In un’epoca segnata dall’acuirsi delle fragilità sociali e dalla pervasività del digitale, le Comunità terapeutiche per minori (CTM) si trovano ad affrontare non solo la cronica carenza di risorse, ma anche un pericolo invisibile: la minaccia cyber. Queste realtà, che accolgono soggetti in situazioni di allontanamento temporaneo dalla famiglia, sono oggi definite dagli esperti come l’incarnazione perfetta di “soft target” – obiettivi considerati un facile bersaglio dai cybercriminali – nel settore sociosanitario italiano, a causa delle risorse limitate e della scarsa percezione della minaccia informatica. L’intersezione tra la vulnerabilità dei minorenni accolti e la fragilità dei sistemi digitali sanitari solleva preoccupazioni acute: i dati psichiatrici e clinici dei minori – che includono storia clinica, traumi e vulnerabilità psicologiche – hanno infatti un valore economico altissimo nel mercato criminale, aumentando la vulnerabilità dei ragazzi e delle ragazze a sfruttamento e abuso, ricattabilità e compromissione della privacy. DATI SENSIBILI E RICATTO  DIGITALE: IL DILEMMA DELLA CYBERSICUREZZA NEI CTM Secondo quanto riporta il 12° rapporto del Gruppo di lavoro per la Convenzione sui diritti dell’Infanzia e dell’Adolescenza, in Italia ci sono circa 70 CTM distribuiti sul territorio nazionale (con l’eccezione di Friuli-Venezia Giulia, Molise, Basilicata e Calabria). Queste strutture, che faticano a soddisfare una domanda in continuo aumento, sono chiamate a gestire minorenni sempre più segnati da molteplici problematicità e da disagio psichico, un deterioramento serio della condizione giovanile che fatica a diventare una priorità nell’agenda politica. I CTM, oltre a dover affrontare difficili e cruciali sfide cliniche – e a fare i conti . con una preoccupante carenza di personale sanitario specializzato, come neuropsichiatri, psicologi ed educatori – si trovano così di fronte alla cruciale e inattesa sfida della sicurezza digitale. Walter Pisci, direttore clinico della comunità Inus, ha fornito una fotografia dettagliata delle difficoltà che queste piccole e medie imprese incontrano nel proteggere i dati sensibili dei minori. Pisci ha sottolineato come la figura di un esperto di cybersicurezza sarebbe “utile e necessaria” all’interno di una comunità terapeutica. Ma c’è un problema, che Pisci riassume così: “Chi paga l’esperto?”. La gestione del bilancio, già focalizzata sulle figure professionali cliniche e terapeutiche richieste dai requisiti regionali (medici, psicologi, infermieri, educatori), non è in grado di assorbire facilmente questi costi aggiuntivi. I costi per adeguarsi alla normativa europea GDPR, che regolamenta la gestione dei dati sensibili, non sono computati nel calcolo della retta giornaliera, ma sono extra. “La comunità paga da 4 a 5mila euro ogni anno solo per l’adeguamento alla normativa GDPR con formazione specifica e consulenze tecnico-informatiche legate alla protezione dei dati, escluse le spese di manutenzione ordinaria”. Nel frattempo, l’ombra delle minacce informatiche è sempre dietro l’angolo: “Cinque anni fa abbiamo subito un grave attacco informatico”, spiega Pisci. “Un software malevolo aveva permesso un accesso esterno e la cifratura di tutti i dati contenuti nelle cartelle condivise”. Tra questi dati erano presenti informazioni sensibili dei pazienti. “È stato chiesto un riscatto di 50mila euro in Bitcoin”, ricorda Pisci. I cybercriminali non erano riusciti ad acquisire i dati, ma solo a criptarli nel sistema. Grazie alla denuncia al DPO (Data Protection Officer) e all’uso dei backup, i dati sono stati poi recuperati. A seguito di questo evento, la procedura di sicurezza è cambiata. La comunità ha abbandonato il NAS, giudicato più esposto, Tuttavia, ha anche deciso di  portare tutti i dati su piattaforme cloud esterne private, affidandoli ai sistemi di grandi multinazionali. Questa soluzione, che richiede comunque attenzione nella gestione e protezione dei dati, viene utilizzata con successo da cinque anni. L’ALLARME ROSSO DELLE COMUNITÀ “SOFT TARGET” Secondo gli ultimi dati dell’Agenzia per la Cybersicurezza Nazionale, tra gennaio e settembre di quest’anno il settore sanitario ha registrato un +40% di attacchi cyber rispetto al 2024. “E le comunità terapeutiche per minori sono tra quelle maggiormente a rischio, perché incarnano perfettamente il profilo di soft target nel settore sociosanitario italiano”, spiega l’esperto di sicurezza Pierluigi Paganini. “Sono piccole strutture con risorse limitate, spesso prive di presidi cyber basilari e soprattutto con scarsa percezione della minaccia informatica”.  In queste strutture, le vulnerabilità tipiche includono l’assenza di reti segmentate (che aumentano la sicurezza della rete suddividendola in reti minori), software obsoleti, assenza di soluzioni di sicurezza, mancanza di un sistema di registrazione centralizzato e soprattutto nessuna formazione per il personale socioeducativo. Tra le misure minime e urgenti che possono proteggere le comunità ci sono la cifratura dei dati archiviati (at-rest, ovvero database, file e dispositivi portatili come hard disk o chiavette USB) e dei dati in transito (tramite protocolli sicuri come HTTPS, SFTP o reti VPN), l’adozione di backup cifrati e separati dalla rete principale (regolarmente testati per il ripristino), la gestione degli accessi tramite l’autenticazione multi-fattore e il principio di least privilege. È poi necessario utilizzare software di sicurezza, mantenere aggiornati software ed applicazioni ed eseguire revisioni periodiche con verifica delle procedure, oltre a implementare politiche per la gestione dei sistemi di sicurezza delle informazioni e lavorando sulla formazione del personale, organizzando simulazioni di crisi in un ambiente controllato, senza impatto reale sui sistemi. L’IMPORTANZA DEL FATTORE UMANO Secondo Emanuela Urban, Head of ICT Project & Function della società di consulenza informatica Ipsoft, la vulnerabilità più significativa in queste strutture è rappresentata proprio dal fattore umano. Gran parte del rischio deriva da un utilizzo talvolta inconsapevole degli strumenti di servizio. La poca consapevolezza degli operatori è la causa scatenante di molte frodi informatiche, come il banale errore di cliccare su un link malevolo ricevuto via email, che può portare alla diffusione di dati sensibili. “È fondamentale che le aziende e i gruppi di lavoro sottolineino la necessità di una maggiore consapevolezza per il trattamento dei dati”, spiega Urban, che aggiunge un secondo fattore: l’anzianità degli strumenti utilizzati. “Il ritardo nell’evoluzione tecnologica, che impedisce la messa in sicurezza necessaria, è spesso attribuibile alla difficoltà di sostenere economicamente le operazioni di ammodernamento”. Secondo Urban, sono due le tipologie di attacchi informatici che mettono maggiormente a rischio i dati sensibili: il furto di credenziali, che costituisce la base da cui gli aggressori possono avviare l’escalation per accedere ai dati, e la sicurezza dei sistemi perimetrali: “Se questi sistemi non sono ben mantenuti, non sono presidiati in modo efficace o non dispongono di policy chiare e aggiornate diventano importanti vie di accesso per intromissioni esterne”. Per aumentare il livello di sicurezza, Urban evidenzia la necessità di un approccio su più fronti. Il primo è la formazione operativa e la consapevolezza: l’operatore deve essere cosciente del rischio potenziale anche quando i sistemi automatici non hanno ancora tracciato una minaccia, come un link non verificato. Intervenire con l’informazione può prevenire azioni rischiose, come cliccare su mittenti o contenuti sospetti. Il secondo approccio riguarda l’adozione di strumenti che aiutino ad arginare gli attacchi alla base, in particolare contro il furto di credenziali. Terzo fattore, il supporto legislativo e l’audit: le istituzioni dovrebbero supportare le strutture sanitarie medio-piccole per contrastare gli attacchi informatici. In questo contesto, l’ACN svolge un ruolo informativo tramite newsletter e comunicazioni sul potenziale rischio o sulle violazioni in corso relative a specifici strumenti. Infine, Urban sottolinea l’importanza di investire in strumenti di sicurezza ma, soprattutto, nell’aumento della consapevolezza degli operatori: “Questo non rappresenta per l’azienda un costo, ma un vantaggio competitivo”. L'articolo Come anche le comunità per minori sono esposte a minacce cyber proviene da Guerre di Rete.

Il Primo Ministro spagnolo Pedro Sánchez ha annunciato che il suo governo avvierà un'indagine nei confronti di Meta, proprietaria di Facebook e Instagram, per una possibile violazione della privacy degli utenti delle sue applicazioni social. Come riferisce l'agenzia di stampa Reuters, l'inchiesta nasce da una ricerca condotta da diversi centri di ricerca internazionali, che hanno scoperto che l'azienda avrebbe utilizzato un meccanismo nascosto per tracciare l'attività web degli utenti di dispositivi Android, ha dichiarato l'ufficio di Sánchez in un comunicato. «In Spagna, la legge è al di sopra di qualsiasi algoritmo o grande piattaforma tecnologica», ha affermato Sánchez, secondo quanto riportato nella nota. «E chiunque violi i nostri diritti ne pagherà le conseguenze». Il governo ha dichiarato che Meta potrebbe aver violato diverse normative dell'Unione Europea in materia di sicurezza e privacy, tra cui il Regolamento generale sulla protezione dei dati (GDPR), la Direttiva ePrivacy, il Digital Markets Act e il Digital Services Act. Fonte qui

Come gradualmente trapelato negli ultimi giorni da vari organi di informazione, la Commissione UE ha segretamente messo in moto una riforma potenzialmente massiccia del GDPR. Se le bozze interne diventassero realtà, ciò avrebbe un impatto significativo sul diritto fondamentale delle persone alla privacy e alla protezione dei dati. La riforma farebbe parte del cosiddetto "Digital Omnibus", che avrebbe dovuto apportare solo adeguamenti mirati per semplificare la conformità per le imprese. Ora la Commissione propone di modificare elementi fondamentali come la definizione di "dati personali" e tutti i diritti degli interessati previsti dal GDPR. La bozza trapelata suggerisce anche di dare alle aziende di IA (come Google, Meta o OpenAI) un assegno in bianco per risucchiare i dati personali degli europei. Inoltre, la protezione speciale dei dati sensibili, come quelli relativi alla salute, alle opinioni politiche o all'orientamento sessuale, verrebbe significativamente ridotta. Verrebbe inoltre consentito l'accesso remoto ai dati personali su PC o smartphone senza il consenso dell'utente. Molti elementi della riforma prevista ribalterebbero la giurisprudenza della CGUE, violerebbero le convenzioni europee e la Carta europea dei diritti fondamentali. Se questa bozza estrema diventerà la posizione ufficiale della Commissione europea, sarà chiaro solo il 19 novembre, quando il "Digital Omnibus" sarà presentato ufficialmente. Schrems: "Si tratterebbe di un massiccio declassamento della privacy degli europei, dieci anni dopo l'adozione del GDPR."

Matteo Piantedosi è intervenuto all’evento per i 20 anni del Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche (Cnaipic). Il ministro dell’Interno ha indicato questo nuovo bilanciamento di diritti a cui spera le piattaforme di messaggistica (da WhatsApp a Signal fino a Telegram) si adeguino presto per consentire alle Forze dell’Ordine di “rompere” la crittografia end-to-end per le attività investigative contro i cyber criminali. “Le policy delle grandi piattaforme sono molto incentrate sull’offerta della privacy degli utenti”, ha osservato Piantedosi. “Io credo”, ha aggiunto il ministro, “che il bilanciamento di interessi, tra libertà democratiche, costituzionalmente garantite, e elementi di sicurezza è il vero snodo su cui si gioca la sfida del futuro, ossia tra la attività di Polizia per contrastare i crimini e la privacy”. Durante lo stesso evento, il prof. Sala ha dichiarato “secondo me una soluzione su cui lavorare c’è per consentire gli scopi della Forze dell’Ordine, perché, essendo l’algoritmo crittografico una forma matematica, il modo in cui è utilizzato e l’ambiente in cui è sviluppato, permette dei margini in cui si può, in qualche modo, indebolire un pochino la sicurezza del sistema, tenendola, però, sempre accettabile, consentendo quindi le investigazioni della Polizia”. Quindi, come aveva già annunciato il ministro in estate, il governo italiano sarebbe al lavoro per ridurrre il livello di sicurezza della crittografia end to end, per favorire le attività poliziesche: “Una nuova autorità pubblica sotto il Ministero dell’Interno – in particolare presso la Polizia Postale – per vigilare sui servizi di messaggistica crittografata come WhatsApp, Signal e Telegram” Quindi, se Chat Control sembra per il momento bloccato, in Italia già si pensa a un sistema simile, che ci porterebbe a essere molto vicini ai regimi dittatoriali come Cina e Russia. Fonte web

Il garante della privacy austriaco ha accertato la violazione del GDPR di Microsoft 365 Education perché raccoglie i dati degli studenti senza consenso. La decisione arriva in seguito alla denuncia presentata l’anno scorso da noyb, organizzazione non-profit guidata dal noto avvocato Max Schrems, in merito alla raccolta dei dati degli studenti che hanno usato la suite Microsoft 365 Education. TRACCIAMENTO ILLEGALE E ACCESSO NEGATO L’organizzazione aveva presentato due denunce per conto di due clienti all’inizio di giugno 2024. Il garante della privacy austriaco ha pubblicato la decisione su una delle due, confermando quando ipotizzato da noyb. Microsoft 365 Education è la suite utilizzata nelle scuole. Invece di rispondere alle richieste di accesso ai dati, l’azienda di Redmond ha comunicato che gli utenti devono rivolgersi agli istituti scolastici che, ovviamente, non possono fornire le informazioni conservate sui server di Microsoft. Un avvocato di noyb ha evidenziato che l’azienda di Redmond scarica le responsabilità alla scuole e alle autorità nazionali. Il garante della privacy austriaco ha accertato tre violazioni del GDPR. Microsoft 365 Education ha utilizzato cookie di tracciamento senza consenso, quindi in maniera illegale. Microsoft deve ora cancellare i dati personali in questione. leggi l'articolo

È una proposta di legge UE che obbligherebbe i servizi di messaggistica (come WhatsApp, Signal e Telegram) a scansionare tutti i contenuti delle chat, anche se crittografate, per cercare materiale pedopornografico noto o sconosciuto. Quando ci sarà il prossimo passaggio chiave? Il 14 ottobre, in un incontro tra il Consiglio dell’UE e il Ministro della Giustizia europeo. Si deciderà se portare la proposta ai negoziati finali (trilogo). Sta creando molti timori sulla privacy dei cittadini europei il disegno di legge europeo che obbligherebbe i servizi di messaggistica (come WhatsApp, Signal e Telegram) a scansionare tutti i contenuti delle chat, anche se crittografate, per cercare materiale pedopornografico noto o sconosciuto. COS’È IL CHAT CONTROL? Ciò che è stato soprannominato “Chat Control” mira a introdurre nuovi obblighi per tutti i servizi di messaggistica operanti in Europa di scansionare le chat degli utenti, anche se crittografate, alla ricerca di materiale pedopornografico, sia noto che sconosciuto. Una misura che ha suscitato forti critiche sia tra i ranghi politici che nel settore tecnologico. CRESCE IL PRESSING CONTRO LA PROPOSTA DI CHAT CONTROL Secondo gli ultimi dati provenienti dal sito web Fight Chat Control, molti paesi hanno cambiato posizione dopo l’incontro del 12 settembre e in vista del prossimo, previsto per il 14 ottobre. Leggi la situazione attuale Come opporsi alla legge su Fight Chat Control

Il Garante della privacy ha emesso un provvedimento per bloccare il trattamento dei dati personali degli utenti italiani da parte della società titolare dell’app Clothoff: permetteva a chiunque di creare nudi deepfake, anche a contenuto pornografico, a partire da foto di persone reali. La decisione del Garante Con il provvedimento del primo ottobre 2025 il Garante "ha disposto, in via d’urgenza e con effetto immediato, la limitazione provvisoria del trattamento dei dati personali degli utenti italiani nei confronti di una società, con sede nelle Isole Vergini Britanniche, che gestisce l’app Clothoff". La limitazione provvisoria al trattamento dei dati degli utenti italiani – si legge nel provvedimento – durerà il tempo necessario al Garante per lo svolgimento dell'istruttoria avviata nei confronti della società titolare di Clothoff. Leggi l'articolo

Chat Control UE: la nuova proposta di regolamento che rischia di compromettere la privacy digitale. Scansione preventiva dei messaggi per proteggere i minori vs. sorveglianza di massa. Analisi dei rischi e alternative possibili Nell’autunno del 2025 si prepara ad approdare al Consiglio dell’Unione Europea una proposta di regolamento nota con l’appellativo mediatico di “Chat Control” – che, se approvata, ridisegnerebbe dalle fondamenta l’architettura giuridica e tecnica delle comunicazioni digitali. Si tratta di una misura che si presenta formalmente come strumento di contrasto alla diffusione online di materiale pedopornografico e come risposta all’esigenza, difficilmente contestabile sul piano etico e politico, di proteggere i minori nello spazio digitale. L’idea sottesa è quella di obbligare tutti i principali fornitori di servizi di messaggistica, da WhatsApp a Signal fino a Telegram, nonché le piattaforme social, a introdurre sistemi di scansione preventiva dei messaggi, delle immagini e dei file scambiati tra utenti, così da rilevare contenuti potenzialmente illeciti prima ancora che vengano cifrati e trasmessi. Si tratta di un passaggio tecnico che appare marginale ai più – la scansione “lato client” prima della crittografia end-to-end – in realtà contiene la potenzialità di sovvertire la promessa stessa di riservatezza che da sempre sorregge la comunicazione privata. Infatti, in nome di un obiettivo unanimemente condiviso, si rischia di introdurre per la prima volta nella storia giuridica europea un meccanismo normativo che legittimerebbe la sorveglianza preventiva universale delle comunicazioni, non più su base mirata, autorizzata e proporzionata, bensì attraverso algoritmi automatizzati che passerebbero al setaccio miliardi di messaggi quotidiani. Leggi l'articolo

Il Tribunale dell’Unione europea, con sentenza del 3 settembre, ha respinto il ricorso del deputato francese Philippe Latombe diretto ad annullare il nuovo quadro normativo per il trasferimento dei dati personali tra la UE e gli USA. Non si sono fatte attendere le prime reazioni alla sentenza. Il team legale di Latombe ha scelto un ricorso piuttosto mirato e ristretto contro l'accordo sui dati UE-USA. Sembra che, nel complesso, il Tribunale non sia stato convinto dalle argomentazioni e dai punti sollevati da Latombe. Tuttavia, ciò non significa che un'altra contestazione, che contenga una serie più ampia di argomenti e problemi relativi all'accordo, non possa avere successo. Latombe potrebbe anche decidere di appellare la decisione alla CGUE, che (a giudicare dalle precedenti decisioni in "Schrems I" e "Schrems II") potrebbe avere un'opinione diversa da quella del Tribunale. Max Schrems, fondatore di NOYB – European Center for Digital Rights, ha dichiarato: "Si è trattato di una sfida piuttosto ristretta. Siamo convinti che un esame più ampio della legge statunitense, in particolare dell'uso degli ordini esecutivi da parte dell'amministrazione Trump, produrrebbe un risultato diverso. Stiamo valutando le nostre opzioni per presentare tale ricorso". Sebbene la Commissione abbia guadagnato un altro anno, manca ancora la certezza del diritto per gli utenti e le imprese" Leggi l'articolo

Il prossimo caso “Schrems III” del 3 settembre 2025 potrebbe invalidare l’EU–US Data Privacy Framework (DPF), interrompendo nuovamente i trasferimenti di dati tra l’Unione Europea e gli Stati Uniti e costringendo le imprese a ricorrere a soluzioni alternative come le Clausole Contrattuali Standard e le Transfer Impact Assessments, creando un potenziale momento di panico per molte aziende. Il 3 settembre 2025 la Corte di Giustizia dell’Unione Europea (CGUE) emetterà la propria sentenza nel caso Latombe vs Commissione Europea. In gioco c’è il futuro dell’EU–US Data Privacy Framework, la decisione di adeguatezza adottata nel luglio 2023 per ripristinare una base giuridica stabile ai flussi di dati transatlantici. Se il framework dovesse essere annullato, le aziende si troverebbero nuovamente ad affrontare l’incertezza regolatoria e operativa che aveva caratterizzato la decisione Schrems II del 2020. Molti parlano già di questo scenario come di un “Schrems III”. Perché il DPF è sotto attacco nel caso Latombe vs Commissione Europea Il ricorso è stato presentato nel settembre 2023 da Philippe Latombe, deputato francese, che ha contestato direttamente la decisione di adeguatezza della Commissione ai sensi dell’articolo 263 TFUE. A differenza di Schrems I e II, che arrivarono alla CGUE tramite giudizi nazionali e rinvii pregiudiziali, questo caso prende di mira direttamente la decisione, con la possibilità di accelerare il controllo giudiziario. Secondo Latombe, il DPF non garantirebbe una protezione “sostanzialmente equivalente” per i cittadini europei, come richiesto dall’articolo 45 GDPR e dalla Carta dei diritti fondamentali dell’UE. Quali sono i principali argomenti del ricorso e quali i possibili scenari? Leggi l'articolo