Testo preparato con Peppe Brescia

Una delle molecole psichedeliche che ha suscitato il maggior interesse della comunità scientifica è senza dubbio la psilocibina, il principio attivo naturalmente contenuto in alcune varietà di funghi. Tra le aziende leader nella ricerca sulle applicazioni mediche della psilocibina figura la Compass Pathways, fondata nel 2016 negli Stati Uniti.

Nel corso di un’intervista recentemente rilasciata a Psychedelic Health, il CEO di Compass Pathways Kabir Nath ha delineato le prospettive riguardo il percorso di possibile approvazione degli usi medici della psilocibina per la depressione resistente al trattamento da parte della Food and Drug Administration (FDA).

Il COMP360, la formulazione sintetica a base di psilocibina che costituisce il prodotto di punta della ricerca Compass, è in attesa dell’avvio di una seconda sperimentazione di fase 3 finalizzata a testare gli effetti sulla depressione resistente al trattamento (TRD). Nath ha sottolineato che, in virtù del successo della precedente sperimentazione, sarebbe la prima volta che una molecola psichedelica di origine naturale raggiungerebbe una fase così avanzata nell’ambito di uno studio sulla TRD.

L’arruolamento della coorte è già stato completato, mentre la divulgazione dei primi risultati è attesa entro il prossimo mese di Marzo. Qualora le scadenze venissero rispettate, la ricerca di Compass potrebbe assistere a una rilevante accelerazione, in grado di anticipare di un anno il lancio in commercio di COMP360, inizialmente previsto per il 2028.

A integrazione del piano di commercializzazione, il progetto di Compass comprende lo sviluppo della formazione dei fornitori e l’implementazione di partnership in collaborazione con professionisti del settore clinico, misure mirate ad agevolare l’iter di richiesta delle autorizzazioni necessarie, tagliando così le tempistiche che dividono ricerca sperimentale e potenziale ingresso sul mercato. L’obiettivo è infine quello di attivare la procedura di approvazione della FDA in maniera più rapida.

“Abbiamo avuto una discussione approfondita con la FDA sulla possibilità di una presentazione e una revisione continue, cosa che per la divisione psichiatrica sarebbe sicuramente qualcosa che non hanno mai fatto in passato”, ha affermato Nath.

L’anno scorso la FDA ha respinto la possibilità di ricorrere alla terapia assistita da MDMA per il trattamento del disturbo da stress post-traumatico, contestando sia la mancanza di prove a supporto di efficacia e sicurezza del trattamento che le metodologie utilizzate nello sviluppo dello studio dalla società Lykos Therapeutics.

Compass sottolinea le differenze strutturali tra molecole psichedeliche capaci di generare significative variabili a seconda della sostanza presa in analisi.

“L’MDMA non è uno psichedelico classico, è più un agente patogeno, e quindi la componente terapeutica è davvero importante per l’MDMA – il dialogo vero e proprio, l’interazione con un terapeuta. Per gli psichedelici classici come la psilocibina o l’LSD, questo non è il caso”, ha affermato Nath, evidenziando le differenze riferibili al modello terapeutico proposto alla FDA: se Lykos struttura le proprie ricerche in base a una combinazione farmaco/terapia, Compass ha incentrato il proprio schema di sperimentazione su monitoraggio e supporto.

Qualora il processo di approvazione a seguito della seconda fase 3 si concludesse con un responso positivo da parte della FDA, il trattamento con COMP360 potrebbe dunque essere fornito anche dalle cliniche che attualmente forniscono il trattamento con ketamina: per la commercializzazione di COMP360 si potrebbe infatti ipotizzare un collegamento con la rete di distribuzione di Spravato, lo spray nasale a base di esketamina utilizzato nel trattamento della TRD.

In questa prospettiva, Compass si troverebbe alle prese con un’operazione di distribuzione in grado di coinvolgere potenzialmente migliaia di cliniche tra Stati Uniti ed Europa.

È per queste ragioni che la società sta portando avanti analisi di mercato in merito al mercato europeo, sebbene gli iter di domanda e approvazione seguano le norme di altri sistemi burocratici rispetto a quello statunitense.

La ricerca sugli effetti della psilocibina come possibile terapia per la TRD appaiono dunque a un fondamentale crocevia: il fatto che lo studio su una molecola psichedelica naturale sia per la prima volta giunto a uno stadio così avanzato rende Nath convinto che “ciò che faremo e il modo in cui ci impegneremo a commercializzare e ad avere successo influenzeranno il comportamento degli altri”.

L'articolo Progressi psichedelici sulla depressione resistente al trattamento proviene da Associazione Luca Coscioni.

Oggi, anche in assenza di una legge nazionale, chi vive in condizioni di sofferenza fisica o psicologica insopportabile ha già diritto a ottenere aiuto medico alla morte volontaria, il cosiddetto “suicidio assistito”: per garantire tempi certi per la procedura di verifica e attuazione previsti dalla Corte costituzionale può bastare una legge regionale. Questo il punto sulle discussioni nelle varie Regioni.

TOSCANA

In Toscana, l’11 febbraio 2025, dopo due giornate di intensa discussione in Aula, la Regione ha approvato la proposta di legge “Liberi Subito”, depositata 11 mesi prima con 10.700 sottoscrizioni di cittadini toscani. La nuova norma stabilisce che chiunque richieda una valutazione delle proprie condizioni di salute per accedere al suicidio medicalmente assistito debba ricevere una risposta entro un massimo di 30 giorni; in caso di esito positivo e conferma della scelta, l’assistenza deve essere erogata entro ulteriori 7 giorni.

Il 14 marzo 2025 il presidente della Regione, Eugenio Giani, ha promulgato ufficialmente la legge. Il 17 marzo la norma è stata pubblicata sul Bollettino Ufficiale della Regione Toscana con il numero 16/2025. Con questa approvazione, la Toscana è diventata la prima Regione italiana a dotarsi di una legge che garantisce un iter chiaro, uniforme e regolamentato per l’accesso alla morte volontaria medicalmente assistita. Qui è possibile visionare il testo della legge.

Dopo il fallimento di un ricorso al Collegio di Garanzia Statutaria da parte dei capigruppo del centrodestra, il 9 maggio 2025 il Governo Meloni ha deciso di impugnare la legge toscana davanti alla Corte costituzionale. Il 22 maggio la Regione ha comunicato ufficialmente la propria costituzione in giudizio. Giani si è detto fiducioso nel respingimento del ricorso, affermando che “le nostre motivazioni sono talmente forti che sono convinto verranno accolte” e ricordando che, in assenza di una legge nazionale, le Regioni hanno piena competenza in materia di organizzazione sanitaria, come previsto dalla Costituzione.

Il 4 novembre 2025 si è tenuta l’udienza pubblica davanti alla Corte costituzionale. L’Avvocatura dello Stato, rappresentando la Presidenza del Consiglio, ha sostenuto che la legge toscana violerebbe l’articolo 117 della Costituzione, invadendo la competenza esclusiva dello Stato in materia di ordinamento civile e penale e incidendo su diritti personalissimi, come quello alla vita e all’integrità. Secondo l’Avvocatura, l’intera legge sarebbe da annullare perché disciplina un ambito che deve essere regolato unicamente dallo Stato.

La Regione Toscana ha respinto le accuse, sostenendo che la legge non introduce nuovi diritti ma si limita a disciplinare, sul piano organizzativo, le modalità con cui le ASL devono dare attuazione alle sentenze della Corte costituzionale (in particolare la n. 242/2019). Gli avvocati Fabio Ciari e Barbara Mancino, in rappresentanza della Regione, hanno ribadito che la normativa si muove nel solco della giurisprudenza costituzionale e rientra pienamente nella competenza regionale in materia di tutela della salute.

Anche l’Associazione Luca Coscioni ha preso parte al procedimento come amicus curiae, depositando un’opinione scritta in cui ha evidenziato che la legge toscana garantisce diritti fondamentali, tutelando l’autodeterminazione delle persone e colmando un vuoto normativo, nel pieno rispetto della cornice costituzionale.

La decisione della Corte è attesa nei prossimi mesi e rappresenterà un passaggio cruciale non solo per la Toscana, ma per tutte le Regioni che intendono esercitare le proprie competenze per garantire diritti e tempi certi a chi chiede, in condizioni definite dalla Consulta, di accedere al suicidio medicalmente assistito.

SARDEGNA

Il 17 settembre 2025, la Sardegna è diventata la seconda Regione italiana ad approvare una legge sul fine vita, dopo la Toscana. Il Consiglio Regionale ha votato la proposta con 32 voti favorevoli, 19 contrari e un’astensione, al termine di un dibattito che ha evidenziato divisioni tra e dentro gli schieramenti.

Il 20 novembre 2025, il Consiglio dei ministri ha impugnato la legge sarda n. 26/2025 sostenendo che essa «esula dalle competenze regionali» e viola l’art. 117 della Costituzione su ordinamento civile e penale, LEP e riparto in materia di tutela della salute. Il Governo richiama inoltre l’esistenza in Senato di un testo base nazionale sulla morte medicalmente assistita, affermando che la disciplina non può essere dettata a livello regionale.

Di segno opposto il commento dell’Associazione Luca Coscioni, che definisce l’impugnazione una scelta ideologica: «La legge sarda è pienamente in linea con la sentenza 242/2019 e garantisce tempi certi alle persone malate. Nel frattempo, troppe persone continuano a soffrire o a emigrare per morire con dignità», hanno dichiarato Filomena Gallo e Marco Cappato.

MOLISE

Il 1° aprile 2025 è stata depositata in Consiglio regionale del Molise la proposta di legge sul fine vita, sottoscritta da 10 consiglieri appartenenti sia alla maggioranza che all’opposizione. La norma definisce tempi e procedure per l’accesso al suicidio medicalmente assistito coinvolgendo l’Azienda sanitaria regionale (Asrem), senza impatti sul bilancio né sul Piano di rientro sanitario.

Il 14 aprile 2025 la proposta è stata presentata pubblicamente come un’iniziativa bipartisan, ma solo il 9 dicembre 2025, la proposta è stata inserita ufficialmente all’ordine del giorno del Consiglio regionale, segnando così l’inizio della fase di discussione in Aula.

UMBRIA

Il 12 maggio 2025 è partita ufficialmente la campagna Liberi Subito in Umbria, promossa dall’Associazione Luca Coscioni per una legge regionale che definisca tempi certi e procedure chiare per l’accesso al suicidio medicalmente assistito. Coordinatrice della campagna è stata Laura Santi, giornalista malata di sclerosi multipla progressiva, la prima in Umbria ad aver ottenuto l’autorizzazione dalla propria ASL. Dopo oltre tre anni di attesa, Laura è infine ricorsa al suicidio assistito, diventando simbolo nazionale della battaglia per i diritti di fine vita.

Il 17 settembre 2025, con 4.801 firme raccolte, la proposta di legge è stata depositata presso l’Assemblea legislativa, facendo dell’Umbria la 19ª Regione ad avviare un’iniziativa di questo tipo. Durante la cerimonia di deposito, la Presidente dell’Assemblea Sarah Bistocchi ha parlato di un “momento di svolta”, sottolineando la necessità di una risposta istituzionale “alla dignità fino alla fine”.

Il 27 novembre 2025, l’Ufficio di Presidenza ha dichiarato ammissibile la proposta di legge Liberi Subito, che potrà ora avviare formalmente il proprio iter in commissione consiliare. I promotori saranno convocati per illustrarne contenuti e motivazioni. Se il Consiglio regionale non si pronuncerà entro sei mesi, il testo verrà automaticamente calendarizzato come primo punto all’ordine del giorno della prima seduta utile, entro marzo 2026.

«Il pensiero va a Laura Santi – hanno dichiarato Filomena Gallo e Marco Cappato – e al marito Stefano Massoli, che ne ha raccolto il testimone. Questa legge non introduce nuovi diritti, ma permette di esercitare quelli già riconosciuti dalla Corte costituzionale, senza costringere chi soffre ad attese estenuanti».

Toscana e Sardegna hanno già approvato leggi analoghe. Ora l’Umbria ha l’occasione storica di diventare la terza Regione italiana a garantire finalmente un percorso normato e umano per chi chiede di porre fine alla propria sofferenza.

LOMBARDIA

Il 18 gennaio 2024 sono state depositate 8.000 firme per una proposta di legge regionale di iniziativa popolare, superando ampiamente la soglia minima prevista di 5.000 sottoscrizioni. Il 7 febbraio, l’Ufficio di Presidenza del Consiglio regionale ha dichiarato all’unanimità l’ammissibilità della proposta. Tuttavia, il 19 novembre 2024, la proposta è stata bloccata in Aula, con l’approvazione di una questione pregiudiziale di costituzionalità sollevata dalla maggioranza, che ha ritenuto il tema di competenza esclusiva statale.

Nel frattempo, il tema ha continuato ad alimentare il dibattito in Regione Lombardia, anche a seguito del primo caso lombardo di suicidio medicalmente assistito, che ha suscitato forti tensioni nella maggioranza. L’11 marzo 2025, durante un’informativa in Aula, il presidente della Regione Attilio Fontana ha dichiarato che la Regione si è attenuta alle indicazioni della Corte costituzionale, in particolare alle sentenze n. 242/2019 e n. 135/2024, ma ha ribadito che un intervento normativo deve arrivare a livello nazionale, annunciando che la questione sarebbe stata affrontata nella Conferenza Stato-Regioni per cercare modalità attuative uniformi.

Il confronto è proseguito anche sul piano giudiziario. Il 30 ottobre 2025, il TAR della Lombardia ha respinto il ricorso presentato dall’Associazione Luca Coscioni, dichiarandolo inammissibile per difetto assoluto di giurisdizione. Il ricorso contestava la deliberazione con cui il Consiglio aveva approvato la pregiudiziale di costituzionalità.

L’Associazione Luca Coscioni ha definito la sentenza “una ferita alla democrazia partecipativa. L’iniziativa popolare non può ridursi a un atto simbolico: va garantita la discussione pubblica nelle sedi istituzionali”. In una nota congiunta, Filomena Gallo e Marco Cappato hanno annunciato l’intenzione di valutare nuove iniziative legali e politiche per difendere l’effettività dello strumento della proposta di legge popolare, previsto dallo Statuto regionale e dalla Costituzione.

Il caso Lombardia si configura dunque come uno dei più emblematici per l’Italia: da una parte, la spinta dal basso di migliaia di cittadini per ottenere tempi certi e regole chiare nell’accesso al suicidio assistito; dall’altra, un’istituzione che, pur ammettendo formalmente la proposta, nega la possibilità di discuterla nel merito. Il conflitto tra competenze legislative e partecipazione democratica resta al centro della battaglia politica e giuridica.

TRENTINO

Il 3 ottobre 2025, presso la Presidenza del Consiglio provinciale di Trento, sono state depositate 7.800 firme a sostegno della proposta di legge provinciale di iniziativa popolare “Liberi Subito”. L’iniziativa, avviata il 14 luglio, ha superato ampiamente l’obiettivo iniziale di 2.500 firme in meno della metà del tempo a disposizione.

I prossimi passaggi istituzionali previsti sono:

1. Entro 15 giorni dalla consegna, verifica della proponibilità del testo (conformità a Costituzione, Statuto di autonomia e legge provinciale);
2. Entro 45 giorni, se ammissibile, deve iniziare la trattazione in Consiglio;
3. Se non esaminata entro 24 mesi, la proposta sarà automaticamente sottoposta a referendum, senza necessità di nuove firme.

LIGURIA

Dopo che nel febbraio 2024 un gruppo trasversale di consiglieri regionali aveva depositato e discusso una proposta di legge sul fine vita, le dimissioni del Presidente Giovanni Toti e la conseguente convocazione di nuove elezioni hanno reso necessario un nuovo deposito del testo nella legislatura successiva.

Il 14 luglio 2025, Gianni Pastorino, capogruppo della lista Andrea Orlando Presidente, ha annunciato la ripresentazione della proposta di legge regionale per l’attuazione della sentenza 242/2019 della Corte costituzionale. Redatta in collaborazione con l’Associazione Luca Coscioni, la proposta è stata nuovamente depositata presso la II Commissione consiliare. La proposta attende ora di essere calendarizzata per la discussione.

Nel frattempo, un nuovo caso ha riportato l’urgenza del tema al centro del dibattito: il 20 settembre 2025 l’Associazione Soccorso Civile ha reso noto che un anziano ligure di 79 anni, affetto da una patologia neurodegenerativa irreversibile, si recherà in Svizzera per accedere al suicidio assistito dopo aver ricevuto un diniego dalla ASL ligure, che ha escluso il requisito del trattamento di sostegno vitale. Nonostante un’opposizione presentata con l’aiuto dell’Associazione Luca Coscioni, la richiesta di rivalutazione non ha mai ricevuto risposta. Di fronte al silenzio istituzionale e alle sofferenze divenute insopportabili, l’uomo ha deciso di procedere all’estero, accompagnato da due volontari, in un gesto di disobbedienza civile che punta a denunciare l’inadempienza della Regione Liguria nell’applicare le sentenze della Corte costituzionale.

PIEMONTE

In Piemonte, la proposta di legge sul fine vita è stata depositata per via popolare con oltre 11.000 firme, superando ampiamente la soglia richiesta di 8.000. Dopo un ciclo di audizioni degli esperti, il testo è arrivato in Aula il 22 marzo 2024. Tuttavia, in quella data il Consiglio Regionale – con 35 votanti: 22 favorevoli, 12 contrari e 1 astenuto – ha approvato una questione pregiudiziale di costituzionalità, sollevata dalla maggioranza che sostiene il presidente Alberto Cirio. Si è trattato di un tecnicismo, seppur previsto dal regolamento, utilizzato in modo strumentale per impedire la discussione nel merito della proposta, già ritenuta ammissibile dalla Commissione di garanzia e ratificata dall’Assemblea nel novembre 2023. In questo modo, le firme di migliaia di cittadini sono state ignorate e il confronto pubblico sul tema è stato bloccato.

Il 16 settembre 2025, l’assessore alla Sanità Federico Riboldi ha annunciato in Consiglio regionale che la Giunta sta lavorando a linee guida regionali sul fine vita per le aziende sanitarie, in risposta alle recenti sentenze della Corte costituzionale. Riboldi ha dichiarato che, data la perdurante assenza di una legge nazionale, l’amministrazione intende garantire un testo conforme alla giurisprudenza costituzionale e alle normative vigenti, e che sarà pubblicato non appena finalizzato e approvato ufficialmente.

CAMPANIA

Nel marzo 2024, i consiglieri regionali Luigi Abbate e Maria Muscarà hanno depositato la proposta di legge regionale sul fine vita, poi incardinata l’11 aprile dalla Commissione Sanità e Sicurezza Sociale, che ha avviato un tavolo tecnico di approfondimento. Il 25 marzo 2025, la proposta è arrivata in Aula, ma la discussione è stata rinviata per un cavillo tecnico sollevato dal presidente del Consiglio Regionale, Gennaro Oliviero. Il governatore De Luca ha successivamente richiesto l’avvio di consultazioni con vari soggetti, inclusa la Conferenza Episcopale della Campania, nonostante la fase di audizioni fosse già stata conclusa, rallentando ulteriormente l’iter.

A oltre un anno dal deposito, la proposta di legge “Liberi Subito” continua a subire rinvii. Nonostante fosse all’ordine del giorno per la seduta del 28 maggio 2025, la discussione è stata nuovamente rimandata per l’assenza del parere della Commissione Bilancio – lo stesso pretesto tecnico già usato il 25 marzo. L’Associazione Luca Coscioni, con un presidio davanti al Consiglio Regionale e l’adesione di oltre 115 persone a uno sciopero della fame a staffetta, ha denunciato la paralisi istituzionale e chiesto di votare la legge, nel rispetto del diritto già sancito dalla Corte costituzionale.

Il 5 agosto 2025 la vicenda di Coletta – nome di fantasia scelto da una 44enne campana affetta da SLA – ha riacceso il dibattito: dopo tre richieste respinte, ha deciso di ricorrere d’urgenza al Tribunale di Napoli contro la propria ASL, che si è rifiutata di rivalutare il caso e di trasmettere il parere del comitato etico. Coletta ha dichiarato di non poter più accettare che la sua volontà venga ignorata, annunciando di stare valutando l’espatrio in Svizzera. L’Associazione Luca Coscioni ha definito “inumano” il comportamento della ASL e ha denunciato l’inazione politica della Regione, che da oltre un anno evita la discussione della legge. Anche in Campania, i diritti riconosciuti dalla Corte costituzionale restano bloccati da ostacoli burocratici e responsabilità eluse.

FRIULI VENEZIA GIULIA

Ad agosto 2023, con oltre 8.000 firme raccolte (a fronte delle 5.000 richieste), in Friuli Venezia Giulia è stata presentata una proposta di legge per definire tempi e procedure per l’accesso all’aiuto medico alla morte volontaria. Tuttavia, il percorso legislativo ha subito gravi ostacoli: il 10 aprile 2024 la terza commissione regionale ha respinto il testo con motivazioni estranee al merito e, il 20 giugno, il Consiglio regionale ne ha bloccato la discussione attraverso una votazione pregiudiziale.

Nel frattempo, la Regione è stata già condannata per ritardi nell’applicazione della sentenza 242/2019, come nei casi di “Anna” e Martina Oppelli. Quest’ultima, affetta da sclerosi multipla, ha visto negato l’accesso alla procedura per tre volte ed è infine ricorsa al suicidio assistito in Svizzera. Prima di partire, ha sporto denuncia contro l’Azienda sanitaria universitaria giuliano isontina per rifiuto di atti d’ufficio e tortura, accusandola di non aver riconosciuto la sua dipendenza da trattamenti vitali e di averle inflitto sofferenze fisiche e psicologiche in violazione della Costituzione.

Di fronte a questo contesto, il presidente Fedriga – anche in qualità di presidente della Conferenza delle Regioni – ha ribadito il proprio rifiuto di affrontare il tema sul piano dei diritti individuali, affermando che “le norme non si fanno sull’emotività” e richiamando presunti abusi avvenuti all’estero. Ha inoltre sostenuto che l’Asugi avrebbe “applicato correttamente” la sentenza della Corte costituzionale, nonostante i dinieghi e i procedimenti giudiziari. Una posizione che, al di là della retorica, si traduce in un rifiuto di garantire tempi certi e diritti effettivi alle persone che chiedono di poter accedere legalmente alla morte volontaria assistita.

VALLE D'AOSTA

Ad inizio febbraio 2024, le consigliere regionali di opposizione Erika Guichardaz e Chiara Minelli (Progetto Civico Progressista) hanno depositato una proposta di legge sul suicidio medicalmente assistito in Valle d’Aosta, ispirata al modello elaborato dall’Associazione Luca Coscioni. Il 22 luglio 2025, nella sua ultima seduta prima della fine della legislatura, il Consiglio regionale ha discusso la proposta, che mirava a regolamentare tempi, ruoli e procedure del Servizio sanitario regionale per l’accesso al suicidio assistito, secondo quanto stabilito dalla sentenza 242/2019 della Corte costituzionale. Alla vigilia della seduta, Marco Cappato aveva lanciato un appello alla responsabilità dei consiglieri, chiedendo che non si continuasse a lasciare malati e medici senza riferimenti certi.

Il 24 luglio 2025 la proposta è stata bocciata. L’Associazione Luca Coscioni ha definito la decisione “un atto di irresponsabilità verso le persone malate e verso i medici”, sottolineando che la competenza regionale sulla materia esiste ed è già stata esercitata, come dimostra il caso della Toscana. “Quando si vuole, si può”, hanno dichiarato Marco Cappato e Filomena Gallo, criticando il paradosso di una Regione che rivendica maggiore autonomia ma rinuncia a esercitare quella che già possiede.

ALTO ADIGE

In Alto Adige, il disegno di legge “Liberi Subito” sul suicidio medicalmente assistito, presentato da Partito Democratico, Verdi e Team K il 28 febbraio 2025, è stato discusso il 26 giugno 2025 in commissione legislativa del Consiglio provinciale. Il testo è stato bocciato con 3 voti favorevoli (Verdi, Team K e Süd-Tiroler Freiheit, tutti all’opposizione) e 3 contrari (2 della SVP e 1 di Fratelli d’Italia, espressione della maggioranza).

La motivazione del voto contrario, tuttavia, non è stata di merito. Tutti i gruppi hanno infatti espresso condivisione sui contenuti della proposta, ritenendo importante garantire diritti e chiarezza sul fine vita. Le riserve sollevate dalla maggioranza sono state di natura giuridica: si teme che un intervento legislativo provinciale possa essere impugnato, come già accaduto alla legge toscana o alla delibera dell’Emilia-Romagna. Per questo, si è preferito attendere l’evoluzione dei ricorsi in corso e auspicare un intervento chiaro del legislatore nazionale.

Nonostante la bocciatura, il confronto ha mostrato una significativa apertura trasversale sul tema, anche in un territorio tradizionalmente conservatore come l’Alto Adige. L’attenzione resta alta in attesa degli sviluppi a livello statale e delle pronunce della Corte costituzionale.

ABRUZZO

In Abruzzo, la proposta di legge sul suicidio medicalmente assistito rappresenta la prima iniziativa popolare nella storia della Regione. Depositata il 19 giugno 2023, sono state raccolte 8.000 firme, superando di 3.000 il minimo richiesto. Dopo l’audizione dell’Associazione Luca Coscioni in Commissione Sanità il 18 febbraio 2025, si era auspicata un’accelerazione dell’iter, con decisione prevista entro il 26 giugno 2025.

Il 19 giugno 2025, a un anno esatto dal primo approdo in Aula, il Consiglio regionale ha finalmente discusso la proposta, inserita con procedura d’urgenza all’ordine del giorno. Tuttavia, la legge è stata bocciata dalla maggioranza di centrodestra, che ha ritenuto la materia di esclusiva competenza nazionale. Il centrosinistra ha votato a favore. La scelta della maggioranza è stata duramente criticata dall’Associazione Luca Coscioni, che ha parlato di “atto di irresponsabilità” verso malati e medici.

La bocciatura ha suscitato reazioni contrastanti: il Partito Democratico ha denunciato una “resa morale” e “una brutta pagina per la politica abruzzese”, mentre Fratelli d’Italia ha accolto con soddisfazione il voto, ribadendo che la vita è un diritto inalienabile da difendere a livello statale. Nonostante la sconfitta legislativa, l’Associazione Luca Coscioni ha assicurato che continuerà a sostenere legalmente e materialmente le persone che intendono far valere il proprio diritto all’autodeterminazione anche in Abruzzo.

VENETO

Il Veneto è stata la prima Regione a discutere la proposta di legge sul fine vita, depositata con 9.000 firme (superando il minimo richiesto di 7.000). La discussione in Aula è avvenuta il 16 gennaio 2024. Con 25 voti favorevoli, 22 contrari e 3 astenuti, il Veneto non ha approvato la legge. Per l’approvazione era necessaria la maggioranza assoluta: su 50 presenti, servivano 26 sì.

Il governatore Luca Zaia, deluso dall’esito della votazione, ha commentato ribadendo che il tema del fine vita non può essere oggetto di ipocrisia politica, richiede regole chiare e condivise, e ricordando come il diritto all’assistenza medica alla morte volontaria sia già riconosciuto dalle sentenze della Corte costituzionale. Il 7 maggio 2025 Zaia ha annunciato di aver “pronto un decreto per stabilire di rispondere entro dieci giorni” alle richieste dei pazienti.

EMILIA ROMAGNA

In Emilia-Romagna, la proposta di legge popolare sul suicidio medicalmente assistito è stata depositata nel luglio 2023 con 7.300 firme. Nonostante il parere favorevole della Commissione Statuto, la Giunta Bonaccini scelse di non discuterla, emanando invece delibere per regolare l’accesso alla procedura attraverso le ASL. Su queste delibere è ora pendente un ricorso al TAR promosso dalla consigliera di Forza Italia Valentina Castaldini. Anche la Presidenza del Consiglio dei Ministri e il Ministero della Salute hanno impugnato le delibere regionali.

Il Presidente della Regione Michele De Pascale ha ribadito la preferenza per una norma nazionale, pur affermando che la Regione garantirà i diritti sanciti dalla Corte costituzionale. L’Associazione Luca Coscioni ha nuovamente sollecitato il Consiglio regionale a discutere e approvare la proposta di legge, evidenziando che il ricorso al TAR non può vanificare quanto previsto dalla sentenza 242/2019, ma elimina solo i tempi certi previsti dalle delibere, esponendo i malati a nuovi ritardi e contenziosi.

LAZIO

Nel Lazio, i consiglieri Marotta e Tidei, rispettivamente di Sinistra Civica Ecologista e Italia Viva, sono i primi firmatari della proposta che ha raccolto le sottoscrizioni di un gruppo trasversale di consiglieri, sia della maggioranza che dell’opposizione. Nonostante il “caso” di Sibilla Barbieri, non è previsto l’avvio della discussione in Aula. In questo contesto, l’Associazione Luca Coscioni ha lanciato un appello per porre fine alla censura esercitata dalla maggioranza del Consiglio regionale, invitando a discutere urgentemente la legge “Liberi Subito”.

PUGLIA

La prima Regione a mettere parzialmente ordine alle procedure di fine vita così come individuate dalla sentenza 242/2019 è stata la Puglia a gennaio 2023 attraverso una delibera di Giunta che rappresenta sicuramente un primo passo in avanti, ma presenta problematiche. La prima di metodo: si tratta di una Delibera di Giunta e non di una legge. Al primo cambio di Giunta si potrà quindi facilmente ritirare o modificare, senza i passaggi in Consiglio regionale, e quindi senza dibattito davanti l’opinione pubblica che richiederebbe invece la modifica di una legge regionale. La seconda problematica riguarda il merito della delibera: risulta assente la previsione del termine massimo di 20 giorni per il completamento della procedura di verifica delle condizioni della persona malata e l’emissione del relativo parere; mancano le indicazioni precise alle Asl affinché all’interno della propria azienda istituiscano una commissione medica multidisciplinare per la verifica delle condizioni della persona che avanza questo tipo di richieste.
Mancano quindi le due previsioni principali contenute nella pdl “Liberi Subito”.
Il 6 maggio 2024 il Consiglio Metropolitano di Bari ha approvato una delibera per trasmettere alla Regione la proposta di legge “Liberi Subito” chiedendone la discussione. Siamo ancora in attesa di ulteriori sviluppi da parte della Regione.

BASILICATA

Dopo il deposito nella passata consiliatura lucana della proposta di legge tramite l’iniziativa di 9 Comuni, tra cui quello di Matera, il Consiglio Regionale ha deciso di non decidere. Con le elezioni del 2024 e il rinnovo del Consiglio regionale, la proposta dovrà essere ripresentata.

CALABRIA

In Calabria la proposta di legge, seppur diversa da quella dell’Associazione Luca Coscioni e limitata ai soli “pazienti terminali”, è stata depositata dal PD. Il 9 febbraio 2024 è stata incardinata la discussione, ma ad oggi non sono stati fatti nuovi passi avanti.

MARCHE

Nelle Marche la pdl, seppur con piccole differenze, è stata depositata da un consigliere regionale del PD, Maurizio Mangialardi, già Sindaco di Senigallia, la città di Federico Carboni, la prima persona che in Italia ha avuto accesso legale al suicidio medicalmente assistito nonostante il freno tirato da parte della Regione che non lo ha aiutato nemmeno a trovare un medico e una pompa infusionale necessari per poter procedere. L’Associazione Luca Coscioni ha dovuto avviare una raccolta fondi per aiutare acquistare il macchinario e l’assistenza è dovuta avvenire attraverso il dott. Mario Riccio. Insieme a Mangialardi (PD), il secondo relatore della legge è Giorgio Cancellieri (Lega) e medico di Fabio Ridolfi, il ragazzo di Fermignano che, di fronte ai ritardi del SSN nelle procedure di SA, ha preferito morire come non avrebbe voluto: attraverso l’interruzione di tutte le sue terapie e la sedazione palliativa profonda.
Anche qui la discussione è stata incardinata, si è tenuta una seduta di discussione in Commissione Sanità e poi il dibattito è caduto nel vuoto.

SICILIA

In Sicilia la proposta di legge è stata depositata su iniziativa dei consiglieri regionali nel 2024 ma non è ancora nemmeno stato calendarizzato l’avvio della discussione.

Sostieni il nostro impegno nelle Regioni italiane con la campagna Liberi Subito.

L'articolo Le discussioni sulla morte volontaria medicalmente assistita Regione per Regione proviene da Associazione Luca Coscioni.

Regular Christmas trees don’t emit light, nor do they react to music. If you want both things in a holiday decoration, consider this build from [dbmaking].

An ESP32-D1 mini runs the show here. It’s hooked up to a strip of WS2812B addressable LEDs. The LED strip is placed on a wooden frame resembling the shape of a traditional Christmas tree. Ping-pong balls are then stacked inside the wooden frame such that they act as a light diffuser for the LEDs behind. The microcontroller is also hooked up to an INMP441 omnidirectional MEMS microphone module. This allows the ESP32 to detect sound and flash the LEDs in time, creating a colorful display that reacts to music. This is achieved by using the WLED web installer to set the display up in a sound reactive mode.

It’s a fun build, and we’d love to tinker around with coding more advanced visualizer effects for a build like this. We’ve seen builds that go the other way, too, by toning down excessive blinkiness in Christmas decorations.

youtube.com/embed/bDVR_IPmDBA?…

hackaday.com/2025/12/10/a-musi…

Una vulnerabilità zero-day nel driver Windows Cloud Files Mini Filter (cldflt.sys) è attualmente oggetto di sfruttamento attivo. Microsoft ha provveduto al rilascio di aggiornamenti di sicurezza urgenti al fine di risolvere tale falla.

La classificazione della vulnerabilità è high, secondo il punteggio base CVSS v3.1, pari a 7,8; inoltre, secondo l’avviso rilasciato da Microsoft, risulta che gli aggressori stanno sfruttando exploit funzionanti sulle macchine al fine di ottenere i privilegi di SYSTEM.

Un’ampia gamma di sistemi operativi Windows, dalle più recenti versioni di Windows 11, come la 25H2, e Windows Server 2025, fino a Windows 10 versione 1809, è interessata da questa vulnerabilità di escalation dei privilegi (PLE).

La vulnerabilità è descritta come una debolezza Use-After-Free all’interno del Cloud Files Mini Filter Driver, un componente del kernel responsabile della gestione dei “segnaposto” e della sincronizzazione per i servizi di archiviazione cloud come OneDrive.

A differenza delle falle di esecuzione di codice in modalità remota (RCE) questa vulnerabilità viene sfruttata come fase secondaria nelle catene di attacco, in cui gli avversari hanno già messo piede nel sistema e cercano di aumentare i propri privilegi per persistere o disabilitare i controlli di sicurezza.

La falla consente infatti ad un aggressore con privilegi bassi e autenticato localmente di innescare uno stato di danneggiamento della memoria, consentendogli successivamente di eseguire codice arbitrario con i privilegi di sistema più elevati.

Microsoft Threat Intelligence Center (MSTIC) e Microsoft Security Response Center (MSRC) hanno individuato il bug , sottolineando che, sebbene la complessità dell’attacco sia bassa e non richieda alcuna interazione da parte dell’utente, l’aggressore deve aver stabilito l’accesso locale al computer di destinazione.

Gli amministratori dovrebbero dare priorità all’applicazione immediata di patch a questi sistemi, dato lo stato di sfruttamento attivo confermato.

L'articolo Microsoft rilascia aggiornamenti urgenti per un bug zero-day di PLE sfruttato in Windows proviene da Red Hot Cyber.

Si torna sul tema cruciale delle attività di cybersecurity che si spingono fino al complesso e rischioso territorio del Dark Web. In questa analisi, l’attenzione si focalizza sulla stretta e talvolta conflittuale relazione che queste operazioni di intelligence (Dark Web Threat Intelligence o DWTI) intrattengono con la normativa sulla protezione dei dati personali (GDPR), con particolare riguardo alle basi giuridiche per il trattamento.

La cyber threat intelligence come imperativo di difesa e rischio penale

L’ecosistema digitale odierno si presenta come una stratificazione complessa e non univoca. Se il Surface Web costituisce il piano visibile della rete, la sfida ermeneutica e operativa più significativa per la cybersecurity contemporanea risiede nel Dark Web. Non si tratta semplicemente di una porzione non indicizzata della rete (assimilabile al Deep Web legittimo), bensì di un ambiente intenzionalmente anonimizzato, accessibile esclusivamente tramite browser dedicati come Tor.

E’ agevole osservare che questo ambiente è il teatro operativo privilegiato degli attori di minaccia, un mercato nero digitale dove la compravendita di credenziali sottratte, l’hosting di ransomware leak sites e lo scambio di exploit sono la norma.

Per le imprese e le Pubbliche Amministrazioni, la Dark Web Threat Intelligence (DWTI) non è più un elemento opzionale, ma una necessità strategica improrogabile. Essa rappresenta l’unica via per identificare, raccogliere e analizzare in tempo reale i dati che attestano una potenziale o effettiva compromissione, garantendo una difesa proattiva. Del resto, è l’Articolo 32 del Regolamento Europeo Generale sulla Protezione dei Dati (GDPR) che impone al Titolare del trattamento di adottare misure tecniche e organizzative idonee per assicurare un “livello di sicurezza adeguato al rischio”. Non è pertanto giuridicamente sostenibile ignorare la presenza di credenziali o PII (Dati Personali Identificabili) aziendali pubblicamente in vendita. La mancata adozione di un sistema di rilevazione proattivo può essere sanzionata dal Garante per la protezione dei dati personali come negligenza nell’obbligo di sicurezza.

Il Legittimo Interesse sostenibile per i dati comuni Art 6 GDPR

Il primo e fondamentale dilemma giuridico si manifesta nel momento in cui l’operatore CTI acquisisce dati personali “comuni” (ossia non sensibili) dal Dark Web a scopo eminentemente difensivo. Quale può essere la base giuridica di liceità in questo contesto? Escludendo il consenso, la via più accreditata nel quadro del GDPR è il Legittimo Interesse del Titolare, sancito dall’Articolo 6, paragrafo 1, lettera f).

L’interesse è manifesto e tutelato proteggere gli asset aziendali e i diritti degli interessati dal furto d’identità o da frodi informatiche. Tuttavia, come chiunque abbia una formazione giuridica sa, il Legittimo Interesse non costituisce una delega in bianco. Il Titolare è gravato dal principio di accountability e deve dimostrare la liceità del trattamento attraverso il Legitimate Interests Assessment (LIA), un vero e proprio test di bilanciamento articolato in tre fasi, da completare prima di intraprendere il trattamento dei dati.

Innanzitutto, la valutazione impone che l’interesse sia specifico, ad esempio il monitoraggio mirato di credenziali post-breach (dopo una violazione), e non una generica e indeterminata “sicurezza globale”. Successivamente, con il Test di Necessità, si gioca la vera partita in termini di compliance. Si deve dimostrare che la raccolta dati in un ambiente così intrinsecamente rischioso come il Dark Web è strettamente necessaria e che non sussistono alternative meno invasive, come la semplice Open Source Intelligence (OSINT) su fonti pubbliche e lecite. Infine, nel Test di Bilanciamento, l’interesse difensivo del Titolare deve prevalere sui diritti e sulle libertà fondamentali degli interessati. Considerando il rischio operativo insito nel Dark Web, il bilanciamento è difendibile solo se i dati raccolti sono immediatamente anonimizzati o pseudonimizzati, riducendo l’impatto sul singolo al minimo indispensabile.

La giurisprudenza del Garante italiano, pur non esprimendosi in modo esplicito sull’attività preventiva nel Dark Web, ha indirettamente convalidato la funzionalità della CTI in fase post-breach. I provvedimenti sanzionatori più recenti dimostrano infatti che l’attività di intelligence è sovente utilizzata dagli enti per confermare la fuoriuscita dei dati e adempiere all’obbligo di notifica agli interessati (Art. 34 GDPR). La CTI è quindi uno strumento necessario di compliance, ma esige di essere gestita con una documentazione meticolosa e una Valutazione d’Impatto (DPIA) pressoché obbligatoria (Art. 35) dato l’alto rischio intrinseco.

Il muro invalicabile dei dati particolari Art 9 GDPR

Il rischio giuridico diviene esponenziale quando l’attività di CTI comporta, anche in maniera accidentale, l’acquisizione di categorie particolari di dati personali (Articolo 9, paragrafo 1) dati che rivelano l’origine etnica, dati biometrici, sanitari o inerenti la vita sessuale.

Per un Titolare privato, l’Articolo 6 (Legittimo Interesse) non costituisce mai una base giuridica sufficiente per trattare dati ex Art. 9. Il divieto è assoluto, salvo alcune e specifiche eccezioni, tra cui l’Articolo 9, paragrafo 2, lettera g), ovvero il trattamento necessario per motivi di interesse pubblico sostanziale, sulla base del diritto dell’Unione o degli Stati membri.

Ed è qui che si erge un muro normativo invalicabile per l’operatore privato. L’azione è lecita solo se è prevista da una specifica legge nazionale che bilanci adeguatamente l’interesse pubblico con i diritti fondamentali dell’interessato. A mio avviso, l’azienda privata non detiene la necessaria base legale nazionale per accedere o trattare quei dati, a meno che l’operatore CTI non agisca per conto o su delega specifica di un’autorità di sicurezza pubblica, come la Polizia Postale o un’Agenzia di Intelligence statale.

La strategia difensiva, in questo scenario, non può che essere una ritirata strategica e l’immediata attivazione di protocolli automatici di data scrubbing e distruzione. L’unica informazione che può essere mantenuta è quella puramente tecnica, essenziale per la difesa, come gli Indicatori di Compromissione (IOC) irrilevanti per l’identificazione della persona.

Il ” fantasma” della Ricettazione

In qualità di penalista, è mio dovere evidenziare che l’eventuale sanzione del GDPR non è il solo spettro che si aggira in questo contesto. La minaccia più insidiosa per l’operatore CTI privato che si avventura nel Dark Web è il rischio penale. Il Garante Privacy stesso ha messo in guardia in passato che “scaricare dati dal dark web è reato”.

La fattispecie che generalmente si configura è quella di Ricettazione (Articolo 648 c.p.). Quando un operatore, sebbene con finalità difensiva, raccoglie, acquisisce o possiede dati (credenziali, trade secrets, liste di PII) sapendo che provengono da un delitto (ad esempio accesso abusivo o intercettazione), l’atto può configurare un reato a tutti gli effetti.

Nel contesto del Dark Web, è difficile dimostrare l’assenza dell’elemento soggettivo (il dolo), poiché il luogo stesso è universalmente noto come un mercato di merce rubata. A differenza delle Forze dell’Ordine, le aziende e i consulenti di CTI non godono di alcuna immunità legale che giustifichi l’acquisizione di prove di un crimine. La finalità di difesa proattiva, pur eticamente lodevole, non è un’esimente penale per il reato di Ricettazione. Ciò impone che l’attività CTI debba essere rigorosamente passiva (monitoring), evitando ogni interazione attiva, acquisto o scambio con gli threat actors, operazioni che potrebbero configurare un concorso di reato.

La difesa deve essere intelligente

Per chi si occupa attivamente di Diritto penale dell’informatica, la vera lezione non è solo la prevenzione formale, ma l’attuazione di una reazione intelligente e dinamica. Il Garante Privacy ha sanzionato aziende non tanto per l’attacco subito, quanto per la mancata adozione di misure adeguate a rilevare tempestivamente la violazione (Art. 32 GDPR).

Ad esempio, è stata mossa una critica specifica alla presenza di sistemi di logging che però non consentivano la correlazione degli eventi. In sostanza, il Garante richiede una difesa dinamica e tecnologicamente avanzata. L’intelligence raccolta nel Dark Web deve confluire in sistemi di monitoraggio proattivi (SOC/SIEM) che garantiscano l’arricchimento immediato dei dati e il blocco degli attacchi, dimostrando che il Titolare ha fatto tutto il possibile per “attenuare i rischi”.

In conclusione, la CTI nel Dark Web è un’arma a doppio taglio. È indispensabile per l’integrità operativa (Art. 32) ma rappresenta un esercizio ad alto rischio penale. La sostenibilità legale della cyber defense risiede pertanto in una meticolosa accountability. Occorre esigere l’immediata minimizzazione e anonimizzazione dei dati sensibili, documentando ogni fase del monitoring per dimostrare in modo inequivocabile che non si è mai superato il confine sottile tra la legittima difesa tecnica e l’illecito di Ricettazione digitale.

L'articolo Cybersecurity e Dark Web: quando la difesa sconfina nel penale proviene da Red Hot Cyber.

Gli analisti di Gartner hanno esortato le aziende a interrompere temporaneamente l’utilizzo di browser con funzionalità di intelligenza artificiale (IA) integrate.

In un recente avviso, l’azienda sottolinea che tali strumenti rappresentano rischi inutili per la sicurezza aziendale e che le loro impostazioni predefinite sono più incentrate sulla praticità che sulla protezione dei dati.

Gartner spiega che per browser basati sull’intelligenza artificiale si intendono soluzioni come Comet di Perplexity e ChatGPT Atlas di OpenAI, che dispongono di una barra laterale con funzionalità di analisi automatizzata delle pagine web, nonché meccanismi che consentono al programma di navigare nei siti web in modo indipendente ed eseguire azioni in sessioni autorizzate.

Secondo gli autori del rapporto, questo approccio comporta l’invio all’infrastruttura cloud dello sviluppatore del contenuto delle schede attive, della cronologia di navigazione e di altri elementi dell’ambiente di lavoro, aumentando il rischio di fuga di dati.

Per mitigare questi rischi, l’azienda raccomanda di esaminare attentamente l’architettura dei servizi di intelligenza artificiale utilizzati e di valutarne le misure di sicurezza. Tuttavia, anche in questo caso, è importante assicurarsi che i dipendenti non tengano aperti dati sensibili mentre la barra laterale è in esecuzione.

Gartner rileva inoltre la vulnerabilità di tali browser a interventi occulti tramite sostituzione di comandi, che potrebbero portare ad azioni errate da parte degli agenti, al reindirizzamento a siti di phishing e alla successiva compromissione delle credenziali.

Un’ulteriore minaccia è il potenziale di automazione dei processi di routine: i dipendenti potrebbero tentare di istruire il browser a eseguire moduli di formazione obbligatori o altre attività che richiedono un’interazione personale. Sono inoltre possibili errori nell’interazione con i sistemi di approvvigionamento interni, che potrebbero comportare richieste errate o l’ordinazione di beni e servizi non idonei.

Gli autori del documento propongono misure parziali, tra cui la limitazione delle funzioni di posta elettronica e il divieto di archiviazione dei dati.

Tuttavia, concludono che, finché non verrà condotta una valutazione completa dei rischi, è meglio bloccare completamente tali strumenti. Anche dopo la valutazione, sarà probabilmente necessario compilare un elenco più ampio di scenari inaccettabili e monitorare regolarmente il rispetto di tali restrizioni.

L'articolo Gartner lancia l’allarme: stop immediato ai browser con AI integrata proviene da Red Hot Cyber.

Asus ha annunciato che uno dei suoi fornitori è stato hackerato. Nel frattempo, il gruppo ransomware Everest ha affermato di aver rubato un terabyte di dati da tre aziende: Asus, Qualcomm e ArcSoft.

Secondo gli hacker criminali, la fuga di dati non ha coinvolto solo documenti, ma anche il codice sorgente del software della fotocamera dello smartphone, dei modelli di intelligenza artificiale e del software interno. I rappresentanti di Asus affermano che il problema ha interessato solo uno dei fornitori dell’azienda: gli aggressori sono riusciti ad accedere a parte del codice sorgente del software della fotocamera del telefono.

Tuttavia, l’azienda insiste sul fatto che non sono stati causati danni ai propri sistemi, prodotti o dati dei clienti.

Disclaimer: Questo rapporto include screenshot e/o testo tratti da fonti pubblicamente accessibili. Le informazioni fornite hanno esclusivamente finalità di intelligence sulle minacce e di sensibilizzazione sui rischi di cybersecurity. Red Hot Cyber condanna qualsiasi accesso non autorizzato, diffusione impropria o utilizzo illecito di tali dati. Al momento, non è possibile verificare in modo indipendente l’autenticità delle informazioni riportate, poiché l’organizzazione coinvolta non ha ancora rilasciato un comunicato ufficiale sul proprio sito web. Di conseguenza, questo articolo deve essere considerato esclusivamente a scopo informativo e di intelligence.

L’azienda ha aggiunto di star già rafforzando la sicurezza della supply chain. Tuttavia, la dichiarazione non ha rivelato il nome del fornitore compromesso né i dettagli dei dati rubati dagli hacker.

Nel frattempo, il gruppo ransomware Everest ha pubblicato sul suo sito web darknet degli screenshot di file presumibilmente rubati. Gli aggressori affermano di aver rubato un terabyte di dati da Asus, ArcSoft e Qualcomm. Gli hacker affermano di aver rubato:

• moduli di segmentazione binaria;
• sorgenti e patch;
• Dump della RAM e registri della memoria;
• Modelli e pesi dell’IA;
• Strumenti e firmware interni OEM;
• video di prova e dati di calibrazione della doppia telecamera;
• set di immagini;
• registri degli arresti anomali e report di debug;
• informazioni su HDR e post-elaborazione;
• testare APK e app sperimentali;
• script e soluzioni di automazione;
• file di calibrazione binaria.

I rappresentanti di Asus non hanno ancora commentato le affermazioni del gruppo. Non è noto inoltre se l’attacco abbia effettivamente colpito Qualcomm e ArcSoft.

L’azienda non ha risposto alle richieste dei media circa l’appartenenza dei materiali rubati ad Asus stessa o ad altre aziende.

L'articolo Attacco alla Supply Chain di Asus. Everest sostiene di aver compromesso anche Qualcomm e ArcSoft proviene da Red Hot Cyber.

Multare X per 120 milioni è sufficiente?

spreaker.com/episode/dk-10x14-…

Raspberry Pi boards are no longer constrained – these days, you can get a quad-core board with 8 or 16GB of RAM to go around, equip it with a heatsink, and get a decently comfortable shop/desk/kitchen computer with GPIOs, cameras, speedy networking, maybe even NVMe, and all the wireless you’d expect.

Raspberry OS, however, remains lightweight with its pre-installed LXDE environment – and, in many cases, it feels quite constrained. In case you ever idly wondered about giving your speedy Pi a better UI, [Luc]/[lucstechblog] wants to remind you that setting up KDE on your Raspberry OS install is dead simple and requires only about a dozen commandline steps.

[Luc] walks you through these dozen steps, from installation to switching the default DE, and the few hangups you might expect after the switch; if you want to free up some disk space afterwards, [Luc] shows how to get rid of the original LXDE packages. Got the latest Trixie-based Pi OS? There’s an update post detailing the few necessary changes, as well as talking about others’ experiences with the switch.

All in all, [Luc] demonstrates that KDE will have a fair bit of graphical and UX advantages, while operating only a little slower, and if you weren’t really using your powerful Pi to the fullest, it’s a worthwhile visual and usability upgrade. For the regular desktop users, KDE has recently released their own distro, and our own [Jenny] has taken a look at it.

hackaday.com/2025/12/09/puttin…

Una vulnerabilità critica, monitorata con il codice CVE-2025-59719, riguarda le linee di prodotti FortiOS, FortiWeb, FortiProxy e FortiSwitchManager è stata segnalata da Fortinet tramite un avviso di sicurezza urgente. Tale avviso è stato emesso in relazione a falle di sicurezza che interessano tali prodotti.

Un aggressore potrebbe ottenere l’accesso amministrativo non autorizzato al dispositivo creando un messaggio SAML specifico, se la vulnerabilità viene sfruttata. Tale vulnerabilità è causata dall’incapacità del dispositivo di verificare in modo corretto le firme dei messaggi SAML.
Pannello CVE Details di Red Hot Cyber
Fortinet raccomanda ai propri clienti di procedere con l’aggiornamento alle versioni più recenti che seguono. Per quelle organizzazioni che non sono in grado di applicare le patch immediatamente, è stata messa a disposizione una soluzione provvisoria. Disabilitanto la funzionalità di accesso a FortiCloud, gli amministratori sono in grado di ridurre il rischio.

La falla di sicurezza, identificata come Verifica impropria della firma crittografica (CWE-347), potrebbe consentire a un aggressore non autenticato di aggirare l’autenticazione di accesso Single Sign-On (SSO) di FortiCloud.

Quando un amministratore registra un dispositivo su FortiCare tramite l’interfaccia utente grafica (GUI), l’opzione “Consenti accesso amministrativo tramite FortiCloud SSO” è abilitata per impostazione predefinita. A meno che l’amministratore non disattivi esplicitamente questa opzione durante la registrazione, il dispositivo diventa immediatamente vulnerabile a questo bypass.

La scoperta del problema è stata fatta internamente da Theo Leleu e Yonghui Han del team di sicurezza dei prodotti Fortinet, e l’informazione è stata resa pubblica il 9 dicembre 2025. La funzionalità SSO di FortiCloud, costituisce un rischio considerevole soprattutto negli ambienti di rete distribuiti.

L'articolo Vulnerabilità critica in FortiOS e altri prodotti Fortinet: aggiornamenti urgenti proviene da Red Hot Cyber.

Cory Doctorow lo dice con la lucidità di chi ha studiato per anni le derive del capitalismo digitale: l’AI, così come viene venduta oggi, non mira a potenziare l’essere umano. Mira a usarlo.
Ed è una differenza enorme.

Doctorow parla di centauri e reverse-centauri.

Il centauro è l’immagine romantica della tecnologia che amplifica l’uomo: l’essere metà umano e metà macchina che, grazie all’ibridazione, diventa più competente, più veloce, più efficace.

Il reverse-centauro, invece, è l’incubo moderno:
la macchina al comando e l’umano relegato al ruolo di appendice correttiva, l’elemento organico necessario solo per:

• firmare,
• controllare,
• prendersi la colpa quando il sistema sbaglia.

E questo, purtroppo, è esattamente il modello verso cui sta correndo il mercato.

La bolla dell’AI: speculazione travestita da innovazione

Doctorow lo dice chiaro: il capitalismo delle piattaforme sopravvive solo se riesce a gonfiare nuove bolle narrative.

• Il Web.
• La Crypto.
• Il Metaverso.
• Ora l’AI.

Non c’è industria che non stia venendo travolta da questa retorica messianica, dove ogni limite umano è considerato “inefficienza” da eliminare.
Il paradosso?
L’AI non sostituisce il lavoro umano: lo sposta, lo peggiora, lo rende più responsabilizzante e meno controllabile.

Nel 2025, molte aziende non stanno implementando l’AI per aumentare la qualità dei processi, ma per tagliare costi lasciando agli umani l’onere di controllare, correggere e giustificare le allucinazioni della macchina.

• Un reverse-centauro non produce valore.
• Produce fragilità.
• Produce rischio.

E produce una dipendenza cieca da sistemi che non comprendiamo, non controlliamo e che spesso non sappiamo nemmeno verificare.

Il lato tecnico che non piace ai vendor

Oggi l’AI viene integrata dovunque con lo stesso entusiasmo con cui negli anni ’90 si infilava il “tasto Internet” anche sui tostapane.
Il problema è che questa integrazione non è neutrale, lo si vede subito:

• modelli opachi, non verificabili;
• pipeline di addestramento che sono una nuova supply chain non auditabile;
• dati sensibili usati come carburante;
• automazioni che amplificano l’errore umano invece di ridurlo;
• supervisione umana trasformata in un atto di responsabilità giuridica più che tecnica.

L’AI “messa così” non riduce il rischio: lo aumenta.
E spesso in maniera non lineare, non intuibile e impossibile da stimare con precisione.

La verità è che gran parte degli LLM e dei sistemi di automazione generativa sono strumenti probabilistici che molti stanno trattando come decision support system deterministici.
Confondere questi due piani è un invito aperto al disastro.

L’impatto socio-economico: quando la macchina decide e l’umano firma

La narrazione del “lavoro potenziato dall’AI” somiglia molto a quella della delocalizzazione industriale degli anni 2000:
nelle promesse era un vantaggio per tutti, nella pratica è stata una compressione salariale mascherata.

Oggi accade lo stesso:
la vera funzione economica dell’AI non è sostituire il lavoro umano, ma dequalificarlo.

Prima un radiologo analizzava 100 immagini, ora ne analizza 100 comunque… ma con in mezzo un algoritmo che sbaglia e che lui deve correggere.
E nel dubbio, la responsabilità legale resta sua.

Lo stesso vale per avvocati, tecnici IT, giornalisti, consulenti, medici, progettisti… e perfino SOC analyst che si trovano sommersi da alert generati da sistemi che non comprendono il contesto operativo.

L’umano non viene potenziato:
viene messo al guinzaglio da una macchina che decide, sbaglia, e lui deve ripulire.

È questo il reverse-centauro in tutta la sua crudezza.

La normativa europea lo ha capito benissimo: l’AI Act non vieta l’AI, vieta gli abusi

La cosa interessante è che l’Europa sta cercando di fermare questa deriva.
Non contro la tecnologia, ma contro i modelli di business tossici che la circondano.

L’AI Act introduce:

• obblighi di trasparenza,
• valutazioni d’impatto sul rischio,
• controlli sulla supply chain,
• responsabilità chiara su errori e danni,
• registri obbligatori per gli AI di alto rischio,
• tracciabilità e auditabilità tecnica.

E accanto all’AI Act arrivano altre norme che chiudono il cerchio:

• NIS2, che impone governance, processi e supervisione reale degli strumenti.
• Cyber Resilience Act, che schiaccia i produttori di tecnologia di fronte alle proprie responsabilità.
• Data Act, che regola accesso, portabilità e uso dei dati.

L’Europa manda un messaggio semplice:
la macchina non può sostituire l’umano nella responsabilità, né usarlo come scudo legale.

Ed è un messaggio che alle big tech non piace per niente.

Il problema non è l’AI. Sono le aspettative tossiche che le costruiamo intorno

In RHC lo diciamo spesso:
la tecnologia non è né buona né cattiva. È neutrale.
Diventa pericolosa quando la usiamo senza capire cosa realmente fa.

L’AI può essere uno strumento potentissimo.
Ma deve restare un mezzo, non un fine.
Un’estensione dell’intelligenza umana, non un commissario politico dell’efficienza.

Perché il giorno in cui smetteremo di essere centauri e inizieremo a essere reverse-centauri, sarà troppo tardi per invertire la rotta.

l’AI deve potenziare l’umano, non sostituirlo. E soprattutto non usarlo.

La vera sfida non è costruire modelli più grandi, più veloci o più “agenti”.
La sfida è costruire sistemi che rispettino il lavoro umano, la sua dignità, la sua intelligenza, i suoi limiti e le sue responsabilità.

Il futuro appartiene alle aziende che sapranno usare l’AI per far crescere le persone, non per stritolarle.
A quelle che sapranno distinguere tra innovazione e speculazione.
A quelle che capiranno che l’automazione non è un dogma, ma un rischio che va gestito con criterio.

Se non vogliamo diventare reverse-centauri, dobbiamo tornare al punto di partenza:
l’AI deve amplificarci.
Non sostituirci.
E tantomeno usarci come stampelle per coprire i suoi limiti.

Perché una macchina che ha bisogno dell’uomo solo per firmare gli errori…
non è progresso.
È un inganno ben confezionato.

L'articolo L’AI non ci potenzia: ci usa. Cory Doctorow smonta la grande bugia del 2025 proviene da Red Hot Cyber.

Il panorama della cybersecurity in Europa e in Italia è in rapida evoluzione: la crescente digitalizzazione, le normative come GDPR e NIS2 e l’esponenziale aumento degli attacchi informatici rendono indispensabile investire in competenze verticali sulla cybersecurity.

In questo articolo vogliamo analizzare e creare una roadmap utile ed effettiva per una carriera nel mondo cyber, dai livelli entry fino ai C-Level, con un focus e risorse specifiche sulla CompTIA Security+ e sui corsi offerti dalla RedHot Cyber Academy.

Certificazioni Entry-Level

Le certificazioni ideali per chi inizia e/o vorrebbe iniziare a lavorare nel mondo cyber:

• CompTIA Security+ (SY0-701): Tutte le certificazioni CompTIA sono vendor-neutral quindi non sono legate a un produttore specifico. Include competenze legate a minacce e vulnerabilità, gestione del rischio, crittografia, sicurezza delle reti, cloud security e principi di Zero Trust. È una delle certificazioni più riconosciute a livello globale per ruoli entry-level come Security Analyst, Network Administrator e IT Auditor anche perché ha un sia un approccio teorico sia pratico: Non si limita alla teoria, ma introduce scenari realistici e best practice, utili per chi deve affrontare problemi reali.
• ISC² Certified in Cybersecurity (CC): ISC² offre spesso programmi di formazione gratuiti per questa certificazione, rendendola ideale per chi vuole iniziare senza grandi investimenti. Copre concetti chiave come controlli di accesso, gestione del rischio, sicurezza delle reti e delle applicazioni.

Evidenziamo come il corso Cybersecurity per principianti della RedHot Cyber Academy sia ottimo per chi è alle prime armi e inizia in questo settore e/o ambisce alla certificazione di Security+ di CompTIA.

È importante anche ricordare che le certificazioni precedentemente descritte hanno una valenza internazionale e possono quindi essere sfruttate in tutto il mondo.

Certificazioni Mid Level

Per chi possiede maggiore esperienza e vuole specializzarsi ulteriormente:

• CompTIA PenTest+: ha un forte focus pratico sul penetration testing: Copre tutto il ciclo di un PenTest: pianificazione, scoping, attacco e reporting. È ideale per chi vuole diventare Penetration Tester, Vulnerability Analyst o Security Consultant.
• EC-Council CEH: è uno standard nel settore per chi vuole lavorare come Ethical Hacker. Offre una conoscenza su un’Ampia copertura di strumenti e tecniche: Include oltre 300 strumenti di hacking, metodologie di attacco e difesa. Inoltre,molti recruiter e aziende la considerano un requisito necessario per ruoli di penetration testing e red teaming.
• CompTIA CySA+: è pensata per chi vuole lavorare come Cybersecurity Analyst, Threat Analyst, SOC Analyst o Incident Responder. Copre tecniche di threat detection, behavioral analytics, gestione delle vulnerabilità e risposta agli incidenti. Concilia sia una parte teoria con un approccio pratico includendo scenari reali di analisi log, monitoraggio SIEM, gestione alert e investigazione di attacchi.
  L’abbiamo inserita per ultima in questa sezione perché riteniamo che per conseguirla con successo sia propedeutico ottenere prima certificazioni entry level come Security+ e mid come PenTest+ o avere un’esperienza sul campo di almeno 3/4 anni.

Certificazioni Advanced

Per ruoli specialistici:

• OSCP (Offensive Security Certified Professional): il focus di questa certificazione è il Penetration testing avanzato, è una certificazione che testa le capacità pratiche del candidato; infatti, per l’esame si ha 24 ore di tempo per assumere il controllo di tre macchine virtuali e per ognuna generare un report sull’attacco.

I contenuti principali sono: Exploit development, Privilege escalation, Attacchi su reti e sistemi reali come Active Directrory.

È riconosciuta come una delle certificazioni più prestigiose in ambito offensive security poiché dimostra capacità operative reali, non solo teoriche.

• GIAC (GCIH): il focus è la gestione degli incidenti di sicurezza, l’analisi forense, la risposta agli incidenti e la mitigazione delle minacce. Diversamente da OSCP è incentrata per ruoli blue team come Incident Response e SOC.
• Cloud Security (AWS, Azure): riteniamo che per un profilo advanced/senior sia necessario possedere compenteze tecniche più trasversali anche in ambito cloud, per questo inseriamo qui due importanti certifcazioni che sono vendor orientented legate ad AWS e Azure come la AWS Certified Security – Specialty che mira ad ottenere compente quali: Identity & Access Management (IAM), Protezione dei dati (KMS, crittografia), Monitoraggio e logging (CloudTrail, GuardDuty), Incident Response in cloud.

Mentre la Microsoft Certified: Cybersecurity Architect Associate e/o Expertcon l’obiettivo di progettare architetture di sicurezza su Azure implementando strategie di Zero Trust e di integrazione con Microsoft Defender e Sentinel.

Oltre alle competenze specifiche e verticali delle certificazioni finora descritte è utile se non fondamentale aver conoscenze trasversali legate al mondo della programmazione, dell’AI, del Machine Learning che si interfacciano sempre più con il mondo della cybersecurity; per questo si consigliano i seguenti corsi correlati: ‘Python & IA’, ‘Prompt Engineering e Cybersecurity’ per skill trasversali (a disposizione sulla piattaforma Accademy di RHC.

Certificazioni Manageriali e Governance

Quando si parla di ruoli di leadership nella sicurezza informatica, non si tratta solo di competenze tecniche: serve una visione strategica, capacità di governance e una profonda conoscenza dei rischi aziendali.

• CISSP Certified Information Systems Security Professional: rilasciata da (ISC)², è considerata la certificazione di riferimento poiché non si limita a coprire aspetti tecnici ma abbraccia l’intero spettro della sicurezza delle informazioni, dalla gestione del rischio alla protezione delle reti, fino alla compliance normativa. Il valore di CISSP risiede nella sua completezza: chi la ottiene dimostra di avere una visione olistica della sicurezza, indispensabile per ruoli come CISO, Security Manager o Security Architect.
• Certified Information Security Manager (CISM) di ISACA: “la sicurezza come strategia” è pensata per chi guida team e processi. Non si concentra solo sulla tecnologia, ma sulla capacità di allineare la sicurezza agli obiettivi di business. Ideale per chi vuole gestire la sicurezza a livello organizzativo.
• Certified Information Systems Auditor (CISA): è la certificazione di riferimento per chi si occupa di audit e controllo dei sistemi informativi. In un contesto di normative sempre più stringenti, è indispensabile per garantire processi sicuri e conformi, soprattutto in settori regolamentati.
• Certified in Risk and Information Systems Control (CRISC):“il linguaggio del rischio” forma professionisti capaci di identificare e gestire i rischi IT. È perfetta per chi lavora in governance e risk management, competenze cruciali per la resilienza aziendale.

È importante sottolineare che queste certificazioni richiedono almeno cinque anni di esperienza e un impegno significativo nello studio, ma il riconoscimento che offrono è di altissimo livello.

Risorse Aggiuntive e Conclusione

Come risorsa bonus vi proponiamo un repository GitHub che contiene domande con risposte e spiegazioni, tutta la parte teorica divisa per punti secondo lo standard CompTIA, materiali aggiuntivi su termini, tipologie di attacchi utili a superare con successo l’esame di Security+ SY0-701.

Per concludere Investire in certificazioni e formazione è la chiave per una carriera nel mondo della cybersecurity. Vi invitiamo a scoprire i corsi su Academy.redhotcyber.com e utilizzare il repository GitHub per completare la vostra preparazione.

Tabella Comparativa delle Principali Certificazioni

L'articolo Certificazioni Cybersecurity: Guida Completa per una Carriera nel Mondo Cyber proviene da Red Hot Cyber.