3);

}

.newsletter-submit-btn:disabled {

background: #9ca3af;

cursor: not-allowed;

transform: none;

box-shadow: none;

}

.newsletter-privacy-notice {

margin-top: 1.5rem;

text-align: center;

font-size: 0.9rem;

color: #666;

line-height: 1.6;

}

.newsletter-privacy-notice a {

color: #7f1d1d;

text-decoration: underline;

font-weight: 600;

}

Indirizzo Email *

Nome

Iscriviti alla Newsletter

Rispettiamo la tua privacy. Double opt-in obbligatorio. Disiscrizione in qualsiasi momento.

Informativa Privacy

---

Torna all'elenco newsletter

Sezione italiana

Home

Proxied content from gemini://nicfab.eu/it/newsletterit/2026/2026-04-28-issue-18_it.gmi

Gemini request details:

Original URL
gemini://nicfab.eu/it/newsletterit/2026/2026-04-28-issue-18_it.gmi
Status code
Success
Meta
text/gemini;lang=en-US
Proxied by
kineto

Be advised that no attempt was made to verify the remote SSL certificate.