Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Select language
Inglese Spagnolo
Cerca
UtiliaCS 970x120
UtiliaCS 320x100

Tag: GDPR

Disciplinare l’out-of-office: una buona prassi per le organizzazioni, e non solo.

Stefano Gazzella 15/09/2025

Quando si parla di sicurezza delle informazioni bisogna prima prendersi un respiro e concepire che bisogna immergersi più a fondo dei sistemi informatici e delle sole informazioni direttamente espresse. Riguarda tutte le informazioni e tutti i sistemi informativi. Quindi bisogna prendere decisamente un bel respiro perché altrimenti è naturale trovarsi con qualche giramento di testa che porta a non considerare quanto viene comunicato a voce, tutto ciò che è possibile dedurre, ad esempio. E se noi siamo in ammanco di ossigeno, chi invece sta progettando un attacco contro di noi – anzi: contro un cluster entro cui malauguratamente siamo inclusi, perché raramente

Le Aziende italiane dei call center lasciano online tutte le registrazioni audio

Redazione RHC 09/09/2025

Le aziende italiane che utilizzano piattaforme di telefonia online (VoIP) basate su software open-source come Asterisk e Vicidial, si affidano a questi sistemi per contattare quotidianamente i cittadini italiani, proponendo la vendita di prodotti e servizi di varia natura. Paragon Sec, durante una ricerca nelle underground, ha individuato numerosi call center di aziende italiane attivi in diversi settori dalla promozione di pannelli fotovoltaici alla fornitura di acqua, luce e gas, fino a prodotti di benessere. Quello che abbiamo scoperto, però, è allarmante: una fuga di registrazioni audio private tra operatori e clienti, rese pubblicamente accessibili sul web senza alcuna protezione. Perché è

Riservatezza vs Privacy: il concetto che tutti confondono (e perché è pericoloso)

Antonino Battaglia 02/09/2025

Ogni giorno sentiamo parlare di privacy in ogni ambito della nostra vita, tanto che tale termine è entrato nel lessico comune. Ma cosa vuol dire veramente? Cosa succede quando ci iscriviamo a un social network oppure quando chiediamo di effettuare un’operazione bancaria? Anche senza rendercene conto, ogni giorno lasciamo ovunque dati personali, cioè delle tracce che parlano di noi e delle nostre preferenze. Nel nostro ordinamento, tuttavia, alla parola privacy non corrisponde una definizione generalmente acquisita; essa, infatti, indica un concetto mutevole legato all’evolversi del contesto giuridico e sociale. Molto spesso, il termine privacy viene tradotto nel linguaggio comune con la parola

Cyber Italia sotto l’ombrellone! Quel brutto vizio di fotocopiare documenti

Stefano Gazzella 30/08/2025

Il caso recente dei documenti rubati degli hotel fa pensare a quanti documenti effettivamente circolino nel dark web, nonostante la possibilità di crearne con l’intelligenza artificiale. Questo significa che è più facile ottenerli che crearli. E forse sono anche più utili. Ma forse bisogna riflettere e farsi una domanda dirimente: come mai ne circolano così tanti e tanto facilmente? Insomma: andiamo oltre le facili(ssime) speculazioni sui vari colabrodi di sicurezza che si vedono in giro e vengono ampiamente tollerati. Logica vuole che qualcuno li abbia raccolti e non sia stato in grado di proteggerli. Benissimo: facciamo un passo indietro, skippiamo al momento

Garante Privacy: il “guasto informatico” non scusa la mancata risposta all’interessato

Stefano Gazzella 28/08/2025

Quando si manca nella gestione di una richiesta di accesso ai propri dati personali da parte di un interessato, invocare un “guasto informatico” è una scusante che giustifica in modo analogo a quella del cane che ha mangiato i compiti. Questo è quello che, volendo essere prosaici, emerge dal provv. n. 277 del 29 aprile 2025 del Garante Privacy che ha avuto inizio con una richiesta e un reclamo da parte dell’interessato e si è concluso con la constatazione della violazione degli artt. 12 e 15 GDPR e l’applicazione di una sanzione pecuniaria di 2000 euro. Certo, il riscontro alla fine è

Garante Privacy: non si scherza sul budget per la sicurezza dei dati personali.

Stefano Gazzella 27/08/2025

Una sintesi essenziale del principio che si può estrarre dal provv. n. 271 del 29 aprile 2025 dell’Autorità Garante per la protezione dei dati personali potrebbe essere: no budget? non parti! Ovviamente con il trattamento, perché per andare in vacanza o in altri luoghi (che è bene non precisare) c’è sempre tempo. Per capire meglio questo principio di carattere generale e la sua applicazione pratica, bisogna unzippare il provvedimento che inizia con un data breach e (spoiler!) si conclude con una sanzione di 30 mila euro “per la molteplice violazione degli artt. 5, par. 1, lett. f), e 32, par. 1, del

I dati sensibili non si sono offesi: esistono ancora (e il GDPR li cita pure)

Stefano Gazzella 23/07/2025

Premessa: il GDPR non ha eliminato i dati sensibili. Per gli spiritosoni che dicono “i dati sensibili che sono? quelli che si offendono?” sparandosi la gimmick da espertoni di GDPR, faccio notare che la definizione del GDPR categorie particolari di dati è quella presenta già nella direttiva 95/46/CE all’art. 8 mentre invece i dati sensibili resistono e vivono pur nella nuova normativa ma in accordo con il loro significato dal punto di vista della sicurezza delle informazioni. Il presente regolamento prevede anche un margine di manovra degli Stati membri per precisarne le norme, anche con riguardo al trattamento di categorie particolari di

Come Funziona Davvero un LLM: Costi, Infrastruttura e Scelte Tecniche dietro ai Grandi Modelli di Linguaggio

Luca Vinciguerra 18/07/2025

Negli ultimi anni i modelli di linguaggio di grandi dimensioni (LLM, Large Language Models) come GPT, Claude o LLaMA hanno dimostrato capacità straordinarie nella comprensione e generazione del linguaggio naturale. Tuttavia, dietro le quinte, far funzionare un LLM non è un gioco da ragazzi: richiede una notevole infrastruttura computazionale, un investimento economico consistente e scelte architetturali precise. Cerchiamo di capire perché. 70 miliardi di parametri: cosa significa davvero Un LLM da 70 miliardi di parametri, come LLaMA 3.3 70B di Meta, contiene al suo interno 70 miliardi di “pesi”, ovvero numeri in virgola mobile (di solito in FP16 o BF16, cioè 2

DoValue aveva già confermato la violazione informatica con un comunicato stampa

Ada Spinelli 03/07/2025

Come già anticipato da Red Hot Cyber, un imponente data breach di 16TB di dati ha colpito doValue S.p.A., una delle principali società italiane ed europee specializzate nei servizi di gestione e recupero crediti. In un comunicato ufficiale pubblicato sul proprio sito, l’azienda ha confermato di essere stata vittima di un attacco informatico e ha avviato indagini interne con il supporto delle autorità competenti e di esperti in cybersecurity. È importante sottolineare che doValue ha risposto in modo etico e trasparente già il 5 maggio scorso, pubblicando un comunicato ufficiale sull’accaduto prima ancora che i dati venissero resi pubblici nei forum underground.

Requiem for the accountability : la tradizione è dura a morire

Andrea Capelli 25/06/2025

Il concetto di accountability è noto ai più, soprattutto tra chi legge questo contributo, ma è opportuno farne una breve sintesi, quantomeno come “cappello” introduttivo al tema di cui si andrà a discutere. L’accountability viene definita in diversi modi: Nel linguaggio quotidiano il concetto si può riassumere nella frase “io (legislatore) ti dico dove devi arrivare, come ci arrivi lo decidi tu purché me lo motivi”. A titolo esemplificativo: vige l’obbligo di adottare misure tecniche adeguate, quali siano queste misure lo stabilisci tu, purché motivi le ragioni per cui le hai ritenute adeguate. Questo principio è di origine anglosassone, poco conosciuto e

Categorie