Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Select language
Inglese Spagnolo
Cerca
Crowdstriker 970×120
LECS 320x100 1

Tag: GDPR

Attento a ciò che dici all’AI! Potrebbero essere dati riservati

Filippo Boni 28/10/2025

Nell’epoca in cui ogni domanda trova risposta con un semplice tap, noi utenti abbiamo forse preso un po’ troppo la mano con i nuovi assistenti basati sull’intelligenza artificiale. In fondo, cambia poco quale scegliamo: i modelli linguistici più diffusi appartengono tutti a grandi società private. Nulla di nuovo, dirà qualcuno; anche la maggior parte dei servizi digitali che utilizziamo ogni giorno lo sono. La differenza, però, è che qui non stiamo interagendo con un motore di ricerca o un social network, ma con un sistema che simula una conversazione umana. Ed è proprio questa naturalezza a spingerci, spesso senza rendercene conto, a

La leggenda dell’amministratore di sistema: vivo, operativo e (forse) nominato bene

Stefano Gazzella 28/10/2025

Chiarito oltre ogni dubbio che l’amministratore di sistema è sopravvissuto al GDPR e anzi lotta assieme al titolare per la sicurezza dei dati (personali e non), è bene approfondire quella nomina spesso sventolata, imposta, somministrata, controfirmata ma raramente riletta o compresa appieno. Sia da parte dell’organizzazione che la predispone che della persona – perché il ruolo è attribuito ad una persona fisica, ricordiamoci bene – che la riceve. Non basta infatti una pigra affermazione del tipo LALEGGELOPREVEDE (ma va?!) per rendere decente un adempimento documentale in materia di protezione dei dati personali, dal momento che la sua funzione tipica nel sistema di

Anonimizzazione dei Dati: Proteggere la Privacy senza Perdere Utilità

Aniello Giugliano 21/10/2025

In un’epoca in cui la produzione e la condivisione di dati personali avviene in maniera massiva e quotidiana, il concetto di anonimizzazione assume un ruolo centrale nel dibattito sulla tutela della privacy e sul riutilizzo etico dei dati. Con l’avvento del General Data Protection Regulation (GDPR), il quadro normativo europeo ha introdotto definizioni precise e obblighi stringenti per il trattamento dei dati personali, distinguendo in maniera netta tra dati identificabili, pseudonimizzati e completamente anonimizzati. Secondo il GDPR, un dato può essere considerato anonimo solo quando è reso tale in modo irreversibile, ovvero quando non è più possibile identificare, direttamente o indirettamente, l’interessato,

L’assedio ai dati spaziali: quando i Big Geodata diventano superficie d’attacco

Enrico Pascatti 20/10/2025

Nel gennaio 2025, il data breach di Gravy Analytics ha squarciato il velo su un ecosistema di sorveglianza commerciale che molti preferivano ignorare: milioni di coordinate GPS, estratte da app popolari come Candy Crush, Tinder e MyFitnessPal, sono finite online rivelando percorsi verso ospedali, basi militari, luoghi di culto e abitazioni private. Ma il vero scandalo non è stato il leak: è che quei dati venivano già venduti legalmente a enti governativi statunitensi che li usavano per sorveglianza senza controllo giudiziario. Il panopticon digitale: come funziona la catena di tracciamento Ogni volta che apriamo un’app apparentemente innocua, si attiva una catena invisibile

Errore umano e data breach: la sanzione scatta se manca una capacità di gestione.

Stefano Gazzella 16/10/2025

Nel momento in cui una violazione di sicurezza che coinvolge dati personali (anche detta: data breach) è riconducibile al comportamento degli operatori, gli scenari che troviamo sul podio sono in seconda posizione l’azione dolosa e, al primo posto, quel famigerato errore umano. Mentre il primo scenario però giustamente allarma le organizzazioni quel che basta per far rivedere la propria postura di sicurezza, dal momento che sono ben motivate a svolgere azioni di rimedio affinché tale evento non si ripresenti, il secondo viene sottovalutato il più delle volte. Normalizzato, persino. Anche perché all’interno del termine ombrello dell’errore umano annoveriamo una serie di fattori

Nel designare il DPO, l’incarico non dev’essere un segreto!

Stefano Gazzella 08/10/2025

La designazione del DPO avviene seguendo la procedura prevista dall’art. 37 par. 7 GDPR, per cui è necessario svolgere due adempimenti: pubblicare i dati di contatto e comunicare gli stessi all’autorità di controllo. Questo significa pertanto che un incarico formale è una condizione necessaria ma non sufficiente, motivo per cui il Garante Privacy si è più volte espresso a riguardo sanzionando per lo più enti pubblici per la mancanza di questi ulteriori passaggi. Passaggi che, beninteso, devono essere intesi come tutt’altro che meri formalismi dal momento che il loro adempimento consente di porre alcuni dei presupposti fondamentali per garantire l’efficace attuazione dei

La trappola del “dato non sensibile”: l’errore che costa caro alle aziende

Stefano Gazzella 01/10/2025

Un argomento meravigliosamente diffuso nel campo largo di chi svolge attività sui dati personali è quello di sottovalutare i rischi o non volerli guardare affatto è quello secondo cui non occorre farsi particolari problemi nel caso in cui siano trattati dati “non sensibili”. La premessa ontologica per la ricerca di soluzioni e correttivi in ambito di liceità e sicurezza è la capacità di farsi le giuste domande. Motivo per cui la propensione al troppo facile skip non può comporre una strategia funzionale o minimamente utile. Certo, i dati sensibili esistono nel GDPR e richiamano elevate esigenze di protezione. Questo non comporta però

GDPR: fra il dire e il fare c’è di mezzo… l’accountability!

Stefano Gazzella 25/09/2025

Accountability, bestia strana. Viene citata dal 2016, quando il GDPR era un po’ come l’Inverno di Game of Thrones. Che poi in realtà è arrivato ma non è stato tutta questa confusione, il grosso dei danni l’hanno fatto per lo più operatori e, soprattutto, autorità di controllo che non si sono dimostrate granché pronte. Ma acqua passata non macina più, ma ha comportato dei gap cognitivi niente male. Primo fra tutti intendere – o concordare – che cosa si intende con quel principio cardine di accountability o responsabilizzazione. Che già a colpo d’occhio dovrebbe richiamare un’assunzione di responsabilità, l’interiorizzazione di una tendenza

Rimuovere dati privati dai modelli di AI? Ora è possibile senza accedere ai set di dati originali

Redazione RHC 21/09/2025

Un team dell’Università della California, Riverside, ha mostrato un nuovo modo per rimuovere dati privati e protetti da copyright dai modelli di intelligenza artificiale senza accedere ai set di dati originali. La soluzione affronta il problema dei contenuti personali e a pagamento riprodotti quasi alla lettera nelle risposte, anche quando le fonti vengono eliminate o bloccate dietro password e paywall. L’approccio è chiamato “source-free certified unlearning”. Viene utilizzato un set surrogato statisticamente simile all’originale. I parametri del modello vengono modificati come se fosse stato riaddestrato da zero. Viene introdotto rumore casuale accuratamente calcolato per garantire la cancellazione. Il metodo dispone di un

Questo ennesimo articolo “contro” ChatControl sarà assolutamente inutile?

Stefano Gazzella 18/09/2025

Avevamo già parlato della proposta di regolamento “ChatControl” quasi due anni fa, ma vista la roadmap che è in atto ci troviamo nell’imbarazzo di doverne parlare nuovamente. Sembra però un déjà vu ma al posto del gatto nero nel corridoio assistiamo all’UE che alternando abbondanti dosi di chine fatali e argomenti fantoccio prosegue nell’allineare il proprio desiderio di tecnocontrollo all’esempio statunitense denunciato ai tempi da Snowden. Probabilmente, per quell’ambizione propria del Vecchio Continente che ancora si crede ancora essere il centro del mondo. Ma veramente possiamo pensare che servirà a qualcosa pubblicare un ennesimo articolo in cui si discetta sull’eccesso di una

Categorie