Croazia: sanzione di 1,5 milioni di euro alla banca per violazioni GDPR nell’app di mobile banking.
L’Autorità croata per la protezione dei dati personali (AZOP) ha irrogato una sanzione di 1,5 milioni di euro ad una banca per gravi violazioni del GDPR perpetrate tramite la propria app di mobile banking, utilizzata da oltre 400.000 clienti.
Il provvedimento, datato 18 dicembre 2025 e riferito al caso Erste Bank, riguarda la raccolta indiscriminata dell’elenco delle app installate sugli smartphone dei clienti, senza una valida base giuridica e senza un’informativa adeguata.
L’intervento dell’AZOP è stato avviato dopo la segnalazione di un cliente che aveva notato un accesso anomalo ai dati del proprio dispositivo. L’indagine ha accertato che la banca ha trattato i dati personali di 433.922 clienti, violando i principi di liceità, trasparenza e limitazione della finalità previsti dal GDPR. L’AZOP ha anche ordinato la cessazione delle pratiche illecite e l’adozione di misure correttive, sottolineando la gravità della condotta che ha compromesso la privacy degli utenti.
Whistleblowing: 2025 Linee guida che bilanciano le tutele sostanziali e il rigore oggettivo.
Il 2025 segna la fine del whistleblowing come mera formalità: tre sentenze del Tribunale di Milano, del Tribunale di Bergamo e della Corte di Cassazione hanno trasformato il Decreto Legislativo 24/2023 in uno strumento sostanziale di riequilibrio dei rapporti di lavoro.
Con la sentenza n. 1680/2025, il Tribunale di Milano ha applicato per la prima volta la presunzione relativa di ritorsione: quando il licenziamento segue la segnalazione nel tempo, l'onere della prova si sposta e spetta al datore di lavoro dimostrare che il licenziamento è del tutto estraneo alla segnalazione. Il Tribunale di Bergamo, con la sentenza n. 951/2025, ha riconosciuto un presunto danno morale (25.000 euro) a un whistleblower esposto a un ambiente ostile, senza richiedere valutazioni mediche forensi, riconoscendo così l'impatto esistenziale dell'isolamento.
Infine, la Corte di Cassazione, con la sentenza n. 1880/2025, ha ribadito il limite oggettivo della tutela: il divieto di misure ritorsive non si applica quando il rapporto viene utilizzato per scopi essenzialmente personali o per rivendicazioni legate esclusivamente al rapporto di lavoro. Un esempio tipico è il caso di un dipendente che, a fronte di un licenziamento per scarso rendimento o di un trasferimento legittimo, presenta un "rapporto" basato esclusivamente su conflitti interni per rendersi di fatto intoccabile. Se il contenuto riguarda solo dinamiche interpersonali o decisioni manageriali sgradite, senza segnalare atti illeciti previsti dalla legge o violazioni del Modello 231, la tutela del whistleblower non si applica: manca il presupposto oggettivo della difesa della legalità.
Decreto Legislativo 231/2001: Obbligo di aggiornamento a seguito del Decreto Legislativo 211/2025.
Tra la fine del 2025 e l'inizio del 2026, la normativa sulla responsabilità delle società ai sensi del Decreto Legislativo 231/2001 ha subito un significativo rafforzamento, richiedendo alle società di aggiornare tempestivamente i propri modelli di organizzazione, gestione e controllo. Il Decreto Legislativo n. 211 del 30 dicembre 2025, in vigore dal 24 gennaio 2026, ha introdotto il nuovo articolo 25-octies.2 nell'elenco dei reati presupposto, dedicato alle violazioni delle misure restrittive dell'Unione Europea, in recepimento della Direttiva (UE) 2024/1226. Comportamenti quali la messa a disposizione di fondi o risorse economiche a soggetti sanzionati, il mancato congelamento dei beni, l'esecuzione di transazioni commerciali vietate, l'importazione/esportazione di beni vietati, la fornitura di servizi limitati e la violazione degli obblighi di segnalazione relativi ai regimi sanzionatori europei rientrano ora nel rischio 231. A partire dal gennaio 2026, quindi, le sanzioni internazionali, i controlli sulle esportazioni, i beni congelati e i controlli sulle controparti non riguarderanno più solo la conformità commerciale, bancaria o doganale, ma costituiranno un rischio 231 a tutti gli effetti, richiedendo controlli rafforzati su clienti, fornitori, titolari effettivi, pagamenti transfrontalieri, autorizzazioni, esportazioni e relazioni con i Paesi "sensibili". Particolarmente degno di nota è il nuovo sistema sanzionatorio: per violazioni specifiche, le sanzioni pecuniarie non sono più calcolate con il tradizionale sistema delle quote, ma come percentuale dei ricavi totali annuali dell'entità (generalmente tra l'1% e il 5%), con soglie fisse fino a 40 milioni di euro quando non è possibile determinare i ricavi. Ciò rende indispensabile un aggiornamento sostanziale dei Modelli 231, che comprenda una mappatura dettagliata dei rischi di sanzioni UE, procedure di due diligence rafforzate sulle controparti e meccanismi di controllo continui lungo l'intera catena operativa.
Cybersecurity: L'anello più debole è ancora la password.
Oggi la cybersicurezza fallisce non solo di fronte ad attacchi sofisticati, ma soprattutto a causa della prevedibilità umana. Anche l'infrastruttura più avanzata diventa vulnerabile se l'accesso è protetto da credenziali deboli o facilmente indovinabili.
La password non è un dettaglio tecnico, ma una tutela legale e organizzativa di prima linea, rilevante anche ai fini dell'articolo 32 del GDPR. Nomi propri, date di nascita, sequenze banali come "123456" o riferimenti facilmente ricostruibili dai social network rimangono oggi tra le chiavi più sfruttate negli attacchi, facilitando intrusioni nei sistemi, furti di identità e compromissioni aziendali.
A questo si aggiunge l'evoluzione del phishing, potenziato dall'intelligenza artificiale: email e messaggi dal linguaggio impeccabile e dal contesto credibile, persino voci e video deepfake in grado di imitare colleghi e dirigenti.
Il rischio non riguarda più solo il singolo utente, ma la continuità operativa di aziende, organizzazioni e infrastrutture critiche.
Ecco perché la cybersecurity non può rimanere appannaggio dei soli specialisti: è una cultura della prevenzione, della formazione continua, di solide politiche di password, dell'autenticazione a più fattori e della vigilanza quotidiana sui segnali d'allarme.
La vera domanda non è se siamo connessi, ma se siamo veramente pronti a proteggere ciò che affidiamo al regno digitale.