Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
L'Italia introduce nuove norme sulla sicurezza dell'intelligenza artificiale, con l'obiettivo di proteggere i diritti fondamentali e prevenire i rischi associati allo sviluppo e all'uso di questa tecnologia
Il 10 giugno 2026 sono stati approvati in esame preliminare due schemi di decreto legislativo , emanati in virtù della delega conferita al Governo con la Legge 23 settembre 2025 n. 132, attraverso i quali si definisce l’impianto normativo indicato dal Regolamento europeo 2024/1689 , noto come AI Act.
Nel rispetto di quanto già stabilito nell’AI Act, l’Italia, che così diviene il primo Paese ha dotarsi di una disciplina nazionale organica, prevede disposizioni orientate da un lato a consentire lo sviluppo tecnologico ma, dall’altro idonee a garantire la tutela dei diritti fondamentali, della sicurezza digitale, della dignità del lavoro. In quest’ottica viene prevista anche apposita responsabilità civile e penale delle persone fisiche e giuridiche.
Poiché il corretto rispetto delle disposizioni dipende ovviamente da un’architettura istituzionale coerente ai compiti di cui è investita, il primo schema di decreto legislativo istituisce un modello di controllo integrato, che fa perno su due agenzie governative coordinate sotto la regia della Presidenza del Consiglio dei Ministri.
All’Agenzia per l’Italia Digitale sono affidati i compiti di valutazione, designazione e monitoraggio degli organismi terzi autorizzati a verificare la conformità dei sistemi di intelligenza artificiale prima della loro immissione sul mercato. L’Agenzia per la Cybersicurezza Nazionale, individuata come Autorità Generale per la Vigilanza del Mercato e come punto di contatto unico per il coordinamento con le istituzioni dell’Unione Europea, assume, invece, poteri ispettivi diretti e la responsabilità di monitorare che i sistemi non presentino vulnerabilità sfruttabili o comportamenti anomali che possano compromettere la sicurezza dello Stato o l’incolumità pubblica.
In linea con quanto previsto dall’articolo 99 dell’AI Act, entrambe le agenzie sono investite del potere di irrogare sanzioni amministrative pecuniarie particolarmente severe. Per la violazione dei divieti relativi a pratiche illecite o di inosservanza dei requisiti sui dati, le sanzioni possono raggiungere i 35 milioni di euro o, per le imprese, fino al 7% del fatturato mondiale totale annuo dell’esercizio precedente. Nell’ipotesi di altre forme di non conformità o per l’aver fornito informazioni inesatte, i decreti recepiscono le soglie europee che prevedono sanzioni fino a 15 milioni di euro o al 3% del fatturato complessivo.
Le autorità specializzate, quali Banca d’Italia, CONSOB e IVASS, mantengono le loro funzioni di vigilanza nei settori finanziario,bancario ed assicurativo.
Alla base dei nuovi decreti vi è l’idea corretta che la sicurezza non è un requisito statico, da verificare solo in fase di omologazione, ma un processo dinamico che deve essere strutturato fin dalla progettazione. In tale ottica si pongono le linee guida emesse da ACN che delineano un quadro prescrittivo chiaro per sviluppatori, integratori e utilizzatori professionali, suddividendo gli obblighi in tre fasi fondamentali che coprono l’intera evoluzione del software.
Per quanto riguarda la fase di progettazione, le organizzazioni devono provvedere alla formazione e alla semplificazione dei processi interni, sensibilizzando il personale circa i rischi specifici della tecnologia algoritmica. Viene richiesta, quindi, una mappatura analitica delle minacce con la stesura di documenti di valutazione dell’impatto potenziale che il compromesso di un singolo componente del modello potrebbe riversare sull’organizzazione. Per far fronte ad eventuale minacce esterne, la scelta della configurazione del modello e l’origine dei dataset di addestramento, devono essere riesaminate periodicamente
Importanti sono le misure da apprestare nella fase di sviluppo dove ci si concentra inevitabilmente sulla catena di approvvigionamento tecnologica. Lo sviluppatore è pertanto tenuto a monitorare costantemente i fornitori terzi, garantendo che ad essi vengano applicati i medesimi standard di sicurezza vigenti all’interno dell’organizzazione aziendale. Per tali ragioni tutti gli asset collegati al sistema, inclusi i modelli, i prompt, i dati di addestramento e la documentazione tecnica, devono essere identificati, tracciati e protetti attraverso sistemi di backup e ripristino rapidi.
In relazione alla fase di utilizzo e manutenzione, per prevenire attacchi di esfiltrazione di dati o manipolazione dei pesi del modello, le interfacce di interrogazione devono disporre di monitoraggi attivi capaci di intercettare richieste anomale o tentativi di jailbreak algoritmico. I modelli devono essere sottoposti a sessioni di verifica ostile tramite attività di red teaming prima di ogni rilascio sul mercato o in ambienti di produzione. E’previsto che i piani di gestione degli incidenti informatici siano aggiornati al fine di includere scenari specifici dell’intelligenza artificiale, permettendo la conservazione offline dei dati più sensibili e una trasparenza totale verso gli utenti circa i limiti noti del sistema e i potenziali tassi di errore stimati.
Il secondo decreto attuativo introduce nel codice penale l’articolo 437-bis, rubricato omessa adozione di misure di sicurezza nei sistemi di intelligenza artificiale e alterazione illecita dei sistemi. La norma distingue tra due fattispecie principali di reato. L’omessa predisposizione dolosa delle misure di sicurezza tecniche e di sorveglianza umana previste per i sistemi di IA ad alto rischio prevede la reclusione, con sanzioni aggravate se l’omissione genera un pericolo concreto per l’incolumità pubblica o la sicurezza dello Stato. Nella forma colposa, la punibilità scatta in presenza di colpa grave. L’altra fattispecie, Alterazione illecita, sanziona con la reclusione, : che aumenta sensibilmente nei casi più gravi se dal fatto deriva un pericolo per l’incolumità pubblica, la rimozione, il danneggiamento o la manomissione dolosa dei presidi di sicurezza del sistema di IA.
Il decreto inserisce anche all’interno del Decreto Legislativo 8 giugno 2001 n. 231, allargando la categorie dei reati presupposto, il nuovo articolo 25-vicies, rubricato reati commessi con l’uso di sistemi di intelligenza artificiale. Sotto questa nuova disposizione vengono collocate due fattispecie penali distinte, rappresentate dal nuovo reato di omissione o alterazione delle misure di sicurezza di cui all’articolo 437-bis e dal reato di illecita diffusione di contenuti generati o manipolati artificialmente previsto dall’articolo 612-quater del codice penale, introdotto nel codice penale dalla Legge n. 132 del 2025.
Pur consapevoli di come l’IA può aiutare a proteggere sotto il profilo dell’ordine pubblico, il Regolamento europeo prima, e le disposizioni nazionali poi, vengono concepite in modo da garantire i diritti fondamentali. In quest’ottica vengono introdotti limiti operativi rigidi , escludendo forme di sorveglianza biometrica di massa o di controllo predittivo discriminatorio. E’ previsto il divieto di identificazione biometrica remota in tempo reale negli spazi pubblici in via ordinaria, che viene ammesso esclusivamente in via eccezionale. Perché ciò sia consentito, infatti, le forze di polizia devono avere autorizzazione preventiva dell’autorità giudiziaria. Il percorso procedurale richiede che il Pubblico Ministero presenti una formale richiesta al Giudice per le Indagini Preliminari. Soltanto in casi di assoluta e motivata urgenza il Pubblico Ministero può disporre l’attivazione del sistema con proprio decreto, il quale deve comunque essere sottoposto a convalida del GIP entro le successive 48 ore a pena di totale inutilizzabilità dei dati raccolti.
Vista l’invasività di tali tecnologie, l’uso delle stesse è limitato alla prevenzione di minacce concrete alla sicurezza pubblica, alla ricerca mirata di persone scomparse o vittime di sequestro, e all’individuazione di soggetti indiziati per la commissione di gravi reati transnazionali sulla base di elementi oggettivi. Al fine che sia assicurata la trasparenza, i sistemi già in uso dovranno essere resi conformi alle nuove regole entro un anno. I log dei sistemi utilizzati devono essere conservati in archivi informatici protetti e immodificabili per cinque anni, rimanendo a disposizione del Garante per la privacy. Lo scraping selvaggio del web, ovvero l’estrazione automatica e massiva di dati e immagini personali per addestrare database di riconoscimento facciale, viene espressamente vietato.
Consci dei rischi che l’uso della IA può portare nei luoghi di lavoro, attraverso i decreti viene stabilito che le decisioni in materia di assunzione, sanzioni disciplinari o licenziamento non possano basarsi in modo esclusivo su elaborazioni automatizzate. Qualsiasi licenziamento adottato in violazione di questo divieto è nullo e il lavoratore acquisisce il diritto di ricevere una spiegazione comprensibile dei parametri algoritmici considerati nel processo. Sempre nell’ottica di uso consapevole delle nuove tecnologie si colloca l’adeguamento accelerato dei diversi Ordini professionali, che hanno a disposizione sei mesi per inserire l’alfabetizzazione sull’intelligenza artificiale come requisito obbligatorio nei percorsi di formazione iniziale e continua dei professionisti iscritti agli albi.
Novità “ rivoluzionaria” si registra in tema di risarcimento del danno nel secondo decreto. L’articolo 20 (Presunzione del nesso causale) stabilisce la presunzione del nesso causale qualora il danneggiato dimostri che il danno è derivato dalla violazione degli obblighi di sicurezza previsti dall’AI Act, alleggerendo l’onere probatorio in capo alla vittima. L’articolo 21(Inesistenza di esimenti formali) specifica l’inesistenza di esimenti formali, chiarendo che la conformità tecnica certificata non esclude di per sé la responsabilità civile del produttore o dell’utilizzatore del sistema. Infine l’articolo 22 (Azione diretta contro l’assicuratore)introduce la facoltà di promuovere un’azione diretta nei confronti dell’impresa di assicurazione che presta la copertura della responsabilità civile al responsabile del danno. Si tratta di meccanismo analogo a quello operante nella responsabilità civile automobilistica, che costringerà le aziende e i professionisti a dotarsi di coperture assicurative specifiche.
QUATTRO LEZIONI PER COMPRENDERE IL DARKWEB ED ENTRARE DA PROTAGONISTI NELLA CYBER THREAT INTELLIGENCE.
Per info e iscrizioni: 📱 Whatsapp 379 163 8765 ✉️ [email protected]
Dopo il successo delle scorse edizioni, Red Hot Cyber è lieta di annunciare una nuova live-class del corso "Dark Web & Cyber Threat Intelligence". A differenza dei corsi e-learning pre-registrati, queste lezioni online in tempo reale, condotte dal professor Pietro Melillo, offrono un’esperienza formativa interattiva e coinvolgente, ideale per approfondire i contenuti e affrontare casi pratici.
Le Live Class sono progettate per garantire un apprendimento mirato e personalizzato, con un massimo di 14 partecipanti per sessione. Questo consente di adattare il percorso formativo alle esigenze specifiche, ma anche di mantenere alta la qualità: i posti sono limitati e nelle scorse edizioni sono andati in sold-out due settimane prima dell’inizio. Prenota subito per assicurarti il tuo posto!
Risorse online:
Al termine del corso, potrai accedere all’esclusivo Laboratorio di Intelligence DarkLab, un ambiente operativo dove mettere in pratica le competenze acquisite. Sarà l’occasione per sperimentare attività di investigazione nel Dark Web, analisi delle minacce e redazione di report di intelligence e ricerche approfondite.
Per info e iscrizioni: 📱 Whatsapp 379 163 8765 ✉️ [email protected]