Audita – Data Protection Information Security Cyber Defense Digital Forensic

Cybersecurity 2026 – AI fuori controllo?

Audita — Wed, 15 Apr 2026 12:03:51 +0000

Cybersecurity 2026: tra AI fuori controllo, vulnerabilità critiche e summit a Roma — cosa sta davvero succedendo

La cybersecurity entra in una nuova fase critica. Tra eventi istituzionali, report allarmanti e vulnerabilità concrete, il 2026 segna un punto di svolta: l’intelligenza artificiale non è più solo una risorsa, ma anche un rischio sistemico.

Roma al centro della cyber defence: torna il Summit ANGI

Il 14 e 15 aprile 2026 Roma ospita la VI edizione dell’Innovation Cybersecurity Summit, evento nazionale dedicato a cyber defence e innovazione.

Il summit riunisce istituzioni, industria e mondo della ricerca per affrontare un tema sempre più centrale: la sicurezza digitale come pilastro della resilienza del Paese.

Al centro del dibattito tre direttrici strategiche:

Intelligenza artificiale per la prevenzione
Cybersecurity per la protezione delle infrastrutture
Tecnologie avanzate (incluse quelle legate alla space economy)

Il messaggio è chiaro: senza integrazione tra innovazione e difesa, la sovranità tecnologica è a rischio.

IBM lancia l’allarme: l’AI è la nuova frontiera del rischio cyber

Parallelamente, i dati del report IBM confermano uno scenario preoccupante:
– il 97% dei sistemi AI compromessi non ha adeguati controlli di accesso

Non solo:

La “shadow AI” aumenta i danni medi di una violazione di circa 670.000 dollari
Meno della metà delle aziende italiane ha policy per gestire l’AI
Gli attacchi che sfruttano AI (phishing, deepfake) sono in crescita

Il paradosso è evidente:
– l’AI accelera la difesa, ma se non governata crea nuove superfici d’attacco.

Vulnerabilità reali: IBM corre ai ripari su sistemi critici

Il rischio non è teorico. IBM ha recentemente segnalato vulnerabilità gravi nei sistemi Verify Identity Access e Security Verify Access.

Possibile esecuzione di codice remoto
Escalation dei privilegi fino al livello root
Accesso a dati sensibili e compromissione completa dei sistemi

Alcune falle hanno raggiunto livelli di criticità elevati (CVSS fino a 9.3), rendendo necessario l’aggiornamento immediato dei sistemi.

Il vero problema: l’innovazione corre più veloce della sicurezza

Dalle evidenze emerge un filo conduttore unico:

I summit discutono strategie
I report segnalano rischi crescenti
Le vulnerabilità dimostrano impatti concreti

Ma il gap resta: l’adozione dell’AI sta superando la capacità di controllo e governance.

Questo “debito di sicurezza” espone aziende e istituzioni a:

violazioni su larga scala
interruzioni operative
perdita di proprietà intellettuale

Conclusione: la cybersecurity entra nell’era dell’AI (e non è più opzionale)

Il 2026 segna un cambio di paradigma:
la cybersecurity non è più solo difesa IT, ma leva strategica nazionale e aziendale.

Tra summit, vulnerabilità e dati IBM, il messaggio è uno solo:
chi non governa l’AI, diventa il prossimo bersaglio.

Il Principio di Minimizzazione dei Dati nel GDPR: Definizione, Applicazione e Implicazioni

Audita — Fri, 03 Apr 2026 08:16:12 +0000

Il Principio di Minimizzazione

Definizione e Fondamento Normativo

Il principio di minimizzazione dei dati è uno dei pilastri fondamentali del Regolamento (UE) 2016/679 (GDPR), sancito all’articolo 5, paragrafo 1, lettera c). Tale disposizione stabilisce che i dati personali devono essere:

«adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati».

Questo principio impone al titolare del trattamento un obbligo di proporzionalità e necessità. In termini pratici, significa che non è consentito raccogliere dati personali in modo indiscriminato o con la giustificazione che “potrebbero servire in futuro”. Ogni singolo dato raccolto deve essere strettamente necessario per il raggiungimento di uno scopo specifico, esplicito e legittimo, definito a monte del trattamento stesso (in ossequio al principio di “limitazione della finalità” di cui all’art. 5, par. 1, lett. b) del GDPR).

La Corte di Giustizia dell’Unione Europea ha sottolineato come il requisito di necessità sia intrinseco a diversi principi del GDPR. Un trattamento, anche se inizialmente lecito, può diventare incompatibile con il Regolamento se i dati non sono più necessari per le finalità perseguite. Di conseguenza, la raccolta deve essere limitata fin dall’inizio e per tutta la durata del trattamento.

Il Collegamento con i Principi di Protezione dei Dati fin dalla Progettazione e per Impostazione Predefinita (Privacy by Design & by Default)

Il principio di minimizzazione non è un concetto isolato, ma è intrinsecamente legato all’obbligo di “protezione dei dati fin dalla progettazione e per impostazione predefinita” (Privacy by Design e by Default), disciplinato dall’articolo 25 del GDPR.

Privacy by Design (Art. 25, par. 1): Impone al titolare di mettere in atto, fin dal momento della progettazione di un sistema o di un processo (“sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso”), misure tecniche e organizzative adeguate ad attuare in modo efficace i principi di protezione dei dati, tra cui la minimizzazione. Questo significa che la valutazione su quali dati siano strettamente necessari deve avvenire prima che il trattamento abbia inizio.
Privacy by Default (Art. 25, par. 2): Richiede che, per impostazione predefinita, siano trattati solo i dati personali necessari per ogni specifica finalità. Questo obbligo riguarda la quantità di dati raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. Ad esempio, un modulo di registrazione online non dovrebbe, di default, richiedere dati opzionali o preselezionare caselle per consensi a trattamenti ulteriori.

Le Linee Guida dell’European Data Protection Board (EDPB) chiariscono che il titolare deve attivamente verificare se le finalità possano essere raggiunte trattando una quantità inferiore di dati, dati meno dettagliati, dati aggregati, o addirittura senza trattare affatto dati personali. Il Garante per la protezione dei dati personali ha sanzionato titolari che non hanno previsto, ab origine, misure tecniche e infrastrutturali volte a garantire l’effettiva applicazione del principio di minimizzazione, evidenziando come non sia sufficiente applicare misure generiche, ma siano necessarie soluzioni specifiche e correlate ai rischi.

III. L’Applicazione Pratica del Principio di Minimizzazione

Implementare correttamente il principio di minimizzazione richiede un approccio proattivo e documentato. Le aziende possono seguire i seguenti passi concreti, fondati sui dettami del GDPR e sulle indicazioni delle autorità:

Mappatura dei Dati e Definizione delle Finalità: Prima di qualsiasi raccolta, è indispensabile definire in modo chiaro e granulare le finalità del trattamento. Per ogni finalità, occorre porsi la domanda: “Questo specifico dato è indispensabile per raggiungere questo scopo?”. Se la risposta è negativa, il dato non deve essere raccolto.
Valutazione della Pertinenza e Adeguatezza: Non basta che un dato sia utile; deve essere “adeguato” e “pertinente”. Ad esempio, per l’iscrizione a una newsletter è necessario l’indirizzo e-mail, ma non la data di nascita o l’indirizzo di residenza. Le Linee Guida EDPB specificano che il titolare deve essere in grado di dimostrare la pertinenza di ogni categoria di dati trattati.
Limitazione della Conservazione: La minimizzazione si applica anche alla dimensione temporale. I dati personali devono essere conservati in una forma che consenta l’identificazione degli interessati solo “per un arco di tempo non superiore al conseguimento delle finalità” (art. 5, par. 1, lett. e). Una volta raggiunta la finalità, i dati devono essere cancellati o resi anonimi. La Corte di Giustizia ha confermato che la conservazione di dati personali oltre il tempo necessario alla realizzazione delle finalità (ad esempio, per test informatici) costituisce una violazione di questo principio. È quindi essenziale implementare policy di data retention e procedure di cancellazione sicura.
Implementazione di Misure Tecniche: Laddove possibile, il titolare deve ricorrere a misure tecniche che riducano la quantità e l’identificabilità dei dati. Le principali sono:

- Pseudonimizzazione: Trattare i dati in modo che non possano essere attribuiti a un interessato specifico senza informazioni aggiuntive conservate separatamente. La pseudonimizzazione è considerata una misura chiave per attuare la minimizzazione, specialmente in contesti come la ricerca scientifica o statistica.

- Anonimizzazione: Processo irreversibile che rende impossibile re-identificare l’interessato. I dati anonimi non sono più considerati dati personali e non rientrano nell’ambito di applicazione del GDPR.

- Aggregazione: Utilizzare dati in forma aggregata (es. statistiche) anziché dati individuali, quando ciò è sufficiente per la finalità perseguita.

Formazione e Monitoraggio Continuo: Il personale autorizzato al trattamento deve essere formato sull’importanza della minimizzazione. Inoltre, i processi devono essere monitorati e riesaminati periodicamente per assicurare che i dati raccolti rimangano necessari e pertinenti nel tempo, soprattutto in caso di cambiamento delle finalità o dei processi aziendali.

Rischi e Conseguenze della Non Conformità

Il mancato rispetto del principio di minimizzazione espone il titolare del trattamento a rischi significativi, che vanno oltre l’aspetto puramente sanzionatorio.

Sanzioni Amministrative Pecuniarie: La violazione dei principi fondamentali del trattamento, inclusa la minimizzazione (art. 5 GDPR), è soggetta al regime sanzionatorio più severo previsto dall’art. 83, par. 5, del GDPR, che può arrivare fino a 20 milioni di euro o, per le imprese, fino al 4% del fatturato mondiale totale annuo. Diversi provvedimenti del Garante hanno contestato la violazione del principio di minimizzazione come elemento centrale dell’illecito.
Danno Reputazionale e Perdita di Fiducia: Le organizzazioni che raccolgono dati in modo eccessivo sono percepite come poco rispettose della privacy. Questo può portare a una perdita di fiducia da parte di clienti e utenti, con conseguenti danni all’immagine e al business.
Aumento dei Rischi di Sicurezza e dei Costi: La gestione di grandi volumi di dati aumenta la “superficie di attacco” e la complessità delle misure di sicurezza da implementare (art. 32 GDPR). In caso di data breach, un maggior numero di dati compromessi si traduce in un impatto più grave per gli interessati e in maggiori responsabilità per il titolare. Inoltre, la gestione di dati non necessari comporta costi operativi più elevati (storage, backup, gestione).
Violazione del Principio di Responsabilizzazione (Accountability): Ai sensi dell’art. 5, par. 2, del GDPR, il titolare non solo deve rispettare i principi, ma deve anche essere “in grado di comprovarlo”. La raccolta di dati non necessari rende estremamente difficile, se non impossibile, dimostrare la conformità durante un audit o un’ispezione da parte dell’Autorità di controllo.

Licenziata per Phishing

Audita — Fri, 27 Mar 2026 10:48:06 +0000

Phishing, errore umano e licenziamento: cosa cambia davvero dopo la Cassazione 3263/2026

La recente ordinanza della Corte di Cassazione n. 3263 del 13 febbraio 2026 non è solo una pronuncia su un caso specifico, ma un segnale chiaro di evoluzione nel modo in cui vengono interpretati i rischi digitali all’interno delle organizzazioni.

Per la prima volta in modo così netto, viene affermato un principio destinato a far discutere: anche nel contesto delle truffe informatiche, il dipendente può essere ritenuto direttamente responsabile, fino al punto di legittimare un licenziamento per giusta causa se vi sono i presupposti di contesto adeguati.

Ma il vero tema non è il phishing in sé. È il ruolo del fattore umano nella sicurezza aziendale.

Non più solo “rischio d’impresa”

Tradizionalmente, gli incidenti legati alla sicurezza informatica venivano ricondotti quasi esclusivamente al cosiddetto “rischio d’impresa”. In altre parole, era l’azienda a dover prevenire, gestire e assorbire le conseguenze di attacchi e frodi, attraverso strumenti tecnici, procedure e formazione.

La decisione della Cassazione rompe questo schema.

Senza negare la responsabilità organizzativa, i giudici introducono un elemento ulteriore: il comportamento individuale del lavoratore diventa parte integrante del sistema di sicurezza. Non più semplice “anello debole”, ma soggetto attivo, con obblighi concreti.

Questo spostamento ha implicazioni importanti: la sicurezza non è più solo una questione di infrastruttura, ma anche di condotta.

Quando l’errore diventa negligenza

Uno degli aspetti più delicati riguarda la linea di confine tra errore e negligenza.

Cadere vittima di phishing, di per sé, non è sufficiente a giustificare un licenziamento. Ciò che rileva è la qualità del comportamento tenuto dal dipendente e del suo ruolo in azienda. La Corte, infatti, non punisce l’evento, ma la modalità con cui si è verificato.

Nel caso esaminato, alcuni elementi hanno avuto un peso determinante: la presenza di segnali anomali facilmente riconoscibili, la natura dell’operazione (un bonifico significativo) e l’assenza di verifiche minime, quest’ultime legate non solo alla cosiddetta igiene informatica ma proprio al ruolo della collaboratrice.

In questo contesto, l’errore non è stato considerato inevitabile, ma evitabile. E quindi imputabile.

È qui che si inserisce il concetto di “diligenza professionale”, che non è astratto ma calibrato sul ruolo: maggiore è la responsabilità (ad esempio in ambito amministrativo o finanziario), maggiore è il livello di attenzione richiesto.

Il punto più controverso: la formazione non basta (e non salva)

Uno dei passaggi più discussi della pronuncia riguarda l’irrilevanza della mancata formazione.

La Corte afferma, in sostanza, che l’assenza di training specifico sul phishing non esonera il dipendente da responsabilità, soprattutto se ricopre un ruolo qualificato. Ci si aspetta comunque una capacità minima di riconoscere anomalie e di attivare verifiche.

Questo punto apre scenari interessanti.

Da un lato, evita che la responsabilità venga automaticamente scaricata sull’azienda in caso di carenze formative. Dall’altro, però, impone una riflessione: fino a che punto è realistico aspettarsi competenze “implicite” in materia di sicurezza digitale?

Per le aziende, questo non significa che la formazione perda valore. Al contrario, diventa ancora più strategica, non solo come misura preventiva, ma anche come elemento difensivo in eventuali contenziosi.

Cybersecurity e diritto del lavoro: un nuovo equilibrio

Questa pronuncia si inserisce in un contesto più ampio, in cui la cybersecurity sta uscendo dal perimetro esclusivamente tecnico per entrare in quello organizzativo e giuridico.

Negli ultimi anni, normative europee e standard internazionali (come NIS2 o ISO 27001) hanno già sottolineato l’importanza della governance e dei comportamenti umani. La Cassazione sembra allinearsi a questa visione, traducendola però in conseguenze concrete sul piano disciplinare.

Si delinea così un nuovo equilibrio:

l’azienda deve predisporre strumenti, procedure e controlli adeguati
il dipendente deve agire con consapevolezza, prudenza e spirito critico

Quando uno di questi elementi viene meno, il sistema si espone.

Il vero messaggio per le aziende

Ridurre questa decisione a un semplice “via libera ai licenziamenti” sarebbe un errore.

Il punto centrale è un altro: il fattore umano non può più essere considerato una variabile imprevedibile da gestire solo con la tecnologia. Deve essere governato, integrato e responsabilizzato.

Questo significa, concretamente:

costruire processi di verifica chiari per operazioni sensibili
ridurre la dipendenza da singoli individui (segregation of duties)
promuovere una cultura aziendale in cui il dubbio è legittimo, non penalizzato
affiancare alla formazione tecnica anche quella comportamentale

Conclusione

La Cassazione 3263/2026 segna un passaggio culturale prima ancora che giuridico.

Nell’era delle truffe digitali sempre più sofisticate, non basta più difendere i sistemi: è necessario responsabilizzare le persone. Ma responsabilità non significa colpa automatica — significa consapevolezza del proprio ruolo all’interno di un ecosistema di sicurezza.

La cybersecurity, oggi, è fatta di tecnologia, processi e persone. E ignorare uno di questi elementi non è più sostenibile — né sul piano operativo, né su quello legale.

La Formazione: Come Prima Arma di Difesa alla Sicurezza

Audita — Thu, 05 Mar 2026 16:07:54 +0000

Formazione dei Collaboratori:

Il Primo Muro Contro gli Attacchi

Perché la formazione è fondamentale

Molti studi recenti confermano che buona parte delle violazioni informatiche nascono da errori umani, distrazione, phishing o comportamenti non consapevoli. Non basta avere firewall, antivirus o sistemi sofisticati: se gli utenti non riconoscono i pericoli o non sanno come comportarsi, anche la migliore infrastruttura può crollare.

Un sondaggio Eurobarometro del 2024 ha rilevato che il 74% delle aziende UE non ha realizzato alcun programma di awareness o formazione dei propri dipendenti, nonostante il 71% riconosca la cybersecurity come priorità alta.

Obiettivi che la formazione deve raggiungere

Quando si parla di formazione in sicurezza informatica, non basta “farla”: deve essere mirata, continua, pratica e misurabile. Ecco cosa deve puntare a sviluppare:

Consapevolezza dei rischi comuni: phishing, social engineering, link o allegati sospetti, password deboli.
Conoscenza delle politiche aziendali: cosa è permesso, cosa non lo è, come segnalare incidenti o attività sospette.
Comportamenti sicuri: uso corretto delle password, autenticazione multi fattore, backup, aggiornamenti regolari, protezione dei dispositivi.
Rapidità nella segnalazione: incoraggiare un ambiente dove i dipendenti non abbiano timore a segnalare errori o possibili attacchi, anche se involontari.

Modalità efficaci e componenti chiave

Per essere efficace, un programma di formazione dovrebbe comprendere:

Sessioni iniziali obbligatorie per tutti, soprattutto al momento dell’ingresso in azienda, con moduli base su phishing, uso sicuro delle e-mail, accessi dormienti, ecc.
Formazione specifica per ruolo: gli addetti IT, il management, chi gestisce dati sensibili dovrebbero avere moduli più avanzati.
Simulazioni pratiche di phishing, test di social engineering, scenari reali: questo aiuta a mettere in pratica il sapere, non solo conoscerlo.
Materiale multimediale e campagne periodiche: video, giochi, quiz, newsletter, poster; mantenere alta l’attenzione nel tempo.
Verifica e misurabilità: definire metriche come % di dipendenti formati, numero di click su phishing simulati, tempo medio di risposta alla segnalazione, miglioramenti nel comportamento, e registrare questi dati.
Ripetizione regolare: la formazione non può essere un evento una tantum. Il panorama delle minacce evolve, così come nuovi tipi di phishing, attacchi via IA, deepfake, ecc.

Errori comuni da evitare

Per evitare che il programma di formazione sia solo “di facciata”, è importante stare attenti a:

Considerare la formazione come un obbligo burocratico, senza adattarla al contesto reale dei dipendenti.
Usare moduli troppo tecnici o complessi per ruoli non tecnici — si perde l’attenzione, il coinvolgimento.
Non effettuare simulazioni reali: senza mettere i dipendenti davanti a scenari concreti, molte nozioni restano astratte.
Non seguire i risultati: se non si misurano miglioramenti (es. riduzione del clic su phishing nelle simulazioni), non si può capire se si sta migliorando.
Non rinnovare il contenuto: lasciarsi annullare dal cambiamento delle minacce.
Non avere un registro: non calendarizzare la formazione porta ad un risultato poco coeso in termini di efficacia e di dimostrabilità in altre sedi

Impatto aziendale e ROI

La formazione porta benefici concreti:

Riduzione delle violazioni dovute al fattore umano, che costituiscono la maggior parte degli incidenti informatici.
Migliori tempi di rilevamento degli incidenti quando gli utenti sono più vigili e segnalano rapidamente.
Risparmi economici: costi minori per recupero, incident response, danni reputazionali.
Migliore conformità normativa: GDPR, NIS2 e altre normative prevedono l’obbligo di misure di sicurezza organizzative e tecniche, e la formazione è parte di queste misure.

Cosa fare subito: passi operativi

Per costruire un programma efficace, l’azienda può partire da questi passi:

Valutare lo stato attuale — fare una survey interna per capire quanta formazione esiste, che livello di consapevolezza, che incidenti passati.
Definire target chiari: es. “tutti i dipendenti entro 3 mesi”, “ridurre del 50% i click su phishing simulati in 6 mesi”, etc.
Sviluppare contenuti appropriati: modulare per livello, ruolo, area funzionale.
Selezionare canali e formati efficaci: online, in presenza, video, simulazioni, micro-learning.
Lanciare simulazioni e test: phishing simulato, test pratici, monitoraggio.
Misurare e migliorare: raccogliere feedback, monitorare metriche, aggiornare i moduli formativi.

Conclusione

La formazione dei dipendenti non è un optional, è la prima linea di difesa contro phishing, errori umani, insider threat e molte altre minacce.

Un programma ben calibrato, continuo, pratico e misurato non solo aiuta a prevenire attacchi ma rafforza anche cultura aziendale, fiducia degli stakeholder e resilienza complessiva.

Audita fornisce servizi di formazione in modalità asincrona su piattaforma dedicata, negli ambiti di GDPR, Privacy, NIS2

La Sicurezza delle Comunicazioni: dalla Crittografia end-to-end alla Fiducia Digitale

Audita — Wed, 18 Feb 2026 14:58:08 +0000

Ogni giorno miliardi di messaggi, file e videoconferenze attraversano reti pubbliche e private. Whatsapp, Google Meet, Zoom e Teams sono solo alcuni degli esempi di come la comunicazione, aziendale e non, sia migrata dall’analogico al digitale.

Ma quante di queste comunicazioni sono davvero sicure?
Nel 2026, la fiducia digitale è diventata una componente essenziale delle relazioni aziendali: clienti, partner e fornitori si aspettano che i dati scambiati siano protetti non solo da password, ma da architetture di sicurezza integrate e trasparenti.

Crittografia end-to-end: il nuovo standard

Un tempo associata alle app di messaggistica privata, la crittografia end-to-end (E2E) è oggi uno standard anche per le piattaforme aziendali.
Questo approccio garantisce che solo mittente e destinatario possano leggere i contenuti, impedendo a terzi — compresi i provider di servizio — di accedere ai dati in transito.
Adottarla significa rafforzare la riservatezza e prevenire fughe di informazioni, un rischio sempre più frequente nel lavoro ibrido.

Collaborazione e rischio: il lato invisibile della produttività

Strumenti di collaboration, cloud sharing e videoconferenza hanno reso le imprese più agili, ma anche più esposte.
Ogni link condiviso o file sincronizzato può diventare una potenziale falla di sicurezza.
La protezione dei dati nelle comunicazioni aziendali deve quindi basarsi su un mix di:

crittografia severa ma automatica,
gestione centralizzata delle chiavi crittografiche,
controllo dei dispositivi e delle identità digitali.

Solo così la produttività non entra in conflitto con la sicurezza.

Fiducia digitale e reputazione aziendale

Oggi la fiducia è il vero capitale competitivo.
Un singolo incidente di sicurezza può compromettere anni di lavoro, influenzando relazioni commerciali e reputazione del brand.
Le aziende più lungimiranti stanno costruendo un ecosistema di trust digitale, dove ogni comunicazione è verificabile, tracciabile e protetta.
In questo scenario, la sicurezza non è più un costo, ma un investimento strategico per mantenere credibilità e continuità.

Normative e responsabilità

Con l’arrivo di nuove regolamentazioni — dal GDPR alla NIS2, fino al Digital Operational Resilience Act (DORA) per il settore finanziario — le imprese devono dimostrare di avere processi di sicurezza robusti e documentabili.
La protezione dei canali di comunicazione entra così ufficialmente nel perimetro della compliance aziendale.

In Sintesi

La crittografia end-to-end è oggi uno standard anche per il B2B.
La sicurezza deve bilanciare produttività e riservatezza.
La fiducia digitale diventa un vantaggio competitivo.
Le nuove normative impongono tracciabilità e protezione dei flussi informativi.

Trasforma i dati in decisioni migliori.

Audita ti affianca con Risk Assessment, Audit, ISO27001.

Guida l’innovazione in modo responsabile → www.audita.tech

Automazione intelligente: quando l’AI incontra i processi aziendali

Audita — Wed, 18 Feb 2026 11:16:22 +0000

L’automazione non è più un concetto futuristico, ma una realtà che trasforma il modo in cui le aziende lavorano, decidono e crescono.
Oggi, grazie all’Intelligenza Artificiale, i sistemi non si limitano più a eseguire ordini: imparano, adattano e ottimizzano i processi in tempo reale.
Il risultato? Meno errori, maggiore efficienza e decisioni più consapevoli.

Dall’automazione tradizionale all’automazione cognitiva

La Robotic Process Automation (RPA) ha aperto la strada, automatizzando attività ripetitive come la gestione di fatture, report o inserimenti dati.
Ora, l’AI porta tutto questo a un livello superiore: algoritmi di machine learning e sistemi di Natural Language Processing consentono ai processi di ragionare, apprendere dai dati e adattarsi al contesto.
È la nascita dell’automazione intelligente, dove la macchina non solo esegue, ma anche decide come eseguire.

Efficienza e valore umano

Contrariamente a quanto si pensa, l’automazione non elimina il contributo umano: lo potenzia.
Le persone vengono liberate da compiti ripetitivi per concentrarsi su attività di analisi, relazione e innovazione.
Il vero valore nasce dalla collaborazione uomo-macchina, dove l’AI diventa un assistente capace di amplificare le capacità del team.

Sfide di governance e integrazione

Introdurre automazione intelligente richiede una strategia chiara.
Senza un disegno complessivo, il rischio è creare silos tecnologici e flussi disallineati.
Ecco perché le aziende più mature stanno adottando approcci di:

AI governance (chi controlla, misura e aggiorna gli algoritmi);
integrazione sicura con i sistemi legacy e i dati aziendali;
monitoraggio continuo dei risultati e dei rischi operativi.

Automatizzare in modo intelligente significa pianificare, non improvvisare.

ROI e cultura dell’innovazione

Oltre al risparmio di tempo e costi, l’automazione genera un impatto culturale: trasforma la mentalità aziendale.
Le organizzazioni che investono in AI e automazione sviluppano una cultura data-driven, più rapida nelle decisioni e più resiliente ai cambiamenti.
Il ritorno sull’investimento non è solo economico, ma anche organizzativo: più agilità, meno errori, maggiore qualità del servizio.

In Sintesi

L’AI trasforma l’automazione da esecuzione a intelligenza operativa.
Il vero valore nasce dalla collaborazione umano + macchina.
Governance e integrazione sono fondamentali per evitare rischi e inefficienze.
L’automazione intelligente migliora non solo i processi, ma anche la cultura aziendale.

Rafforza la tua resilienza digitale.

Audita offre Vulnerability Assessment, Risk Assessment, ISO 27001/22301, NIS2 e programmi di formazione per una sicurezza completa.

Proteggi davvero la tua organizzazione → www.audita.tech

DATA BREACH: l’Inarrestabile Fenomeno delle Violazioni alla Privacy

Audita — Thu, 05 Feb 2026 16:50:30 +0000

Data Breach: Dati Personali Violati

Una violazione dei dati personali, comunemente nota come “data breach”, è definita dal Regolamento (UE) 2016/679 (GDPR) come “una violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”. Questa definizione, recepita dall’ordinamento italiano, copre un’ampia gamma di incidenti che possono compromettere la sicurezza delle informazioni personali.

Le violazioni possono essere classificate in base ai tre principi fondamentali della sicurezza delle informazioni:

Violazione della riservatezza: Divulgazione o accesso non autorizzato o accidentale a dati personali.
Violazione dell’integrità: Modifica non autorizzata o accidentale di dati personali.
Violazione della disponibilità: Perdita, distruzione o impossibilità di accesso, accidentale o non autorizzata, ai dati personali.

Le cause di un data breach sono molteplici e possono includere attacchi informatici esterni (come attacchi hacker, ransomware, malware), errori umani, vulnerabilità tecniche non risolte, furto o smarrimento di dispositivi (es. laptop, chiavette USB), o eventi accidentali come incendi o altre calamità.

Obblighi Normativi del Titolare del Trattamento

Il GDPR impone al titolare del trattamento una serie di obblighi precisi da adempiere in caso di violazione dei dati personali, fondati sul principio di accountability (responsabilizzazione).

2.1 Notifica all’Autorità di Controllo

In caso di data breach, il titolare del trattamento ha l’obbligo di notificare la violazione all’autorità di controllo competente, che in Italia è il Garante per la protezione dei dati personali. Tale notifica deve avvenire “senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza”.

L’obbligo di notifica non è assoluto. Esso viene meno qualora “sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche”. Se la notifica viene effettuata oltre il termine di 72 ore, deve essere corredata da una giustificazione del ritardo. Il responsabile del trattamento, a sua volta, ha l’obbligo di informare il titolare senza ingiustificato ritardo non appena viene a conoscenza di una violazione.

La notifica deve contenere informazioni specifiche, come descritto dall’art. 33, paragrafo 3, del GDPR:

a) descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione; b) comunicare il nome e i dati di contatto del responsabile della protezione dei dati (DPO) o di altro punto di contatto; c) descrivere le probabili conseguenze della violazione dei dati personali; d) descrivere le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione e per attenuarne i possibili effetti negativi .

Qualora non sia possibile fornire tutte le informazioni contestualmente, esse possono essere trasmesse in fasi successive.

2.2 Comunicazione agli Interessati

Quando la violazione dei dati personali “è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche”, il titolare del trattamento ha anche l’obbligo di comunicare la violazione agli interessati, senza ingiustificato ritardo. La comunicazione deve descrivere con un linguaggio semplice e chiaro la natura della violazione e contenere almeno le informazioni e le misure di cui all’articolo 33, paragrafo 3, lettere b), c) e d). Lo scopo è permettere agli interessati di adottare le necessarie precauzioni per proteggersi.

2.3 Documentazione Interna della Violazione

Indipendentemente dalla notifica al Garante o dalla comunicazione agli interessati, il titolare del trattamento deve documentare tutte le violazioni di dati personali. Tale documentazione, spesso tenuta in un apposito “registro delle violazioni”, deve includere le circostanze della violazione, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Questo registro consente all’autorità di controllo di verificare il rispetto della normativa.

Fasi di Gestione del Data Breach e Conseguenze

La gestione di un data breach si articola in diverse fasi cruciali, ognuna con potenziali conseguenze legali e operative.

Fase	Azione / Evento	Possibili Conseguenze Giuridiche e Operative
Rilevamento dell’incidente	Scoperta della violazione tramite monitoraggio, segnalazioni o audit di sicurezza.	Un ritardo nel rilevamento può aggravare il danno e rendere più difficile la mitigazione. È fondamentale stabilire tempestivamente la natura e la gravità della violazione per adempiere agli obblighi di notifica.
Valutazione del rischio	Analisi della natura dei dati coinvolti (comuni, particolari, giudiziari), del numero di interessati e dei potenziali impatti sui loro diritti e libertà.	Una valutazione errata può portare a omettere la notifica al Garante o la comunicazione agli interessati, con conseguente violazione del GDPR. La valutazione determina gli obblighi successivi.
Notifica al Garante	Invio della notifica entro 72 ore tramite la procedura telematica predisposta dal Garante. La notifica deve essere completa degli elementi richiesti dall’art. 33 GDPR.	L’omessa, tardiva o incompleta notifica costituisce una violazione del GDPR e può comportare l’irrogazione di sanzioni amministrative pecuniarie.
Comunicazione agli interessati	Se il rischio è valutato come “elevato”, invio di una comunicazione chiara e trasparente agli interessati, fornendo indicazioni su come proteggersi.	La mancata comunicazione, quando dovuta, non solo espone a sanzioni, ma aggrava il danno reputazionale e la perdita di fiducia da parte degli utenti.
Mitigazione e rimedio	Adozione di misure tecniche e organizzative per contenere la violazione, ripristinare la sicurezza e l’integrità dei dati e prevenire incidenti futuri.	La tempestività e l’efficacia delle misure correttive sono elementi valutati dall’autorità di controllo per determinare la gravità della violazione e l’eventuale sanzione. Dimostrano la diligenza del titolare.
Documentazione e audit	Registrazione dettagliata dell’incidente nel registro delle violazioni, come richiesto dall’art. 33, par. 5, del GDPR.	La documentazione è essenziale per dimostrare la conformità al principio di accountability e per le analisi post-incidente volte a migliorare le misure di sicurezza.

Sanzioni e Responsabilità Legali

Le conseguenze di un data breach non gestito correttamente possono essere molto severe.

Sanzioni Amministrative Pecuniarie: Il GDPR prevede sanzioni amministrative che possono arrivare, a seconda della gravità e della natura della violazione, fino a 20 milioni di euro o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente. Per violazioni degli obblighi di notifica (art. 33) o di sicurezza (art. 32), le sanzioni possono arrivare fino a 10 milioni di euro o al 2% del fatturato. È importante notare che, in caso di sovrapposizione con altre normative come la Direttiva NIS2, i meccanismi sanzionatori sono coordinati per evitare il ne bis in idem 4.
Diritto al Risarcimento del Danno: L’articolo 82 del GDPR stabilisce che “chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento”.

- Onere della prova: Il titolare può essere esonerato dalla responsabilità solo se dimostra che “l’evento dannoso non gli è in alcun modo imputabile”.

- Danno non in re ipsa: La giurisprudenza, sia nazionale che europea, ha chiarito che il danno non è automatico (non è in re ipsa). La mera violazione di una norma del GDPR non è sufficiente per ottenere un risarcimento. L’interessato deve dimostrare di aver subito un danno effettivo e il nesso causale tra la violazione e il danno.

- Danno immateriale: La Corte di Giustizia dell’UE ha precisato che anche una “perdita del controllo di durata limitata” sui propri dati personali può costituire un “danno immateriale” risarcibile, a condizione che l’interessato dimostri di aver effettivamente subito tale danno, “per quanto minimo” 6. La lesione deve essere seria e non un mero disagio transitorio.

Misure di Prevenzione e Gestione

La migliore difesa contro i data breach è un approccio proattivo alla sicurezza, come richiesto dall’art. 32 del GDPR (“Sicurezza del trattamento”). Le buone pratiche includono:

Misure tecniche adeguate: Utilizzo di cifratura, pseudonimizzazione, hashing delle password e autenticazione a più fattori, specialmente per dati sensibili o finanziari.
Resilienza e ripristino: Implementazione di sistemi di backup regolari e testati per garantire la capacità di ripristinare tempestivamente la disponibilità e l’accesso ai dati in caso di incidente.
Monitoraggio e aggiornamento costanti: Adozione di procedure per testare, verificare e valutare regolarmente l’efficacia delle misure di sicurezza e per l’aggiornamento costante di software e firmware.
Formazione del personale: Sensibilizzazione e formazione periodica dei dipendenti sui rischi (es. phishing, social engineering) e sulle procedure interne di gestione degli incidenti.
Policy e procedure: Adozione di un “Manuale per la gestione delle violazioni dei dati” che definisca ruoli, responsabilità e procedure chiare per la risposta agli incidenti.

In conclusione, un data breach rappresenta un evento critico con profonde implicazioni legali, economiche e reputazionali. Il quadro normativo europeo e nazionale impone un approccio basato sulla prevenzione, la trasparenza e la responsabilità. La gestione efficace di un incidente, caratterizzata da rapidità, diligenza e comunicazione chiara, è fondamentale non solo per adempiere agli obblighi di legge, ma anche per mitigare i danni e preservare la fiducia degli interessati e del mercato.

OSINT – L’intelligence online

Audita — Fri, 16 Jan 2026 09:30:50 +0000

Quando le informazioni pubbliche proteggono… oppure mettono a rischio persone e istituzioni

L’OSINT (Open-Source Intelligence) è l’attività di raccolta e analisi di informazioni disponibili pubblicamente: dai social media agli archivi istituzionali, dai dati di geolocalizzazione alle immagini e ai metadati. Ben gestito, l’OSINT è uno strumento fondamentale per la sicurezza nazionale, aziendale e personale. Tuttavia, l’utilizzo di fonti online richiede attenzione poiché la natura “pubblica” può renderle vulnerabili a abusi che compromettono privacy, diritti fondamentali e libertà di stampa. Inoltre, l’accesso a informazioni online può influenzare le dinamiche sociali in modi imprevedibili.

Caso Fanpage: spionaggio digitale e sorveglianza contro giornalisti

Negli ultimi mesi, il panorama italiano ed europeo è stato scosso da un grave episodio di spyware militare utilizzato contro giornalisti e attivisti. Attraverso notifiche ufficiali inviate da WhatsApp/Meta, è emerso che il direttore di Fanpage.it, Francesco Cancellato, insieme ad altri cronisti e attivisti, è stato preso di mira da uno spyware denominato “Graphite”. Lo spyware, classificato come software di sorveglianza avanzata a “zero-click”, è stato prodotto dalla società Paragon Solutions e ha la capacità di compromettere smartphone senza alcuna interazione da parte dell’utente.

È importante considerare come l’informazione online possa essere utilizzata in contesti di sicurezza.

Successivamente, è stato confermato da fonti indipendenti come Citizen Lab e il Committee to Protect Journalists che almeno un secondo giornalista di Fanpage è stato anch’esso colpito da tecnologie simili, aumentando le preoccupazioni sulla diffusione di tali strumenti in ambiti non strettamente legittimati.

Organizzazioni internazionali per la difesa della libertà di stampa hanno chiesto trasparenza alle autorità nazionali ed europee e sottolineato l’importanza di garantire che nessuno – tantomeno cronisti impegnati nell’inchiesta – sia sottoposto a sorveglianza illegittima.

Questo caso rappresenta non solo una vulnerabilità tecnologica ma anche una questione di tutela dei diritti fondamentali, in cui OSINT e strumenti connessi sono stati potenzialmente strumentalizzati oltre il loro uso previsto.

In un mondo sempre più connesso, l’informazione disponibile online può rivelarsi fondamentale per la sicurezza collettiva.

OSINT: potenzialità e rischi documentati

Opportunità

L’OSINT è utilizzato da enti pubblici e forze dell’ordine per:

monitorare fenomeni complessi di sicurezza interna ed esterna
integrare indagini giudiziarie e operative con dati pubblicamente disponibili
analizzare trend geopolitici e minacce ibride

Rischi concreti

Tra le principali aree di criticità:

1. Identificazione e tracciamento:
L’incrocio di immagini, metadati e localizzazione può rivelare abitudini e spostamenti di individui, esponendo persone pubbliche, giornalisti o funzionari a rischi di sorveglianza non autorizzata.

L’identificazione delle persone può avvenire attraverso la raccolta di dati online, rendendo necessaria una vigilanza continua.

2. Profilazione avanzata:
Dati disponibili online possono essere combinati per creare profili completi, usati per campagne di phishing, attacchi mirati o manipolazioni psicografiche.

La profilazione avanzata richiede un’analisi attenta dei dati disponibili online, per evitare conseguenze indesiderate.

3. Minacce alla libertà di stampa:
Come evidenziato nel caso Fanpage, strumenti di sorveglianza sofisticati possono compromettere le comunicazioni di cronisti e fonti, minacciando la protezione delle fonti e la libertà di informazione, diritti riconosciuti anche nei principi internazionali di tutela della libertà di espressione.

Audita e il ruolo della sicurezza nelle istituzioni

Audita S.r.l., con sede a Ferrara, opera nel settore della consulenza informatica e cybersecurity, con servizi dedicati alla protezione dei dati, sicurezza delle infrastrutture digitali e difesa da minacce informatiche. La società supporta enti pubblici e organizzazioni nella gestione delle vulnerabilità, nella progettazione di sistemi conformi alle norme di sicurezza (es. ISO 27001) e nelle attività di digital forensics in contesti civili e penali.

In un contesto in cui la compliance normativa e la tutela della privacy sono priorità per le Pubbliche Amministrazioni, il contributo di esperti in sicurezza delle informazioni – in linea con i requisiti del Garante per la protezione dei dati personali e delle direttive europee – diventa fondamentale per mitigare i rischi connessi a OSINT e tecnologie di sorveglianza.

Conclusioni e raccomandazioni per le PA

L’OSINT non è di per sé né “buono” né “cattivo”: è un insieme di tecniche che, se impiegate responsabilmente, arricchiscono le capacità di analisi e protezione di enti pubblici e privati. Tuttavia:

Il monitoraggio delle risorse online deve avvenire con attenzione per rispettare i diritti individuali.

è essenziale garantire trasparenza e legittimità legale nell’uso di strumenti di sorveglianza;
le amministrazioni devono aggiornare policy di sicurezza delle informazioni, protezione dei dati personali e gestione delle minacce digitali;
è fondamentale adottare sistemi di risk assessment e audit periodici per verificare l’esposizione delle organizzazioni alle vulnerabilità OSINT-derivate.

La sicurezza delle informazioni online è una priorità per le istituzioni di oggi.

Audita è disponibile a collaborare con enti pubblici per sviluppare strategie di sicurezza informativa, supportare compliance normativa e rafforzare la resilienza contro minacce digitali avanzate.

Dati Sanitari e Privacy: la Gestione in Sicurezza delle Informazioni Sensibili

Audita — Thu, 08 Jan 2026 13:11:22 +0000

Dati sanitari e privacy: la gestione sicura delle informazioni sensibili

Definizione e Qualificazione Giuridica dei Dati Sanitari

I dati relativi alla salute sono definiti dall’articolo 4, paragrafo 1, numero 15, del Regolamento (UE) 2016/679 (GDPR) come “i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute”. Questa nozione ampia include non solo informazioni tradizionali come diagnosi, referti e terapie, ma anche qualsiasi dato (come un numero identificativo univoco) dal quale si possano desumere informazioni sullo stato di salute di un individuo.

Tali dati sono classificati come “categorie particolari di dati personali” ai sensi dell’articolo 9 del GDPR. Il loro trattamento è, in linea di principio, vietato, data la loro natura estremamente sensibile e i rischi significativi che un loro trattamento improprio potrebbe comportare per i diritti e le libertà fondamentali delle persone fisiche, come evidenziato dal Considerando 51 del Regolamento.

Quadro Normativo di Riferimento
Dati Sanitari: Aspetti Critici nella Protezione

La gestione dei dati sanitari è disciplinata da un complesso quadro normativo che integra fonti europee e nazionali:

Regolamento (UE) 2016/679 (GDPR): È la fonte normativa principale. L’articolo 9 stabilisce il divieto generale di trattamento delle categorie particolari di dati e le relative eccezioni. L’articolo 32 impone l’adozione di misure di sicurezza adeguate al rischio, mentre l’articolo 25 sancisce i principi di protezione dei dati fin dalla progettazione e per impostazione predefinita (Privacy by Design & by Default).
Codice in materia di protezione dei dati personali (D.Lgs. 196/2003): Come novellato dal D.Lgs. 101/2018, il Codice integra e specifica le disposizioni del GDPR nell’ordinamento italiano, con norme specifiche per il settore sanitario (es. artt. 75 e ss.).
Provvedimenti del Garante per la protezione dei dati personali: L’Autorità ha emanato numerosi provvedimenti e linee guida per fornire indicazioni operative agli operatori del settore. Tra questi, i “Chiarimenti sull’applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario” del 7 marzo 2019 e le “Prescrizioni relative al trattamento di categorie particolari di dati” del 5 giugno 2019 sono di fondamentale importanza.

Principi e Basi Giuridiche per il Trattamento Lecito

Il divieto di trattamento dei dati sanitari di cui all’art. 9, par. 1, del GDPR può essere superato solo in presenza di una delle condizioni di liceità elencate al paragrafo 2 dello stesso articolo. Per l’ambito sanitario, le basi giuridiche più rilevanti sono:

Finalità di cura (Art. 9, par. 2, lett. h): Il trattamento è necessario per “finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali”. Tale trattamento deve avvenire sulla base del diritto dell’Unione o degli Stati membri o di un contratto con un professionista della sanità e deve essere effettuato da o sotto la responsabilità di un professionista soggetto al segreto professionale.
Consenso esplicito dell’interessato (Art. 9, par. 2, lett. a): Per finalità diverse dalla cura (es. utilizzo di app per il monitoraggio dello stile di vita, trattamenti per finalità commerciali o promozionali), è necessario acquisire il consenso esplicito, libero, specifico e informato dell’interessato.
Motivi di interesse pubblico nel settore della sanità pubblica (Art. 9, par. 2, lett. i): Questa base giuridica è utilizzata, ad esempio, per il monitoraggio delle epidemie o per altre minacce sanitarie transfrontaliere, e deve essere prevista da una norma di legge.

Indipendentemente dalla base giuridica, ogni trattamento deve rispettare i principi fondamentali dell’articolo 5 del GDPR: liceità, correttezza, trasparenza, limitazione della finalità, minimizzazione dei dati, esattezza, limitazione della conservazione, integrità e riservatezza.

Misure di Sicurezza Tecniche e Organizzative

L’articolo 32 del GDPR impone al titolare e al responsabile del trattamento di mettere in atto “misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio”. Data l’elevata sensibilità dei dati sanitari, sono richiesti i più elevati standard di sicurezza.

Area di Intervento	Misure Pratiche Consigliate	Riferimenti Normativi e Orientamenti
Governance e Ruoli	Nomina di un Responsabile della Protezione dei Dati (DPO), adozione di policy interne, definizione chiara di ruoli e responsabilità per il personale autorizzato al trattamento.	Art. 37-39 GDPR; Art. 24 GDPR (Responsabilizzazione).
Controllo degli Accessi	Applicazione rigorosa dei principi di least privilege (minimo privilegio) e need-to-know (necessità di sapere). Gli accessi devono essere differenziati in base ai ruoli (es. personale sanitario vs. personale amministrativo) e revocati tempestivamente al termine dell’incarico.	Art. 32, par. 1, lett. b) GDPR [48]; Linee guida EDPB 4/2019 [46][42].
Cifratura e Pseudonimizzazione	Cifratura dei dati sia a riposo (su server, database, backup) sia in transito (durante la trasmissione su reti). La pseudonimizzazione deve essere utilizzata per ridurre i rischi, ad esempio in contesti di ricerca o analisi.	Art. 32, par. 1, lett. a) GDPR; Linee guida EDPB 4/2019.
Registrazione e Monitoraggio (Log)	Implementazione di sistemi di audit trail che registrino chi ha effettuato l’accesso, quando e quali operazioni ha compiuto. I log devono essere protetti da alterazioni e analizzati regolarmente per rilevare accessi anomali o sospetti.	Art. 32, par. 1, lett. b) e d) GDPR [48]; Provvedimento Garante 24/01/2024.
Valutazione d’Impatto (DPIA)	Obbligatoria per i trattamenti su larga scala di dati sanitari o che utilizzano nuove tecnologie (es. sistemi basati su IA, Fascicolo Sanitario Elettronico), in quanto presentano un rischio elevato per i diritti e le libertà degli interessati.	Art. 35 GDPR; Tribunale di Udine, Sentenza n.811 del 20/11/2023.
Conservazione e Cancellazione	Definizione di policy di data retention che stabiliscano tempi di conservazione certi e proporzionati alle finalità di cura o legali. Al termine del periodo, i dati devono essere cancellati o anonimizzati in modo sicuro.	Art. 5, par. 1, lett. e) GDPR (Limitazione della conservazione).
Gestione delle Violazioni (Data Breach)	Adozione di procedure per rilevare, valutare e gestire le violazioni. Obbligo di notifica al Garante entro 72 ore se la violazione presenta un rischio, e di comunicazione agli interessati se il rischio è elevato.	Art. 33-34 GDPR; Provvedimento Garante 04/07/2024.
Formazione del Personale	Formazione continua e specifica per tutto il personale (sanitario e non) autorizzato a trattare dati sanitari, con focus sui rischi, sulle procedure interne e sugli obblighi di riservatezza.	Art. 32, par. 4 GDPR; Tribunale Ordinario Roma, sentenze n. 24346/2019 e 24202/2019.

Rischi e Responsabilità in caso di Violazione

La gestione inadeguata dei dati sanitari espone il titolare a gravi conseguenze.

Sanzioni Amministrative: Il Garante può irrogare sanzioni pecuniarie fino a 20 milioni di euro o al 4% del fatturato annuo mondiale, a seconda della gravità della violazione (art. 83 GDPR).
Diritto al Risarcimento del Danno (Art. 82 GDPR): Chiunque subisca un danno, materiale o immateriale, a causa di una violazione del GDPR ha diritto a ottenere un risarcimento. La giurisprudenza ha chiarito che:

- La responsabilità del titolare è presunta: è suo onere dimostrare che l’evento dannoso non gli è in alcun modo imputabile.

- Il danno non è in re ipsa (automatico): la mera violazione della norma non è sufficiente. L’interessato deve provare di aver subito un danno effettivo e il nesso causale con la violazione.

- Anche una “perdita del controllo” sui propri dati può costituire un danno immateriale risarcibile, purché l’interessato dimostri di aver subito un pregiudizio effettivo, “per quanto minimo”.

Conclusioni

La protezione dei dati sanitari è un obbligo giuridico non derogabile e un imperativo etico. Non è sufficiente affidarsi a misure di sicurezza generiche; è necessario un approccio olistico e proattivo, basato sui principi di Privacy by Design e by Default Cit. 41. Le organizzazioni sanitarie devono integrare la protezione dei dati in ogni processo, adottando misure tecniche e organizzative rigorose, garantendo una formazione costante del personale e mantenendo un alto livello di vigilanza. Solo così è possibile tutelare la riservatezza degli individui, mantenere la loro fiducia e mitigare i severi rischi legali, finanziari e reputazionali associati a una gestione non conforme.

Cloud, edge e sovranità digitale: dove vanno i dati?

Audita — Tue, 30 Dec 2025 15:41:07 +0000

Il cloud non è più una novità, ma una realtà consolidata. Eppure, nel 2026, la domanda più importante non è più se spostare i dati nel cloud, ma dove farlo — e a chi affidarsi.
Con l’ascesa di nuove tecnologie come edge computing e l’attenzione crescente alla sovranità digitale, le aziende europee stanno ripensando completamente il modo in cui gestiscono e proteggono le proprie informazioni.

Dal cloud al cloud distribuito

Negli ultimi anni, il cloud è passato da modello centralizzato a ecosistema distribuito.
Le imprese combinano infrastrutture pubbliche, private e ibride per bilanciare flessibilità, controllo e sicurezza.
Questo approccio “multi-cloud” permette di ottimizzare i costi e le prestazioni, ma apre anche nuove sfide: interoperabilità, governance dei dati e controllo degli accessi.
La domanda non è più solo quanto costa il cloud, ma quanto è affidabile e conforme.

L’edge computing: il cloud che si avvicina

Con la crescita dell’IoT e dei sistemi connessi, nasce la necessità di elaborare i dati vicino alla loro origine.
È qui che entra in gioco l’edge computing: una rete di nodi intelligenti che riduce la latenza e migliora la sicurezza, elaborando le informazioni localmente prima di inviarle al cloud centrale.
Per i settori industriali, sanitari e logistici, questa architettura rappresenta un vantaggio competitivo in termini di velocità e riservatezza.

Sovranità digitale: l’Europa reagisce

L’Unione Europea ha lanciato diverse iniziative per garantire la sovranità digitale, ossia il diritto di cittadini e aziende europee di controllare i propri dati.
Progetti come GAIA-X e le normative GDPR e NIS2 mirano a creare un’infrastruttura cloud sicura, trasparente e conforme agli standard europei.
In questo scenario, le aziende devono scegliere con attenzione i propri provider, verificando dove vengono archiviati i dati e sotto quale giurisdizione legale ricadono.

Governare la complessità

Gestire ambienti cloud e edge multipli richiede una governance chiara, che definisca:

chi ha accesso ai dati e in quali condizioni,
come vengono monitorate le piattaforme,
quali procedure di sicurezza e continuità operativa sono in atto.

Le organizzazioni più mature trattano il cloud non come un servizio, ma come un pilastro strategico della propria resilienza digitale.

In Sintesi

Le aziende si muovono verso modelli multi-cloud e edge computing.
Cresce l’importanza della sovranità digitale europea e della trasparenza dei provider.
Serve una governance dei dati solida e coerente con le normative GDPR e NIS2.
Il cloud non è più solo tecnologia: è una scelta strategica di fiducia.

Trasforma i tuoi dati in un asset strategico.
Scopri come dare valore ai tuoi dati: www.audita.tech