IT'S MONDAY, AND THIS IS DIGITAL POLITICS. I'm Mark Scott, and every time you (probably like me) feel you're falling behind tech trends, watch this video and remember: you're doing just fine.

— The European Union is falling into the same trap on artificial intelligence as did in previous global shifts in technology.

— The attacks against global online safety laws are framed almost exclusively via the prism of domestic American politics.

— Microsoft, Meta and Google just made it more difficult for politicians to speak directly to would-be voters in Europe.

Let's get started:

digitalpolitics.co/newsletter0…

As frustrating as having an atmosphere can be for physicists, it’s just as bad for astronomers, who have to deal with clouds, atmospheric absorption of certain wavelengths, and other irritations. One of the less obvious effects is the distortion caused by air at different temperatures turbulently mixing. To correct for this, some larger observatories use a laser to create an artificial star in the upper atmosphere, observe how this appears distorted, then use shape-changing mirrors to correct the aberration. The physical heart of such a system is a deformable mirror, the component which [Huygens Optics] made in his latest video.

The deformable mirror is made out of a rigid backplate with an array of linear actuators between it and the thin sheet of quartz glass, which forms the mirror’s face. Glass might seem too rigid to flex under the tenth of a Newton that the actuators could apply, but everything is flexible when you can measure precisely enough. Under an interferometer, the glass visibly flexed when squeezed by hand, and the actuators created enough deformation for optical purposes. The actuators are made out of copper wire coils beneath magnets glued to the glass face, so that by varying the polarity and strength of current through the coils, they can push and pull the mirror with adjustable force. Flexible silicone pillars run through the centers of the coils and hold each magnet to the backplate.

A square wave driven across one of the actuators made the mirror act like a speaker and produce an audible tone, so they were clearly capable of deforming the mirror, but a Fizeau interferometer gave more quantitative measurements. The first iteration clearly worked, and could alter the concavity, tilt, and coma of an incoming light wavefront, but adjacent actuators would cancel each other out if they acted in opposite directions. To give him more control, [Huygens Optics] replaced the glass frontplate with a thinner sheet of glass-ceramic, such as he’s used before, which let actuators oppose their neighbors and shape the mirror in more complex ways. For example, the center of the mirror could have a convex shape, while the rest was concave.

This isn’t [Huygens Optics]’s first time building a deformable mirror, but this is a significant step forward in precision. If you don’t need such high precision, you can also use controlled thermal expansion to shape a mirror. If, on the other hand, you take it to the higher-performance extreme, you can take very high-resolution pictures of the sun.

youtube.com/embed/TPyQI7bJo6Q?…

hackaday.com/2025/10/13/deform…

Everyone loves colourful 3D prints, but nobody loves prime towers, “printer poop” and all the plastic waste associated with most multi-material setups. Over the years, there’s been no shortage of people trying to come up with a better way, and now it’s time for [Roetz] to toss his hat into the ring, with his patent-proof, open-source Roetz-End. You can see it work in the video below.

The Roetz-End is, as you might guess, a hot-end that [Roetz] designed to facilitate directional material printing. He utilizes SLM 3D printing of aluminum to create a four-in-one hotend, where four filaments are input and one filament is output. It’s co-extrusion, but in the hot-end and not the nozzle, as is more often seen. The stream coming out of the hot end is unmixed and has four distinct coloured sections. It’s like making bi-colour filament, but with two more colours, each aligned with one possible direction of travel of the nozzle.

What you get is ‘directional material deposition’: which colour ends up on the outer perimeter depends on how the nozzle is moving, just like with bi-color filaments– though far more reliably. That’s great for making cubes with distinctly-coloured sides, but there’s more to it than that. Printing at an angle can get neighboring filaments to mix; he demonstrates how well this mixing works by producing a gradient at (4:30). The colour gradients and combinations on more complicated prints are delightful.

Is it an MMU replacement? Not as-built. Perhaps with another axis– either turning the hot-end or the bed to control the direction of flow completely, so the colours could mix however you’d like, we could call it such. That’s discussed in the “patent” section of the video, but has not yet been implemented. This technique also isn’t going to replace MMU or multitool setups for people who want to print dissimilar materials for easily-removable supports, but co-extruding materials like PLA and TPU in this device creates the possibility for some interesting composites, as we’ve discussed before.

As for being “patent-proof” — [Roetz] believes that through publishing his work on YouTube and GitHub into the public domain, he has put this out as “prior art” which should block any entity from successfully filing a patent. It worked for Robert A. Heinlein with the waterbed, but that was a long time ago. Time will tell if this is a way to revive open hardware in 3D printing.

It’s certainly a neat idea, and we thank [CityZen] for the tip.

youtube.com/embed/6pM_ltAM7_s?…

hackaday.com/2025/10/13/slm-co…

Nel mondo della sicurezza informatica, dove ogni parola pesa e ogni concetto può diventare complesso, a volte basta un’immagine per dire tutto. Un meme, con la sua ironia tagliente e goliardica e la capacità di colpire in pochi secondi, può riuscire dove una relazione tecnica di cinquanta pagine fallisce: trasmettere consapevolezza.

L’ironia in questo contesto non serve solo a far sorridere: diventa un potente strumento educativo. Provoca un sorriso, ma allo stesso tempo attiva la riflessione sul comportamento rischioso.

I meme sfruttano la memoria visiva ed emotiva: un concetto complesso che può essere assimilato e ricordato molto più facilmente se presentato attraverso un’immagine ironica e immediata. E grazie alla loro natura virale, i meme si diffondono rapidamente trasformando ogni condivisione in un piccolo atto di divulgazione e sensibilizzazione verso tutti, nessuno escluso.

La potenza della semplicità

Il meme parla una lingua universale. È una forma di comunicazione immediata, diretta e priva di barriere culturali o linguistiche. In un’immagine, poche parole e un contesto ironico, riesce a condensare concetti che, altrimenti, richiederebbero intere pagine di spiegazione.

Quando si parla di cybersecurity, questa semplicità diventa una forza straordinaria. Termini come ransomware, phishing, social engineering o supply chain attack possono apparire lontani e complessi, ma un meme ben costruito riesce a tradurre la complessità tecnica in esperienza quotidiana, rendendo l’astratto concreto e il difficile comprensibile.

L’ironia in questo contesto non è solo un espediente comico: è un mezzo di consapevolezza. Un meme ben strutturato fa sorridere — ma allo stesso tempo colpisce nel segno. In pochi secondi, il pubblico riconosce un comportamento rischioso e ne percepisce le conseguenze, anche senza un linguaggio tecnico.

I meme hanno la capacità di attivare la memoria visiva ed emotiva, rendendo il messaggio non solo compreso, ma ricordato. Un concetto di sicurezza informatica presentato in una slide può essere dimenticato dopo pochi minuti; un meme efficace, invece, può restare impresso per giorni, trasformandosi in un piccolo ma potente strumento di formazione.

Inoltre, il meme ha un vantaggio fondamentale: la condivisibilità.

Ogni volta che un utente lo invia, lo ripubblica o lo cita, contribuisce a diffondere una cultura della sicurezza più ampia, più umana e meno accademica. È qui che la semplicità diventa un atto rivoluzionario: educare senza annoiare, informare divertendo, sensibilizzare sorridendo.

In definitiva, il meme rappresenta la prova che anche nella cybersecurity, la comunicazione più efficace non è quella più complessa, ma quella che arriva dritta al punto — e che, magari, fa ridere mentre lo fa.

Ridere per non bruciarsi

Chi lavora nella cybersecurity lo sa bene: è un mestiere teso, logorante e spesso sottovalutato. Ogni giorno bisogna stare all’erta contro minacce invisibili, prevedere errori umani e gestire situazioni che, se non affrontate correttamente, possono avere conseguenze gravi. Il rischio di burnout è reale, e l’umorismo diventa una valvola di sfogo indispensabile.

Ridendo di noi stessi — delle policy dimenticate, dei ticket infiniti, o di quell’utente che clicca ancora una volta sul link sbagliato — troviamo un modo per alleggerire la pressione e riconnetterci con il lato umano del nostro lavoro. Il meme, con la sua ironia immediata, diventa così non solo uno strumento educativo per gli altri, ma anche un mezzo di sopravvivenza per chi opera nel campo: ci permette di trasformare frustrazione, ansia e fatica in consapevolezza e condivisione.

Inoltre, l’umorismo favorisce la coesione dei team. Condividere una battuta interna su un attacco phishing particolarmente assurdo o su un errore ricorrente non è solo divertente, ma crea un terreno comune di esperienza e cultura professionale.

Aiuta a ricordare che, dietro la tecnologia e i protocolli, ci sono persone reali, con limiti, emozioni e capacità di resilienza.

Ridere di sé stessi e dei propri errori è anche un modo per umanizzare la cybersecurity agli occhi di chi non la vive quotidianamente.

Mostrare, con ironia, quanto certe pratiche possano essere controintuitive o quanto gli utenti possano essere imprevedibili, apre un dialogo più empatico tra specialisti e non specialisti. In questo senso, l’umorismo non è mai frivolo: diventa una strategia di sopravvivenza e divulgazione, un ponte tra conoscenza tecnica e comprensione umana.

Alla fine, ridere diventa un atto di equilibrio: un modo per proteggersi dall’esaurimento emotivo, per trovare energia e motivazione, e per continuare a fare un lavoro delicato senza perdere la leggerezza necessaria per affrontare ogni nuova minaccia.

La “retro cyber” dei meme

Intorno ai meme legati alla sicurezza informatica si è sviluppata una vera e propria sottocultura, che possiamo definire retro cyber. Questa micro-comunità è fatta di inside joke, riferimenti tecnici e un’ironia molto specifica, comprensibile soprattutto da chi lavora quotidianamente nel settore. Ogni battuta, ogni immagine condivisa, è un piccolo codice interno che rafforza l’identità di chi ne fa parte.

Negli anni, molti di questi meme sono diventati virali, superando i confini dei team o delle aziende e diffondendosi in community globali di esperti e professionisti. Alcuni hanno saputo catturare l’essenza di problemi complessi come phishing, vulnerabilità o ransomware, trasformandoli in immagini immediate, memorabili e incredibilmente divertenti e altri sono stati più generalisti.

Non tutti, però, hanno avuto lo stesso successo. Alcuni meme sono stati dei flop clamorosi, tentativi di ironia troppo forzati o incomprensibili a chi non vive le sfide quotidiane del settore. Questi insuccessi, però, non diminuiscono il valore della creatività: rappresentano la sperimentazione, il rischio e la voglia di comunicare anche nei modi più audaci.

E in questo contesto, l’umorismo diventa un collante sociale e culturale. Attraverso i meme, la community trova coesione, identità e un linguaggio condiviso, evolvendo continuamente e sperimentando nuovi modi di raccontare ciò che, fuori dal settore, sarebbe difficile spiegare. Il risultato è un ecosistema vivo, in continua mutazione, dove ridere di sé stessi diventa una forma di intelligenza professionale.

I meme che colpiscono e fanno riflettere

Un buon meme nella cybersecurity non si limita a far ridere. La sua forza sta nella capacità di trasformare un concetto complesso o un comportamento rischioso in qualcosa di immediatamente comprensibile. Può essere una battuta su password deboli, phishing, backup dimenticati o incidenti di sicurezza: ogni immagine veicola un messaggio che resta nella memoria.

Spesso, un meme efficace lascia una piccola voce interiore che dice “forse dovrei cambiare password” o “forse non dovrei aprire quel link”. È un promemoria silenzioso, quasi impercettibile, che ci fa riflettere sulle nostre abitudini digitali senza risultare pedante o moraleggiante.

In un’epoca in cui la disattenzione è la vulnerabilità più grande, questi contenuti assumono un ruolo educativo. Ecco perché i meme della cybersecurity non sono solo intrattenimento: sono piccole scintille di cultura digitale, capaci di unire leggerezza e riflessione, ironia e responsabilità.

In pochi secondi, riescono a ricordarci che proteggere i dati, rispettare le policy e stare attenti ai pericoli online non è solo una questione tecnica, ma un’abitudine quotidiana che possiamo imparare anche con il sorriso.

Conclusione

I meme della cybersecurity non sono nati dal nulla: traggono le loro radici dalla cultura hacker, dai forum e dalle community come 4chan, dove negli anni ’00 gli utenti cominciarono a creare immagini e battute ironiche per condividere esperienze, errori e curiosità sul mondo digitale. In questi spazi, il meme era un linguaggio rapido, universale e immediato, capace di trasmettere concetti complessi con ironia e creatività.

Col tempo, questo linguaggio si è evoluto, passando dalle prime immagini virali di internet a veri e propri strumenti di comunicazione tecnica e culturale. Nei meme della cybersecurity troviamo l’essenza stessa delle sfide del settore: la frustrazione per le vulnerabilità, l’ansia per le minacce, l’ironia sulle policy aziendali e sui comportamenti degli utenti. Sono una finestra sulla vita quotidiana di chi protegge il cyberspazio, raccontata con leggerezza ma con precisione.

Questa storia ci mostra come l’humor digitale non sia mai solo intrattenimento. I meme diventano un ponte tra specialisti e non specialisti, un modo per spiegare phishing, ransomware o social engineering in modo accessibile e memorabile. Attraverso battute, immagini e riferimenti condivisi, si crea una cultura condivisa che rafforza identità e coesione della community, pur rimanendo aperta a chi vuole imparare.

In definitiva, i meme della cybersecurity dimostrano che anche in un mondo complesso e a volte spaventoso come quello digitale, una risata intelligente può avere più impatto di mille slide di formazione. Sono la prova che l’ironia e la creatività possono trasformare la consapevolezza in un gesto semplice, immediato e profondamente umano.

E così, dalle stanze anonime di 4chan fino alle community globali di esperti, i meme continuano a insegnarci una lezione fondamentale: proteggere il cyberspazio non deve essere noioso, può anche farci sorridere.

L'articolo Un Cyber Meme Vale Più di Mille Slide! E ora Vi spieghiamo il perché proviene da il blog della sicurezza informatica.

Jensen Huang, CEO di NVIDIA, ha detto apertamente che nel boom dell’intelligenza artificiale i veri vincitori, almeno nel breve/medio periodo, saranno gli elettricisti, gli idraulici e in generale gli artigiani specializzati. Sì, proprio loro: i “colletti blu” che trasformano in realtà i megawatt e i megadati dei nuovi data center.

Una visione che stride (e al tempo stesso si incastra) con l’altra faccia della medaglia: la crescente paura di una bolla speculativa sull’IA, che rischia l’ennesimo “tracollo tecnologico” se i numeri non reggeranno all’urto della realtà.

Il paradosso di Huang: l’IA è software, ma servono mani sporche di lavoro

Nel racconto patinato dell’IA ci dimentichiamo spesso un dettaglio materiale: senza capacità elettrica, raffreddamento, carpenteria, networking e cantiere non parte nulla. Huang lo dice chiaro: serviranno centinaia di migliaia di professionisti qualificati: elettricisti, idraulici, carpentieri, per costruire “fabbriche di IA” in tutto il mondo. È un messaggio quasi controintuitivo nel mezzo delle discussioni sulla “automazione dei colletti bianchi”, ma è terribilmente pragmatico: prima ancora dei modelli, bisogna edificare l’infrastruttura. E quello è lavoro fisico, qualificato, ben pagato e… scarsissimo.

Non è una sparata isolata: la carenza di artigiani specializzati è un punto dolente che investitori e big tech continuano a sottolineare, fino a ipotizzare che sarà il collo di bottiglia dell’espansione IA. In parallelo, diverse testate internazionali hanno rilanciato le stesse parole di Huang, perfettamente allineate a questa narrativa di “boom dei mestieri” trainato dall’esplosione dei data center.

La domanda scomoda: e i colletti bianchi?

Qui entra il mio “taglio personale”. Da CISO lo vedo ogni giorno: l’IA non sostituisce in blocco, ricalibra. Il primo impatto lo stanno sentendo i ruoli ripetitivi e documentali; dove c’è giudizio, contesto, responsabilità e accountability, l’IA è leva, non sostituto. Il problema è che molte aziende scambiano il pilota automatico per una patente di guida: investono in modelli e licenze, ma non in change management, processi, metriche, risk governance. È così che nascono i “tagli facili” sui colletti bianchi: da strategie miope-centriche più che da una reale superiorità della macchina.

Huang, peraltro, una bussola la offre: “l’IA non ti ruba il lavoro, ma lo farà qualcuno che la sa usare”. Tradotto: le competenze ibridate dall’IA diventano vantaggio competitivo. Chi resta fermo alla scrivania guardando il flusso passare, si auto-estromette. Chi impara a “parlare” con i modelli, disegna processi e controlli, aumenta produttività e impatto.

I numeri (che non tornano) e la bacinella sotto la goccia

La seconda notizia – la paura di una bolla IA – è la cartina di tornasole. C’è euforia sui mercati, c’è storytelling infinito, ma a valle di alcune promesse mancano ancora cash flow ripetitivi e use case industrializzati a sufficienza. L’articolo pubblicato su Red Hot Cyber mette in fila un clima di incertezza crescente: dalle ammissioni dei leader del settore alle preoccupazioni espresse da istituzioni e banche. È il solito film? Forse. Ma questa volta l’opera è costosa: parliamo di mega-capex per alimentare LLM assetati di energia e calcolo, con orizzonti di ritorno che rischiano di dilatarsi.

Se vuoi una metafora da sala macchine: stiamo correndo a installare tubazioni da un metro di diametro, ma i serbatoi a valle non sono ancora dimensionati per incassare tutto quel flusso di valore. Nel mentre, in molte aziende italiane vedo la solita “bacinella sotto la goccia”: si compra la piattaforma trendy per dire “ce l’abbiamo”, senza ripensare governance, sicurezza, processi, integrazioni. Così il ROI evapora e la bolla… si gonfia.

Dove le due storie si incontrano: acciaio, kilowatt e kill-switch

Mettiamola così: i data center non sono slide, sono acciaio. Lì si incrociano le profezie di Huang e la paura della bolla. Se mancano le competenze per costruirli e operarli, la supply chain rallenta e l’offerta di calcolo resta rigida (prezzi alti, colli di bottiglia). Se invece costruiamo tutto in fretta ma senza risk engineering e security-by-design, il kill-switch arriverà dai costi operativi, dai blackout di affidabilità, o peggio, da incidenti cyber su modelli e pipeline MLOps.

Il punto, per chi fa sicurezza, è semplice e scomodo: l’IA moltiplica esposizione e dipendenze. Governance, audit, controllo degli accessi, tracciabilità dei dati, robustezza dei modelli, protezione della supply chain di firmware e componentistica (UEFI, BMC, telemetria), detection sulle pipeline… se non mettiamo questi “bulloni” mentre montiamo l’impianto, la bolla non scoppia per speculazione: scoppia perché non regge in produzione.

Italia: occasione irripetibile (e rischio di restare spettatori)

Da qui guardo al contesto italiano con il mio solito pragmatismo: abbiamo una tradizione manifatturiera e impiantistica che può cavalcare questo rinascimento dei mestieri tecnici. Elettricisti, frigoristi, cablatori, sistemisti di rete, tecnici OT: qui c’è lavoro “vero”, ben retribuito, con traiettorie di carriera moderne (pensate alle AI-factory e ai campus edge). Ma servono filiere formative rapide, apprendistati degni del 2025, partnership pubblico-private e, lasciatemelo dire, meno burocrazia e più cantieri. Quello che Huang descrive non è fantascienza: è backlog che molte regioni italiane possono intercettare se si muovono adesso.

Sul fronte “bolla”, invece, la cura è la solita: misurare. KPI e KRI, non pitch deck. Piani di adozione che partono da processi e dati, non da demo. Security & compliance integrata, non cerotti all’ultimo miglio. E soprattutto trasparenza sui costi: energia, raffreddamento, licenze, fine-tuning, retraining, latenza, lock-in. Più i board pretendono numeri e accountability, meno spazio resta alla retorica. redhotcyber.com/post/la-bolla-…

Conclusione: tra hype e bulloni, vince chi porta a casa valore

Tiro le somme, senza giri di parole. La frase di Huang è un promemoria utile: l’IA corre su infrastrutture fisiche e oggi il collo di bottiglia sono persone con cassetta degli attrezzi e competenze certificate. È una buona notizia per l’economia reale e per i giovani che vogliono lavori ad alta domanda senza dover passare per forza da quattro anni di università.

Dall’altra parte, la bolla non si evita con gli slogan, ma con esecuzione e disciplina: progetti che generano valore misurabile, controlli che reggono in produzione, investimenti accompagnati da persone, processi e sicurezza. Se costruiamo “acciaio e governance” insieme, l’IA smette di essere un castello di carte e diventa un asset strategico. Se invece continuiamo a vendere slide e a comprare sogni, allora sì: tra un cacciavite e l’ennesimo pitch, scommetto tutto sul cacciavite. Perché i bulloni, alla fine, tengono sempre più dei balloon.

L'articolo Elettricisti e idraulici: sono i veri vincitori del boom dell’AI proviene da il blog della sicurezza informatica.

Come penalista e docente di Diritto Penale dell’Informatica, allievo del compianto Maestro Vittorio Frosini, pioniere dell’Informatica Giuridica in Italia, mi trovo costantemente a riflettere sullo stato della nostra formazione. È una riflessione che si scontra con l’accelerazione della storia: l’opera di Frosini, Cibernetica, diritto e società del 1968, seppur avanguardistica per l’epoca, è oggi un metro di paragone per misurare quanto il sistema giuridico italiano sia riuscito a stare al passo con la “società digitale” che lui anticipava.

La mia stessa traiettoria professionale riflette questa evoluzione. Quando pubblicai il mio primo libro,Teoria e Pratica nell’interpretazione del reato informaticonel 1997, l’approccio era inevitabilmente più speculativo. Il testo era prevalentemente teorico e dogmatico, uno sforzo necessario per catalogare e comprendere fattispecie che si stavano appena affacciando nelle aule di giustizia. L’esperienza pratica, in quel momento, era ancora in fase embrionale. Oggi, con trent’anni di attività forense e didattica, l’ultimo lavoro,Il Diritto penale dell’informatica: legge, giudice e società del 2021, presenta un taglio profondamente diverso. È un testo imbevuto di consapevolezza pratica, frutto di innumerevoli confronti con la prova digitale, le perizie tecniche e la giurisprudenza sedimentata. Il passaggio dalla pura teoria alla comprensione dei fenomeni e delle dinamiche tecnologiche è stato un percorso lungo e, soprattutto, un monito costante sulla necessità di un dialogo continuo tra il diritto e l’ingegneria.

Oggi, in piena emergenza Cybersecurity, l’appello di Frosini a formare giuristi “cyber-ready” è un imperativo, non un’opzione accademica.

Il divario formativo: tra eccellenze specialistiche e gap curriculare

Osservando l’attuale panorama formativo italiano, si individua una significativa disomogeneità. L’offerta nel settore è oggi biforcuta, presentando un divario significativo tra la fascia dell’alta specializzazione e quella della formazione di base.

Da un lato, registriamo con soddisfazione l’eccellenza che emerge nell’alta formazione. Negli ultimi anni, si è assistito a un lodevole fiorire di Master universitari e Corsi di Perfezionamento in “Cybersecurity Law”, “Digital Forensics” e “Cybercrime”. Queste iniziative sono generalmente caratterizzate da interdisciplinarità, un approccio integrato che unisce il diritto penale (IUS/17) con le discipline tecniche (ING-INF) e le scienze investigative, riconoscendo che la comprensione del fenomeno criminale digitale è impossibile senza la cognizione del substrato tecnologico. Hanno una costante attenzione all’adeguamento normativo, seguendo Regolamenti e Direttive europee come GDPR, NIS2 e AI Act, che ridefiniscono continuamente il perimetro della legalità e della responsabilità. Infine, mostrano un chiaro orientamento al mercato, formando figure professionali altamente richieste da aziende, Pubbliche Amministrazioni e agenzie specializzate (ACN, Polizia Postale), capaci di operare come Data Protection Officer, Compliance Officer e consulenti legali in scenari di crisi cyber. Tuttavia, questi percorsi specialistici rimangono percorsi d’élite, spesso accessibili solo a laureati già motivati e con risorse economiche adeguate.

L’ombra di questo scenario risiede nella criticità della formazione giuridica di base. La vera debolezza del sistema risiede nella formazione curriculare standard della Laurea Magistrale in Giurisprudenza. Ancora oggi, in molti Atenei, il Diritto Penale dell’Informatica o materie affini non figurano tra gli insegnamenti fondamentali e obbligatori, relegati spesso al ruolo di esame a scelta. Questa impostazione genera un profondo gap culturale e tecnico, per cui una vasta platea di futuri avvocati, magistrati e notai conclude il percorso di studi senza una cognizione adeguata dei fenomeni illeciti che plasmano la società contemporanea.

Il problema non è solo quantitativo, ma qualitativo. Quando la materia viene affrontata, talvolta si limita a una trattazione astrattamente dogmatica delle fattispecie codicistiche (come l’art. 615-ter c.p. o l’art. 640-ter c.p.), senza fornire agli studenti gli strumenti per comprendere le dinamiche tecnologiche dei reati (ad esempio, le architetture di un attacco phishing evoluto, la logica di una blockchain, l’impatto dei sistemi di Intelligenza Artificiale), per gestire la prova digitale, elemento cruciale e spesso il più problematico in un procedimento penale informatico, o per interpretare il Diritto Penale alla luce del dato tecnico, un passaggio essenziale per l’effettiva applicazione della norma incriminatrice. Questa carenza si ripercuote direttamente sulla capacità del sistema giudiziario e forense di affrontare la crescente complessità del cybercrime, la cui transnazionalità e rapidità richiedono una risposta giuridica immediata e tecnicamente fondata.

Verso la giuritecnica e il monito professionale

L’eredità intellettuale di Frosini, che auspicava la nascita di una “giuritecnica”, ci impone oggi di superare l’idea che la tecnologia sia un elemento “esterno” o meramente accessorio al diritto. Al contrario, essa ne è divenuta la sua struttura portante e il principale veicolo di aggressione dei beni giuridici.

Per colmare il divario, la riforma deve passare attraverso l’introduzione di un approccio tecnico-giuridico obbligatorio nei curricula di Giurisprudenza. Non si tratta di formare programmatori o ingegneri, ma di forgiare giuristi che possiedano una competenza di base sulle dinamiche tecnologiche sufficiente a interpretare la legge, gestire la prova e patrocinare efficacemente. Questo significa eleggere il Diritto Penale dell’Informatica, e gli altri Diritti delle tecnologie, a disciplina fondamentale per tutti gli operatori del diritto e incoraggiare l’integrazione di moduli didattici tenuti in collaborazione con esperti tecnici, simulazioni di case study giurisprudenziali e sessioni di analisi di report forensi.

L’Eredità di Frosini, e di altri Maestri come Ettore Giannantonio e Renato Borruso, è, in definitiva, un monito professionale: il giurista moderno non può più permettersi di essere un analfabeta funzionale rispetto al mondo digitale. Egli deve essere al passo con i tempi, capace di comprendere i fenomeni e le dinamiche tecnologiche che generano rischio e illecito, per tutelare efficacemente i beni giuridici nell’era digitale. Solo attraverso un rinnovamento radicale della formazione universitaria, che ponga la “giuritecnica” al centro del sapere giuridico, il nostro Paese potrà schierare professionisti in grado di affrontare le sfide del nuovo scenario globale e tutelare pienamente i propri interessi nazionali. L’emergenza Cybersecurity impone di trasformare l’utopia di Frosini nella prassi della didattica.

L'articolo Verso la “giuritecnica”: la formazione giuridica nell’era del digitale deve essere tecnologica proviene da il blog della sicurezza informatica.

Nella giornata di ieri è stata pubblicata CVE-2025-61984 una falla in OpenSSH, che permette potenzialmente l’esecuzione di comandi sul client quando ProxyCommand viene usato con nomi utente contenenti caratteri di controllo (per esempio newline).

Alcuni flussi di input in OpenSSH non eliminavano correttamente caratteri di controllo inseriti nei nomi utente. Un attaccante può sfruttare questo comportamento costruendo un nome utente contenente, ad esempio, un newline seguito da una stringa che dovrebbe essere interpretata come comando.

Quando quel nome utente viene inserito nella stringa invocata dal ProxyCommand, alcune shell non si fermano all’errore di sintassi introdotto dal newline e continuano l’esecuzione: la riga successiva può quindi essere eseguita come payload. In sostanza: una piccola sequenza di caratteri malevoli, combinata con una shell permissiva e una certa configurazione SSH, può trasformarsi in RCE.

Perché un submodule Git è pericoloso

GIT può rivelarsi insidioso perché sfrutta azioni ordinarie degli sviluppatori. Un repository può includere un submodule il cui URL SSH è stato costruito per contenere un nome utente manipolato. Quando qualcuno esegue: git clone –recursive

Git prova a recuperare anche i submodule via SSH — ed è in quel momento che il client esegue il ProxyCommand configurato localmente. In determinate condizioni, l’intera catena porta all’esecuzione del payload.

L’exploit infatti non si attiva “da solo”. Per funzionare servono due precise condizioni sul sistema della vittima:

1. Shell permissiva: la shell invocata dal ProxyCommand deve continuare l’esecuzione dopo un errore di sintassi (comportamento tipico di Bash, Fish, csh)
2. ProxyCommand vulnerabile: il file ~/.ssh/config dell’utente deve contenere un ProxyCommand che include il token %r (il nome utente remoto) senza adeguata protezione — ad esempio %r non deve essere correttamente quotato o sanitizzato.

Se entrambe le condizioni si verificano, il nome utente manipolato può essere interpolato nella stringa invocata dal proxy e far partire comandi non voluti.

Implicazioni pratiche

• Sviluppatori e sistemi automatizzati che effettuano clone ricorsivi rappresentano un bersaglio sensibile perché il vettore sfrutta operazioni di routine.
• Strumenti che generano automaticamente ~/.ssh/config e inseriscono %r senza protezioni amplificano il rischio
• La presenza di proof-of-concept pubblici rende la situazione urgente: aumenta la probabilità che qualcuno automatizzi lo sfruttamento su larga scala.

PoC pubblici — cosa mostrano e perché preoccuparsi (informazione non actionabile)

Negli ultimi giorni sono circolati proof-of-concept che spiegano chiaramente la catena d’attacco, ma senza fornire istruzioni pratiche per sfruttarla. Questi PoC mostrano lo scenario tipico: un nome utente contenente caratteri di controllo che viene interpolato nel ProxyCommand, e una shell permissiva che finisce per eseguire la riga successiva. Molti PoC usano come dimostrazione esattamente il caso del submodule Git perché rende evidente il rischio supply-chain: un repository compromesso può raggiungere facilmente sviluppatori e pipeline automatizzate.

Il valore operativo dei PoC non è insegnare come sfruttare, ma mettere in evidenza dove concentrare le verifiche. Tuttavia, la loro pubblicazione riduce il tempo che gli attaccanti impiegherebbero per sviluppare exploit automatici, dunque la finestra per intervenire è breve.
La falla viene risolta aggiornando OpenSSH alla versione 10.1, attività da effettuare quanto prima

L'articolo ProxyCommand: la piccola stringa che apre una porta per gli exploit proviene da il blog della sicurezza informatica.