Pillole
Matteo Piantedosi è intervenuto all’evento per i 20 anni del Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche (Cnaipic).
Il ministro dell’Interno ha indicato questo nuovo bilanciamento di diritti a cui spera le piattaforme di messaggistica (da WhatsApp a Signal fino a Telegram) si adeguino presto per consentire alle Forze dell’Ordine di “rompere” la crittografia end-to-end per le attività investigative contro i cyber criminali.
“Le policy delle grandi piattaforme sono molto incentrate sull’offerta della privacy degli utenti”, ha osservato Piantedosi. “Io credo”, ha aggiunto il ministro, “che il bilanciamento di interessi, tra libertà democratiche, costituzionalmente garantite, e elementi di sicurezza è il vero snodo su cui si gioca la sfida del futuro, ossia tra la attività di Polizia per contrastare i crimini e la privacy”.
Durante lo stesso evento, il prof. Sala ha dichiarato “secondo me una soluzione su cui lavorare c’è per consentire gli scopi della Forze dell’Ordine, perché, essendo l’algoritmo crittografico una forma matematica, il modo in cui è utilizzato e l’ambiente in cui è sviluppato, permette dei margini in cui si può, in qualche modo, indebolire un pochino la sicurezza del sistema, tenendola, però, sempre accettabile, consentendo quindi le investigazioni della Polizia”.
Quindi, come aveva già annunciato il ministro in estate, il governo italiano sarebbe al lavoro per ridurrre il livello di sicurezza della crittografia end to end, per favorire le attività poliziesche: “Una nuova autorità pubblica sotto il Ministero dell’Interno – in particolare presso la Polizia Postale – per vigilare sui servizi di messaggistica crittografata come WhatsApp, Signal e Telegram”
Quindi, se Chat Control sembra per il momento bloccato, in Italia già si pensa a un sistema simile, che ci porterebbe a essere molto vicini ai regimi dittatoriali come Cina e Russia.
Fonte web
Il garante della privacy austriaco ha accertato la violazione del GDPR di Microsoft 365 Education perché raccoglie i dati degli studenti senza consenso.
La decisione arriva in seguito alla denuncia presentata l’anno scorso da noyb, organizzazione non-profit guidata dal noto avvocato Max Schrems, in merito alla raccolta dei dati degli studenti che hanno usato la suite Microsoft 365 Education.
Tracciamento illegale e accesso negato
L’organizzazione aveva presentato due denunce per conto di due clienti all’inizio di giugno 2024. Il garante della privacy austriaco ha pubblicato la decisione su una delle due, confermando quando ipotizzato da noyb. Microsoft 365 Education è la suite utilizzata nelle scuole. Invece di rispondere alle richieste di accesso ai dati, l’azienda di Redmond ha comunicato che gli utenti devono rivolgersi agli istituti scolastici che, ovviamente, non possono fornire le informazioni conservate sui server di Microsoft.
Un avvocato di noyb ha evidenziato che l’azienda di Redmond scarica le responsabilità alla scuole e alle autorità nazionali. Il garante della privacy austriaco ha accertato tre violazioni del GDPR. Microsoft 365 Education ha utilizzato cookie di tracciamento senza consenso, quindi in maniera illegale. Microsoft deve ora cancellare i dati personali in questione.
È una proposta di legge UE che obbligherebbe i servizi di messaggistica (come WhatsApp, Signal e Telegram) a scansionare tutti i contenuti delle chat, anche se crittografate, per cercare materiale pedopornografico noto o sconosciuto.
Quando ci sarà il prossimo passaggio chiave? Il 14 ottobre, in un incontro tra il Consiglio dell’UE e il Ministro della Giustizia europeo. Si deciderà se portare la proposta ai negoziati finali (trilogo).
Sta creando molti timori sulla privacy dei cittadini europei il disegno di legge europeo che obbligherebbe i servizi di messaggistica (come WhatsApp, Signal e Telegram) a scansionare tutti i contenuti delle chat, anche se crittografate, per cercare materiale pedopornografico noto o sconosciuto.
Cos’è il Chat Control?
Ciò che è stato soprannominato “Chat Control” mira a introdurre nuovi obblighi per tutti i servizi di messaggistica operanti in Europa di scansionare le chat degli utenti, anche se crittografate, alla ricerca di materiale pedopornografico, sia noto che sconosciuto. Una misura che ha suscitato forti critiche sia tra i ranghi politici che nel settore tecnologico.
Cresce il pressing contro la proposta di Chat Control
Secondo gli ultimi dati provenienti dal sito web Fight Chat Control, molti paesi hanno cambiato posizione dopo l’incontro del 12 settembre e in vista del prossimo, previsto per il 14 ottobre.
Il Garante della privacy ha emesso un provvedimento per bloccare il trattamento dei dati personali degli utenti italiani da parte della società titolare dell’app Clothoff: permetteva a chiunque di creare nudi deepfake, anche a contenuto pornografico, a partire da foto di persone reali.
La decisione del Garante
Con il provvedimento del primo ottobre 2025 il Garante "ha disposto, in via d’urgenza e con effetto immediato, la limitazione provvisoria del trattamento dei dati personali degli utenti italiani nei confronti di una società, con sede nelle Isole Vergini Britanniche, che gestisce l’app Clothoff".
La limitazione provvisoria al trattamento dei dati degli utenti italiani – si legge nel provvedimento – durerà il tempo necessario al Garante per lo svolgimento dell'istruttoria avviata nei confronti della società titolare di Clothoff.
Chat Control UE: la nuova proposta di regolamento che rischia di compromettere la privacy digitale. Scansione preventiva dei messaggi per proteggere i minori vs. sorveglianza di massa. Analisi dei rischi e alternative possibili
Nell’autunno del 2025 si prepara ad approdare al Consiglio dell’Unione Europea una proposta di regolamento nota con l’appellativo mediatico di “Chat Control” – che, se approvata, ridisegnerebbe dalle fondamenta l’architettura giuridica e tecnica delle comunicazioni digitali.
Si tratta di una misura che si presenta formalmente come strumento di contrasto alla diffusione online di materiale pedopornografico e come risposta all’esigenza, difficilmente contestabile sul piano etico e politico, di proteggere i minori nello spazio digitale.
L’idea sottesa è quella di obbligare tutti i principali fornitori di servizi di messaggistica, da WhatsApp a Signal fino a Telegram, nonché le piattaforme social, a introdurre sistemi di scansione preventiva dei messaggi, delle immagini e dei file scambiati tra utenti, così da rilevare contenuti potenzialmente illeciti prima ancora che vengano cifrati e trasmessi.
Si tratta di un passaggio tecnico che appare marginale ai più – la scansione “lato client” prima della crittografia end-to-end – in realtà contiene la potenzialità di sovvertire la promessa stessa di riservatezza che da sempre sorregge la comunicazione privata.
Infatti, in nome di un obiettivo unanimemente condiviso, si rischia di introdurre per la prima volta nella storia giuridica europea un meccanismo normativo che legittimerebbe la sorveglianza preventiva universale delle comunicazioni, non più su base mirata, autorizzata e proporzionata, bensì attraverso algoritmi automatizzati che passerebbero al setaccio miliardi di messaggi quotidiani. Leggi l'articolo
La CNIL, l’Autorità francese per la protezione dei dati, accusa il colosso di Mountain View di aver inserito pubblicità tra le e-mail degli utenti Gmail senza il loro consenso e di aver condizionato la creazione di un account Google all’accettazione di cookie pubblicitari. Coinvolti oltre 74 milioni di account solo in Francia.
Il procedimento nasce da un reclamo presentato dall’associazione NOYB (None Of Your Business) nell’agosto 2022, che aveva denunciato pratiche scorrette legate all’uso della posta elettronica Gmail e al processo di creazione degli account Google.
Secondo le verifiche ispettive svolte tra il 2022 e il 2023, Google avrebbe mostrato messaggi pubblicitari simili a e-mail nelle schede “Promozioni” e “Social” di Gmail, senza previo consenso degli utenti.
La CNIL ha definito “negligente” l’atteggiamento del gruppo di Mountain View, ricordando che Google era già stata sanzionata due volte: nel 2020 con una multa da 100 milioni di euro e nel 2021 con un’ulteriore sanzione da 150 milioni di euro, sempre in materia di cookie.
Questa recidiva ha pesato nella determinazione dell’importo attuale, considerando anche la posizione dominante di Google sul mercato pubblicitario online e la diffusione globale del servizio Gmail, che è la seconda piattaforma di posta elettronica più utilizzata al mondo.
Articolo qui
Il Tribunale dell’Unione europea, con sentenza del 3 settembre, ha respinto il ricorso del deputato francese Philippe Latombe diretto ad annullare il nuovo quadro normativo per il trasferimento dei dati personali tra la UE e gli USA. Non si sono fatte attendere le prime reazioni alla sentenza.
Il team legale di Latombe ha scelto un ricorso piuttosto mirato e ristretto contro l'accordo sui dati UE-USA. Sembra che, nel complesso, il Tribunale non sia stato convinto dalle argomentazioni e dai punti sollevati da Latombe. Tuttavia, ciò non significa che un'altra contestazione, che contenga una serie più ampia di argomenti e problemi relativi all'accordo, non possa avere successo. Latombe potrebbe anche decidere di appellare la decisione alla CGUE, che (a giudicare dalle precedenti decisioni in "Schrems I" e "Schrems II") potrebbe avere un'opinione diversa da quella del Tribunale.
Max Schrems, fondatore di NOYB – European Center for Digital Rights, ha dichiarato: "Si è trattato di una sfida piuttosto ristretta. Siamo convinti che un esame più ampio della legge statunitense, in particolare dell'uso degli ordini esecutivi da parte dell'amministrazione Trump, produrrebbe un risultato diverso. Stiamo valutando le nostre opzioni per presentare tale ricorso". Sebbene la Commissione abbia guadagnato un altro anno, manca ancora la certezza del diritto per gli utenti e le imprese"
Il prossimo caso “Schrems III” del 3 settembre 2025 potrebbe invalidare l’EU–US Data Privacy Framework (DPF), interrompendo nuovamente i trasferimenti di dati tra l’Unione Europea e gli Stati Uniti e costringendo le imprese a ricorrere a soluzioni alternative come le Clausole Contrattuali Standard e le Transfer Impact Assessments.
Il 3 settembre 2025 la Corte di Giustizia dell’Unione Europea (CGUE) emetterà la propria sentenza nel caso Latombe vs Commissione Europea. In gioco c’è il futuro dell’EU–US Data Privacy Framework, la decisione di adeguatezza adottata nel luglio 2023 per ripristinare una base giuridica stabile ai flussi di dati transatlantici. Molti parlano già di questo scenario come di un “Schrems III”.
Il ricorso è stato presentato nel settembre 2023 da Philippe Latombe, deputato francese, che ha contestato direttamente la decisione di adeguatezza della Commissione ai sensi dell’articolo 263 TFUE.
Secondo Latombe, il DPF non garantirebbe una protezione “sostanzialmente equivalente” per i cittadini europei, come richiesto dall’articolo 45 GDPR e dalla Carta dei diritti fondamentali dell’UE.
Quali sono i principali argomenti del ricorso e quali i possibili scenari?
Long story short: l'8 marzo 2024 la Commissione Europea, con il supporto dell'EDPB, il Garante Europeo, ha riscontrato una serie di criticità e violazioni, 180 pagine per descrivere minuziosamente le ragioni per le quali office356 fa talmente schifo da non poter essere utilizzato dagli enti, istituzioni e organi dell'Unione Europea.
Dopo varie interlocuzioni e modifiche, l'11 luglio l'EDPB ha chiuso l'indagine confermando la risoluzione delle problematiche precedentemente riscontrate.
Oggi, 28 luglio, la Commissione Europea ha emanato un comunicato dichiarando la conformità di Microsoft 365 alla normativa in materia di protezione dei dati applicabile (che non è il GDPR ma quasi... qui si applica il regolamento UE 2018/1725)
L'EDPS (che non è l'EDPB ma quasi) ha eslamato giubilante:
"Grazie alla nostra indagine approfondita e al seguito dato dalla Commissione, abbiamo contribuito congiuntamente a un significativo miglioramento della conformità alla protezione dei dati nell'uso di Microsoft 365 da parte della Commissione. La Corte riconosce e apprezza inoltre gli sforzi compiuti da Microsoft per allinearsi ai requisiti della Commissione derivanti dalla decisione del GEPD del marzo 2024. Si tratta di un successo significativo e condiviso e di un segnale forte di ciò che può essere conseguito attraverso una cooperazione costruttiva e una vigilanza efficace."
Cosa è successo? Cosa potrà mai essere accaduto, nel frattempo, per consentire a Microsoft Office365 di entrare trionfante nel valhalla, accompagnato dalla immortale musica di Wagner?
Perché non mi sento affatto tranquillo? Beh, forse io non faccio testo...
Preoccupazioni per la privacy.
L'ultimo aggiornamento di WhatsApp è pensato per mettere la IA al servizio di chi si trova spesso sommerso dalle notifiche e riesce ad accumulare decine o magari centinaia di messaggi non letti, tra i quali poi deve destreggiarsi. Con la nuova funzione Message Summaries, già attiva negli Stati Uniti, WhatsApp genera infatti riassunti automatici dei messaggi non letti, sfruttando la IA di Meta.
Il cuore della tecnologia è il Private Processing, un'infrastruttura che, secondo Meta, assicura che né Meta stessa né WhatsApp possano accedere ai contenuti delle conversazioni. I dati vengono elaborati in un ambiente protetto, al quale le richieste di elaborazione vengono inviate in modo anonimo e protette crittografia end-to-end.
La questione della riservatezza per WhatsApp è particolarmente delicata: Meta ha una storia complessa in termini di privacy.
