GDPR: rassegna stampa N° 7 / 2025
Rassegna stampa mensile
Privacy e Protezione dei dati personali
Disponibile anche in Podcast su Spotify (cerca: privacy isimply) o clicca QUI
Un luglio di privacy tra sfide globali e nuove consapevolezze
Cari custodi della privacy,
in un mondo sempre più connesso, la privacy non è solo una questione di conformità normativa, ma il cuore pulsante di una società che vuole proteggere la libertà e la dignità di ogni individuo. Ogni passo che compiamo insieme rappresenta un tassello per costruire un ecosistema digitale più sicuro, trasparente e rispettoso dei diritti fondamentali.
Il mese di luglio ci ha condotto in un viaggio tra riflessioni globali e questioni molto concrete. In Europa, il dibattito sulla revisione del GDPR si accende: da un lato l’Unione propone un percorso di semplificazione per le PMI e le small mid-cap, riducendo alcuni oneri amministrativi; dall’altro, i Garanti del G7 Privacy hanno ribadito che regole solide sono la base dell’innovazione e non il suo ostacolo. La proposta di un “GDPR 2.0” promette di trasformare la compliance in un’opportunità di crescita, ma solleva interrogativi su come mantenere intatta la tutela dei diritti nell’era digitale.
Il mese è stato ricco di casi che ci ricordano quanto la protezione dei dati sia fragile se non accompagnata da consapevolezza e prevenzione. La violazione che ha coinvolto 5,7 milioni di clienti Qantas, gli attacchi ai server SharePoint di Microsoft e le operazioni di cyber spionaggio contro le PMI europee dimostrano come la sicurezza informatica sia oggi un fattore vitale di continuità operativa e reputazione. L’attenzione non è solo rivolta alle grandi aziende: il nuovo Vademecum dell’Agenzia per la Cybersicurezza Nazionale per i dipendenti pubblici mette in luce come l’errore umano resti il principale punto debole delle infrastrutture digitali.
Al tempo stesso, si moltiplicano le sfide etiche e giuridiche poste dall’intelligenza artificiale. Dallo scandalo dei dataset open source che contengono volti e documenti personali, alle riflessioni del Garante italiano sulla necessità di parità algoritmica e di sistemi capaci di rispettare i diritti delle persone, emerge un quadro in cui l’IA non può più essere vista come neutra. La stessa Unione Europea avanza verso un ecosistema di regole che affianca il GDPR all’AI Act e al Data Act, che entrerà in vigore a settembre, delineando un futuro in cui gestione dei dati, innovazione e responsabilità dovranno convivere.
Non sono mancate riflessioni più vicine alla vita di tutti i giorni: dai limiti della “kiss cam” e delle telecamere urbane che rischiano di diffondere dati sensibili, fino al diritto all’oblio oncologico raccontato dal Garante nel suo podcast, ricordandoci che la privacy non è un concetto astratto ma una protezione concreta della dignità di ciascuno.
Luglio ci consegna un messaggio chiaro: la privacy non è mai scontata e richiede uno sforzo continuo, fatto di conoscenza, buone pratiche e responsabilità condivisa tra cittadini, imprese e istituzioni. In questo equilibrio sottile si gioca la fiducia nel nostro futuro digitale.
Con stima e fiducia in un domani più sicuro,
Enrico Capirone
1° luglio 2025 | Fonte: www.federprivacy.org
Violano il GDPR le carte per accedere ai servizi pubblici che utilizzano i dati biometrici dei cittadini
Il Dipartimento per la protezione sociale del Governo irlandese è stato multato per 550.000 euro dopo che l’autorità per la protezione dei dati (Data Protection Commission) aveva riscontrato “una serie di carenze” nel rispetto delle norme europee sulla privacy relativamente all’uso delle scansioni facciali nell’emissione di carte dei servizi pubblici, strumenti molto diffusi, dato che nel 2021 il dipartimento governativo irlandese era in possesso di dati biometrici di circa il 70% della popolazione. Al Dipartimento governativo è stato inoltre ordinato di trovare una valida base giuridica per l’uso di scansioni facciali e software di corrispondenza facciale per la registrazione di carte dei servizi pubblici entro 9 mesi, o altrimenti di cessare di usare i dati biometrici dei cittadini irlandesi.
1° luglio 2025 | Fonte: www.agendadigitale.ue
Dati Ue verso Paesi terzi: le linee guida Edpb sull’articolo 48 Gdpr
L’articolo 48 del GDPR è tornato al centro del dibattito europeo con l’adozione delle Linee Guida 02/2024 da parte dell’EDPB, che ne chiariscono l’applicazione in presenza di richieste di dati personali provenienti da autorità di Paesi terzi. Il nuovo inquadramento rafforza le garanzie a tutela della sovranità digitale e dei diritti fondamentali delle persone fisiche nel territorio dell’Unione.
Paola Perin
Studio GGM Avvocati – Avvocato e Organismo di Vigilanza, esperta in protezione e trattamento dei dati personali, compliance e tutela dei lavoratori
1° luglio 2025 | Fonte: www.garanteprivacy.it
Negli USA si discute uno stop decennale alle regole statali sull’AI. Ma c’è un equivoco – Intervento di Guido Scorza
Vietato per dieci anni varare a livello statale ogni “legge o regolamento… idoneo a limitare, restringere o regolamentare in altro modo i modelli di intelligenza artificiale, i sistemi di intelligenza artificiale o i sistemi decisionali automatizzati utilizzati nel commercio interstatale”. È questo il senso di un emendamento alla legge di bilancio USA sul quale il Congresso sarà chiamato a votare nei prossimi giorni. Anche se i promotori dell’iniziativa legislativa si affrettano a sottolineare che non si tratta – e non potrebbe trattarsi considerato che il veicolo legislativo è una legge di bilancio – di un vero divieto o di una compressione assoluta della potestà legislativa statale ma, invece, di una semplice condizione alla quale sarà subordinato il diritto dei singoli Stati a accadere a una quantità comunque considerevole – per non dire irrinunciabile – di risorse.
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10146169
1° luglio 2025 | Fonte: www.agendadigitale.ue
I Garanti del G7 Privacy riuniti a Ottawa hanno respinto le istanze di deregolamentazione europea, riaffermando che GDPR e AI Act sono fattori abilitanti dell’innovazione, non ostacoli al progresso tecnologico ed economico
Al netto dei grandi stravolgimenti geopolitici che impegnano l’agenda dei Paesi a livello internazionale, il tema dell’uso e della protezione dei dati di imprese, cittadini, pubbliche amministrazioni, unitamente alle questioni poste dalla diffusione delle tecnologie di intelligenza artificiale, resta centrale e fondamentale, non solo nelle discussioni tecniche, a latere, ad esempio, di quelle prettamente commerciali sui dazi imposti dall’amministrazione statunitense. Ogni anno, poi, il G7 delle Autorità per la protezione dei dati personali è un momento molto più che istituzionale, che lancia messaggi cruciali e traccia le principali sfide per il futuro. Lo sappiamo molto bene noi italiani, che proprio lo scorso anno abbiamo potuto assistere da vicino al G7 Privacy ospitato e organizzato dalla nostra Autorità.
Rocco Panetta
Chairman Panetta Consulting Group e IAPP Country Leader per l’Italia
2 luglio 2025 | Fonte: www.federprivacy.org
Quando il DPO scrive la DPIA: il Garante Privacy dice no
Non basta avere un Responsabile della protezione dei dati. Bisogna anche saperne rispettare il ruolo ed i compiti a lui assegnati dall’art.39 del GDPR. Lo ha ricordato con forza il Garante per la privacy nel provvedimento n. 202 del 10 aprile 2025, sanzionando una società partecipata del Comune di Milano per aver coinvolto il proprio Data Protection Officer nella redazione della valutazione d’impatto sul trattamento dei dati raccolti tramite telecamere intelligenti. Secondo l’Autorità per la protezione dei dati personali, questa prassi compromette l’indipendenza del DPO e viola il Regolamento 679/2016, che impone al Responsabile della protezione dei dati di esprimere un parere autonomo, e non di redigere in prima persona la valutazione d’impatto (DPIA) ai sensi dell’art. 35 del GDPR.
Rocco Panetta
Chairman Panetta Consulting Group e IAPP Country Leader per l’Italia
2 luglio 2025 | Fonte: www.cybersecurity360.it
Cyber security, com’è messa l’italia nel 2025: la risposta nei dati Anitec Assinform
Anitec-Assinform ha pubblicato il rapporto “Il digitale in Italia 2025” che esplora le principali sfide cyber, l’evoluzione delle tecnologie di difesa, come l’IA e il quantum computing, e le soluzioni per garantire la sicurezza digitale delle imprese e della PA. La spesa intanto ha toccato i 2 miliardi di euro nel 2024. Il nuovo rapporto “Il digitale in Italia 2025” appena pubblicato da Anitec-Assinform conferma una crescente emergenza globale per la cyber security: le minacce informatiche sono diventate più sofisticate e pervasive, con un impatto diretto sulla sicurezza dei dati, delle infrastrutture aziendali e sulla stessa competitività delle imprese.
La spesa in cyber security, invece, tocca i 2 miliardi di euro nel 2024 per la prima volta, secondo il rapporto, che cita dati Netconsulting.
Paolo Tarsitano
Editor Cybersecurity360.it
3 luglio 2025 | Fonte: www.agendadigitale.ue
Gdpr, che vuol dire essere DPO oggi: un ruolo difficile, tra AI e rischi cyber
Il GDPR ha da poco spento 7 candeline. Eppure, nel momento in cui normative locali (come quella tedesca) in materia di protezione di dati personali sono in fase di revisione, unitamente allo stesso testo del Regolamento europeo sulla Protezione dei Dati Personali n. 679/106 (GDPR), la cui proposta di revisione è stata presentata dalla Commissione Europea[1], è chiara la necessità di semplificazione e armonizzazione con le più recenti normative che hanno interessato il panorama europeo (es. AI Act, Digital Services Act, Digital Markets Act, Data Act, Data Governance Act, DORA, NIS2, etc.).
Possiamo, dunque, chiederci come cambia il ruolo del Dpo; come una figura peculiare prevista dal GDPR, quale quella del Data Protection Officer, si sia di fatto evoluta nell’arco di questi 7 anni e il suo rapporto con le novità normative.
Valeria Specchio
Senior Associate Rödl & Partner – Team Data Protection/Cyber/Innovation
7 luglio 2025 | Fonte: www.garanteprivacy.it
COMUNICATO STAMPA – Garante privacy incontra Arma Carabinieri per attuazione protocollo d’intesa
Il Comandante Generale dell’Arma dei Carabinieri ha incontrato, al Comando Generale, il Collegio del Garante per la protezione dei dati personali, per concordare le modalità di attuazione del protocollo d’intesa siglato a marzo scorso. Il Presidente Pasquale Stanzione ha sottolineato l’importanza del protocollo, per garantire una capillare diffusione sul territorio della cultura della protezione dei dati, con particolare riguardo ai minori. “Nei loro confronti, infatti, è quanto mai necessaria – ha osservato il Presidente – un’alleanza istituzionale che possa promuovere una reale consapevolezza delle opportunità e dei rischi del digitale e dell’importanza di proteggere i propri dati personali”. L’intesa tra l’Autorità Garante per la protezione dei dati personali e l’Arma dei Carabinieri rappresenta sia uno strumento per maturare una crescente adesione alla sensibilità nella protezione della privacy, che un modo per diffondere questa cultura tra le persone, principalmente da parte dei giovani Carabinieri.
https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10147726
8 luglio 2025 | Fonte: www.federprivacy.org
La ISO/IEC 27005:2022: la linea guida per la gestione dei rischi sulla sicurezza delle informazioni
La norma ISO/IEC 27005:2022 “Information security, cybersecurity and privacy protection — Guidance on managing information security risks” è uno standard internazionale, della famiglia ISO/IEC 27000, che fornisce linee guida per la gestione dei rischi nella sicurezza delle informazioni. Questo standard rappresenta una guida completa e pratica per implementare un sistema efficace di gestione dei rischi nella sicurezza delle informazioni, allineata alla ISO/IEC 27001. Chi si occupa di sicurezza delle informazioni in generale e dei dati personali in particolare, non può non conoscere gli elementi di base di questa norma, che cerchiamo di mettere a fuoco in questo articolo, supportati anche da un esempio operativo. Struttura della norma – La ISO/IEC 27005 è suddivisa in 6 capitoli principali (da 5 a 10), preceduti dai capitoli introduttivi. La struttura si basa sui principi generali della ISO 31000:2018 “Risk management — Guidelines” adattati al contesto specifico della sicurezza delle informazioni. Il taglio è estremamente operativo e questo è un grande valore aggiunto.
Struttura – Lo standard, attraverso le lenti della sicurezza delle informazioni, copre l’intero ciclo di gestione del rischio: valutazione, trattamento, comunicazione, monitoraggio e riesame.
I contenuti sono organizzati nelle seguenti aree:
– valutazione del rischio tramite l’analisi delle fasi relative all’identificazione, analisi e ponderazione del rischio. Include metodologie per identificare gli asset, le minacce, le vulnerabilità e determinare i livelli di rischio;
– trattamento del rischio che fornisce indicazioni su come gestire i rischi identificati attraverso strategie di mitigazione, accettazione, trasferimento o eliminando la/le sorgenti del rischio;
– comunicazione e consultazione che prevede processi per comunicare efficacemente i rischi a tutte le parti interessate nell’organizzazione;
– monitoraggio e riesame attraverso modalità per il controllo continuo dell’efficacia del processo di gestione del rischio.
8 luglio 2025 | Fonte: www.agendadigitale.ue
Verso un GDPR più leggero per le PMI? Ma non indeboliamo i diritti
A sette anni dall’entrata in vigore del Regolamento Generale sulla Protezione dei Dati (GDPR), l’Unione Europea si trova a un bivio cruciale. La proposta di semplificazione del GDPR, annunciata il 21 maggio 2025 dalla Commissione Europea nell’ambito del quarto pacchetto omnibus, mira a ridurre gli oneri amministrativi per le piccole e medie imprese (PMI) e le small mid-cap enterprises (imprese con meno di 750 dipendenti), modificando l’art. 30, par. 5. Sostenuta dalla lettera congiunta dell’EDPB e dell’EDPS, l’iniziativa si allinea al Rapporto Draghi del 9 settembre 2024, che ha evidenziato come la complessità normativa del GDPR possa frenare l’innovazione e la competitività delle PMI. Tuttavia, la proposta solleva diversi interrogativi: quali benefici economici porterà? Quante organizzazioni ne trarranno realmente vantaggio? E quali rischi comporta per un presidio essenziale di libertà e democrazia nell’era digitale?
Francesca Gaudino
Head of Data Privacy & Security presso Baker McKenzie Italia
Leonardo Lazzaro
Baker McKenzie
9 luglio 2025 | Fonte: www.federprivacy.org
Violati i dati personali di 5,7 milioni di clienti della compagnia aerea Qantas
Qantas ha informato 5,7 milioni di propri clienti che i loro dati personali sono stati compromessi durante un incidente informatico in uno dei suoi call center con sede a Manila nelle Filippine. A seguito di un’analisi forense, la compagnia aerea ha specificato i tipi di dati coinvolti nella violazione. L’indagine ha confermato che non sono stati esfiltrati dettagli della carta di credito, informazioni finanziarie personali o dettagli del passaporto. Allo stesso modo, gli account “frequent flyer” Qantas non sono direttamente interessati, e non sembrano state compromesse password, PIN o altri dettagli di accesso. La compagnia aerea ha infatti affermato che i dati violati sono insufficienti per ottenere l’accesso a questi account. Tuttavia, l’analisi ha rivelato che per circa quattro milioni di clienti, la violazione era limitata a nomi, indirizzi email e dettagli di frequent flyer Qantas. All’interno di questo gruppo, 1,2 milioni di record contenevano un nome e un indirizzo email, mentre 2,8 milioni includevano un nome, un indirizzo e-mail e un numero frequent flyer, inclusi anche lo stato del livello del membro. Un sottoinsieme più piccolo di questi record aveva anche saldi di punti e crediti di stato inclusi.
9 luglio 2025 | Fonte: www.agendadigitale.ue
L’asse 89–11 del GDPR: progettare senza identificare è obbligatorio
Gli articoli 89 e 11 del GDPR impongono trattamenti non identificativi quando compatibili con le finalità, integrando privacy by design e accountability. Meno identità, più privacy: il GDPR spinge verso trattamenti che riducono l’identificabilità. Gli articoli 89 e 11 tracciano un percorso chiaro: se non serve sapere chi sei, meglio non saperlo. Un cambio di paradigma che trasforma l’anonimato da scelta tecnica a regola progettuale, riducendo i rischi e semplificando la compliance. Privacy by design? Si fa anche evitando di identificare.
Daniele De Angelis
Inveo group
10 luglio 2025 | Fonte: www.garanteprivacy.it
COMUNICATO STAMPA – Il Garante privacy presenta la Relazione annuale. Il 15 luglio alla Camera dei Deputati. Il bilancio dell’attività 2024 e le prospettive future
L’Autorità Garante per la protezione dei dati personali (composta da Pasquale Stanzione, Ginevra Cerrina Feroni, Agostino Ghiglia, Guido Scorza) presenta martedì 15 luglio, alle ore 11:00, presso la Sala della Regina di Palazzo Montecitorio, Camera dei Deputati, la Relazione al Parlamento sull’attività svolta nel 2024. La Relazione illustra i diversi fronti su cui è stata impegnata l’Autorità nel corso di un anno caratterizzato da interventi in ambiti fortemente innovativi – come le nuove tecnologie emergenti, l’intelligenza artificiale generativa, i modelli “pay or ok” e l’addestramento dei sistemi di IA tramite web scraping – accanto a costanti consolidate come il contrasto al telemarketing aggressivo, la tutela dei soggetti più vulnerabili e la protezione dei dati sanitari.
https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10148845
https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10150195
https://www.quirinale.it/elementi/137023
10 luglio 2025 | Fonte: www.agendadigitale.ue
Sistemi di videosorveglianza al lavoro: guida pratica alla compliance
Il datore di lavoro che intenda installare un sistema di videosorveglianza all’interno del proprio contesto lavorativo, prima dell’installazione e della messa in esercizio dell’impianto, è chiamato a svolgere un attento processo di valutazione per la compliance rispetto agli obblighi relativi a due distinti profili normativi che non mancano di essere collegati tra loro: da un lato, la normativa in materia di protezione dei dati personali rappresentata in ambito europeo dal Gdpr, dall’altra quella giuslavoristica. Ricordiamo inoltre che, sul piano pratico, in alcuni casi è necessario fare richiesta di autorizzazione all’Ispettorato del lavoro per la videosorveglianza in azienda.
Lorenzo Giannini
Consulente legale privacy e DPO
https://www.agendadigitale.eu/sicurezza/privacy/lavoro-sistemi-videosorveglianza-guida/
12 luglio 2025 | Fonte: www.garanteprivacy.it
Editori alla sfida finale – Intervento di Guido Scorza
La Independent Publishers Alliance, un’associazione di editori indipendenti di giornali, ha presentato una denuncia alla Commissione europea puntando l’indice contro Google e in particolare contro il suo servizio OverviewAI che offre, a chi interroga il motore di ricerca più popolare del mondo, non più un elenco di link a una serie di possibili fonti – incluse le pagine dei giornali – nelle quali cercare una risposta, ma una prima possibile risposta sintetica capace, se non sempre spesso, di soddisfare ogni curiosità informativa. Risultato, a differenza di ieri, gli utenti del motore di ricerca potrebbero fermarsi li, sulle pagine dei risultati della ricerca di Google e non proseguire la navigazione fino ad approdare alle pagine degli editori, con la conseguenza che il valore commerciale di queste ultime, sostiene l’associazione nella denuncia alla Commissione Ue, sarebbe condannato a crollare secondo una formula quasi aritmetica: meno lettori, meno dati raccolti a fini di profilazione commerciale, meno investitori pubblicitari.
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10152488
14 luglio 2025 | Fonte: www.cybersecurity360.it
Verifiche trasparenza delle PA 2025: profili applicativi e compatibilità con la normativa privacy
La materia della trasparenza, benché improntata a finalità di garanzia democratica e prevenzione della corruzione, non può prescindere da una rigorosa applicazione delle norme sulla protezione dei dati personali. Obiettivo irrinunciabile è l’equilibrio tra trasparenza e privacy. In questi giorni è ufficialmente iniziata la nuova fase di monitoraggio relativa al rispetto degli obblighi di trasparenza previsti dal D.Lgs. n. 33/2013, ai fini della quale l’Autorità nazionale anticorruzione (Anac) si avvale del previsto contributo degli Organismi indipendenti di valutazione (Oiv) o, ove temporaneamente assenti gli Oiv, dei Responsabili della prevenzione della corruzione e della trasparenza (Rpct).
Pasquale Mancino
Internal auditor e Revisore di Organizzazione sindacale
14 luglio 2025 | Fonte: www.cybersecurity360.it
Budget mirato e sinergia con IT per difendersi dalle nuove minacce
La crescente esposizione degli ICS/OT a minacce informatiche impone un approccio strategico alla sicurezza. Allocare risorse adeguate e rafforzare la collaborazione tra i due team sono passi fondamentali per proteggere infrastrutture critiche e garantire la continuità operativa. SANS Institute – leader mondiale nella formazione e nella ricerca sulla sicurezza informatica – in collaborazione con OPSWAT – leader mondiale nelle soluzioni di protezione delle infrastrutture critiche – ha pubblicato ad inizio marzo il “2025 ICS/OT Cybersecurity Budget Report”, che rivela lacune significative nei budget per la cyber security e un aumento considerevole degli attacchi rivolti ai ICS/OT, oltre ad evidenziare priorità non allineate e difese frammentate che espongono le infrastrutture critiche a minacce sempre più sofisticate.
Federica Maria Rita Livelli
Business Continuity & Risk Management Consultant, BCI Cyber Resilience Committee Member, CLUSIT Direttivo, ENIA Comitato Scientifico
15 luglio 2025 | Fonte: www.federprivacy.org
Dalla Commissione UE l’app per la verifica dell’età sui social. Anche l’Italia tra i cinque paesi coinvolti nella fase pilota del progetto
La Commissione Ue ha presentato delle linee guida per la protezione digitale dei minori e un prototipo di un’applicazione per la verifica dell’età degli utenti sulle piattaforme ai sensi del Digital Services Act.
Lo ha annunciato la vice presidente della Commissione europea, Henna Virkkunen. Italia, Francia, Spagna, Grecia e Danimarca parteciperanno alla fase pilota dell’applicazione, che è uno dei tasselli che comporranno il portafoglio d’identità digitale atteso per la fine del 2026. L’app sarà usata per verificare se l’utente ha più di 18 anni senza dover rivelare ulteriori informazioni personali nel rispetto della privacy. Il prototipo dell’app, che stabilisce un “gold standard” nella garanzia dell’età online, permetterà, ad esempio, agli utenti di dimostrare facilmente di avere più di 18 anni quando accedono a contenuti riservati agli adulti online, pur mantenendo il pieno controllo di qualsiasi altra informazione personale, come l’età esatta o l’identità dell’utente. Nessuno sarà in grado di tracciare, vedere o ricostruire i contenuti consultati dai singoli utenti. L’app di verifica sarà testata e ulteriormente personalizzata in collaborazione con gli Stati membri, le piattaforme online e gli utenti finali. I cinque Stati membri saranno i primi ad adottare la soluzione tecnica con l’obiettivo di lanciare un’app nazionale personalizzata per la verifica dell’età. Il prototipo potrà essere integrato in un’app nazionale o rimanere un’app indipendente.
15 luglio 2025 | Fonte: www.agendadigitale.ue
Gdpr 2.0: come passare dalla burocrazia alla vera tutela dei dati
La proposta di revisione del GDPR introduce semplificazioni burocratiche ma trascura il problema sistemico del trattamento dei dati particolari, che necessita di una base giuridica contrattuale autonoma dal consenso esplicito. La proposta di recente avanzata dalla Commissione europea, mira a introdurre modifiche di carattere semplificativo per le piccole e medie imprese (PMI) e per talune imprese a media capitalizzazione (small mid-caps, SMC). L’intervento si inserisce in una più ampia strategia di alleggerimento burocratico e di efficientamento normativo per agevolare la competitività nel contesto del mercato unico digitale. Tuttavia, emerge la necessità di un riesame sostanziale del regime giuridico che disciplina il trattamento delle categorie particolari di dati personali, come previsto dall’articolo 9 del GDPR.
15 luglio 2025 | Fonte: www.garanteprivacy.it
RELAZIONE SULL’ATTIVITÀ 2024 – Sintesi per la stampa e documenti
L’Autorità Garante per la protezione dei dati personali – composta da Pasquale Stanzione, Ginevra Cerrina Feroni, Agostino Ghiglia, Guido Scorza – ha presentato oggi la Relazione sull’attività svolta nel quinto anno di mandato del Collegio. La Relazione illustra i diversi fronti su cui è stata impegnata l’Autorità nel corso di un anno caratterizzato da interventi in ambiti fortemente innovativi – come le nuove tecnologie emergenti, l’intelligenza artificiale generativa, i modelli “pay or ok” e l’addestramento dei sistemi di IA tramite web scraping – accanto a costanti consolidate come il contrasto al telemarketing aggressivo, la tutela dei soggetti più vulnerabili e la protezione dei dati sanitari.
Su entrambi i versanti, tra loro reciprocamente connessi, il Garante ha attuato il bilanciamento tra i diritti in gioco indicato dalla legge a tutela della persona.
https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10150195
16 luglio 2025 | Fonte: www.federprivacy.org
Stanata dalla Polizia italiana una gang di cybercriminali che dalla Romania sequestrava i dati di piccole imprese in tutta Europa
Una gang di cybercriminali dalla Romania aveva messo nel mirino di attacchi ransomware alcuni sistemi di archiviazione dei dati sfruttando alcune vulnerabilità dei dispositivi. E in questo modo era riuscita a colpire molte piccole e medie imprese, tra Italia, Germania, Francia e Romania, delle quali sequestrava le informazioni, chiedendo un riscatto in bitcoin in cambio della decrittazione, secondo il classico schema degli attacchi ransomware. A risalire alla gang, che firmava i suoi attacchi come Diskstation, scimmiottando il nome del programma di cui sfruttavano la falla (poi risolta dal produttore) è stata la Polizia postale, che da Milano ha condotto un’operazione che ha portato gli agenti fino alla capitale romena, Bucarest, per stanare la gang. Elicius, questo il nome dell’operazione, ha preso le mosse da alcune denunce depositate da aziende lombarde. “Le vittime sono professionisti e società operanti in vari campi di produzione grafica, cinematografica, organizzazione eventi e onlus attive, a livello internazionale, nell’ambito della tutela dei diritti civili e attività di beneficenza”, recita la nota della polizia postale, che non ha precisato il numero delle aziende coinvolte. Tutte accomunate dalla condizione di essere rimaste vittime di un attacco cibernetico, di ritrovarsi paralizzate nella loro attività perché impossibilitate ad accedere ai dati criptati dai criminali informatici e di essere minacciate con il pagamento di un riscatto in criptovalute.
16 luglio 2025 | Fonte: www.cybersecurity360.it
Data Act e cyber security: cambia la sicurezza informatica per le aziende
Manca poco all’entrata in vigore del Data Act, il prossimo 12 settembre 2025, che impone alle imprese di adeguarsi rapidamente e di valutare attentamente gli impatti in termini di cyber security. Il Data Act è una legge dell’UE pensata per rafforzare l’economia dei dati, promuovendo un mercato più equo, competitivo e innovativo, oltre a rendere i dati – soprattutto quelli industriali – più accessibili, chiarendo chi può usarli e a quali condizioni. Di fatto, il Data Act – a fronte della crescita di Internet delle Cose (IoT) e dell’aumento dei dati generati dai dispositivi connessi – offre sia alle aziende sia ai privati un maggiore controllo sui propri dati, senza scoraggiare gli investimenti tecnologici, oltre a stabilire quando e come si possano condividerli con altre realtà.
Federica Maria Rita Livelli
Business Continuity & Risk Management Consultant, BCI Cyber Resilience Committee Member, CLUSIT Direttivo, ENIA Comitato Scientifico
16 luglio 2025 | Fonte: www.garanteprivacy.it
Feroni (Gpdp): “L’IA discrimina le donne, serve parità algoritmica” – Intervento di Ginevra Cerrina Feroni
L’algoritmo non è neutro. Grandi pensatori ed esperienza storica ci insegnano che la tecnica, se non ordinata al bene comune, diviene strumento di dominio e di abuso. L’apparente neutralità degli algoritmi maschili. Mi riferisco, ad esempio, alle riflessioni di Carl Schmitt che, pur in un contesto ideologicamente distante dal nostro, metteva in guardia dalla finta neutralità della tecnica: «sorge una religione del progresso tecnico, per la quale tutti gli altri problemi si risolvono da sé, appunto per mezzo del progresso tecnico»[1], o, in tempi più recenti, a Byung-Chul Han che ha parlato – semplificando molto il suo pensiero – di una società nella quale l’algoritmo si trasforma in strumento di dominio psicopolitico. L’algoritmo non può essere neutro, poiché chi programma un algoritmo non è una tabula rasa, ma si porta dietro la propria storia, la propria visione del mondo, i propri codici etici, culturali, religiosi. Per non considerare – stando proprio al tema di genere – che gli algoritmi sono progettati tendenzialmente da uomini e non da donne. Ed infatti nei settori tecnologici la quota di laureate donne nei settori c.d. STEM è al 16,8% (dati ISTAT 2024).
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10152454
16 luglio 2025 | Fonte: www.cybersecurity360.it
Data Act, verso la piena applicabilità: le osservazioni di EDPB sulle clausole contrattuali L’European Data Protection Board con la dichiarazione n. 4/2025 dello scorso 8 luglio 2025 ha recepito le raccomandazioni della Commissione europea su uno schema di clausole contrattuali tipo non vincolanti per la condivisione dei dati. Ecco una prima applicazione pratica del Data Act. Itempi sono maturi affinché il Data Act, ormai in vigore e pienamente applicabile dal prossimo 12 settembre 2025, entri in azione pratica. La Commissione europea ha, infatti, condiviso con l’EDPB una bozza di schema di clausole contrattuali tipo non vincolanti per la condivisione dei dati (MCT) e di clausole contrattuali standard non vincolanti per i contratti di cloud computing e adesso l’European Data Protection Board ha pubblicato uno statement che offre alcune utili osservazioni in merito.
Chiara Ponti
Avvocato, Privacy Specialist & Legal Compliance e nuove tecnologie – Giornalista
17 luglio 2025 | Fonte: www.agendadigitale.ue
Un’IA che protegge i nostri dati è possibile: il progetto italiano
L’intelligenza artificiale generativa (genAI), e in particolare i grandi modelli linguistici (LLM), stanno emergendo non solo come tecnologia di produzione di testo, ma anche come potenziale alleata nella tutela dei dati personali. Un ambito promettente è quello dei sistemi Retrieval-Augmented Generation (RAG), che combinano la capacità predittiva degli LLM con basi di conoscenza esterne, migliorando così l’accuratezza e la trasparenza delle decisioni.
Luigi Di Caro
Professore Associato presso L’Università degli Studi di Torino
Giovanni Livraga
Professore Associato presso L’Università degli Studi di Milano (La Statale)
Stefano Locci
dottorando presso L’Università degli Studi di Torino
Marco Viviani
Professore Associato presso L’Università degli Studi di Milano Bicocca
17 luglio 2025 | Fonte: www.garanteprivacy.it
PODCAST – L’oblio oncologico come strumento di democrazia. Disponibile il terzo episodio del podcast del Garante privacy
“L’oblio oncologico come strumento di democrazia”. Questo il titolo del terzo episodio del podcast del Garante per la protezione dei dati personali “A proposito di privacy”, oggi in uscita. Al centro della puntata il diritto all’oblio oncologico, uno strumento di garanzia che riconosce agli ex pazienti la possibilità di accedere a opportunità lavorative, formative, finanziarie e di adottare un bambino senza subire discriminazioni legate al passato. Ne parliamo con la professoressa Ginevra Cerrina Feroni, Vicepresidente del Garante privacy. L’episodio fornisce una serie di informazioni utili su come esercitare questo diritto: quali sono i requisiti necessari, chi rilascia il certificato di idoneità, i tempi per l’acquisizione. Nella puntata viene inoltre ripercorso il ruolo del Garante privacy nell’iter di approvazione della legge che lo ha introdotto e quello ricoperto oggi, quale supervisore della sua corretta applicazione.
Il podcast è disponibile sul sito istituzionale www.gpdp.it e sul canale YouTube del Garante.
https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10151234
18 luglio 2025 | Fonte: www.cybersecurity360.it
Strategie di protezione dei dati per le aziende
Proteggere i dati, oggi, significa tutelare il business. Ecco perché le aziende devono attuare strategie per evitare violazioni e perdite di dati che possono comportare sanzioni, interruzioni e perdita di fiducia da parte del mercato. La protezione dei dati non è più un’opzione, ma una necessità strategica per ogni azienda, a fronte di attacchi informatici sofisticati e normative sulla privacy sempre più stringenti. Inoltre, trascurare l’adozione di misure di sicurezza adeguate espone le aziende a violazioni potenzialmente devastanti, con conseguenze economiche, legali e reputazionali significative.
Federica Maria Rita Livelli
Business Continuity & Risk Management Consultant, BCI Cyber Resilience Committee Member, CLUSIT Direttivo, ENIA Comitato Scientifico
https://www.cybersecurity360.it/legal/strategie-di-protezione-dei-dati-per-le-aziende/
21 luglio 2025 | Fonte: www.agendadigitale.ue
L’AI si allena con i nostri volti e documenti personali: lo scandalo privacy che stiamo ignorando
Milioni di dati personali, inclusi volti, documenti d’identità e CV, finiscono nei dataset open source usati per addestrare l’intelligenza artificiale. Un audit accademico rivela l’entità del problema e mette in discussione le basi giuridiche e tecniche dell’AI generativa. Si scopre l’esistenza di un mega database di dati personali, volti, documenti d’identità, certificati di nascita eccetera, usato per allenare l’intelligenza artificiale. La questione emerge grazie al paper accademico “A Common Pool of Privacy Problems” (Hong et al., giugno 2025) che però ci fa capire anche la dimensione più vasta del problema.
Maurizio Carmignani
Founder & CEO – Management Consultant, Trainer & Startup Advisor
22 luglio 2025 | Fonte: www.federprivacy.org
Attacco Microsoft, «colpite circa 100 organizzazioni e oltre 8mila server SharePoint compromessi»
Una vasta operazione di spionaggio informatico ha preso di mira i server SharePoint di Microsoft e ha compromesso circa 100 organizzazioni ma oltre 8.000 server online potrebbero essere interessati. Lo riferisce Reuters online che ha raccolto la testimonianza di due delle società che hanno contribuito a scoprire la campagna malevola. Sabato scorso il colosso tecnologico ha emesso un avviso sugli “attacchi attivi” ai server SharePoint, un software molto usato dalle organizzazioni a scopo collaborativo e per condividere documenti, che si è scoperto vulnerabile tanto che la società ha dovuto rilasciare aggiornamenti. Secondo l’agenzia di stampa internazionale, le vittime non sono state rese note ma la maggior parte delle entità colpite si trova in Stati Uniti e Germania e include organizzazioni governative. In una dichiarazione, Microsoft ha affermato di aver “fornito aggiornamenti di sicurezza e incoraggiato i clienti a installarli”. Un ricercatore di sicurezza informatica ha affermato che finora lo spionaggio sembra essere opera di un singolo hacker o di un gruppo di hacker. Il bacino di potenziali obiettivi rimane vasto, afferma Reuters online. Secondo i dati di Shodan, un motore di ricerca che aiuta a identificare i dispositivi collegati a Internet, oltre 8.000 server online potrebbero essere già stati compromessi dagli hacker. Tali server includono quelli di importanti aziende industriali, banche, revisori dei conti, aziende sanitarie e diversi enti governativi a livello statale e internazionale degli Stati Uniti.
23 luglio 2025 | Fonte: www.federprivacy.org
Il caso della coppia inquadrata dalla “kiss cam” al concerto: il GDPR, il precedente in Italia, ed una amara riflessione sulla privacy
In America una coppia è stata inquadrata sul maxischermo di uno stadio mentre si abbracciava durante un concerto. I due, però, pare fossero amanti e la scena – ora visibile su tutti i social – ha fatto il giro del mondo. Premesso che negli Stati Uniti il GDPR non è applicabile, cosa sarebbe accaduto se il fatto si fosse verificato in Italia? Quali sarebbero state le implicazioni in materia di privacy? Nel momento in cui una persona partecipa ad un concerto, un evento sportivo, un corteo, una manifestazione di piazza, una fiera o sagra di paese che sia, autorizza le telecamere a riprenderla, a condizione però di non diventare la protagonista delle riprese, e senza che i suoi dati personali siano diffusi. Nel caso in questione, utilizzabile come esempio, la coppia è stata ripresa da una “kiss cam”, vale a dire da una telecamera che la regia utilizza appositamente per cercare ed inquadrare persone in atteggiamenti affettuosi, mostrandole poi sui maxischermi. Quest’ultima circostanza già di per sé rappresenta una diffusione di dati personali, perché si comunicano a decine di migliaia di persone l’immagine degli interessati, la loro localizzazione, la persona in loro compagnia, ma anche – vista la specifica missione della telecamera – il loro orientamento sessuale, vale a dire un dato personale tra quelli che la norma ritiene meritevoli di particolare tutela.
23 luglio 2025 | Fonte: www.federprivacy.org
Sicurezza digitale nella Pubblica Amministrazione: pubblicato il Vademecum dell’Agenzia per la Cybersicurezza Nazionale
Approvato dal Consiglio dei ministri, è ora disponibile sul portale NoiPA e su Syllabus, il Vademecum “Buone pratiche di cyber hygiene per i dipendenti delle pubbliche amministrazioni”, realizzato dall’Agenzia per la Cybersicurezza Nazionale (ACN). Il documento offre indicazioni chiare e operative per la protezione dei dati e dei servizi pubblici, partendo da un principio semplice: la sicurezza digitale non dipende solo dalla tecnologia, ma soprattutto dai comportamenti quotidiani delle persone. Phishing, furti di credenziali, ransomware, intelligenze artificiali usate impropriamente: oggi oltre la metà degli attacchi informatici contro la PA nasce da errori umani. Per questo il Vademecum individua 12 buone pratiche concrete, da adottare ogni giorno. Il Vademecum è rivolto a tutte le amministrazioni e rappresenta uno strumento importante per rafforzare la cultura della sicurezza informatica nel personale della PA. Presto su Syllabus sarà reso disponibile un programma formativo dedicato.
24 luglio 2025 | Fonte: www.cybersecurity360.it
Vademecum ACN per la PA: il fattore umano nella cyber security, da vulnerabilità a risorsa In un’epoca in cui la sicurezza informatica è una questione sistemica, al pari della sicurezza fisica e della continuità operativa, il ruolo del fattore umano si impone come centrale nella protezione delle infrastrutture digitali. Ecco l’impostazione tripartita della sicurezza nel vademecum dell’ACN. La crescente sofisticazione delle minacce informatiche – che vanno dai ransomware alle tecniche avanzate di phishing, fino all’uso malevolo dell’intelligenza artificiale – può trovare inconsapevole collaborazione nell’errore o nella disattenzione umana. E proprio questo li ha resi il principale vettore d’ingresso per gli attaccanti: dei 756 eventi cyber contro la PA, l’Agenzia per la Cybersicurezza Nazionale (ACN) riporta che oltre la metà è riconducibile a errori umani.
Pasquale Mancino
Internal auditor e Revisore di Organizzazione sindacale
24 luglio 2025 | Fonte: www.agendadigitale.ue
Data Act e Gdpr a confronto: cosa devono sapere le aziende
Il Data Act introduce una cornice normativa unificata per regolamentare l’accesso, la portabilità e la condivisione dei dati generati da dispositivi connessi. Il nuovo regolamento europeo si propone come elemento complementare al Gdpr. Le imprese europee dovranno confrontarsi con un nuovo importante regolamento: il Data Act, Regolamento (UE) 2023/2854 del Parlamento Europeo relativo all’accesso equo ai dati e sul loro utilizzo. Il regolamento è ufficialmente entrato in vigore l’11 gennaio 2024, ma sarà effettivamente operativo a partire dal 12 settembre 2025 per la maggior parte delle sue disposizioni, con alcuni obblighi che saranno invece differiti al 2026.
Paola Zanellati
Responsabile Protezione dei Dati – DPO Consulente Privacy
24 luglio 2025 | Fonte: www.cybersecurity360.it
CNIL: i vantaggi di avere un DPO in azienda, leva strategica del business
Da una recente analisi condotta dal CNIL, l’Autorità garante per la protezione dei dati francese, sono emersi molteplici vantaggi economici per le organizzazioni che si dotino di un DPO.
Ancora una volta si mostra un passo avanti l’Autorità Garante francese per la protezione dei dati e l’informatica, la CNIL, che rende nota la sua recente analisi sui vantaggi economici, per le organizzazioni, derivanti dall’avere un Responsabile della protezione dei dati, il DPO. Questo studio dimostra come la presenza del DPO faccia parte di una strategia aziendale, esaltando la prospettiva secondo cui avere tale figura, a conti fatti, risulta spesso redditizia, in particolare per quelle aziende che adottano un approccio positivo alla compliance al GDPR.
Chiara Ponti
Avvocato, Privacy Specialist & Legal Compliance e nuove tecnologie – Giornalista
25 luglio 2025 | Fonte: www.garanteprivacy.it
L’educazione digitale nell’era dell’intelligenza artificiale: Intervista ad Agostino Ghiglia
Intervista ad Agostino Ghiglia, componente del Garante per la protezione dei dati personali
(L’Espresso, 25 luglio 2025)
Agostino Ghiglia, membro del Collegio del Garante per la Protezione dei Dati Personali, è il protagonista dell’intervista sul tema dell’educazione digitale, realizzata da Luigi Scognamiglio, delegato della Cnpr in Campania.
L’era digitale ha cambiato in meglio le nostre vite?
Non stiamo vivendo una semplice evoluzione tecnologica ma una trasformazione culturale epocale paragonabile, per impatto, a scoperte come il fuoco o la ruota. C’è, però, una differenza: la velocità. In pochi anni, l’intelligenza artificiale generativa è passata dall’essere sconosciuta a diventare parte integrante delle nostre vite. Per tale motivo ritengo fondamentale investire nell’educazione civica digitale alla quale ho dedicato studi, saggi e libri.
Quali sono state le iniziative che avete adottato?
Il Garante per la Privacy, nel corso degli anni, è intervenuto su molti chatbot: Replika, ChatGPT, DeepSeek e non per ostacolare l’innovazione ma per far rispettare la legge poiché tali piattaforme violavano diversi articoli del Regolamento europeo sulla Privacy. Le principali criticità riguardavano la mancanza di trasparenza, l’assenza di controlli sull’accesso dei minori e la gestione opaca dei dati raccolti. Già nel 2022 erano emersi casi di chatbot che raccoglievano dati particolari con finalità relazionali, sentimentali e financo sessuali.
In Europa invece come hanno risposto a questa esigenza formativa?
Il Regolamento europeo sull’intelligenza artificiale è nato in parte già obsoleto sottovalutando, a mio avviso, il “fenomeno” dei chatbots, classificandoli come a rischio “limitato” nonostante la loro predisposizione a influenzare massivamente comportamenti e coscienze. La rivoluzione digitale è ancora poco compresa. Chi ha conosciuto l’era analogica percepisce con maggiore consapevolezza i rischi della silenziosa e pervasiva rivoluzione digitale. Oggi, minori e adulti vivono immersi negli schermi, manifestando sempre più spesso forme di alienazione digitale.
Come tutelarsi allora?
L’educazione civica digitale deve diventare obbligatoria fin dal primo ciclo scolastico, affiancata da campagne di alfabetizzazione, per sviluppare consapevolezza e spirito critico. La sola responsabilità dei genitori non basta più a proteggere i minori dai rischi del digitale.
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10153532
26 luglio 2025 | Fonte: www.federprivacy.org
Telecamere urbane e intelligenza artificiale: offuscare i volti non basta per tutelare la privacy
Secondo il Garante per la protezione dei dati personali (Provvedimento del 10 aprile 2025), l’impiego di tecnologie basate sull’Intelligenza Artificiale per “annebbiare” i volti rilevati dalle telecamere urbane non garantisce una reale anonimizzazione. L’Autorità ha chiarito che anche i video sottoposti a processi di oscuramento facciale devono comunque essere considerati come dati personali, con tutte le implicazioni in termini di tutela della privacy. Il concetto di identificabilità non si limita, infatti, alla possibilità di risalire a un nome o a un indirizzo: anche elementi come la corporatura, l’abbigliamento, la postura o l’ambiente circostante possono rendere una persona riconoscibile. A questo si aggiunge che le immagini possono essere associate ad altre informazioni disponibili da terzi (come notizie di cronaca o testimonianze), o ricavabili semplicemente dalla posizione della telecamera – ad esempio nei pressi di uno studio medico – o dal tracciamento dei movimenti tra più punti di sorveglianza.
27 luglio 2025 | Fonte: www.garanteprivacy.it
Vietato pubblicare e condividere colloqui privati: Intervista a Guido Scorza
Intervista a Guido Scorza, componente del Garante per la protezione dei dati personali
(La Repubblica 27 luglio 2025)
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1015472
30 luglio 2025 | Fonte: www.agendadigitale.ue
Privacy vs protezione dati personali: attenti alla differenza, ne va della nostra identità
I concetti di privacy e protezione dei dati personali sono fondamentalmente diversi, anche se oggi molti continuano a sostenere che la differenziazione non abbia più senso. In realtà, il senso c’è ed è correlato alle nostre radici storiche. I concetti di privacy e protezione dei dati sono strettamente interconnessi, al punto che spesso sono considerati come sinonimi anche se fondamentalmente diversi. La privacy fa riferimento al diritto alla riservatezza delle informazioni personali e della propria vita privata. Si tratta di un principio che usiamo come strumento per tutelare la sfera intima del singolo individuo volto ad impedire che le informazioni siano divulgate in assenza di specifica autorizzazione o a chiedere la non intromissione nella sfera privata da parte di terzi. Tanto che usiamo il termine privacy quando vogliamo rappresentare uno spazio personale che gli sconosciuti non possono oltrepassare.
Redazione Affiliation Network360
31 luglio 2025 | Fonte: www.clusit.it
Newsletter 31/07/2025
- Eventi di Settembre
- Pubblicazioni – Articoli
- Richieste-offerte di lavoro
https://clusit.it/blog/newsletter-31-07-2025/
31 luglio 2025 | Fonte: www.agendadigitale.ue
L’innovazione parte dal Cda: la tech fluency è la competenza strategica
La tech fluency nei board non è una competenza tecnica, ma culturale. Serve per orientare l’innovazione, leggere le tecnologie e decidere con consapevolezza strategica. La tech fluency, ossia la familiarità strategica con la tecnologia, è sempre più una competenza distintiva per chi siede nei vertici aziendali. Capire la tecnologia, valutarne l’impatto e saperla integrare nei processi decisionali non è più una prerogativa tecnica, ma una responsabilità strategica che tocca direttamente la governance.
Gabriella Scapicchio
Associata Nedcommunity, General Manager Fondazione NEST, Autrice di ’10 strategie per l’Innovazione’ – Hoepli, 2025
31 luglio 2025 | Fonte: www.federprivacy.org
Oltre il self-assessment: come rafforzare la mappatura dei fornitori tra filiera, audit e responsabilità del titolare del trattamento
Nel contesto normativo e operativo della protezione dei dati, la mappatura dei fornitori rappresenta un’attività tanto centrale quanto sfidante, soprattutto per le organizzazioni complesse. L’identificazione e la valutazione dei soggetti esterni coinvolti nei trattamenti (o, più in generale, nei processi critici aziendali) è diventata una vera e propria leva di accountability organizzativa, come evidenziato anche in occasione del Privacy Day Forum 2025 nell’efficace intervento di Felice Amelia. Non si tratta più solo di ‘censire i responsabili del trattamento’, ma di costruire un sistema di relazioni documentate, consapevoli e sostenibili, in cui la filiera esterna sia sotto controllo, anche in termini di rischi privacy e sicurezza informatica. Una mappatura efficace, tuttavia, richiede di superare un modello centralizzato: soprattutto nelle grandi strutture, è necessario decentrare il presidio verso i dipartimenti e gli uffici che concretamente ingaggiano i fornitori, rendendoli partecipi nella valutazione iniziale e nel monitoraggio.
31 luglio 2025 | Fonte: www.agendadigitale.ue
Diritto penale e cybersecurity, cosa rischiano le imprese
Vediamo l’evoluzione della responsabilità penale ex articolo 24-bis del decreto legislativo 231/01, per capire come cambia la responsabilità informatica delle aziende. Nel contesto della progressiva convergenza tra diritto penale d’impresa e cybersecurity, l’art. 24-bis del D.lgs. 231/2001 rappresenta oggi uno snodo paradigmatico per la ridefinizione della colpa organizzativa in senso informatico. L’evoluzione delle minacce cibernetiche – da ransomware sofisticati a forme complesse di phishing evolutivo, passando per attacchi supply chain e social engineering – impone alle organizzazioni un ripensamento radicale della governance del rischio.
Adriano Bertolino
Esperto in Privacy e Cybersecurity
Le altre rassegne
TRIBUTI: rassegna stampa N° 4/2026 del mese di aprile
arrow_forwardGDPR e protezione dei dati: rassegna stampa N° 4/2026
arrow_forwardTransizione Digitale: rassegna stampa trimestrale N° 1/2026
arrow_forwardGDPR e protezione dei dati: rassegna stampa N° 3/2026
arrow_forwardTRIBUTI: rassegna stampa N° 3/2026 del mese di marzo
arrow_forward