IT'S MONDAY, AND THIS IS DIGITAL POLITICS. I'm Mark Scott, and have partnered with YouGov and Microsoft for a dinner in Brussels on Dec 10 to recap the digital policymaking highlights of 2025 and to look ahead to what is in store for next year.

If you would like to attend, please let me know here. The event will include exclusive insight from YouGov on Europeans' attitudes toward technology. Spaces are limited, so let me know asap.

— November will again show how much the European Union is split over the bloc's strategy toward technology.

— The annual climate change talks begin in Brazil on Nov 10. The tech industry's impact has gone from bad to worse.

— Big Tech firms have massively increased their spending on tech lobbying within the EU institutions. Here are the stats.

Let's get started:

digitalpolitics.co/newsletter0…

If you’re a musician and you want a reverb effect, there are lots of ways to go about it. You can use software plugins, all kinds of rack-mount effects, or pedals. Or, as [David] has done, you could go with a lamp.

[David’s] build is straightforward enough in concept—he just chose a relatively unconventional item to use as a reverb tank. The lamp might seem like an odd choice, but it actually does a decent job at resonating because of its metal construction and the multiple springs that tension the structure. [David] turns the lamp into a reverb by fitting it with a Vidsonix Ghost audio transducer to put sound into the structure—picture the magnetic driver of a loudspeaker without the cone fitted, and you get the idea. Piezo elements were then used as contact mics to pick up reverberations from the lamp itself. Everything was assembled with a bunch of lab stands that give the build a rather nice aesthetic. The reverb time isn’t particularly long, but the sound is hauntingly beautiful.

You can use all kinds of random stuff as a reverb tank, even a trash can if so desired.

youtube.com/embed/JBb6G1VJM-I?…

hackaday.com/2025/11/03/foldin…

La Duma di Stato della Federazione Russa ha adottato all’unanimità un appello a tutti gli sviluppatori di reti neurali nazionali e stranieri, chiedendo che all’intelligenza artificiale venga impedito di occupare posti di lavoro in Russia.

“Il diritto al lavoro è garantito ai cittadini dalla Costituzione, quindi l’intelligence informatica non deve sostituire i russi nel loro lavoro. Avete un mese di tempo per porre rimedio alla situazione, altrimenti saremo costretti ad agire”, si legge nel documento.

Se i fornitori di sistemi di Intelligenza Artificiale non rispettassero la raccomandazione della camera bassa del parlamento, la diffusione dell’intelligenza artificiale in Russia potrebbe essere limitata e le società che le sviluppano potrebbero essere sanzionate.

“Proteggeremo gli interessi della gente comune che vuole lasciare la tecnologia occidentale nella polvere. Sono fiducioso che entro un anno milioni di americani ed europei verranno a lavorare qui, perché i loro Paesi sono governati dal capitale, non dai lavoratori”, ha affermato Gennady Orlov, vicepresidente del Partito Comunista della Federazione Russa.

Quel che emerge è che questo è il primo emendamento di uno stato — la Russia — che intende proteggere gli interessi dei lavoratori nel rapporto con l’IA e i suoi produttori:

• Il principio espresso: “l’IA non deve sostituire i cittadini nel loro lavoro” richiama direttamente una tutela del diritto al lavoro.
• L’appello agli sviluppatori nazionali e stranieri suggerisce un controllo statale affinché la tecnologia non comprometta l’occupazione.
• La minaccia implicita di limitazioni/sanzioni pone in evidenza che lo Stato ritiene la questione fondamentale a livello legislativo/regolamentare.

In altre parole: se concretamente attuato, potremmo dire che lo Stato sta introducendo un precedente normativo in cui il progresso tecnologico (l’IA) non è più solo una questione di innovazione o competitività, ma anche di tutela sociale — e di bilanciamento tra capitale tecnologico e forza lavoro umana.

L'articolo La Russia limita l’intelligenza artificiale per proteggere i posti di lavoro proviene da Red Hot Cyber.

OpenAI ha presentato Aardvark, un assistente autonomo basato sul modello GPT-5 , progettato per individuare e correggere automaticamente le vulnerabilità nel codice software. Questo strumento di intelligenza artificiale, definito “agente di ricerca sulla sicurezza”, è già in fase di beta testing w consentirà una rapida identificazione e risoluzione di potenziali problemi nei repository.

Secondo la descrizione, Aardvark monitora le modifiche al codice sorgente in tempo reale, analizza i commit e determina quali di essi potrebbero rappresentare una minaccia. Sulla base di questa analisi, il sistema crea un proprio modello di minaccia, allineato all’architettura e agli obiettivi del progetto.

Quindi analizza la cronologia delle modifiche e testa nuovi frammenti, tentando di riprodurre potenziali vulnerabilità in un ambiente isolato. Se un problema viene confermato, viene generata una patch utilizzando l’OpenAI Codex e quindi inviata per la revisione umana.

Aardvark si basa su GPT-5, introdotto nell’agosto 2025, un modello con logica migliorata e routing modulare che gli consente di selezionare dinamicamente la modalità operativa appropriata in base all’attività. Ciò consente all’agente non solo di identificare le vulnerabilità, ma anche di valutarne la gravità, assegnarne la priorità e suggerire soluzioni mirate.

Secondo OpenAI, i test interni sui propri repository e su quelli di diversi partner hanno già prodotto risultati: almeno dieci CVE sono state identificate in progetti open source. Ciò dimostra il potenziale dello strumento come guardiano costante durante lo sviluppo, prevenendo il rallentamento nel rilascio di nuove funzionalità.

Lo sviluppo di Aardvark procede parallelamente a iniziative simili di altre aziende. Ad esempio, Google ha recentemente annunciato CodeMender , un sistema di intelligenza artificiale in grado di individuare, riscrivere e correggere il codice vulnerabile al fine di prevenire ulteriori attacchi. Questa tecnologia sarà integrata in importanti progetti open source con la partecipazione dei loro responsabili.

Nel contesto della competizione tra soluzioni come Aardvark, CodeMender e XBOW , sta emergendo una nuova classe di strumenti per la revisione continua del codice, i test di exploitability e la generazione di patch. Il rilascio di Aardvark ha coinciso anche con il recente lancio dei modelli gpt-oss-safeguard, specificamente addestrati per attività di classificazione basate sulla sicurezza.

L'articolo I Bug Hunter resteranno senza lavoro? OpenAI presenta Aardvark, il nuovo “bug fixer” proviene da Red Hot Cyber.

Nella circostanza si sono svolti incontri per il rafforzamento della cooperazione con il Direttore Nazionale della Gendarmería Nacional, Comandante Generale Claudio Miguel Brilloni, e il Commissario Generale Luis Alejandro Rolle, Capo della Policía Federal Argentina.

Lo Stato sud-americano partecipa con la sua Gendarmeria Nazionale alla #FIEP (fiep.org/), un'associazione di Gendarmerie e Forze di Polizia nazionali con Status Militare.

L'obiettivo della FIEP (che iniziò la sua attività con le forze militari di Francia, Italia, Spagna e Portogallo) è quello di ampliare e rafforzare le relazioni reciproche, promuovere una riflessione innovativa e attiva sulle forme di cooperazione di polizia e valorizzare il suo modello di organizzazione e strutture all'estero.

L'Associazione facilita, in conformità agli accordi internazionali vigenti e alle normative nazionali, lo scambio di informazioni ed esperienze nei seguenti settori: Risorse umane (compresa la formazione e il reclutamento); Organizzazione del servizio; Nuove tecnologie e logistica; Affari Internazionali.

\

A corollario della sua visita il Comandante Generale #Luongo è stato insignito della Medaglia d’Onore d’Oro della Policía Federal Argentina. \
A seguire, si é tenuto l’incontro con l’Ambasciatore d’Italia, Min. Plen. Fabrizio Lucentini, e i Carabinieri in servizio presso l'Ambasciata di Buenos Aires.

#ArmadeiCarabinieri

The fake H313 TV box SBC in all its glory. (Credit: Oleksii’s Tech, YouTube)
Marketplaces and e-waste recycling centers are practically overflowing with the things: ARM-based streaming TV boxes that run some — usually very outdated and compromised — version of Android. While you can use them for their promised streaming purposes, they’re invariably poorly optimized and often lie about their true hardware specifications. Which leaves the most important question: can you install Linux on these SBCs and use them as a poor man’s Raspberry Pi alternative? The answer, according to [Oleksii’s Tech] on YouTube is ‘sorta’.

The commonly seen X96Q clone Android TV box that [Oleksii] bought for $10 is a good example. The clone advertises itself as based on a quad-core Cortex-A53 AllWinner H313 SoC, like the genuine X96Q, but actually has a Rockchip RK3229 inside with correspondingly far lower performance. After you have determined what the actual hardware inside the box is, you can get a copy of Armbian for that particular SoC. Here, the Rk322x-box minimal image was used, with the box booting straight off an SD card. Some Android TV boxes require much more complicated methods to even boot off external media, so this was a lucky break.

Continuing the hardware scam, it was advertised as having 2 GB of RAM and 16 GB of Flash, but it actually has just 1 GB of RAM and 8 GB of eMMC Flash. This was enough to get Armbian desktop up and running, but that’s about all you can do on the desktop. Desktop application performance was atrocious, mostly due to the CPU’s quad Cortex-A7 cores struggling to keep up.

As also suggested in the comments, the best use for these low-spec SBCs is probably to run light server applications on them, including Pi-Hole, Samba, an IRC bouncer, and so on. They’re pretty low-power, often have the requisite Ethernet built in, and it keeps another bit of potential e-waste from getting scrapped.

youtube.com/embed/b1UIIlYLM4I?…

hackaday.com/2025/11/03/repurp…

“Quando la chiave è ‘Louvre’ – Il furto che insegna come la governance delle password può far vacillare anche i più inviolabili baluardi”

Il 19 ottobre 2025 il Museo del Louvre fu teatro di un furto clamoroso: nella celebre Galerie d’Apollon, una banda entrò attraverso una finestra grazie a un cestello elevatore installato su un camion, rimase all’interno per pochi minuti e scappò con almeno otto gioielli di straordinario valore appartenenti ai gioielli della Corona francese.

In seguito all’evento emerse un dettaglio emblematico per tutti gli operatori di sicurezza: il server di videosorveglianza, secondo quanto riportato dalla stampa, aveva come password… il nome stesso del museo, “LOUVRE”.

Password e governance: la vulnerabilità dietro la porta aperta

Quando il museo che ospita la Gioconda, che conta milioni di visitatori all’anno e che viene considerato uno dei luoghi simbolo della cultura mondiale, risulta essere forzato in pochi minuti, è chiaro che la falla non è solo dal vetro rotto: è nei processi, nei ruoli, negli automatismi.

La scelta della password “Louvre” segnala una casualità o superficialità inaccettabile: è una stringa prevedibile, facilmente individuabile da chiunque aveva compiuto una ricognizione (OSINT) o da chi avesse accesso minimo ai dati interni. In pratica, l’amministratore di sistema – interno o esterno – ha lasciato la serratura digitale con la chiave più banale.

Il ruolo dell’amministratore di sistema e la governance IT

Gli amministratori di sistema rappresentano il nodo critico nella difesa informatica di ogni organizzazione:

• definire politiche di password robuste (lunghezza, complessità, rotazione automatiche)
• gestire i privilegi (chi può accedere ai sistemi di sorveglianza, reti, server)
• garantire che i sistemi di controllo siano integrati (videosorveglianza fisica + logica, network, autenticazioni)
• monitorare costantemente e reagire agli alert (un accesso anomalo, un server che risponde con credential di default)

Nel caso del Louvre, risulta evidente che anche se la videosorveglianza “funzionava”, come dichiarato, la governance era insufficiente: anche se una AUDIT risulta in corso, sembrerebbe che il sistema faccia uso di protocolli obsoleti, sistemi sotto-equipaggiati, rischi sottovalutati.

“Difesa perimetro + credenziali interne” = vero «doppio muro»

Spesso si parla solo di ‘difesa del perimetro’: muri, vetri blindati, allarmi. Ma come ha dimostrato il furto, i ladri hanno usato un soggetto esterno (la piattaforma elevatrice) e hanno proceduto come fossero tecnici: l’accesso fisico si è combinato con la debolezza logica (password banale).

Analogamente, in un’azienda moderna, l’infrastruttura IT è vittima se la password di backup, del server remoto, del firewall oppure del controller di dominio è banale – anche se il firewall è configurato in modo impeccabile. Una password debole azzera il valore di un perimetro forte.

Best-practice che ogni organizzazione dovrebbe adottare

Alla luce dell’episodio, ecco alcuni pilastri che tutti – musei, istituti finanziari, realtà industriali – dovrebbero integrare nella governance IT:

1. Password manager e policy condivise: niente password “museonome” o di default, niente account condivisi con “admin/admin123”.
2. Autenticazione a più fattori (MFA) anche per sistemi ‘meno visibili’ come sorveglianza, backup, manutenzione.
3. Least privilege: ogni account fa solo ciò che serve, gli account di maintenance non restano attivi 24/7.
4. Accesso e log auditing continuo: gli amministratori devono avere visibilità, alert in caso di login anomalo, processo di escalation.
5. Revisione periodica delle credenziali e penetration test: verificare che anche le credenziali ‘minori’ (videosorveglianza, impianti, accesso tecnico) siano protette.
6. Governance e responsabilità chiare: chi è responsabile della sicurezza del museo non può politicizzare la questione – serve un governance board, reporting, budget adeguato.

Conclusione

La vicenda del Louvre ci ricorda che la sicurezza non è solo vetri blindati o telecamere di ultima generazione, ma anche – e forse soprattutto – la correttezza delle credenziali, la gestione degli accessi e la cultura della responsabilità degli amministratori di sistema.

Il furto non è stato reso possibile solo da una finestra rotta, ma da una porta logica spalancata dalla banalità. Se “Louvre” può essere la password del Louvre, cosa potrebbe succedere in un’azienda con password “Company123”, “Admin2025” o “Password1”?

In un mondo dove ogni rete, ogni server, ogni device è un potenziale punto di intrusione, la governance delle password e la protezione degli account tecnici diventano la prima linea di difesa. Non lasciamo che la praticità soverchi la prudenza.

Un amministratore di sistema preparato sa che la password più bella è quella che nessuno indovinerà – e che nessuno dimenticherà di cambiare.

Luca Almici

L'articolo Il furto al Louvre: come la governance delle password può compromettere la sicurezza proviene da Red Hot Cyber.