# Tomato Blue Consulting — Extended Index for AI Agents

> Tomato Blue Consulting is a boutique RegTech consultancy based in Italy. It helps regulated and innovative organizations navigate EU and Italian regulations: AI Act (Reg. EU 2024/1689), GDPR, NIS2 (D.Lgs. 138/2024), DORA (Reg. EU 2022/2554), MiCAR (Reg. EU 2023/1114), and standards such as ISO/IEC 27001 and ISO 9001. It also offers RWA tokenization advisory and outsourced DPO/CISO services. Bilingual site: Italian default, English under the `/en` prefix.

## How to use this index

Every HTML page has a static Markdown counterpart at the same path with a `.md` suffix:

```
https://www.tomato.blue/<path>        (HTML)
https://www.tomato.blue/<path>.md     (Markdown)
https://www.tomato.blue/en/<path>.md  (English Markdown)
```

Other resources:

- XML sitemap with hreflang annotations: https://www.tomato.blue/sitemap.xml
- Synthetic Markdown index (llmstxt.org format): https://www.tomato.blue/llms.txt

---

## Main pages

### Italian (default)

- **Home** — HTML: https://www.tomato.blue/ — MD: https://www.tomato.blue/index.md
- **Blog** — HTML: https://www.tomato.blue/blog — MD: https://www.tomato.blue/blog.md
- **Contatti** — HTML: https://www.tomato.blue/contatti — MD: https://www.tomato.blue/contatti.md
- **Privacy Policy** — HTML: https://www.tomato.blue/privacy-policy — MD: https://www.tomato.blue/privacy-policy.md
- **Termini di Servizio** — HTML: https://www.tomato.blue/terms-of-service — MD: https://www.tomato.blue/terms-of-service.md
- **Tomato Red** — HTML: https://www.tomato.blue/tomato-red — MD: https://www.tomato.blue/tomato-red.md

### English

- **Home** — HTML: https://www.tomato.blue/en/ — MD: https://www.tomato.blue/en/index.md
- **Blog** — HTML: https://www.tomato.blue/en/blog — MD: https://www.tomato.blue/en/blog.md
- **Contact** — HTML: https://www.tomato.blue/en/contatti — MD: https://www.tomato.blue/en/contatti.md
- **Privacy Policy** — HTML: https://www.tomato.blue/en/privacy-policy — MD: https://www.tomato.blue/en/privacy-policy.md
- **Terms of Service** — HTML: https://www.tomato.blue/en/terms-of-service — MD: https://www.tomato.blue/en/terms-of-service.md
- **Tomato Red** — HTML: https://www.tomato.blue/en/tomato-red — MD: https://www.tomato.blue/en/tomato-red.md

## Services (IT)

- **NIS2** — HTML: https://www.tomato.blue/servizi/nis2 — MD: https://www.tomato.blue/servizi/nis2.md
- **NIS2 per PMI** — HTML: https://www.tomato.blue/servizi/nis2-pmi — MD: https://www.tomato.blue/servizi/nis2-pmi.md
- **Tokenizzazione RWA** — HTML: https://www.tomato.blue/servizi/tokenizzazione-rwa — MD: https://www.tomato.blue/servizi/tokenizzazione-rwa.md
- **MiCAR & CASP** — HTML: https://www.tomato.blue/servizi/micar-casp — MD: https://www.tomato.blue/servizi/micar-casp.md
- **DPO & CISO as-a-Service** — HTML: https://www.tomato.blue/servizi/dpo-ciso — MD: https://www.tomato.blue/servizi/dpo-ciso.md
- **AI Act** — HTML: https://www.tomato.blue/servizi/ai-act — MD: https://www.tomato.blue/servizi/ai-act.md
- **ISO/IEC 27001** — HTML: https://www.tomato.blue/servizi/iso-27001 — MD: https://www.tomato.blue/servizi/iso-27001.md
- **ISO 9001** — HTML: https://www.tomato.blue/servizi/iso-9001 — MD: https://www.tomato.blue/servizi/iso-9001.md
- **DORA** — HTML: https://www.tomato.blue/servizi/dora — MD: https://www.tomato.blue/servizi/dora.md

## Services (EN)

- **NIS2** — HTML: https://www.tomato.blue/en/servizi/nis2 — MD: https://www.tomato.blue/en/servizi/nis2.md
- **NIS2 for SMEs** — HTML: https://www.tomato.blue/en/servizi/nis2-pmi — MD: https://www.tomato.blue/en/servizi/nis2-pmi.md
- **RWA Tokenization** — HTML: https://www.tomato.blue/en/servizi/tokenizzazione-rwa — MD: https://www.tomato.blue/en/servizi/tokenizzazione-rwa.md
- **MiCAR & CASP** — HTML: https://www.tomato.blue/en/servizi/micar-casp — MD: https://www.tomato.blue/en/servizi/micar-casp.md
- **DPO & CISO as-a-Service** — HTML: https://www.tomato.blue/en/servizi/dpo-ciso — MD: https://www.tomato.blue/en/servizi/dpo-ciso.md
- **AI Act** — HTML: https://www.tomato.blue/en/servizi/ai-act — MD: https://www.tomato.blue/en/servizi/ai-act.md
- **ISO/IEC 27001** — HTML: https://www.tomato.blue/en/servizi/iso-27001 — MD: https://www.tomato.blue/en/servizi/iso-27001.md
- **ISO 9001** — HTML: https://www.tomato.blue/en/servizi/iso-9001 — MD: https://www.tomato.blue/en/servizi/iso-9001.md
- **DORA** — HTML: https://www.tomato.blue/en/servizi/dora — MD: https://www.tomato.blue/en/servizi/dora.md

## Blog articles

- **Le tue macchine hanno un'identità? Perché NIS2, DORA e ISO 27001 portano verso la workload identity** — https://www.tomato.blue/blog/spiffe-workload-identity.md (EN: https://www.tomato.blue/en/blog/spiffe-workload-identity.md)
  In ogni azienda c'è un processo per dare un'identità alle persone: badge, account, MFA, offboarding. Quasi nessuna ha lo stesso processo per le macchine — microservizi, container, script che parlano con le API e, sempre più, gli agenti AI che agiscono in autonomia. Eppure è un controllo che ISO 27001, NIS2 e DORA, applicati con coerenza, danno per scontato.
- **Skill Claude: dipendenze ricorsive o bundle portabili?** — https://www.tomato.blue/blog/claude-skills-dipendenze-bundle.md (EN: https://www.tomato.blue/en/blog/claude-skills-dipendenze-bundle.md)
  Le Agent Skills non dovrebbero essere considerate semplici cartelle di prompt. Appena una skill contiene istruzioni, script, template, riferimenti, policy e procedure operative, diventa un modulo software. E come ogni modulo software può avere dipendenze.
- **Chi sorveglia chi? Il breach del Consiglio d'Europa e le zone grigie del perimetro cyber europeo** — https://www.tomato.blue/blog/breach-consiglio-europa-nis2-cert-eu.md (EN: https://www.tomato.blue/en/blog/breach-consiglio-europa-nis2-cert-eu.md)
  A giugno 2026 il gruppo ShinyHunters ha rivendicato un attacco al Consiglio d'Europa: secondo gli stessi attaccanti, oltre 429.000 documenti e 297 GB di dati — buste paga, fascicoli del personale, CV, dati fiscali, bancari e medici — esfiltrati sfruttando una vulnerabilità zero-day in Oracle PeopleSoft. Ma il dettaglio più interessante non è la dimensione del bottino: è che questo bersaglio cade in una zona grigia della governance cyber europea.
- **I tuoi file in cloud non sono dove pensi — e per una PMI è un problema di compliance, non di geografia** — https://www.tomato.blue/blog/cloud-act-gdpr-residency-pmi.md (EN: https://www.tomato.blue/en/blog/cloud-act-gdpr-residency-pmi.md)
  Quando un fornitore cloud scrive «server in Europa» o «data residency EU», l'imprenditore tira un sospiro di sollievo: i dati restano sul suolo europeo, quindi sono al sicuro sotto il GDPR. È un equivoco che costa caro, perché confonde *dove* i dati sono fisicamente archiviati con *a quale legge* sono soggetti.
- **L'Era del Billion-Dollar Creator e L'Operazione Khaby Lame: quando il contenuto definitivo è il clone di se stessi.** — https://www.tomato.blue/blog/khaby-lame-billion-dollar-creator.md (EN: https://www.tomato.blue/en/blog/khaby-lame-billion-dollar-creator.md)
  L'acquisizione della Step Distinctive Limited di Khaby Lame da parte di Rich Sparkle Holdings per quasi un miliardo di dollari non è solo il "colpo del secolo" nella Creator Economy. È il segnale inequivocabile che il confine tra asset umano e infrastruttura tecnologica è definitivamente crollato.
- **Agenti autonomi in azienda e il caso Clawdbot: follia o possibilità abilitabile dalla governance?** — https://www.tomato.blue/blog/clawdbot-autonomous-agents-governance.md (EN: https://www.tomato.blue/en/blog/clawdbot-autonomous-agents-governance.md)
  L'AI non bussa più. Entra direttamente e inizia a lavorare.
- **Il Ritorno dei Morti Viventi (Digitali): Il Caso The Rock Trading e il Pasticcio dei Domini** — https://www.tomato.blue/blog/therock-trading-domain-management.md (EN: https://www.tomato.blue/en/blog/therock-trading-domain-management.md)
  Se pensavate che il fallimento di The Rock Trading (TRT) fosse l'ultimo capitolo di una triste saga finanziaria, beh, non avete fatto i conti con gli "zombie digitali". Recentemente, il sito del più antico exchange italiano è tornato online. Ma no, non è un miracolo della finanza decentralizzata: è un segnale d'allarme rosso fuoco.
- **La BCE Apre alle Garanzie Blockchain: Cosa Cambia per il Mercato Europeo** — https://www.tomato.blue/blog/bce-blockchain-collateral.md (EN: https://www.tomato.blue/en/blog/bce-blockchain-collateral.md)
  Dal 30 marzo 2026, l'Eurosistema accetterà titoli tokenizzati come collaterale. Una svolta storica che ridefinisce le infrastrutture finanziarie e apre nuove opportunità per la tokenizzazione degli asset reali.
- **Le Criptovalute come Monete delle Macchine** — https://www.tomato.blue/blog/criptovalute-monete-macchine.md (EN: https://www.tomato.blue/en/blog/criptovalute-monete-macchine.md)
  L'Infrastruttura Tecnica del Futuro Economico
- **PSD2 e MiCAR: scadenza del periodo transitorio della No Action Letter (NAL)** — https://www.tomato.blue/blog/eba-nal-psd2-mica.md (EN: https://www.tomato.blue/en/blog/eba-nal-psd2-mica.md)
  Priorità di vigilanza alla scadenza del periodo transitorio della No Action Letter (NAL) sull'interazione tra PSD2 e MiCA
- **DORA e trasmissione del Registro delle Informazioni: cosa devono fare gli enti vigilati** — https://www.tomato.blue/blog/dora-registro-informazioni.md (EN: https://www.tomato.blue/en/blog/dora-registro-informazioni.md)
  La Banca d'Italia ha pubblicato una [comunicazione](https://www.bancaditalia.it/media/notizia/comunicazione-al-mercato-relativa-alle-tempistiche-per-la-trasmissione-annuale-dei-registri-delle-informazioni-ai-sensi-di-dora/) per indicare i tempi per la trasmissione annuale a regime dei registri delle informazioni ai sensi del Regolamento (UE) 2022/2554 (DORA) entrato in vigore il 16 gennaio 2023 ed è applicabile dal 17 gennaio 2025.
- **Quando l'AI dice no al Pentagono: Anthropic, il Dipartimento della Guerra e la Costituzione di Claude** — https://www.tomato.blue/blog/anthropic-claude-constitution.md (EN: https://www.tomato.blue/en/blog/anthropic-claude-constitution.md)
  Il 26 febbraio 2026, Dario Amodei — CEO e cofondatore di Anthropic — ha pubblicato una dichiarazione destinata a fare rumore. L'azienda dietro Claude, uno dei modelli linguistici più avanzati al mondo, ha annunciato di aver rifiutato alcune richieste del Dipartimento della Guerra degli Stati Uniti. Non si tratta di un rifiuto totale di collaborare con le forze armate — Anthropic è stata la prima azienda di AI frontier a deployare i propri modelli nelle reti classificate del governo americano — ma di un diniego su due casi specifici: la sorveglianza di massa dei cittadini americani e le armi completamente autonome, prive di supervisione umana.
- **Allucinazioni IA in udienza: il Tribunale di Siracusa condanna l'avvocato** — https://www.tomato.blue/blog/siracusa-ai-allucinazioni.md (EN: https://www.tomato.blue/en/blog/siracusa-ai-allucinazioni.md)
  Quattro sentenze di legittimità mai esistite, e virgolettati inventati da un LLM. La sentenza n. 338/2026 del Tribunale di Siracusa relativa all'uso acritico dell'IA generativa come colpa grave.
- **La pseudonimizzazione non è più un rifugio sicuro. Gli LLM cambiano le regole del gioco.** — https://www.tomato.blue/blog/pseudonimizzazione-llm.md (EN: https://www.tomato.blue/en/blog/pseudonimizzazione-llm.md)
  Un nuovo studio firmato da ricercatori del Politecnico federale di Zurigo (ETH Zurich) del programma Machine Learning Alignment Theory Scholars (MATS) e di Anthropic — pubblicato su arXiv con il titolo "Large-Scale Online Deanonymization with LLMs" — e disponibile al seguente [link](https://arxiv.org/abs/2602.16800) mette in evidenza il rischio di uno dei pilastri della protezione dei dati personali online: l'assunzione che la pseudonimia, combinata con la dispersione dei dati in rete, garantisca un'anonimità di fatto.
- **prediction-markets** — https://www.tomato.blue/blog/prediction-markets.md (EN: https://www.tomato.blue/en/blog/prediction-markets.md)
- **ai-tribunale-chatgpt-prova** — https://www.tomato.blue/blog/ai-tribunale-chatgpt-prova.md (EN: https://www.tomato.blue/en/blog/ai-tribunale-chatgpt-prova.md)
- **Quando l'AI trova le vulnerabilità: cosa cambia per cybersecurity e compliance** — https://www.tomato.blue/blog/ai-vulnerabilita-cybersecurity.md (EN: https://www.tomato.blue/en/blog/ai-vulnerabilita-cybersecurity.md)
  La collaborazione tra Anthropic e Mozilla ha mostrato qualcosa di più di un semplice esperimento tecnico. Utilizzando un modello AI per analizzare il codice di Firefox sono state identificate **22 vulnerabilità reali** in circa due settimane, di cui **14 classificate come ad alta gravità**. Il risultato non è soltanto un progresso nella ricerca sulla sicurezza del software. È un segnale di cambiamento strutturale nel modo in cui vulnerabilità e rischi tecnologici possono essere individuati.
- **Manipolare le raccomandazioni degli assistenti AI: il rischio dell'AI Recommendation Poisoning** — https://www.tomato.blue/blog/ai-recommendation-poisoning.md (EN: https://www.tomato.blue/en/blog/ai-recommendation-poisoning.md)
  Gli assistenti basati su intelligenza artificiale stanno diventando strumenti centrali per cercare informazioni, analizzare documenti e prendere decisioni operative. Sempre più utenti chiedono a questi sistemi consigli su servizi, fornitori, strumenti software o fonti informative.
- **Perché l'AI ha bisogno delle criptoattività, ora più che mai** — https://www.tomato.blue/blog/ai-crypto-convergenza.md (EN: https://www.tomato.blue/en/blog/ai-crypto-convergenza.md)
  Gli agenti intelligenti si muovono alla velocità delle macchine. Possiamo fidarci di ciò che producono? È qui che entra in gioco il mondo crypto ed è qui che si apre un cantiere regolatorio.
- **L.R. Sardegna 10 marzo 2026 — Disposizioni in materia di promozione, sviluppo sostenibile e sistema di governo dell'intelligenza artificiale in Sardegna** — https://www.tomato.blue/blog/sardegna-legge-regionale-ai.md (EN: https://www.tomato.blue/en/blog/sardegna-legge-regionale-ai.md)
  La Sardegna è la prima Regione italiana ad aver adottato una legge interamente e organicamente dedicata all'intelligenza artificiale. Un primato che segna un punto di svolta nel panorama regolatorio sub-statale e che posiziona l'isola come laboratorio avanzato di governance dell'IA in Italia.
- **AI Act Omnibus VII: l'UE semplifica, ma le aziende hanno davvero più tempo?** — https://www.tomato.blue/blog/ai-act-omnibus-semplificazione.md (EN: https://www.tomato.blue/en/blog/ai-act-omnibus-semplificazione.md)
  Il 13 marzo 2026 il Consiglio UE ha approvato la propria posizione sul "Digital Omnibus", parte del pacchetto legislativo Omnibus VII proposto dalla Commissione il 19 novembre 2025 per semplificare l'implementazione dell'AI Act. Nuove scadenze, nuovi divieti e un ruolo rafforzato per l'AI Office: ecco cosa cambia concretamente.
- **La frontiera frattale: quando il fitness tracker diventa una falla di sicurezza** — https://www.tomato.blue/blog/strava-opsec-fitness-tracker.md (EN: https://www.tomato.blue/en/blog/strava-opsec-fitness-tracker.md)
  Una corsa sul ponte di una portaerei, un profilo Strava pubblico, e la posizione classificata di una nave da guerra rivelata in tempo reale. Non è fantascienza: è successo a marzo 2026 — e non è la prima volta.
- **EUDI Wallet: il portafoglio digitale europeo è davvero sicuro?** — https://www.tomato.blue/blog/eudi-wallet-sicurezza.md (EN: https://www.tomato.blue/en/blog/eudi-wallet-sicurezza.md)
  Un confronto tra posizioni istituzionali, critiche civili e ricerca accademica
- **Mettersi in regola non è mai stato così accessibile** — https://www.tomato.blue/blog/mimit-voucher-cloud-cybersecurity.md (EN: https://www.tomato.blue/en/blog/mimit-voucher-cloud-cybersecurity.md)
  NIS2, GDPR, AI Act: il quadro normativo europeo si fa sempre più strutturato e le imprese che rimandano l'adeguamento si trovano ogni giorno un po' più esposte. Non è questione di allarmismo — è che i rischi legati a infrastrutture datate e processi non conformi sono concreti, e crescono con il tempo.
- **Tokenizzazione di Asset Reali: i Miliardi che Nessuno Protegge Abbastanza** — https://www.tomato.blue/blog/rwa-tokenization-security.md (EN: https://www.tomato.blue/en/blog/rwa-tokenization-security.md)
  La corsa alla tokenizzazione di asset reali vale già oltre 25 miliardi di dollari. Ma la sicurezza sta tenendo il passo? Un'analisi dei rischi, degli exploit e delle risposte istituzionali per chi deve prendere decisioni oggi.
- **Intelligenza Artificiale Generativa e Riscrittura del Software: un Passo verso il Superamento del Copyleft?** — https://www.tomato.blue/blog/ai-copyleft-software.md (EN: https://www.tomato.blue/en/blog/ai-copyleft-software.md)
  L'AI può riscrivere codice copyleft e liberarlo dai vincoli di licenza? Un'analisi giuridica tra diritto d'autore, opere derivate, creatività umana e Text and Data Mining.
- **NIS2 e supply chain: chi non è pronto, esce dal mercato** — https://www.tomato.blue/blog/nis2-supply-chain-rischio-mercato.md (EN: https://www.tomato.blue/en/blog/nis2-supply-chain-rischio-mercato.md)
  Le scadenze operative del 2026 che nessuna impresa può permettersi di ignorare
- **Q-Day e Quantageddon: la crittografia post-quantum non può aspettare** — https://www.tomato.blue/blog/teorema-mosca-crittografia-post-quantum.md (EN: https://www.tomato.blue/en/blog/teorema-mosca-crittografia-post-quantum.md)
  Per anni il dibattito sul quantum computing è stato raccontato come uno scontro tra due estremi: da una parte l'apocalisse imminente, dall'altra l'idea che non ci sia nulla da fare per almeno un paio di decenni. Entrambe le posizioni sono fuorvianti. Il punto non è prevedere con precisione il giorno in cui un computer quantistico riuscirà a compromettere gli algoritmi oggi più usati. Il punto è capire **quando un'organizzazione deve iniziare a muoversi**.
- **Procurement IA nella PA: conclusa la consultazione pubblica delle Linee Guida AgID** — https://www.tomato.blue/blog/procurement-ia-pa-linee-guida-agid.md (EN: https://www.tomato.blue/en/blog/procurement-ia-pa-linee-guida-agid.md)
  Riflessioni in attesa del parere dell'Autorità Garante per la Protezione dei Dati Personali
- **Il paradosso sulla sicurezza degli smart contract nell'era dell'AI** — https://www.tomato.blue/blog/paradosso-smart-contract.md (EN: https://www.tomato.blue/en/blog/paradosso-smart-contract.md)
  Immutabilità e sicurezza non sono entrambe gratuite. E i frontier model stanno comprimendo i tempi del compromesso.
- **DORA Register of Information: solo il 6,5% ha superato i controlli. Cosa ci dice questo dato.** — https://www.tomato.blue/blog/dora-registro-qualita-dati.md (EN: https://www.tomato.blue/en/blog/dora-registro-qualita-dati.md)
  A gennaio 2025 DORA è entrato in vigore in tutta l'Unione Europea, portando con sé — tra gli altri obblighi — il Register of Information (RoI): il registro strutturato di tutti i contratti con fornitori ICT di terze parti che ogni entità finanziaria deve mantenere e trasmettere alla propria autorità competente.
- **Quando l'AI diventa un'arma: il FMI avverte sul rischio sistemico cyber** — https://www.tomato.blue/blog/ai-cyber-risk-stabilita-finanziaria.md (EN: https://www.tomato.blue/en/blog/ai-cyber-risk-stabilita-finanziaria.md)
  Il rapporto del Fondo Monetario Internazionale cambia le coordinate del problema: il cyber risk nell'era dell'AI non è più un problema operativo. È un rischio macrofinanziario.
- **Quello che Meta sta facendo ai suoi dipendenti in Europa non si può fare** — https://www.tomato.blue/blog/meta-ai-lavoratori-ai-act.md (EN: https://www.tomato.blue/en/blog/meta-ai-lavoratori-ai-act.md)
  Meta monitora ogni click e ogni schermata dei dipendenti con l'AI. In Europa, sistemi come il MCI rientrerebbero tra gli AI ad alto rischio sotto l'AI Act. Un caso che riguarda ogni PMI italiana che usa strumenti AI per gestire i propri lavoratori.
- **Sovranità digitale: valuta il tuo stack con il framework SEAL della Commissione Europea** — https://www.tomato.blue/blog/seal-cloud-sovereignty-framework.md (EN: https://www.tomato.blue/en/blog/seal-cloud-sovereignty-framework.md)
  La posizione geografica dei server è solo uno dei fattori che determinano la sovranità digitale di un servizio cloud. La Commissione Europea ha introdotto i livelli SEAL per misurare — oggettivamente — quanto è effettiva quella sovranità.
- **Un quindicenne, un IDOR, undici milioni di francesi** — https://www.tomato.blue/blog/ants-idor-quindicenne.md (EN: https://www.tomato.blue/en/blog/ants-idor-quindicenne.md)
  L'agenzia francese che emette carte d'identità e passaporti è stata bucata sfruttando una delle vulnerabilità API più elementari del catalogo. Il profilo dell'attaccante racconta molto sulla maturità di sicurezza dell'ecosistema.
- **AI Act: accordo politico sul Digital Omnibus. Cosa cambia per le imprese.** — https://www.tomato.blue/blog/ai-act-digital-omnibus-accordo-politico.md (EN: https://www.tomato.blue/en/blog/ai-act-digital-omnibus-accordo-politico.md)
  Il 7 maggio 2026, nelle prime ore del mattino, Consiglio UE e Parlamento europeo hanno raggiunto un accordo politico provvisorio sull'Omnibus VII relativo all'AI Act (Press Release Consiglio 299/26). Il via libera del Coreper è arrivato il 15 maggio. Cinque punti chiave che cambiano concretamente il quadro operativo per le imprese.
- **NIS2 in Italia: cosa devono fare PMI e fornitori entro il 31 ottobre 2026** — https://www.tomato.blue/blog/nis2-italia-scadenze-31-ottobre-2026.md (EN: https://www.tomato.blue/en/blog/nis2-italia-scadenze-31-ottobre-2026.md)
  Il calendario 2026 è fissato. Tre date contano davvero: 31 maggio, 30 giugno, 31 ottobre. Mancano poche settimane alla prima.
- **Cyber Resilience Act: dall'11 settembre 2026 scattano gli obblighi di notifica per i produttori di software e dispositivi connessi** — https://www.tomato.blue/blog/cyber-resilience-act-notifiche-article-14-settembre-2026.md (EN: https://www.tomato.blue/en/blog/cyber-resilience-act-notifiche-article-14-settembre-2026.md)
  Dall'11 settembre 2026, i produttori di software installabile, firmware o dispositivi connessi venduti nel mercato UE hanno 24 ore per inviare un early warning a ENISA ogni volta che una vulnerabilità nel loro prodotto viene attivamente sfruttata. La Single Reporting Platform è in costruzione e sarà operativa in tempo: chi non ha ancora un processo interno di notifica ha meno di 100 giorni per costruirlo.
- **Account bannato in una notte: vendor lock-in cloud e diritti che le PMI italiane già hanno** — https://www.tomato.blue/blog/google-account-ban-vendor-lock-in-pmi.md (EN: https://www.tomato.blue/en/blog/google-account-ban-vendor-lock-in-pmi.md)
  Il 16 maggio 2026 il mangaka Masahiro Itosugi ha reso pubblica la perdita del proprio account Google — Gmail, Drive, YouTube, tutto — dopo che un algoritmo di moderazione ha flaggato i suoi vecchi manoscritti caricati su Drive. Il ricorso è stato respinto in poche ore. Se la stessa sequenza colpisse il tuo account Google Workspace aziendale, in quanto tempo potresti recuperare le email degli ultimi tre anni?
- **Frontier Equivalent Token: un'unità di misura per il consumo AI multi-modello** — https://www.tomato.blue/blog/frontier-equivalent-token.md (EN: https://www.tomato.blue/en/blog/frontier-equivalent-token.md)
  > Un milione di token su DeepSeek V4-Flash costa 0,28 dollari. Un milione di token su Claude Opus 4.8 ne costa 25. È lo stesso "milione"? Per il bilancio sì, per la capacità no — e oggi non esiste un'unità che permetta di sommarli.
- **AI Act: dal 2 agosto 2026 la trasparenza AI è obbligatoria — cosa cambia per le PMI** — https://www.tomato.blue/blog/ai-act-trasparenza-articolo-50-agosto-2026.md (EN: https://www.tomato.blue/en/blog/ai-act-trasparenza-articolo-50-agosto-2026.md)
  Il 2 agosto 2026 l'articolo 50 del Regolamento (UE) 2024/1689 (AI Act) diventa direttamente applicabile: qualunque azienda italiana che usa chatbot, genera contenuti sintetici o impiega sistemi di riconoscimento emotivo è già un "deployer" con obblighi legali concreti — indipendentemente dal fatturato o dalla dimensione.
- **Dal 1° luglio 2026 le piattaforme crypto senza licenza MiCA devono chiudere: cosa fare se la tua PMI usa USDT** — https://www.tomato.blue/blog/mica-usdt-scadenza-1-luglio-2026-pmi.md (EN: https://www.tomato.blue/en/blog/mica-usdt-scadenza-1-luglio-2026-pmi.md)
  Il 30 giugno 2026 scade il regime transitorio MiCA per le piattaforme crypto nell'UE. Dal 1° luglio, ogni exchange privo di autorizzazione CASP non può operare. Se la tua azienda detiene USDT su Binance EEA, Kraken o Crypto.com, i delisting sono già avvenuti — tra dicembre 2024 e marzo 2025. Il rischio ora è la piattaforma, non il token.
- **Cyber Resilience Act e app mobile: cosa deve fare una software house italiana entro il 2027** — https://www.tomato.blue/blog/cyber-resilience-act-app-mobile-software-house.md (EN: https://www.tomato.blue/en/blog/cyber-resilience-act-app-mobile-software-house.md)
  Il Regolamento (UE) 2024/2847 — Cyber Resilience Act — si applica dall'11 dicembre 2027 a qualsiasi software immesso sul mercato dell'Unione. Un'app Android o iOS distribuita tramite App Store o Google Play rientra nella definizione. La maggior parte delle software house italiane non lo sa ancora.
- **GPS come piattaforma crittografica nascosta: cosa cambia per il tuo threat model sotto NIS2 e DORA** — https://www.tomato.blue/blog/gps-infrastruttura-crittografica-nis2-dora.md (EN: https://www.tomato.blue/en/blog/gps-infrastruttura-crittografica-nis2-dora.md)
  Il 26 maggio 2011, tutti e 31 i satelliti della costellazione GPS operativa trasmisero lo stesso segnale identico entro poche ore. Non era un'anomalia tecnica: era l'attivazione coordinata di OTAD, il sistema con cui il Pentagono distribuisce chiavi crittografiche militari via satellite — nascosto nel segnale civile GPS da almeno quindici anni senza documentazione pubblica.
- **Decreti attuativi sull'IA: la formazione al centro, ma il doppio binario Italia–UE resta un tema aperto** — https://www.tomato.blue/blog/decreti-attuativi-ia-formazione-doppio-binario.md (EN: https://www.tomato.blue/en/blog/decreti-attuativi-ia-formazione-doppio-binario.md)
  Il 10 giugno 2026 il Consiglio dei Ministri ha approvato, in esame preliminare, due schemi di decreto legislativo attuativi della legge n. 132/2025, la legge italiana sull'intelligenza artificiale. Il primo riguarda i poteri delle Autorità nazionali e l'utilizzo dell'IA nella formazione; il secondo l'impiego dei sistemi di IA nell'attività di polizia e i profili di responsabilità civile e penale. Va sottolineato sin d'ora che si tratta di testi non definitivi: seguiranno il vaglio delle Commissioni parlamentari, della Conferenza delle Regioni e delle Authority competenti, e il contenuto finale potrà subire modifiche anche significative.
- **AI Act (Reg. UE 2024/1689): cosa devono fare le PMI entro agosto 2026 sui sistemi ad alto rischio** — https://www.tomato.blue/blog/ai-act-high-risk-systems-scadenze-agosto-2026.md (EN: https://www.tomato.blue/en/blog/ai-act-high-risk-systems-scadenze-agosto-2026.md)
  Il 2 agosto 2026 il Regolamento (UE) 2024/1689 diventa pienamente applicabile ai sistemi AI classificati nell'Allegato III. Se la vostra azienda usa software di screening CV, scoring creditizio o valutazione delle performance dei dipendenti, siete già deployer con obblighi precisi — indipendentemente da chi ha sviluppato il sistema.
- **MCP server: il nuovo perimetro che la tua azienda non sta monitorando** — https://www.tomato.blue/blog/mcp-server-governance-rischi.md (EN: https://www.tomato.blue/en/blog/mcp-server-governance-rischi.md)
  In pochi mesi, il Model Context Protocol (MCP) è passato da proposta tecnica di nicchia a standard de facto per connettere agenti AI agli strumenti aziendali. Le aziende lo adottano senza policy, senza governance, spesso senza che l'IT lo sappia. Questo è il problema.
- **Digital Omnibus: il Parlamento europeo approva. Cosa cambia per le PMI italiane** — https://www.tomato.blue/blog/ai-act-omnibus-voto-parlamento-giugno-2026.md (EN: https://www.tomato.blue/en/blog/ai-act-omnibus-voto-parlamento-giugno-2026.md)
  Il 16 giugno 2026 il Parlamento europeo ha approvato il Digital Omnibus con 423 voti favorevoli, 57 contrari e 174 astensioni. Non è ancora diritto vigente — mancano l'adozione formale del Consiglio e la pubblicazione in Gazzetta Ufficiale — ma il consenso politico è consolidato. Per le PMI italiane cambia soprattutto la mappa delle scadenze.