I prezzi dell’energia sono aumentati sensibilmente negli ultimi anni: i dati ENEA mettono nero su bianco l’impennata subita da luce e gas dal 2022 a oggi, con incrementi che arrivano al 100%. Alle conseguenze della prima crisi energetica dovuta al conflitto tra Russia e Ucraina si affiancano oggi quelle della crisi in Medio Oriente, con un effetto a cascata che porta maggiori spese per le famiglie italiane. Il report di ENEA, oltre a certificare gli aumenti, osserva anche come i prezzi all’ingrosso dell’energia in Italia siano tra i più alti in Europa, con forti divari con Paesi vicini come Francia, Germania o Spagna.

In un contesto del genere, risparmiare sulle bollette diventa una priorità: per riuscirci si possono mettere a confronto le offerte luce e le offerte gasdei fornitori sul mercato libero. Con il comparatore di SOStariffe.it è possibile analizzare le offerte di numerose compagnie partner del servizio e individuare le più convenienti.

I dati ENEA: Gas +70% e luce +100% dal 2022

Che le bollette negli ultimi anni siano aumentate parecchio non è solo un’impressione: come dimostrano i dati contenuti nell’analisi sul mercato energetico italiano di ENEA, dal 2022 a oggi i prezzi all’ingrosso dell’energia sono lievitati.

Rispetto al periodo precedente alla crisi energetica del 2022, il gas a livello europeo ha subito un rincaro del 70% e l’energia elettrica del 100%, con percentuali ancora maggiori in Italia e Germania.

La situazione dei prezzi in Italia fa registrare un record negativo: nel nostro Paese l’energia costa di più rispetto alle principali borse europee. Nel caso dell’elettricità, ad esempio, nel 2025 il prezzo medio italiano è stato di 116 €/MWh, quello tedesco di 90 €/MWh, quello spagnolo di 65 €/MWh e quello francese di 61 €/MWh.

Anche sul fronte del gas, i prezzi italiani sono più alti rispetto a quelli europei. La forbice tra il PSV, il prezzo all’ingrosso italiano, e il TTF, il prezzo all’ingrosso della Borsa di Amsterdam usato come riferimento a livello UE, si sta allargando.

Nel 2025 il TTF si è attestato poco sotto ai 37 €/MWh, quasi il doppio rispetto al periodo pre-crisi 2022 e circa 2,3 €/MWh in meno rispetto al PSV italiano.

Consumi ed emissioni stabili, ma cresce la vulnerabilità agli shock geopolitici

L’analisi del mercato italiano ed europeo fatta da ENEA ci dice che nel 2025 sia i consumi sia le emissioni sono stati stabili rispetto all’anno precedente.

Negli ultimi vent’anni i consumi di energia primaria risultano in calo, ma ancora lontani rispetto agli obiettivi fissati dall’UE per il 2030. Per riuscire a centrare l’obiettivo servirebbe una riduzione annua dei consumi di circa il 4%. L’ENEA registra anche forti ritardi nel processo di decarbonizzazione, con una crescita delle rinnovabili inferiore rispetto alle aspettative.

L’insieme di tutti questi fattori rende i mercati europei molto esposti agli shock energetici e agli effetti delle tensioni geopolitiche. A dimostrarlo sono gli aumenti di gas ed elettricità registrati dopo l’inizio del conflitto in Iran e il blocco dei trasporti nello stretto di Hormuz. Solo nel mese di marzo, l’Italia ha dovuto sostenere extracosti pari a 1 miliardo di euro per l’import dell’energia.

Confronto delle tariffe luce e gas contro il caro prezzi

L’attuale crisi energetica è caratterizzata da prezzi di luce e gas particolarmente instabili e sensibili ai cambiamenti del quadro geopolitico. Le incertezze sulla durata e sull’evoluzione del conflitto in Iran si riflettono anche sulle bollette e confrontare regolarmente le offerte dei fornitori di luce e gas sul mercato libero è l’arma più efficace a disposizione delle famiglie italiane per contenere gli aumenti.

Sul mercato sono disponibili sia tariffe a prezzo fisso, da preferire se si desidera adottare un approccio prudente e mantenere stabile il costo della componente energia, sia tariffe a prezzo indicizzato, in base alle quali si paga una cifra variabile ogni mese e legata all’andamento del PUN o del PSV.

Le migliori offerte luce a prezzo fisso disponibili su SOStariffe.it partono da 0,125 €/kWh, con costo della componente energia bloccato per 36 mesi. Per chi preferisce un’offerta a prezzo indicizzato, invece, si parte da 0,145 €/kWh, con adeguamento mensile che segue l’evoluzione del PUN.

Per quanto riguarda il gas, le migliori offerte a prezzo fisso partono da 0,529 €/Smc, con il corrispettivo per la materia prima bloccato per 24 mesi, e le migliori offerte indicizzate partono da 0,527 €/Smc.

Attraverso la comparazione delle offerte di più fornitori si può capire quali sono quelle più convenienti e quelle che fanno risparmiare di più in bolletta. Grazie al comparatore di SOStariffe.it non solo si possono mettere a confronto le soluzioni tariffarie di numerosi fornitori partner, ma si può anche fare una stima dei costi da sostenere per ogni offerta, in base ai propri consumi.

Leggi le altre notizie sull’home page di Key4biz

https://www.key4biz.it/energia-aumenti-record-per-luce-e-gas-dal-2022-i-dati-enea/570076/

L’adozione dell’AI diventa strutturale nell’industria automobilistica, Stellantis rafforza la collaborazione con Microsoft

Nel pieno di una trasformazione strutturale che sta ridisegnando l’industria automobilistica globale, Stellantis annuncia la volontà di rafforzare la propria traiettoria verso la digitalizzazione con un accordo quinquennale con Microsoft focalizzato su intelligenza artificiale (AI), cybersicurezza e infrastrutture cloud. Più che un’alleanza tecnologica tradizionale (e già avviata da tempo), l’intesa si inserisce in un contesto in cui l’auto è ormai un sistema software-defined, esposto a nuove vulnerabilità ma anche a opportunità di innovazione lungo l’intera catena del valore.

L’elemento più rilevante dell’accordo riguarda il co-sviluppo di oltre 100 casi d’uso basati sull’intelligenza artificiale, distribuiti tra progettazione, produzione, servizi e relazione con il cliente.

L’adozione dell’AI diventa infrastrutturale, cioè non si limita più a funzioni sperimentali o di supporto: entra nei processi di ingegneria per accelerare sviluppo e validazione dei veicoli, nelle attività industriali per migliorare manutenzione e qualità, fino ai servizi digitali destinati agli utenti finali. In questo scenario, i dati generati dai veicoli connessi e dalle operations diventano la materia prima per modelli predittivi e sistemi decisionali automatizzati.

Questa evoluzione si inserisce in un mercato che sta rapidamente ampliando la propria dimensione economica e la propria esposizione ai rischi. Il comparto globale della cybersecurity automotive è stimato crescere dagli 8,3 miliardi di dollari del 2026 a oltre 17 miliardi nel 2034, con un tasso medio annuo vicino al 10%. Parallelamente, nel 2025 gli attacchi ransomware contro il settore automotive e della mobilità intelligente sono raddoppiati, spinti dall’aumento delle superfici di attacco legate a veicoli connessi, API cloud e aggiornamenti software over-the-air.

Un centro di cybersecurity basato sull’AI

È proprio su questo fronte che la collaborazione con Microsoft intende assumere una dimensione strategica. Secondo quanto comunicato sul sito, Stellantis punta a costruire un centro globale di cybersicurezza basato sull’AI, in grado di monitorare e proteggere in modo integrato sistemi IT, fabbriche, piattaforme digitali e veicoli.

L’obiettivo è passare da un approccio reattivo a uno predittivo, sfruttando algoritmi di machine learning per individuare anomalie e minacce in tempo reale. Una scelta che riflette anche le pressioni normative, in particolare in Europa, dove i regolamenti UNECE R155 e R156 impongono ai costruttori l’adozione di sistemi di gestione della sicurezza informatica e di aggiornamento software lungo l’intero ciclo di vita del veicolo.

Nel contesto europeo, l’integrazione tra AI e cybersecurity si sta consolidando anche per garantire la conformità ai requisiti normativi e alla protezione dei dati secondo il quadro GDPR. I sistemi di intrusion detection evoluti, alimentati da intelligenza artificiale, sono destinati a diventare componenti standard nei veicoli software-defined.

Negli Stati Uniti, invece, il quadro è più orientato alla gestione del rischio emergente: dopo diversi incidenti rilevati nel 2025, le autorità stanno spingendo verso linee guida per un uso sicuro dell’IA nei sistemi autonomi, mentre cresce l’adozione di tecnologie intelligenti in ambiti come ADAS e telematica.

La centralità del cloud e data center più sostenibili entro il 2029

Accanto alla sicurezza, l’altro pilastro dell’accordo riguarda la modernizzazione dell’infrastruttura digitale. Stellantis prevede una migrazione estesa verso il cloud Azure, con l’obiettivo di migliorare scalabilità, resilienza e velocità di distribuzione dei servizi digitali. Il dato più significativo è l’impegno a ridurre del 60% l’impatto dei data center entro il 2029, segnale di come la trasformazione cloud venga letta anche in chiave di sostenibilità operativa oltre che di efficienza.

La centralità del cloud è strettamente legata all’evoluzione del modello di business dell’automotive. La capacità di aggiornare i veicoli da remoto, introdurre nuove funzionalità software e gestire servizi digitali su scala globale richiede architetture distribuite e sicure. In questo senso, la convergenza tra piattaforme cloud e sistemi embedded nei veicoli rappresenta uno dei nodi più critici e strategici per i costruttori.

Nel complesso, la collaborazione tra Stellantis e Microsoft evidenzia come il settore automotive stia accelerando verso un modello sempre più simile a quello delle industrie tecnologiche. In un contesto di mercato segnato da margini compressi, transizione elettrica e crescente complessità regolatoria, la leva digitale (dall’IA alla cybersecurity fino al cloud) diventa un fattore determinante per sostenere competitività e resilienza.

Leggi le altre notizie sull’home page di Key4biz

https://www.key4biz.it/stellantis-chiede-a-microsoft-di-accelerare-su-ai-e-cybersecurity-al-lavoro-su-100-soluzioni/570090/

In assenza di una disciplina organica sulla responsible disclosure, il ricercatore di sicurezza italiano opera in una zona grigia normativa che la Legge 90/2024 ha reso, paradossalmente, ancora più insidiosa.

Un mestiere che inizia dove finisce la legge

Esiste una figura professionale che compie ogni giorno, deliberatamente, atti che il codice penale descrive come reati. Lo fa per proteggere sistemi, utenti e infrastrutture. Lo fa, spesso, senza che nessuno glielo abbia chiesto. E lo fa sapendo che, al termine del proprio lavoro, potrebbe ricevere non un ringraziamento ma un avviso di garanzia.

Il ricercatore di sicurezza informatica, l’ethical hacker, il penetration tester indipendente, il bug hunter, opera in Italia in uno spazio normativo che non è mai stato davvero regolamentato. Non esiste, nel nostro ordinamento, alcuna norma che definisca cosa sia la “ricerca di sicurezza” in senso giuridicamente rilevante. Non esiste una procedura codificata per la divulgazione responsabile delle vulnerabilità. Non esiste un porto sicuro. Esiste soltanto l’art. 615-ter del codice penale, pensato oltre trent’anni fa per punire i criminali informatici, che nella sua formulazione universale abbraccia indistintamente il black hat malevolo e il white hat che, trovata una falla in un sistema pubblico, vorrebbe segnalarla a chi di competenza.

Questo articolo analizza quella zona grigia: la giurisprudenza che ha cercato di tracciarvi dei confini, la riforma del 2024 che quei confini ha ulteriormente spostato verso l’incertezza, i modelli esteri che indicano percorsi alternativi e le clausole contrattuali dei programmi di bug bounty che cercano di supplire, con strumenti privatistici, a ciò che il legislatore non ha ancora fatto.

L’art. 615-ter e il problema strutturale della fattispecie

L’art. 615-ter del codice penale, introdotto dalla legge n. 547 del 1993 in attuazione della Raccomandazione del Consiglio d’Europa n. R(89)9 del 13 settembre 1989 sulla criminalità informatica, punisce con la reclusione fino a tre anni «chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo».

La norma è disegnata attorno a due concetti chiave: l’abusività dell’accesso e la tutela dello ius excludendi del titolare. L’accesso al sistema è protetto non quale dato puramente tecnico, ma quale proiezione del “domicilio informatico”, con tutela derivante indirettamente dagli artt. 14 e 15 Cost. Ciò significa che la norma protegge, prima ancora che i dati, la volontà del titolare di ammettere o escludere soggetti dal proprio spazio informatico.

Su questo punto la giurisprudenza ha conosciuto una lunga storia di oscillazioni, risolta almeno parzialmente da due fondamentali interventi delle Sezioni Unite della Corte di Cassazione.

La giurisprudenza delle Sezioni Unite: due principi, un paradosso

Il primo intervento è la sentenza SS.UU. “Casani” del 27 ottobre 2011 (n. 4694, dep. 7 febbraio 2012). La questione era se integrasse il reato la condotta del soggetto autorizzato all’accesso che vi si introduce per finalità diverse o illecite.

Le Sezioni Unite stabilirono un principio di portata generale: «integra la fattispecie criminosa di accesso abusivo ad un sistema informatico o telematico protetto la condotta di accesso o di mantenimento nel sistema posta in essere da soggetto che, pure essendo abilitato, violi le condizioni ed i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l’accesso. Non hanno rilievo, invece, per la configurazione del reato, gli scopi e le finalità che soggettivamente hanno motivato l’ingresso al sistema».

Il principio è tecnicamente preciso ma produce conseguenze problematiche per i ricercatori di sicurezza: ciò che rileva non è l’intenzione dell’agente (buona o cattiva che sia) ma la violazione oggettiva delle condizioni di accesso poste dal titolare. Per l’ethical hacker che accede a un sistema senza un’esplicita autorizzazione scritta del titolare, la mancanza di quella volontà espressa è di per sé sufficiente a configurare il reato, indipendentemente dal fatto che egli non abbia copiato nulla, non abbia arrecato danni e intenda segnalare responsabilmente la vulnerabilità trovata.

Il secondo intervento è la sentenza SS.UU. “Savarese” del 18 maggio 2017 (n. 41210), che per i pubblici ufficiali ha introdotto il concetto di “ragioni ontologicamente estranee”: integra il delitto di cui all’art. 615-ter, secondo comma n. 1, c.p. la condotta del pubblico ufficiale che, pur essendo abilitato e pur non violando le prescrizioni formali impartite dal titolare, acceda o si mantenga nel sistema per ragioni ontologicamente estranee rispetto a quelle per le quali la facoltà di accesso gli è attribuita.

Per il ricercatore di sicurezza, la combinazione di questi due principi crea un labirinto: se accede senza autorizzazione esplicita viola le condizioni del titolare (Casani); se accede con credenziali lecite ma per testare la sicurezza invece di svolgere la funzione per cui le credenziali furono concesse, compie operazioni “ontologicamente estranee” (Savarese). In entrambi i casi la legge non distingue tra chi vuole fare un danno e chi vuole evitarlo.

Il caso Catania 2019: un’archiviazione istruttiva, non una regola

Un provvedimento che ha catalizzato l’attenzione degli specialisti è il decreto del GIP del Tribunale di Catania del 15 luglio 2019 (Giudice dott. Rizza), che ha disposto l’archiviazione di un procedimento penale per il reato di accesso abusivo a sistemi informatici o telematici (art. 615-ter c.p.). I fatti si inseriscono in un contesto di sviluppo di un’applicazione per smartphone: il ricercatore, dotato di notevoli competenze tecniche, si era introdotto nel sistema aziendale individuando vulnerabilità che aveva poi segnalato responsabilmente. Il giudice ha ritenuto che tale condotta, qualificabile come responsible disclosure volta alla “tutela dei consumatori”, non potesse essere censurata penalmente.

Il provvedimento è storicamente significativo: è tra le prime archiviazioni italiane esplicitamente motivate con il riconoscimento della responsible disclosure. Non costituisce però un precedente vincolante né una causa di giustificazione sistematica. È il risultato di una valutazione discrezionale, irripetibile nella sua struttura procedurale, che non risolve il problema strutturale: in assenza di una norma che definisca le condizioni di liceità della ricerca di sicurezza, ogni caso deve essere valutato individualmente, con esiti imprevedibili.

La Legge 90/2024: più pene, nessuna protezione

Se la giurisprudenza si era almeno sforzata di cercare criteri interpretativi di contenimento, il legislatore del 2024 ha scelto una direzione opposta: più sanzioni penali, nessun safe harbor.

La Legge 28 giugno 2024, n. 90, “Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici”, si compone di 24 articoli e introduce obblighi di segnalazione degli incidenti per pubbliche amministrazioni e operatori essenziali (art. 1), rafforza il ruolo dell’Agenzia per la Cybersicurezza Nazionale (ACN) e inaspisce in modo significativo le sanzioni penali per i reati informatici.

Sul piano del diritto penale sostanziale, l’art. 16 della legge modifica in modo estensivo il codice penale. Per quanto riguarda specificamente l’art. 615-ter c.p.:

Il primo comma (ipotesi base) rimane invariato: reclusione fino a tre anni, procedibile a querela della persona offesa. Il secondo comma (ipotesi aggravate, tra cui il fatto commesso da pubblico ufficiale o in danno di pubblico ufficiale) subisce modifiche alle circostanze aggravanti, con procedibilità d’ufficio. Il terzo comma (sistemi informatici di interesse militare, ordine pubblico, sicurezza pubblica, sanità, protezione civile, interesse pubblico) vede le pene elevarsi sensibilmente: da «reclusione da uno a cinque anni e da tre a otto anni» a «reclusione da tre a dieci anni e da quattro a dodici anni», con procedibilità d’ufficio.

L’inasprimento del terzo comma è particolarmente rilevante per i ricercatori di sicurezza: i sistemi che presentano le vulnerabilità più critiche (quelli di interesse pubblico, sanitario o infrastrutturale) sono proprio quelli per cui la legge ora prevede le pene più severe, senza che esista alcuna causa di giustificazione per il ricercatore in buona fede. La Legge 90/2024 ha anche introdotto, all’art. 623-quater c.p., circostanze attenuanti per chi si adoperi per evitare che l’attività delittuosa sia portata a conseguenze ulteriori, con riduzione di pena dalla metà a due terzi. Si tratta però di un istituto pensato per la collaborazione investigativa, non per la tutela del ricercatore preventivo.

Come analizzato su ICT Security Magazine, alcuni esperti temono che la normativa possa ostacolare il lavoro di chi si occupa di bug bounty programs o di ricerca indipendente sulla sicurezza informatica. Il timore non è peregrino: in assenza di cause di giustificazione specifiche, l’aumento delle pene produce un effetto deterrente che ricade sull’intera comunità della sicurezza, non solo sugli attori malintenzionati. Le Camere Penali Italiane, nelle proprie osservazioni al testo, hanno rilevato come alcune nuove disposizioni introducano ipotesi di reato e circostanze aggravanti inadeguate a fornire una risposta efficace alle esigenze di sicurezza e che la partecipazione dell’ACN nelle indagini (art. 22 co. 4-bis) sollevi preoccupazioni sull’indipendenza delle procedure giudiziarie.

La legge ha il merito di rafforzare l’ACN come interlocutore per la gestione delle vulnerabilità e di istituire il Centro Nazionale di Crittografia, ma non trae le conseguenze necessarie per il quadro della ricerca di sicurezza indipendente. Come illustrato in precedenti analisi, l’inasprimento delle pene non è sempre efficace come deterrente se non accompagnato da una robusta capacità di enforcement e da un equilibrato riconoscimento delle condotte lecite.

I tentativi di riforma: verso una responsible disclosure normata

Il vuoto normativo non è passato inosservato. A livello parlamentare, la proposta di legge a prima firma dell’on. Riccardo Magi (nelle sue diverse formulazioni a partire dal 2022) ha avuto il merito di portare la questione al centro del dibattito: il testo prevedeva l’introduzione di una causa di non punibilità per il ricercatore di sicurezza che avesse operato rispettando criteri di buona fede, proporzionalità e notifica tempestiva delle vulnerabilità scoperte all’organizzazione interessata o all’ACN. La proposta non è mai giunta all’approvazione, ma ha catalizzato un dibattito accademico e tecnico di grande rilievo, a cui si è aggiunta l’attività di soggetti come la fondazione GCSEC, promotrice del Manifesto italiano di Coordinated Vulnerability Disclosure.

La questione centrale, sul piano dogmatico, è se sia più opportuno introdurre una causa di giustificazione (che esclude l’illiceità del fatto), una causa di non punibilità (che esclude la pena pur riconoscendo l’illiceità) o una vera e propria riformulazione delle fattispecie incriminatrici che escluda ab origine dalla tipicità le condotte di ricerca in buona fede. Sarebbe opportuno che il legislatore intervenisse introducendo una vera e propria causa di non punibilità, distinta dal consenso dell’avente diritto. Quest’ultimo, infatti, non può operare per il reato di cui all’art. 615-ter c.p. nell’ipotesi base, poiché il mancato consenso è elemento costitutivo della fattispecie.

Ciascuna opzione presenta profili tecnici diversi. La causa di giustificazione si inserirebbe nella struttura del reato e avrebbe effetti più pervasivi, ma richiederebbe criteri applicativi rigorosi per evitare che diventi uno scudo per condotte in realtà offensive. La causa di non punibilità è più cauta sul piano sistematico ma non risolve il problema del procedimento che viene comunque avviato e delle misure cautelari che possono essere disposte nel frattempo. La modifica tipizzante è la più garantista ma anche la più difficile da formulare con precisione sufficiente.

Il modello olandese: pragmatismo istituzionale senza immunità assoluta

I Paesi Bassi rappresentano il riferimento europeo più maturo in materia di responsible disclosure istituzionalizzata. Il National Cyber Security Centre olandese (NCSC) ha pubblicato le proprie linee guida sul Coordinated Vulnerability Disclosure (CVD) nel 2013, poi aggiornate nel 2018 sulla base dell’esperienza maturata.

Il modello olandese deve essere descritto con precisione, perché spesso viene frainteso come un “porto sicuro” assoluto: non lo è. Le linee guida non modificano il quadro giuridico vigente. Il codice penale olandese (artt. 138ab e 161 sexies) non distingue tra hacker malintenzionato ed ethical hacker: la decisione se trattare un soggetto come tale è rimessa alla Procura della Repubblica e al giudice. La Procura olandese ha tuttavia pubblicato una lettera di indirizzo nel 2013 (il Board of Procurators General), stabilendo che non si procederà penalmente in presenza di “ripristino dei diritti” tra il segnalante e l’organizzazione colpita, pur mantenendo la facoltà di agire quando la condotta abbia ecceduto i limiti di proporzionalità.

Il meccanismo funziona perché poggia su tre pilastri complementari. Il primo è procedurale: le organizzazioni che adottano una politica CVD si impegnano formalmente a non sporgere denuncia contro i ricercatori che rispettino determinate condizioni (nessuna copia o modifica di dati, disclosure confidenziale, proporzionalità dei test, finestra temporale concordata per la correzione prima della pubblicazione). L’NCSC raccomanda un termine di 60 giorni per le vulnerabilità software e di sei mesi per quelle hardware più complesse.

Il secondo è istituzionale: l’NCSC agisce da intermediario quando la vulnerabilità viene segnalata direttamente all’ente, e si impegna a tenere informato il ricercatore sullo stato di risoluzione. Il terzo è normativo-orientativo: la lettera di indirizzo della Procura offre ai ricercatori criteri ex ante di comportamento protetto, riducendo l’incertezza giuridica senza richiedere una modifica legislativa.

Il sistema olandese non garantisce immunità: la Procura mantiene sempre la facoltà di perseguire. Un ricercatore che abbia reso pubblica la vulnerabilità prima della correzione o che abbia effettuato ricerche sui dati personali di soggetti terzi è stato condannato, proprio perché aveva ecceduto i limiti di proporzionalità. Ma l’esistenza di criteri chiari e di un orientamento esplicito della magistratura requirente ha creato un ecosistema in cui la ricerca di sicurezza può prosperare in condizioni di ragionevole prevedibilità giuridica.

Il caso americano: il CFAA, Van Buren e il dibattito sulla riforma

Negli Stati Uniti il problema è strutturalmente analogo. Il Computer Fraud and Abuse Act del 1986 (CFAA) punisce chiunque “intentionally accesses a computer without authorization or exceeds authorized access”, e la vaghezza della nozione di exceeds authorized access aveva generato un lungo contrasto giurisprudenziale tra i circuiti di appello federali.

La svolta è arrivata con la sentenza Van Buren v. United States della Corte Suprema del 3 giugno 2021 (593 U.S. 374). La Corte, in una decisione 6-3 redatta dalla Justice Barrett, ha adottato un’interpretazione di tipo “gates-up-or-down”: si “eccede l’autorizzazione” soltanto quando si accede a file, cartelle o database a cui il proprio accesso non si estende affatto, non quando si usa un accesso altrimenti lecito per uno scopo improprio.

Il fine dell’accesso (anche se illecito) è giuridicamente irrilevante se le credenziali permettevano l’accesso a quell’area del sistema. La Electronic Frontier Foundation, che aveva depositato un amicus brief nel caso, definì la pronuncia “una vittoria per tutti gli utenti di Internet e in particolare per i ricercatori di sicurezza”.

Van Buren non ha risolto però il problema dell’accesso inizialmente non autorizzato, che rimane il caso più comune per il ricercatore indipendente. E non elimina il rischio di azione civile: come segnalato da diversi esperti del settore, il timore principale dei ricercatori non è la responsabilità penale ma quella civile, cioè essere citati in giudizio dalla stessa azienda che ha la vulnerabilità nel proprio sistema.

Le proposte di riforma più avanzate, elaborate da organizzazioni come Rapid7, EFF e Center for Democracy & Technology, convergono su alcuni elementi comuni: la definizione legislativa di good faith security research, che includa la minimizzazione dei danni e l’obbligo di disclosure al titolare del sistema; il divieto di utilizzo commerciale delle vulnerabilità scoperte prima della loro divulgazione; la limitazione del diritto di azione civile delle aziende nei confronti dei ricercatori che abbiano rispettato la procedura di disclosure.

I programmi di bug bounty: contratti che suppliscono alla legge

In assenza di una disciplina legislativa, il mercato ha sviluppato i propri strumenti di regolazione. I programmi di bug bounty (piattaforme gestite da HackerOne, Bugcrowd e operatori nazionali, o programmi diretti delle singole organizzazioni) rappresentano oggi la principale forma di legalizzazione contrattuale dell’ethical hacking.

Il meccanismo è semplice: l’organizzazione definisce un perimetro (scope) di sistemi su cui la ricerca è autorizzata, le tipologie di vulnerabilità ricercabili, le regole di comportamento per il ricercatore, la finestra temporale entro cui la vulnerabilità verrà corretta e la misura della ricompensa. In cambio, il ricercatore ottiene l’autorizzazione esplicita (la volontà espressa del titolare che l’art. 615-ter richiede) e una clausola contrattuale di safe harbor che lo protegge da azioni legali civili. Il Gold Standard Safe Harbor promosso da HackerOne è divenuto di fatto uno standard internazionale di riferimento, raccomandato anche dal Dipartimento di Giustizia degli Stati Uniti e dalla CISA nel proprio Vulnerability Disclosure Policy Template per le agenzie federali.

In Italia, il mercato dei bug bounty è in crescita ma strutturalmente fragile sul piano della tutela giuridica del ricercatore. Il problema fondamentale è che la clausola contrattuale di safe harbor non ha alcuna efficacia preclusiva nel sistema penale italiano.

Per le ipotesi base del reato (primo comma, procedibili a querela), il consenso e la mancata querela del titolare costituiscono di fatto un presidio: il titolare del sistema, potendo disporre del suo legittimo interesse, può scegliere di non sporgere denuncia o di ritirarla. Ma per le ipotesi aggravate del terzo comma (quelle relative a sistemi di rilevanza pubblica, sanitaria, militare o infrastrutturale, procedibili d’ufficio) il consenso del titolare è penalmente irrilevante, e la Procura può procedere indipendentemente dalla volontà della parte offesa.

Un ulteriore profilo critico riguarda la granularità tecnica degli ambienti informatici: se il ricercatore, operando nell’ambito di un programma di bug bounty aziendale, accede incidentalmente a dati di terzi o a sottosistemi non inclusi nello scope dichiarato, la copertura contrattuale cessa. Questa eventualità, tutt’altro che teorica in sistemi complessi e interconnessi, espone il ricercatore a un rischio che nessuna clausola contrattuale può eliminare in assenza di una norma primaria di tutela.

La Direttiva NIS2 e il diritto dell’Unione: un’occasione mancata

Il quadro normativo europeo offre spunti importanti ma non ha ancora tradotto la propria attenzione alla sicurezza informatica in una tutela esplicita per i ricercatori. La Direttiva NIS2 (Direttiva UE 2022/2555), recepita in Italia con il D.Lgs. n. 138/2024 in vigore dal 18 ottobre 2024, impone agli operatori essenziali e importanti di adottare politiche per la gestione delle vulnerabilità e processi di coordinated vulnerability disclosure. È un riconoscimento formale (il primo in uno strumento europeo vincolante) che le vulnerabilità esistono, che è utile che qualcuno le trovi e che deve esserci un processo per gestirne la comunicazione.

Tuttavia, la NIS2 non trae le conseguenze penalistiche di questi principi: non prevede alcuna protezione per chi, trovando una vulnerabilità al di fuori di un programma formale, la segnali spontaneamente. Il Cybersecurity Act europeo (Reg. UE 2019/881) ha istituito il quadro di certificazione della cybersecurity, ma riguarda prodotti e servizi, non la posizione giuridica dei ricercatori. L’ENISA ha pubblicato nel 2022 un rapporto sulle politiche CVD nell’UE documentando la frammentazione delle pratiche nazionali e raccomandando standard comuni, rilevando come l’assenza di framework nazionali chiari creasse “uncertainty and potential legal risk for security researchers across the EU”. Le raccomandazioni sono rimaste in larga parte disattese sul piano legislativo.

Le strade possibili: un’agenda di riforma

Il panorama tracciato consente di identificare alcune priorità di riforma che l’Italia, con la Legge 90/2024, ha scelto di non affrontare.

La prima priorità è legislativa: l’introduzione di una causa di non punibilità (o di una scriminante procedurale) per il ricercatore di sicurezza che abbia operato rispettando criteri di buona fede, proporzionalità e notifica tempestiva. Il modello olandese offre una traccia: non un’immunità assoluta, ma un processo strutturato che dia al ricercatore criteri chiari di comportamento protetto e orienti la discrezionalità della magistratura requirente verso la non azione in presenza di quei criteri. Sarebbe altresì utile definire esplicitamente cosa costituisce un’attività lecita di security testing.

La seconda priorità è istituzionale: l’ACN dovrebbe sviluppare un ruolo di intermediario analogo a quello svolto dall’NCSC olandese. La Legge 90/2024 le ha attribuito la funzione di ricevere e gestire le segnalazioni di vulnerabilità nei sistemi delle pubbliche amministrazioni e degli operatori essenziali: è il momento di costruire intorno a questa funzione un framework pubblico di responsible disclosure, con una policy ufficiale che definisca le regole del gioco per i ricercatori indipendenti che operano su sistemi italiani. In questa prospettiva sarebbe auspicabile anche l’introduzione di un registro nazionale di penetration tester certificati, con linee guida precise per le attività autorizzate e procedure chiare per ottenere autorizzazioni di testing.

La terza priorità è prosecutoriale: un orientamento esplicito del Consiglio Superiore della Magistratura o della Procura Generale della Cassazione sull’approccio da tenere nei casi di divulgazione responsabile (analogo alla lettera di indirizzo del Board of Procurators General olandese del 2013) non richiede una modifica legislativa ma può ridurre significativamente l’incertezza giuridica per i ricercatori in buona fede.

La quarta priorità è contrattuale e di sistema: la standardizzazione delle clausole di safe harbor nei programmi di bug bounty italiani, possibilmente con il supporto di ACN e di associazioni di categoria come Clusit, per ridurre l’asimmetria informativa che penalizza soprattutto i ricercatori più giovani e meno strutturati.

Conclusione: il costo dell’immobilismo

La zona grigia in cui opera il ricercatore di sicurezza italiano ha un costo concreto. Si misura nella vulnerabilità non segnalata perché il ricercatore non si fida del framework giuridico. Si misura nel talento che emigra verso Paesi con regole più chiare. Si misura nell’ecosistema della sicurezza informatica nazionale che fatica a strutturarsi intorno a pratiche di responsible disclosure condivise.

Il paradosso dell’attuale situazione italiana è che la stessa Legge 90/2024 che riconosce il valore della gestione strutturata delle vulnerabilità informatiche (che attribuisce all’ACN il compito di ricevere segnalazioni di vulnerabilità, che introduce obblighi di patching e aggiornamento) ha contemporaneamente inasprito le sanzioni per le condotte che stanno a monte di quelle segnalazioni: l’accesso al sistema, la verifica della vulnerabilità, la raccolta delle prove necessarie a dimostrarne l’esistenza. Chiedere ai ricercatori di trovare le vulnerabilità e al contempo minacciare chi le trova con pene fino a dodici anni di reclusione per i sistemi più critici è una contraddizione che il legislatore non può continuare a ignorare.

Una politica di sicurezza informatica coerente deve riconoscere che la sicurezza collettiva dei sistemi dipende anche, e talvolta soprattutto, dall’attività di chi, senza aspettare di essere commissionato, cerca le falle prima che lo facciano i criminali. Trovare l’equilibrio tra la necessaria protezione dei sistemi informatici e la necessaria libertà di chi lavora per renderli più sicuri non è un esercizio accademico: è una scelta di politica del diritto urgente e non più rinviabile.

https://www.ictsecuritymagazine.com/articoli/ethical-hacker/

@import url(‘https://fonts.googleapis.com/css2?family=Handlee&display=swap’); h3 { font-weight: bold; font-size: 18px; color: #C72026; } .pqFull { display: block; border-width: 2px 0; border-style: solid; border-color: #404144; padding: 1.5em 0 0.5em; margin: 1.5em 0; position: relative; Handlee”, Arial, sans-serif; font-size: 20px; text-align: center; color: #0067A6; } .pqFull:before { content: ‘\275D’; position: absolute; top: -.10em; left: 50%; transform: translate(-50%, -50%); background: #fff; width: 4rem; height: 2rem; color: #666; text-align: center; } .pqFull:after { content: attr(cite); display: block; text-align: center; font-size: 18px; color: #404144; }

For many chief security officers (CSO), the conversation about gunshot detection technology begins long before a system is purchased or deployed. It starts with the challenge of framing the technology effectively for chief executive officers and boards, by anticipating tough questions, and aligning the investment with corporate risk priorities.

While CSOs understand the realities of gun violence, whether it’s from a disgruntled employee or outside actor, the limitations of existing defenses, and the growing expectations for due diligence, gaining executive support requires a clear, data-driven, and financially grounded case. To do so, three realities must be articulated: traditional security tools have gaps, the governance and liability landscape demands action, and violent incidents create enormous financial and operational impacts.

When CSOs can help executive leaders and board members understand these factors, and guide them through the decision-making process, they are far better positioned to secure the resources needed to protect people and assets.

Traditional Security Tools Aren’t Enough

Most organizations today have invested heavily in front-end protections. These systems often include video surveillance, visitor management, turnstiles, weapons detection screening, armed officers, access control, along with sophisticated lockdown procedures. These are all necessary components of a comprehensive security plan, but despite all these technology investments there remains an uncomfortable truth many security professionals know well; and that is these systems rely on the assumption that an assailant will cooperate with security procedures and protocols before gaining entrance into a space, and their intentions will be detected before any bad actions can happen.

The reality is that a significant percentage of gun violence in corporate environments are insiders or former employees. They know the security processes, the vulnerabilities and how to bypass security screening procedures. And it’s also known that these attackers often enter through unconventional pathways, such as side entrances, loading docks, unsecured service areas, or simply by tailgating behind authorized staff.

This is where gunshot detection becomes vital as part of a layered defense strategy. It does not replace other security and screening measures but addresses the gaps between disparate systems. If an assailant shoots a guard at a checkpoint, bypasses screening entirely, or fires into the building from outside, gunshot detection responds instantly, providing real-time information about the location and progression of the threat to first responders or internal security operation centers.

It’s clear that seconds count when people become victims during an active shooter incident. Gunshot detection technology helps law enforcement pinpoint the threat inside or outside a building. The faster responders can neutralize the threat, more lives can be saved, and the sooner business operations can resume.

Regulatory, Legal, and Governance Landscape Has Shifted: Inaction Is Now a Liability

Every CSO preparing to make the case for gunshot detection should understand the reality that boards no longer have the luxury of inaction when credible, protective technology already exists. After violent incidents, a predictable and rigorous investigative process follows, which often includes legal reviews, internal audits, regulatory scrutiny, and in the public sector, politically driven inquiries.

Across all these reviews, the same questions arise. What did you know? When did you know about it? And what did you do about it?

When CSOs can help executive leaders and board members understand these factors, and guide them through the decision-making process, they are far better positioned to secure the resources needed to protect people and assets.

If the organization lacked advanced detection tools, including tools that have been widely available for years, executives may then face painful questions about due diligence. Regulators and outside counsel are increasingly measuring organizations against available security practices, not just industry averages. When a prevention strategy can be circumvented, and there is no secondary layer, that absence becomes part of the investigation.

This is even more acute in industries where infrastructure is critical. In some sectors, gun-related incidents have led to facilities being shut down for 30 days or more while law enforcement conducts its investigation. Gunshot detection can help reduce investigatory time from the first second the incident begins, providing key, verified intelligence that could potentially shorten shutdown times, reducing financial and operational losses by millions of dollars. For CEOs and boards, the governance case becomes unambiguous because ignoring a foreseeable, preventable risk is no longer tenable.

Business Continuity, Operational Impact, and the Financial Cost of Inaction

While safety is the core argument for gunshot detection, business continuity carries enormous weight in board discussions. Active shooter events are among the most financially destructive scenarios an organization can face, not only because of potential loss of life, but because of the cascading operational disruptions.

During a crisis, companies are judged instantly in the court of social media. If emergency response appears slow, chaotic, or uninformed, reputational damage can accumulate in real time. Investors and the public quickly form impressions of whether the company was prepared, whether leadership acted decisively, and whether employee safety was prioritized.

Then comes the operational impact. Facilities shut down. Employees are displaced. Customers lose confidence. Productivity stalls. In industries such as utilities, manufacturing, and logistics, losing a facility for even a week can result in millions of dollars in lost output. When you multiply that by regulatory delays or extended law enforcement holds, the disruption becomes staggering.

Gunshot detection technology can shorten the timeline by giving responders precision that allows them to act faster. Better data also means faster clearance after an event and a shorter turnaround to reopen facilities and recover operations. Some executives frame this as a purely economic argument when if a system reduces shutdown time by even a few days compared to a manual response, it pays for itself almost immediately.

Guiding Executives and Boards Toward Smart Decision-Making

Ultimately, making the case for gunshot detection isn’t just about the technology, it’s about helping leaders understand how this investment fits into a broader strategy of corporate responsibility, risk reduction, and cultural readiness.

CSOs often face a dilemma as to which role they should take in the discussion about gunshot technology. Should the CEO be the one selling this to the board, or should the CSO lead the discussion? CEOs are expected to rely on subject-matter experts for cybersecurity, legal affairs, HR and compliance. Physical security is no different. When safety and security appear on board agendas, as they increasingly do, the CSO must be prepared to articulate the risk picture, the technology landscape, and the return on investment.

A second consideration is where to begin. Installing 150 sensors throughout an entire building may be ideal, but it’s not always feasible. Most organizations start small by focusing on public lobbies, cafeterias, and other large communal spaces. These are statistically the first areas where incidents unfold. Starting small not only reduces the initial investment, but it also builds an internal relationship between the security team, procurement, and leadership, paving the way for future expansion.

Finally, CSOs must be prepared to address objections they may hear from members of the executive leadership team or the board. This can include statements such as “We’ve never had an incident” and “Is this technology spying on employees?” to “How do we know the probability of an attack?” In addition, it’s also important to make sure employees and other stakeholders are familiar with gun violence response training exercises.

The answers to these and other questions lie in transparency, education and practical framing. Gunshot detection does not record conversations or monitor behavior. Its purpose is singular and that is to accelerate emergency response and accurately communicate information about the incident, such as the precise location, the time of the incident and the scale of the attack. And while the probability of an active shooter event cannot be predicted with precision, the escalating FBI statistics and sector-specific case studies make one thing clear and that is that societal violence is rising, and organizations can no longer use unpredictability as a reason for inaction.

In the end, the CSO’s role is both strategic and persuasive. By presenting the data, explaining the gaps in current security layers, and guiding leadership through realistic cost-benefit analysis, CSOs can make a compelling case for technology that not only protects people but strengthens the organization’s resilience, reputation, and operational stability.

https://www.securitymagazine.com/articles/102211-how-csos-can-win-board-support-for-gunshot-detection-technology

Days after Anthropic unveiled Claude Mythos, OpenAI launched GPT-5.4-Cyber, a model optimized for defensive cybersecurity usage. Unlike Anthropic, which chose to limit the Mythos model to a select few partners, OpenAI is scaling access to its Trusted Access for Cyber (TAC) program to thousands of verified, individual defenders as well as hundreds of groups protecting critical infrastructure. 

OpenAI states, “Our goal is to make these tools as widely available as possible while preventing misuse. We design mechanisms which avoid arbitrarily deciding who gets access for legitimate use and who doesn’t. That means using clear, objective criteria and methods — such as strong KYC and identity verification — to guide who can access⁠ more advanced capabilities and automating these processes over time. Ultimately, we aim to make advanced defensive capabilities available to legitimate actors large and small, including those responsible for protecting critical infrastructure, public services, and the digital systems people depend on every day.” 

OpenAI says its intention is to learn by putting the model into the world and improving it over time. “As we better understand both their capabilities and risks, we update our models and safety systems accordingly,” the organization states. 

Security Leaders Weigh In

Tim Mackey, Head of Software Supply Chain Risk Strategy at Black Duck:

As each new cybersecurity focused AI model becomes available, there is one important item for teams to remember. Finding bugs is very different from fixing bugs. And while it’s great to hear that these cybersecurity models are being provided to select researchers to evaluate, unless those select teams work for your company, you’re at the mercy of any tuning performed based on their feedback. One thing is clear, AI cybersecurity is here to stay and will only become more powerful. Security leaders in organizations of all sizes need to take the Anthropic and OpenAI advancements as a call to action focused on where and how AI enabled cybersecurity will benefit their operations and scale to deal with AI enabled adversaries. 

Trey Ford, Chief Strategy and Trust Officer at Bugcrowd:

The race between OpenAI and Anthropic to arm defenders is real, and it matters. The bottleneck was never the AI model, it’s the program architecture that decides which findings get verified, which get triaged, and which actually get fixed before an attacker reverse-engineers the same patch. 

Two frontier models competing on access philosophy doesn’t solve a key problem: the human coordination layer that gives AI-discovered vulnerabilities a path to remediation. What OpenAI’s TAC expansion and Anthropic’s Glasswing both tell us is that AI-discovered vulnerabilities are outpacing the coordinated infrastructure built to remediate them. 

The next generation of security programs won’t be judged on which AI model they use to find vulnerabilities, they’ll be judged on whether they built the program architecture, researcher coordination, and triage capacity to close the gap between machine-speed discovery and human-speed remediation. That’s where the real competitive advantage in cyber defense gets built.

The OpenAI vs. Anthropic access debate is the wrong conversation for security leaders this week. Access philosophy (democratic scale versus controlled rollout) doesn’t change the structural reality. The time to exploit is now measured in hours. 

The CVE system wasn’t built for AI-discovery rates, attackers don’t need Mythos to find what Glasswing couldn’t patch.

The question every CISO should be asking isn’t which model they can access, it’s whether their program was designed to act on what those models find.

Ronald Lewis, Head of Cybersecurity Governance at Black Duck:

There is a notable divergence in how OpenAI and Anthropic have approached the release of AI models with cybersecurity relevant capabilities. OpenAI has largely followed a traditional security tool release pattern, where potentially dangerous capabilities are restricted to trusted operators. Access to its cyber focused model (GPT 5.4 for Cyber) is gated through the Trusted Access for Cyber (TAC) program, which emphasizes vetting, use case justification, and ongoing oversight, and is designed to limit both who can access the model and how it may be used.

Importantly, OpenAI’s models underpin a broad ecosystem of third party security products, many of which are already deployed in sensitive environments. This includes a growing litany of tools across vulnerability management, threat intelligence, incident response, and digital forensics, where AI is used to accelerate analysis rather than execute actions. In this sense, OpenAI’s TAC approach mirrors how advanced forensic platforms have historically been released — restricted to validated professionals, governed by contractual controls, and designed to augment expert judgment rather than replace it.

Anthropic, by contrast, released Mythos in a way that appeared comparatively unconstrained when viewed through the lens of how sensitive security tools — such as forensic analysis software — have traditionally been distributed. Rather than heavily limiting access, Anthropic’s approach places greater emphasis on model alignment and internal self restraint, aiming to limit what the model will choose to do rather than who is allowed to use it. This represents a deliberate departure from the conventional “dangerous tool to trusted operator” paradigm.

While Anthropic’s release strategy drew heightened scrutiny, particularly from policymakers and parts of the security community, it also reflects a different theory of risk management: that sufficiently aligned models, combined with institutional governance and partnerships such as Project Glasswing, can enable broad, high capability use without strict individual level access controls.

In stark contrast, OpenAI’s TAC framework reflects a more conservative, tool centric risk posture. It treats advanced cyber capabilities as regulated instruments, suitable for controlled deployment within professional workflows, much like forensic and investigative tooling, rather than as broadly accessible general purpose systems. The two approaches highlight a fundamental philosophical split: OpenAI prioritizes access restriction and operational oversight, while Anthropic prioritizes alignment, institutional trust, and capability preservation.

Marcus Fowler, CEO of Darktrace Federal: 

OpenAI’s latest work on scaling trusted access for cyber defense, including GPT-5.4-Cyber, is a positive step. Lowering barriers for legitimate security work and enabling more advanced defensive workflows helps put stronger capabilities in the hands of defenders. Expanding access to these kinds of tools, in a controlled way, can help organizations more quickly and effectively identify risk.

However, it’s important to keep developments like these in perspective. Some of the greatest challenges in cybersecurity today are not the identification or analysis of weak code. Most organizations are still constrained by the realities of remediation once an issue is discovered: patch development, testing, deployment, uptime requirements, and resource limitations. Faster or deeper analysis does not automatically translate to faster or more effective risk reduction. The gap between discovery and remediation continues to widen, and organizations are defending against far more than just software vulnerabilities, including identity compromise, misconfigurations, insider threats, and misuse of AI itself.

So, while these kinds of capabilities are a step forward, it remains to be seen how much they will fundamentally change the cybersecurity market. What is less likely to change is the need for strong cybersecurity hygiene and best practices within the network itself, like zero trust, and the need for strong detection, visibility, continuous monitoring, and the ability to respond and contain both known and unknown threats at speed.

https://www.securitymagazine.com/articles/102235-what-are-security-experts-saying-about-openais-gpt-54-cyber

David Cottingham is President of rf IDEAS. Image courtesy of Cottingham 

https://www.securitymagazine.com/blogs/14-security-blog/post/102236-what-the-pitt-gets-right-about-ransomware-and-what-hospitals-cant-afford-to-ignore

Il 7 aprile 2026, mentre Anthropic annunciava Claude Mythos e il Progetto Glasswing – già documentati dalla redazione – qualcosa di altrettanto significativo avveniva in parallelo: oltre sessanta tra i più autorevoli professionisti della sicurezza mondiale si riunivano per produrre in un singolo weekend un documento operativo di risposta, revisionato da oltre 250 CISO a livello globale. Non una dichiarazione di allarme. Un piano d’azione concreto.

Il risultato è “The AI Vulnerability Storm: Building a Mythos-ready Security Program“, versione 9.1, pubblicato il 15 aprile 2026 dalla CSA CISO Community insieme a SANS, OWASP Gen AI Security Project e [un]prompted, con contributi di figure come Jen Easterly, Bruce Schneier, Rob Joyce e Phil Venables. Questo articolo ne analizza i contenuti strategici: il contesto storico verificato, il risk register, le priorità operative e le implicazioni per chi opera nel contesto italiano.

Il collasso dei tempi: i dati che cambiano tutto

Prima di parlare di strategie, è necessario comprendere la dimensione quantitativa del cambiamento. Il punto di riferimento è il Zero Day Clock, progetto di Sergej Epp, CISO di Sysdig, che traccia in tempo reale il Time-to-Exploit (TTE) su oltre 3.500 coppie CVE-exploit tratte da CISA KEV, VulnCheck KEV e XDB.

I numeri sono eloquenti: nel 2018 la mediana del TTE era di 771 giorni. Nel 2024 era già scesa a 4 ore. Nel 2026 è inferiore alle 24 ore, con una proiezione verso i minuti entro il 2028. Il dato più significativo non è la velocità assoluta, ma la struttura: nel 2026 il 67,2% dei CVE attivamente sfruttati viene weaponizzato prima o nel giorno stesso della disclosure pubblica, rispetto al 16,1% del 2018. Due terzi degli sfruttamenti attivi avvengono quando i difensori non hanno ancora nessuna informazione su cui agire.

Questo non è un trend che si stabilizza. Epp lo spiega attraverso il concetto di Verifier’s Law: l’AI accelera l’offesa più della difesa perché la verifica offensiva è binaria e istantanea (l’exploit ha funzionato oppure no) mentre quella difensiva è ambigua, costosa e lenta. Questo vantaggio strutturale per gli attaccanti preesisteva a Claude Mythos; Mythos ne accelera le conseguenze.

Un anno di escalation verificata: la cronologia evento per evento

Il documento CSA ricostruisce una progressione che molti hanno trascurato. Le capacità che hanno reso Mythos notizia globale non sono apparse dal nulla: si sono sviluppate lungo tutto il 2025 e l’inizio del 2026, in una sequenza di eventi tutti verificabili attraverso fonti primarie.

Giugno 2025. XBOW diventa il primo sistema autonomo a raggiungere la vetta della classifica US di HackerOne per guadagno di reputazione nel secondo trimestre 2025, superando ogni ricercatore umano sulla piattaforma con oltre 1.060 vulnerabilità segnalate, revisionate dal team prima della submission secondo le policy HackerOne. Il progetto open-source raptor dimostra simultaneamente che la vulnerability research autonoma è accessibile a chiunque con un agente off-the-shelf. Per un approfondimento sul tema si veda il nostro articolo sull’AI offensiva nel cybercrime.

Agosto 2025. Google Big Sleep, collaborazione tra DeepMind e Project Zero basata su Gemini, segnala le prime 20 vulnerabilità zero-day in software open source, tra cui FFmpeg e ImageMagick, trovate e riprodotte autonomamente dall’AI prima della revisione umana pre-disclosure. Quattro giorni dopo, alla DEF CON 33, la finale di DARPA AIxCC porta i sette team finalisti a scoprire 54 vulnerabilità sintetiche analizzando 54 milioni di righe di codice in quattro ore di calcolo ciascuno, con 18 vulnerabilità reali scoperte in aggiunta.

Settembre 2025. Heather Adkins, VP Security Engineering di Google, e Gadi Evron, CEO di Knostic, pubblicano un avvertimento formale: gli attaccanti stanno convergendo verso un momento di singolarità, con capacità di vulnerability discovery e exploitation autonome stimate a sei mesi di distanza.

13-14 novembre 2025. Anthropic rende pubblica la disruption della campagna del gruppo GTG-1002, attore state-sponsored cinese che aveva utilizzato Claude Code, jailbreakato attraverso tecniche di role-play, per eseguire autonomamente l’80-90% delle operazioni offensive su circa 30 organizzazioni globali, tra cui tech company, istituzioni finanziarie, agenzie governative e produttori chimici. La campagna era stata rilevata a metà settembre. È il primo caso documentato di attacco informatico in larga scala orchestrato principalmente da AI con supervisione umana ridotta a decisioni strategiche chiave.

Gennaio 2026. AISLE scopre autonomamente tutte e 12 le vulnerabilità del rilascio coordinato di OpenSSL del 27 gennaio 2026, tra cui CVE-2025-15467 (stack buffer overflow in CMS AuthEnvelopedData, CVSS 9.8, un rating critico estremamente raro per OpenSSL) e tre bug risalenti al 1998-2000, alcuni dei quali presenti nel codice da prima della nascita stessa di OpenSSL, ereditati da SSLeay. In cinque casi, AISLE ha proposto le patch accettate nel rilascio ufficiale.

Febbraio 2026. Anthropic, usando Claude Opus 4.6, segnala oltre 500 vulnerabilità ad alta severità in software open source ampiamente utilizzato. Sysdig documenta come un attaccante abbia ottenuto accesso amministrativo completo a un ambiente AWS in meno di 8 minuti, partendo da credenziali esposte in un bucket S3 pubblico e usando LLM per automatizzare ricognizione, generazione di codice malevolo e decisioni in tempo reale. L’attacco era avvenuto il 28 novembre 2025. I report di bug al kernel Linux passano da 2 a 10 alla settimana: inizialmente allucinati, ora tutti verificati come reali.

Marzo 2026. La conferenza [un]prompted introduce il Zero Day Clock pubblicamente. Il progetto curl, che aveva chiuso il proprio bug bounty per eccesso di report AI di bassa qualità, inizia a registrare un’inversione: una quota crescente dei report AI è ora di alta qualità e verificata.

7 aprile 2026. Annuncio di Claude Mythos Preview e Progetto Glasswing. Secondo quanto documentato nel blog del Frontier Red Team, il modello aveva prodotto 181 exploit funzionanti sul motore JavaScript di Firefox 147 nelle stesse condizioni in cui Claude Opus 4.6 ne aveva generati soltanto due. La valutazione indipendente dell’AISI ha misurato un tasso di successo del 73% su task CTF di livello esperto, ovvero task che nessun modello riusciva a completare prima dell’aprile 2025. Il modello ha inoltre abbandonato autonomamente la propria struttura di containment durante i test, connettendosi a Internet.

Perché questo non è solo un problema di patching più veloce

La reazione istintiva di fronte a questa cronologia è tattica: accelerare il patching, rafforzare il perimetro. Il documento CSA argomenta che questa risposta, pur necessaria, manca il punto strutturale.

Ogni patch rilasciata diventa simultaneamente un blueprint per l’exploit: i sistemi di AI accelerano il patch-diffing e il reverse engineering delle correzioni in minuti. Le organizzazioni che non integrano AI nei propri processi difensivi non stanno soltanto rimediando più lentamente: stanno operando in un paradigma diverso da quello degli attaccanti.

Il documento identifica anche un problema di governance sistematicamente sottovalutato. I modelli di rischio cyber di molte organizzazioni sono costruiti su assunzioni pre-AI: finestre di patch in settimane, exploit che richiedono competenze specializzate, incidenti con frequenza gestibile. Questi modelli influenzano le decisioni del board, la reportistica finanziaria, le allocazioni di budget. Un CISO che porta al board metriche calcolate per un mondo che non esiste più espone l’organizzazione a un rischio di governance con ricadute finanziarie dirette.

Il risk register CSA: 13 rischi su framework verificati

Il cuore operativo del documento è un risk register bozza strutturato su quattro framework riconosciuti: NIST CSF 2.0, MITRE ATLAS, OWASP LLM Top 10 2025, OWASP Agentic Top 10 2026. Cinque rischi sono critici, sette alti, uno medio.

Tra i rischi critici, due vanno oltre la dimensione tecnica. Il primo è il gap nelle capacità di automazione difensiva: gli attaccanti usano agenti AI per vulnerability discovery, exploit development e orchestrazione degli attacchi, mentre molti team difensivi non dispongono ancora dei controlli di sicurezza per deployarli con fiducia. L’asimmetria risultante è, come sottolinea il documento, tanto culturale quanto tecnologica. Il secondo è il cybersecurity risk model obsoleto: metriche costruite su assunzioni pre-AI potrebbero non riflettere l’esposizione reale, portando a sottofinanziamento dei controlli e a reportistica aziendale inaccurata.

Tra i rischi alti, due meritano attenzione specifica per le organizzazioni italiane. Il rischio normativo legato all’EU AI Act in applicazione da agosto 2026: quando l’AI trova vulnerabilità a costi accessibili, lo standard di ciò che costituisce un ragionevole sforzo difensivo si sposta, con effetti diretti sulla responsabilità dei board. Il deficit di governance: senza meccanismi cross-funzionali tra Security, Legal e Engineering, ogni nuova capacità difensiva rallenta nell’approvazione, dando agli attaccanti un vantaggio temporale strutturale.

Le 11 azioni prioritarie: da questa settimana a 12 mesi

Il documento traduce il risk register in un piano con orizzonti temporali espliciti, organizzato per urgenza e non per facilità di implementazione.

Questa settimana. Le prime due azioni critiche riguardano l’integrazione degli agenti nei processi di sicurezza. La prima consiste nell’orientare agenti LLM verso il proprio codice e le proprie pipeline, partendo da una security review di qualsiasi codice esistente e costruendo verso un auditing completo del CI/CD. La seconda è la formalizzazione dell’uso degli agenti AI in tutte le funzioni di sicurezza come pratica standard, con oversight obbligatorio: i programmi di adozione volontaria non superano le barriere culturali.

Entro 45 giorni. Costruire capacità di triage e deployment per gestire un potenziale flusso di patch da tutti i vendor dell’early access di Glasswing; aggiornare modelli e metriche di rischio per riflettere le nuove tempistiche; difendere gli agenti interni, che introducono rischi di supply chain e di esposizione interna non coperti dai controlli esistenti; inventariare gli asset con priorità ai sistemi internet-facing. Per un approfondimento sui temi di gestione dei zero-day e patch management si rimanda all’analisi dedicata su questo sito.

Entro 6 mesi. Hardening strutturale: egress filtering, segmentazione profonda, Zero Trust, MFA phishing-resistant per tutti gli account privilegiati, minimizzazione del software. Il documento ricorda un dato spesso dimenticato: l’egress filtering ha bloccato ogni exploit pubblico di Log4j.

Entro 12 mesi. Costruire una funzione VulnOps permanente, modellata sul DevOps ma dedicata alla vulnerability research e remediation autonoma, con scoperta continua di zero-day nella propria codebase e in quella di terze parti, con pipeline di remediation automatizzata progettata attorno alla disciplina di triage fin dall’inizio.

Il costo umano che i CISO devono nominare

Il documento CSA adotta un approccio raro per un testo strategico di questo livello: nomina esplicitamente il costo umano della transizione invece di aggirarlo.

I team di sicurezza si trovano in una morsa reale: l’AI aumenta simultaneamente la frequenza delle vulnerability disclosure a cui devono rispondere, il volume di codice prodotto dalle organizzazioni e la superficie d’attacco complessiva. Questo avviene mentre i professionisti operano sotto incertezza circa l’evoluzione dei propri ruoli, inclusi i vulnerability researcher, che si interrogano sul proprio futuro in uno scenario dove i sistemi AI individuano autonomamente classi di vulnerabilità che richiedevano anni di specializzazione.

Il burnout non è un problema di welfare: è un rischio operativo diretto. Le competenze necessarie per navigare questa transizione richiedono anni per essere sviluppate, non sono sostituibili nel breve periodo e sono scarse a livello globale. Il documento indica esplicitamente che la resilienza del team, intesa come workload sostenibile, supporto alla salute mentale e retention, va trattata come priorità strategica con la stessa urgenza delle sfide tecniche.

La risposta proposta non è rinunciare all’expertise umana: è aumentarla. Ogni ruolo nella sicurezza sta diventando progressivamente un ruolo da “AI builder“. La barriera tecnica per iniziare è oggi più bassa di quanto la maggior parte dei professionisti realizzi: il documento afferma che usare un coding agent è oggi più semplice che usare Excel.

Le implicazioni per le organizzazioni italiane

Le implicazioni del documento per il contesto italiano si articolano su tre dimensioni.

Normativa. L’EU AI Act in applicazione da agosto 2026 introduce requisiti di cybersecurity per i sistemi AI che si sovrappongono parzialmente a NIS2 e DORA. La combinazione crea un quadro in cui le organizzazioni devono non solo dimostrare di avere controlli adeguati, ma di aver utilizzato gli strumenti disponibili, inclusi quelli AI, per la scansione difensiva. Il documento suggerisce che non farlo potrebbe configurarsi come negligenza: un’evoluzione dello standard di ragionevole diligenza che i board italiani non hanno ancora incorporato nella propria gestione del rischio.

Strutturale. La Cyber Poverty Line, concetto di Wendy Nather che identifica le organizzazioni prive delle risorse minime per difendersi efficacemente, è particolarmente rilevante in un paese dove la maggioranza delle imprese è PMI. Per queste organizzazioni, il documento indica come risposta prioritaria l’accesso alle reti di difesa collettiva: CSIRT nazionale, ACN, ISAC di settore, gruppi di condivisione dell’intelligence sulle minacce. Il Progetto Glasswing ha dimostrato che la cooperazione coordinata su scala inedita è possibile.

Operativa. Le organizzazioni italiane con esposizione significativa dovrebbero utilizzare le dieci domande diagnostiche del documento come punto di partenza: qual è la posizione reale dell’organizzazione sull’AI? Gli sviluppatori possono usare coding agent? Esiste un gate di sicurezza reale tra code change e produzione? Quando è stata l’ultima volta che l’organizzazione ha effettuato un cambio produttivo guidato dalla sicurezza in meno di 48 ore? Le risposte rivelano il gap tra policy dichiarata e capacità operativa reale.

La finestra d’azione si sta chiudendo

Il documento si chiude con un parallelo storico preciso: il problema del Y2K era una minaccia sistemica con una scadenza definita, e il settore l’ha affrontata attraverso uno sforzo coordinato e disciplinato. La differenza con la sfida attuale non è nella natura del problema: è nella velocità con cui le scadenze si accorciano.

Claude Mythos ha portato in prima pagina capacità già presenti da mesi in forma meno visibile. Il Progetto Glasswing ha aperto una finestra di vantaggio per i difensori, ma è per definizione temporanea: Anthropic stessa stima che capacità comparabili saranno disponibili da altri lab AI entro sei-diciotto mesi. La finestra non è infinita, e ogni azione descritta nel documento può iniziare questa settimana.

Per i dettagli tecnici sulle vulnerabilità specifiche scoperte da Claude Mythos e sulla struttura del Progetto Glasswing, si rimanda all’articolo: Anthropic lancia il Project Glasswing.

https://www.ictsecuritymagazine.com/notizie/claude-mythos-ciso-guida-2026/

La Corte d’Appello di Parigi conferma il blocco DNS: gli intermediari devono agire contro la pirateria

La decisione della Corte d’Appello di Parigi segna un passaggio chiave nella lotta alla pirateria digitale in Europa e ridefinisce, con maggiore chiarezza, il ruolo degli intermediari tecnici nella tutela del diritto d’autore. La vittoria giudiziaria ottenuta da Canal+ contro colossi tecnologici come Cisco, Google e Cloudflare non è soltanto un successo per un singolo operatore televisivo, ma rappresenta un precedente destinato a incidere profondamente sull’intero ecosistema digitale.

La vicenda affonda le radici in un problema noto da anni: l’inefficacia relativa delle tradizionali misure di blocco dei siti pirata. In Francia, come in molti altri Paesi europei, i provider di accesso a Internet (ISP) sono già da tempo obbligati a impedire ai propri utenti di raggiungere determinati domini che trasmettono illegalmente eventi sportivi o contenuti protetti.
Queste misure, però, si sono rivelate facilmente aggirabili. È sufficiente modificare le impostazioni del proprio dispositivo e utilizzare un servizio DNS alternativo (come quelli offerti da Google, Cloudflare o Cisco) per bypassare i blocchi imposti dagli operatori locali.

Canal+ vs Big Tech, come si è arrivati a questa sentenza

Proprio per colmare questa lacuna, nel 2024 Canal+ si è rivolta al Tribunale giudiziario di Parigi, ottenendo l’ordine di estendere l’obbligo di blocco anche ai fornitori di DNS pubblici. Il fondamento giuridico di questa richiesta è l’articolo L. 333-10 del Codice dello sport francese, che consente ai titolari dei diritti di chiedere l’adozione di “tutte le misure proporzionate” a qualsiasi soggetto in grado di contribuire a fermare violazioni “gravi e ripetute” dei diritti di sfruttamento.

Cisco, Google e Cloudflare hanno impugnato la decisione, sostenendo che il loro ruolo fosse puramente tecnico e neutrale. Secondo la loro tesi, un servizio DNS si limita a tradurre un nome di dominio in un indirizzo IP, come una sorta di “rubrica telefonica” di Internet, senza alcun coinvolgimento nella distribuzione dei contenuti illegali.
La Corte d’Appello ha però respinto questa impostazione in cinque distinti procedimenti, chiarendo un punto essenziale: la neutralità tecnica non esonera dall’obbligo di cooperare quando un servizio è concretamente in grado di contribuire a fermare una violazione.

I DNS centrali nel blocco dei siti pirata

Nelle motivazioni, i giudici sono stati espliciti: ciò che rileva non è la responsabilità diretta nella pirateria, ma la capacità di impedire l’accesso a contenuti illeciti. I DNS, consentendo agli utenti di raggiungere siti che trasmettono eventi sportivi senza autorizzazione, svolgono un ruolo che può facilitare la violazione dei diritti e, quindi, rientrano nel perimetro degli obblighi previsti dalla legge.

Anche l’argomento dell’inefficacia delle misure è stato respinto. Google aveva evidenziato come i blocchi possano essere aggirati tramite VPN o altri sistemi. La Corte ha ribadito un principio ormai consolidato nel diritto europeo: il fatto che una misura non sia assolutamente efficace non la rende inutile. È sufficiente che contribuisca a ridurre l’accesso illegale, anche solo per una parte degli utenti.

Gli intermediari dovranno implementare i blocchi e sostenere i costi

Particolarmente rilevante è poi il tema dei costi. Cisco ha sostenuto che l’implementazione di un blocco DNS geolocalizzato richiederebbe 64 settimane/uomo di lavoro ingegneristico. I giudici hanno ritenuto questa stima non adeguatamente documentata e, soprattutto, poco credibile alla luce del fatto che la stessa azienda offre già servizi di filtraggio DNS in ambito aziendale. In definitiva, la Corte ha stabilito che gli intermediari dovranno non solo implementare i blocchi, ma anche sostenerne i costi.

Questa decisione assume un’importanza strategica perché rafforza l’idea di una responsabilità diffusa nella filiera digitale. Non si tratta di attribuire colpe, ma di costruire un sistema in cui tutti gli attori (dai provider di accesso ai servizi infrastrutturali) contribuiscano alla tutela dei diritti. È un approccio coerente con l’evoluzione normativa europea, che negli ultimi anni ha progressivamente ampliato gli obblighi di cooperazione degli intermediari.

Sul piano economico, la lotta alla pirateria non è una questione marginale. La trasmissione illegale di eventi sportivi, in particolare, genera perdite significative per broadcaster e detentori dei diritti, mettendo a rischio investimenti, occupazione e sostenibilità del settore. I diritti audiovisivi rappresentano una delle principali fonti di finanziamento per lo sport professionistico: la loro erosione attraverso la pirateria incide direttamente sull’intero sistema.

Una vittoria per Canal+ che ora punta al blocco deli indirizzi IP, una misura che arriverà in Francia entro l’anno

La sentenza della Corte d’Appello di Parigi apre ora la strada a ulteriori sviluppi. Canal+ ha già annunciato che questa vittoria si inserisce in una strategia più ampia, che includerà anche il blocco degli indirizzi IP. In Francia, questa misura dovrebbe essere introdotta entro l’anno, con una prima sperimentazione prevista in occasione del torneo di Roland Garros e un’applicazione su larga scala in vista dei grandi eventi sportivi internazionali.

In parallelo, restano aperti i contenziosi contro i fornitori di VPN, altro anello cruciale nella catena della distribuzione illegale. Se anche questi dovessero essere coinvolti in obblighi di blocco, il modello francese potrebbe diventare un riferimento per altri Paesi europei.

In definitiva, la decisione di Parigi segna un cambio di paradigma: la lotta alla pirateria non si limita più ai soli fornitori di accesso, ma si estende a tutti i soggetti che, anche indirettamente, rendono possibile l’accesso ai contenuti illegali. Un principio destinato a ridefinire gli equilibri tra libertà della rete, innovazione tecnologica e tutela dei diritti.

Leggi le altre notizie sull’home page di Key4biz

https://www.key4biz.it/pirateria-audiovisiva-canal-vince-contro-cloudflare-google-e-cisco/570002/

App della Commissione Ue

Ursula von der Leyen ha presentato ieri la prima applicazione di age verification ufficiale targata Ue e l’ha messa a disposizione degli stati membri che desiderano introdurre un’età minima per l’accesso ai social network.  

Si tratta in sostanza di uno strumento simile all’applicazione introdotta dalla Commissione per garantire la libera circolazione durante la pandemia di Covid-19 alle persone vaccinate o testate negative, che all’epoca si rivelò un grosso successo adottata da 78 paesi in quattro continenti. Lo scrive La Matinale Européenne in un’analisi approfondita comparsa oggi.

Precisazioni del Commissario Agcom Massimiliano Capitanio su Linkedin dopo l’annuncio della App da parte della presidente Ursula von der Leyen

Il timing non sembra casuale

Il timing di questo annuncio della presidente della Commissione non è casuale: Emmanuel Macron ha convocato in materia una videoconferenza con diversi leader europei. L’obiettivo è appunto quello di fare pressione su Ursula von der Leyen affinché agisca sulla verifica dell’età minima di accesso ai social. La Francia è il ​​primo Stato membro ad aver notificato alla Commissione l’intenzione di adottare una legge che vieti l’accesso ai social network ai minori di 15 anni. Dopo l’annuncio fatto nel suo discorso sullo Stato dell’Unione nel settembre 2025, von der Leyen ha agito con molta lentezza su questo terreno. L’età digitale minima è un terreno scivoloso: un passo falso e la Presidente della Commissione potrebbe inciampare. Lo stesso vale per la sua attuazione.

Intenzioni lodevoli per la age verification

Sia ben chiaro, che le intenzioni di von der Leyen sono lodevoli. “Credo fermamente che siano i genitori, non gli algoritmi, a dover educare i nostri figli”, ha detto nel suo discorso sullo Stato dell’Unione nel settembre 2025, annunciando la creazione di un gruppo di esperti incaricato di consigliarla sull’età minima per l’accesso ai social media. “Troppo spesso, madri e padri si sentono impotenti e indifesi, come se stessero annegando nello tsunami creato dalle grandi aziende tecnologiche che sta invadendo le loro case”, ha aggiunto.

Timori dei genitori

“Questi genitori temono che, semplicemente scorrendo i feed, i loro figli possano essere esposti a tutta una serie di pericoli: molestie online, contenuti per adulti, incitamento all’autolesionismo e algoritmi che sfruttano le vulnerabilità dei bambini con l’obiettivo esplicito di creare dipendenza”, ha aggiunto, citando l’Australia, che aveva appena annunciato il divieto per i minori di 16 anni, come possibile modello. Le stesse idee sono state ribadite ieri: “Nell’UE i diritti dei bambini vengono prima degli interessi commerciali”, ha detto von der Leyen.

Corsa a ostacoli per von der Leyen

Ma al di là della retorica di prammatica, von der Leyen si trova di fronte ad una serie di ostacoli e di resistenze all’introduzione di un’età minima di accesso al digitale a livello Ue.

Italia capofila del progetto Ue di age verificaton

L’Italia non si muove da sola. In parallelo, partecipa a un progetto pilota europeo insieme a Francia, Spagna, Grecia e Danimarca per sviluppare un sistema di verifica dell’età valido per i social network.

L’idea è quella di un’app interoperabile, integrata nel futuro portafoglio digitale europeo, atteso entro la fine del 2026. L’obiettivo è ambizioso: consentire alle piattaforme di sapere se un utente è maggiorenne o meno, senza conoscere la sua identità, in linea con GDPR e Digital Services Act.

Il Sottosegretario alla Trasformazione Digitale Alessio Butti ha recentemente detto che per la “verifica età minori sul social con l’App IO sarebbe già possibile, ma serve una norma”. Insomma, in Italia sarebbe già fattibile.

Paesi nordici e baltici scettici sull’age verification

Gli Stati membri che hanno annunciato una legislazione in materia sono Francia, Spagna, Austria, Grecia, Irlanda, Danimarca e Paesi Bassi. Anche l’Italia sembra essere favorevole. Tuttavia, diversi Paesi, in particolare alcuni nordici e baltici, si oppongono fermamente. A loro avviso, il livello di alfabetizzazione digitale di genitori e figli è tale da consentire loro di riconoscere e affrontare i pericoli posti dai social media. Impedire ai bambini di accedere a queste piattaforme li priverebbe di informazioni e conoscenze, scoraggiando le loro future capacità innovative. Non a caso, la vicepresidente della Commissione responsabile per gli affari digitali, la finlandese Henna Virkkunen, si mostra scettica sull’introduzione di un’età minima per l’accesso ai social media.

Posizioni diverse, von der Leyen ha preso tempo

Stretta tra le pressioni di Macron e Sánchez da un lato, e quelle di Virkkunen e di numerosi esperti dall’altro, von der Leyen ha temporeggiato. Il gruppo di esperti promesso a settembre è stato creato solo a marzo. Si riunirà oggi per la seconda volta. Le sue raccomandazioni saranno presentate in estate. Solo allora la Presidente della Commissione deciderà se proporre un’iniziativa legislativa per l’intera UE. Nel frattempo, gli Stati membri hanno iniziato ad agire unilateralmente e in modo disorganizzato. Francia e Grecia vogliono fissare l’età minima per l’accesso alle informazioni digitali a 15 anni, la Spagna a 16. In Italia, alcune forze politiche vorrebbero 14 anni, come in Austria.

Come funziona all’estero la age verification?

Quale legislazione dovrebbe applicarsi a un minore che viaggia nell’UE? La legislazione del paese in cui si trova? La legislazione del suo paese di cittadinanza? La legislazione del suo paese di residenza? O la legislazione relativa all’indirizzo IP da cui si connette?

Rischio frammentazione con leggi nazionali di age verification

In ogni caso, il risultato rischia di essere “la frammentazione del mercato unico digitale”, ha spiegato un funzionario della Commissione a La Matinale Européenne. Le piattaforme potrebbero essere costrette ad applicare ventisette regole diverse, anziché un’unica regola europea. Per questo motivo gli Stati membri devono notificare in anticipo i progetti di legge che introducono un’età minima per l’accesso al digitale. “Queste leggi nazionali sarebbero contrarie al diritto europeo”, ha ammesso il funzionario. Von der Leyen ha riconosciuto la necessità di armonizzazione a livello UE. Ma la questione è troppo delicata dal punto di vista politico per spingere la Commissione a censurare i singoli Stati membri. È meglio temporeggiare.

Anche la app Ue di age verification è una mossa tattica? App pronta ma non ancora disponibile per gli utenti finali

Anche l’app per la verifica dell’età presentata ieri da von der Leyen e Virkkunen rientra in questa tattica dilatoria. In assenza di una proposta legislativa europea, la Commissione sta offrendo uno strumento tecnico agli Stati membri che desiderano introdurre un’età minima digitale. Ieri von der Leyen ha dichiarato che l’app era “tecnicamente pronta”. Tuttavia, non è ancora disponibile per gli utenti finali. In realtà, non si tratta di un’app completamente funzionante, bensì di una bozza che gli operatori pubblici e privati ​​possono utilizzare come base per integrare il sistema nei portafogli digitali nazionali o per sviluppare le proprie applicazioni.

Standard open source

Gli standard sono elevati in termini di tecnologia open source e protezione dei dati. Non vi sarà alcun obbligo di adottarla, per il momento. Tuttavia, le principali piattaforme saranno incoraggiate a farlo, poiché si tratta del miglior sistema di verifica dell’età attualmente disponibile, requisito previsto dalla legge sui servizi digitali (DSA) per la fornitura di determinati servizi.

App della Commissione a rischio boomerang politico?

L’app della Commissione rischia di ritorcersi contro di essa sul piano politico. Per verificare l’età, gli utenti dovranno scaricare un’app sul proprio smartphone (pubblica o privata, purché basata sulla tecnologia della Commissione), dare il proprio consenso più volte (ad esempio, per l’utilizzo dei dati personali, che rimarranno comunque riservati), utilizzare la propria carta d’identità due volte (prima per fotografare il numero di serie, poi per far riconoscere il chip del documento dallo smartphone) e infine sottoporsi al riconoscimento facciale. Questa procedura dovrà essere ripetuta una volta al mese.

App macchinosa?

Questo macchinoso processo di verifica non ha nulla a che vedere con l’esperienza online che gli utenti hanno su piattaforme, app e siti web che richiedono un’età minima. A meno che non creino un account – il che consentirebbe alla piattaforma di memorizzare e utilizzare i loro dati personali – gli utenti dovranno autenticare la propria età ogni volta che effettuano l’accesso. Questo requisito si applicherà non solo ai siti pornografici, ma a tutti i siti soggetti a obblighi legali in materia di età. “Anche a quelli dei piccoli player”. “L’esperienza sarà peggiore del dare il consenso all’uso dei cookie. Potrebbe essere scoraggiante. Ma dobbiamo decidere fino a che punto noi, in quanto adulti, siamo disposti a collaborare per proteggere i nostri figli”.

App facilmente aggirabile?

L’app della Commissione presenta anche delle possibili falle che potrebbero consentire agli utenti di aggirare la verifica dell’età. Per evitarla, basterà connettersi tramite VPN dall’esterno dell’UE o dagli Stati membri che decidono di imporre un’età minima per l’accesso ai social media. Gli smartphone dovranno essere dotati di tecnologia NFC, la stessa utilizzata per i sistemi di pagamento. E non dimentichiamo le teorie del complotto: in un momento in cui la fiducia nell’uso della tecnologia da parte delle autorità pubbliche è ai minimi storici, l’estrema destra, l’estrema sinistra, i libertari e l’amministrazione Trump saranno pronti a denunciare un nuovo Grande Fratello imposto dai “burocrati di Bruxelles” (come li definisce JD Vance).

Rischio deresponsabilizzazione delle piattaforme?

Introdurre un’età minima per l’accesso ai social media comporta un altro rischio: “Disconnetterà le piattaforme dai rischi che corrono i bambini e gli adolescenti”, ci ha detto un altro funzionario della Commissione. TikTok, Instagram, X, Facebook e Snapchat potrebbero sentirsi liberi di pubblicare qualsiasi contenuto vogliano perché, secondo la legge, i minori di una certa età non possono accedere alle loro piattaforme. Tuttavia, esiste una soluzione senza ricorrere a una maggioranza digitale.

Basterebbe il DSA

Secondo il DSA (Digital Security Act), le piattaforme hanno obblighi molto chiari da rispettare per proteggere i minori: rispetto della privacy, sicurezza, riduzione dei rischi associati a contenuti illegali o dannosi, protezione contro le pratiche che creano dipendenza e divieto di pubblicità mirata. “Basterebbe semplicemente applicare il DSA in modo molto più rigoroso”, ci ha detto un terzo funzionario. Sarebbe anche sufficiente educare i genitori affinché non lascino che i loro figli vengano travolti dallo tsunami delle grandi aziende tecnologiche.

Leggi le altre notizie sull’home page di Key4biz

https://www.key4biz.it/app-per-lage-verification-in-ue-paesi-divisi-ma-litalia-e-capofila/569978/

La startup attiva nel nucleare avanzato X-energy accelera verso la Borsa e prepara una raccolta fino a 800 milioni di dollari grazie l’aumento della domanda elettrica legata ai data center AI e ai processi di elettrificazione su larga scala.

Tra i principali sostenitori di X-energy c’è Amazon, che ha guidato un round da 500 milioni di dollari e si è impegnata ad acquistare fino a 5 gigawatt di energia nucleare dalla società entro il 2039. Un segnale significativo di come le big tech stiano cercando fonti energetiche stabili e scalabili per sostenere l’espansione dell’intelligenza artificiale.

I reattori nucleari ad alta temperatura il nuovo futuro dei data center?

X-energy sviluppa reattori nucleari di nuova generazione, basati su tecnologia a gas ad alta temperatura. Il sistema utilizza uranio incapsulato in sfere di ceramica e carbonio, raffreddate da elio. Il calore prodotto viene poi trasferito a turbine a vapore per generare elettricità.

Il combustibile impiegato, noto come TRISO, è considerato più sicuro rispetto alle configurazioni tradizionali, anche se la sua diffusione è ancora limitata.

Nonostante l’interesse crescente, il settore del nucleare avanzato resta caratterizzato da forti incertezze. Le startup del settore puntano su reattori modulari di dimensioni ridotte (SMR), con l’obiettivo di superare i limiti dei modelli tradizionali. Tuttavia, nessuna di queste aziende ha ancora costruito una centrale operativa, anche se diverse stanno cercando di rispettare una scadenza fissata dall’amministrazione Trump per l’avvio dei primi impianti.

Anche una volta raggiunta la cosiddetta “criticità” — il punto in cui la reazione nucleare diventa autosufficiente — il percorso verso impianti commercialmente sostenibili resta lungo. La produzione su larga scala potrebbe ridurre i costi, ma i benefici richiedono anni per concretizzarsi.

Costi e sostenibilità economica

X-energy prevede di ridurre i costi del 30% rispetto ai primi impianti una volta raggiunta la maturità produttiva, ma il nodo resta il costo iniziale del primo reattore. È proprio questo elemento che, secondo gli analisti, potrebbe determinare il successo o il fallimento del progetto.

A complicare il quadro si aggiunge una disputa brevettuale ancora aperta. La società ha dichiarato di essere coinvolta in un contenzioso con Ultra Safe Nuclear Corporation, fallita nel 2024, accusata di aver violato brevetti legati alla fabbricazione del combustibile.

I data center per l’intelligenza artificiale richiedono quantità crescenti di elettricità e spingono verso soluzioni alternative, tra cui il nucleare. Ma ancora si tratta di una fase iniziale: negli Usa fino alla metà delle nuove infrastrutture previste entro il 2026 potrebbe subire ritardi o cancellazioni. Pesano supply chain, costi hardware, vincoli energetici e tensioni geopolitiche ma anche locali.

Leggi le altre notizie sull’home page di Key4biz

https://www.key4biz.it/nucleare-e-data-center-ai-x-energy-punta-allipo-da-800-milioni-con-il-sostegno-di-amazon/569966/