Chat Control 2.0, gli esiti incerti della contestata proposta di regolamento europeo

Lunedì 29 giugno l’Unione Europea è tornata a discutere del Regolamento 2022/0155 CSAR (Child Sexual Abuse Regulation), più noto come “Chat Control 2.0”.

Presentato nel 2022, negli anni il testo è stato oggetto di numerosi round negoziali tra Parlamento, Consiglio e Commissione UE; allo stesso tempo è finito al centro di accese critiche legate al rischio di avallare forme di sorveglianza digitale sugli utenti.

Per meglio inquadrare l’esito dell’incontro, nel presente articolo ripercorriamo l’iter normativo, i contenuti e le principali criticità della proposta di regolamento.

L’iter della proposta CSAR

Il passaggio iniziale risale all’11 maggio 2022, quando la Commissione Europea annunciò di voler introdurre un regolamento mirato a “prevenire e combattere l’abuso sessuale sui minori”.

Alla luce dell’evoluzione delle tecnologie e del mutato panorama di rischio, la proposta si affiancava alla precedente Direttiva 2011/93 e abrogava il Regolamento 2021/1232 – noto come “Chat Control 1.0” – che prevedeva una deroga temporanea alla direttiva ePrivacy del 2002, per consentire agli erogatori dei servizi digitali la scansione volontaria delle conversazioni sulle proprie piattaforme a fini di rilevazione e rimozione del Child Sexual Abuse Material (CSAM).

La nuova formulazione assegnava ai gestori dei servizi un ruolo più stringente, prevedendo uno scanning non più volontario ed episodico ma preventivo e massivo, allo scopo di contrastare più efficacemente lo CSAM e i fenomeni di grooming.

Negli anni seguenti, tuttavia, diversi pareri e relazioni tecniche degli organi comunitari avrebbero evidenziato le possibili insidie di simili ingerenze nelle comunicazioni private dei cittadini.

Nonostante tali criticità, inizialmente gran parte degli Stati membri annunciò il proprio favore per l’adozione della normativa; ma in seguito si diffusero crescenti dubbi verso le misure proposte, tanto che le consultazioni avvenute nell’ottobre 2025 terminarono con esito negativo (mentre il 26 novembre il Consiglio avrebbe poi raggiunto una posizione comune).

Dopo una parziale revisione del testo, svoltasi sotto la Presidenza danese del Consiglio UE, alla fine del 2025 si è quindi aperto un processo negoziale – tuttora in corso – che ha coinvolto Parlamento, Consiglio e Commissione europea.

L’iter ha registrato un’evoluzione fondamentale a marzo, quando la Commissione Giustizia, Libertà civili e Affari interni (LIBE) ha respinto la deroga provvisoria alla direttiva ePrivacy con 28 voti favorevoli e 38 contrari; pochi giorni dopo, anche il Parlamento si sarebbe pronunciato a sfavore, portando alla scadenza della proroga il 3 aprile 2026.

Il nodo della crittografia end-to-end

Uno dei principali nodi critici della proposta risiede nella previsione di una sorveglianza preventiva generalizzata, che permetterebbe alle aziende tech di accedere a chat di messaggistica ed email di milioni di persone senza necessità di alcun controllo giudiziario, così violando il principio di riservatezza della vita privata sancito dall’art. 8 della Convenzione Europea sui Diritti Umani (CEDU).

Questo richiederebbe di verificare i messaggi mediante il client-side scanning, analizzando i contenuti direttamente sul dispositivo dell’utente prima di applicare la crittografia end-to-end (E2E); ne deriverebbero serie implicazioni anche per le aziende responsabili dei servizi, costrette a monitorare costantemente i contenuti condivisi dai propri utenti alla ricerca di materiali illeciti.

È ovvio che l’unico modo per garantire tale monitoraggio su un’immensa mole di conversazioni sarebbe implementare forme di scansione automatizzata delegate a sistemi basati sull’AI, con quanto ne consegue in termini di falsi positivi ed errori dagli effetti potenzialmente molto gravi per la vita e la reputazione dei cittadini coinvolti, come del resto aveva rilevato sin da subito il parere congiunto EDPB–EDPS n. 4/2022.

Anche l’imposizione di meccanismi di age verification avrebbe serie conseguenze in termini di identificazione e profilazione degli utenti, portando a una sostanziale cancellazione del diritto all’anonimato online.

Soprattutto, minare la crittografia end-to-end significherebbe esporre a seri pericoli gruppi di persone già particolarmente vulnerabili alla sorveglianza digitale: come giornalisti investigativi, oppositori politici e perfino vittime di cyber stalking, che non potrebbero più contare su alcuna garanzia circa la segretezza delle proprie comunicazioni online.

Gli attuali contenuti: “Chat Control 2.0”

Allo scopo dichiarato di proteggere i minori da ogni forma di abuso, il testo del regolamento abilita il mass scanning preventivo sulle email e i messaggi privati dei cittadini, rischiando di fatto di introdurre forme di sorveglianza digitale generalizzata sugli utenti europei.

Dopo la revisione avvenuta alla fine del 2025 si è tornati a parlare, come già nel Chat Control 1.0, di “scansione volontaria” e non obbligatoria; tuttavia, si continuano a prevedere misure obbligatorie di risk assessment (Art. 3) e risk mitigation (Art. 4) a carico delle aziende erogatrici di servizi di comunicazione digitale.

Si sancisce poi l’obbligo di introdurre meccanismi di verifica dell’età per i servizi di hosting e comunicazione, richiedendo l’esibizione di un documento d’identità o l’utilizzo di credenziali biometriche per accedere a servizi e piattaforme online.

Nel regolamento viene infine anticipata la costituzione di un nuovo centro di controllo europeo incaricato di coordinare le attività di prevenzione e contrasto della violenza sui minori, con cui le aziende tecnologiche saranno tenute a collaborare attivamente.

La posizione dell’Italia sul Regolamento

Inizialmente tra i sostenitori della proposta, negli ultimi due anni l’Italia ha progressivamente sfumato la propria posizione sul regolamento CSAR.

Tuttavia, pur continuando a dichiararsi contraria alla previsione di forme di scansione massiva sulle comunicazioni private, nel Coreper di novembre il nostro Paese ha scelto non di esprimere un voto contrario ma di astenersi, come ha fatto anche la Germania.

Una scelta ambigua, che lascia aperte numerose domande sulla reale posizione del governo circa una normativa che potrebbe impattare profondamente la privacy dei propri cittadini.

Le iniziative della società civile

Com’era prevedibile, nei quasi cinque anni trascorsi dalla sua proposizione il Regolamento non è rimasto esente da valutazioni negative.

Le più accese provengono dalle associazioni per i diritti digitali, le quali hanno lanciato una petizione contro l’approvazione della normativa, evidenziando che prevedere una scansione generalizzata su email e servizi di messaggistica equivale a sancire la fine della privacy come concepita in seno all’Unione Europea.

Anche numerosi esperti di cybersecurity si sono pronunciati contro la proposta, ricordando come sancire l’aggirabilità della crittografia E2E significhi, tra le altre cose, aprire la porta ad ogni tipo di vulnerabilità sui dispositivi degli utenti.

E se i proponenti parlano di un “vuoto normativo” da colmare con urgenza, gli oppositori continuano a ricordare che esistono altre strade per combattere un fenomeno odioso come lo CSAM, senza necessariamente imporre a milioni di cittadini incolpevoli di rinunciare alla privacy delle loro comunicazioni digitali.

Gli esiti dell’incontro del 29 giugno

Qualora nel trilogo di lunedì 29 giugno 2026 fosse stato raggiunto un accordo, l’adozione formale del regolamento CSAR sarebbe probabilmente arrivata entro la fine di luglio.

L’incontro non ha invece saputo individuare una posizione comune su tutti i punti in discussione, avendo come esito un’ennesima proroga dei lavori.

Si conferma l’esistenza di un consenso diffuso rispetto alla maggior parte delle misure proposte, come le definizioni del fenomeno da contrastare o le funzioni del futuro Centro Europeo per la protezione dei Minori; restano tuttavia irrisolti gli aspetti relativi alla scansione automatica dei messaggi privati, da sempre il punto più contestato della normativa.

Intanto, secondo quanto riportano alcune fonti (italiane ed estere), il Coreper avrebbe nuovamente calendarizzato un incontro per procedere a revisionare la versione del regolamento in cui era prevista la scansione delle comunicazioni su base volontaria oggetto della proroga scaduta ad aprile, ossia il noto “Chat Control 1.0”.

Ciò significherebbe aggirare la volontà espressa dal Parlamento per riproporre una proposta ormai definitivamente decaduta: di fatto una lesione senza precedenti ai meccanismi democratici comunitari, che – se confermata – non mancherà di suscitare nuove critiche e reazioni, ulteriormente complicando la già lunga e travagliata strada per l’approvazione del regolamento CSAR.

Condividi sui Social Network:

https://www.ictsecuritymagazine.com/notizie/chat-control-2-0/




Le agenzie Usa non più indipendenti. Schrems all’UE: “Cancellare l’accordo sul Data Privacy Framework”

Privacy, la sentenza della Corte Suprema Usa accresce il controllo del Presidente degli Stati Uniti sulle Agenzie federali

È un vero e proprio terremoto quello che sta facendo traballare sensibilmente il quadro regolatorio che definiva il trasferimento di dati tra Union europea (Ue) e Stati Uniti. La decisione della Corte Suprema degli Stati Uniti nel caso Trump v. Slaughter potrebbe aprire una nuova fase di forte tensione nei rapporti tra Washington e Bruxelles sul delicatissimo tema della circolazione dei dati personali. Con una pronuncia destinata ad avere effetti ben oltre il diritto amministrativo americano, i giudici hanno stabilito che “il Presidente degli Stati Uniti può rimuovere i componenti della Federal Trade Commission (FTC)”, superando un orientamento giurisprudenziale che per quasi novant’anni aveva garantito l’indipendenza dell’autorità federale.

La decisione rappresenta uno dei più significativi rafforzamenti del potere presidenziale nella storia recente degli Stati Uniti e si inserisce nell’affermazione della cosiddetta unitary executive theory, secondo la quale “tutte le autorità dell’esecutivo devono rispondere direttamente al Presidente”.

Negli USA molte funzioni cruciali sono affidate a enti come FTC, FCC e SEC, che tradizionalmente operano con una certa distanza dal potere presidenziale. La teoria unitary executive sostiene invece che questi organismi debbano rispondere più direttamente al presidente, quindi il tema torna centrale ogni volta che un’amministrazione prova a rafforzare il proprio controllo sull’apparato federale.

È venuto il momento di far saltare il Data Privacy Framework?

La pronuncia ha però immediatamente assunto una rilevanza internazionale. Secondo noyb – European Centre for Digital Rights, l’organizzazione fondata dall’attivista austriaco Max Schrems, vengono infatti meno alcuni dei presupposti giuridici sui quali la Commissione europea ha costruito il Data Privacy Framework, il regime che dal 2023 consente il trasferimento dei dati personali dall’Unione europea agli Stati Uniti.

Per comprendere la portata della questione bisogna tornare indietro di oltre venticinque anni. Dal 1995 il diritto europeo limita il trasferimento dei dati personali verso Paesi terzi che non garantiscono un livello di tutela sostanzialmente equivalente a quello assicurato dall’Unione. Nel corso degli anni Bruxelles ha cercato più volte di costruire un meccanismo stabile con Washington per consentire alle imprese europee di utilizzare servizi cloud e piattaforme statunitensi senza violare il Regolamento generale sulla protezione dei dati (GDPR).

I primi due tentativi, Safe Harbor e successivamente Privacy Shield, sono stati però annullati dalla Corte di giustizia dell’Unione europea nelle celebri sentenze Schrems I e Schrems II, proprio in seguito ai ricorsi promossi da Max Schrems. Secondo i giudici europei, il sistema statunitense non offriva garanzie sufficienti contro la sorveglianza governativa né strumenti di ricorso effettivi per i cittadini europei.

Nel 2023 la Commissione europea ha quindi approvato un terzo accordo, il Data Privacy Framework, ritenendo che le modifiche introdotte dall’amministrazione Biden fossero sufficienti a garantire un livello di protezione adeguato. È proprio questo impianto che oggi viene contestato da noyb.

Serve un’autorità per la protezione dei dati personali “veramente indipendente

Secondo l’organizzazione, il diritto primario dell’Unione europea impone che la vigilanza sulla protezione dei dati personali sia affidata a un’autorità realmente indipendente. Il riferimento è all’articolo 16, paragrafo 2, del Trattato sul funzionamento dell’Unione europea e all’articolo 8, paragrafo 3, della Carta dei diritti fondamentali dell’Unione europea. Per questo motivo, sostiene noyb, la Commissione europea ha individuato nella Federal Trade Commission il soggetto incaricato di garantire il rispetto degli impegni assunti dagli Stati Uniti, richiamandone l’indipendenza ben 259 volte nella decisione di adeguatezza che disciplina il Data Privacy Framework.

La sentenza della Corte Suprema, tuttavia, cambia radicalmente questo presupposto. Se la FTC non può più essere considerata indipendente dal potere esecutivo, viene meno, secondo l’interpretazione di noyb, uno dei pilastri giuridici sui quali Bruxelles ha fondato la propria valutazione.

Max Schrems afferma: “L’elemento fondamentale è che l’assetto costituzionale dell’Unione europea richiede che la vigilanza sia affidata a un’autorità indipendente. L’unico modo per modificare questo principio sarebbe un voto unanime di tutti gli Stati membri dell’Unione europea per cambiare i Trattati dell’UE”.

Dal momento che negli Stati Uniti non esistono più autorità indipendenti, chiediamo alla Commissione europea di ritirare in modo ordinato la decisione di adeguatezza relativa agli Stati Uniti”, ha sottolineato l’esperto austriaco.

Nella ricostruzione di noyb, non sarebbe compromesso soltanto il ruolo della Federal Trade Commission. Anche il cosiddetto Data Protection Review Court, l’organismo creato dall’amministrazione Biden per offrire ai cittadini europei un rimedio contro eventuali attività di sorveglianza da parte delle autorità statunitensi, viene considerato giuridicamente fragile. Pur chiamandosi “Court”, ricorda l’organizzazione, si tratta infatti di un organismo interno al Department of Justice la cui indipendenza deriva esclusivamente da un ordine esecutivo emanato dall’ex Presidente Joe Biden, modificabile in qualsiasi momento dal Presidente Donald Trump.

Schrems (noyb): “Chiediamo una progressiva uscita dalla condizione di dipendenza dai servizi cloud americani

Le conseguenze prospettate da noyb sarebbero molto ampie. Secondo l’organizzazione, la Commissione europea dovrebbe avviare un ritiro ordinato della decisione di adeguatezza e preparare una progressiva uscita dalla dipendenza dai servizi cloud statunitensi.

Anche seguendo la logica della stessa Commissione europea, il fondamento di qualsiasi accordo tra Unione europea e Stati Uniti per il trasferimento dei dati è ormai venuto meno”, ha precisato Schrems, che aggiunge: “Chiediamo alla Commissione di avviare un’uscita ordinata dal cloud statunitense: non sarà semplice, ma purtroppo è inevitabile. La Commissione ha costruito un castello di carte giuridico sotto la pressione dell’industria. Ora che quel castello sta chiaramente crollando, deve assumersi le proprie responsabilità”.

Sul piano strettamente giuridico, però, gli effetti non sono immediati. La stessa noyb riconosce che il Data Privacy Framework rimane formalmente in vigore finché la Commissione europea non deciderà di revocare la propria decisione oppure finché questa non verrà eventualmente annullata dalla Corte di giustizia dell’Unione europea. Nel frattempo continueranno a essere possibili i trasferimenti di dati fondati sulla decisione di adeguatezza attualmente vigente.

Diversa, invece, potrebbe essere la situazione per le imprese che trasferiscono dati utilizzando altri strumenti previsti dal GDPR, come le Standard Contractual Clauses (SCCs) o le Binding Corporate Rules (BCRs). Secondo noyb, queste organizzazioni dovranno aggiornare le proprie valutazioni d’impatto alla luce del nuovo quadro giuridico statunitense e potrebbero trovarsi nella condizione di dover riconsiderare la liceità dei trasferimenti.

L’organizzazione ha già inviato una lettera formale alla Commissione europea chiedendo l’avvio della procedura di revoca del Data Privacy Framework e ha annunciato che nelle prossime settimane promuoverà una nuova azione giudiziaria con l’obiettivo di ottenere dalla Corte di giustizia dell’Unione europea l’annullamento dell’accordo, un procedimento che potrebbe richiedere due o tre anni.

Novità su Google, per aggiungere Key4Biz tra le tue fonti preferite, clicca qui

Aggiungi Key4Biz tra le tue fonti preferite

Leggi le altre notizie sull’home page di Key4biz

https://www.key4biz.it/trasferimento-dati-la-corte-suprema-usa-silura-il-trattato-con-lue-non-piu-rimandabile-lindipendenza-digitale/578128/




Mobile application security: l’app gira in casa del nemico

Mobile application security è la sicurezza di un tipo di software che ha una caratteristica unica e spesso rimossa: gira su un dispositivo che chi lo sviluppa non controlla, e che in molti casi è proprio nelle mani di chi vorrebbe attaccarlo. Il codice di un server vive in un data center sorvegliato; un’app mobile vive su un telefono che può essere modificato per ottenere privilegi di amministratore, ispezionato mentre è in esecuzione, decompilato per leggerne l’interno, e il cui archivio locale può essere estratto. È una differenza che cambia tutto, perché ribalta l’assunzione di base su cui poggia gran parte della sicurezza applicativa.

Il peccato originale, in questo campo, è trattare l’app mobile come un client fidato. È l’errore di chi ragiona come per il web, dove il browser dialoga con un server che resta il custode della logica e dei segreti. Sul mobile non funziona così: tutto ciò che finisce dentro l’app, una chiave, una credenziale, una porzione di logica sensibile, è alla portata di chi possiede il dispositivo. La mobile application security parte da qui, dall’accettare che l’ambiente in cui l’app gira è ostile e che il client, a differenza del server, può essere in mano al nemico.

Il client è in mano al nemico

Conviene rendere concreta questa ostilità, perché è ciò che distingue il mobile dal resto. Un dispositivo con privilegi di amministratore ottenuti tramite rooting o jailbreak permette al suo possessore di aggirare le protezioni del sistema operativo e di leggere ciò che le app credono protetto. Strumenti di instrumentation consentono di osservare e manipolare un’app mentre gira, intercettandone le funzioni e i valori in memoria. La decompilazione apre il codice all’analisi, rivelando segreti incorporati e logiche che si pensavano nascoste. E il traffico verso i server può essere intercettato da chi controlla la rete o il dispositivo.

La conseguenza pratica è una serie di errori ricorrenti che derivano tutti dalla stessa illusione di fiducia. Conservare dati sensibili nell’archivio locale come se fosse al sicuro è il problema più comune e più grave del mobile, perché quei dati si possono estrarre. Incastonare chiavi crittografiche o segreti nel binario dell’app, nella convinzione che nessuno li troverà, è un altro classico, smentito dalla prima decompilazione. Affidarsi alla rete senza verificare l’identità del server espone all’intercettazione. Ognuno di questi errori nasce dal dare per scontato un controllo sull’ambiente che, sul mobile, semplicemente non si ha.

OWASP MASVS: lo standard che assume il peggio

A dare ordine a questo terreno c’è uno standard diventato il riferimento di settore, l’OWASP Mobile Application Security Verification Standard, noto come MASVS, affiancato da una guida ai test, il MASTG, che spiega come verificarlo nella pratica. Il valore del MASVS è che non finge che il dispositivo sia fidato: organizza la sicurezza dell’app in gruppi di controlli, ciascuno dei quali affronta un modo in cui l’assunzione dell’ambiente ostile si traduce in rischio concreto.

Nella versione 2.1.0, pubblicata nel gennaio 2024, i gruppi sono otto. Riguardano la conservazione sicura dei dati sul dispositivo, l’uso corretto della crittografia, l’autenticazione e l’autorizzazione, la sicurezza delle comunicazioni di rete, l’interazione sicura con la piattaforma mobile, la qualità del codice, la resistenza alla manomissione e all’analisi inversa, e infine la privacy, gruppo aggiunto proprio nel 2024 a riconoscere quanto privacy e sicurezza siano ormai inseparabili. È un quadro che copre l’app dal dato che custodisce fino al modo in cui parla con il mondo, e che si appoggia a pratiche di secure coding e ai meccanismi di autenticazione, inclusi quelli biometrici, che il sistema operativo mette a disposizione.

Mobile application security e il caso speciale della resilienza

Tra gli otto gruppi ce n’è uno che merita un discorso a parte, perché è il più frainteso: la resistenza alla manomissione e all’analisi inversa, la resilienza nel linguaggio del MASVS. Sono le protezioni che rendono più difficile decompilare un’app, individuarne i punti deboli o modificarla: offuscamento del codice, rilevamento del rooting, difese contro l’instrumentation. Per certe categorie di applicazioni, quelle bancarie, dei pagamenti, della gestione di contenuti protetti, alzare questa barriera ha senso, perché aumenta il costo e il tempo necessari a un attaccante mirato.

Qui però si annida un equivoco da evitare. La resilienza è una difesa in profondità, non un sostituto delle altre. Offuscare il codice e ostacolare l’analisi rallenta chi attacca, non lo ferma: un avversario determinato e con tempo a disposizione supera comunque queste barriere. Confondere il rendere un’app difficile da decifrare con il renderla sicura è uno degli errori più costosi, perché porta a investire nella corazza esterna mentre dentro restano segreti nel binario e dati in chiaro nell’archivio locale. Lo stesso standard colloca la resilienza come livello aggiuntivo per i casi ad alto rischio, non come la base su cui costruire. La sicurezza vera di un’app sta prima nei controlli fondamentali, e solo dopo, dove serve, nella resistenza all’analisi.

Verificare, non sperare

Il merito di avere uno standard è proprio questo: trasformare la sicurezza da auspicio a verifica. Accanto al MASVS, il progetto OWASP MAS fornisce la guida ai test e una lista di controllo che permettono di misurare un’app rispetto ai requisiti, in modo ripetibile e documentabile. Dalla versione 2.0 lo standard ha anche abbandonato i vecchi livelli di verifica fissi, sostituiti da profili di test calibrati sulla criticità dell’applicazione, così che il rigore del controllo si adatti al rischio reale e non sia uguale per un gioco e per un’app bancaria. È la differenza tra credere che un’app sia sicura e poterlo dimostrare, controllo per controllo, integrando queste verifiche nel ciclo di sviluppo come si fa con il resto della pipeline DevSecOps.

Perché conta adesso

Il mobile non è più un canale accessorio, è il luogo dove avvengono le operazioni più sensibili: pagamenti, identità digitale, accesso ai servizi sanitari e bancari, autenticazione verso decine di altri sistemi. L’app è diventata la porta d’ingresso principale, e una porta che si trova fisicamente nelle tasche di chiunque, incluso chi ha interesse a forzarla. A questo si aggiunge la convergenza tra sicurezza e privacy, riconosciuta dallo stesso MASVS con il gruppo dedicato, e una pressione normativa crescente sulla protezione dei dati trattati dalle applicazioni.

In questo quadro, la mobile application security non è una specializzazione di nicchia per chi scrive app, ma una parte centrale della superficie d’attacco di qualunque organizzazione che offra i propri servizi tramite uno smartphone. La sua lezione di fondo è scomoda e preziosa: a differenza di quasi ogni altro software, un’app mobile deve restare sicura anche quando l’ambiente attorno è completamente compromesso. Chi progetta pensando che il telefono sia un posto sicuro costruisce l’app che prima o poi lascerà uscire ciò che doveva custodire. Chi parte dall’assunzione opposta, e usa uno standard come il MASVS per metterla alla prova, costruisce un’app che regge anche in casa del nemico.

Condividi sui Social Network:

https://www.ictsecuritymagazine.com/cyber-security/mobile-application-security/




Kaspersky: la GenAI mette alla prova il riconoscimento facciale


Un volto reale può essere modificato dall’intelligenza artificiale invecchiandolo, ringiovanendolo o alterandolo talmente tanto da perdere la somiglianza con l’originale. A un osservatore umano sembrerà quello di un’altra persona ma, per alcuni sistemi di riconoscimento facciale, quel volto può continuare a corrispondere alla stessa identità.

È il risultato mostrato da Kaspersky durante HORIZONS, la principale conferenza europea dell’azienda, in una dimostrazione condotta dal Global Research and Analysis Team, il GReAT.

I ricercatori hanno elaborato fotografie di volti reali con strumenti di intelligenza artificiale generativa, simulando scenari di invecchiamento e ringiovanimento. In molti casi le immagini prodotte sono apparse ai giornalisti presenti come ritratti di persone diverse, ma il sistema di riconoscimento facciale ha continuato ad associarle alle identità originali in dieci casi di test indipendenti.

Il punto, per Kaspersky, è duplice. Da una parte l’esperimento conferma che alcuni sistemi biometrici non si basano sulla semplice somiglianza visiva, ma su caratteristiche geometriche e strutturali del volto.

Dall’altra, proprio queste caratteristiche possono essere conservate anche in immagini sintetiche generate a partire da fotografie reali, creando un rischio per i sistemi automatici di verifica dell’identità.

Maher Yamout è Lead Security Researcher del Global Research and Analysis Team di Kaspersky.

Maher Yamout, Lead Security Researcher del Global Research and Analysis Team di Kaspersky, lo ha definito “una prova di fattibilità di un potenziale attacco basato sull’intelligenza artificiale”, precisando che l’esperimento non costituisce uno studio su larga scala.

La conseguenza pratica, ha spiegato, è che “le trasformazioni facciali generate dall’IA possono preservare l’identità biometrica anche quando la percezione umana interpreta le immagini come individui completamente diversi”.

Perché la macchina non vede quello che vediamo noi

Per capire il problema bisogna distinguere due passaggi che spesso vengono confusi. Il primo è il rilevamento facciale: il sistema analizza un’immagine e stabilisce se al suo interno è presente un volto.

Il secondo è la verifica facciale: una volta individuato il volto, il sistema lo confronta con un’immagine di riferimento e valuta se appartiene alla stessa persona.

Nel suo intervento, Yamout ha spiegato che la macchina non “capisce” un volto nel modo in cui lo fa un essere umano. Non interpreta la pelle, l’espressione, l’impressione complessiva o la somiglianza visiva.

Il sistema individua l’area del volto, ne estrae caratteristiche e le converte in matrici matematiche. A quel punto confronta numeri, distanze e soglie di similarità.

Questo spiega perché un’immagine modificata dall’IA può apparire molto diversa a una persona, ma risultare ancora abbastanza vicina all’originale per un modello di riconoscimento.

L’intelligenza artificiale può cambiare l’età apparente, la texture della pelle, gli occhiali, alcuni dettagli estetici o lo stile dell’immagine, ma conservare elementi geometrici e strutturali sufficienti per superare il confronto biometrico.

Nella nostra intervista, avvenuta successivamente alla presentazione, Yamout ha riassunto il punto in modo molto diretto: “Le macchine non capiscono la pelle, non capiscono le fotografie”.

Secondo Yamout, sette modelli su otto hanno si sono fatti ingannare da immagini rifatte in stile Studio Ghibli. Che questa immagine sia sufficiente per fingersi Sam Altman?

I modelli, ha spiegato, cercano elementi come occhi, naso e bocca, individuano l’area del volto e la trasformano in numeri. “Quello che siamo riusciti a fare è stato cambiare l’aspetto visibile del volto ma mantenere intatta la struttura sottostante”.

Uno degli esempi più efficaci mostrati durante la presentazione riguardava un’immagine trasformata in uno stile illustrato simile a quello dello Studio Ghibli. A un osservatore umano non verrebbe naturale accettarla come prova di identità in un sistema di sicurezza.

Eppure, secondo Yamout, sette modelli su otto l’hanno comunque riconosciuta come riferibile alla stessa persona.

È un dettaglio aneddotico, che però rende bene la distanza tra la percezione umana e il calcolo biometrico.

KYC, onboarding e verifica dell’identità

Il tema diventa particolarmente rilevante nei processi di verifica dell’identità. Tra questi rientra il KYC, acronimo di “Know Your Customer”, cioè l’insieme delle procedure con cui banche, fintech, piattaforme finanziarie e altri soggetti verificano l’identità di un cliente prima di attivare un servizio o autorizzare determinate operazioni.

In molti casi l’utente carica un documento, scatta una foto o registra un breve video; il sistema confronta poi quei dati con un’immagine di riferimento.

Yamout ha indicato le università e le istituzioni finanziarie tra gli ambiti in cui possono essere ancora usate forme di verifica facciale bidimensionale.

È difficile misurarne la diffusione precisa, ha osservato, perché si tratta di una tecnologia comune, integrata in molti ambienti con motori, modelli e configurazioni differenti.

Il rischio più concreto riguarda gli scenari in cui un attaccante non genera un volto casuale ma parte da una fotografia reale.

Nella conferenza stampa Yamout ha parlato di immagini “seeded”: il modello riceve un’immagine iniziale e produce una variante sintetica, modificata secondo le istruzioni dell’operatore.

Questo rende l’attacco più mirato, perché l’immagine artificiale conserva una relazione matematica con il volto originale.

Yamout ha indicato le università e le istituzioni finanziarie tra i contesti in cui possono essere ancora usate forme di verifica facciale bidimensionale.

La conseguenza è che la verifica umana e quella algoritmica possono differire. Un operatore potrebbe considerare sospetta o non corrispondente un’immagine che il sistema giudica invece compatibile.

Oppure, in uno scenario automatizzato, una piattaforma potrebbe accettare un’immagine sintetica perché la distanza matematica rispetto al volto di riferimento rimane entro la soglia prevista dal modello.

Secondo Yamout, gli attaccanti partono sempre dallo studio dell’ambiente che vogliono colpire. Cercano di capire quali sistemi vengono usati, quali utenti sono coinvolti, quali software sono presenti e quali abitudini operative esistono all’interno dell’organizzazione.

Se scoprono che una procedura di verifica facciale usa un modello vulnerabile a immagini sintetiche o deepfake, quella procedura può diventare un punto d’ingresso.

La biometria resta utile, ma non basta da sola

Il messaggio di Yamout, però, non è che il riconoscimento facciale debba essere abbandonato.

Nell’intervista ha usato un paragone molto chiaro: le password continuano a essere usate anche se possono essere violate; i token di autenticazione a due fattori continuano a essere usati anche se possono essere sottratti con tecniche di phishing; gli antivirus continuano a essere distribuiti anche se esistono malware capaci di aggirarli.

La logica è la stessa per il riconoscimento facciale. Il riconoscimento facciale può ancora servire ma da solo non basta più a confermare un’identità. Deve essere affiancato da altri controlli, soprattutto nei processi più sensibili.

“Dobbiamo smettere di usarlo? No. È una buona misura di sicurezza”, ha spiegato Yamout. Il punto è affiancarla ad altri controlli compensativi: password, token, codici, verifica del dispositivo, analisi del comportamento, controlli documentali e procedure di escalation quando emergono anomalie.

Il riconoscimento facciale può ancora servire ma da solo non basta più a confermare un’identità. Deve essere affiancato da altri controlli, soprattutto nei processi più sensibili.

Questa logica vale soprattutto per i sistemi 2D. Yamout ha distinto questi scenari dal riconoscimento facciale usato ad esempio dagli smartphone, che si basa su scansioni 3D e quindi su una tecnologia più difficile da aggirare.

Anche in quel caso, ha ricordato, sono stati discussi tentativi di attacco tramite modelli tridimensionali del volto, ma il costo operativo è molto più alto. E nella sicurezza informatica, l’aumento del costo dell’attacco è già una forma di protezione.

È qui che torna il concetto di difesa in profondità. Se un sistema richiede password, token e verifica facciale, diventa più difficile aggirare tutto insieme. L’attaccante può riuscire a compromettere un fattore ma deve investire più tempo e più risorse per superarli tutti.

E spesso, ha detto Yamout, si sposta su un bersaglio più facile: “Gli attaccanti, alla fine, sono pigri”.

Le vecchie serrature vanno aggiornate

L’esperimento di Kaspersky non dice che ogni sistema di riconoscimento facciale sia facilmente aggirabile, né che la biometria abbia perso utilità.

Mostra però che immagini, audio e video generati dall’intelligenza artificiale stanno cambiando le regole della verifica dell’identità, costringendo aziende, sviluppatori e responsabili della sicurezza a ripensare molti processi oggi dati per affidabili.

Per anni il volto è stato trattato come un elemento forte dell’identità, perché difficile da replicare e immediato da verificare.

L’IA ha cambiato i termini del problema: può produrre immagini che confondono l’essere umano, preservano elementi biometrici rilevanti per la macchina e aprono nuovi scenari per frodi, identità sintetiche e manipolazioni nei processi di onboarding.

La risposta più solida passa da sistemi capaci di combinare più segnali. La verifica facciale deve essere accompagnata da controlli sulla provenienza dell’immagine, analisi del rischio, verifica del dispositivo, controlli antifrode e procedure manuali nei casi dubbi.

Dove la posta in gioco è alta, affidarsi a un singolo fattore espone a un rischio crescente.

Condividi l’articolo



Articoli correlati

Altro in questa categoria


https://www.securityinfo.it/2026/05/25/kaspersky-la-genai-mette-alla-prova-il-riconoscimento-facciale/?utm_source=rss&utm_medium=rss&utm_campaign=kaspersky-la-genai-mette-alla-prova-il-riconoscimento-facciale




Palantir passa all’ICE una lista di 20 milioni di americani da sorvegliare

Palantir usato per la sorveglianza di massa ‘data driven’ dell’ICE

Negli Stati Uniti l’Immigration and Customs Enforcement (ICE), la potente agenzia federale incaricata del controllo dell’immigrazione e delle espulsioni, sta ampliando la propria capacità operativa grazie ai sistemi sviluppati da Palantir, la società americana specializzata nell’analisi massiva dei dati fondata dal controverso imprenditore, ‘oscuro profeta’ del digitale apocalittico, Peter Thiel.

Durante il Border Security Expo (la fiera delle tecnologie più avanzate per “difendere i confini da ogni minaccia”, in particolare, sembra, quella dei migranti), tenutosi nei giorni scorsi a Phoenix, un alto funzionario dell’ICE ha descritto con sorprendente franchezza la portata di questa trasformazione. Secondo quanto riportato dalla piattaforma media indipendente 404, proprio grazie a Palantir, gli agenti ICE avrebbero oggi accesso direttamente dai loro iPhone a un archivio di circa 20 milioni di persone potenzialmente individuabili, localizzabili e tracciabili.

Questo è un punto cruciale su cui soffermarsi, non solo per la gravità dell’informazione, ma anche perchè, come hanno scritto Betty Gedlu e Cindy Cohn sul sito di Electronic Frontier Foundation, Palantir su questo è ambigua, afferma spesso il contrario, ma sono gli stessi agenti e funzionari ICE che più volte hanno confermato questa collaborazione.

Al di là della retorica securitaria e delle cifre che meritano cautela, il punto centrale è un altro: l’uso delle piattaforme Palantir sta rendendo l’apparato di controllo migratorio statunitense molto più rapido, capillare e invasivo. Non si tratta soltanto di software amministrativi o di strumenti investigativi tradizionali. Siamo di fronte a un modello tecnologico che cambia la natura stessa dell’enforcement migratorio, trasformandolo in un sistema di sorveglianza data-driven capace di aggregare, in maniera opaca, enormi quantità di informazioni personali e convertirle in obiettivi operativi.
Attenzione, però, perché tale sistema non riguarda o riguarderà solo una fascia sfortunata di persone, ma tutti i cittadini americani.

Gli algoritmi che aiutano gli agenti ICE a profilare esseri umani, con un tasso di successo dell’80%

Palantir non produce direttamente banche dati. La sua forza consiste nel mettere in relazione archivi pubblici e privati che normalmente rimarrebbero separati: dati amministrativi, registri telefonici, informazioni sanitarie, indirizzi, precedenti giudiziari, movimenti finanziari, profili sociali, documenti governativi e database commerciali.

Attraverso algoritmi di correlazione e sistemi di visualizzazione avanzata, queste informazioni vengono fuse in un’unica interfaccia interrogabile dagli operatori. In pratica, la piattaforma costruisce profili dettagliati delle persone, individua connessioni, suggerisce indirizzi probabili e attribuisce livelli di “affidabilità” o “rischio” alle informazioni raccolte.

Secondo quanto riportato da 404, l’ICE avrebbe dichiarato che grazie a Palantir il tasso di successo nell’individuazione delle persone da arrestare sarebbe passato da circa il 27% a quasi l’80%. Un’indagine che prima richiedeva ore, sostengono i funzionari, oggi può essere completata in pochi minuti.

Questo salto di efficienza è reso possibile dall’accesso simultaneo a decine di database differenti e dalla capacità della piattaforma di trasformare dati dispersi in mappe operative immediatamente utilizzabili sul campo.

Con il sistema ELITE gli agenti ICE hanno sempre una mappa aggiornata delle persone da ‘colpire’ e deportare

Tra gli strumenti sviluppati per l’ICE c’è anche ELITE, acronimo di Enhanced Leads Identification & Targeting for Enforcement, già rivelato nei mesi scorsi da alcune inchieste giornalistiche americane.

Il sistema consente agli agenti di visualizzare su una mappa le persone considerate potenziali target di deportazione, accedere a dossier individuali e ottenere un “confidence score”, cioè una valutazione automatica sulla probabilità che una persona si trovi realmente a un determinato indirizzo.

Le informazioni proverrebbero da fonti molto diverse, incluse banche dati sanitarie e prodotti commerciali di data brokerage, come CLEAR di Thomson Reuters.

È qui che il problema smette di essere soltanto tecnologico e diventa profondamente politico e democratico. L’uso di Palantir da parte dell’ICE non rappresenta semplicemente un aumento dell’efficienza amministrativa: segna un salto di qualità nella capacità dello Stato di vedere, correlare e colpire. Quando un’agenzia di questo livello dispone di strumenti che aggregano dati eterogenei e trasformano individui in “bersagli operativi” (come accade tragicamente in Ucraina e in Iran, o a Gaza), il confine tra investigazione e sorveglianza di massa diventa estremamente fragile.

Privacy vittima del data repurposing, quando i dati raccolti per un motivo vengono poi usati per altri scopi. E tu non lo sai

Il primo rischio riguarda la privacy. In un ecosistema di questo tipo, informazioni raccolte originariamente per finalità completamente diverse possono essere riutilizzate per operazioni di enforcement. Dati sanitari, amministrativi o commerciali finiscono così dentro un’infrastruttura di controllo senza che le persone coinvolte abbiano reale consapevolezza del processo.

La logica è quella del data repurposing: ciò che era stato fornito per ottenere assistenza medica, registrarsi a un servizio o completare una pratica burocratica viene trasformato in uno strumento di identificazione e localizzazione.
In questo modo sempre l’ICE, grazie ad un accordo di condivisione dei dati tra il Dipartimento della Sicurezza Interna e i Centri per i Servizi Medicare e Medicaid, ha passato al setaccio i dati personali di quasi 80 milioni di cittadini americani.

Il secondo nodo riguarda il due process e le garanzie democratiche. Sistemi di questo tipo funzionano attraverso correlazioni probabilistiche e inferenze algoritmiche, non attraverso certezze assolute.

Anche quando vengono presentati come strumenti “oggettivi”, possono produrre errori, falsi positivi e decisioni opache difficili da contestare. Una persona può essere identificata erroneamente come target sulla base di dati incompleti, obsoleti o associati in modo scorretto.
Eppure, nel momento in cui l’algoritmo accelera le operazioni sul campo, il tempo per verificare e correggere gli errori si riduce drasticamente.

Questo problema è aggravato dalla scarsissima trasparenza che circonda tali sistemi. Le agenzie federali raramente spiegano nel dettaglio quali dataset vengano utilizzati, come funzionino i modelli di correlazione o quali meccanismi di supervisione indipendente esistano realmente.

Il risultato è uno spostamento del potere decisionale verso infrastrutture tecnologiche difficili da scrutinare da parte dei giudici, dei parlamenti e dell’opinione pubblica. La promessa dell’efficienza investigativa rischia così di prevalere sul principio fondamentale della contestabilità delle decisioni pubbliche.

Ambienti sorvegliati che producono paura e insicurezza, come cambiano i nostri comportamenti

Esiste poi un ulteriore effetto, meno visibile ma forse ancora più profondo: il cosiddetto chilling effect. Quando comunità migranti, attivisti o semplici cittadini percepiscono di vivere dentro un ambiente di monitoraggio permanente, cambiano i comportamenti sociali e politici.

Le persone evitano proteste, riducono la partecipazione pubblica, limitano gli spostamenti o interrompono relazioni considerate rischiose. La sorveglianza non agisce soltanto attraverso l’arresto o la deportazione: produce conformismo, paura e autocensura.

Il caso dell’ICE mostra con chiarezza una tendenza ormai globale. Le tecnologie di analisi predittiva e integrazione massiva dei dati stanno ridefinendo il rapporto tra cittadini e istituzioni. Sistemi nati per migliorare l’efficienza amministrativa vengono progressivamente trasformati in infrastrutture permanenti di controllo. E quando queste capacità si concentrano nelle mani di apparati securitari con ampi margini operativi e limitati obblighi di trasparenza (quello che Trump ha voluto per l’ICE), il rischio non riguarda più soltanto i migranti. Riguarda l’equilibrio stesso tra sicurezza, libertà e democrazia.

La questione Palantir-ICE è di fatto un precedente che interroga direttamente il futuro delle società democratiche: fino a che punto siamo disposti ad accettare che lo Stato utilizzi infrastrutture digitali capaci di trasformare ogni traccia informativa in uno strumento di sorveglianza?
Dove finiscono e come vengono utilizzati i nostri dati?
Noi, oggi, siamo ormai (diventati) anche un cluster di dati. Trovare queste risposte equivale a garantirci sicurezza e libertà personali. E soprattutto, è necessario capire chi davvero raccoglie, usa e controlla i nostri dati? Chi realmente (lo Stato o le grandi corporation del settore tecnologico?) stabilisce le regole di questa sorveglianza di massa e con quali scopi?

Novità su Google, per aggiungere Key4Biz tra le tue fonti preferite, clicca qui

Aggiungi Key4Biz tra le tue fonti preferite

Leggi le altre notizie sull’home page di Key4biz

https://www.key4biz.it/palantir-passa-allice-una-lista-di-20-milioni-di-americani-da-sorvegliare/572655/




Cyberstalking: anatomia di una persecuzione digitale tra diritto, tecnologia e nuove frontiere dell’IA

Ogni giorno, silenziosamente, milioni di persone aprono uno smartphone e trovano quello che ormai è diventato il simbolo di un terrore moderno: un messaggio non richiesto, una notifica da un profilo sospetto, la certezza di essere osservate da qualcuno che non ha il diritto di farlo. Il cyberstalking è uno dei crimini digitali in più rapida crescita al mondo, un fenomeno che ha trasformato la connettività ubiqua da opportunità a vulnerabilità, e che oggi si arricchisce di strumenti tecnologici sempre più sofisticati, dall’intelligenza artificiale ai deepfake, dagli AirTag allo stalkerware.

Analizzarlo significa attraversare il confine tra tecnologia, diritto penale, psicologia e politica pubblica. Significa capire perché, nonostante le leggi esistano, soltanto l’11% delle vittime sporge denuncia e perché il 92% di chi prova a bloccare il proprio persecutore scopre che la molestia continua attraverso altri canali. Significa, soprattutto, capire dove stiamo andando.

Che cos’è il cyberstalking: una definizione in evoluzione

Il termine cyberstalking non ha ancora trovato una definizione universalmente condivisa né in ambito giuridico né in ambito accademico, e questa lacuna costituisce uno dei principali ostacoli al suo contrasto efficace. La definizione operativa più autorevole a livello internazionale è quella elaborata dal RAND Institute nel suo studio del 2023 commissionato dal National Institute of Justice statunitense: il cyberstalking è l’utilizzo di tecnologie di comunicazione per condurre atti di sorveglianza, formulare minacce ed esprimere l’intenzione di ferire, molestare o intimidire le vittime, al punto da indurre in esse un ragionevole timore per la propria incolumità o un significativo disagio emotivo.

Un elemento fondamentale distingue il cyberstalking dalle molestie episodiche: la reiterazione della condotta. Non si tratta di un singolo episodio sgradito, ma di un pattern sistematico, spesso pianificato, che può combinarsi con lo stalking fisico o evolvere verso di esso. Secondo i dati del Bureau of Justice Statistics statunitense, circa l’80% di tutte le vittime di stalking sperimenta anche forme di persecuzione digitale, mentre il 67% subisce stalking tradizionale: i due fenomeni si sovrappongono sempre più frequentemente, alimentandosi a vicenda.

Il cyberstalking si manifesta attraverso una vasta gamma di condotte: l’invio compulsivo di messaggi minacciosi o molesti via e-mail, social network o applicazioni di messaggistica; il monitoraggio ossessivo dell’attività online della vittima; la diffusione di informazioni personali o false (doxxing); la creazione di profili falsi per danneggiare la reputazione della vittima (impersonation); l’installazione di stalkerware sui dispositivi della vittima; il tracciamento della posizione fisica tramite dispositivi GPS o tracker come gli AirTag di Apple; la diffusione non consensuale di immagini intime (revenge porn).

I numeri di un’epidemia silenziosa

Le dimensioni globali del fenomeno sono imponenti, anche se sottostimate a causa della drammatica percentuale di casi non denunciati. Negli Stati Uniti, le stime più recenti indicano che circa 7,5 milioni di persone sono vittime di cyberstalking ogni anno. Il Bureau of Justice Statistics, nella sua analisi formale relativa al 2019, aveva già documentato 3,4 milioni di vittime (l’1,3% della popolazione over 16), ma le proiezioni più aggiornate segnalano una crescita sostenuta. Il costo economico aggregato supera 1,3 miliardi di dollari annui tra spese legali, perdita di produttività e supporto psicologico.

Lo studio più rigoroso disponibile a livello europeo è quello pubblicato nel luglio 2025 sul British Journal of Criminology dai ricercatori Madeleine Janickyj (UCL), Niels Blom (University of Manchester) e Leonie Maria Tanczer (UCL), nel quale sono stati analizzati i dati del Crime Survey for England and Wales (CSEW) su un campione di 147.711 partecipanti di età compresa tra i 16 e i 59 anni, su un arco temporale di otto anni (2012-2020).

I risultati mostrano che il cyberstalking è stata l’unica categoria di stalking a registrare un aumento statisticamente significativo: una crescita del 70%, dall’1% all’1,7% degli intervistati, superando sia lo stalking fisico (aumentato solo del 15%) sia quello cyber-enabled (in diminuzione). La ricercatrice Tanczer ha commentato: “Il cyberstalking non solo sta diventando più comune, ma è anche sotto-riconosciuto come reato grave. Molte vittime sentono che quello che è successo loro era sbagliato ma non un crimine.”

Un dato allarmante aggiuntivo emerge dalla Suzy Lamplugh Trust: una sua indagine del 2023 ha rilevato che l’84% dei giovani tra i 16 e i 24 anni ha sperimentato qualche forma di comportamento ascrivibile al cyberstalking, contro il 70% che ha subito comportamenti persecutori in persona.

Sul versante europeo più ampio, i dati dell’European Institute for Gender Equality (EIGE) del 2025 indicano che circa una donna su dieci ha sperimentato forme di molestia o minaccia online almeno una volta nella vita. Le fasce d’età più colpite sono i giovani tra i 16 e i 24 anni (2,4% di probabilità di essere vittima di cyberstalking, quasi il doppio rispetto alla fascia 45-59 anni), mentre donne e persone appartenenti alla comunità LGB sono sistematicamente sovrarappresentate: le prime hanno quasi il doppio delle probabilità degli uomini di subire qualsiasi forma di stalking, le seconde sono più del doppio delle volte colpite dal cyberstalking rispetto agli individui eterosessuali.

Il quadro italiano: i dati della Polizia Postale e di Eurispes

In Italia, il quadro che emerge dai dati istituzionali del 2024 è articolato e in chiaroscuro. Il Report annuale della Polizia Postale per la Sicurezza Cibernetica, presentato in occasione del Safer Internet Day 2025, registra una dinamica significativa: nel 2024, i casi di cyberstalking con vittime donne sono aumentati dell’8% rispetto al 2023, passando da 117 a 126. Il numero di persone indagate ha subito un incremento ancora più marcato, pari al 54% (da 80 a 123), segnale di un’intensificazione delle attività di contrasto da parte delle autorità. I casi con vittime uomini sono invece in calo del 12%, da 67 a 59.

La stessa Polizia Postale lombarda, nel suo rendiconto 2024, ha evidenziato come le donne siano “sempre più spesso vittime di reati online quasi interamente ‘al femminile’, come il cyberstalking, il revenge porn e le ‘truffe sentimentali’”, richiamando esplicitamente al ruolo del silenzio come fattore di rischio.

Il rapporto Eurispes 2024 delinea un quadro ancora più ampio nella percezione sociale del fenomeno: il cyberstalking colpisce il 14% degli italiani, con percentuali che superano il 20% nelle fasce d’età tra i 18 e i 34 anni. Lo stesso report segnala il revenge porn come fenomeno correlato e in crescita, che colpisce l’8,1% degli italiani, con percentuali superiori al 14% nella fascia 18-34 anni.

Un ulteriore indicatore della gravità del fenomeno riguarda i dispositivi di monitoraggio elettronico: alla fine del 2024, in Italia erano attivi 10.458 braccialetti elettronici, di cui 4.677 con funzione antistalking, strumenti introdotti dal Decreto Legge n. 16/2023 convertito nella Legge n. 56/2023. Sul fronte delle segnalazioni, il numero di pubblica utilità 1522 ha registrato nel 2024 un incremento del 32,5% rispetto al 2023 nelle richieste di aiuto per stalking, segnale di una maggiore emersione del fenomeno.

Il Commissariato di P.S. Online ha gestito nel corso del 2024 oltre 82.000 segnalazioni e 23.000 richieste di assistenza relative a fenomeni come truffe online, spoofing, smishing ed estorsioni a sfondo sessuale. Il totale dei fascicoli di indagine aperti dalla Polizia Postale è stato di 54.554, con 7.884 persone denunciate.

Il quadro normativo italiano: art. 612-bis, Codice Rosso e aggiornamenti recenti

In Italia, il cyberstalking non configura una fattispecie di reato autonoma, ma rappresenta una modalità di esecuzione aggravata degli atti persecutori disciplinati dall’art. 612-bis del Codice Penale, introdotto con il Decreto Legge n. 11 del 23 febbraio 2009, convertito nella Legge n. 38 del 23 aprile 2009.

La norma punisce chiunque, con condotte reiterate, minacci o molesti taluno in modo da cagionare un perdurante e grave stato di ansia o di paura, ingenerare un fondato timore per l’incolumità propria o di un prossimo congiunto, oppure costringere la vittima ad alterare le proprie abitudini di vita. La pena base è la reclusione da sei mesi a cinque anni, su querela della persona offesa. La legge prevede tuttavia circostanze aggravanti che elevano la pena fino a un minimo di un anno e un massimo di sei anni e sei mesi di reclusione, in presenza di condotte commesse:

dal coniuge, anche separato o divorziato, o da altra persona legata sentimentalmente alla vittima (aggravante del comma 2); attraverso strumenti informatici o telematici (aggravante specifica per il cyberstalking); nei confronti di un minore, di una donna in gravidanza o di una persona con disabilità.

In queste circostanze il reato diventa procedibile d’ufficio, il che significa che la Procura può avviare le indagini senza necessità di querela.

La giurisprudenza ha tracciato un quadro applicativo consolidato. La Corte Costituzionale, nella sentenza n. 172 del 18 giugno 2014, ha stabilito che la reiterazione della condotta non richiede una lunga sequenza temporale: sono sufficienti anche solo due episodi, purché legati da un unico intento persecutorio.

La Cassazione penale ha poi esteso la rilevanza penale anche alle condotte digitali: messaggi minacciosi via WhatsApp o Telegram, post denigratori sui social network, creazione di profili falsi (impersonation), diffusione di immagini senza consenso. Con la sentenza n. 25516 del 27 giugno 2024 (Cass. Pen., Sez. 5), la Suprema Corte ha ribadito la concorrenza tra il reato di atti persecutori e quello di sostituzione di persona (art. 494 c.p.) quando il persecutore crea profili social falsi utilizzando nome e fotografie della vittima.

Il sistema normativo italiano si è rafforzato nel tempo attraverso interventi successivi:

la Legge n. 69/2019 (“Codice Rosso”) ha impresso un’accelerazione procedurale fondamentale, imponendo al pubblico ministero l’obbligo di assumere informazioni dalla persona offesa entro tre giorni dall’iscrizione della notizia di reato, e introducendo pene più severe per i reati di violenza di genere e domestica;

la Legge n. 168/2023 ha esteso l’applicabilità dell’ammonimento del Questore anche alle condotte di molestie digitali non ancora sfociate in reati consumati, potenziando così lo strumento preventivo di natura amministrativa. I dati del 2025 mostrano un ricorso massiccio a questo strumento, con un incremento significativo delle richieste di ammonimento rispetto agli anni precedenti;

il Decreto Legge n. 16/2023 (Legge n. 56/2023) ha introdotto e disciplinato l’uso del braccialetto elettronico per gli stalker, strumento ora attivo su migliaia di soggetti in tutta Italia;

la Legge n. 90/2024 (DDL Cybersicurezza) ha potenziato ulteriormente le capacità investigative della Polizia Postale, favorendo un’osmosi operativa più efficace tra forze dell’ordine, magistratura, Presidenza del Consiglio e ACN (Agenzia per la Cybersicurezza Nazionale).

Un aspetto critico che il sistema normativo attuale non ha ancora risolto riguarda il profilo probatorio. La norma impone tempi serrati di audizione della vittima, ma l’acquisizione formale della prova digitale richiede competenze forensi specializzate. La mera produzione di screenshot di messaggi persecutori può risultare insufficiente per fondare un giudizio di responsabilità oltre ogni ragionevole dubbio, se non accompagnata dall’estrazione forense dei dati con metadati certificati e catena di custodia conforme all’art. 254-bis c.p.p. Nel 2024, i Ministeri dell’Interno e della Giustizia hanno rafforzato l’investimento nella formazione della Polizia Giudiziaria specializzata e nell’acquisizione di software di mobile forensics, necessari anche per analizzare i dati provenienti da app di messaggistica cifrata come Telegram o Signal.

Stalkerware: il controllo invisibile sui dispositivi

Uno degli strumenti più insidiosi del cyberstalking moderno è lo stalkerware, categoria di software progettati per monitorare un dispositivo mobile a insaputa del proprietario. Il report annuale State of Stalkerware pubblicato da Kaspersky nel marzo 2024 documenta 31.031 utenti colpiti a livello mondiale nel 2023, con un aumento del 5,8% rispetto all’anno precedente. Il trend inverte il calo registrato nel 2021 e conferma che la sorveglianza digitale negli abusi è un problema strutturale in espansione.

In Europa, il 2023 ha registrato 2.645 casi, con Germania (577), Francia (332) e Regno Unito (271) in testa. Kaspersky ha rilevato complessivamente 195 diverse applicazioni stalkerware, con TrackView come la più diffusa a livello mondiale (4.049 utenti colpiti). La ricerca ha incluso anche l’Italia, in un sondaggio condotto su 21.000 intervistati in 21 nazioni: il 23% degli intervistati ha dichiarato di aver subito qualche forma di stalking online da parte di un partner, mentre il 39% ha riferito esperienze di violenza o abuso da parte di un partner attuale o precedente.

Lo stalkerware si traveste tipicamente da applicazione di controllo parentale o antitheft. Una volta installato, di norma senza consenso e senza essere visibile nell’elenco delle app, consente al persecutore di accedere a messaggi, chiamate, posizione GPS, foto, cronologia del browser e, in alcune varianti avanzate, al microfono e alla fotocamera del dispositivo.

Secondo il test condotto da AV-Comparatives nel settembre 2025 su 17 applicazioni stalkerware installate su un dispositivo Samsung Galaxy A36 con Android 15, le differenze di rilevamento tra i principali prodotti di sicurezza mobile sono significative: Malwarebytes raggiunge il 100% di rilevamento; Bitdefender, ESET, Kaspersky e McAfee si attestano al 94%; Avast, Avira e F-Secure all’88%; Norton e Sophos all’82%; G Data al 65%; Trend Micro al 59%; Google Play Protect al 53%.

Il test ha anche evidenziato che nessuno dei prodotti provvede alla rimozione automatica dello stalkerware, una scelta appropriata: la disinstallazione improvvisa può allertare il persecutore qualora stia monitorando il dispositivo in tempo reale. Solo Kaspersky ha incluso un avvertimento esplicito sulle possibili conseguenze di una rimozione immediata.

Un dato culturale di particolare preoccupazione emerso dalla ricerca Kaspersky: la consapevolezza dello stalkerware è in calo tra la popolazione generale, con il 46% degli intervistati nel 2024 che dichiara di non sapere cosa sia (rispetto al 40% del 2021). Parallelamente, il 38% trova “accettabile in certe circostanze” il monitoraggio segreto del partner, una quota quasi raddoppiata rispetto al 17% del 2021: una normalizzazione del controllo digitale nella coppia che alimenta il fenomeno culturalmente.

Kaspersky ha co-fondato nel 2019 la Coalition Against Stalkerware, un gruppo internazionale che riunisce oltre 40 aziende IT, ONG, istituzioni accademiche e forze dell’ordine, con un sito disponibile in sette lingue dove le vittime possono trovare supporto. Ha inoltre sviluppato TinyCheck, uno strumento open source e gratuito per rilevare stalkerware senza allertare il persecutore, utilizzabile da organizzazioni non profit e unità di polizia.

L’escalation tecnologica: AirTag, OSINT e deepfake

Il cyberstalking contemporaneo non si limita ai messaggi molesti: l’intero ecosistema tecnologico del quotidiano è diventato potenziale vettore di persecuzione. Tre tendenze meritano attenzione specifica per la loro recente accelerazione.

Tracker GPS e dispositivi di localizzazione. Gli AirTag di Apple, i Tile e i tracker integrati nei fitness wearable hanno introdotto un nuovo vettore di sorveglianza fisica. Apple è stata oggetto di una class action presentata nel dicembre 2022 da decine di vittime di stalking davanti al tribunale distrettuale federale della California settentrionale. I

l procedimento, che lamenta come gli AirTag abbiano “rivoluzionato la portata, l’ampiezza e la facilità dello stalking basato sulla localizzazione”, è ancora in corso: nel marzo 2024 il giudice Vince Chhabria ha rigettato la mozione di Apple per il rigetto, consentendo a tre istanze di procedere con le accuse di negligenza e responsabilità da prodotto ai sensi del diritto californiano. I casi superstiti riguardano vittime alle quali l’AirTag risultava nascosto nella propria autovettura, con notifiche di rilevamento tardive o incomprensibili che hanno prolungato la persecuzione per settimane o mesi.

Il caso più emblematico è quello di un’attrice irlandese costretta ad abbandonare la carriera negli Stati Uniti e a tornare in patria per sfuggire a un persecutore che la tracciava tramite un AirTag nella sua auto. Il problema rimane strutturale: la miniaturizzazione dei dispositivi di tracciamento li rende sempre più facili da nascondere e difficili da individuare.

OSINT e profilazione automatizzata. Le tecniche di Open Source Intelligence (OSINT), originariamente sviluppate per l’intelligence e le indagini forensi, sono oggi accessibili a chiunque attraverso strumenti automatizzati e, sempre più, potenziati dall’intelligenza artificiale. Un persecutore tecnologicamente capace può aggregare dati pubblici da social network, registri elettorali, database di data breach, check-in geolocalizzati e fotografie per costruire un profilo dettagliato della vittima senza mai violare sistemi informatici.

Le recenti capacità di geolocalizzazione dei modelli GPT-4o e o3 di OpenAI, che possono inferire la posizione geografica di una persona da caratteristiche visive di un’immagine (architettura, vegetazione, segnaletica), hanno sollevato preoccupazioni concrete tra i ricercatori: si tratta di capacità un tempo riservate ad analisti specializzati che diventano accessibili a qualsiasi utente, con ricadute dirette sulla sicurezza personale.

Deepfake e violenza sintetica. L’intelligenza artificiale generativa ha introdotto una dimensione inedita nella persecuzione digitale: la capacità di creare contenuti sintetici e credibili che danneggiano la reputazione o la vita privata della vittima. Nel solo primo trimestre del 2025, si sono verificati 179 incidenti legati a deepfake, un numero che ha già superato il totale dell’intero 2024 del 19%. Le perdite finanziarie da frodi deepfake hanno raggiunto 410 milioni di dollari nel primo semestre 2025, rispetto ai 359 milioni dell’intero 2024 (fonte: Brightside AI, 2025).

Il caso più citato negli ambienti giuridici e tecnologici è quello del preside Eric Eiswert della Pikesville High School di Baltimora, Maryland. Nell’aprile 2024, la polizia della contea di Baltimore ha arrestato Dazhon Darien, 31 anni, direttore sportivo della scuola, con le accuse di furto, stalking e ritorsione contro un testimone. Darien avrebbe creato e diffuso un audio sintetico nel quale la voce del preside proferiva commenti razzisti e antisemiti, diffondendolo via e-mail alle caselle dei docenti e poi sui social network, dove fu condiviso oltre 27.000 volte.

L’audio aveva già spinto il preside in aspettativa forzata, con la polizia che presidiava la sua abitazione e una valanga di minacce personali che lo avevano raggiunto prima che l’indagine chiarisse la natura artificiosa della registrazione. Esperti di forensica digitale convocati dagli inquirenti hanno riscontrato che il file “conteneva tracce di contenuto generato dall’IA con editing umano successivo”, ma la natura pienamente sintetica dell’audio non è stata confermata con certezza. Il caso ha spinto le autorità del Maryland ad avviare i primi dibattiti legislativi sull’adeguamento delle norme all’era dell’IA.

Il profilo delle vittime e dei persecutori

I dati di ricerca convergono su profili abbastanza definiti, pur con le variabili tipiche di un fenomeno socialmente stratificato. Le vittime sono prevalentemente donne: considerando stalking fisico e digitale insieme, una donna su tre e un uomo su sei ne sperimentano almeno una forma nel corso della vita, secondo le stime del RAND Institute. Sul piano esclusivamente digitale, le donne risultano quasi il doppio più esposte degli uomini a tutte le forme di stalking.

Lo studio accademico di Walsh et al. (2024), pubblicato dall’Università del New Hampshire e basato su un campione rappresentativo nazionale che ha indagato sia adolescenti sia adulti, aggiunge alcune distinzioni rilevanti: il 31,4% delle vittime di cyberstalking nel campione appartiene a comunità non eterosessuali, una sovrarappresentazione significativa già dall’adolescenza. I perpetratori adulti hanno maggiori probabilità di ricorrere all’impersonation rispetto agli adolescenti, mentre i giovani persecutori fanno più ricorso ad app di messaggistica e hanno maggiori probabilità di emettere minacce fisiche dirette.

Sul fronte dei persecutori, la ricerca di Blais et al. (2024) ha identificato che la componente antisociale della psicopatia, intesa come comportamenti antisociali precoci e ripetuti, risulta significativamente associata alla perpetrazione di cyberstalking negli ultimi 12 mesi, con un odds ratio di 2,74. Nella maggioranza dei casi di cyber-enabled stalking, il persecutore è noto alla vittima e ha un legame domestico o sentimentale con essa: il 61% delle vittime donne è perseguitato da un partner attuale o precedente (Bureau of Justice Statistics, Stalking Victimization, 2019).

L’impatto psicologico e sociale: danni duraturi e sistematici

Il cyberstalking non è un fastidio digitale: è un’esperienza traumatica con conseguenze documentate sulla salute mentale e sulla vita quotidiana. Le vittime di cyberstalking hanno una probabilità 2,5 volte maggiore rispetto alle vittime di stalking offline di sviluppare problemi psicologici a lungo termine, tra cui disturbo post-traumatico da stress, ansia generalizzata e depressione.

I dati aggregati da diverse fonti disegnano un quadro sistematico:

il 33% delle vittime riferisce ansia e depressione come conseguenza diretta della persecuzione; il 49% segnala un impatto negativo sulla performance lavorativa o accademica; il 55% di chi denuncia alla polizia sperimenta una vittimizzazione secondaria durante le procedure di indagine; il 62% riporta sentimenti di impotenza e disperazione. Il 92% di chi prova a bloccare il proprio persecutore online scopre che la molestia continua attraverso altri canali, evidenziando la sistematicità dell’approccio persecutorio. Le vittime di cyberstalking sono quattro volte più propense a sviluppare disturbi del sonno dovuti a stress e paura.

L’escalation verso la violenza fisica è un rischio documentato: le vittime di cyberstalking hanno una probabilità 2,9 volte superiore di subire violenza offline. Il 41% dei persecutori minaccia esplicitamente di fare del male alla vittima o ai suoi cari. Solo l’11% dei casi viene denunciato alle autorità, con il 42% delle vittime che cita vergogna o imbarazzo come freno principale. Il 13% dei casi segnalati porta a incriminazioni penali, a causa della combinazione di barriere probatorie e carenza di formazione investigativa specializzata.

Le sfide del contrasto: prova digitale e competenza investigativa

Sul piano delle criticità nel contrasto al fenomeno, emergono strutturalmente tre aree problematiche.

Il problema probatorio. La raccolta e la preservazione della prova digitale in contesti di cyberstalking è tecnicamente complessa. I screenshot prodotti dalla vittima possono essere contestati dalla difesa se non corroborati da estrazione forense certificata con metadati integri. L’art. 254-bis c.p.p. regolamenta l’acquisizione dei dati informatici, ma la sua applicazione pratica richiede competenze specialistiche non sempre disponibili a livello locale.

La competenza investigativa. A livello globale, circa l’80% delle agenzie di law enforcement non dispone di formazione specializzata per indagare efficacemente i casi di cyberstalking, con ricadute dirette sui tassi di incriminazione. In Italia, la Polizia Postale rappresenta un’eccezione virtuosa, con 100 uffici territoriali coordinati e centri specializzati (CNAIPIC, CNCPO, Commissariato di P.S. Online), ma la capacità operativa rimane concentrata nelle grandi aree urbane.

Il problema dell’underreporting. Solo l’11% delle vittime sporge denuncia. Le barriere sono molteplici: molte vittime non percepiscono l’esperienza come un reato (come documentato dallo studio UCL del 2025, in cui il 48,7% di chi ha subito stalking lo ha definito “sbagliato ma non un crimine”); la paura di ritorsioni è concreta; la sfiducia nell’efficacia del sistema giudiziario è diffusa. Il 41% dei persecutori continua la propria condotta anche dopo l’intervento delle forze dell’ordine.

Verso nuovi strumenti di risposta: piattaforme, AI Act e formazione

Il contrasto efficace al cyberstalking richiede un approccio sistemico che superi la sola risposta penale.

L’intervento delle piattaforme. Le piattaforme social sono il teatro principale delle persecuzioni digitali e il luogo dove gli strumenti di prevenzione possono avere il maggiore impatto. Il Digital Services Act europeo introduce obblighi più stringenti per le piattaforme nella gestione dei contenuti illeciti, con la possibilità di sanzioni fino al 6% del fatturato globale. Apple ha aggiornato le notifiche di rilevamento degli AirTag a seguito delle polemiche. Tuttavia, la facilità con cui i persecutori creano nuovi account vanifica spesso i sistemi di blocco.

L’AI Act e la regolamentazione dei deepfake. Il Regolamento sull’Intelligenza Artificiale dell’Unione Europea (AI Act, Regolamento UE 2024/1689), entrato in vigore nell’agosto 2024, introduce obblighi di trasparenza per i sistemi di IA generativa e vieta alcune applicazioni considerate ad alto rischio. Sebbene non affronti esplicitamente il cyberstalking, l’AI Act crea un quadro regolatorio potenzialmente applicabile ai sistemi di deepfake usati per molestare o diffamare, ove qualificati come applicazioni ad alto rischio in quanto incidenti sui diritti fondamentali. La questione rimane aperta e dibattuta tra i giuristi europei.

La risposta educativa. I dati Eurispes e la ricerca UCL convergono sulla necessità di affiancare alla risposta penale un’azione educativa strutturale. La normalizzazione del controllo digitale nelle relazioni, segnalata dal calo di consapevolezza sullo stalkerware rilevato da Kaspersky, indica che il problema ha radici culturali che le sole sanzioni penali non possono estirpare. La Polizia Postale ha investito in questo senso con il progetto “Una vita da social” e con iniziative di sensibilizzazione nelle scuole, ma la scala dell’intervento educativo rimane insufficiente rispetto all’entità del problema.

Come difendersi: misure pratiche per le vittime

Dal punto di vista della prevenzione individuale, le raccomandazioni consolidate delle principali autorità di sicurezza digitale includono i seguenti elementi.

Gestione delle credenziali. Utilizzare password complesse e diverse per ogni account, aggiornandole periodicamente. Attivare l’autenticazione a due fattori su tutti i servizi che la supportano. Non condividere mai credenziali con partner romantici, indipendentemente dal livello di fiducia percepito.

Privacy sui social network. Impostare i profili come privati e monitorare regolarmente l’elenco dei follower. Limitare la pubblicazione di informazioni geolocalizzate, evitando check-in in luoghi frequentati abitualmente. Non condividere immagini che contengano metadati GPS incorporati.

Monitoraggio dei dispositivi. Installare soluzioni antivirus affidabili in grado di rilevare stalkerware. Controllare le app installate, in particolare quelle con accesso a localizzazione, microfono e fotocamera. In caso di sospetto, non procedere autonomamente alla disinstallazione: una rimozione improvvisa può allertare il persecutore se sta monitorando il dispositivo in tempo reale. Contattare prima le autorità o la Coalition Against Stalkerware (stopstalkerware.org).

Documentazione delle prove. Conservare ogni episodio di molestia digitale: salvare i messaggi con data e ora visibili, fare screenshot con metadati, non cancellare le comunicazioni ricevute. Rivolgersi a un esperto di digital forensics per garantire l’integrità delle prove prima della denuncia formale.

Supporto istituzionale. In Italia, il Commissariato di P.S. Online (www.commissariatodips.it) consente di effettuare segnalazioni online H24. Il numero 1522 è attivo 24 ore su 24 per le vittime di violenza e stalking. I Centri Antiviolenza presenti sul territorio offrono supporto legale e psicologico specializzato.

Conclusioni: un crimine che parla al futuro

Il cyberstalking ci racconta qualcosa di fondamentale sulle trasformazioni della violenza nell’era digitale: la possibilità di fare del male senza confini geografici, senza contatto fisico, spesso senza lasciare tracce immediatamente riconoscibili. È un crimine che si alimenta delle stesse infrastrutture che utilizziamo per lavorare, comunicare, costruire relazioni. E che, nella sua evoluzione più recente, si sta dotando di strumenti come l’intelligenza artificiale generativa, i deepfake e i tracker miniaturizzati che moltiplicano le possibilità del persecutore e le difficoltà della vittima.

I dati internazionali e italiani convergono su un punto: il fenomeno è sottostimato, sottodenunciato e strutturalmente sottodimensionato nelle risposte istituzionali. Le leggi esistono, ma i tassi di condanna rimangono bassi. La tecnologia avanza, ma i sistemi di rilevamento faticano a stare al passo. Le vittime subiscono traumi profondi, spesso in silenzio, per mesi o anni.

Affrontare il cyberstalking richiede lo stesso approccio sistemico che l’Unione Europea ha iniziato ad applicare alla violenza di genere digitale più in generale: legislazione adeguata ai tempi tecnologici, formazione delle forze dell’ordine, responsabilità delle piattaforme, educazione digitale sin dalla scuola primaria e, soprattutto, il superamento della normalizzazione culturale del controllo digitale nelle relazioni affettive. Il confine tra cura e sorveglianza non è mai stato così sottile, né così importante da tracciare con chiarezza.

Note al fact-checking e alle fonti

Tutte le statistiche riportate in questo articolo sono state verificate sulla fonte primaria originale o su fonti istituzionali di primo livello. Le percentuali di natura psicologica (2,5x, 2,9x, 92%, ecc.) derivano da aggregatori di ricerca (Gitnux/Market Data Reports 2025) che citano studi peer-reviewed; il lettore che necessiti della fonte primaria specifica è invitato a consultare il riferimento indicato. I dati Blais et al. (2024) sull’odds ratio della psicopatia antisociale sono citati attraverso fonte secondaria. Le cifre relative ai deepfake (179 incidenti nel Q1 2025, perdite da 410 milioni nel semestre) derivano dall’analisi di Brightside AI (2025), che non rappresenta un ente pubblico o accademico: devono essere lette come stime di settore.

Fonti principali

RAND Institute, Cyberstalking: A Growing Challenge for the U.S. Legal System (RRA2637-1), National Institute of Justice, U.S. Department of Justice, 2023

Janickyj M., Blom N., Tanczer L.M., Online and Offline Stalking Victimisation in the Crime Survey for England and Wales: Its Predictors and Victim/Survivors’ Views on Criminalisation, The British Journal of Criminology, 2025, DOI: 10.1093/bjc/azaf064

Kaspersky, The State of Stalkerware in 2023, marzo 2024

AV-Comparatives, Stalkerware Test 2025, settembre 2025

Polizia Postale e per la Sicurezza Cibernetica, Report Annuale 2024, Commissariato di P.S. Online, gennaio 2025

Eurispes, Rapporto Italia 2024

European Institute for Gender Equality (EIGE), Gender-based violence online, 2025

Suzy Lamplugh Trust, indagine su cyberstalking tra giovani 16-24 anni, 2023 (citato in BJC/UCL, 2025)

Ministero della Giustizia italiano, art. 612-bis c.p.

Bureau of Justice Statistics (BJS), Stalking Victimization, 2019, U.S. Department of Justice

Walsh J. et al., Characteristics and Dynamics of Cyberstalking Victimization among Juveniles and Young Adults, University of New Hampshire Crimes against Children Research Center, 2024

Blais J. et al. (2024), ricerca sull’associazione tra psicopatia antisociale e cyberstalking (citato in: Unobravo.com, Cyberstalking: cos’è, caratteristiche e differenze di genere, dicembre 2025)

Coalition Against Stalkerware, stopstalkerware.org

L’Eurispes, Cyberstalking, la nuova frontiera della violenza digitale, marzo 2025

Corte Costituzionale italiana, sentenza n. 172 del 18 giugno 2014

Cass. Pen., Sez. 5, n. 25516 del 27 giugno 2024

Brightside AI, How to Defend Against Deepfake Attacks: 2025 Guide, ottobre 2025

AP News / NPR / Baltimore Sun, caso Dazhon Darien / Pikesville High School, aprile-maggio 2024

CNBC / Harvard JOLT, Apple AirTag Stalking Class Action Survives Motion to Dismiss, marzo 2024

Condividi sui Social Network:

https://www.ictsecuritymagazine.com/notizie/cyberstalking/




Palantir employees are talking about company’s “descent into fascism”

It took just a few months of President Donald Trump’s second term for Palantir employees to question their company’s commitments to civil liberties. Last fall, Palantir seemed to become the technological backbone of Trump’s immigration enforcement machinery, providing software identifying, tracking, and helping deport immigrants on behalf of the Department of Homeland Security, when current and former employees started ringing the alarm.

Around that time, two former employees reconnected by phone. Right as they picked up the call, one of them asked, “Are you tracking Palantir’s descent into fascism?”

“That was their greeting,” the other former employee says. “There’s this feeling not of ‘Oh, this is unpopular and hard,’ but ‘This feels wrong.’”

Palantir was founded—with initial venture capital investment from the CIA—at a moment of national consensus following the September 11, 2001, attacks, when many saw fighting terrorism abroad as the most critical mission facing the US. The company, which was cofounded by tech billionaire Peter Thiel, sells software that acts as a high-powered data aggregation and analysis tool powering everything from private businesses to the US military’s targeting systems.

For the past 20 years, employees could accept the intense external criticism and awkward conversations with family and friends about working for a company named after J. R. R. Tolkien’s corrupting all-seeing orb. But a year into Trump’s second term, as Palantir deepens its relationship with an administration that many workers fear is wreaking havoc at home, employees are finally raising these concerns internally, as the US’s war on immigrants, war in Iran, and even company-released manifestos has forced them to rethink the role they play in it all.

“We hire the best and brightest talent to help defend America and its allies and to build and deploy our software to help governments and businesses around the world. Palantir is no monolith of belief, nor should we be,” a Palantir spokesperson said in a statement. “We all pride ourselves on a culture of fierce internal dialogue and even disagreement over the complex areas we work on. That has been true from our founding and remains true today.”

https://arstechnica.com/tech-policy/2026/04/palantir-employees-are-talking-about-companys-descent-into-fascism/




Garante privacy, ok ad accesso proprie email dopo fine rapporto lavoro

Il lavoratore può accedere ai messaggi del proprio account email aziendale e ai documenti presenti nel pc dopo la fine del rapporto di lavoro. Eventuali limitazioni devono essere motivate da specifiche e comprovate ragioni, come la tutela di segreti aziendali.

È quanto ha affermato il Garante per la protezione dei dati personali accogliendo il reclamo di un ex dipendente di una compagnia assicurativa, che aveva chiesto copia dei messaggi della propria casella di posta elettronica aziendale e dei documenti salvati nel pc.

La società, si legge nel comunicato del Garante, aveva effettuato un accesso alla posta elettronica dell’ex dipendente e, dopo averne esaminato il contenuto, aveva fornito esclusivamente i messaggi ritenuti “strettamente personali”, escludendo quelli legati all’attività lavorativa.

Secondo il Garante, sì legge nella nota, il diritto di accesso riguarda tutti i dati personali, comprese le comunicazioni intercorse tramite un account aziendale individualizzato. Non è quindi legittimo selezionare preventivamente i contenuti da fornire né limitarli o oscurarli sulla base della distinzione tra ambito personale e professionale.

L’Autorità ha inoltre rilevato criticità nella gestione dei dati, in particolare per la mancanza di trasparenza nelle informative e per i tempi di conservazione delle email (5 anni) e dei dati di navigazione (12 mesi), ritenuti non proporzionati rispetto alle finalità dichiarate.

Per le violazioni accertate è stata inflitta una sanzione di 50mila euro. Il Garante ha inoltre ordinato di consentire l’accesso integrale ai dati richiesti e di adeguare informative e policy interne alla normativa privacy.

Leggi le altre notizie sull’home page di Key4biz

https://www.key4biz.it/garante-privacy-ok-ad-accesso-proprie-email-dopo-fine-rapporto-lavoro/569929/




Intesa Sanpaolo, multa da 31,8 milioni per un data breach durato oltre due anni

Un data breach protratto per più di due anni, migliaia di accessi indebiti e sistemi di controllo ritenuti inadeguati. Con queste motivazioni il Garante per la protezione dei dati personali ha sanzionato Intesa Sanpaolo con una multa da 31,8 milioni di euro, una delle più rilevanti in ambito bancario.

Accessi abusivi e controlli inefficaci

L’istruttoria dell’Autorità, avviata dopo la notifica del data breach nel luglio 2024, ha accertato che un dipendente della banca ha consultato senza alcuna giustificazione le informazioni bancarie di 3.573 clienti. Gli accessi indebiti sono stati oltre 6.600 e si sono verificati tra il 21 febbraio 2022 e il 24 aprile 2024.

Il dato più critico riguarda l’assenza di rilevazione: i sistemi interni di monitoraggio non sono stati in grado di individuare tempestivamente l’anomalia, evidenziando lacune strutturali nei meccanismi di prevenzione e controllo.

Coinvolti anche clienti ad alto rischio

Tra i soggetti interessati figurano anche clienti definiti “ad alto rischio”, inclusi individui con ruoli pubblici di rilievo. Secondo il Garante, in questi casi sarebbero stati necessari presidi di sicurezza rafforzati, che invece non risultano adeguatamente implementati.

L’episodio evidenzia un deficit nella gestione dei profili più sensibili, che richiedono livelli di protezione differenziati.

Violazioni dei principi GDPR

L’Autorità ha rilevato la violazione di principi cardine del GDPR, in particolare quelli di integrità e riservatezza dei dati, oltre al principio di accountability.

Il modello operativo adottato dalla banca, che consentiva agli operatori un accesso esteso e trasversale all’intera base clienti, non era accompagnato da controlli efficaci per prevenire o individuare utilizzi impropri. Una configurazione ritenuta non proporzionata rispetto ai rischi.

Gestione del data breach sotto accusa

Ulteriori criticità sono emerse nella gestione dell’incidente. La notifica del data breach è stata giudicata tardiva e incompleta rispetto agli obblighi normativi. Anche la comunicazione agli interessati è avvenuta in ritardo, solo dopo un intervento del Garante del 2 novembre 2024.

Secondo l’Autorità, questi ritardi hanno compromesso la possibilità di un intervento tempestivo a tutela dei diritti degli utenti coinvolti.

Sanzione e misure correttive

Nel quantificare la sanzione, il Garante ha considerato la gravità e la durata delle violazioni, il numero elevato di clienti coinvolti e la natura dei dati trattati.

È stato tuttavia valutato anche l’intervento successivo della banca, che ha introdotto misure correttive per rafforzare i sistemi di controllo interno e i presidi di sicurezza.

Nonostante ciò, la condotta complessiva è stata ritenuta illecita, portando all’applicazione della sanzione da 31,8 milioni di euro.

Il precedente Isybank: profilazione illecita su 2,4 milioni di clienti

La sanzione si inserisce in un contesto recente già critico per l’istituto. Solo due settimane fa, il Garante privacy aveva inflitto a Intesa Sanpaolo una multa da 17,6 milioni di euro per il trattamento illecito dei dati di circa 2,4 milioni di clienti coinvolti nel trasferimento verso la controllata digitale Isybank. In quel caso, l’Autorità ha accertato una profilazione effettuata senza adeguata base giuridica, utilizzata per selezionare i correntisti da migrare sulla nuova banca sulla base di criteri come età, utilizzo dei canali digitali e disponibilità finanziarie. Un provvedimento che, insieme a quello sul data breach, rafforza il quadro di attenzione del Garante sulle pratiche di gestione e utilizzo dei dati personali nel settore bancario.

Leggi le altre notizie sull’home page di Key4biz

https://www.key4biz.it/intesa-sanpaolo-multa-da-318-milioni-per-un-data-breach-durato-oltre-due-anni/561035/




Apple begins age checks in the UK with latest iOS update

However, some British iPhone owners are concerned about potential security and privacy risks associated with the proliferation of age checks.

“Myself and everyone I know… are doing everything to bypass these over-reaching age checks,” said one Reddit user in a discussion about Apple’s update. “I definitely do not want to grant my OS permission to decide that I’m happy to share my proven age status, under any situation.”

Apple did not respond to a request for comment about which services its new age checks will cover.

After upgrading to the latest version of iOS 26.4, iPhone owners in the UK will be presented with several options to prove their age, including checking the credit card stored in their digital wallet or taking a photo of their driving license or passport. Apple can also use the length of time that digital accounts have been active to confirm a customer’s age.

After installing the update, an on-screen notice tells users: “UK law requires you to confirm you are an adult to change content restrictions.”

Failure to complete the age check will limit which apps the user can access or download, though Apple’s support pages do not specify all of the affected services.

“Adults will have to confirm that they’re 18 or older to use certain services or features, or take certain actions on their account,” an Apple support page states.

Ofcom said it had “worked closely with Apple” and other services to protect users.

“This will build on the strong foundations of the Online Safety Act, from widespread age checks that keep young people away from harmful content, to blocking high-risk sites and stepping up action against child sexual abuse material,” the UK regulator said.

© 2026 The Financial Times Ltd. All rights reserved. Not to be redistributed, copied, or modified in any way.

https://arstechnica.com/tech-policy/2026/03/apple-begins-age-checks-in-the-uk-with-latest-ios-update/