Blog
Approfondimenti, guide e novità dal mondo della compliance e RegTech
La sicurezza stradale ha creato un dato biometrico. E chi lo governa?
Dal 7 luglio 2026 ogni auto nuova nell'UE monta l'ADDW: un sistema che monitora lo sguardo del conducente riprendendone il volto. Una misura di sicurezza che crea però una nuova superficie di dati personali. La norma impone il closed-loop ma non prevede audit privacy continuativo, non definisce cosa è necessario, non fissa durate di conservazione. Il GDPR si applica: la governance va costruita.
L'indipendenza revocata: Trump v. Slaughter e il destino del DPF
Il 29 giugno 2026, con Trump v. Slaughter, la Corte Suprema USA ha reso la FTC rimovibile a piacimento dal Presidente, superando Humphrey's Executor. Una sentenza di diritto interno che scuote il pilastro dell'adeguatezza UE-USA: l'enforcement indipendente su cui poggia il Data Privacy Framework.
ISO/IEC 27000:2026 in dirittura d'arrivo: cosa cambia davvero (spoiler: meno di quello che ti diranno)
ISO/IEC 27000:2026 è in fase finale di pubblicazione ("under publication"): è l'overview non certificabile della famiglia 27k, non i requisiti. Per chi è certificato ISO/IEC 27001:2022 non cambia nulla e nessun auditor deve ricertificarsi per questo. La distinzione che quasi nessuno spiega.
DORA impone il TLPT: TIBER-EU come mappa operativa per le PMI finanziarie
Dal 17 gennaio 2025 DORA è pienamente applicabile: l'art. 26 impone il Threat-Led Penetration Testing alle entità finanziarie significative ogni 3 anni. TIBER-EU è il framework operativo di riferimento. Cosa significa concretamente per una PMI finanziaria.
Once only, ANPR e PDND: il principio ha 58 anni. La novità è l'infrastruttura
Dal 1º luglio 2026 tutti gli enti pubblici accedono automaticamente all'ANPR tramite la PDND (art. 62, co. 3-bis CAD). Ma il principio once only è nel diritto italiano dal 1968: la vera novità è l'infrastruttura. Cosa resta in capo agli enti tra data quality, basi giuridiche e ruoli privacy.
Inoltrare le email aziendali alla Gmail personale: perché non è solo una cattiva abitudine, ma un rischio GDPR
Il forward automatico delle email aziendali verso una Gmail personale è shadow IT, non produttività. Anche con Google Workspace a pagamento, l'account consumer del dipendente resta fuori dal DPA, dai controlli e dalle policy di conservazione dell'azienda. Stesso provider non significa stesso perimetro.
Stabilirsi, poi sfuggire: il Tribunale di Roma, lo sportello unico e la sanzione OpenAI
Il Tribunale di Roma ha annullato la sanzione da 15 milioni del Garante a OpenAI non nel merito, ma per difetto di competenza. Analisi dello sportello unico GDPR, del Parere EDPB 8/2019 e del varco che la pronuncia apre nell'enforcement transfrontaliero.
Quanto costa davvero il cybercrime? I numeri (veri) per le PMI
I trilioni di danni globali fanno notizia ma dicono poco a una PMI. Cosa riportano davvero IBM, Clusit e WEF, perché in Italia le piccole imprese sono il bersaglio preferito e come passare dai numeri all'azione.
Quando il prezzo dell'AI diventa un rischio per il tuo ISMS
L'inference AI a consumo di token oggi è economicamente sussidiata. Cosa succede al tuo ISMS se il costo di un controllo di sicurezza AI-based aumenta di 10 volte? Rischio di repricing, mappatura DORA / ISO 27001 / NIS2 e mitigazioni per CISO e PMI.