Newsletter #19 - 5 maggio 2026

Leggi sul sito

---

NicFab Newsletter

Numero 19 | 5 maggio 2026

Privacy, Data Protection, AI e Cybersecurity

---

Benvenuti al numero 19 della newsletter settimanale dedicata alla privacy, alla data protection, all’intelligenza artificiale, alla cybersecurity e all’etica. Ogni martedì troverete una selezione ragionata delle notizie più rilevanti della settimana precedente, con un focus su sviluppi normativi europei, giurisprudenza, enforcement e innovazione tecnologica.

---

In questo numero

---

GARANTE PRIVACY ITALIA

Stop alla conservazione delle copie dei documenti d’identità degli ospiti

Il Garante interviene con una nota alle associazioni di categoria del settore ricettivo: alberghi, B&B e affittacamere non possono trattenere copie dei documenti d’identità degli ospiti oltre il tempo necessario alla trasmissione tramite il portale Alloggiati Web. La presa di posizione arriva dopo l’aumento di segnalazioni e data breach degli ultimi mesi.

L’obbligo di identificazione previsto dalla normativa di pubblica sicurezza non costituisce base giuridica per conservare fotocopie o scansioni. La prassi diffusa, soprattutto tra le strutture extra-alberghiere, di fotografare i documenti con lo smartphone o farseli inviare via WhatsApp espone gli interessati a furti d’identità e accessi illeciti. Completata la trasmissione, le copie vanno cancellate o distrutte. Resta invece conservabile la ricevuta generata dal portale, da tenere per cinque anni a fini di prova dell’adempimento.

Il Garante richiama poi gli obblighi di sicurezza ex art. 32 GDPR, la formazione del personale e, in caso di violazione, la notifica entro 72 ore e la comunicazione agli interessati nei casi previsti.

Fonte

Il Garante alla Race for the Cure: focus sull’oblio oncologico

Il 7 e 8 maggio al Circo Massimo, all’interno del Villaggio della Salute della Race for the Cure di Komen Italia, l’Autorità presidia uno spazio informativo dedicato al diritto all’oblio oncologico, con orientamento su come esercitarlo verso banche, assicurazioni, datori di lavoro e nelle procedure di adozione.

Sabato 9 maggio, dalle 11 alle 12, nell’Area conferenze, il Segretario generale e funzionari dell’Autorità tengono l’incontro “Protezione dei dati, oblio oncologico e screening”, rivolto ai professionisti sanitari, con illustrazione delle Linee guida sullo screening.

Fonte

Decennale GDPR: il Garante pubblica il settimo episodio del podcast “A proposito di privacy”

In coincidenza con il decennale del GDPR, il Garante ha pubblicato il settimo episodio del podcast “A proposito di privacy”, dal titolo “Diritti, trasparenza, responsabilizzazione: 10 anni di GDPR”. L’iniziativa si affianca alla comunicazione dell’EDPB del 27 aprile 2026 e ribadisce, sul versante italiano, il bilancio del Regolamento dieci anni dopo la sua adozione, con focus sull’evoluzione dei diritti degli interessati, sulle dinamiche di accountability e sul lavoro dell’Autorità nella divulgazione verso il pubblico non specialistico.

Il podcast è disponibile sul sito istituzionale del Garante, oltre che sui canali Spotify e YouTube.

Fonte

L’agenda del Collegio fino al 6 maggio 2026

Aggiornata l’agenda degli appuntamenti istituzionali a cui partecipano i Componenti del Collegio fino al 6 maggio 2026.

Fonte

---

EDPB - COMITATO EUROPEO PROTEZIONE DATI

Dieci anni di GDPR: l’EDPB celebra l’anniversario

Il 27 aprile 2026 l’EDPB ha marcato i dieci anni dall’adozione del GDPR, il primo quadro organico di protezione dati su scala continentale. Il regolamento ha portato all’istituzione dell’EDPB il 25 maggio 2018, in sostituzione del Gruppo di lavoro Articolo 29, e ha trasformato il lavoro delle autorità di controllo: dal focus sui reclami nazionali alla gestione strutturale dei casi cross-border, con poteri di enforcement rafforzati. Le 31 DPA che compongono il Comitato hanno operato in questi anni per garantire un’applicazione coerente del regolamento. L’EDPB colloca ora il GDPR all’interno di un perimetro normativo più ampio che include DSA, DMA e AI Act, e rivendica l’effetto di traino del regolamento su numerosi ordinamenti extra-UE che hanno adottato framework analoghi. La comunicazione è accompagnata da un video con testimonianze delle autorità nazionali sull’evoluzione del panorama pre e post 2018.

Fonte

Azione coordinata sui minori sotto i 15 anni trattati da Europol

Il 30 aprile 2026 l’EDPB ha pubblicato l’azione di vigilanza coordinata sul trattamento da parte di Europol di minori di età inferiore a 15 anni come sospettati o potenziali autori di reato. L’iniziativa rientra nel Coordinated Supervisory Committee e riguarda una categoria di interessati che cumula due fattori di vulnerabilità: minore età e qualifica investigativa.

Fonte

Opinion 9/2026 sulle BCR Controller del Gruppo Jacobs Douwe Egberts

Il 27 aprile 2026 l’EDPB ha adottato, ex art. 64 GDPR, il parere sulla bozza di decisione dell’Autorità olandese relativa alle Controller Binding Corporate Rules del Gruppo Jacobs Douwe Egberts.

Fonte

Opinion 10/2026 sulle BCR Controller del Gruppo SLB

Sempre il 27 aprile 2026, l’EDPB ha adottato il parere sulla bozza di decisione dell’Autorità olandese (Autoriteit Persoonsgegevens) sulle Controller BCR del Gruppo SLB, nell’ambito della procedura di approvazione coordinata ex art. 64 GDPR.

Fonte

Opinion 12/2026 sulle BCR Controller del Gruppo Santander

Stessa data, parere ex art. 64 GDPR sulla bozza di decisione dell’AEPD relativa alle Controller BCR del Gruppo Santander. Tre pareri BCR licenziati nella stessa giornata segnalano la continuità del flusso di approvazioni coordinate, con il consueto ruolo di lead di AP olandese e AEPD spagnola.

Fonte

---

EDPS - GARANTE EUROPEO PROTEZIONE DATI

Newsletter Digest, episodio 20: AI nella PA, cybersecurity package, Biotech Act

L’EDPS ha pubblicato il 1° maggio 2026 il ventesimo episodio del Newsletter Digest, condotto da Miriam Cakurdova e John McLean. Tre i dossier sul tavolo: un documento strategico sulla supervisione dell’AI nelle pubbliche amministrazioni europee, un parere congiunto sul pacchetto cybersecurity europeo e un secondo parere congiunto sulla proposta di European Biotech Act, con focus sulle ricadute in materia di dati sanitari.

Il documento strategico è il pezzo più rilevante: definisce l’approccio dell’EDPS al ruolo che gli verrà richiesto come autorità di vigilanza sui sistemi di AI usati dalle istituzioni UE, terreno dove si intrecciano AI Act e Regolamento 2018/1725. I due pareri congiunti (presumibilmente con l’EDPB) entrano invece nel merito delle architetture normative settoriali: cybersecurity da un lato, riuso e trattamento di dati sanitari nel quadro biotech dall’altro, dove il perimetro con EHDS e GDPR sarà il vero nodo.

In agenda due date: l’EU Open Day il 9 maggio 2026 e il dibattito “From Omnibus to Opportunity: Driving Data Protection and Innovation” l'8 giugno 2026.

L’EDPS ha anticipato l’episodio anche nel proprio News Feed del 30 aprile 2026, senza aggiungere elementi sostanziali rispetto al contenuto del podcast.

Fonte

News Feed EDPS

---

COMMISSIONE EUROPEA

Quantum Europe Strategy: il parere del CESE

Il Comitato Economico e Sociale Europeo ha pubblicato il proprio parere sulla Comunicazione della Commissione al Parlamento europeo e al Consiglio “Quantum Europe Strategy: Quantum Europe in a Changing World” (COM(2025) 363 final). Il documento si inserisce nel percorso di posizionamento dell’UE sulle tecnologie quantistiche, terreno che intercetta direttamente cybersecurity, crittografia post-quantum e tenuta a lungo termine delle misure tecniche imposte dal GDPR e dalle normative settoriali sulla sicurezza.

Il parere è disponibile su EUR-Lex in due riferimenti paralleli, identificativo OJ C_202601958 e CELEX 52025AE2334, entrambi datati 27 aprile 2026. La pubblicazione doppia riflette la prassi di indicizzazione di EUR-Lex (numero di Gazzetta e codice CELEX) e rinvia al medesimo atto.

Per chi si occupa di compliance, il punto da monitorare non è il parere in sé — atto consultivo — ma la traiettoria che la Commissione imprimerà alla strategia quantistica: dalle scadenze di migrazione verso algoritmi post-quantum alla qualificazione dei rischi “harvest now, decrypt later” nelle valutazioni d’impatto.

Fonte

Fonte CELEX

---

CNIL - AUTORITÀ FRANCESE

Rapporto d’attività del DPO: la CNIL pubblica un modello

Il 27 aprile 2026 la CNIL ha rilanciato la raccomandazione di redigere un rapporto periodico d’attività del DPO, accompagnandola con un modello scaricabile per facilitarne l’elaborazione.

Il rapporto non è obbligatorio ma rientra nelle missioni del delegato. La CNIL lo descrive come strumento di pilotaggio della conformità e di rendicontazione verso il vertice dell’organizzazione: trimestrale, semestrale o annuale a seconda dell’attività. I contenuti attesi sono concreti — diagnosi sui trattamenti e progetti a rischio basate su registro, DPIA, audit, violazioni e reclami; valutazione dei rischi giuridici, finanziari e reputazionali; documentazione delle azioni di adeguamento (revisione delle informative, clausole contrattuali, misure tecniche e organizzative, sensibilizzazione del personale, procedure su data breach e diritti degli interessati); identificazione dei freni e delle misure per far crescere la maturità dell’organizzazione.

Il rapporto serve anche come traccia storica delle azioni intraprese, utile in caso di controllo o contestazione. Il modello CNIL è declinabile per comunicazioni interne ed esterne sulla conformità.

Fonte

Commercio al dettaglio: approvato il codice di condotta dell’Alliance du Commerce

Il 28 aprile 2026 la CNIL ha approvato il codice di condotta presentato dall’Alliance du Commerce per il settore francese dell’abbigliamento e calzature.

È il primo codice di portata nazionale approvato dalla CNIL e il terzo codice settoriale dopo CISPE (2021, cloud computing) ed EUCROF (2024, sperimentazioni cliniche). Si aggiunge alla quindicina di codici già adottati in Europa dall’entrata in vigore del GDPR. Possono aderire le insegne e i punti vendita con centro decisionale in Francia o gli stabilimenti francesi di gruppi internazionali, in qualità di titolari del trattamento per le attività di vendita e distribuzione al dettaglio in negozio e online. Restano fuori i rapporti con fornitori e dipendenti.

Il codice è costruito come strumento operativo “chiavi in mano”, con focus sulle attività di marketing, e individua i principali punti di controllo per dimostrare la conformità. L’adesione è vincolante: gli aderenti si sottopongono al monitoraggio di un organismo terzo, distinto dalla CNIL, sull’applicazione del codice (art. 41 GDPR).

Fonte

Webinar CNIL-AFCDP: kit per sensibilizzare i genitori-lavoratori sugli usi digitali dei figli

La CNIL ha reso disponibile la registrazione del webinar del 10 marzo 2026 dedicato al kit di sensibilizzazione sulla parentalità digitale, sviluppato con l’Association Française des Correspondants à la protection des Données à caractère Personnel (AFCDP).

Il kit è pensato per i DPO che vogliano organizzare sessioni di sensibilizzazione sul luogo di lavoro rivolte ai dipendenti che sono anche genitori di bambini in scuola primaria. I temi: protezione dei dati personali online dei minori, equilibrio tra tutela del minore e rispetto della sua vita privata, accompagnamento all’uso dei social e dell’IA. Le risorse pedagogiche sono in accesso libero e gratuito. Relatrice: Carina Chatain.

Fonte

---

PARLAMENTO EUROPEO

Cyberbullismo: il Parlamento chiede definizione armonizzata e applicazione rigorosa del DSA

Il 30 aprile 2026 la plenaria ha adottato per alzata di mano una risoluzione che chiede alla Commissione di valutare una definizione armonizzata di cyberbullismo a livello UE e l’eventuale inclusione tra i reati transfrontalieri ex art. 83 TFUE, oltre all’aggiunta dei crimini d’odio nel medesimo elenco.

Sul fronte piattaforme, i deputati chiedono l’applicazione rigorosa dell’articolo 28 DSA sulla protezione dei minori, sollecitando la Commissione a chiudere i casi pendenti e respingendo qualsiasi riapertura del regolamento. Critiche esplicite ai modelli di business che incentivano contenuti d’odio e ai sistemi di raccomandazione iper-personalizzati che amplificano hate speech penalizzando i contenuti meno divisivi. Sull’AI, richiamo agli obblighi di etichettatura previsti dall’AI Act per deepfake e contenuti intimi non consensuali, e richiesta di un divieto delle cosiddette “nudifier apps”, attualmente in negoziato tra co-legislatori. Il Parlamento lamenta inoltre l’assenza di un quadro giuridico per il rilevamento del CSAM online e chiede meccanismi di segnalazione volontaria nell’attesa.

Fonte

EU Age Verification App: il Parlamento chiede sospensione del deployment per vulnerabilità critiche

Tra i passaggi più rilevanti per il pubblico DPO/compliance, la motion B10‑0208/2026 confluita nella risoluzione sul cyberbullismo segnala che l’app europea di verifica dell’età, lanciata dalla Commissione il 15 aprile 2026, è risultata vulnerabile a difetti di sicurezza critici “entro poche ore dal rilascio”. Il Parlamento chiede alla Commissione di sospenderne il deployment fino al raggiungimento dei più alti standard di sicurezza e privacy, anche tramite tecniche privacy-preserving come le zero-knowledge proofs, e di attendere le conclusioni del panel di esperti convocato dalla Presidente della Commissione prima di assumere ulteriori decisioni in materia di age verification e restrizioni di età sui social.

Il punto si inserisce nel dibattito strutturale sull’architettura dell’EUDI Wallet e sulla disclosure selettiva degli attributi: terreno che interseca direttamente la frizione fra obiettivi di tutela dei minori e principi di minimizzazione e proporzionalità del trattamento.

Fonte

Revisione del Regolamento Europol: nodo data protection in vista della proposta del Q2 2026

Un briefing EPRS del 29 aprile 2026 anticipa la revisione del Regolamento Europol prevista nel programma di lavoro 2026 della Commissione, con proposta attesa nel secondo trimestre accompagnata da valutazione del Regolamento del 2016 e impact assessment “back-to-back”.

Il punto critico resta l’eredità del Regolamento (UE) 2022/991, che ha esteso i poteri dell’agenzia su trattamento di dataset ampi e complessi, ricezione di dati personali da soggetti privati, scambio con paesi terzi e uso per ricerca e innovazione. L’EDPS ha contestato la compatibilità con il quadro UE di protezione dei dati e ha avviato un ricorso pendente davanti alla CGUE. La relazione di valutazione pubblicata dalla Commissione nel dicembre 2025 conferma il sostegno degli Stati membri ai nuovi compiti di trattamento, ma segnala inefficienze nella governance e nel framework data protection. Sullo sfondo, l’indirizzo politico di von der Leyen di luglio 2024 di trasformare Europol in “a truly operational police agency” suggerisce un’espansione ulteriore delle competenze, da bilanciare con il controllo di Parlamento ed EDPS.

Fonte

EES pienamente operativo: 52 milioni di attraversamenti registrati

Un At a Glance dell’EPRS del 28 aprile 2026 fa il punto sull’Entry/Exit System gestito da eu-LISA, completamente dispiegato ad aprile 2026. Il sistema, che sostituisce i timbri sui passaporti registrando ingressi, uscite e respingimenti dei cittadini di paesi terzi con dati biometrici, ha già processato oltre 52 milioni di attraversamenti e consentito l’identificazione di potenziali rischi di sicurezza.

L’implementazione ha scontato ritardi per carenze di personale, problemi tecnici e uso limitato degli strumenti di pre-registrazione. La supervisione si articola in audit periodici, reportistica statistica dettagliata e valutazioni di eu-LISA e Commissione, comprese quelle sull’impatto sui diritti fondamentali.

Fonte

---

CONSIGLIO DELL’UNIONE EUROPEA

Revisione del Digital Markets Act: i documenti trasmessi al Consiglio

Il 29 aprile 2026 la Commissione ha trasmesso al Parlamento europeo, al Consiglio e al CESE il Report sulla revisione del Regolamento (UE) 2022/1925 (Articolo 53 DMA), accompagnato dal relativo Staff Working Document. È il primo esercizio di revisione formale dall’entrata in applicazione del Regolamento. I riferimenti documentali consiliari sono ST-8778-2026-INIT (Report) e ST-8778-2026-ADD-1 (SWD). Per l’analisi politica e di enforcement si rinvia alla sezione DIGITAL MARKETS & PLATFORM REGULATION.

Report ST-8778-2026-INIT

SWD ST-8778-2026-ADD-1

Biocidi: prima lettura del Parlamento sulla proroga dei periodi di protezione dei dati

Tra il 27 e il 30 aprile 2026, in plenaria a Strasburgo, il Parlamento europeo ha concluso la prima lettura sulla proposta di Regolamento che modifica il Regolamento (UE) n. 528/2012 in materia di estensione di determinati periodi di protezione dei dati. L’esito è ora trasmesso al Consiglio nell’ambito della procedura legislativa ordinaria. La modifica incide sulla durata della tutela dei dati relativi a sostanze attive e biocidi, profilo rilevante per il bilanciamento tra investimenti dei dichiaranti e accesso al mercato.

Fonte

Regolamento biocidi: il testo adottato sui periodi di protezione dei dati

Il 28 aprile 2026 è stato licenziato il testo del Regolamento del Parlamento europeo e del Consiglio che modifica il Regolamento (UE) n. 528/2012 sull’estensione di alcuni periodi di protezione dei dati. Si tratta della versione che cristallizza l’intervento sul regime di data protection nel quadro biocidi, distinto dalla protezione dei dati personali ex GDPR ma rilevante per chi gestisce dossier regolatori e strategie di market access nel settore.

Fonte

---

DIGITAL MARKETS & PLATFORM REGULATION

Il Parlamento europeo chiede applicazione rigorosa del DMA contro le pressioni esterne

Il 30 aprile 2026 il Parlamento europeo ha adottato per alzata di mano una risoluzione non vincolante che chiede alla Commissione un’applicazione tempestiva e coerente del Digital Markets Act, avvertendo contro le pressioni politiche di paesi terzi volte a indebolire il regolamento. Il messaggio è esplicito: l’interferenza esterna non deve compromettere la sovranità normativa dell’UE.

Gli eurodeputati esprimono rammarico per le sanzioni “modeste” inflitte a Meta e Apple e chiedono ammende effettive e proporzionate per garantire deterrenza. I procedimenti di non conformità in corso vanno chiusi senza indebiti ritardi. La risoluzione elenca pratiche puntuali sotto osservazione: l’auto-preferenziazione di Google, le schermate di consenso di TikTok basate su tecniche comportamentali, le modifiche dei default e l’accesso ai servizi concorrenti da parte di Microsoft, le clausole di parità tariffaria di Booking.com. Preoccupa anche l’accesso ristretto ai servizi audiovisivi sulle smart TV, con il timore di replicare le dinamiche già viste su Android negli smartphone.

Sul perimetro applicativo, il Parlamento spinge per estendere lo scrutinio agli strumenti di ricerca basati su IA generativa — citando esplicitamente l’AI overview di Google — e ai servizi di cloud computing, qualificati come strategicamente rilevanti. Le priorità di enforcement indicate sono interoperabilità, accesso ai dati, anti-steering e divieto di auto-preferenziazione, valutati in base ai risultati concreti di mercato.

Fonte

EN version

La Commissione pubblica la Review del DMA ex articolo 53

Il 28-29 aprile 2026 la Commissione ha pubblicato la Relazione al Parlamento europeo, al Consiglio e al CESE sulla revisione del Regolamento (UE) 2022/1925, prevista dall’articolo 53 DMA, accompagnata dal relativo Staff Working Document. Si tratta del primo esercizio di review formale del regolamento sui mercati contendibili ed equi nel settore digitale, a circa due anni dall’inizio della piena applicabilità degli obblighi per i gatekeeper designati.

Il testo integrale dei documenti non è disponibile in questa sede; i riferimenti sono COM(2026) 178 final per la relazione e SWD(2026) 123 per il documento di lavoro dei servizi. La tempistica spiega il tono della risoluzione parlamentare adottata pochi giorni dopo: la review arriva mentre sono pendenti procedimenti di non conformità e mentre il dibattito istituzionale si concentra sull’estensione del perimetro a IA generativa e cloud.

Fonte COM/Report

CELEX Report

Staff Working Document

---

STANDARDIZZAZIONE EUROPEA

EN 18235-1:2026 — primo standard europeo sui “trusted data transactions”

CEN e CENELEC, attraverso il Joint Technical Committee CEN-CLC/JTC 25 “Data management, Dataspaces, Cloud and Edge”, hanno pubblicato la norma EN 18235-1:2026 “Trusted data transactions – Part 1: Terminology, concepts and mechanisms”. È il primo deliverable del comitato tecnico, istituito a settembre 2024, e definisce la terminologia condivisa, i concetti chiave e i meccanismi alla base delle transazioni dati fidate nello spazio europeo.

La rilevanza per chi opera in ambito data protection è duplice. Sul piano regolatorio, lo standard si inserisce nel “European Trusted Data Framework” e supporta l’attuazione dell’art. 33 del Data Act (Regolamento (UE) 2023/2854), oltre a fornire un linguaggio comune per Data Governance Act e architetture dei dataspaces europei (Health, Mobility, Manufacturing, ecc.). Sul piano operativo, l’allineamento a una norma armonizzata facilita la dimostrazione della conformità di soluzioni di condivisione e scambio dati e supporta la qualificazione contrattuale dei rapporti tra fornitori, intermediari e utilizzatori. Una seconda parte della serie (prEN 18235-2 sui “trustworthiness requirements”) è attualmente in fase di sviluppo.

Per i DPO e i compliance officer, il punto di attenzione è sapere che questa famiglia di standard può diventare un riferimento tecnico rilevante per dimostrare la conformità nelle architetture di condivisione dati. L’eventuale effetto di “presunzione di conformità” dipenderà, come sempre, dalla citazione dello standard nella Gazzetta Ufficiale dell’Unione europea rispetto alla normativa applicabile.

Fonte

Annual Union Work Programme 2026 per la standardizzazione europea

La Commissione ha pubblicato l’Annual Union Work Programme 2026 (AUWP 2026) per la standardizzazione europea, articolato su cinque priorità chiave e quarantatré azioni a sostegno delle politiche UE per la competitività. CEN e CENELEC ne hanno accolto positivamente la pubblicazione, sottolineando il ruolo della standardizzazione come strumento di implementazione tecnica di AI Act, normative cybersecurity, regime dei dataspaces e regolamenti settoriali.

In parallelo, CEN e CENELEC hanno reso disponibile il proprio Work Programme 2026, che concentra l’attenzione su Intelligenza Artificiale, Cybersecurity e Digital Product Passport come tecnologie che daranno forma al prossimo passaggio della transizione digitale europea.

Per il pubblico DPO/compliance, i due documenti — programma della Commissione e programma di CEN/CENELEC — costituiscono una bussola sulle aree in cui ci si può attendere richieste di standardizzazione armonizzata destinate a incidere, nei prossimi mesi, sui requisiti di conformità tecnicamente dimostrabili.

Fonte CEN/CENELEC Work Programme 2026

Pagina CEN/CENELEC sui dataspaces

---

SVILUPPI INTERNAZIONALI

FPF al 2026 IAPP Global Summit: AI governance al centro

Dal 31 marzo al 2 aprile il Future of Privacy Forum ha partecipato al Global Summit IAPP a Washington, affiancando i propri convening interni con panel pubblici e incontri con regolatori. Tra gli interventi rilevanti, la Senior Fellow Tanya Richardson ha discusso sul panel “In AI We Trust? Governing High-Stakes AI Before Regulators Step In” insieme a Hope Anderson (White & Case), Taylor Galusha (Chime) e Marisha Pareek (DoorDash), proponendo un framework operativo per organizzazioni che si muovono in un perimetro regolatorio in stretta evoluzione.

Il momento più sostanzioso è stato il pranzo PEN con Mike Macko, Deputy Director of Enforcement della California Privacy Protection Agency, che ha illustrato le priorità enforcement 2026 dell’agenzia: ruolo dei team privacy interni nella gestione del rischio organizzativo e interpretazione che la CPPA dà al principio di data minimization in sede di accertamento. Nel Global PEN breakfast, condotto da Jules Polonetsky e Gabriela Zanfir-Fortuna, i temi sono stati framework globali di anonimizzazione, dati sintetici, sovranità digitale e strumenti per scalare la governance AI.

Fonte

La nuova architettura dei dati sanitari nell’era degli LLM

Jordan Wrigley (FPF) analizza un cambio di paradigma nella circolazione dei dati sanitari negli Stati Uniti: i pazienti, esercitando i diritti di accesso obbligatorio, trasferiscono cartelle cliniche fuori dagli ambienti coperti da HIPAA per caricarle su strumenti general-purpose basati su LLM o su tool consumer health customizzati. Una volta usciti dal perimetro di healthcare provider e health plan, quei dati perdono la qualifica di Protected Health Information e si mescolano a informazioni sanitarie consumer prive di tutela federale equivalente.

Il punto critico è che la nuova architettura non è solo tecnica ma policy-driven: combina patient access mandatorio, feature di prodotto e impegni privacy volontari delle piattaforme, generando aspettative dei pazienti-consumatori calibrate su un framework — HIPAA — che a quel punto non si applica più. Wrigley individua quattro nodi aperti: applicabilità regolatoria quando il record esce dallo scope HIPAA, trattamento delle informazioni sanitarie inferite su soggetti non utenti, capacità degli strumenti AI di gestire sfumature cliniche e giudizio medico, misurabilità dell’efficacia delle salvaguardie privacy volontarie.

La questione interessa anche la lettura europea: dati che in UE sarebbero categorie particolari ex art. 9 GDPR vengono trattati negli USA in un limbo dove il consenso del paziente al trasferimento neutralizza la protezione settoriale.

Fonte

La professione privacy si riposiziona: da “voce solitaria” a snodo di governance

Doug Miller (FPF Senior Fellow) propone una rilettura del ruolo dei team privacy alla luce della proliferazione di temi che fino a ieri venivano definiti “privacy adjacent”: AI governance, youth online safety, age assurance, cybersecurity, trust and safety, content moderation, GRC, ruolo della GenAI nell’advertising. Miller li riqualifica come “data governance gateways”: dossier che l’organizzazione prioritizza per ragioni proprie ma che riportano sempre alla base dati e quindi al perimetro privacy.

La tesi operativa è duplice. Primo, costruire alleanze interne — in particolare con il CISO, che spesso dispone di budget non accessibili al team privacy — trasforma l’apparente diluizione in leva di influenza reale. Secondo, presidiare l’AI governance va letto come un’opportunità di accesso al C-suite più che come sovraccarico del team. Miller distingue tra influenza formale sull’organigramma e influenza sostanziale, fondata su comunicazione, leadership trasversale e qualità delle interazioni con stakeholder eterogenei.

Fonte

---

INTELLIGENZA ARTIFICIALE

Minnesota mette al bando le app di “nudificazione”

Il Minnesota è il primo Stato USA a vietare le app che generano immagini di nudo a partire da foto di persone reali. Il Senato statale ha approvato il testo all’unanimità (65-0) dopo il via libera della Camera, e il governatore Tim Walz dovrebbe firmare a breve, con entrata in vigore prevista ad agosto.

La legge colpisce sviluppatori di siti, app, software o servizi progettati per “nudificare” immagini: l’attorney general può imporre sanzioni fino a 500.000 dollari per ogni immagine segnalata, oltre a danni anche punitivi su /azione delle vittime e blocco dei prodotti nello Stato. Le somme raccolte finanziano servizi per vittime di violenza sessuale, crimini, violenza domestica e abusi su minori.

Punto tecnico rilevante: la legge esclude i prodotti che richiedono “the technical skill of a user to nudify an image or video”, per evitare di colpire strumenti generalisti come Photoshop. Il perimetro è quindi ristretto alle applicazioni one-click. La senatrice Erin Maye Quade ha presentato il testo dopo l’emersione del caso di un uomo che aveva nudificato immagini di oltre 80 donne della propria cerchia. Nella stesura RAINN ha consultato aziende tech per limitare contestazioni di portata.

Fonte

Shadow AI e governance: webinar Airia–SecurityWeek

Airia e SecurityWeek hanno organizzato il 28 aprile un webinar dedicato alla governance dell’AI in azienda, focalizzato sul fenomeno della Shadow AI: l’adozione di strumenti generativi e agentici da parte dei dipendenti senza supervisione IT. Il taglio dichiarato è operativo: superare la dicotomia “block or allow”, mappare i punti d’ingresso non autorizzati, costruire workflow di approvazione e sandbox, distinguere i requisiti di governance per archetipi diversi (chat LLM vs. agenti autonomi) e istituire un AI Council interfunzionale tra IT, Legal e business.

Fonte

Parere CESE sull’Apply AI Strategy

Il Comitato economico e sociale europeo ha adottato il parere sulla Comunicazione della Commissione al Parlamento e al Consiglio relativa all’Apply AI Strategy (COM(2025) 723 final), pubblicato in Gazzetta Ufficiale UE. Il documento accompagna il pacchetto con cui la Commissione intende spingere l’adozione applicata dell’AI nei settori industriali e nei servizi pubblici europei.

Fonte

CELEX

AI Act: si arena il negoziato sul rinvio delle regole high-risk

Nella notte tra martedì e mercoledì il trilogo tra Parlamento europeo e Consiglio è naufragato senza un’intesa sul pacchetto che avrebbe dovuto rinviare a dicembre 2027 l’applicazione delle regole sui sistemi ad alto rischio dell’AI Act, oltre a introdurre il divieto delle app di nudificazione. In assenza di accordo, gli obblighi relativi ai sistemi di IA ad alto rischio restano destinati ad applicarsi dal 2 agosto 2026, e il fallimento del deadline informale di fine aprile apre un problema di certezza del diritto.

Il nodo politico è l’AI industriale. Il PPE, sostenuto dalla Germania del cancelliere Friedrich Merz, chiede di estrarre macchinari e dispositivi medici dal perimetro dell’AI Act per ricondurli alla normativa settoriale, eliminando quella che definisce “double regulation” — una linea che favorisce gruppi come Siemens e Bosch. La liberale tedesca Svenja Hahn ha attaccato la presidenza cipriota del Consiglio per la mancanza di compromesso. Sul fronte opposto, diversi Stati membri e i S&D respingono l’esenzione; la verde olandese Kim van Sparrentak ha parlato di “German EPP coup”. La relatrice Arba Kokalari (ECR, Svezia) ha chiesto più tempo. La VP esecutiva Henna Virkkunen ha sollecitato la chiusura rapida del dossier. Data di ripresa dei negoziati non fissata.

Fonte

---

CYBERSECURITY

CopyFail (CVE-2026-31431): escalation locale dei privilegi nel kernel Linux, exploit pubblico

CISA ha inserito CVE-2026-31431 nel catalogo KEV il 2 maggio 2026, confermando lo sfruttamento attivo. La vulnerabilità, ribattezzata CopyFail (o Copy Fail) dai ricercatori di Theori e Xint, è una local privilege escalation nel template crittografico di autenticazione del kernel Linux (CVSS 7.8). Nasce da tre modifiche separate e individualmente innocue introdotte nel 2011, 2015 e 2017, e colpisce le distribuzioni rilasciate dal 2017 in poi. Le patch sono nei kernel 6.18.22, 6.19.12 e 7.0.

L’exploit corrompe la page cache in memoria di file leggibili — inclusi i binari setuid come /usr/bin/su — iniettando codice eseguito con privilegi elevati senza toccare il disco. Il rischio è particolarmente rilevante per ambienti containerizzati: Docker, LXC e Kubernetes possono esporre il sottosistema AF_ALG ai processi nei container quando il modulo algif_aead è caricato sull’host, con conseguente rischio di bypass dell’isolamento. La rilevazione è ardua perché l’exploit usa solo system call legittime.

Il vettore realistico, sintetizzato da Jorijn Schrijvershof, è la catena RCE-low-privilege seguita da escalation: una vulnerabilità in un plugin WordPress porta shell come www-data, poi CopyFail collassa il confine fra tenant sullo stesso kernel — nodi Kubernetes condivisi, hosting multi-tenant, runner CI/CD che eseguono pull request non fidate, istanze WSL2, agenti AI containerizzati.

Fonte CISA/KEV

Analisi Ars Technica

cPanel: CVE-2026-41940 sfruttata in massa per il ransomware “Sorry”

Almeno 44.000 indirizzi IP che eseguono cPanel risultano compromessi secondo Shadowserver, dopo l’emergenza patch rilasciata questa settimana per un authentication bypass critico in WHM/cPanel. I tentativi di sfruttamento risalgono a fine febbraio: era zero-day. Da giovedì gli attaccanti distribuiscono un encryptor Linux scritto in Go che cifra i file con ChaCha20, protegge la chiave con RSA-2048 e appende l’estensione .sorry. Centinaia di siti compromessi sono già indicizzati su Google. Il riscatto si negozia via Tox. Rivitna conferma che senza la chiave privata RSA-2048 la decifratura è impossibile. La campagna non ha collegamenti con quella del 2018 basata su HiddenTear che usava la stessa estensione.

Fonte

Telegram Mini Apps come piattaforma di frode: l’operazione FEMITBOT

CTM360 ha mappato un’infrastruttura fraudolenta — denominata FEMITBOT da una stringa ricorrente nelle risposte API (“Welcome to join the FEMITBOT platform”) — che abusa dei Mini App di Telegram per crypto scam, finte piattaforme finanziarie, AI tool fasulli e siti di streaming. I bot caricano pagine di phishing direttamente nella WebView di Telegram, mostrando dashboard con bilanci fittizi e timer a scadenza; al tentativo di prelievo, l’utente viene indirizzato a depositi o task di referral (schema advance-fee classico). I brand impersonati includono Apple, Coca-Cola, Disney, eBay, IBM, MoonPay, NVIDIA e YouKu. Il backend è condiviso fra domini diversi e l’infrastruttura integra pixel di tracciamento Meta e TikTok per misurare conversioni. Alcuni Mini App veicolano APK Android che imitano BBC, NVIDIA, CineTV, Coreweave e Claro, distribuiti anche tramite progressive web app.

Fonte

ANTS: 15enne fermato per la vendita dei dati dell’agenzia francese

La Procura di Parigi ha annunciato il fermo di un quindicenne sospettato di aver messo in vendita su un forum criminale i dati esfiltrati da France Titres (ANTS), l’agenzia che gestisce i documenti amministrativi francesi. ANTS aveva rilevato attività sospetta il 13 aprile e notificato le autorità il 16 aprile. Il minore, attivo con il moniker “breach3d”, avrebbe offerto tra 12 e 18 milioni di record; l’agenzia ha quantificato in 11,7 milioni gli account effettivamente impattati, con esposizione di nome completo, email, data di nascita, indirizzo postale e numero di telefono. ANTS sostiene che i dati rubati non consentano accessi non autorizzati. Le accuse — accesso non autorizzato, persistenza ed esfiltrazione da sistema statale di trattamento automatizzato di dati personali, oltre al possesso di software per commettere i reati — sono punite fino a sette anni di reclusione e 300.000 euro di multa. La Procura ha chiesto il collocamento sotto controllo giudiziario in attesa della decisione del giudice istruttore.

Fonte

---

RICERCA SCIENTIFICA

Selezione dei paper più rilevanti della settimana da arXiv su AI, Machine Learning e Privacy

Privacy-preserving ML in ambito sanitario

Fidelity, Diversity, and Privacy: A Multi-Dimensional LLM Evaluation for Clinical Data Augmentation

Gli autori valutano l’uso di LLM per generare dati sintetici annotati in ambito mental health, dove la scarsità di dataset di qualità si scontra con i vincoli di condivisione. La proposta è un framework di valutazione multi-dimensionale che misura simultaneamente fedeltà, diversità e tenuta privacy del sintetico — tre assi che, presi singolarmente, danno un quadro fuorviante della qualità del dataset generato.

arXiv

Privacy-Preserving Federated Learning via Differential Privacy and Homomorphic Encryption for Cardiovascular Disease Risk Modeling

Combinazione di DP e omomorfismo per il rischio cardiovascolare in setting federato, evitando la centralizzazione di record clinici anonimizzati presso un singolo titolare. L’approccio stacked PET è interessante perché distribuisce il rischio di re-identificazione su due livelli indipendenti (rumore + cifratura), riducendo la superficie di esposizione tipica delle architetture FL “vanilla”.

arXiv

Differential Privacy e dataset sintetici

DP-CDA: An Algorithm for Enhanced Privacy Preservation in Dataset Synthesis Through Randomized Mixing

Algoritmo di sintesi dataset basato su mixing randomizzato class-aware con garanzie DP. Gli autori partono dall’osservazione — ormai consolidata in letteratura — che l’anonimizzazione classica non regge contro attacchi di re-identificazione, e propongono un meccanismo che opera direttamente nella fase di generazione. Rilevante per chi valuta sintetici come misura di minimizzazione ex art. 5(1)(c) GDPR: la garanzia DP è argomentabile, l’anonimizzazione “by mixing” senza budget no.

arXiv

Meta-Learning and Targeted Differential Privacy to Improve the Accuracy-Privacy Trade-off in Recommendations

Il paper applica DP solo ai dati utente più “stereotipici”, quelli che con maggiore probabilità rivelano attributi sensibili come genere o età, evitando di perturbare l’intero dataset. Combinato con meta-learning, l’approccio targeted riduce la degradazione di accuracy tipica della DP uniforme. La logica del “rumore dove serve” è coerente con un principio di proporzionalità del trattamento.

arXiv

Machine unlearning e diritto alla cancellazione

Machine Unlearning for Class Removal through SISA-based Deep Neural Network Architectures

Architettura SISA (Sharded, Isolated, Sliced, Aggregated) applicata alla rimozione di intere classi da DNN già addestrate, in risposta a richieste di cancellazione che colpiscono modelli già influenzati dai dati. Diretto collegamento all’art. 17 GDPR quando la cancellazione deve estendersi ai parametri del modello, non solo al training set: la sola eliminazione del dato a monte non basta se il modello ne conserva traccia.

arXiv

Attacchi e leakage in LLM e inference serving

Quantamination: Dynamic Quantization Leaks Your Data Across the Batch

Gli autori mostrano che la quantizzazione dinamica — usata per efficienza in fase di serving — fa leakare informazione tra input dello stesso batch, perché i parametri di quantizzazione sono calcolati a runtime sui tensori effettivi. Un input “vittima” può quindi essere influenzato (e parzialmente ricostruito) tramite input co-batched controllati dall’attaccante. Vettore di attacco nuovo per inference-as-a-service multi-tenant, da considerare nelle threat model di pipeline ML produttive.

arXiv

Decomposed Trust: Privacy, Adversarial Robustness, Ethics, and Fairness in Low-Rank LLMs

Analisi sistematica di come la compressione low-rank degli LLM impatti su quattro assi di trustworthiness: privacy, robustezza adversariale, etica e fairness. Il messaggio implicito è che la compressione non è un’operazione neutra rispetto al rischio, e va valutata oltre la sola accuracy preservata. Utile per chi sta producendo documentazione tecnica sui modelli ai sensi degli obblighi di trasparenza dell’AI Act.

arXiv

Software supply chain security

eDySec: A Deep Learning-based Explainable Dynamic Analysis Framework for Detecting Malicious Packages in PyPI Ecosystem

Framework di analisi dinamica explainable per individuare pacchetti malevoli su PyPI, con focus su attacchi multi-fase, attivazione di accesso remoto e payload generati dinamicamente — categorie che eludono l’analisi statica. La componente di explainability è il punto rilevante: in un contesto NIS2, poter giustificare perché un pacchetto è stato classificato come malevolo è parte integrante della gestione dell’incidente, non un nice-to-have.

arXiv

---

AI ACT IN PILLOLE - Parte 19

Articolo 23 – Obblighi degli importatori

Dopo aver esaminato nella scorsa puntata la figura del rappresentante autorizzato, strumento attraverso cui i fornitori extra-UE possono operare nel mercato europeo, proseguiamo il nostro percorso lungo la catena del valore dei sistemi di IA analizzando un altro attore cruciale: l’importatore. L’Articolo 23 dell’AI Act delinea infatti una serie di obblighi specifici che ricadono su chi introduce nel mercato dell’Unione sistemi di IA ad alto rischio provenienti da Paesi terzi.

Chi è l’importatore e perché ha un ruolo centrale

L’importatore, ai sensi del Regolamento, è la persona fisica o giuridica stabilita nell’Unione che immette sul mercato un sistema di IA recante il nome o il marchio di un soggetto stabilito al di fuori dell’UE. Si tratta di una figura strategica, perché rappresenta il primo punto di contatto del sistema con il mercato europeo e, di fatto, il primo “filtro” di conformità sostanziale dopo la produzione extra-UE.

Il legislatore europeo, mutuando l’approccio già consolidato nella legislazione di sicurezza dei prodotti (si pensi al Regolamento Macchine o al Regolamento sui dispositivi medici), assegna agli importatori una funzione di verifica preventiva: prima di immettere sul mercato un sistema di IA ad alto rischio, essi devono accertarsi che il fornitore abbia effettivamente assolto i propri obblighi.

Gli obblighi di verifica preventiva

L’Articolo 23 impone all’importatore di verificare, prima dell’immissione sul mercato, che il fornitore abbia espletato la procedura di valutazione della conformità prevista dall’Articolo 43, che abbia redatto la documentazione tecnica di cui all’Articolo 11 e all’Allegato IV, che il sistema rechi la marcatura CE e sia accompagnato dalla dichiarazione di conformità UE e dalle istruzioni per l’uso. Inoltre, deve verificare che il fornitore abbia nominato un rappresentante autorizzato ai sensi dell’Articolo 22.

Si tratta di un controllo documentale e formale, ma sostanziale negli effetti: se l’importatore ritiene, o ha motivo di ritenere, che il sistema non sia conforme, non può immetterlo sul mercato finché non sia stato reso conforme. E qualora il sistema presenti un rischio ai sensi dell’Articolo 79, paragrafo 1, l’importatore deve informarne il fornitore, i rappresentanti autorizzati e le autorità di vigilanza del mercato.

Tracciabilità e cooperazione

Un secondo nucleo di obblighi riguarda la tracciabilità. Gli importatori devono indicare sul sistema di IA ad alto rischio – o, ove ciò non sia possibile, sull’imballaggio o nella documentazione di accompagnamento – il proprio nome, la denominazione commerciale registrata e l’indirizzo presso il quale possono essere contattati. Devono inoltre garantire che, finché il sistema è sotto la loro responsabilità, le condizioni di stoccaggio o di trasporto non ne compromettano la conformità.

Per dieci anni dall’immissione sul mercato, l’importatore deve conservare una copia del certificato rilasciato dall’organismo notificato, delle istruzioni per l’uso e della dichiarazione di conformità UE, mettendoli a disposizione delle autorità competenti su richiesta motivata, anche in una lingua facilmente comprensibile.

Implicazioni pratiche per le organizzazioni

Per le imprese europee che importano sistemi di IA ad alto rischio – si pensi a un distributore italiano di software di selezione del personale sviluppato negli Stati Uniti, o a un’azienda che importa dispositivi biometrici prodotti in Asia – l’Articolo 23 impone la strutturazione di processi interni di due diligence documentale. Non è sufficiente affidarsi alle dichiarazioni del fornitore: occorre verificare attivamente la presenza e la coerenza della documentazione tecnica, predisporre sistemi di archiviazione decennale e definire protocolli di comunicazione con autorità e fornitori in caso di non conformità.

Le sanzioni richiamate dall’Articolo 99 possono raggiungere i 15 milioni di euro o il 3% del fatturato mondiale annuo per violazioni degli obblighi degli operatori, rendendo evidente la centralità di un presidio di compliance robusto.

---

Nella Parte 20 affronteremo l’Articolo 24 – Obblighi dei distributori, completando così il quadro delle responsabilità lungo la filiera commerciale dei sistemi di IA ad alto rischio.

---

Revisione contrattuale assistita dall’AI: prompt per clausole e DPA

Dopo aver visto la scorsa settimana come integrare il Legal Prompting nei processi di compliance senza generare rischi aggiuntivi, entriamo ora in un terreno operativo molto richiesto: la revisione contrattuale, con particolare riferimento ai Data Processing Agreement e alle clausole sensibili in materia di trattamento dati, riservatezza e responsabilità.

La tentazione di “dare in pasto” un contratto al modello chiedendo un parere generico è forte, ma produce risultati ingannevoli. I modelli linguistici, ricordiamolo, non ragionano come i giuristi: costruiscono output statisticamente plausibili e tendono a confermare la struttura del testo che ricevono, anche quando questa è giuridicamente debole. Per questo la supervisione umana resta un obbligo deontologico, non un’opzione.

Un prompt efficace per la revisione di un DPA dovrebbe essere costruito su più livelli. Primo livello: definizione del ruolo e del quadro normativo. Esempio: “Agisci come legale specializzato in protezione dei dati. Analizza la clausola seguente alla luce dell’art. 28 GDPR e delle Linee guida EDPB 07/2020. Non fornire valutazioni se la clausola è ambigua: segnala l’ambiguità.” Secondo livello: richiesta strutturata. Chiedi di identificare (a) gli elementi minimi obbligatori presenti, (b) quelli mancanti, (c) le clausole potenzialmente squilibrate a sfavore del titolare, (d) i rinvii a documenti esterni non allegati. Terzo livello: vincolo di prudenza. Aggiungi sempre un’istruzione del tipo “Se un punto richiede valutazioni discrezionali o di opportunità commerciale, astieniti e segnalalo come ‘da verificare con il cliente’.”

Lo stesso schema si applica alle clausole di limitazione di responsabilità, alle SCC, alle previsioni su sub-responsabili e trasferimenti extra-UE. Utile chiedere al modello di produrre una tabella comparativa tra clausola ricevuta e formulazione standard, evidenziando gli scostamenti — un approccio che riduce il rischio di “allucinazioni interpretative” e rende il lavoro tracciabile.

Resta centrale la questione infrastrutturale: caricare bozze contrattuali su servizi cloud generalisti, soprattutto se contenenti dati di clienti o controparti, può configurare violazioni del segreto professionale e degli obblighi di riservatezza, oltre a problemi sotto il profilo del GDPR e della Legge 132/2025. Per la revisione contrattuale, l’uso di modelli locali o di soluzioni enterprise con garanzie contrattuali adeguate non è una preferenza tecnica, ma una scelta di compliance. L’AI Act, peraltro, rafforza l’esigenza di tracciabilità e governance anche sugli usi professionali interni.

Una buona pratica conclusiva: conservare il prompt utilizzato insieme alla revisione finale, come parte del fascicolo. Documenta il processo, dimostra la supervisione umana e tutela il professionista in caso di contestazioni.

La prossima settimana affronteremo proprio il nodo del segreto professionale e infrastruttura: quali modelli sono compatibili con gli obblighi deontologici, quando il locale è imprescindibile e come valutare i fornitori cloud.

Per approfondire:

Legal Prompting: la nuova frontiera dell’AI in ambito giuridico

.

---

PODCAST

In questo sesto episodio applichiamo le tecniche di prompting all’analisi dei contratti.

Tre operazioni distinte, ciascuna con un proprio prompt:

---

Eventi e incontri segnalati

Marking 10 years of the GDPR: the evolution of the European data protection landscape (notizia del 27 aprile 2026)

EDPB |

Info

Apply AI sectoral deep dive - electronic communications (evento del 30 aprile 2026)

European Commission |

Info

High-Level Debate: “From Omnibus to Opportunity: Driving Data Protection and Innovation” (evento dell'8 giugno 2026)

EDPS |

Info

---

Conclusione

Dieci anni di GDPR e la sensazione, leggendo le carte di questa settimana, è che il Regolamento sia diventato il convitato di pietra di un ecosistema normativo che lo ha superato per ambizione ma non per maturità applicativa. L’EDPB celebra l’anniversario raccontando un’evoluzione virtuosa verso DSA, DMA e AI Act; il Garante italiano accompagna il decennale con un episodio dedicato del proprio podcast, nel solco di un lavoro di divulgazione che resta uno dei tratti distintivi dell’Autorità. Il quadro reale, però, è meno lineare: il Parlamento chiede a gran voce un’applicazione più rigorosa del DMA “contro pressioni esterne”, segnale che il fronte enforcement è esposto a un logoramento politico che nel 2018 sembrava impensabile.

Il filo che lega le notizie di questi giorni è la frizione crescente tra finalità di pubblica sicurezza e principio di minimizzazione. Il Garante italiano che richiama gli albergatori sull’obbligo di distruggere le copie dei documenti dopo la comunicazione alle autorità di pubblica sicurezza non è un intervento di nicchia: è la riaffermazione di un principio che molti operatori, complici WhatsApp e abitudini digitali, hanno smesso di considerare vincolante. Sul piano europeo, la stessa logica si gioca su scala diversa: l’Entry/Exit System entra a regime con dati biometrici di cittadini di paesi terzi, la revisione del Regolamento Europol procede, l’azione coordinata sui minori sotto i quindici anni trattati come sospetti o potenziali criminali apre interrogativi che il sistema, fino a ieri, preferiva non porsi. La vicenda dell’EU Age Verification App — lanciata il 15 aprile e trovata vulnerabile a difetti critici di sicurezza nelle prime ore — è il caso emblematico di una buona intenzione (proteggere i minori online) tradotta in un’architettura tecnica che il Parlamento stesso chiede ora di sospendere: senza disclosure selettiva e privacy by design, anche il più virtuoso degli obiettivi diventa un vettore di rischio.

C’è un’asimmetria che andrebbe nominata con chiarezza: chiediamo al singolo albergatore una rigorosa cancellazione dei dati a finalità esaurita e, contemporaneamente, costruiamo architetture pubbliche di sorveglianza la cui proporzionalità viene contestata dalla stessa autorità che dovrebbe vigilarvi. Non è ipocrisia normativa, è il segno che il GDPR funziona meglio in orizzontale, sul tessuto privato, che in verticale, sui poteri pubblici. Dieci anni dopo, questa è la fragilità più seria.

Sul versante AI e dataspaces, due segnali concreti dalla settimana. Il Minnesota che vieta i deepfake pornografici con sanzioni fino a 500.000 dollari mostra una direzione che l’Europa, con l’AI Act, ha scelto di non percorrere con la stessa nettezza, preferendo categorie generali a divieti chirurgici; vedremo presto se l’approccio sistemico regge l’urto della casistica concreta o se finiremo per importare, di fatto, soluzioni puntuali da ordinamenti che hanno meno scrupoli tassonomici. Sul fronte dataspaces, la pubblicazione della EN 18235-1:2026 sulle “trusted data transactions” porta finalmente sul piano normativo armonizzato il vocabolario di base dei meccanismi di scambio dati: un tassello tecnico che, se accompagnato dalle parti successive della serie, potrà dare forma operativa al “European Trusted Data Framework” che fino a ieri esisteva solo nei programmi di lavoro.

---

📧 A cura di Nicola Fabiano

Avvocato - Studio Legale Fabiano

🌐 Studio Legale Fabiano:

https://www.fabiano.law

🌐 Blog:

https://www.nicfab.eu

🌐 DAPPREMO:

www.dappremo.eu

---

Supporter

https://lawandtechnology.eu/

https://caffe20.it/

https://privacykit.it/

---

Iscriviti alla newsletter su

nicfab.eu

Segui le nostre news su questi canali:

Telegram

Telegram →

@nicfabnews

Matrix

Matrix →

#nicfabnews:matrix.org

Mastodon

Mastodon →

@nicfab@fosstodon.org

Bluesky

Bluesky →

@nicfab.eu

---

.newsletter-subscription-box {

max-width: 600px;

margin: 2.5rem auto;

padding: 2.5rem;

background: linear-gradient(135deg, #f8f9fa 0%, #e9ecef 100%);

border-radius: 12px;

border: 2px solid #7f1d1d;

box-shadow: 0 4px 6px rgba(0,0,0,0.1);

}

.newsletter-form-group {

margin-bottom: 1.5rem;

}

.newsletter-form-label {

display: block;

font-size: 1.1rem;

font-weight: 700;

margin-bottom: 0.75rem;

color: #1a1a1a;

}

.newsletter-form-input {

width: 100%;

padding: 1rem;

border: 2px solid #ddd;

border-radius: 8px;

font-size: 1rem;

transition: all 0.3s ease;

box-sizing: border-box;

}

.newsletter-form-input:focus {

outline: none;

border-color: #7f1d1d;

box-shadow: 0 0 0 4px rgba(127, 29, 29, 0.1);

}

.newsletter-captcha-group {

margin-bottom: 1.5rem;

display: flex;

justify-content: center;

}

.newsletter-submit-btn {

width: 100%;

padding: 1.25rem;

background: #7f1d1d;

color: white;

border: none;

border-radius: 8px;

font-size: 1.1rem;

font-weight: 700;

cursor: pointer;

transition: all 0.3s ease;

text-transform: uppercase;

letter-spacing: 0.5px;

}

.newsletter-submit-btn:hover {

background: #991b1b;

transform: translateY(-2px);

box-shadow: 0 4px 12px rgba(127, 29, 29, 0.3);

}

.newsletter-submit-btn:disabled {

background: #9ca3af;

cursor: not-allowed;

transform: none;

box-shadow: none;

}

.newsletter-privacy-notice {

margin-top: 1.5rem;

text-align: center;

font-size: 0.9rem;

color: #666;

line-height: 1.6;

}

.newsletter-privacy-notice a {

color: #7f1d1d;

text-decoration: underline;

font-weight: 600;

}

Indirizzo Email *

Nome

Iscriviti alla Newsletter

Rispettiamo la tua privacy. Double opt-in obbligatorio. Disiscrizione in qualsiasi momento.

Informativa Privacy

---

Torna all'elenco newsletter

Sezione italiana

Home

Proxied content from gemini://nicfab.eu/it/newsletterit/2026/2026-05-05-issue-19_it.gmi

Gemini request details:

Original URL
gemini://nicfab.eu/it/newsletterit/2026/2026-05-05-issue-19_it.gmi
Status code
Success
Meta
text/gemini;lang=en-US
Proxied by
kineto

Be advised that no attempt was made to verify the remote SSL certificate.