Addio privacy nell’UE: l’allarme shock dell’EDPS sull’invasione dell’intelligenza artificiale. Questo è stato per l’EDPS l’anno del passaggio «dalla preparazione strategica alla piena operatività» del suo mandato in espansione. Lo ha affermato il supervisore europeo Wojciech Wiewiórowski nel foreword del Rapporto annuale.
Il 2025 ha segnato un punto di svolta irreversibile per la governance tecnologica dell’Unione, rappresentando l’anno della transizione fondamentale dall’analisi teorica all’attuazione operativa dell’Intelligenza Artificiale. In questo panorama, il Garante Europeo della Protezione dei Dati (GEPD) ha assunto con vigore le nuove vesti di Autorità di Sorveglianza del Mercato (market surveillance – l’attività di vigilanza per garantire che i prodotti siano conformi alle leggi) e di Organismo Notificato (notified body – l’ente incaricato di valutare la conformità di determinati prodotti prima della loro immissione sul mercato). La mappatura dell’ecosistema dell’IA all’interno delle istituzioni ha rivelato una chiara preferenza per l’adozione di strumenti pronti all’uso (off-the-shelf) rispetto allo sviluppo di soluzioni proprietarie, con una massiccia diffusione della generative AI (intelligenza artificiale in grado di creare contenuti originali). Per gestire questa complessità, il GEPD ha lanciato un progetto pilota di sandbox normativa, ovvero un ambiente di prova controllato che consente di testare sistemi innovativi sotto la supervisione del regolatore. Al fine di preservare l’integrità istituzionale, è stata implementata una rigorosa separazione funzionale tra il mandato storico di protezione dei dati e i compiti previsti dall’AI Act, garantendo che l’indipendenza dell’autorità rimanga il fulcro della resilienza infrastrutturale europea.
Sommario
Il Cloud e la Sovranità Digitale della Pubblica Amministrazione UE
I servizi cloud (archiviazione e gestione dei dati via internet) rappresentano oggi il pilastro della trasformazione digitale europea, ma portano con sé sfide cruciali in termini di sovranità. Nel corso del 2025, il GEPD ha esercitato un monitoraggio rigoroso sulla Commissione Europea per rimediare alle violazioni identificate nel 2024 riguardo all’uso di Microsoft 365. L’indagine ha imposto misure correttive che hanno trasformato radicalmente le clausole contrattuali, imponendo una maggiore trasparenza e un controllo granulare sui flussi informativi. Questo intervento non è stato un caso isolato, poiché si inserisce nel quadro più ampio delle indagini sui contratti Cloud II stipulati con giganti come Amazon e Microsoft, finalizzate a stabilire un livello di sicurezza comune per l’intera amministrazione dell’Unione.
L’azione del Garante ha generato una nuova consapevolezza strategica tra le istituzioni riguardo alle pesanti responsabilità che gravano sui titolari del trattamento (coloro che decidono come e perché trattare i dati). È ormai chiaro che le istituzioni non possono delegare la conformità ai propri fornitori, dovendo vigilare costantemente sull’operato dei processors (responsabili del trattamento che operano per conto del titolare). Questa vigilanza è il presupposto indispensabile per garantire che la trasformazione digitale non si traduca in una perdita di controllo sui dati dei cittadini, specialmente quando questi flussi attraversano i confini dell’Unione.
Tutto sui Trasferimenti Internazionali di Dati
In un ecosistema globale interconnesso, la protezione dei dati deve seguire le informazioni ovunque esse vadano, richiedendo garanzie legali che non ammettono zone d’ombra. Per facilitare questo processo, il GEPD ha promosso l’adozione del Modello di Accordo Amministrativo (Model Administrative Arrangement), uno strumento normativo cruciale per regolare i trasferimenti verso autorità pubbliche in paesi terzi. Questo rigore è stato applicato con precisione chirurgica nelle decisioni relative ai programmi Erasmus+ e al Corpo Europeo di Solidarietà, riguardanti i flussi di dati verso la Turchia (Türkiye), la Serbia e la Macedonia del Nord. Tali indagini hanno rafforzato la certezza del diritto, imponendo alle istituzioni l’obbligo di condurre sempre una transfer impact assessment (valutazione dell’impatto dei trasferimenti) per verificare la presenza di una protezione equivalente a quella europea. Questo approccio analitico garantisce che la cooperazione internazionale, anche in ambiti sensibili come la sicurezza, non avvenga mai a discapito dei diritti fondamentali.
Libertà, Giustizia e Sicurezza
La supervisione di agenzie come Europol e Frontex rappresenta la frontiera più delicata della protezione dei dati, dove le esigenze di sicurezza dello Stato incontrano i diritti dei singoli. Nel 2025, il GEPD ha intensificato l’indagine sulla raccolta di dati da parte di Frontex durante le interviste di debriefing (colloqui informativi ai confini esterni dell’UE), sollevando preoccupazioni sulla correttezza del trattamento e sulla tutela dei migranti vulnerabili. Parallelamente, sono stati forniti pareri vincolanti a Europol sull’uso del machine learning (apprendimento automatico) per la categorizzazione di moli massicce di dati non strutturati sequestrati in contesti investigativi. Queste azioni mirano a definire con precisione i contorni della joint controllership (contitolarità del trattamento), assicurando che ogni attore sia pienamente responsabile delle proprie operazioni in una cornice di legalità condivisa.
Lotta al Crimine Organizzato
L’efficacia delle indagini penali poggia sulla validità delle prove, la quale è intrinsecamente legata al rispetto delle norme sulla privacy. Il GEPD ha vigilato attivamente sul Core International Crimes Evidence Database (CICED) di Eurojust, garantendo che la conservazione delle prove per crimini di guerra segua standard rigorosissimi. Un segnale di attenzione critica emerge dall’audit condotto presso la Procura Europea (EPPO): sebbene siano stati fatti progressi, una raccomandazione specifica non è stata implementata dall’agenzia, evidenziando una potenziale area di non conformità che richiede vigilanza continua. In questo contesto, il corretto funzionamento di ECRIS-TCN (sistema europeo di informazione sui casellari giudiziali per i cittadini di paesi terzi) rimane un pilastro fondamentale per la cooperazione giudiziaria, preparando l’architettura legale dell’Unione alle sfide poste dalle tecnologie future.
Monitoraggio Tecnologico e Foresight
Anticipare i trend tecnologici è l’unica strategia efficace per prevenire violazioni sistemiche in un mondo digitale che evolve a velocità esponenziale. Il report TechSonar 2025-2026 ha identificato tendenze emergenti che trasformeranno l’amministrazione, tra cui l’Agentic AI (sistemi AI capaci di agire autonomamente per raggiungere obiettivi), gli AI companions (compagni digitali basati su AI), il monitoraggio automatizzato degli esami (automated proctoring), l’apprendimento personalizzato e gli assistenti alla programmazione (coding assistants). Gli approfondimenti del TechDispatch hanno esplorato il federated learning (tecnica di addestramento AI decentralizzata) e l’importanza della sorveglianza umana sui sistemi decisionali, mentre il concetto di confidential computing (protezione dei dati durante l’uso in ambienti isolati) è emerso come standard necessario per la sicurezza. Questo monitoraggio permette alle istituzioni di integrare la protezione dei dati sin dalla progettazione, costruendo una resilienza che deve rispondere non solo ad attacchi esterni, ma anche a rischi organizzativi interni.
Incidenti informatici e il fattore umano
La responsabilità istituzionale viene messa alla prova nei momenti di crisi informatica, dove la rapidità di risposta definisce l’affidabilità dell’Unione. Nel 2025, il GEPD ha gestito 99 notifiche di violazione, un numero che evidenzia come l’errore umano sia ancora la causa principale degli incidenti. Un rischio crescente è rappresentato dal fenomeno del “Shadow IT”, ovvero l’uso non autorizzato di strumenti come ChatGPT o Gemini da parte del personale per scopi professionali, eludendo la governance ufficiale. Per contrastare queste vulnerabilità, l’esercitazione PATRICIA II ha simulato scenari complessi per migliorare il coordinamento tra responsabili dei dati ed esperti di cybersecurity (sicurezza informatica), puntando a prevenire ogni confidentiality breach (violazione della riservatezza). Questo impegno costante è valso al Garante un prestigioso riconoscimento internazionale, confermando l’Europa come leader nella gestione della resilienza digitale.
Identità Digitale Europea
L’evoluzione verso una cittadinanza digitale richiede infrastrutture che proteggano l’identità senza comprometterne la libertà. Il GEPD ha fornito contributi determinanti per l’operatività del Portafoglio Europeo di Identità Digitale (EUDIW), lavorando affinché il tracciamento degli utenti sia impedito per progettazione. Sul piano normativo, un intervento di rilievo ha riguardato la proposta di modifica del GDPR, volta a semplificare gli oneri burocratici per le imprese. In particolare, è stata proposta l’elevazione della soglia per la deroga agli obblighi di tenuta dei registri da 250 a 750 dipendenti, includendo le cosiddette “small mid-caps”. Questa misura si inserisce nel quadro eIDAS framework (quadro normativo per l’identificazione elettronica e i servizi fiduciari), cercando un equilibrio pragmatico tra la competitività economica e la tutela dei diritti, in una visione che guarda oltre i confini europei.
Cooperazione Internazionale
La difesa della privacy non è una missione solitaria, ma il risultato di una rete globale di cooperazione che si estende dalle istituzioni UE ai forum internazionali. Il GEPD ha risposto nel 2025 a un numero record di 145 consultazioni legislative, un segnale della centralità della protezione dei dati in ogni iniziativa dell’Unione. Parallelamente, l’autorità ha gestito 72 richieste di accesso ai documenti, il dato più alto mai registrato, a testimonianza di un crescente interesse pubblico per la trasparenza. Attraverso il Comitato Europeo per la Protezione dei Dati (EDPB) e il G7 delle autorità, l’Europa promuove standard di adeguatezza e il ruolo cruciale dei DPO (Responsabili della protezione dei dati) per armonizzare le pratiche interne. Workshop con organizzazioni come l’UNESCO hanno ulteriormente esplorato l’impatto delle adequacy decision (decisioni di adeguatezza per paesi terzi), consolidando una rete di difesa pronta alle sfide operative del prossimo anno.
Priorità Operative per il 2026: la piena applicazione dell’AI Act
Il 2025 si chiude come un anno di profonda trasformazione operativa, in cui il GEPD ha gettato le basi per la nuova governance digitale dell’Unione. Il 2026 sarà l’anno della verità strategica, con la scadenza cruciale dell’agosto 2026 per l’applicazione delle norme sui sistemi AI ad alto rischio, un passaggio che richiederà una prontezza operativa senza precedenti da parte di tutte le istituzioni. Il Garante avvierà l’Azione di Sorveglianza Coordinata (CEF) focalizzata sulla trasparenza, assicurando che i cittadini siano informati sull’uso degli algoritmi che impattano le loro vite. In questo processo, lo sviluppo di un interoperability framework (quadro che permette a diversi sistemi informatici di scambiare dati) solido e sicuro sarà fondamentale per l’efficienza dell’amministrazione. Il GEPD riafferma la propria indipendenza come baluardo essenziale per la tutela dei diritti fondamentali, rinnovando l’impegno a guidare l’Unione Europea verso un futuro digitale che sia equo, sicuro e antropocentrico.
Cosa ha detto il Supervisore europeo
Wiewiórowski ha sottolineato che, dopo il 2024 dedicato a un bilancio storico, il 2025 ha visto l’Autorità impegnata a ottenere «risultati concreti» nel panorama digitale sempre più complesso, con l’obiettivo di tutelare i diritti fondamentali nel quadro del Digital Rulebook. Particolarmente rilevante, ha evidenziato il supervisore, è stata l’evoluzione del ruolo dell’EDPS nell’intelligenza artificiale. La nuova Unità AI ha completato la mappatura dell’ecosistema AI nelle istituzioni, organi e agenzie dell’UE, rilevando un uso crescente di sistemi generativi e tool commerciali.
Per favorire innovazione in sicurezza, l’EDPS ha lanciato un progetto pilota di regulatory sandbox che consente alle istituzioni europee di testare sistemi AI sotto la guida del regolatore prima della messa in produzione. Wiewiórowski ha inoltre ricordato l’analisi condotta dall’Unità Technology and Privacy su trend emergenti come l’Agentic AI, i compagni AI e il federated learning, e il nuovo ruolo centrale dell’EDPS nel cybersecurity come membro permanente dell’Inter-Institutional Cybersecurity Board.
Sul fronte policy, l’EDPS ha registrato un livello record di attività con 145 pareri su consultazioni legislative, spaziando dall’identità digitale alle modifiche mirate al GDPR, fino a questioni di concorrenza e innovazione per garantire un’applicazione coerente del Digital Rulebook. Nel campo della supervisione e enforcement, ha citato in particolare l’indagine sul uso di Microsoft 365 da parte della Commissione europea e il controllo sui trasferimenti internazionali di dati, oltre agli audit su sistemi come il Visa Information System e Eurodac.
Il supervisore ha infine sottolineato che il 2025 è stato un anno preparatorio fondamentale per il nuovo ruolo di market surveillance authority e notified body ai sensi dell’AI Act (con separazione funzionale dal mandato data protection), in vista della scadenza di agosto 2026 per i sistemi ad alto rischio. Ha concluso auspicando una stretta collaborazione a livello europeo e internazionale per mantenere standard elevati di protezione dei dati.
Leggi anche
Mobile Fortify: come gli agenti USA possono identificarti con un click e attingere dai database europei by Dario Denni 5 Gennaio 2026 11:37 La notizia la da il WSJ, gli agenti ICE possono disporre di Mobile Fortify negli Stati Uniti — l’app che permette agli agenti di identificare una persona con un click, incrociare i dati con l’Immigration e procedere all’arresto immediato — non è solo un aggiornamento tecnologico. È il compimento di un incubo che il compianto Professor Stefano Rodotà, con una lungimiranza incredibile, aveva previsto e problematizzato già cinquant’anni fa. Rodotà parlava della "persona elettronica", avvertendo che il rischio del progresso non era la macchina in sé, ma la trasformazione dell’uomo in un "corpo trasparente" davanti al potere, e così è…
Una spia ha avuto accesso al vostro cloud senza lasciare tracce: Trump proroga il Fisa ed il Cloud Act fa tremare l'Europa by Dario Denni 19 Aprile 2026 18:55 Vi siete mai chiesti se qualcuno spia la vostra email? E' facile dire "io non ho niente da nascondere". Quando utilizziamo servizi extra europei il rischio è che qualcuno possa entrare nel nostro cloud e quel qualcuno è nientemeno che l'FBI o un tribunale statunitense. Come in un film poliziesco, solo che è la realtà. Questo porta le aziende e le pubbliche amministrazioni a scegliere un cloud sovrano europeo. Ecco perchè. La sovranità non è un concetto giuridico da scrivere nei preamboli dei regolamenti ma una capacità industriale che si esercita sui server e sui servizi cloud e AI. Se…
Il nuovo standard ETSI per l'AI - “Securing Artificial Intelligence (SAI); Baseline Cyber Security Requirements for AI Models and Systems”. by Dario Denni 26 Gennaio 2026 15:19 ETSI EN 304 223 V2.1.1 (2025-12) è lo standard europeo pubblicato dall’ETSI (European Telecommunications Standards Institute) a dicembre 2025, intitolato “Securing Artificial Intelligence (SAI); Baseline Cyber Security Requirements for AI Models and Systems”. Fornisce un framework concreto, proporzionato al rischio, che aiuta le aziende a integrare la sicurezza AI nei processi esistenti (threat modelling, risk management, incident response). È stato accolto come benchmark mondiale perché sposta la sicurezza AI da principi generici a disciplina ingegneristica applicabile. In pratica si vuole rendere i sistemi AI più resilienti agli attacchi informatici, promuovendo fiducia e compliance in un settore in rapidissima evoluzione. Andando…
Ottava riunione del Tavolo NIS2 ACN by Dario Denni 9 Aprile 2026 19:38 ROMA, 09 APR - Si è tenuta l’ottava riunione del Tavolo NIS, convocata dall’Agenzia per la Cybersicurezza Nazionale (ACN), per definire i prossimi step attuativi della disciplina sulla sicurezza delle reti e dei sistemi informativi. Al centro dell’incontro le determinazioni del Direttore Generale che fissano il perimetro dei soggetti coinvolti per il 2026 e le relative scadenze operative. Elenco Soggetti 2026 e Scadenze A seguito della revisione delle dichiarazioni presentate nel primo bimestre dell’anno, l’elenco provvisorio dei soggetti NIS 2026 conferma una consistenza numerica in linea con il 2025: sono oltre 21.000 le realtà interessate, di cui almeno 5.000 classificate…
CYBER: FRATTASI (ACN), "DATI STRATEGICI RESTINO IN ITALIA PER SICUREZZA NAZIONALE" by Dario Denni 15 Marzo 2026 23:01 ROMA, 15 mar - (RegTech News) - L’Agenzia per la Cybersicurezza Nazionale (ACN) non è un mero ente tecnico, ma un organismo di sicurezza nazionale nel dominio cibernetico, la cui missione è oggi centrale a causa di una minaccia "insistente" legata alla "terza guerra mondiale a pezzi". Lo ha affermato il Prefetto Bruno Frattasi, Direttore Generale dell'Agenzia per la cybersicurezza nazionale, intervenendo all’evento “Sovranità digitale: Italia ed Europa a prova di futuro” che si è tenuto alla Camera dei Deputati, delineando la strategia italiana per la protezione delle infrastrutture critiche. Il nostro Paese si trova oggi immerso in una condizione di "permacrisi"…
La retorica della sovranità digitale: dalla Dichiarazione di Berlino al portale NIS2 di BSI by Dario Denni 7 Gennaio 2026 15:09 La retorica della sovranità digitale cozza con azioni che, almeno nel breve termine, rafforzano player non europei, segnatamente quelli americani anche se "europeizzati" sulla carta. Da ultimo, la collaborazione tra l'Agenzia federale tedesca per la sicurezza informatica (BSI) e Amazon Web Services (AWS) è stata formalizzata con un accordo siglato nel marzo 2025, finalizzato a sviluppare standard e processi di validazione per ambienti cloud, con un focus specifico sulla sovranità digitale in Germania e nell'UE. Secondo i termini dell'accordo, AWS si impegna a rispettare i requisiti del BSI per la sovranità, inclusi controlli avanzati su separazione operativa, gestione dei flussi…
Iniziative europee in materia di Difesa Cibernetica by Dario Denni 2 Marzo 2026 19:42 Il mondo è cambiato e l'Europa deve coordinarsi meglio anche in tema di Difesa Cibernetica. Sicuri segni ci dicono che nel contesto di un panorama geopolitico sempre più segnato da minacce ibride e attacchi informatici persistenti, sia l'Italia che la Germania stanno ridefinendo le proprie strategie di sicurezza cibernetica. Il Ministro della Difesa italiano Guido Crosetto, durante l'audizione del 23 gennaio 2025 presso la IV Commissione Difesa della Camera dei Deputati, ha espresso una visione critica verso l'approccio puramente reattivo finora adottato, auspicando un passaggio a posture più proattive e deterrenti. Chiaramente anche la Germania mira a dotare le autorità…
MINORI: CAPITANIO (AGCOM), "WEB TORNI AMBIENTE PROTETTO, REGOLE VANNO RISPETTATE" by Dario Denni 26 Marzo 2026 16:27 (regtechnews) ROMA, 26 MAR - "La misura di oscuramento di due siti per adulti che non hanno rispettato una norma voluta dal Parlamento dimostra che le regole vanno rispettate e che il web deve tornare a essere un ambiente protetto". Lo dichiara in una nota Massimiliano Capitanio, Commissario di Agcom, commentando i primi provvedimenti di blocco adottati dall'Autorità nei confronti di portali pornografici inadempienti sugli obblighi di verifica dell'età. "Episodi come quello di Trescore — prosegue Capitanio — confermano che soprattutto i minori non possono essere esposti senza filtri a contenuti illegali, violenti, pericolosi o inappropriati che possono condizionare il…
CYBERSECURITY: GIANNETTO (REEVO), "SOVRANITÀ DIGITALE È ASSET STRATEGICO NAZIONALE" by Dario Denni 15 Marzo 2026 21:51 (RegTech News) - ROMA, 15 Marzo 2026 - "I dati hanno smesso di essere una mera risorsa tecnica per trasformarsi nel vero e proprio asset strategico su cui poggia l'intera impalcatura economica di una nazione". Lo afferma Antonio Giannetto, co-CEO di ReeVo, intervenendo all'evento "Sovranità digitale: Italia ed Europa a prova di futuro" che si è tenuto alla Camera dei Deputati, sottolineando come la sovranità digitale europea debba oggi essere intesa come una forma di autonomia politica ed economica non più rinviabile. Secondo Giannetto, la protezione di questo patrimonio si articola su tre direttrici fondamentali. In primo luogo, la governance…
COSA FARE DOPO L'ATTACCO A SISTEMI INFORMATIVI (IBM) PER CONTRASTARE LO SPIONAGGIO CINESE by Dario Denni 3 Maggio 2026 17:24 Ci siamo, nessuno è invulnerabile. L'attacco informatico ai danni di Sistemi Informativi S.p.A., controllata di IBM Italia che gestisce anche infrastrutture critiche della Pubblica Amministrazione ci pone di fronte a scelte importanti. Secondo indiscrezioni giornalistiche lanciate da La Repubblica e La Stampa, dietro l'offensiva ci sarebbe il gruppo APT cinese 'Salt Typhoon'. IBM conferma incidente: "Situazione contenuta, indagini in corso". Sotto osservazione dati INPS e INAIL. Titolo: Esclusivo: Pa italiana (e non solo) attaccata da un gruppo di hacker cinesihttps://www.repubblica.it/tecnologia/2026/05/03/news/esclusivo_pa_italiana_e_non_solo_attaccata_da_un_gruppo_di_hacker_cinesi-425320702/(Articolo originale di Arcangelo Rociola su la Repubblica / Italian Tech – paywall parziale) Non è un evento informatico qualunque stavolta.…
