G7 Privacy per l’innovazione che tuteli i minori

Con l’adozione di un documento sulla libera circolazione dei dati e del Piano d’azione 2026, si è conclusa la presidenza canadese del G7 delle Autorità di protezione dei dati.

Dopo l’appuntamento a Ottawa, i rappresentanti dei Garanti privacy dei 7 Grandi si sono trovati online il 9 e 10 dicembre per una riunione (Roundtable) al termine della quale hanno ribadito l’impegno nel continuare a promuovere e supportare la fiducia per un’innovazione responsabile che tuteli il diritto alla riservatezza, in particolare dei minori.

La delegazione del Garante per la protezione dei dati personali è stata guidata nel corso della prima giornata dall’avv. Guido Scorza e nella seconda dalla Vice Presidente, prof.ssa Ginevra Cerrina Feroni.

Leggi le altre notizie sull’home page di Key4biz

https://www.key4biz.it/g7-privacy-per-linnovazione-che-tuteli-i-minori/559903/

Browser extensions with 8 million users collect extended AI conversations

Besides ChatGPT, Claude, and Gemini, the extensions harvest all conversations from Copilot, Perplexity, DeepSeek, Grok, and Meta AI. Koi said the full description of the data captured includes:

Every prompt a user sends to the AI
Every response received
Conversation identifiers and timestamps
Session metadata
The specific AI platform and model used

The executor script runs independently from the VPN networking, ad blocking, or other core functionality. That means that even when a user toggles off VPN networking, AI protection, ad blocking, or other functions, the conversation collection continues. The only way to stop the harvesting is to disable the extension in the browser settings or to uninstall it.

Koi said it first discovered the conversation harvesting in Urban VPN Proxy, a VPN routing extension that lists “AI protection” as one of its benefits. The data collection began in early July with the release of version 5.5.0.

“Anyone who used ChatGPT, Claude, Gemini, or the other targeted platforms while Urban VPN was installed after July 9, 2025 should assume those conversations are now on Urban VPN’s servers and have been shared with third parties,” the company said. “Medical questions, financial details, proprietary code, personal dilemmas—all of it, sold for ‘marketing analytics purposes.’”

Following that discovery, the security firm uncovered seven additional extensions with identical AI harvesting functionality. Four of the extensions are available in the Chrome Web Store. The other four are on the Edge add-ons page. Collectively, they have been installed more than 8 million times.

They are:

Chrome Store

Urban VPN Proxy: 6 million users
1ClickVPN Proxy: 600,000 users
Urban Browser Guard: 40,000 users
Urban Ad Blocker: 10,000 users

Edge Add-ons:

Urban VPN Proxy: 1,32 million users
1ClickVPN Proxy: 36,459 users
Urban Browser Guard – 12,624 users
Urban Ad Blocker – 6,476 users

Read the fine print

The extensions come with conflicting messages about how they handle bot conversations, which often contain deeply personal information about users’ physical and mental health, finances, personal relationships, and other sensitive information that could be a gold mine for marketers and data brokers. The Urban VPN Proxy in the Chrome Web Store, for instance, lists “AI protection” as a benefit. It goes on to say:

https://arstechnica.com/security/2025/12/browser-extensions-with-8-million-users-collect-extended-ai-conversations/

Google will end dark web reports that alerted users to leaked data

As Google admits in the email alert, its dark web scans didn’t offer much help. “Feedback showed that it did not provide helpful next steps,” Google said of the service. Here’s the full text of the email.

With other types of personal data alerts provided by the company, it has the power to do something. For example, you can have Google remove pages from search that list your personal data. Google doesn’t run anything on the dark web, though, so all it can do is remind you that your data is being passed around in one of the shadier corners of the Internet.

The shutdown begins on January 15, when Google will stop conducting new scans for user data on the dark web. Past data will no longer be available as of February 16, 2026. Google says it will delete all past reports at that time. However, users can remove their monitoring profile earlier in the account settings. This change does not impact any of Google’s other privacy reports.

The good news is that the best ways to protect your personal data from being shuffled around the dark web are the same ones that keep you safe on the open web. Google suggests always using two-step verification, and tools like Passkeys and Google’s password checkup can ensure you don’t accidentally reuse a compromised password. Stay safe out there.

https://arstechnica.com/gadgets/2025/12/google-is-shutting-down-dark-web-reports-in-january-because-they-werent-helpful/

CERT-AGID 6–12 dicembre: cresce l’uso di Figma e Webflow nel phishing

Dic 15, 2025 Stefano Silvestri Attacchi, Hacking, In evidenza, Intrusione, Leaks, Malware, Minacce, News, Phishing, Privacy, Scenario, Tecnologia, Vulnerabilità 0

Nel periodo compreso tra il 6 e il 12 dicembre, il CERT-AGID ha rilevato e analizzato 62 campagne malevole che hanno interessato il territorio italiano.

Di queste, 25 hanno avuto obiettivi specificamente italiani, mentre 37 campagne di natura generica hanno comunque coinvolto utenti e organizzazioni nel Paese.

Nel complesso, sono stati messi a disposizione degli enti accreditati 1.293 indicatori di compromissione (IoC).

I temi della settimana

Sono 22 i temi sfruttati per la diffusione di malware e phishing, con la consueta attenzione su temi quali banking, ordini, verifiche e pagamenti.

Il CERT-AGID ha rilevato 62 campagne malevole in Italia, ed emesso 1.293 indicatori di compromissione.

Il tema Banking è stato utilizzato in sette campagne malware generiche finalizzate alla diffusione di FvncBot, ClayRat, Anatsa, Albiriox, DroidLock e PhantomStealer, tutte mirate al furto di credenziali e informazioni finanziarie, in particolare su dispositivi mobili.

Parallelamente è stata osservata una campagna di phishing italiana ai danni di Intesa Sanpaolo, che conferma l’attenzione costante verso i clienti bancari.

Il tema Ordine ha interessato cinque campagne, sia italiane che internazionali, tutte orientate alla distribuzione di malware come AgentTesla, FormBook, PhantomStealer, XWorm e Remcos.

Lo stesso tema è stato sfruttato anche in due operazioni di phishing rivolte a utenti OneDrive e a servizi di webmail generici, sfruttando la consueta leva degli acquisti e delle spedizioni.

Il tema Verifica è comparso in cinque campagne di phishing, due delle quali italiane, che hanno abusato del nome di American Express, Roundcube, Nexi e cPanel, simulando richieste di controllo o aggiornamento degli account per indurre le vittime a inserire le proprie credenziali.

Il tema Pagamenti, osservato in quattro campagne di phishing, ha preso di mira DocuSign, Autostrade per l’Italia e InfoCert. Una campagna generica parallela ha invece diffuso il malware DarkCloud.

Tra gli eventi di particolare interesse, il CERT-AGID segnala una campagna di phishing che sfrutta nome e logo della Polizia di Stato per sottrarre credenziali email.

L’operazione si distingue per l’uso di un endpoint API di Webflow, utilizzato dagli attaccanti per ottenere in modo automatico i dati inseriti dalle vittime.

Fonte: CERT-AGID

È stata inoltre rilevata una campagna mirata contro studenti e personale di atenei italiani, che utilizza come esca una mail con oggetto “R: Urgente – Elenco dei borsisti”.

Il link presente nel messaggio conduce a una pagina che replica il logo del Ministero dell’Università e della Ricerca (MUR) e successivamente reindirizza verso un falso portale di login Microsoft, dove avviene il furto delle credenziali istituzionali.

Infine, a partire dall’8 dicembre, è in corso una campagna che sfrutta account email compromessi della Pubblica Amministrazione per colpire in modo massivo altri destinatari appartenenti alla PA, mediante invii in CCN.

I messaggi contengono allegati PDF con link a risorse ospitate su Figma, sfruttando la fiducia nella filiera istituzionale per sottrarre credenziali o diffondere ulteriori payload malevoli.

Malware della settimana

Nel corso della settimana sono state individuate 14 famiglie di malware attive in Italia.

AgentTesla è stato osservato in una campagna italiana a tema “Fattura” e in quattro campagne generiche legate a “Ordine”, “Fattura”, “Contratti” e “Prezzi”, veicolate tramite allegati TAR, RAR e LZH.

FormBook ha colpito attraverso una campagna italiana a tema “Ordine” con allegato DOCX e due campagne generiche “Prezzi” distribuite tramite RAR e XLSX.

Fonte: CERT-AGID

Remcos è stato utilizzato in una campagna italiana e in due generiche a tema “Booking” e “Fattura”, veicolate con allegati DOCX e 7Z.

DarkCloud compare in due campagne generiche a tema “Prezzi” e “Pagamenti”, mentre Guloader è stato osservato in una campagna italiana “Contratti” e in una generica “Delivery”.

PhantomStealer è stato individuato in due campagne generiche che hanno sfruttato i temi “Banking” e “Ordine”. In entrambi i casi il malware è stato distribuito tramite email contenenti allegati RAR.

Rilevante anche la presenza di numerose campagne malware per dispositivi Android, che diffondono Albiriox, Anatsa, ClayRat, DroidLock e FvncBot tramite SMS con link a file APK dannosi, tutte concentrate sul tema Banking.

Completano il quadro alcune campagne generiche che hanno diffuso Grandoreiro, Obj3ctivity e XWorm, utilizzando allegati XLAM, JS e ISO inviati via email.

Phishing della settimana

Sono 22 i brand coinvolti nelle campagne di phishing analizzate.

Fonte: CERT-AGID

Per numerosità spiccano le operazioni che sfruttano i nomi di cPanel e PagoPA, insieme alle sempre presenti campagne di webmail non brandizzate, ancora largamente utilizzate per il furto di credenziali.

Formati e canali di diffusione

Gli archivi compressi restano lo strumento principale per la diffusione dei contenuti malevoli.

Nel periodo osservato sono state individuate 13 tipologie di file, con APK al primo posto (7 utilizzi), seguiti da RAR e TAR (4).

Fonte: CERT-AGID

Seguono DOCX (3) e 7Z, ZIP e JS (2). Con un solo utilizzo figurano ISO, XLSX, XLS, LZH, PDF e XLAM.

Condividi l’articolo

L’IA al centro delle strategie di cybersecurity future: le previsioni di Crowdstrike Apple interviene su due zero-day sfruttati attivamente in attacchi mirati

Altro in questa categoria

https://www.securityinfo.it/2025/12/15/cert-agid-6-12-dicembre-figma-webflow-phishing/?utm_source=rss&utm_medium=rss&utm_campaign=cert-agid-6-12-dicembre-figma-webflow-phishing

Chat Control 2.0: il punto di non ritorno della sorveglianza digitale europea

Chat Control 2.0 rappresenta il più ambizioso progetto di sorveglianza digitale mai proposto in Europa: un regolamento che autorizzerebbe la scansione automatica di messaggi, email e contenuti privati di centinaia di milioni di cittadini. L’obiettivo dichiarato è contrastare la pedopornografia online, ma il prezzo da pagare potrebbe essere la fine della segretezza delle comunicazioni. Con l’avvio dei triloghi a dicembre 2025, l’UE si trova a un bivio tra sicurezza e libertà fondamentali.

Perché l’astensione dell’Italia potrebbe trasformarsi in un diniego costituzionale al regolamento

Chat Control è una proposta della Commissione Europea che prevede l’introduzione di sistemi automatizzati in grado di scansionare messaggi, immagini e video privati alla ricerca di contenuti illegali relativi allo sfruttamento dei minori. La misura si applicherebbe potenzialmente a:

chat private (WhatsApp, Signal, Telegram, Messenger, ecc.);
email;
servizi cloud;
piattaforme di gaming con messaggistica integrata;
strumenti di comunicazione interna nelle aziende;
backup personali.

Una delle caratteristiche più criticate della proposta è che la scansione avverrebbe anche in assenza di un sospetto, configurando una forma di sorveglianza generalizzata e preventiva, senza distinzione tra cittadini innocenti e criminali.

L’obiettivo dichiarato è nobile e incontestabile: contrastare la pedopornografia online, un fenomeno odioso e in crescita. Tuttavia, la strada scelta dall’Unione Europea apre scenari delicatissimi per la privacy, la sicurezza digitale e, in ultima analisi, la tenuta democratica del continente.

La fase finale dei negoziati tra Parlamento Europeo, Commissione e Consiglio (trilogo) è iniziata il 9 dicembre 2025. Se non ci saranno impedimenti, Chat Control potrebbe diventare effettivo tra marzo e aprile 2026.
L’avvio del trilogo rappresenta molto più della fase conclusiva di un iter legislativo: è il momento in cui l’UE decide se costruire o meno la più grande infrastruttura di sorveglianza preventiva della storia democratica europea.

L’astensione dell’Italia, insieme a quella della Germania, non è un dettaglio politico. È un segnale d’allerta: molti elementi del regolamento appaiono in contrasto con i principi costituzionali degli Stati membri, in particolare con l’articolo 15 della Costituzione italiana, che garantisce l’inviolabilità della libertà e della segretezza delle comunicazioni. Non è un tecnicismo giuridico, ma il cuore del rapporto tra individuo e potere pubblico.

Il paradosso strutturale di Chat Control 2.0: una sorveglianza preventiva, non reattiva

Il regolamento nasce per contrastare gli abusi sessuali sui minori online, obiettivo che nessuno contesta. Ma la modalità scelta rappresenta un cambio di paradigma: dalla sorveglianza mirata, basata su indizi concreti e autorizzata da un giudice, alla sorveglianza preventiva, generalizzata e algoritmica su tutta la popolazione.
Una svolta che ricorda il passaggio dal “controllo su indizi” al “profiling predittivo” tipico dell’intelligence, applicato però al cuore della vita digitale: le comunicazioni private.

Il falso mito della “volontarietà” e il meccanismo di pressione normativa

La prima bozza (bocciata il 9 ottobre 2025) prevedeva esplicitamente la scansione generalizzata dei contenuti delle chat, comprese quelle protette da crittografia end-to-end. Non sorprende che le critiche siano arrivate da EDPS, Garanti nazionali, esperti di sicurezza, giuristi e attivisti per i diritti digitali, che la consideravano una forma di sorveglianza di massa incompatibile con i principi europei.

La versione riscritta dalla Danimarca modifica l’impianto originario. Secondo il mandato negoziale approvato dal Consiglio, la rilevazione diventa formalmente volontaria: i gestori dei servizi possono scegliere se applicarla o meno. Il nuovo impianto prevede che:

i provider possano scegliere se attivare la scansione;
debbano comunque effettuare una valutazione obbligatoria del rischio;
se risultano “ad alto rischio”, le autorità possano imporre misure correttive;
sul piano economico e reputazionale, la scelta più sicura diventa attivare la scansione.

È un classico caso di compliance indotta: la legge non ordina esplicitamente, ma rende troppo rischioso non conformarsi. Per questo gli analisti definiscono la scansione “volontaria” solo sulla carta ma coercitiva nella sostanza.

La scelta non spetta agli utenti, ma ai provider: sono loro a decidere se i nostri messaggi saranno analizzati.

C’è poi un ulteriore incentivo: più comunicazioni vengono scansionate, più dati possono essere usati per addestrare modelli di intelligenza artificiale. Un vantaggio economico e tecnologico che può spingere verso una sorveglianza permanente.

La storia recente suggerisce che la distinzione tra obbligo formale e pressione informale è spesso teorica, durante la pandemia, molte piattaforme hanno rimosso o penalizzato contenuti su pressioni politiche, come rivelato dai Twitter Files e dalle dichiarazioni di Mark Zuckerberg al Congresso USA, il risultato è stato un ecosistema di censura di fatto su contenuti perfettamente leciti, etichettati come disinformazione o “lawful but awful”, tecnicamente legali ma politicamente scomodi. Ciò che era “volontario” si è trasformato in uno standard di fatto. Applicata a Chat Control, la dinamica diventa particolarmente pericolosa.

Una tensione giuridica irrisolta: privacy e sicurezza in conflitto strutturale

Il regolamento promette che la crittografia end-to-end non verrà indebolita. Ma per rilevare contenuti illeciti in una comunicazione cifrata, l’unico punto di intervento è il dispositivo dell’utente, prima della cifratura, cioè il client-side scanning, tecnicamente equivalente ad una intercettazione generalizzata.

La vera spia di allarme rosso su cui riflettere, è nell’articolo 85(1a) della bozza di regolamento, che incarica la Commissione di valutare periodicamente tecnologie di rilevazione per servizi con crittografia E2EE. Oggi non possono imporre il client-side scanning, ma si riservano il diritto di riprovarci.

La domanda diventa inevitabile: se ogni messaggio può essere analizzato prima di essere cifrato, la comunicazione è ancora “segreta” ai sensi dell’articolo 15 della Costituzione? Molti giuristi rispondono NO.

Da qui la possibile trasformazione dell’astensione italiana in un diniego costituzionale: l’ordinamento non può approvare una norma che svuota di fatto la segretezza delle comunicazioni per 60 milioni di cittadini.

Function creep: un’infrastruttura pronta per usi futuri

Il regolamento delinea un apparato completo:

un EU Centre con database, indicatori e metriche;
comitati tecnici incaricati di sviluppare ulteriormente tecnologie di mitigazione;
obblighi per i provider di integrare strumenti di rilevazione quando richiesto.

Oggi il focus è il CSAM. Domani potrebbe essere terrorismo, hate speech, disinformazione, opposizione politica “radicale”. Una volta costruita l’infrastruttura, ampliarne lo scopo sarà una decisione politica, non tecnica. È il rischio classico di function creep, che in un contesto democratico dovrebbe essere considerato inaccettabile.

L’EU Centre: un nuovo potere sovranazionale con capacità operative ibride

L’EU Centre on Child Sexual Abuse:

riceve segnalazioni da provider e piattaforme
• le valida con algoritmi e revisori umani
• coopera direttamente con le forze dell’ordine
• può influenzare tecnologie e standard europei sulle comunicazioni private

Nasce così una struttura sovranazionale, non eletta, con poteri operativi, tecnici e normativi. È esattamente il contesto in cui il function creep diventa più probabile: una volta installato un sistema di sorveglianza generalizzata, impedirne l’estensione è quasi impossibile.

Il rischio strategico: la normalizzazione della sorveglianza algoritmica in Europa

La tecnologia raramente rimane confinata allo scopo originario.
Se esiste un’infrastruttura capace di analizzare contenuti, identificare pattern, coordinare polizie, profilare rischi, la tentazione di estenderla sarà inevitabile.
Storicamente, il passaggio dall’abuso sui minori al dissenso politico è il più documentato nello sviluppo dei sistemi di sorveglianza.

Proporzionalità e necessità: due principi europei ignorati

La Corte di Giustizia dell’UE ha stabilito in più sentenze (Digital Rights Ireland, Tele2 Sverige, La Quadrature du Net) che:

la sorveglianza generalizzata delle comunicazioni non è mai proporzionale;
è ammessa solo su individui o gruppi specifici;
la raccolta preventiva e indiscriminata viola la Carta dei Diritti Fondamentali.

Chat Control 2.0 entra pienamente in questo schema vietato. Come potrà superare il vaglio della Corte una volta approvato?

La vulnerabilità sistemica della società digitale europea

Creare un meccanismo di scansione centralizzato significa:

aumentare la superficie d’attacco per spionaggio e cybercrime;
introdurre backdoor potenziali nelle piattaforme;
facilitare abusi interni;
indebolire l’ecosistema della crittografia.

Qualsiasi infrastruttura progettata per “controllare tutto” diventa un bersaglio irresistibile per Stati ostili e cybercriminali. Una vulnerabilità in un tale sistema comporta rischi sistemici per milioni di cittadini.

L’effettività: il regolamento colpisce davvero i criminali?

Gli abusi reali vengono spesso scambiati:

in darknet chiuse;
su reti P2P cifrate;
tramite strumenti decentralizzati;
in circoli privati offline;
in contesti che il regolamento non può raggiungere.

Chat Control rischia dunque di colpire soprattutto i cittadini comuni, lasciando intatti i criminali più organizzati, producendo falsi positivi e sovraccaricando le indagini.

Falsi positivi e “danno collaterale digitale”

Il regolamento riconosce formalmente l’esistenza degli errori, citando falsi positivi, falsi negativi, oversight umano e metriche di errore.

Dalla Tabella 1 emergono elementi strutturali inquietanti :

Gli errori sono considerati inevitabili

Il testo richiede tecnologie “sufficientemente affidabili”, invita a “limitare al massimo possibile il tasso di errori” e prevede valutazioni periodiche, ma:

non esistono soglie minime di accuratezza;
non esistono limiti oltre i quali la tecnologia è vietata;
non esistono criteri chiari per definire l’accettabilità dell’errore.

L’errore, però, non è neutrale: significa cittadini innocenti che finiscono in database, sotto indagine o con account sospesi.

“Limitare al massimo possibile”: una formula vaga

Chi decide qual è “il massimo possibile”? Quali benchmark? Con quali sanzioni in caso di imprecisione?
Il rischio è che la formula diventi un paracadute retorico per giustificare sistemi con numerosi falsi positivi.

Oversight umano: paracadute o illusione?

Il regolamento insiste su “oversight umano regolare”, ma nella pratica:

i volumi saranno altissimi;
il lavoro è psicologicamente gravoso;
la pressione regolatoria spinge al “meglio segnalare troppo”.

Il controllo umano può trasformarsi in un clic routinario.

Metriche per le autorità, opacità per gli utenti

L’articolo 83 impone metriche ai provider, ma:

solo EU Centre e autorità vedono i dati;
gli utenti non hanno accesso a statistiche dettagliate;
manca trasparenza granulare.

Lo Stato può normalizzare statisticamente l’errore; chi vi finisce dentro lo vive come una violazione gravissima.

Incentivo all’over-reporting

Segnalare troppo poco comporta rischi; segnalare troppo non comporta costi. Il sistema è strutturalmente orientato all’eccesso di segnalazione.

Tutela ex post, danno ex ante

Il regolamento prevede:

reclami;
ricorsi;
rappresentanza tramite enti.

Ma quando l’utente agisce:

il contenuto è già stato rimosso:
l’account può essere sospeso;
la segnalazione è già arrivata alle autorità;
un’indagine può essere iniziata.

Anche in caso di archiviazione restano log, copie, danni emotivi e reputazionali. È un modello “ti proteggo dopo averti colpito”. Nel complesso, il regolamento appare costruito per accettare l’errore come costo sistemico, confidando che metriche e oversight lo mantengano gestibile.

Asimmetria informativa e crisi di fiducia

Le autorità vedono tutto in macro; i provider controllano l’infrastruttura; i cittadini vedono solo gli effetti sul proprio account. Questo si inserisce in un contesto europeo già segnato dal crollo di fiducia verso istituzioni, media e organismi sovranazionali.

In tale scenario, Chat Control può essere percepito:

come strumento di ordine in un mondo instabile;
come strumento di sorveglianza contro dissidenti, giornalisti e oppositori.

Più la fiducia cala, più cresce la tentazione dei governi di usare il controllo al posto del consenso.
E più cresce il controllo, più la fiducia cala: un circolo vizioso.

Guerra, intelligence e libertà: un equilibrio fragile

L’Europa si sta riarmando come non accadeva da decenni, in un contesto di confronto ibrido con la Russia e di instabilità globale. In scenari del genere, la privacy tende a diventare un ostacolo operativo.
La storia lo dimostra: dopo l’11 settembre, il Patriot Act ha compresso diritti che, vent’anni dopo, sono ancora lì. Il rischio è che Chat Control diventi il primo pezzo di un’architettura permanente di sorveglianza digitale, giustificata dalla protezione dei minori ma pronta a espandersi ad altre emergenze future.

Perché l’Italia potrebbe dire definitivamente “no”: l’argomento costituzionale

Nessuna legge, nemmeno europea, può introdurre un sistema generalizzato di controllo delle comunicazioni in contrasto con l’articolo 15 della Costituzione.
L’unica eccezione ammessa richiede:

un’indagine specifica;
un atto motivato dell’autorità giudiziaria;
destinatari determinati.

Chat Control 2.0 viola tutti e tre questi criteri. L’Italia deve quindi scegliere tra approvare un regolamento anticostituzionale o porre un diniego formale, avviando un conflitto giuridico con Bruxelles. L’astensione è un messaggio: l’Italia non può accettare un regolamento che viola un diritto “inviolabile”.

La questione politica più ampia: quale modello di società digitale vuole l’Europa?

Chat Control 2.0 non è solo un tema tecnico. È una scelta di civiltà.
Si delineano due modelli:

Sicurezza preventiva attraverso sorveglianza pervasiva
Simile ai modelli cinesi, russi o a quelli post-11 settembre.
Tutela dei diritti fondamentali come limite al potere
Tradizione europea basata su proporzionalità, necessità, segretezza delle comunicazioni, warrant giudiziario, presunzione di innocenza.

Con Chat Control l’UE rischia di abbandonare gradualmente il secondo modello per avvicinarsi al primo.

Una società che rinuncia alla privacy rinuncia alla democrazia

La privacy non è un lusso: è la condizione che consente a giornalisti, attivisti, dissidenti e cittadini di operare senza paura. La sorveglianza preventiva produce autocensura sistemica e modifica i comportamenti umani prima ancora dell’intervento repressivo.

Chat Control 2.0 è una scelta antropologica, non tecnica

La questione è semplice, radicale, si basa su queste domande: Siamo disposti ad accettare una società in cui ogni comunicazione può essere analizzata da algoritmi? Siamo pronti a sacrificare la segretezza delle comunicazioni sulla promessa di tecnologie che generano errori elevati? Siamo consapevoli che i criminali continueranno a operare su canali invisibili mentre il controllo ricadrà sui cittadini comuni?

L’Italia, con il suo quadro costituzionale, ha la responsabilità di sollevare queste domande. Una volta costruita un’infrastruttura di sorveglianza generalizzata, smantellarla sarà quasi impossibile. Il 9 dicembre 2025 rischia di essere ricordato non come il giorno in cui l’Europa ha difeso i minori, ma come il giorno in cui ha aperto la porta alla più grande infrastruttura di sorveglianza mai approvata in tempo di pace. Per chi si occupa di democrazia, diritto e cybersicurezza, la posta in gioco è altissima: superata la linea della segretezza delle comunicazioni, tornare indietro sarà quasi impossibile.

Profilo Autore

Progettista di sistemi esperti, software developer, network e system engineer, con oltre 30 anni di esperienza nell’ambito della sicurezza delle informazioni, Francesco Arruzzoli è il Resp. del Centro Studi Cyber Defense Cerbeyra, dove svolge attività di R&D, analisi delle cyber minacce e progettazione di nuove soluzioni per la cyber security di aziende ed enti governativi. Esperto di Cyber Threat Intelligence e contromisure digitali, autore di libri ed articoli sue riviste del settore, in passato ha lavorato per multinazionali, aziende della sanità italiana, collaborato con enti governativi e militari. In qualità di esperto cyber ha svolto inoltre attività di docenza presso alcune università italiane.

Condividi sui Social Network:

https://www.ictsecuritymagazine.com/articoli/chat-control-2-0-sorveglianza/

CERT-AGID 29 novembre – 5 dicembre: phishing a tema Governo italiano e Agenzia delle Entrate

Dic 08, 2025 Stefano Silvestri Attacchi, Hacking, In evidenza, Intrusione, Leaks, Malware, Minacce, News, Phishing, Privacy, Scenario, Tecnologia, Vulnerabilità 0

Nel periodo compreso tra il 29 novembre e il 5 dicembre, il CERT-AGID ha analizzato 77 campagne malevole dirette verso cittadini, aziende e pubbliche amministrazioni italiane.

Di queste, 43 hanno avuto obiettivi specifici in Italia, mentre 34 campagne generiche hanno comunque coinvolto utenti italiani.

Gli enti accreditati hanno ricevuto 1.615 indicatori di compromissione (IoC), uno dei volumi più alti delle ultime settimane.