Proofpoint pubblica il report “Voice of the CISO 2025”: cresce il rischio legato all’AI e rimane il problema umano, mentre i CISO sono a rischio burnout. L’84% dei CISO italiani prevede un attacco informatico materiale nel prossimo anno. Rischio umano e perdita di dati dovuta alla GenAI sono in cima alle loro preoccupazioni.

Proofpoint, Inc., azienda leader nella cybersecurity e nella compliance, ha pubblicato oggi la quinta edizione annuale del suo report “Voice of the CISO”, che analizza le principali sfide, aspettative e priorità dei Chief Information Security Officer (CISO) a livello globale. Il report 2025, che ha coinvolto 1.600 CISO a livello mondiale in 16 paesi, evidenzia due tendenze critiche: l’aumento degli attacchi informatici sta alimentando una maggiore ansia tra i CISO – insieme a una crescente disponibilità a pagare riscatti in caso di incidenti – e la rapida ascesa della GenAI sta costringendo i responsabili della sicurezza a bilanciare innovazione e rischio, nonostante le crescenti preoccupazioni relative a esposizione e uso improprio dei dati.

Man mano che le minacce diventano più frequenti e variegate aumenta la preoccupazione sulla capacità della loro organizzazione di resistere a un attacco materiale. L’84% dei CISO italiani si sente a rischio di subire un cyber attacco materiale nei prossimi 12 mesi, eppure il 56% afferma di non essere preparato a rispondere. Oltre tre quarti (77%) dei CISO italiani hanno subìto una perdita di dati materiale nell’ultimo anno, con gli incidenti causati da insider in cima alla lista delle cause. Con il 94% che attribuisce almeno una parte della perdita di dati ai dipendenti in uscita, secondo i risultati dell’indagine, il comportamento umano rimane una vulnerabilità critica. Riflettendo la pressione, il 70% dei CISO italiani afferma anche che prenderebbe in considerazione il pagamento di un riscatto per prevenire fughe di dati o ripristinare i sistemi.

L’AI è rapidamente emersa sia come priorità assoluta che come principale preoccupazione per i CISO: il 69% di quelli italiani ritiene che abilitare l’utilizzo sicuro degli strumenti di GenAI sia una priorità strategica per i prossimi due anni, anche se i timori per la sicurezza persistono. In Italia, il 60% dei CISO esprime preoccupazione per la potenziale perdita di dati dei clienti tramite piattaforme di GenAI pubbliche. Con l’accelerazione dell’adozione, le organizzazioni stanno passando dalla restrizione alla governance, con il 55% che implementa linee guida sull’uso e il 64% che esplora difese basate su AI, sebbene l’entusiasmo sia diminuito rispetto al picco dell’80% dell’anno scorso. Non va sottovalutato l’aspetto personale: i CISO italiani continuano ad affrontare una crescente pressione di fronte a minacce in aumento e risorse limitate: il 61% dichiara di far fronte ad aspettative eccessive e il 55% di aver sperimentato o assistito a burnout nell’ultimo anno.

“I risultati di quest’anno rivelano una crescente disconnessione tra fiducia e capacità tra i CISO,” spiega Patrick Joyce, global resident CISO di Proofpoint. “Mentre molti responsabili della sicurezza esprimono ottimismo sulla postura informatica della loro organizzazione, la realtà racconta una storia diversa: la crescente perdita di dati, le lacune nella preparazione e il persistente rischio umano continuano a minare la resilienza. Con l’accelerazione dell’adozione della GenAI che porta sia opportunità che minacce, ai CISO viene chiesto di fare di più con meno, di navigare in una complessità senza precedenti e di salvaguardare comunque ciò che conta di più. È chiaro che il ruolo del CISO non è mai stato così cruciale, o così sotto pressione.”

Questi i principali risultati italiani emersi dal report “Voice of the CISO 2025”.

• Fiducia contro realtà: i CISO si preparano agli attacchi tra crescente perdita di dati e lacune nella preparazione.L’84% dei CISO italiani si sente a rischio di subire un attacco informatico significativo nei prossimi 12 mesi, percentuale in aumento rispetto al 61% dell’anno scorso. Eppure, il 56% ammette che la propria organizzazione non sia preparata a rispondervi. Oltre tre quarti (77%) hanno subìto una perdita di dati significativa nell’ultimo anno (rispetto al 27% nel 2024) nonostante la maggior parte dei CISO esprima fiducia nella propria cultura della cybersecurity.
• Attacchi su più canali, stesso risultato.I CISO italiani affrontano un panorama di minacce sempre più frammentato: frodi via email (45%), minacce interne (41%), ransomware (31%) e malware (31%) sono le principali preoccupazioni. Nonostante le diverse tattiche utilizzate, la maggior parte degli attacchi porta allo stesso risultato: la perdita di dati. Riflettendo l’elevata posta in gioco, il 70% dei CISO italiani afferma che prenderebbe in considerazione il pagamento di un riscatto per ripristinare i sistemi o prevenire fughe di dati, percentuale che sale all’84% in Canada e Messico.
• I dati non si perdono da soli.Il 94% dei CISO italiani che ha subìto una perdita di informazioni afferma che i dipendenti in uscita hanno avuto una responsabilità, segnalando un deciso aumento rispetto al 52% dell’anno scorso. Nonostante l’adozione quasi universale di strumenti di prevenzione della perdita di dati (DLP), oltre due terzi (36%) affermano che i loro dati rimangono inadeguatamente protetti. Con l’accelerazione della GenAI, il 69% ora classifica protezione e governance delle informazioni come una priorità assoluta, spingendo verso una sicurezza dinamica e consapevole del contesto.
• Il problema delle persone persiste.L’errore umano rimane la principale vulnerabilità della cybersecurity nel 2025, con il 68% dei CISO italiani che cita le persone come il loro rischio maggiore, nonostante il 64% creda che i dipendenti comprendano le migliori pratiche di cybersecurity. Questa incongruenza evidenzia una lacuna critica: la sola consapevolezza non è sufficiente. Oltre un quarto (27%) delle organizzazioni manca ancora di risorse dedicate alla gestione del rischio interno per colmare il divario tra conoscenza e comportamento.
• Amico o nemico? L’AI è un’arma a doppio taglio.La rapida diffusione della GenAI sta amplificando le preoccupazioni relative al rischio umano. Il 60% dei CISO italiani è in apprensione per la perdita di dati dei clienti tramite strumenti di GenAI pubblici, con piattaforme di collaborazione e chatbot di GenAI visti come le principali minacce alla sicurezza. Nonostante ciò, il 69% afferma che abilitare un utilizzo sicuro della GenAI sia una priorità assoluta, evidenziando un passaggio dalla restrizione alla governance. La maggior parte sta rispondendo con delle difese: il 55% ha implementato linee guida per l’uso e il 64% sta esplorando difese basate su AI, sebbene l’entusiasmo si sia raffreddato rispetto all’80% dell’anno scorso. Tre su cinque (61%) limitano del tutto gli strumenti di GenAI da parte dei dipendenti.
• Vacilla l’allineamento con il Consiglio di Amministrazione mentre aumenta la pressione sui CISO.L’allineamento tra Consiglio di Amministrazione e CISO si è ridotto dal 75% del 2024 al 64% di quest’anno. Significativi tempi di inattività aziendale sono diventati la principale preoccupazione dei consigli di amministrazione a seguito di un attacco, segnalando come il rischio cyber stia guadagnando terreno come priorità strategica.
• Anno diverso, stesse pressioni.I CISO italiani continuano ad affrontare una crescente pressione di fronte a minacce in aumento e risorse limitate: il 61% dichiara di affrontare aspettative eccessive e il 55% di aver sperimentato o assistito a burnout nell’ultimo anno. Mentre il 62% ora afferma che le proprie organizzazioni hanno adottato misure per proteggerli dalla responsabilità personale, un terzo (34%) sente ancora di non avere le risorse per raggiungere i propri obiettivi di cybersecurity.

“L’intelligenza artificiale è passata da semplice concetto a elemento centrale, trasformando il modo in cui operano sia i difensori che gli attaccanti,” commenta Ryan Kalember, Chief Strategy Officer di Proofpoint. “I CISO ora affrontano una duplice responsabilità: possono sfruttare l’AI per rafforzare la loro postura di sicurezza, ma devono garantirne al contempo un uso etico e responsabile e questa ricerca di equilibrio li pone al centro del processo decisionale strategico. Ma l’AI è solo una delle tante forze che stanno rimodellando il loro ruolo: man mano che le minacce si intensificano e gli ambienti diventano più complessi, le aziende stanno rivalutando cosa significhi realmente la responsabilità della cybersecurity nell’impresa odierna.”

L'articolo Proofpoint: Allarme CISO italiani, l’84% teme un cyberattacco entro un anno, tra AI e burnout proviene da il blog della sicurezza informatica.

Il 27 agosto 2025 la Wikimedia Foundation, che gestisce Wikipedia, ha ricevuto una lettera ufficiale dalla Committee on Oversight and Government Reform della Camera dei Rappresentanti degli Stati Uniti.
La missiva, firmata da James Comer e Nancy Mace, mette la piattaforma sotto inchiesta e chiede la consegna di documenti, comunicazioni e, fatto ancora più delicato, i dati identificativi degli editor volontari che hanno scritto articoli ritenuti “anti-Israele”.

Una richiesta che fa tremare i pilastri non solo di Wikipedia, ma dell’intero ecosistema digitale: privacy degli utenti e libertà di espressione.

Il paradosso americano

Gli Stati Uniti amano definirsi “la patria della libertà di parola”, con il Primo Emendamento come bandiera. Eppure, ogni volta che entrano in gioco interessi geopolitici e alleanze strategiche, la libertà diventa improvvisamente negoziabile.

Questa indagine rappresenta l’ennesima contraddizione: da un lato si predica l’apertura e il diritto di esprimere opinioni, dall’altro si chiede a un’organizzazione privata di smascherare i suoi utenti, consegnando nomi, indirizzi IP e log di attività a un’istituzione governativa.

Di fatto, chiunque contribuisca a Wikipedia dovrebbe iniziare a chiedersi: “Se scrivo su un tema controverso, sto facendo divulgazione… o sto firmando la mia prossima convocazione davanti a un comitato congressuale?”.

Privacy sacrificata sull’altare della politica

Wikipedia vive di un principio fondamentale: la possibilità per migliaia di volontari, in tutto il mondo, di contribuire in forma libera e spesso anonima.
Se questa barriera venisse abbattuta, ogni contributo diventerebbe un potenziale rischio personale.

L’inchiesta del Congresso non si limita a voler analizzare eventuali campagne di disinformazione orchestrate da attori statali o universitari. Va oltre: pretende dati personali di cittadini che, nella maggior parte dei casi, hanno semplicemente partecipato al dibattito culturale.

E qui nasce il vero pericolo: quando la “lotta alla disinformazione” si trasforma in un pretesto per colpire il dissenso.

Il lato tecnico: come possono essere usati quei dati

Il dettaglio più preoccupante riguarda la natura delle informazioni richieste: IP, date di registrazione, log di attività, metadati di navigazione.
Per chi conosce le dinamiche della sorveglianza digitale, questo significa una cosa sola: tracciabilità totale.

• Un indirizzo IP consente di collegare l’attività online a un luogo fisico o a un provider.
• Incrociando IP con timestamp e user agent, si possono ricostruire abitudini, fasce orarie e persino dedurre profili comportamentali.
• L’analisi OSINT (Open Source Intelligence) permetterebbe poi di associare account Wikipedia ad altri profili social, forum o attività digitali, smascherando l’anonimato.

In pratica, con quei dati in mano, il Congresso potrebbe costruire dossier digitali sugli editor, identificandoli, mappando le loro attività e, se volesse, mettendoli in relazione con reti accademiche, gruppi politici o semplici comunità online.

Si aprirebbe così la strada a un controllo che non ha nulla a che vedere con la neutralità dell’informazione, ma molto con la sorveglianza di opinioni scomode.

Un precedente inquietante

Oggi si chiedono dati sugli editor che hanno scritto di Israele.
Domani potrebbe toccare a chi critica le lobby delle armi, le big tech, o chi denuncia falle nei sistemi di sorveglianza statunitensi.

Il problema non è difendere chi diffonde fake news,che restano una piaga reale, ma impedire che il concetto venga manipolato per silenziare opinioni scomode. Una volta aperto questo varco, richiuderlo sarà impossibile.

Verso un internet sorvegliato

La vicenda mette in luce un trend che ormai si sta consolidando: da spazio libero e anarchico, la rete rischia di trasformarsi in un territorio sorvegliato, dove governi e istituzioni reclamano accesso diretto ai dati degli utenti.

E l’ironia amara è che questa deriva arrivi proprio dagli Stati Uniti, che amano presentarsi come difensori globali della libertà di espressione.
Ma la domanda rimane: può davvero esistere libertà di parola, se ogni parola è tracciata, archiviata e usata contro chi la pronuncia?

Questa non è solo una storia che riguarda Wikipedia. È un campanello d’allarme per chiunque creda che privacy e libertà di espressione siano diritti fondamentali, non concessioni revocabili al primo tornaconto politico.

L'articolo Wikipedia nel mirino del Congresso USA: quando la libertà di espressione diventa “sorvegliata speciale” proviene da il blog della sicurezza informatica.

La scorsa settimana è emerso che degli hacker criminali avevano compromesso la piattaforma di automazione delle vendite Salesloft e rubato token OAuth e di aggiornamento dai clienti nel suo agente di intelligenza artificiale Drift, progettato per integrarsi con Salesforce. Come Google ha ora avvertito, l’attacco è stato diffuso e ha interessato i dati di Google Workspace.

SalesDrift è una piattaforma di terze parti per l’integrazione del chatbot Drift AI con un’istanza di Salesforce, consentendo alle organizzazioni di sincronizzare conversazioni, lead e ticket di supporto con il proprio CRM. Drift può anche integrarsi con una varietà di servizi per semplificare il processo, tra cui Salesforce (non correlato a Salesloft) e altre piattaforme (Slack, Google Workspace e altre).

Secondo Salesloft, l’attacco è avvenuto tra l’8 e il 18 agosto 2025. In seguito all’attacco, gli aggressori hanno ottenuto i token OAuth e di aggiornamento del client Drift utilizzati per l’integrazione con Salesforce, per poi utilizzarli per rubare dati da Salesforce. “Le indagini iniziali hanno rivelato che l’obiettivo principale dell’aggressore era il furto di credenziali, prendendo di mira specificamente informazioni sensibili come chiavi di accesso AWS, password e token di accesso associati a Snowflake”, si leggeva nella dichiarazione iniziale di Salesloft. “Abbiamo stabilito che questo incidente non ha avuto ripercussioni sui clienti che non utilizzano la nostra integrazione Drift-Salesforce. Sulla base delle nostre indagini in corso, non vi sono prove di attività dannose in corso correlate a questo incidente”.

Insieme ai colleghi di Salesforce, gli sviluppatori di Salesloft hanno revocato tutti gli accessi attivi e i token di aggiornamento per Drift. Inoltre, Salesforce ha rimosso l’app Drift da AppExchange in attesa delle indagini e delle garanzie di Salesloft sulla sicurezza della piattaforma.

L’attacco è stato condotto dal gruppo di hacker UNC6395, come riportato la scorsa settimana da Google Threat Intelligence (Mandiant) . Secondo i ricercatori, dopo aver ottenuto l’accesso a un’istanza di Salesforce, gli hacker hanno eseguito query SOQL per estrarre token di autenticazione, password e segreti dai ticket di supporto, il che ha permesso loro di proseguire l’attacco e compromettere altre piattaforme.

“GTIG ha scoperto che UNC6395 prende di mira credenziali sensibili, tra cui chiavi di accesso (AKIA) di Amazon Web Services (AWS), password e token di accesso associati a Snowflake”, ha scritto Google. “UNC6395 dimostra una buona consapevolezza della sicurezza operativa eliminando i processi di query, ma i log non sono stati interessati e le organizzazioni dovrebbero esaminare i log pertinenti per individuare indicatori di una violazione dei dati”.

Gli esperti hanno allegato indicatori di compromissione al loro rapporto e hanno osservato che gli aggressori hanno utilizzato Tor e provider di hosting come AWS e DigitalOcean per nascondere la propria infrastruttura. Le stringhe User-Agent associate al furto di dati includevano python-requests/2.32.4, Python/3.11, aiohttp/3.12.15 e, per gli strumenti personalizzati, Salesforce-Multi-Org-Fetcher/1.0 e Salesforce-CLI/1.0.

Google ha consigliato alle aziende che utilizzano Drift integrato con Salesforce di considerare dei compromessi per l’accesso ai propri dati Salesforce. Le aziende interessate sono state invitate ad adottare misure immediate per mitigare l’incidente. Quel che è peggio è che pochi giorni dopo si è scoperto che la fuga di dati era molto più grande di quanto inizialmente pensato. Gli esperti di Google hanno lanciato l’allarme: gli aggressori hanno utilizzato token OAuth rubati per accedere agli account email di Google Workspace e hanno rubato dati da istanze di Salesforce.

Il problema è che i token OAuth per l’integrazione di Drift Email sono stati compromessi e utilizzati da un aggressore il 9 agosto per accedere all’email di un “numero limitato” di account Google Workspace integrati direttamente con Drift.“Sulla base di nuove informazioni, questo problema non si è limitato all’integrazione di Salesforce con Salesloft Drift, ma ha avuto ripercussioni anche su altre integrazioni”, hanno spiegato i ricercatori. “Ora consigliamo a tutti i clienti di Salesloft Drift di considerare tutti i token di autenticazione archiviati o connessi alla piattaforma Drift come potenzialmente compromessi”.

Salesloft ha inoltre aggiornato il suo bollettino sulla sicurezza e ha dichiarato che Salesforce ha disabilitato l’integrazione di Drift con Salesforce, Slack e Pardot in attesa di un’indagine. Mentre Google attribuisce gli attacchi a un gruppo di hacker con identificativo UNC6395, ShinyHunters ha dichiarato a Bleeping Computer di essere dietro l’attacco. Tuttavia, gli hacker hanno successivamente affermato che l’incidente descritto da Google non era correlato a loro, poiché non avevano estratto dati dalle richieste di supporto.

Negli ultimi mesi, violazioni di dati simili che hanno coinvolto Salesforce e ShinyHunters hanno colpito Adidas , la compagnia aerea Qantas , la compagnia assicurativa Allianz Life, diversi marchi LVMH ( Louis Vuitton , Dior e Tiffany & Co), il sito web Cisco.com, nonché la casa di moda Chanel e l’azienda di gioielli danese Pandora.

ShinyHunters afferma inoltre di collaborare con il gruppo Scattered Spider, responsabile dell’accesso iniziale ai sistemi bersaglio. Gli aggressori ora si fanno chiamare Sp1d3rHunters, una combinazione dei nomi di entrambi i gruppi.

L'articolo Dall’AI chatbot al furto di dati globali: la falla Drift scuote Google Workspace proviene da il blog della sicurezza informatica.

Ogni giorno sentiamo parlare di privacy in ogni ambito della nostra vita, tanto che tale termine è entrato nel lessico comune. Ma cosa vuol dire veramente? Cosa succede quando ci iscriviamo a un social network oppure quando chiediamo di effettuare un’operazione bancaria? Anche senza rendercene conto, ogni giorno lasciamo ovunque dati personali, cioè delle tracce che parlano di noi e delle nostre preferenze.

Nel nostro ordinamento, tuttavia, alla parola privacy non corrisponde una definizione generalmente acquisita; essa, infatti, indica un concetto mutevole legato all’evolversi del contesto giuridico e sociale. Molto spesso, il termine privacy viene tradotto nel linguaggio comune con la parola riservatezza. In realtà, privacy e riservatezza sono due nozioni differenti. Mentre la riservatezza rappresenta il diritto alla propria sfera privata e ai propri dati personali, la privacy è un’estensione di tale diritto, poiché si concentra su tutti gli elementi che definiscono l’identità di un individuo, la sua storia, le sue abitudini e ogni status.

Ove legato alla tutela dei dati, la privacy estende il concetto di tutela, spostandolo dalla sfera privata alla dimensione sociale. È chiaro quindi che il diritto alla privacy include al suo interno quello alla riservatezza, attribuendo al soggetto che ne è titolare il potere di impedire che vengano divulgate informazioni sulla sua persona, nonché di controllare la raccolta e il trattamento delle informazioni stesse.

Affrontando la questione da un punto di vista storico, già con la Dichiarazione Universale dei Diritti Umani del 1948, all’art. 12, sebbene non esplicitato, si vieta ogni sorta di interferenza arbitraria nella riservatezza di ciascuno, garantendo al contempo una tutela legislativa contro eventuali ingerenze.

Anche nel territorio dell’Unione Europea, il legislatore è intervenuto a disciplinare la materia, dapprima con la Direttiva 95/46/CE, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali e alla libera circolazione degli stessi, e poi con la Carta dei diritti fondamentali dell’Unione Europea, dove all’art. 8 si attribuisce a ogni individuo il diritto alla protezione dei dati di carattere personale che lo riguardano.

Occorre tuttavia attendere il Regolamento (UE) 2016/679, noto come Regolamento Generale per la Protezione dei Dati Personali (GDPR), affinché si possa considerare un quadro normativo omogeneo in materia. All’interno del nostro ordinamento, le relative disposizioni sono confluite, da prima nel Codice in materia di protezione dei dati personali, di cui al D.Lgs. 196 del 2003 (Codice della Privacy). Questo codice è stato successivamente modificato dal D.Lgs. 101 del 2018, il quale ha armonizzato la normativa interna con quella sovranazionale.

Diversamente dal passato, la nuova disciplina sulla privacy si basa sul binomio responsabilizzazione/consapevolezza. L’accountability è a carico di chi gestisce i dati personali e li tratta da un lato, e della maggiore consapevolezza da parte dei titolari degli stessi dall’altro.

Ma alla fine, cosa si intende per dato personale? Per espressa previsione del GDPR, si definisce dato personale qualsiasi informazione riguardante una persona fisica identificata o identificabile, direttamente o indirettamente (ad es. un codice fiscale). Se in passato si parlava di dati sensibili e dati giudiziari, con il regolamento non è più corretto utilizzare questa espressione, ma si deve far riferimento agli artt. 9 e 10 della normativa europea che li sostituiscono.

In particolare, secondo l’art. 9 del regolamento, rientrano nella categoria dei dati personali non soltanto quelli che rivelano l’origine razziale o l’opinione politica, ma anche i dati genetici e biometrici intesi a identificare univocamente un soggetto fisico. L’art. 10 del regolamento europeo, invece, individua i dati personali relativi alle condanne penali e ai reati, nonché alle misure di sicurezza.

Di base, un dato personale è considerato trattato quando viene sottoposto a qualsiasi operazione o insieme di operazioni, compiute con processi automatizzati o anche senza. In particolare, ai sensi dell’art. 5 del GDPR, i dati devono essere trattati in modo lecito, corretto e trasparente. Devono essere raccolti per finalità ben determinate, minimizzando la quantità al trattamento necessario, e devono essere conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità.

Non meno importante è la previsione che deve garantire un’adeguata sicurezza, comprese misure tecniche e organizzative appropriate, per garantire l’integrità e la riservatezza da trattamenti non autorizzati, illeciti o accidentali.

Ma quando un trattamento del dato sarà lecito? Lo sarà solo se l’interessato ha espresso il consenso al trattamento per una o più specifiche finalità, oppure se il trattamento è necessario all’esecuzione di un contratto, per adempiere a un obbligo legale, per il perseguimento di un legittimo interesse del titolare del trattamento o di terzi, oppure per salvaguardare gli interessi vitali dell’interessato.

Come possiamo vedere, la scelta opportuna della base giuridica del trattamento è di fondamentale importanza per il titolare del trattamento, considerando che costui è responsabile della correttezza del trattamento.

Per tutelarsi in un contesto in cui la privacy è sempre più a rischio, le persone possono adottare diverse strategie. Innanzitutto, è fondamentale essere consapevoli delle informazioni personali che si condividono online. Questo include la revisione delle impostazioni sulla privacy sui social network e la limitazione della condivisione di dati sensibili, come indirizzi, numeri di telefono e informazioni finanziarie. Inoltre, è consigliabile utilizzare password forti e uniche per ogni account, attivare l’autenticazione a due fattori e monitorare regolarmente le proprie attività online per rilevare eventuali accessi non autorizzati. Infine, è importante informarsi sui diritti previsti dal GDPR, come il diritto di accesso e il diritto di rettifica, per poter esercitare un controllo attivo sui propri dati.

Pubblicare dati di altre persone senza il loro consenso può avere gravi conseguenze legali e morali. In primo luogo, si viola il diritto alla riservatezza e alla protezione dei dati personali, esponendo l’autore a sanzioni previste dal GDPR, che possono includere multe significative. Inoltre, la diffusione non autorizzata di informazioni personali può danneggiare la reputazione e la vita privata degli individui coinvolti, portando a conseguenze psicologiche e sociali. È quindi essenziale rispettare la privacy altrui e considerare le implicazioni etiche delle proprie azioni nel mondo digitale.

In un’epoca in cui la tecnologia permea ogni aspetto della nostra vita, la consapevolezza riguardo alla privacy e alla protezione dei dati personali è più cruciale che mai. La responsabilità non ricade solo sulle istituzioni e sulle aziende, ma anche su ciascuno di noi come individui. Adottare comportamenti proattivi per proteggere le proprie informazioni e rispettare la privacy degli altri non è solo un obbligo legale, ma un dovere morale. Solo attraverso una maggiore consapevolezza e responsabilizzazione possiamo costruire un ambiente digitale più sicuro e rispettoso, dove la privacy di ognuno è tutelata e valorizzata.

L'articolo Riservatezza vs Privacy: il concetto che tutti confondono (e perché è pericoloso) proviene da il blog della sicurezza informatica.

L’app “Tea Dating Advice” ha comunicato un data breach il 25 luglio 2025 che ha coinvolto 72 mila immagini di utenti registrati prima di febbraio 2024, fra cui 13 mila selfie e documenti caricati per la verifica dell’account e 59 mila immagini pubbliche provenienti da post, commenti e messaggi diretti.
La comunicazione dal profilo Instagram @theteapartygirls.
Kasra Rahjerdi, un ricercatore di sicurezza, ha dato successivamente la notizia secondo cui risultava violato anche un database con 1,1 milioni di messaggi che contengono informazioni identificative (contatti, profili social) e conversazioni dal 2023 ad oggi. La società ha confermato la violazione anche di questo database e che sta svolgendo delle investigazioni a riguardo.

L’accesso non autorizzato è avvenuto su un sistema di archiviazione dati legacy, con un accesso diretto tramite url pubblico, che prevedeva la conservazione dei dati per adempire agli obblighi di legge relativi alla prevenzione e al contrasto del cyber-bullismo.

Leggendo l’informativa privacy, però, non c’è questa finalità dichiarata ma si parla in modo generico di una conservazione “per il tempo strettamente necessario a soddisfare un legittimo interesse aziendale“.

Infine, gran parte del contenuto risulta essere stato esposto su 4chan. Con tutte le conseguenze del caso.

La destinazione d’uso dell’app Tea Dating.

La viralità dell’app ha portato ad un grande successo negli Stati Uniti, quindi la mole di informazioni personali esfiltrata è particolarmente rilevante sia per qualità che per quantità.

La destinazione d’uso dell’app: “comunità online dedicata alle donne per supportarsi a vicenda e orientarsi nel mondo degli appuntamenti“, fornendo alcuni strumenti a supporto e l’occasione di condividere anonimamente esperienze per creare uno spazio sicuro online.

L’evidenza dei fatti presenta un conto piuttosto amaro: la sicurezza di quei dati non era stata gestita in modo adeguato tenendo conto dei rischi e della particolare sensibilità degli stessi.

Inoltre, anche l’aspetto della privacy non sembra essere stato affrontato in modo ottimale. Leggendo l’informativa non risponde ai canoni di chiarezza o di completezza che ci si attenderebbe da un’app che opera trattamenti così delicati.

Comprensibile il time to market per uscire con la proposta dell’app. Molto meno che una versione dettagliata dell’informativa sia stata pubblicata solo in data 11 agosto 2025, ovverosia dopo l’incidente. La precedente, invece, aveva resistito immutata dal 28 novembre 2022.

Ciononostante, i tempi di data retention continuano ad essere generici:

4) Data Retention
We endeavor to retain your personal information for as long as your account is active or as needed to provide you the Services, or where we have an ongoing legitimate business need. Additionally, we will retain and use your personal information as necessary to comply with our legal obligations, resolve disputes, and enforce our agreements. You can request deletion of your active account via the Tea app by accessing your “Account” under your Profile.

Cambia invece il paragrafo “Security of Your Personal Information”, passando da questa forma:

The security of your Personal Information is important to us. When you enter sensitive information (such as credit card number) on our Services, we encrypt that information using secure socket layer technology (SSL).Tea Dating Advice takes reasonable security measures to protect your Personal Information to prevent loss, misuse, unauthorized access, disclosure, alteration, and destruction. Please be aware, however, that despite our efforts, no security measures are impenetrable.If you use a password on the Services, you are responsible for keeping it confidential. Do not share it with any other person. If you believe your password has been misused, please notify us immediately.

a questa:

Safeguarding personal information is important to us. While no systems, applications, or websites are 100% secure, we take reasonable and appropriate steps to help protect personal information from unauthorized access, use, disclosure, alteration, and destruction. To help us protect personal information, we request that you use a strong password and never disclose your password to anyone or use the same password with other sites or accounts.

Modifica piuttosto significativa. Insomma: fa riflettere.

La sostenibilità della destinazione d’uso.

La destinazione d’uso di una tecnologia o di una sua applicazione è un tema molto interessante, soprattutto per affrontare l’argomento della sua sostenibilità. Infatti, soprattutto nel digitale tutto, se non molto, può essere fatto.

Ma da un lato bisogna chiedersi non solo se questo sia “giusto” (e quindi se il beneficio sia compensato dai costi), ma anche se la sua modalità d’impiego tenga conto degli elementi di tutela della privacy e sicurezza dei dati e sia in grado di garantirne la protezione. E quindi la destinazione d’uso, per quanto affascinante e virtuosa, non è detto che sia sempre sostenibile o lo possa permanere nel tempo. Motivo per cui è richiesto un processo di continuo riesame a riguardo.

I migliori scopi così come la virtù di intenti non sono infatti sufficienti a proteggere i dati.

Perchè anche la strada per l’inferno dei dati è lastricata delle migliori intenzioni.

L'articolo Data breach Tea Dating App: 72 mila immagini e oltre 1 milione di messaggi privati proviene da il blog della sicurezza informatica.

Narratives around age verification and restriction of access for minors are gaining traction in the EU, amid similar efforts being pursued in the UK, US and Australia. This blog analyses different EU policy files and warns that relying on age-gating risks undermining more holistic, rights-respecting and effective solutions to online harm.

The post Age verification gains traction: the EU risks failing to address the root causes of online harm appeared first on European Digital Rights (EDRi).

PRESIDIO ASSEMBLEA - RACCOLTA FIRME
AL SITO
2 SETTEMBRE ORE 18.00

#Ambiente #StopInceneritore #NoInceneritore #NoInceneritori #ZeroWaste #Rifiuti #Riciclo #EconomiaCircolare #NoAlCarbone #EnergiaPulita

Thanks to everyone who came out to oppose the Boston Police Department’s (BPD) request for City Council approval for BPD to use three new social media surveillance tools. Because of your effort, the City Council voted against this proposal. The BPD started using these tools claiming “exigent circumstances” months before asking for approval.

We know that any tool BPD uses will feed into the Boston Regional Information Center (BRIC) and Federal agencies such as ICE, CBP and the FBI. Those tools will be used to spy on and abuse people who are doing nothing wrong. We are happy that the Boston City Council agreed.

Councilors Breadon (District 9), Louijeune (At large), Mejia (At large), Pepén (District 5), Weber (District 6) and Worrell (District 4) voted to reject the report, sending it to an oversight board that will assess whether Boston Police overstepped the surveillance ordinance. Councilors Durkan (District 8), FitzGerald (District 3), Flynn (District 2), Murphy (At large) and Santana (At large) voted to accept the report and allow BPD to continue to spy on the residents of Greater Boston.

We hope Bostonians consider how these councilors voted when they cast their ballot in the September 9th preliminary and November 4th general election. For the:

• Preliminary election: It is too late to register to vote. Early voting is September 2 – 5 and mail voting is open.
• General election: The voter registration deadline is October 25, 2025. Early voting will be October 25 – 31 (Sites and times to be determined)

Polls are open 7 am – 8 pm on election days. Boston seeks poll workers. Volunteers must attend a two-hour paid training and earn stipends of $160 – $200. Bilingual speakers are strongly encouraged to apply. Sign up at their portal.

masspirates.org/blog/2025/09/0…

Protagonista Maria Giulia d’Amico, che oggi non potrebbe essere concepita in Italia. L’Associazione Luca Coscioni chiede accesso alla PMA anche a donne singole e coppie dello stesso sesso.

Con una maxi affissione davanti ai Musei Vaticani e la raccolta di firme in corso per una petizione al Parlamento, l’Associazione Luca Coscioni rilancia la campagna “PMA per tutte” con un obiettivo chiaro: eliminare le discriminazioni ancora presenti nella legge 40 del 2004 e garantire pari accesso alla procreazione medicalmente assistita (PMA) anche a donne singole e coppie dello stesso sesso.

L’affissione, visibile fino al 18 settembre in Piazza Risorgimento, angolo via Ottaviano 9 (Roma), ha come protagonista Maria Giulia, 31enne romana, nata nel 1994 da una madre single che all’epoca ha potuto ricorrere in Italia alla PMA. Oggi, con l’attuale divieto, quella stessa possibilità le sarebbe negata: “Davvero oggi non potrei nascere?” è la domanda che campeggia accanto al suo volto.

Maria Giulia fa parte del gruppo “PMA per tutte”, formato da circa 30 donne, nato all’interno dell’Associazione Coscioni per promuovere iniziative sul tema. Tra loro c’è anche Evita, 40enne di Torino, che aveva ricevuto un diniego per accedere alla PMA in Toscana. Il suo caso è arrivato in Corte costituzionale, che ha confermato che il legislatore può estendere l’accesso alla PMA anche a nuclei familiari diversi da quelli previsti, come le famiglie monoparentali.

L’obiettivo della campagna è portare il tema direttamente in Parlamento: per questo l’Associazione sta raccogliendo firme per una petizione che chiede la modifica dell’articolo 5 della legge 40 sulla fecondazione assistita, superando il divieto che costringe ogni anno migliaia di persone ad andare all’estero per realizzare il proprio progetto di famiglia, in base alle proprie possibilità economiche.

Negli ultimi anni, diversi divieti della legge 40 sono stati cancellati dai tribunali. Rimane però quello che nega l’accesso alla PMA a donne singole e coppie dello stesso sesso, nonostante la Corte costituzionale abbia riconosciuto che non vi siano impedimenti costituzionali a una sua estensione. Il 18 settembre, l’Associazione Luca Coscioni depositerà in Senato le firme raccolte a sostegno della petizione.

Filomena Gallo e Francesca Re commentano: “Basta discriminazioni, il Parlamento intervenga”. Gallo e Re, avvocate, rispettivamente Segretaria e Consigliera Generale dell’Associazione Luca Coscioni, dichiarano congiuntamente: “Dal 2004 a oggi numerosi divieti della legge 40 sulla procreazione medicalmente assistita sono stati rimossi grazie ai tribunali. Rimane però il divieto di accesso alla PMA per le donne singole e per le coppie dello stesso sesso, un divieto che continua a produrre gravi discriminazioni. Ogni anno, infatti, migliaia di persone sono costrette a recarsi all’estero per realizzare il proprio progetto di famiglia grazie alla PMA, mentre in Italia questa possibilità rimane ingiustamente negata. Il legislatore ha oggi la responsabilità di intervenire per rimuovere tale ostacolo e per garantire pari accesso a chiunque ne abbia bisogno, come già chiedono il Parlamento europeo e il Comitato ONU per i diritti sociali”.

FIRMA LA PETIZIONE

La campagna PMA per tutte è coordinata dall’avvocata Francesca Re. La creatività della campagna è stata curata da Carlotta Inferrera, art director, e Flavio Avy Candeli, copywriter e direttore creativo dell’Associazione Luca Coscioni. La foto è del fotografo Valerio Muscella per l’Associazione Luca Coscioni.

L'articolo “Davvero non potrei nascere?”: PMA per tutte riparte con una maxi affissione al centro di Roma proviene da Associazione Luca Coscioni.