Newsletter #23 - 2 giugno 2026

Leggi sul sito

---

NicFab Newsletter

Numero 23 | 2 giugno 2026

Privacy, Data Protection, AI e Cybersecurity

---

Benvenuti al numero 23 della newsletter settimanale dedicata alla privacy, alla data protection, all’intelligenza artificiale, alla cybersecurity e all’etica. Ogni martedì troverete una selezione ragionata delle notizie più rilevanti della settimana precedente, con un focus su sviluppi normativi europei, giurisprudenza, enforcement e innovazione tecnologica.

---

In questo numero

---

GARANTE PRIVACY ITALIA

IA, emozioni e ambiente di lavoro: avvertimento del Garante a una start-up italiana

Con un provvedimento del 14 maggio 2026, reso noto il 28 maggio 2026, il Garante ha rivolto un avvertimento a una start-up italiana che ha sviluppato un plug-in per Slack e Teams capace di analizzare, tramite IA e analisi semantica delle chat, il livello di stress psicologico dei dipendenti che scelgano volontariamente di attivarlo per ricevere suggerimenti personalizzati.

L’istruttoria, partita da notizie di stampa, ha qualificato la start-up come titolare del trattamento nei confronti degli utenti finali. Il datore di lavoro che acquista il servizio non accede né ai contenuti delle chat né ai risultati individuali, ma può ricevere report aggregati sul livello di stress della popolazione aziendale. Proprio su questo punto si concentra il rilievo dell’Autorità: anche un dato aggregato può consentire un accesso indiretto a informazioni sulla sfera emotiva dei lavoratori, che il datore non può legittimamente trattare ai sensi della disciplina privacy, dello Statuto dei lavoratori e dell’AI Act, che vieta i sistemi di IA destinati a dedurre emozioni nei contesti lavorativi. Il Garante richiede misure by design idonee a prevenire ogni rischio di accesso, anche indiretto, e richiama i limiti di trasparenza, spiegabilità e verificabilità dei modelli linguistici, con i conseguenti rischi discriminatori.

Il punto interessante è la tenuta della distinzione tra titolare e destinatario del report: la volontarietà dell’uso da parte del lavoratore e la mancata visibilità del datore sui dati individuali non bastano a sanare il problema se l’output aggregato resta riconducibile a un’analisi emozionale vietata. Il consenso del lavoratore, in questo schema, non appare una base idonea a superare i limiti derivanti dal contesto lavorativo e dal divieto sostanziale di deduzione o analisi delle emozioni nei rapporti di lavoro.

Fonte

---

COMMISSIONE EUROPEA

Sovranità tecnologica: anticipazioni giornalistiche sul pacchetto atteso il 3 giugno

Secondo un’anticipazione giornalistica di Politico, basata su una bozza non ufficiale, la Commissione europea dovrebbe presentare il 3 giugno un pacchetto di misure sulla sovranità tecnologica. L’obiettivo dichiarato nella bozza è ridurre l’esposizione del blocco alla tecnologia straniera — leggi: statunitense — su cloud, AI, microchip, software e data center, in un quadro in cui “le dipendenze tecnologiche stanno diventando passività strategiche”.

Secondo la stessa bozza, quattro le direttrici. Primo, stress test sul cloud pubblico: gli Stati membri dovrebbero imporre alle amministrazioni una valutazione della dipendenza da fornitori esteri rispetto a criteri di sovranità UE, in chiave di resilienza contro scenari kill switch. La bozza, però, non indicherebbe le misure di mitigazione: la scelta resterebbe alle capitali, che possono anche non fare nulla. Secondo, revisione del Chips Act del 2023, con corsia preferenziale per progetti su larga scala — accesso agevolato a sostegno pubblico, permitting accelerato, priorità sulle pilot line — e focus sullo scaling industriale e la gestione delle crisi. Il pacchetto comprenderebbe inoltre un documento sul consumo energetico di data center e AI e sarebbe accompagnato da una legge separata sul cloud.

L’impianto descritto è più dichiarativo che prescrittivo: nessun vincolo diretto contro i big tech USA negli appalti, e il finanziamento — misto pubblico-privato — resterebbe ancora da reperire. Trattandosi di un documento non ancora adottato, le indicazioni vanno lette come provvisorie, in attesa della pubblicazione ufficiale.

Fonte

---

CNIL - AUTORITÀ FRANCESE

Cloud computing: la CNIL chiarisce i ruoli ex GDPR

Il 28 maggio 2026 la CNIL ha pubblicato orientamenti per qualificare gli attori del cloud come titolari, contitolari o responsabili del trattamento, applicando i criteri del Comitato europeo per la protezione dei dati. La complessità nasce dalla coesistenza di modelli IaaS, PaaS e SaaS, in cui la ripartizione delle responsabilità varia secondo il livello di controllo del fornitore e i margini di parametrizzazione lasciati al cliente.

La griglia di lettura copre tre finalità distinte: fornitura del servizio, miglioramento del servizio, sicurezza “del” cloud e “nel” cloud. Per la fornitura del servizio, il cliente è di regola titolare: determina le finalità (es. gestione CRM) e i mezzi essenziali, scegliendo il fornitore e parametrandone l’uso. Il fornitore opera come responsabile del trattamento. La CNIL avverte che lo schema va adattato alla relazione contrattuale concreta e che la qualificazione, in caso di dubbio, deve essere documentata e giustificabile — punto rilevante in sede di accountability ex art. 5.2 GDPR.

Fonte

IQVIA sanzionata per 5 milioni di euro su entrepôts di dati sanitari

Il 26 maggio 2026 la formation restreinte della CNIL ha inflitto a IQVIA OPERATIONS FRANCE una sanzione di 5 milioni di euro per inosservanza delle garanzie imposte nelle autorizzazioni a costituire due entrepôts di dati sanitari: LRX (autorizzato nel 2018, alimentato da circa 14.000 farmacie) e EMR (autorizzato nel 2021, alimentato da diverse migliaia di medici).

L’istruttoria, avviata dopo un servizio del magazine “Cash Investigation” e una serie di reclami di privati e associazioni, ha riscontrato carenze su informazione degli interessati, esercizio dei diritti e sicurezza dei dati. Le persone coinvolte sono diverse decine di milioni. La CNIL ha valorizzato la gravità dei manquements — trattandosi di dati sensibili — la posizione di mercato e la capacità finanziaria della società. Oltre all’ammenda, sono state pronunciate ingiunzioni di adeguamento entro sei mesi, con penalità di 10.000 euro per giorno di ritardo. Decisione resa pubblica.

Il caso conferma che la violazione delle condizioni poste in sede autorizzativa per gli entrepôts di dati sanitari è trattata dalla CNIL come autonomo profilo di responsabilità, distinto dal merito del trattamento autorizzato.

Fonte

Violazioni in catena: il sub-responsabile come epicentro della crisi

Il 27 maggio 2026 la CNIL ha pubblicato una scheda — caso fittizio ispirato a notifiche reali — su una violazione che ha origine presso un responsabile del trattamento che fornisce ai clienti una soluzione cloud di gestione clientela. L’attaccante sfrutta ingegneria sociale verso un dipendente, ottiene esecuzione di codice malevolo e da lì accede alla rete interna, agli spazi condivisi con dati non strutturati e agli hypervisor su cui girano le macchine virtuali dei clienti, esfiltrando dati propri e dei clienti senza essere rilevato.

Il punto della pubblicazione è la propagazione degli obblighi notificatori: la violazione presso il responsabile genera obblighi notificatori a carico di ciascun titolare cliente, con tempi stretti e necessità di informazioni che il responsabile è spesso lento a fornire. La CNIL insiste sui presidi a monte — formazione antiphishing, segmentazione, supervisione attiva durante notti, weekend e ferie — momenti su cui gli attaccanti calibrano le campagne.

Fonte

Affiche CNIL-PIPC su IA generativa e vita privata

Il 27 maggio 2026 CNIL e PIPC (autorità coreana per la protezione dei dati personali) hanno presentato un’affiche intitolata “IA generativa e vita privata”, terza iniziativa congiunta nell’ambito della cooperazione avviata in ottobre 2022, dopo “Tes données, tes droits” del 2024. Il materiale, disponibile in francese, inglese e coreano, articola sei domande con consigli pratici su come proteggere i dati personali prima, durante e dopo l’uso di servizi di IA generativa. La distribuzione è prevista in collegi e licei, sui social e in eventi pubblici.

Fonte

Ordine del giorno della plenaria CNIL del 28 maggio 2026

La seduta plenaria del 28 maggio 2026 ha previsto due parti. Nella prima, audizione del direttore generale dell’ANSSI sulla strategia nazionale di cybersicurezza e una comunicazione sull’attualità del CEPD. Nella seconda, adottata con procedura ex art. 17 del regolamento interno, l’esame di un progetto di parere su un decreto relativo alla creazione di un trattamento di dati personali per uno studio sui costi dell’attività di aiuto e accompagnamento dei servizi di autonomia a domicilio di cui all’art. L. 313-1-3 del code de l’action sociale et des familles.

Fonte

---

PARLAMENTO EUROPEO

Strumenti digitali e IA per la partecipazione civica nei processi UE

L’EPRS ha pubblicato il 29 maggio 2026 uno studio sull’uso di strumenti digitali e IA per promuovere la partecipazione dei cittadini al policymaking europeo. La ricerca, condotta da un team di autori esterni coordinato da Bjørn Bedsted, parte da un’analisi panoramica di 94 strumenti a livello globale e ne seleziona 11 per una valutazione empirica approfondita.

Lo studio distingue tra potenziale teorico e utilità pratica degli strumenti, isolando i prerequisiti per un’engagement effettivo e mappando come le funzionalità tecniche supportino o ostacolino il processo partecipativo. Un focus specifico è dedicato all’impiego attuale dell’IA nei tool di partecipazione digitale, con valutazione di potenzialità e rischi associati. Vengono inoltre analizzati vantaggi, limiti e trade-off dei processi partecipativi assistiti dalla tecnologia.

La parte finale del rapporto delinea opzioni politiche concrete su tre livelli: prerequisiti di governance, considerazioni procedurali e alternative tecniche, definendo le safeguard necessarie per collegare in modo operativo la voce dei cittadini all’azione istituzionale.

Il documento è rilevante per chi lavora su AI Act applicato a sistemi di democrazia digitale: la categorizzazione dei rischi proposta nello studio si interseca con i requisiti di trasparenza e supervisione umana richiesti per i sistemi che incidono sui processi democratici.

Fonte

---

CONSIGLIO DELL’UNIONE EUROPEA

Relazione annuale sull’attuazione del Digital Markets Act

Il documento ST 9776 2026 INIT, datato 26 maggio 2026, è la relazione della Commissione al Consiglio e al Parlamento europeo sull’attuazione del Regolamento (UE) 2022/1925 sui mercati contendibili ed equi nel settore digitale, che ha anche modificato le Direttive (UE) 2019/1937 e (UE) 2020/1828. Si tratta dell’esercizio annuale di rendicontazione previsto dal DMA, lo strumento attraverso cui la Commissione documenta lo stato di applicazione degli obblighi imposti ai gatekeeper e l’attività di enforcement. Il testo integrale è disponibile sul portale del Consiglio.

Fonte

Proposta di Regolamento sulla protezione degli adulti: lettera al Parlamento

Con il documento ST 9764 2026 INIT, sempre del 26 maggio 2026, il Consiglio ha trasmesso al Parlamento europeo la lettera relativa alla proposta di Regolamento su giurisdizione, legge applicabile, riconoscimento ed esecuzione delle misure e cooperazione in materia di protezione degli adulti. Il dossier affronta il coordinamento transfrontaliero della tutela degli adulti vulnerabili all’interno dell’UE, terreno in cui l’intreccio fra dati sanitari, rappresentanza legale e circolazione delle decisioni protettive ha implicazioni dirette sul trattamento di categorie particolari ex art. 9 GDPR.

Fonte

---

DIGITAL MARKETS & PLATFORM REGULATION

Temu sanzionata per 200 milioni: precedente DSA sui rischi legati ai prodotti illegali

La Commissione europea ha sanzionato Temu con 200 milioni di euro il 28 maggio 2026 per aver fallito la valutazione dei rischi legati alla circolazione di prodotti illegali sulla piattaforma, ai sensi del Digital Services Act. È la sanzione DSA più alta finora imposta, superando i 120 milioni inflitti a X nel dicembre 2025 per carenze di trasparenza.

L’indagine, aperta nell’ottobre 2024, si è concentrata sulla prima risk assessment annuale di Temu del 2024. Secondo la Commissione, il documento si limitava a “general information” sui rischi del settore e-commerce nel suo complesso, senza evidenze specifiche relative alla piattaforma. L’esercizio di mystery shopping ha individuato elettronica difettosa, giocattoli per neonati con sostanze chimiche oltre i limiti e rischi di soffocamento. I sistemi di raccomandazione e le promozioni, secondo l’esecutivo, amplificano l’esposizione spingendo questi prodotti verso i consumatori. Temu conta 130 milioni di utenti mensili nell’UE, in crescita del 30% nell’ultimo anno.

L’importo resta lontano dal tetto del 6% sul fatturato globale: con ricavi 2025 stimati in 53 miliardi, la sanzione massima sarebbe stata circa 2,8 miliardi. Temu ha tre mesi — fino al 28 agosto 2026 — per presentare un action plan correttivo, e ha dichiarato di considerare la decisione sproporzionata e di valutare “all available options”. Restano aperte ulteriori indagini DSA su design addictive, recommender system e accesso ai dati dei ricercatori, oltre al filone sulla vendita di prodotti illegali.

La tempistica non è neutra: la sanzione cade alla vigilia di un vertice UE-Cina e arriva mentre Washington accusa il DSA di colpire selettivamente le aziende americane. Colpire un operatore cinese sposta quella narrativa. Sul piano sostanziale, la Commissione fissa un precedente operativo: le risk assessment generiche, costruite su template di settore senza dati specifici della piattaforma, non superano il vaglio dell’art. 34 DSA.

Fonte (Commissione europea)

·

Euractiv

·

Politico (EN)

·

Politico (FR)

---

SVILUPPI INTERNAZIONALI

Adtech come minaccia alla sicurezza nazionale: il Pentagono conferma

Il Dipartimento della Difesa USA ha confermato che attori ostili hanno tracciato e sorvegliato militari americani sul campo utilizzando dati di geolocalizzazione acquistati sul mercato commerciale. La conferma arriva da una lettera dello US Central Command condivisa dal senatore Ron Wyden con TechCrunch: USCENTCOM dichiara di aver ricevuto “multiple threat reports” su sfruttamento avversario di commercial location data per colpire personale statunitense in teatro operativo.

Il meccanismo è quello noto: dati raccolti tramite SDK pubblicitari da app e siti, rivenduti dai data broker sul mercato aperto, accessibili a chiunque paghi. Compresi governi e apparati militari, USA inclusi, che storicamente hanno acquistato questi dataset senza warrant. L’FBI da tempo raccomanda l’uso di ad blocker come misura di igiene digitale di base.

Wyden chiede di trattare l’industria adtech come una minaccia alla sicurezza nazionale. La posizione ha un peso specifico nel dibattito americano sulla regolazione dei data broker, ferma da anni tra proposte FTC e tentativi legislativi mai conclusi. Sul piano europeo, la vicenda è un caso di scuola del perché il consenso ai cookie e le finalità di trattamento dichiarate dagli ad network non reggono il test di accountability: una volta che il dato entra nella supply chain pubblicitaria, il titolare ne perde il controllo.

Fonte

Dati di giornalisti USA esposti sul dark web: l’indagine Proton

Proton, con Constella Intelligence, ha mappato il dark web alla ricerca di credenziali e dati riconducibili a New York Times, Washington Post e Wall Street Journal: oltre 116.000 esposizioni collegate a più di 35.000 indirizzi email, tra account di lavoro, personali, contact form e caselle di redazione. Tra i dati esposti, oltre 12.000 password in chiaro e più di 61.000 elementi di informazioni personali identificabili.

Le testate non sono state bucate direttamente: i leak arrivano da terze parti — retailer, fornitori software, servizi usati dai dipendenti — colpite da data breach a monte. È la dinamica classica del rischio supply chain applicata a una categoria professionale ad alta esposizione, dove la compromissione di un singolo account può tradursi in identificazione di fonti confidenziali, social engineering mirato, ritorsioni contro whistleblower. Proton ha notificato le tre testate prima della pubblicazione.

Il dato interessante non è il numero in sé, ma il modello di minaccia: la sicurezza editoriale dipende oggi dall’igiene di sicurezza di centinaia di vendor che il giornalista non sceglie e il datore di lavoro non controlla. Una lettura utile anche fuori dal settore media, per qualunque organizzazione che gestisca categorie di interessati ad alto rischio ex art. 35 GDPR.

Fonte

---

INTELLIGENZA ARTIFICIALE

Connecticut approva SB 5: chatbot companion, AEDT e sandbox in un unico pacchetto

Il Governatore Lamont ha firmato SB 5, legge in 39 sezioni che copre chatbot companion, automated employment decision tools, social media, provenance data, whistleblower protection per frontier AI, notifiche di licenziamento legate all’AI e pianificazione di una sandbox regolatoria statale. Le date di efficacia si scaglionano tra ottobre 2026 e gennaio 2028.

A differenza del precedente SB 2 — affossato lo scorso anno dalla minaccia di veto di Lamont sul timore di frenare l’innovazione — il Connecticut rinuncia al framework unico sull’high-risk AI e opta per obblighi mirati. Sui companion chatbot, il testo impone protocolli di sicurezza per ideazione suicidaria, disclosure non-umana, e per i minori strumenti parentali su privacy e screen time più limiti alle funzioni che massimizzano l’engagement. La definizione di “AI companion” è più stretta rispetto a Nebraska e Idaho: sistemi con risposte adattive human-like capaci di sostenere una relazione nel tempo.

Connecticut si aggiunge così a New York, California, Washington, Oregon, Nebraska, Idaho, Iowa e Georgia nella regolamentazione dei chatbot relazionali. Da segnalare che lo stesso giorno è stato firmato anche SB 4 sulla privacy, con registro dei data broker e meccanismo di cancellazione accessibile.

Fonte

Confidence score e falsi positivi: l’aritmetica degli errori giudiziari

Techdirt mette in fila un’osservazione banale ma trascurata: un confidence level del 95% in un modello predittivo significa anche un 5% di errore atteso. Su centinaia o migliaia di predizioni al giorno, gli errori si accumulano in valore assoluto — e ciò assumendo che il 95% dichiarato dal modello corrisponda alla realtà, ipotesi tutt’altro che scontata.

Il punto rileva quando i sistemi vengono usati come base per identificazione, arresti e procedimenti penali: la calibrazione del modello e la sua corrispondenza con la frequenza reale degli eventi diventano il vero perno della responsabilità, non il numero sulla dashboard.

Fonte

Illinois SB 315: audit indipendenti sui frontier model, mentre Trump perde terreno

Pochi giorni dopo la cancellazione del piano federale per il vetting dei frontier model, il legislatore dell’Illinois ha approvato SB 315, definita dai sostenitori la legge statale più rigorosa sull’AI safety. Pritzker ha confermato su X che firmerà.

Il testo impone alle maggiori AI firm di pubblicare piani di sicurezza, report annuali sui risultati di test di sicurezza indipendenti condotti da terzi, e di notificare allo Stato gli incidenti critici entro 72 ore — ridotte a 24 in caso di rischio imminente di morte o danno fisico grave. Prevista anche tutela whistleblower per i dipendenti che segnalino rischi emergenti. Gli audit, secondo Scott Wisor del Secure AI Project, ricadranno verosimilmente sulle Big Four (Deloitte, EY, KPMG, PwC).

OpenAI e Anthropic hanno sostenuto il testo: Chris Lehane (OpenAI) ha dichiarato a Wired che la società punta a leggi analoghe in altri Stati per evitare il patchwork; Cesar Fernandez (Anthropic) sostiene che gli obblighi rispecchiano protocolli già adottati su base volontaria. Lettura ovvia: requisiti gestibili dagli incumbent, più gravosi per i player minori. Lo scontro con l’amministrazione federale, che ha tentato senza successo di bloccare le leggi statali, è destinato a intensificarsi.

Fonte

Consiglio UE: conclusioni sugli insegnanti nell’era dell’AI

Pubblicate in GUUE C/2026/2826 del 26 maggio 2026 le conclusioni del Consiglio sugli insegnanti nell’era dell’intelligenza artificiale (ST/9003/2026/INIT). Il documento richiama la European Education Area e collega esplicitamente l’integrazione dell’AI nei sistemi di istruzione e formazione ai temi di sovranità digitale e autonomia strategica, indicando come critica la riduzione delle dipendenze da tecnologie AI sviluppate fuori dall’Europa, anche nel comparto educativo.

Il Consiglio riconosce che l’AI può ridisegnare la progettazione, l’erogazione e la valutazione della didattica, l’accesso e l’interpretazione delle informazioni da parte degli studenti, la gestione amministrativa delle scuole, e quindi la relazione docente-discente. L’integrazione poggia sul rafforzamento continuo delle competenze digitali esistenti del personale docente.

Atto di soft law, ma utile come cornice politica per gli interventi nazionali sull’AI in ambito scolastico e per la lettura combinata con gli obblighi di AI literacy già previsti dall’AI Act. Per la citazione giuridica, il riferimento corretto è CELEX 52026XG02826, pubblicato in GUUE C/2026/2826: su EUR-Lex la scheda CELEX offre l’accesso multilingue in HTML, PDF autentico e firma elettronica.

Fonte (OJ)

Fonte (CELEX)

---

CYBERSECURITY

Palo Alto, CVE-2026-0257: l’auth bypass di GlobalProtect è sotto attacco

Palo Alto Networks ha aggiornato il 29 maggio l’advisory pubblicato il 13 maggio scorso, confermando lo sfruttamento attivo della CVE-2026-0257 contro dispositivi PAN-OS non patchati. La severity è salita da Medium a High e la vulnerabilità è entrata nel KEV catalog della CISA, con scadenza di mitigazione fissata al 1° giugno 2026 per le agenzie federali statunitensi.

Il difetto risiede nella gestione dei cookie di authentication override del portal e gateway GlobalProtect: il device decifra il cookie con la chiave privata configurata e ne accetta il contenuto senza verifica della firma. Se lo stesso certificato è riutilizzato per i servizi HTTPS, l’attaccante ricava la chiave pubblica dalla sessione TLS e forgia cookie validi per autenticarsi come amministratore locale.

Rapid7 ha tracciato la prima ondata dal 17 maggio (infrastruttura Vultr) e una seconda dal 21 maggio (Dromatics Systems), attribuendole allo stesso threat actor. In alcuni casi gli attaccanti hanno ottenuto assegnazione IP VPN e accesso alla rete interna, senza però movimenti laterali osservati. Mitigazioni temporanee: disabilitare l’authentication override o generare un certificato dedicato esclusivamente a tale funzione.

Fonte BleepingComputer

Fonte The Hacker News

Charter Communications: 4,9 milioni di account esposti dopo il vishing a un dipendente

ShinyHunters ha esfiltrato dati da Charter Communications il 1° aprile 2026, compromettendo via vishing l’account Microsoft Entra di un dipendente del colosso telco statunitense (oltre 32 milioni di clienti tramite il brand Spectrum). Have I Been Pwned ha confermato l’impatto su 4,9 milioni di account unici: nomi, indirizzi email, numeri di telefono e indirizzi fisici. Un sottoinsieme di circa 85.000 record, proveniente da una directory interna, include anche job title.

Il gruppo sostiene di aver sottratto 42 milioni di record dall’istanza Salesforce di Charter, comprensivi di dati CPNI (Customer Proprietary Network Information, categoria regolata negli USA). Charter nega l’esfiltrazione di CPNI e di sensitive PI, riconducendo l’incidente ai soli “sales tools”. Dopo il rifiuto del riscatto, i dati sono finiti sul leak site del gruppo.

L’incidente si inserisce nella campagna sistematica di ShinyHunters contro le istanze Salesforce, già al centro delle operazioni Aura e Salesloft Drift. L’FBI continua a sconsigliare il pagamento del riscatto, che non garantisce né la cancellazione né la non-rivendita dei dati.

Fonte

WP Maps Pro, CVE-2026-8732: admin account creati senza autenticazione

Defiant/Wordfence ha bloccato oltre 3.600 tentativi di sfruttamento nelle ultime 24 ore di CVE-2026-8732, vulnerabilità critica nel plugin WordPress WP Maps Pro (versioni 6.1.0 e precedenti). Il plugin, con oltre 15.800 vendite su Envato Market, è diffuso tra siti business, real estate, directory e portali turistici.

Il bug risiede nella feature di “temporary access” pensata per il supporto del vendor: l’endpoint AJAX è raggiungibile senza autenticazione e si affidava a un nonce esposto nel JavaScript frontend. Una richiesta con check_temp=false invoca wp_insert_user() creando un utente con ruolo administrator hardcoded, username random ed email support@flippercode.com, e restituisce una magic login URL passwordless. L’attaccante visita l’URL e ottiene la sessione admin.

Conseguenze tipiche: backdoor persistenti, web shell, plugin malevoli, esfiltrazione dati. Reportata da David Brown a Wordfence il 24 marzo, fix in WP Maps Pro 6.1.1 rilasciato il 20 maggio.

Fonte

Polizia olandese smantella botnet da 17 milioni di dispositivi

La Politie e il NCSC olandese hanno annunciato il sequestro di parte dei server di una botnet che aggregava almeno 17 milioni di dispositivi infetti — PC, tablet, smartphone e IoT — con oltre 200 server di backend localizzati nei Paesi Bassi. L’hosting provider, dopo il sequestro, ha portato offline l’infrastruttura.

Le autorità non hanno nominato il servizio, ma NL Times lo identifica con Asocks, piattaforma di residential proxy con abbonamenti tra 5 e 15 dollari mensili. Asocks era già emersa nell’aprile 2024 nella campagna PROXYLIB documentata dal team Satori di HUMAN, che coinvolgeva dispositivi Android infettati da proxyware riconducibile a LumiApps e Asocks stessa.

Il caso illustra l’ambiguità strutturale dei residential proxy: usi leciti (bypass di geo-restrizioni, privacy) convivono con un mercato grigio in cui i dispositivi compromessi diventano nodi di routing per traffico malevolo, spesso a insaputa dei proprietari.

Fonte

---

TECH & INNOVAZIONE

PETs e trasferimenti internazionali: nessuna pallottola d’argento

Il Future of Privacy Forum, durante il Global CBPR Forum di Lima, ha dedicato una sessione al ruolo delle Privacy Enhancing Technologies nei trasferimenti transfrontalieri di dati. Il punto non è retorico: in un contesto dove le basi giuridiche per i flussi extra-UE restano fragili e il volume di dati richiesti dai sistemi AI cresce, capire se e come PETs possano funzionare da abilitatore tecnico ha implicazioni operative dirette.

La sessione ha messo a fuoco due tecnologie mature: trusted execution environments e differential privacy. È stato presentato un pilota di policy USA-UK e una prospettiva latinoamericana sull’adozione. Il messaggio dei relatori è meno entusiastico di quanto il titolo lasci intendere: le PETs non risolvono il problema giuridico del trasferimento, ma possono ridurre la superficie di rischio in scenari specifici — il caso d’uso medico illustrato ne è esempio — dove i vincoli legali o di fiducia hanno storicamente bloccato la condivisione. Restano sfide strutturali: interoperabilità, costi analitici, assenza di un riconoscimento normativo esplicito che traduca il deployment di una PET in una garanzia ai sensi dell’art. 46 GDPR.

Fonte

Carriere privacy nell’era AI: quattro profili

Doug Miller (FPF) prova a fotografare cosa sta succedendo alla professione privacy ora che l’AI governance si sovrappone — e in alcuni casi assorbe — il perimetro tradizionale del data protection. La tesi: chi è entrato nella privacy quindici anni fa lo ha fatto spesso per caso, “volontariato” da un dipartimento legale. L’AI è arrivata troppo in fretta perché la nuova generazione abbia potuto scegliere consapevolmente.

Miller propone quattro categorie: gli Adopting, che abbracciano il nuovo perimetro con entusiasmo; gli Adapting, pragmatici che si stanno riadattando senza averlo scelto; e altri due profili che il post completo declina. Il sottotesto è il burnout: il senso di lavorare in un’organizzazione che resiste alla compliance, già strutturale nella privacy, rischia di amplificarsi quando al GDPR si aggiungono AI Act, governance dei modelli e mappatura dei rischi algoritmici su perimetri non ancora consolidati.

Fonte

FPF: guide pratiche sulle PETs per il settore educativo

FPF ha pubblicato una suite di risorse operative sulle Privacy Enhancing Technologies destinate a tre comunità che trattano dati degli studenti: state education agencies e statewide longitudinal data systems, ricercatori in ambito educativo, vendor EdTech. Le guide, sviluppate con AEM Corporation, includono una chart comparativa su sette PETs rilevanti per gli ambienti di dati scolastici.

Il punto interessante è il riconoscimento esplicito di un trade-off poco trattato: nei sistemi longitudinali statali le popolazioni studentesche più esposte al rischio di re-identificazione — piccoli distretti, categorie di disabilità a bassa incidenza, combinazioni demografiche rare — sono spesso quelle per cui i metodi noise-based come la differential privacy performano peggio. Le guide non si limitano a descrivere cosa le PETs possono fare, ma chiedono di documentare i costi analitici della scelta. Un approccio che andrebbe importato anche fuori dal contesto educativo: troppe DPIA citano “tecniche di anonimizzazione” senza misurare cosa si perde in utilità del dato.

Fonte

FROST: fingerprinting via SSD direttamente dal browser

Un paper di ricerca documenta una nuova tecnica di tracciamento lato browser denominata FROST (Fingerprinting Remotely using OPFS-based SSD Timing). Il sito attaccante misura, tramite JavaScript, la contesa sulle operazioni I/O dell’SSD del visitatore sfruttando l’Origin Private File System — uno spazio di storage allocato per sito, sandboxed, che non richiede alcun consenso o interazione dell’utente per essere creato.

Misurando i tempi delle operazioni I/O e dandoli in pasto a una rete neurale convoluzionale preaddestrata, l’attaccante deduce quali altri siti sono aperti in altre tab (anche su browser diversi) e quali applicazioni sono in esecuzione sul dispositivo. È un side channel di contesa che bypassa l’isolamento logico tra origini sfruttando una risorsa fisica condivisa. Implicazioni: le misure tradizionali — partizionamento dello storage, restrizioni sui cookie di terze parti, modalità incognito — non mitigano l’attacco, perché la leakage avviene a un livello hardware-timing che il modello di sicurezza del browser non copre. Per chi redige informative e analisi sui rischi del tracking, è uno scenario da aggiungere alla mappa.

Fonte

Deepfake in una high school: il fallimento sistemico

404 Media dedica un podcast a un’inchiesta su come i deepfake abbiano devastato una scuola superiore americana, con un focus sui passaggi in cui istituzioni scolastiche, piattaforme e forze dell’ordine hanno mancato di proteggere i minori coinvolti. Il secondo segmento riguarda BusPatrol, azienda che ha installato telecamere AI su decine di migliaia di scuolabus e che ora vuole dare alle forze di polizia accesso ai dati raccolti — un caso da manuale di function creep: sistema introdotto per una finalità (sicurezza stradale scolastica) riproposto per finalità diverse non dichiarate ai genitori al momento del deployment.

Fonte

---

RICERCA SCIENTIFICA

Selezione dei paper più rilevanti della settimana da arXiv su AI, Machine Learning e Privacy

Nota: i paper arXiv sono preprint e non necessariamente sottoposti a peer review.

Privacy Auditing e Membership Inference

A Full-Pipeline Framework for Evaluating Membership Inference Attacks in Machine Learning

Gli autori propongono un framework end-to-end per valutare sistematicamente le MIA, riconoscendo che la loro efficacia varia sensibilmente in base al contesto (privacy auditing, unlearning, identificazione di training data). Il punto interessante è che la letteratura finora non aveva uno strumento unificato per misurare quanto i risultati di un attacco siano generalizzabili o context-dependent.

arXiv

Detectability in Diversity: Improved Canary Crafting for Privacy Auditing in One Run

Il paper migliora i metodi di one-run auditing, dove canary points vengono inseriti nel training set per derivare lower bound empirici sui parametri DP in un’unica esecuzione. Gli autori lavorano sulla “detectability” dei canary, ottenendo bound più stretti senza i costi computazionali dell’auditing tradizionale a esecuzioni multiple. Rilevante per chi deve produrre evidenze quantitative di tenuta DP in contesti di accountability.

arXiv

Differential Privacy e DP-SGD

From Privacy to Generalization: Linear Max-Information Bounds for DP-SGD

Lavoro teorico che fornisce bound lineari sulla max-information per DP-SGD, chiarendo il legame tra garanzie di privacy e capacità di generalizzazione delle reti profonde. Il risultato dà fondamento formale all’intuizione che DP-SGD riduce il rischio di overfitting, ma quantifica esplicitamente il trade-off.

arXiv

Revisiting ML Training under Fully Homomorphic Encryption

Prima analisi teorica di convergenza per training ML sotto FHE combinato con un algoritmo DP costruito ad hoc per la computazione cifrata. Gli autori sostengono di migliorare l’efficienza rispetto a DP-GD standard mantenendo utility comparabile. Rilevante per scenari in cui si vuole combinare confidenzialità computazionale (FHE) e garanzie formali di privacy dell’output (DP) senza il consueto collasso prestazionale.

arXiv

PATE-TabTransGAN: Differentially Private Synthetic Tabular Data Generation

Combinazione di PATE con un’architettura transformer-GAN per generare dati tabellari sintetici sotto DP formale. L’obiettivo dichiarato è chiudere il gap tra metodi con garanzie teoriche forti ma fedeltà bassa e architetture espressive ma con sola privacy empirica. Interessante per use case di data sharing dove il sintetico deve preservare correlazioni inter-feature realistiche.

arXiv

Memorizzazione nei modelli generativi

Localizing Memorized Regions in Diffusion Models via Coordinate-Wise Curvature Differences

Gli autori caratterizzano geometricamente la memorizzazione locale nei modelli di diffusione come “collasso di varianza coordinate-wise”, permettendo di individuare dove in un’immagine generata emerge la memorizzazione, non solo se è presente. Il finding è direttamente spendibile in contesti di contenzioso su copyright e diritti dell’interessato: la localizzazione granulare cambia il modo in cui si può argomentare la riconducibilità di un output a uno specifico training sample.

arXiv

Federated Learning e architetture distribuite

PrivFusion: A Privacy-preserving Multi-Agent Framework for Harmonizing Distributed Datasets

Framework multi-agente per l’armonizzazione di dataset clinici distribuiti, affrontando l’eterogeneità inter-istituzionale come prerequisito (spesso ignorato) del federated learning sanitario. Il contributo sta nel trattare harmonization e privacy come problema congiunto, anziché demandare la prima a una fase di pre-processing centralizzata incompatibile con i vincoli sui dati sanitari.

arXiv

Fairness, privacy e accuracy

Balancing Fairness, Privacy, and Accuracy: A Multitask Adversarial Framework

Framework adversarial multitask che ottimizza congiuntamente fairness, privacy e accuratezza in sistemi data-driven centralizzati, partendo dalla constatazione che la letteratura raramente tratta i tre obiettivi insieme. Tema rilevante per i sistemi ad alto rischio dell’AI Act, dove i requisiti su non discriminazione e protezione dei dati convivono nello stesso assessment e i trade-off vanno documentati.

arXiv

---

AI ACT IN PILLOLE - Parte 23

Articolo 27 - Valutazione d’impatto sui diritti fondamentali

Dopo aver esaminato nella scorsa puntata gli obblighi generali dei deployer di sistemi ad alto rischio previsti dall’Articolo 26, ci concentriamo ora su uno strumento specifico e particolarmente significativo che si affianca a quegli obblighi: la Fundamental Rights Impact Assessment (FRIA), disciplinata dall’Articolo 27. Si tratta di una delle novità più rilevanti dell’AI Act, che introduce nel panorama regolatorio europeo una valutazione preventiva dedicata espressamente ai diritti fondamentali delle persone coinvolte dall’uso di sistemi di IA.

A chi si applica la FRIA

L’obbligo non riguarda tutti i deployer di sistemi ad alto rischio, ma una platea ben circoscritta. La FRIA deve essere effettuata da:

Restano dunque esclusi molti deployer privati che utilizzano sistemi ad alto rischio in altri ambiti, anche se gli obblighi generali dell’Articolo 26 continuano comunque ad applicarsi.

Cosa prevede concretamente la valutazione

La FRIA va eseguita prima del primo utilizzo del sistema ad alto rischio e deve documentare in modo strutturato diversi elementi: una descrizione dei processi del deployer in cui il sistema sarà impiegato, il periodo e la frequenza di utilizzo, le categorie di persone fisiche e gruppi che potranno essere interessati, i rischi specifici di danno per tali soggetti (tenendo conto delle informazioni fornite dal fornitore ai sensi dell’Articolo 13), le misure di sorveglianza umana che saranno adottate e, infine, le misure da attuare nel caso in cui tali rischi si materializzino, inclusi gli accordi di governance interna e i meccanismi di reclamo.

Un aspetto pratico importante: se uno qualsiasi di questi elementi cambia nel corso dell’utilizzo, il deployer è tenuto ad aggiornare la valutazione.

Il rapporto con la DPIA e le implicazioni pratiche

Per chi opera quotidianamente con il GDPR, l’Articolo 27 offre un’apertura significativa: quando il deployer è già tenuto a effettuare una valutazione d’impatto sulla protezione dei dati (DPIA) ai sensi dell’art. 35 GDPR, la FRIA può essere svolta in combinazione con essa, evitando duplicazioni documentali. Si tratta di un’integrazione che richiederà però attenzione metodologica: la DPIA si concentra sui rischi per i diritti e le libertà connessi al trattamento dei dati personali, mentre la FRIA ha un perimetro più ampio, coprendo tutti i diritti fondamentali potenzialmente incisi, indipendentemente dalla natura personale dei dati trattati.

Sul piano operativo, le organizzazioni dovranno strutturare team multidisciplinari (DPO, legal, compliance, business owner, esperti tecnici) e definire metodologie capaci di intercettare rischi di discriminazione algoritmica, impatti su libertà di espressione, accesso a servizi essenziali, dignità della persona. Un esempio concreto: un Comune che intenda utilizzare un sistema di IA per assegnare alloggi popolari dovrà valutare non solo i rischi di trattamento dati, ma anche possibili discriminazioni indirette verso determinate categorie, l’impatto sull’accesso all’abitazione e i meccanismi di contestazione disponibili per i cittadini.

Per un approfondimento sul perché GDPR e AI Act mantengano DPIA e FRIA come due valutazioni distinte — pur consentendone lo svolgimento congiunto — rinvio all’articolo sul blog:

DPIA e FRIA: perché GDPR e AI Act tengono separate due valutazioni diverse

.

Notifica all’autorità e modello standardizzato

Una volta completata la valutazione, il deployer deve notificarne i risultati all’autorità di vigilanza del mercato, utilizzando il modello che l’AI Office è chiamato a predisporre tramite un apposito questionario automatizzato. Questo passaggio rende la FRIA non un mero esercizio interno, ma uno strumento di trasparenza verso le autorità competenti.

Sul fronte sanzionatorio, la violazione dell’Articolo 27 rientra nel regime generale dell’Articolo 99 dell’AI Act, con sanzioni amministrative fino a 15 milioni di euro o al 3% del fatturato mondiale annuo.

Prossima puntata

Nella Parte 24 affronteremo l’Articolo 28 – Autorità di notifica, analizzando il ruolo degli Stati membri nella designazione delle autorità nazionali incaricate delle procedure di valutazione, designazione, notifica e monitoraggio degli organismi di valutazione della conformità.

La registrazione nella banca dati UE dei sistemi ad alto rischio elencati nell’Allegato III è invece disciplinata dall’Articolo 49, mentre l’Articolo 71 istituisce e regola la banca dati europea; il tema sarà oggetto di una puntata successiva.

---

Un bilancio in dieci tappe

Dopo aver esaminato, nella scorsa puntata, gli obblighi che l’AI Act impone al professionista legale, è il momento di tirare le fila di questo percorso. Dieci tappe ci hanno condotto attraverso i fondamenti del Legal Prompting: dalla definizione iniziale alla gerarchia delle fonti, dalla costruzione di prompt strutturati al ruolo del contesto, fino alle implicazioni deontologiche e regolatorie. Un viaggio che non si esaurisce qui, ma che fornisce una mappa operativa a chi voglia integrare l’AI nella propria pratica professionale in modo consapevole.

Il filo conduttore è stato chiaro: il Legal Prompting non è una tecnica di scrittura creativa, ma una disciplina che intreccia competenza giuridica, rigore metodologico e responsabilità professionale. Abbiamo visto come un prompt ben costruito — che richiami la norma applicabile, indichi la giurisdizione, definisca il ruolo dell’interlocutore e specifichi il formato dell’output — possa trasformare uno strumento generalista in un assistente utile per la ricognizione normativa, la prima bozza di un parere o la verifica di una clausola contrattuale.

Tre principi sono emersi con costanza. Il primo: i modelli linguistici producono output plausibili, non verità giuridiche. La supervisione del professionista resta insostituibile, e non è un orpello deontologico, ma il presidio che distingue l’uso dell’AI dall’abdicazione professionale. Il secondo: il quadro europeo — AI Act, GDPR, codici deontologici, Legge 132/2025 — non è uno sfondo decorativo, ma un perimetro che condiziona ogni scelta operativa, dalla tipologia di dati trattati alla valutazione del rischio del sistema impiegato. Il terzo: la scelta tra modelli locali e soluzioni cloud non è una questione tecnica delegabile all’IT, ma una decisione che coinvolge segreto professionale, responsabilità verso il cliente e compliance.

Le direzioni future

Cosa ci attende nelle prossime puntate? Entreremo nel terreno applicativo: prompt per la redazione di pareri DPIA, tecniche per l’analisi di provvedimenti del Garante, modelli di interrogazione per la giurisprudenza europea, workflow per l’audit di clausole contrattuali. Affronteremo anche temi più avanzati come la valutazione comparativa dei modelli, l’uso dei sistemi di retrieval augmented generation in ambito legale e la costruzione di librerie di prompt riutilizzabili.

Il percorso fin qui ha posto le basi; quello che segue costruirà la pratica. Chi avesse perso le tappe iniziali può recuperare il quadro complessivo nell’articolo introduttivo:

Legal Prompting: la nuova frontiera dell’AI in ambito giuridico

.

Una considerazione finale. Il Legal Prompting non è destinato a sostituire il giurista, ma a ridefinirne gli strumenti. Come ogni tecnologia che incide sulla professione, richiede studio, sperimentazione critica e dialogo tra colleghi. Questa rubrica vuole essere, modestamente, uno spazio per quel dialogo.

---

PODCAST

La prima stagione del NicFab Podcast dedicata al Legal Prompting si è conclusa con il decimo e ultimo episodio, pubblicato la settimana scorsa. La serie ha ripercorso, dai fondamenti alle implicazioni deontologiche e regolatorie, l’uso disciplinato dei sistemi di AI nella pratica giuridica. L’intera stagione resta disponibile sul canale del podcast.

Ascolta la serie →

NicFab Podcast — Legal Prompting

---

DAL BLOG NICFAB

Magnifica Humanitas: l’enciclica di Leone XIV entra nel perimetro della regolazione dell’IA

25 maggio 2026

Magnifica Humanitas, firmata il 15 maggio 2026, è la prima enciclica interamente dedicata al rapporto tra persona e intelligenza artificiale. Una lettura giuridica delle intersezioni con AI Act, GDPR, DSA e governance digitale.

Leggi l’articolo completo

La ratifica UE della Convenzione quadro sull’IA: AI Act, diritti fondamentali e nuova architettura regolatoria

25 maggio 2026

Analisi giuridica della ratifica UE della Convenzione quadro CETS 225 del Consiglio d’Europa sull’intelligenza artificiale, depositata il 15 maggio 2026, e dell’articolazione con il Regolamento (UE) 2024/1689 (AI Act). Implicazioni sistemiche, dichiarazione dell’Unione ex art. 3 par. 1 lett. b, eccezione di sicurezza nazionale.

Leggi l’articolo completo

---

Eventi e incontri segnalati

120th Plenary meeting (28 maggio 2026)

EDPB |

Info

High-Level Debate: “From Omnibus to Opportunity: Driving Data Protection and Innovation” (8 giugno 2026)

EDPS |

Info

Meeting Committee on Civil Liberties, Justice and Home Affairs (LIBE), European Parliament (8 giugno 2026)

EDPB |

Info

Info session - Call for proposals Digital solutions for regulatory compliance through data (8 giugno 2026)

European Commission |

Info

Meeting Data Protection Working Group, Council (12 giugno 2026)

EDPB |

Info

---

Conclusione

C’è una geometria precisa nei fatti di questi sette giorni, e disegna una direzione che vale la pena nominare: l’Europa sta smettendo di fingere che la sovranità tecnologica sia un problema industriale e ha cominciato a trattarla come un problema di protezione dei dati. Sono due cose diverse, e il passaggio è importante.

L’intervento del Garante italiano sulla start-up del plug-in emotivo per Slack e Teams non è un caso isolato di paternalismo regolatorio. È il riconoscimento che l’AI applicata al monitoraggio cognitivo del lavoratore produce effetti giuridicamente rilevanti anche quando i dati restano aggregati. La promessa tecnica dell’anonimizzazione non basta più a disinnescare il giudizio sull’illiceità del trattamento: conta il contesto, conta l’asimmetria di potere, conta il chilling effect. Chi continua a vendere strumenti di “wellbeing analytics” pensando che bastino dashboard aggregate per stare fuori dal GDPR ha letto male il vento.

Sul fronte cloud, la convergenza è ancora più nitida. Le qualificazioni CNIL su IaaS, PaaS e SaaS, il caso sul sub-responsabile travolto dal cyberattacco, la sanzione da cinque milioni a IQVIA sugli entrepôts sanitari: sono tre angolature dello stesso problema, ossia la tracciabilità delle responsabilità lungo catene di fornitura sempre più opache. E qui si innestano le anticipazioni sul pacchetto che la Commissione dovrebbe presentare il 3 giugno, con gli stress-test sul cloud pubblico. Per anni abbiamo discusso di Schrems II come se fosse un problema di clausole contrattuali. Adesso la questione si sposta sul piano operativo: chi controlla davvero l’infrastruttura quando l’infrastruttura smette di funzionare, per scelta politica o per attacco.

La multa da duecento milioni a Temu sotto il DSA chiude il cerchio in modo simmetrico. L’Europa colpisce un operatore extra-UE per inadeguatezza delle valutazioni di rischio mentre prepara difese contro la dipendenza da operatori extra-UE che gestiscono i suoi dati più sensibili. Non è ipocrisia: è la presa d’atto che il mercato unico digitale, senza un’autonomia infrastrutturale credibile, resta un esercizio di soft power senza hardware.

È plausibile che nei prossimi diciotto mesi la nozione di “fornitore strategico” entri sempre più nel lessico operativo della data protection europea, con obblighi rafforzati che andranno oltre il perimetro classico del responsabile del trattamento. Le PET, pur restando una promessa tecnica seria ma non risolutiva, rischiano di essere invocate per giustificare trasferimenti che richiederebbero invece scelte architetturali più solide. Chi consiglia clienti su contratti cloud farebbe bene a prepararsi a una stagione in cui la due diligence smetterà di essere documentale e diventerà ingegneristica.

---

📧 A cura di Nicola Fabiano

Avvocato - Studio Legale Fabiano

🌐 Studio Legale Fabiano:

https://www.fabiano.law

🌐 Blog:

https://www.nicfab.eu

🌐 DAPPREMO:

https://www.dappremo.eu

---

Supporter

https://lawandtechnology.eu/

https://caffe20.it/

https://privacykit.it/

---

Iscriviti alla newsletter su

nicfab.eu

Segui le news anche su questi canali:

Telegram

Telegram →

@nicfabnews

Matrix

Matrix →

#nicfabnews:matrix.org

Mastodon

Mastodon →

@nicfab@fosstodon.org

Bluesky

Bluesky →

@nicfab.eu

Sostieni il mio lavoro indipendente

Questa newsletter rientra nella mia attività indipendente di ricerca e divulgazione su intelligenza artificiale, protezione dei dati, diritti digitali e conoscenza aperta. Se la ritieni utile, puoi sostenerla tramite

Liberapay

.

---

.newsletter-subscription-box {

max-width: 600px;

margin: 2.5rem auto;

padding: 2.5rem;

background: linear-gradient(135deg, #f8f9fa 0%, #e9ecef 100%);

border-radius: 12px;

border: 2px solid #7f1d1d;

box-shadow: 0 4px 6px rgba(0,0,0,0.1);

}

.newsletter-form-group {

margin-bottom: 1.5rem;

}

.newsletter-form-label {

display: block;

font-size: 1.1rem;

font-weight: 700;

margin-bottom: 0.75rem;

color: #1a1a1a;

}

.newsletter-form-input {

width: 100%;

padding: 1rem;

border: 2px solid #ddd;

border-radius: 8px;

font-size: 1rem;

transition: all 0.3s ease;

box-sizing: border-box;

}

.newsletter-form-input:focus {

outline: none;

border-color: #7f1d1d;

box-shadow: 0 0 0 4px rgba(127, 29, 29, 0.1);

}

.newsletter-captcha-group {

margin-bottom: 1.5rem;

display: flex;

justify-content: center;

}

.newsletter-submit-btn {

width: 100%;

padding: 1.25rem;

background: #7f1d1d;

color: white;

border: none;

border-radius: 8px;

font-size: 1.1rem;

font-weight: 700;

cursor: pointer;

transition: all 0.3s ease;

text-transform: uppercase;

letter-spacing: 0.5px;

}

.newsletter-submit-btn:hover {

background: #991b1b;

transform: translateY(-2px);

box-shadow: 0 4px 12px rgba(127, 29, 29, 0.3);

}

.newsletter-submit-btn:disabled {

background: #9ca3af;

cursor: not-allowed;

transform: none;

box-shadow: none;

}

.newsletter-privacy-notice {

margin-top: 1.5rem;

text-align: center;

font-size: 0.9rem;

color: #666;

line-height: 1.6;

}

.newsletter-privacy-notice a {

color: #7f1d1d;

text-decoration: underline;

font-weight: 600;

}

Indirizzo Email *

Nome

Iscriviti alla Newsletter

Rispettiamo la tua privacy. Double opt-in obbligatorio. Disiscrizione in qualsiasi momento.

Informativa Privacy

---

Torna all'elenco newsletter

Sezione italiana

Home

Proxied content from gemini://nicfab.eu/it/newsletterit/2026/2026-06-02-issue-23_it.gmi

Gemini request details:

Original URL
gemini://nicfab.eu/it/newsletterit/2026/2026-06-02-issue-23_it.gmi
Status code
Success
Meta
text/gemini;lang=en-US
Proxied by
kineto

Be advised that no attempt was made to verify the remote SSL certificate.