Newsletter #21 - 19 maggio 2026

Leggi sul sito

---

NicFab Newsletter

Numero 21 | 19 maggio 2026

Privacy, Data Protection, AI e Cybersecurity

---

Benvenuti al numero 21 della newsletter settimanale dedicata alla privacy, alla data protection, all’intelligenza artificiale, alla cybersecurity e all’etica. Ogni martedì troverete una selezione ragionata delle notizie più rilevanti della settimana precedente, con un focus su sviluppi normativi europei, giurisprudenza, enforcement e innovazione tecnologica.

---

In questo numero

---

GARANTE PRIVACY ITALIA

Garlasco, il Garante richiama i media sulla spettacolarizzazione del caso

Il Garante, con comunicato del 15 maggio 2026, ha rivolto un fermo richiamo ai media dopo la diffusione, su una piattaforma televisiva online, dell’audio e della trascrizione dei colloqui tra Alberto Stasi e il suo difensore, conversazioni coperte dal divieto di utilizzo previsto dal Codice di procedura penale e oggetto di stigmatizzazione anche da parte dell’Unione delle Camere penali italiane.

L’Autorità prende atto della rimozione del servizio televisivo, ma non chiude la partita: continua a vigilare sulla vicenda alla luce dei reclami presentati dagli interessati e si riserva di intervenire ulteriormente rispetto alle istruttorie già aperte. Il richiamo investe il rispetto della normativa sulla protezione dei dati, delle Regole deontologiche dei giornalisti del 29 novembre 2018 e delle garanzie costituzionali, con esplicito riferimento al principio di essenzialità dell’informazione, qui travolto da una narrazione mediatica che il Garante definisce “continua e morbosa”. La tutela è estesa non solo alla vittima e ai familiari, ma anche agli indagati e a chiunque sia richiamato nella vicenda.

Il passaggio operativamente rilevante è l’avvertimento finale: anche la riproduzione, la condivisione o l’ulteriore diffusione di contenuti acquisiti illecitamente può integrare violazione della disciplina sui dati personali. Il perimetro sanzionatorio si estende quindi agli utilizzatori a valle, non solo a chi ha originato la pubblicazione.

Fonte

---

EDPB - COMITATO EUROPEO PROTEZIONE DATI

Opinion 13/2026: l’EDPB sui criteri di accreditamento degli organismi di certificazione finlandesi

Il 12 maggio 2026 il Comitato europeo per la protezione dei dati ha adottato l’Opinion 13/2026 sulla bozza di decisione dell’Office of the Data Protection Ombudsman finlandese relativa all’approvazione dei requisiti di accreditamento di un organismo di certificazione ai sensi dell’art. 43(3) GDPR.

Si tratta di un parere ex art. 64 GDPR nella consueta procedura di consistency: l’autorità nazionale sottopone i requisiti aggiuntivi di accreditamento, l’EDPB verifica l’allineamento con le Guidelines 4/2018 sull’accreditamento degli organismi di certificazione e con il combinato disposto degli artt. 42 e 43 GDPR. L’obiettivo è garantire che i criteri finlandesi, che integrano la norma ISO/IEC 17065 richiamata dal GDPR come base, siano coerenti con quelli già approvati negli altri Stati membri, evitando frammentazione nello scenario delle certificazioni GDPR.

Il parere rileva per chi segue il dossier certificazioni: il quadro europeo continua a consolidarsi Stato per Stato, e la Finlandia si aggiunge alla lista delle giurisdizioni con requisiti di accreditamento formalmente vagliati dal Comitato.

Fonte

---

COMMISSIONE EUROPEA

La Commissione europea ha pubblicato il 13 maggio 2026 il report sui principali risultati della revisione della Direttiva (UE) 2019/790 sul diritto d’autore nel mercato unico digitale, prevista dall’articolo 30 della stessa Direttiva non prima di giugno 2026. Il documento, gestito da DG CNECT – Unit I.2, accompagna la call for evidence rivolta a stakeholder e cittadini per raccogliere osservazioni sull’impostazione del problema e sulle possibili soluzioni.

Il riferimento politico è la European Democracy Shield Communication del 12 novembre 2025, che richiama questa revisione e segnala le criticità per i creatori nell’ambiente digitale. La revisione si muove su due binari paralleli: da un lato il report previsto dall’articolo 30, dall’altro una targeted initiative di natura legislativa, con pianificazione indicativa Q1-2027. Il perimetro tematico tocca i nodi noti della CDSM: text and data mining, responsabilità delle piattaforme ex articolo 17, diritti dei publisher, remunerazione di autori e artisti interpreti.

Fonte

Insieme al report di revisione, la Commissione ha annunciato la proposta di una nuova Direttiva volta a rafforzare il quadro del diritto d’autore per creatività e innovazione europee. Anche questa iniziativa è in capo a DG CNECT – Unit I.2, con pianificazione indicativa Q1-2027 e qualificazione esplicita come legislative proposal nell’ambito della targeted initiative collegata alla revisione della CDSM.

Il documento è pubblicato come call for evidence: la Commissione raccoglie input su definizione del problema, opzioni di intervento e relativi impatti. Il collegamento con la European Democracy Shield Communication del 12 novembre 2025 e con le difficoltà segnalate dai creatori orienta il baricentro della proposta verso il rapporto tra autori, piattaforme e modelli di sfruttamento dei contenuti nell’ambiente online. Chi opera su licensing, gestione collettiva, TDM e training di modelli generativi ha qui una finestra per incidere prima che il testo prenda forma.

Fonte

---

CNIL - AUTORITÀ FRANCESE

Euro digitale: il punto sulla riservatezza

CNIL e BfDI tedesca tornano sul progetto di euro digitale mentre la proposta di regolamento è in discussione al Parlamento europeo e l’Eurosystem prepara l’emissione entro il 2029. Le due autorità, che assistono le istituzioni UE dall’avvio del progetto, insistono su un punto: senza un livello elevato di protezione dei dati, il progetto non funziona, e l’euro digitale deve migliorare la posizione dei cittadini rispetto all’attuale ecosistema dei pagamenti, dominato da operatori privati extra-europei.

Il percorso: consultazione pubblica BCE fine 2020, progetto di prefigurazione dell’Eurosystem estate 2021, proposta di regolamento della Commissione estate 2023, ora in codecisione. Adozione attesa non prima del prossimo anno, pilota dell’Eurosystem inizio 2027, emissione orizzonte 2029. L’obiettivo dichiarato non è sostituire il contante ma affiancarlo con uno strumento più inclusivo (non richiede conto bancario), privo di rischio di controparte in quanto credito sulla banca centrale, con corso legale e accettazione generalmente obbligatoria.

Il nodo per i garanti resta l’infrastruttura: equivalente digitale del contante significa minimizzazione dei dati di transazione e architettura che impedisca alla BCE e agli intermediari di ricostruire i comportamenti di pagamento.

Fonte

Occhiali connessi: piano d’azione CNIL

La CNIL lancia un piano d’azione sugli occhiali connessi dopo un’indagine condotta dal 22 al 29 gennaio 2026 su un campione di 2.128 persone rappresentativo della popolazione francese maggiorenne. Il 67% dei rispondenti considera questi dispositivi un rischio per la vita privata.

Il perimetro tecnico: occhiali da vista o da sole con microfono e camera nella montatura, collegati allo smartphone tramite app dedicata, spesso integrati con un sistema di IA che attiva i sensori per rispondere a richieste vocali del portatore (“descrivimi cosa vedo”, “traduci ciò che dice la persona di fronte a me”). Alcuni produttori stanno sviluppando versioni autonome dallo smartphone, con display integrato nelle lenti e controllo tramite neuro-tecnologie, ad esempio un braccialetto che rileva e interpreta i gesti della mano.

Le preoccupazioni rilevate riguardano in particolare il diritto all’immagine dei terzi e il loro consenso — il portatore registra, chi gli sta di fronte spesso non lo sa — oltre agli usi derivati abilitati dall’IA. Sul punto, la posizione del Comité européen sull’uso di dati personali per addestrare modelli e la disciplina del riconoscimento facciale restano i riferimenti operativi.

Fonte

Ordine del giorno della plenaria del 12 maggio 2026

Seduta plenaria CNIL del 12 maggio. In apertura, bilancio dell’attività dei reclami e dell’esercizio dei diritti indiretti per il 2025. A seguire, in procedura ex articolo 17 del regolamento interno: parere su un progetto di decreto relativo all’obbligo di dichiarazione pubblica di interessi dei membri del comitato delle soluzioni per la protezione delle colture (articolo L. 253-8-4 del code rural); parere su un progetto di decreto che modifica quello del 7 luglio 2017 sulla teledichiarazione dei legami di interesse (articolo R. 1451-3 code de la santé publique); decisione unica che autorizza ICADOM a trattamenti per studi di fattibilità con accesso ai dati nazionali PMSI; rinnovo della decisione unica a favore di Pierre Karam conseil santé per studi su indicatori di attività degli istituti sanitari; abilitazione di agenti CNIL a missioni di verifica.

Fonte

---

CONSIGLIO DELL’UNIONE EUROPEA

Semplificazione dell’AI Act: il Consiglio scrive al Parlamento

Il Consiglio ha trasmesso al Parlamento europeo una lettera sulla proposta di regolamento che modifica il Regolamento (UE) 2024/1689 (AI Act) e il Regolamento (UE) 2018/1139, finalizzata a semplificare l’attuazione delle regole armonizzate sull’intelligenza artificiale (documento ST 9247 2026 INIT, 12 maggio 2026). L’intervento incide su due assi: l’AI Act stesso e la normativa sull’aviazione civile, ambito in cui i sistemi AI ad alto rischio si sovrappongono a regimi settoriali già densi. La direzione è quella già emersa con l’Omnibus: ridurre oneri, allineare obblighi, evitare duplicazioni tra regimi paralleli. Il testo della proposta e l’effettivo perimetro della “simplification” saranno il vero banco di prova: se la semplificazione tocchi solo procedure e tempistiche, o se intervenga sui requisiti sostanziali per i sistemi high-risk.

Fonte

Working Party on Data Protection convocato

Convocazione del Working Party on Data Protection del Consiglio per una sessione di sola mattinata (CM 2781 2026 INIT, 12 maggio 2026). Nessuna agenda pubblica allegata al documento di convocazione.

Fonte

Biocidi: estesi i periodi di protezione dei dati nell’“Omnibus X”

L'11 maggio 2026 il Consiglio ha adottato in via definitiva il nuovo regolamento sui biocidi, che estende alcuni periodi di protezione dei dati. La misura rientra nel pacchetto “Omnibus X” dell’agenda di semplificazione UE. Qui “data protection” non è quella del GDPR: si tratta della protezione dei dati tecnici e di sicurezza presentati dalle imprese in fase di autorizzazione, periodo durante il quale altri operatori non possono farvi affidamento per ottenere autorizzazioni concorrenti. Un istituto vicino, per logica, alla data exclusivity farmaceutica. L’allungamento sposta gli equilibri tra first applicant e follower, con effetti su concorrenza e accesso al mercato.

Fonte

AI nell’istruzione: conclusioni del Consiglio sul ruolo degli insegnanti

L'11 maggio 2026 il Consiglio ha approvato conclusioni sul ruolo degli insegnanti nell’era dell’IA, chiedendo un approccio etico, sicuro e antropocentrico all’uso dell’IA in ambito educativo. Atto di soft law, non vincolante, ma rilevante come indirizzo politico verso gli Stati membri e come cornice interpretativa. Va letto in combinato con l’AI Act, che qualifica come ad alto rischio i sistemi AI usati per determinare l’accesso, l’ammissione o la valutazione degli studenti (Allegato III). Il messaggio politico è che l’IA in classe resta strumento al servizio del docente, non sostituto della funzione valutativa umana.

Fonte

---

CORTE DI GIUSTIZIA UE

Meta Platforms Ireland: gli Stati membri possono riconoscere agli editori un equo compenso per l’uso online delle pubblicazioni

Con la sentenza del 12 maggio 2026 nella causa C-797/23, la Corte di giustizia ha stabilito che gli Stati membri possono prevedere il diritto degli editori di giornali a un’equa remunerazione quando autorizzano i prestatori di servizi online a utilizzare le loro pubblicazioni. La pronuncia si colloca nel solco del ravvicinamento delle legislazioni nazionali in materia di diritti connessi sull’editoria digitale e conferma la compatibilità con il diritto dell’Unione delle normative interne che strutturano meccanismi di compenso a favore degli editori nei confronti delle piattaforme.

La decisione consolida la posizione contrattuale degli editori rispetto agli intermediari digitali e legittima le scelte dei legislatori nazionali che hanno già introdotto, o intendono introdurre, regimi di remunerazione obbligatoria. Resta da vedere come si tradurrà nella pratica negoziale tra editori e piattaforme, soprattutto in giurisdizioni dove il rapporto di forza ha finora prodotto accordi opachi o asimmetrici.

Fonte

---

DIGITAL MARKETS & PLATFORM REGULATION

Ofcom: prima sanzione UK contro un forum sul suicidio sotto l’Online Safety Act

Ofcom ha sanzionato per 950.000 sterline il gestore di un forum online sul suicidio per inadempimento agli obblighi sui contenuti illegali previsti dall’Online Safety Act. È la prima sanzione adottata dal regolatore britannico ai sensi della normativa e la prima contro questa tipologia di sito; l’istruttoria era stata aperta 13 mesi prima ed era la prima avviata dopo l’entrata in vigore della legge.

Suzanne Cater, Director of Enforcement, ha dichiarato che l’autorità sta usando “all powers available to us to protect the public”. La Molly Rose Foundation, che aveva contribuito con evidenze documentali, ha definito il procedimento eccessivamente lungo: secondo il CEO Andy Burrows, nel frattempo “further lives were lost”. Sette mesi fa la stessa fondazione, insieme a Families and Survivors to Prevent Online Suicide Harms, aveva avvertito che il blocco dell’accesso al sito sarebbe equivalso a “regulatory whack-a-mole” senza un intervento legislativo più incisivo.

Il caso espone anche i limiti strutturali dell’Online Safety Act. I motori di ricerca sono tenuti a “minimise the risk” di esposizione a contenuti illegali, non a impedirla: l’indirizzo del forum è risultato indicizzato su Google e raggiungibile via VPN. Diverse piattaforme estere si sono rifiutate di pagare le sanzioni; Meta ha annunciato un ricorso contro Ofcom su fees e fines. Resta aperto il fronte AI: l’Act non copre in modo organico il comportamento dei chatbot, in particolare nelle interazioni con minori, e la ministra per la safeguarding Jess Phillips si è dimessa denunciando l’inerzia sul materiale pedopornografico. La distanza tra ciò che è reato offline e ciò che è tollerato online resta il vero nodo: assistere al suicidio è penalmente rilevante in Inghilterra e Galles, ma il perimetro applicativo verso piattaforme extra-UE rimane debole.

Fonte

Guardian

DMA e browser choice: Mozilla rivendica 6 milioni di utenti in più

Mozilla afferma che le schermate di scelta del browser imposte dal Digital Markets Act, applicabili da marzo 2024, hanno portato 6 milioni di utenti europei a Firefox su mobile. La crescita è del 113% su iOS contro un più modesto 12% su Android, differenza imputabile alle diverse implementazioni: Apple mostra la schermata al primo avvio di Safari anche agli utenti esistenti, mentre Google la riserva ai nuovi dispositivi dopo l’entrata in vigore del DMA. Mozilla sostiene inoltre che la retention degli utenti acquisiti via choice screen sia cinque volte superiore rispetto al periodo pre-DMA.

Risultati analoghi sono stati riportati da Aloha, Brave, Opera e Vivaldi nei giorni successivi all’enforcement, e da una recente review della Commissione europea sull’efficacia del DMA. DuckDuckGo, nella consultazione del governo UK sulla concorrenza nei motori di ricerca, ha indicato un incremento del 40% circa nelle selezioni del proprio browser su Android grazie al choice screen e ha chiesto che la schermata venga riproposta annualmente e che Google rimuova il prompt “Switch back to Google” in Chrome. Anche Mozilla ha chiesto al Regno Unito di adottare un modello equivalente al DMA.

Fonte

Von der Leyen apre a un innalzamento dell’età minima per i social

A una conferenza di Copenaghen sulla protezione dei minori nell’era dell’AI, Ursula von der Leyen ha dichiarato che la Commissione sta valutando un “social media delay” e che una proposta legislativa potrebbe arrivare già in estate, in attesa delle conclusioni del panel di esperti incaricato. Il riferimento è al modello australiano, che ha fissato a 16 anni l’età minima di accesso ai social, e alle iniziative nazionali — Francia in primis — che spingono per soglie a 15 anni o per una soluzione armonizzata a livello UE.

Von der Leyen ha precisato che l’eventuale soglia non solleverà le piattaforme dagli obblighi di safety by design previsti dal DSA, e ha legato l’efficacia della misura alla disponibilità di una “reliable age verification”, citando la recente app europea di age verification — quella stessa app criticata per problemi di sicurezza che, secondo la Presidente, “ticks all the boxes”.

Fonte

Apple e Google contro le misure DMA sull’apertura dell’AI

Apple si allinea a Google nel contestare la bozza di misure con cui la Commissione europea vorrebbe imporre a Mountain View di consentire ai servizi AI concorrenti l’accesso ai servizi Android — invio email, ordini di cibo, condivisione foto — ai fini della conformità al DMA. Entrambe sostengono che l’apertura comporti rischi per privacy, protezione e sicurezza degli utenti europei.

Cupertino, anch’essa destinataria di proposte analoghe sul proprio ecosistema, ha presentato osservazioni alla consultazione aperta il mese scorso dalla Commissione. Nella nota ufficiale Apple parla di “preoccupazioni urgenti e serie” e di rischi “particolarmente gravi nel contesto di sistemi di IA in rapida evoluzione, le cui capacità, comportamenti e vettori di minaccia rimangono imprevedibili”. L’attacco più diretto è alla legittimazione tecnica del regolatore: secondo Apple la Commissione “sta riprogettando un sistema operativo” sostituendo il giudizio degli ingegneri di Google con il proprio, “basato su meno di tre mesi di lavoro”, e l’unico criterio guida apparirebbe essere “l’accesso aperto e illimitato”.

La posizione si inserisce nella linea già espressa da Apple a settembre 2025, quando aveva dichiarato che il DMA la costringe a “modifiche preoccupanti” nella progettazione dei prodotti per il mercato europeo. Il punto giuridicamente interessante è il tentativo dei gatekeeper di riportare il dibattito sul terreno del bilanciamento tra obblighi di interoperabilità ex DMA e obblighi di sicurezza e protezione dei dati ex GDPR e Cyber Resilience Act — un bilanciamento che la Commissione, per ora, non sembra disposta a riconoscere come trade-off.

Fonte

---

SVILUPPI INTERNAZIONALI

Community Bank, dati dei clienti finiti in un chatbot AI non autorizzato

Community Bank, attiva in Pennsylvania, Ohio e West Virginia, ha comunicato alla SEC con un filing 8-K del 7 maggio un’esposizione di dati personali dei clienti — nomi, date di nascita e Social Security number — riconducibile all’uso di “an unauthorized artificial intelligence-based software application”. La formulazione del documento lascia intendere che un dipendente abbia caricato dati dei clienti su un chatbot AI online, rendendoli potenzialmente accessibili al fornitore del servizio. La banca non ha indicato il numero di clienti coinvolti né il nome dell’applicazione, e ha dichiarato di aver scelto la disclosure “due to the volume and sensitive nature of the non-public information at issue”. Il caso conferma un pattern che si ripete: la superficie di rischio non sono i sistemi AI aziendali governati, ma lo shadow AI usato dai dipendenti su servizi consumer. Sul piano europeo, lo stesso scenario integrerebbe un trasferimento extra-UE non autorizzato e un trattamento privo di base giuridica e di valutazione ex art. 35 GDPR, oltre a profili di responsabilità del deployer ai sensi dell’AI Act quando il modello rientri tra quelli ad alto rischio o GPAI.

Fonte

Texas cita Netflix per sorveglianza e funzioni “addictive”

L’Attorney General del Texas Ken Paxton ha citato in giudizio Netflix lunedì 11 maggio per il tracciamento e la monetizzazione di dati prodotti da minori e altri utenti senza adeguata informativa. L’azione si fonda sulle norme texane in materia di deceptive business practices e contesta a Netflix di essersi presentata come “safe respite” rispetto alle piattaforme big tech basate su sorveglianza e advertising, mentre svolgerebbe pratiche di data harvesting analoghe. La causa si inserisce nella linea aggressiva di Paxton sul fronte dati e minori — dopo i contenziosi contro Google e Meta — e sposta il baricentro dell’enforcement statunitense dal consenso pubblicitario classico al disallineamento tra promessa di brand e trattamento effettivo, terreno che in UE ricade su trasparenza (artt. 12-14 GDPR) e, per i profili “addictive”, sugli obblighi del DSA per le VLOP relativi alla tutela dei minori e al design dei sistemi di raccomandazione.

Fonte

---

INTELLIGENZA ARTIFICIALE

L’UE conclude la Convenzione quadro del Consiglio d’Europa sull’IA

Con la Decisione (UE) 2026/1080 del 21 aprile 2026, pubblicata in GUUE L del 13 maggio 2026, il Consiglio ha approvato la conclusione, a nome dell’Unione, della Convenzione quadro del Consiglio d’Europa sull’intelligenza artificiale e i diritti umani, la democrazia e lo Stato di diritto. La base giuridica è l’articolo 114 TFUE in combinato disposto con l’articolo 218, paragrafo 6, secondo comma, lettera a), punto v), e la decisione è stata adottata previa approvazione del Parlamento europeo. La Convenzione, firmata il 5 settembre 2024 sulla base della Decisione (UE) 2024/2218, è il primo trattato internazionale vincolante in materia di IA. Per i soggetti già in compliance con l’AI Act, il rilievo principale riguarda l’allineamento dei principi (dignità, non discriminazione, accountability, rimedi effettivi) con un quadro convenzionale che amplia il raggio oltre il mercato interno.

Fonte

Studio UCD: i riassunti AI dei dibattiti del Parlamento europeo presentano bias politici

Una ricerca dello University College Dublin, coordinata da James Cross del Connected Politics Lab, ha analizzato come diversi LLM riassumono i dibattiti plenari del Parlamento europeo, riscontrando “consistent positional and partisan biases” nella rappresentazione degli interventi. Lo studio confronta i trascritti reali con gli output dei modelli e misura la distribuzione del contenuto politico tra i gruppi (PPE, S&D, Renew, Verdi, ECR). Cross descrive il fenomeno come “systematic distortion, with certain political positions being compressed, omitted or amplified relative to what MEPs actually said”. Non si tratta di ideologia incorporata nei modelli, ma di effetti di compressione che penalizzano alcuni speaker e amplificano altri. Il dato ha implicazioni concrete per chiunque usi LLM nei flussi di public affairs, monitoraggio legislativo e giornalismo istituzionale: il riassunto è già una decisione editoriale, e affidarla a un sistema con bias misurabili modifica la rappresentazione del processo democratico. Tema che intercetta direttamente i requisiti di trasparenza dell’articolo 50 dell’AI Act per i contenuti generati e l’uso di sistemi IA in contesti informativi.

Fonte

Papa Leone XIV istituisce una commissione vaticana sull’IA

Il Vaticano ha annunciato sabato la creazione di una commissione sull’intelligenza artificiale, organismo destinato a coordinare la posizione della Chiesa cattolica sul tema. L’iniziativa precede di pochi giorni la prima enciclica del pontefice, già firmata e attesa nelle prossime settimane, che dovrebbe inquadrare l’IA nella dottrina sociale della Chiesa, accanto a lavoro, giustizia e pace. La motivazione ufficiale richiama l’aumento dell’uso dell’IA, i suoi effetti potenziali sull’essere umano e la preoccupazione per la dignità della persona. Leone XIV era già intervenuto sul tema poco dopo l’elezione nel maggio 2025, e nel giugno 2025 aveva richiamato i rischi di “misuse for selfish gain” e l’impatto sullo sviluppo intellettuale e neurologico di bambini e giovani. Sul piano regolatorio non produce effetti, ma alimenta il filone etico-antropologico che da anni dialoga con i lavori UNESCO e con il dibattito sui principi dell’AI Act.

Fonte

---

CYBERSECURITY

NIS2, responsabilità personale dei consiglieri: il CdA non può più stare a guardare

Paolo Galdieri torna sul recepimento della NIS2 in Italia tramite il D.Lgs. 138/2024, e in particolare sull’art. 23, che ridisegna il ruolo del Consiglio di Amministrazione nella gestione del rischio cyber. I consiglieri non possono più limitarsi alla sorveglianza passiva: devono approvare formalmente le misure di gestione dei rischi informatici e sovrintendere alla loro attuazione. Obblighi non delegabili.

La novità operativa sta nel potere sanzionatorio dell’ACN, che può sospendere temporaneamente l’amministratore dall’esercizio delle funzioni se le carenze non vengono rimosse nei termini delle diffide. Una sanzione interdittiva accessoria che incide sulla persona fisica, non solo sull’ente. Il combinato disposto degli artt. 2381 e 2392 c.c. chiude poi la via di fuga classica: nessun consigliere può invocare l’opacità informativa del Presidente o dell’AD come scusante, perché ha il potere-dovere di chiedere chiarimenti agli organi delegati senza attendere l’ordine del giorno.

Conseguenza pratica: i verbali consiliari diventano l’oggetto probatorio centrale. Devono documentare tanto la spesa in cybersecurity quanto la razionalità delle scelte di mitigazione adottate.

Fonte

Instructure sotto indagine del Congresso USA dopo i due breach di Canvas

La House Homeland Security Committee ha convocato Instructure per un briefing a porte chiuse sui due attacchi che hanno colpito Canvas, la piattaforma di learning management usata da circa 30 milioni di utenti attivi. Il presidente Andrew Garbarino ha scritto al CEO Steve Daly chiedendo chiarimenti sulla dinamica delle intrusioni, sui dati esfiltrati, sulle modalità di notifica alle istituzioni colpite e sull’adeguatezza del coordinamento con CISA.

I numeri, rivendicati dal gruppo ShinyHunters: 3,65 terabyte di dati, 275 milioni tra studenti, docenti e altri soggetti, circa 9.000 istituti coinvolti. La prima intrusione risale al 29 aprile, con ripristino dei servizi entro il 3 maggio; il 7 maggio gli attaccanti sono rientrati sfruttando la stessa vulnerabilità sugli account Free-For-Teacher e hanno defacciato i portali di login di università e distretti scolastici in 11 Stati. Instructure ha dichiarato di aver “raggiunto un accordo” con gli attaccanti, che avrebbero fornito prova della cancellazione dei dati. Pagamento non confermato.

Il punto giuridicamente rilevante è duplice: la stessa vulnerabilità sfruttata due volte solleva la questione dell’adeguatezza dell’incident response, e il pagamento del riscatto resta una pratica che gli esperti di sicurezza considerano un finanziamento ad attacchi futuri, con dati che spesso restano nelle mani degli attaccanti nonostante le dichiarazioni di cancellazione.

Fonte

·

Fonte SecurityWeek

Google: primo zero-day in-the-wild sviluppato con AI, bypass 2FA

Il Google Threat Intelligence Group ha attribuito a un attore non identificato lo sfruttamento di uno zero-day per il bypass dell’autenticazione a due fattori su un noto tool open-source di amministrazione di sistema basato su web. GTIG valuta con high confidence che il codice di exploit sia stato generato da un LLM: lo script Python presenta docstring educative sovrabbondanti, un CVSS score allucinato, formattazione testbook e una classe ANSI color “pulita” tipica del training data dei modelli linguistici. Nessun collegamento con Gemini.

La vulnerabilità è una logic flaw semantica di alto livello derivante da un’assunzione di trust hard-coded, classe di bug in cui gli LLM si stanno dimostrando efficaci. L’exploit richiede credenziali valide. Il vendor è stato avvisato e ha rilasciato la patch; Google non ne pubblica il nome.

Il dato rilevante non è tecnico ma sistemico: è la prima volta che Google documenta in the wild una catena scoperta-weaponizzazione-sfruttamento assistita da AI in un’operazione di mass exploitation. La compressione dei tempi tra disclosure e abuso, già osservata da anni, accelera ulteriormente.

Fonte

ICO sanziona South Staffordshire Water per 963.900 sterline

L’Information Commissioner’s Office ha sanzionato South Staffordshire Plc e South Staffordshire Water Plc per 963.900 sterline (circa 1,3 milioni di dollari) in relazione all’attacco che nel 2022 espose i dati di 663.887 tra clienti e dipendenti, rivendicato all’epoca da Cl0p. L’indagine ICO ha ricostruito che la compromissione iniziale risale a settembre 2020: il malware, installato tramite phishing, è rimasto non rilevato per 20 mesi prima dell’escalation a domain administrator tra maggio e luglio 2022.

I dati esfiltrati includevano nomi, indirizzi, email, telefoni, date di nascita, credenziali di account cliente, dettagli bancari e dati HR dei dipendenti compresi i numeri di National Insurance. Le carenze contestate: controlli insufficienti contro la privilege escalation, monitoraggio limitato al 5% dell’ambiente IT, software obsoleto (Windows Server 2003), gestione delle vulnerabilità carente e patch mancanti, assenza di scansioni regolari interne ed esterne. L’importo iniziale era più alto: la riduzione del 40% riflette l’ammissione di responsabilità, la cooperazione e la rinuncia all’appello.

Il caso è istruttivo sul piano probatorio: 20 mesi di permanenza non rilevata e copertura di monitoring al 5% sono il tipo di dato che, in sede di accertamento, trasforma un incidente in violazione sistemica del principio di sicurezza.

Fonte

---

TECH & INNOVAZIONE

Deepfake porn: il corpo come dato di training, non solo il volto

MIT Technology Review racconta il caso di “Jennifer”, ex performer adulta che, eseguendo una ricerca di facial recognition sul proprio headshot professionale, ha scoperto un vecchio video del 2013 in cui il suo corpo era stato accoppiato al volto di un’altra persona. Il sistema l’aveva identificata per zigomi, sopracciglia e mento ancora riconoscibili nel deepfake.

Il punto giuridico interessante è lo spostamento dell’asse del danno. Il dibattito sulle NCII si è finora concentrato sul volto sovrapposto: vittime celebri, donne, minori. Resta scoperta la posizione di chi presta il corpo. Con l’evoluzione dell’AI generativa e la proliferazione delle nudify app, i corpi dei performer non vengono più riusati in modo identificabile: alimentano training set da cui emergono corpi sintetici che ne replicano movenze e performance, comprese azioni che la persona reale non eseguirebbe. Il risultato è una doppia compressione: erosione del mercato del lavoro per i performer e perdita di controllo sulla propria immagine corporea, con un quadro normativo (copyright, diritto d’immagine, NCII) costruito su volti riconoscibili e poco attrezzato per il corpo come dato biometrico-comportamentale.

Fonte

---

RICERCA SCIENTIFICA

Selezione dei paper più rilevanti della settimana da arXiv su AI, Machine Learning e Privacy

Differential Privacy nei LLM

How Does Differential Privacy Affect Social Bias in LLMs? A Systematic Evaluation

Gli autori indagano una zona poco esplorata: cosa succede al bias sociale quando si applica DP al training di LLM. Il framing è interessante perché DP è spesso adottata come unica leva di mitigazione del rischio privacy, ignorando effetti collaterali su fairness. Il paper sistematizza la relazione tra i due assi, terreno utile per chi imposta DPIA su modelli generativi dove privacy e non-discriminazione vanno bilanciate.

arXiv

Less Random, More Private: What is the Optimal Subsampling Scheme for DP-SGD?

Critica il Poisson subsampling, default in DP-SGD, mostrando come la sua randomness non strutturata generi varianza di partecipazione elevata (ogni record compare in numeri molto diversi di iterazioni). Il paper esplora schemi alternativi più regolari mantenendo l’amplificazione di privacy. Lavoro tecnico ma con impatto diretto sul tuning del trade-off utility/ε nei training reali.

arXiv

Sicurezza degli agenti LLM

Can a Single Message Paralyze the AI Infrastructure? The Rise of AbO-DDoS Attacks through Targeted Mobius Injection

Gli autori descrivono una classe di attacchi DDoS “agent-by-orchestration” in cui un singolo messaggio mirato all’agente LLM, posto come hub nella catena utente-agente-servizio, propaga disservizio a valle. La superficie d’attacco non è il modello in sé ma il ruolo di intermediario. Rilevante per la valutazione del rischio sistemico degli agenti integrati in infrastrutture critiche.

arXiv

PAAC: Privacy-Aware Agentic Device-Cloud Collaboration

Riformula la divisione device-cloud non come ripartizione computazionale ma come confine di fiducia. I sanitizer esistenti, osservano, costringono a scegliere tra flessibilità di policy e fedeltà strutturale necessaria alle tool call. PAAC prova a tenere insieme entrambe. Lettura utile per architetture ibride dove il dato personale resta on-device e solo astrazioni autorizzate raggiungono il cloud.

arXiv

When Emotion Becomes Trigger: Emotion-style dynamic Backdoor Attack Parasitising Large Language Models

Backdoor attack che usa lo stile emotivo come trigger semantico dinamico, anziché token fissi. Risultato: maggiore stealthiness e resistenza al clean fine-tuning, che tipicamente indebolisce le associazioni trigger-target statiche. Conferma che le difese basate su pattern lessicali sono insufficienti per modelli derivati da supply chain di terze parti.

arXiv

Modelli verticali

VectraYX-Nano: A 42M-Parameter Spanish Cybersecurity Language Model with Curriculum Learning and Native Tool Use

LLM decoder-only da 41,95M parametri addestrato da zero in spagnolo per il dominio cybersecurity, con focus latinoamericano e invocazione nativa di tool via Model Context Protocol. Esempio di modello verticale piccolo e linguisticamente situato, alternativa concreta ai general-purpose per casi d’uso SOC localizzati.

arXiv

---

AI ACT IN PILLOLE - Parte 21

Articolo 25 - Responsabilità lungo la catena del valore

Dopo aver esaminato nella scorsa puntata gli obblighi dei distributori previsti dall’Articolo 24, proseguiamo il nostro percorso affrontando una norma cruciale per comprendere come le responsabilità si distribuiscono nell’ecosistema dell’IA: l’Articolo 25, dedicato alla catena del valore dei sistemi di intelligenza artificiale ad alto rischio.

Quando si diventa “fornitore” senza saperlo

Il cuore dell’Articolo 25 è una disposizione che potrebbe sorprendere molti operatori: chiunque, lungo la catena del valore, modifichi sostanzialmente un sistema di IA ad alto rischio o ne alteri la finalità prevista può trasformarsi a tutti gli effetti in fornitore ai sensi del Regolamento, ereditandone tutti i relativi obblighi.

Più precisamente, il paragrafo 1 stabilisce che distributori, importatori, deployer o qualsiasi altro terzo sono considerati fornitori di un sistema ad alto rischio – e quindi soggetti agli obblighi dell’Articolo 16 – al verificarsi di una di queste tre condizioni: appongono il proprio nome o marchio commerciale su un sistema già immesso sul mercato; apportano una modifica sostanziale a un sistema ad alto rischio già in commercio mantenendone tale qualifica; oppure modificano la finalità prevista di un sistema (anche non classificato originariamente come ad alto rischio) in modo tale da farlo rientrare nella categoria ad alto rischio ai sensi dell’Articolo 6.

In questi casi, il fornitore originario non è più considerato tale per quello specifico sistema, ma deve cooperare strettamente con il nuovo fornitore, mettendo a disposizione le informazioni necessarie e l’accesso tecnico ragionevolmente atteso per consentire l’adempimento degli obblighi regolamentari.

Il caso dei sistemi di IA per finalità generali

Particolarmente rilevante è il paragrafo 4, che disciplina i rapporti tra fornitori di sistemi di IA ad alto rischio e fornitori di modelli o sistemi (inclusi strumenti, servizi, componenti) integrati nei primi. Questi soggetti devono specificare, mediante accordo scritto, le informazioni, le capacità, l’accesso tecnico e l’assistenza necessari per consentire al fornitore del sistema ad alto rischio di rispettare pienamente gli obblighi dell’AI Act.

L’AI Office è incaricato di elaborare e raccomandare clausole contrattuali tipo volontarie, fornendo così uno strumento concreto per gestire questi rapporti complessi. La disposizione esclude espressamente i fornitori che rilasciano strumenti, servizi o componenti gratuiti e open source, salvo l’ipotesi di modelli di IA per finalità generali.

Implicazioni pratiche

Le ricadute operative sono significative. Si pensi a un’impresa che acquista un sistema di IA generalista per gestire candidature, ma lo personalizza addestrandolo su criteri propri di selezione del personale: tale modifica potrebbe configurarsi come “sostanziale” e far scattare in capo all’organizzazione tutti gli obblighi previsti per i fornitori ad alto rischio – dalla valutazione di conformità alla documentazione tecnica, dal sistema di gestione dei rischi alla marcatura CE.

Analogamente, un integratore che assembla diversi componenti di IA in una soluzione destinata, ad esempio, alla valutazione del merito creditizio dei consumatori (uso ad alto rischio ex Allegato III) si troverà a dover negoziare con ciascun fornitore a monte gli accessi e le informazioni necessari per garantire la conformità complessiva.

Per DPO, legali e compliance officer la lezione è chiara: la due diligence contrattuale diventa elemento cardine della compliance all’AI Act. Le clausole sui flussi informativi, sulla cooperazione tecnica, sulla gestione delle modifiche e sulle responsabilità in caso di riqualificazione del sistema devono essere predisposte con la massima attenzione, anche alla luce delle sanzioni previste dall’Articolo 99 (fino a 15 milioni di euro o al 3% del fatturato mondiale annuo per le violazioni degli obblighi dei fornitori).

Anteprima della prossima puntata

Nella Parte 22 analizzeremo l’Articolo 26 – Obblighi dei deployer di sistemi ad alto rischio, approfondendo le responsabilità di chi utilizza concretamente questi sistemi nelle proprie attività: dalla sorveglianza umana alla gestione dei dati di input, dagli obblighi informativi verso i lavoratori alla cooperazione con le autorità competenti.

---

Obblighi AI Act per il professionista legale

Dopo aver affrontato nella scorsa puntata la scelta dell’infrastruttura AI nel rispetto del segreto professionale, è il momento di guardare in faccia il quadro regolatorio che governa l’uso quotidiano di questi strumenti nello studio legale. L’AI Act (Regolamento UE 2024/1689) non è un testo astratto destinato agli sviluppatori: tocca direttamente il professionista che integra sistemi di intelligenza artificiale nella propria attività.

Il primo punto da fissare è la qualificazione del ruolo. L’avvocato, il DPO o il compliance officer che utilizza un modello generativo per attività professionali è generalmente un deployer ai sensi dell’art. 3 dell’AI Act. Questa qualifica comporta obblighi specifici: utilizzare il sistema conformemente alle istruzioni del fornitore, garantire la sorveglianza umana (art. 14), assicurare che i dati di input siano pertinenti e sufficientemente rappresentativi, conservare i log generati quando il sistema lo permette.

Particolare attenzione merita l’art. 4, in vigore dal 2 febbraio 2025, che impone un livello adeguato di AI literacy al personale che opera con questi strumenti. Non basta saper formulare un prompt: occorre comprendere limiti, rischi e modalità di funzionamento del sistema utilizzato. Per uno studio legale significa formazione documentata, policy interne, identificazione di un referente. Non è un adempimento formale: è il presupposto della supervisione umana, che resta un obbligo deontologico prima ancora che normativo, perché i modelli linguistici producono output plausibili ma non necessariamente corretti.

Sul versante operativo, va ricordato che alcuni sistemi possono ricadere tra quelli ad alto rischio dell’Allegato III. Pensiamo a strumenti di valutazione predittiva del rischio di recidiva o di analisi automatizzata di prove: il loro uso impone valutazioni d’impatto sui diritti fondamentali (art. 27) quando il deployer è un organismo pubblico o esercita servizi di interesse pubblico. Per la pratica forense ordinaria, invece, il punto critico è spesso l’art. 50: gli obblighi di trasparenza verso il cliente e, nel processo, verso il giudice e la controparte quando si producono contenuti generati o assistiti da AI.

A questo si somma il quadro nazionale, con la Legge 132/2025 che ribadisce centralità della decisione umana e tracciabilità, e si interseca con il GDPR su base giuridica, minimizzazione e segreto professionale. È qui che torna decisiva la scelta tra infrastruttura locale e cloud: un modello on-premise riduce i flussi di dati personali e i rischi di trasferimento extra-UE, semplificando la compliance complessiva.

Un consiglio pratico: predisporre una matrice di conformità che, per ciascun strumento AI in uso, mappi qualificazione del fornitore, livello di rischio, base giuridica del trattamento, obblighi di trasparenza, modalità di sorveglianza umana e log conservati. È il documento che dimostra l’accountability dello studio.

Nella prossima puntata chiuderemo il percorso con una sintesi e prospettive del Legal Prompting, ricomponendo le tessere affrontate finora.

🔗

Legal Prompting: la nuova frontiera dell’AI in ambito giuridico

---

PODCAST

Quando un giurista usa un sistema AI per trattare informazioni coperte da segreto, la scelta dell’infrastruttura è una scelta deontologica, non solo tecnica. Nessun prompt ben scritto compensa un’infrastruttura inadeguata.

In questo episodio:

---

Eventi della settimana e prossimi appuntamenti

Eventi della settimana 11-17 maggio 2026

Seduta plenaria CNIL (12 maggio 2026 — Parigi)

CNIL |

Ordine del giorno

Prossimi appuntamenti

HiPEAC Vision 2026 | CONNECT University (19 maggio 2026)

European Commission |

Info

High-Level Debate: “From Omnibus to Opportunity: Driving Data Protection and Innovation” (8 giugno 2026)

EDPS |

Info

Info session - Call for proposals “Digital solutions for regulatory compliance through data” (8 giugno 2026)

European Commission |

Info

Privacy Research Day 2026 — quinta edizione (24 giugno 2026 — Parigi)

CNIL |

Info

G7 2026 — Table ronde delle autorità privacy (23-26 giugno 2026 — Parigi)

CNIL |

Info

---

Conclusione

La protezione dei minori è diventata il grimaldello con cui Bruxelles sta riscrivendo l’architettura del web, e non sono sicuro che ce ne stiamo accorgendo abbastanza. Tra la spinta su age verification, la prima sanzione di Ofcom contro un forum sul suicidio sotto l’Online Safety Act e il pressing della Commissione per evitare ban nazionali frammentati sui social, si sta consolidando un paradigma in cui la tutela del minore legittima interventi strutturali sull’identificazione degli utenti che, in altri contesti, avrebbero incontrato resistenze ben più forti dal punto di vista privacy.

Il punto scomodo è questo: l’age verification non è neutra. Ogni sistema di verifica dell’età, per quanto progettato con logiche di minimizzazione, introduce un layer di identificazione che modifica la natura stessa della navigazione anonima. L’app europea di verifica dell’età viene rilanciata politicamente nonostante le criticità tecniche emerse, perché serve una risposta unitaria prima che Parigi e altre capitali costruiscano regimi propri. Capisco la logica armonizzatrice. Mi convince meno l’idea che si possa importare nel diritto europeo un’infrastruttura di identificazione di massa senza un dibattito altrettanto serio su cosa accade quando quella stessa infrastruttura sarà disponibile per altri scopi.

Sul fronte opposto, il caso Firefox dimostra che il DMA funziona quando incide su scelte architetturali concrete: sei milioni di nuovi utenti e retention quintuplicata sono numeri che rendono difficile la narrazione di Apple e Google secondo cui le choice screen sarebbero gesti cosmetici. Ed è proprio per questo che la loro battaglia sull’interoperabilità AI, condotta sotto la bandiera della privacy by design, va letta per quello che è: un tentativo di trasformare la protezione dei dati in scudo competitivo. Non è la prima volta che i gatekeeper provano questa mossa, e non sarà l’ultima.

Sullo sfondo, la proposta di semplificazione dell’AI Act inviata al Parlamento racconta un altro pezzo della stessa storia: l’Europa sta capendo che produrre regole non basta, devono essere implementabili. La commissione AI annunciata da Papa Leone si inserisce in questo vuoto di legittimazione etica che le istituzioni tecniche faticano a colmare da sole.

Sul richiamo del Garante per il caso Garlasco una sola cosa: bene il presidio sui media, ma i richiami ripetuti senza conseguenze sanzionatorie significative rischiano di trasformarsi in rituale. La mia previsione per i prossimi mesi è che il vero terreno di scontro sarà l’age verification: lì si decide se l’identificazione diventa la regola implicita del web europeo.

---

📧 A cura di Nicola Fabiano

Avvocato - Studio Legale Fabiano

🌐 Studio Legale Fabiano:

https://www.fabiano.law

🌐 Blog:

https://www.nicfab.eu

🌐 DAPPREMO:

www.dappremo.eu

---

Supporter

https://lawandtechnology.eu/

https://caffe20.it/

https://privacykit.it/

---

Iscriviti alla newsletter su

nicfab.eu

Segui le nostre news su questi canali:

Telegram

Telegram →

@nicfabnews

Matrix

Matrix →

#nicfabnews:matrix.org

Mastodon

Mastodon →

@nicfab@fosstodon.org

Bluesky

Bluesky →

@nicfab.eu

---

.newsletter-subscription-box {

max-width: 600px;

margin: 2.5rem auto;

padding: 2.5rem;

background: linear-gradient(135deg, #f8f9fa 0%, #e9ecef 100%);

border-radius: 12px;

border: 2px solid #7f1d1d;

box-shadow: 0 4px 6px rgba(0,0,0,0.1);

}

.newsletter-form-group {

margin-bottom: 1.5rem;

}

.newsletter-form-label {

display: block;

font-size: 1.1rem;

font-weight: 700;

margin-bottom: 0.75rem;

color: #1a1a1a;

}

.newsletter-form-input {

width: 100%;

padding: 1rem;

border: 2px solid #ddd;

border-radius: 8px;

font-size: 1rem;

transition: all 0.3s ease;

box-sizing: border-box;

}

.newsletter-form-input:focus {

outline: none;

border-color: #7f1d1d;

box-shadow: 0 0 0 4px rgba(127, 29, 29, 0.1);

}

.newsletter-captcha-group {

margin-bottom: 1.5rem;

display: flex;

justify-content: center;

}

.newsletter-submit-btn {

width: 100%;

padding: 1.25rem;

background: #7f1d1d;

color: white;

border: none;

border-radius: 8px;

font-size: 1.1rem;

font-weight: 700;

cursor: pointer;

transition: all 0.3s ease;

text-transform: uppercase;

letter-spacing: 0.5px;

}

.newsletter-submit-btn:hover {

background: #991b1b;

transform: translateY(-2px);

box-shadow: 0 4px 12px rgba(127, 29, 29, 0.3);

}

.newsletter-submit-btn:disabled {

background: #9ca3af;

cursor: not-allowed;

transform: none;

box-shadow: none;

}

.newsletter-privacy-notice {

margin-top: 1.5rem;

text-align: center;

font-size: 0.9rem;

color: #666;

line-height: 1.6;

}

.newsletter-privacy-notice a {

color: #7f1d1d;

text-decoration: underline;

font-weight: 600;

}

Indirizzo Email *

Nome

Iscriviti alla Newsletter

Rispettiamo la tua privacy. Double opt-in obbligatorio. Disiscrizione in qualsiasi momento.

Informativa Privacy

---

Torna all'elenco newsletter

Sezione italiana

Home

Proxied content from gemini://nicfab.eu/it/newsletterit/2026/2026-05-19-issue-21_it.gmi

Gemini request details:

Original URL
gemini://nicfab.eu/it/newsletterit/2026/2026-05-19-issue-21_it.gmi
Status code
Success
Meta
text/gemini;lang=en-US
Proxied by
kineto

Be advised that no attempt was made to verify the remote SSL certificate.