■ AI ACT: la responsabilità civile per uso AI

Molte organizzazioni continuano a leggere il Regolamento (UE) 2024/1689 sull’intelligenza artificiale come una normativa rivolta quasi esclusivamente ai grandi player tecnologici. In realtà, l’AI Act si applica lungo l’intera filiera: a chi sviluppa sistemi di IA, ma anche a chi li integra nei propri prodotti, li distribuisce sul mercato o li utilizza nei processi aziendali, secondo una logica fondata sul rischio e sulla tutela dei diritti fondamentali.

L’equivoco più diffuso è ritenere che l’uso “ordinario” di strumenti di IA in azienda sia giuridicamente neutro. Non è così: ogni impresa è chiamata a qualificare il sistema impiegato, verificando se rientri tra le pratiche vietate, tra i sistemi ad alto rischio o tra quelli soggetti a specifici obblighi di trasparenza, con impatti diretti su governance interna, contrattualistica con i fornitori, procedure di controllo e allocazione delle responsabilità.

Per le aziende, la questione non è “se” utilizzare l’intelligenza artificiale, ma “come” presidiare giuridicamente il suo impiego. Ciò implica mappare gli utilizzi effettivi, comprendere il ruolo assunto nella catena tecnologica (fornitore, distributore, deployer), verificare obblighi informativi e di supervisione umana e coordinare l’AI Act con GDPR, cybersicurezza e controlli interni. Nei prossimi anni, il grado di maturità organizzativa si misurerà proprio sulla capacità di integrare questi piani regolatori in un sistema coerente di governance dell’IA.


EDPB: verso la standardizzazione operativa della compliance.

L’European data protection board (EDPB) ha avviato una consultazione pubblica finalizzata allo sviluppo di modelli standardizzati “pronti all’uso”. L’iniziativa, ispirata ai principi della Dichiarazione di Helsinki, punta a semplificare l’applicazione del GDPR attraverso la creazione di template ufficiali, ossia modelli predefiniti che offrano parametri comuni per la rendicontazione e la trasparenza.

L’iniziativa affronta un nodo strutturale della materia privacy: il divario tra l’obbligo giuridico, espresso in norme generali, e la sua concreta traduzione in documenti e procedure operative. Modelli uniformi per la DPIA (cioè la valutazione d’impatto sulla protezione dei dati), le notifiche di data breach (violazioni dei dati personali), le informative agli interessati, i registri dei trattamenti e le valutazioni del legittimo interesse, consentono infatti di ridurre le disomogeneità applicative, le incoerenze documentali e le difficoltà difensive in sede ispettiva.

Modelli uniformi per la DPIA (cioè la valutazione d’impatto sulla protezione dei dati), le notifiche di data breach (violazioni dei dati personali), le informative agli interessati, i registri dei trattamenti e le valutazioni del legittimo interesse, consentono infatti di ridurre le disomogeneità applicative, le incoerenze documentali e le difficoltà difensive in sede ispettiva.

Il template non sostituisce l’adempimento, ma ne definisce la cornice minima di coerenza.

L’aspetto davvero decisivo resta la capacità di adattare i modelli standard alla realtà concreta dell’azienda.

Non basta adottare documenti o moduli predefiniti: è necessario tradurli nei propri processi, ruoli e flussi operativi. Solo quando le procedure sulla carta diventano prassi effettive e integrate nella gestione quotidiana, si può parlare di una vera compliance.


Croazia: sanzione di 1,5 milioni di euro alla banca per violazioni GDPR nell’app di mobile banking.

L’Autorità croata per la protezione dei dati personali (AZOP) ha irrogato una sanzione di 1,5 milioni di euro ad una banca per gravi violazioni del GDPR perpetrate tramite la propria app di mobile banking, utilizzata da oltre 400.000 clienti.

Il provvedimento, datato 18 dicembre 2025 e riferito al caso Erste Bank, riguarda la raccolta indiscriminata dell’elenco delle app installate sugli smartphone dei clienti, senza una valida base giuridica e senza un’informativa adeguata.

L’intervento dell’AZOP è stato avviato dopo la segnalazione di un cliente che aveva notato un accesso anomalo ai dati del proprio dispositivo. L’indagine ha accertato che la banca ha trattato i dati personali di 433.922 clienti, violando i principi di liceità, trasparenza e limitazione della finalità previsti dal GDPR. L’AZOP ha anche ordinato la cessazione delle pratiche illecite e l’adozione di misure correttive, sottolineando la gravità della condotta che ha compromesso la privacy degli utenti.


Whistleblowing: 2025 Linee guida che bilanciano le tutele sostanziali e il rigore oggettivo.

Il 2025 segna la fine del whistleblowing come mera formalità: tre sentenze del Tribunale di Milano, del Tribunale di Bergamo e della Corte di Cassazione hanno trasformato il Decreto Legislativo 24/2023 in uno strumento sostanziale di riequilibrio dei rapporti di lavoro.

Con la sentenza n. 1680/2025, il Tribunale di Milano ha applicato per la prima volta la presunzione relativa di ritorsione: quando il licenziamento segue la segnalazione nel tempo, l'onere della prova si sposta e spetta al datore di lavoro dimostrare che il licenziamento è del tutto estraneo alla segnalazione. Il Tribunale di Bergamo, con la sentenza n. 951/2025, ha riconosciuto un presunto danno morale (25.000 euro) a un whistleblower esposto a un ambiente ostile, senza richiedere valutazioni mediche forensi, riconoscendo così l'impatto esistenziale dell'isolamento.

Infine, la Corte di Cassazione, con la sentenza n. 1880/2025, ha ribadito il limite oggettivo della tutela: il divieto di misure ritorsive non si applica quando il rapporto viene utilizzato per scopi essenzialmente personali o per rivendicazioni legate esclusivamente al rapporto di lavoro. Un esempio tipico è il caso di un dipendente che, a fronte di un licenziamento per scarso rendimento o di un trasferimento legittimo, presenta un "rapporto" basato esclusivamente su conflitti interni per rendersi di fatto intoccabile. Se il contenuto riguarda solo dinamiche interpersonali o decisioni manageriali sgradite, senza segnalare atti illeciti previsti dalla legge o violazioni del Modello 231, la tutela del whistleblower non si applica: manca il presupposto oggettivo della difesa della legalità.


Decreto Legislativo 231/2001: Obbligo di aggiornamento a seguito del Decreto Legislativo 211/2025.

Tra la fine del 2025 e l'inizio del 2026, la normativa sulla responsabilità delle società ai sensi del Decreto Legislativo 231/2001 ha subito un significativo rafforzamento, richiedendo alle società di aggiornare tempestivamente i propri modelli di organizzazione, gestione e controllo. Il Decreto Legislativo n. 211 del 30 dicembre 2025, in vigore dal 24 gennaio 2026, ha introdotto il nuovo articolo 25-octies.2 nell'elenco dei reati presupposto, dedicato alle violazioni delle misure restrittive dell'Unione Europea, in recepimento della Direttiva (UE) 2024/1226. Comportamenti quali la messa a disposizione di fondi o risorse economiche a soggetti sanzionati, il mancato congelamento dei beni, l'esecuzione di transazioni commerciali vietate, l'importazione/esportazione di beni vietati, la fornitura di servizi limitati e la violazione degli obblighi di segnalazione relativi ai regimi sanzionatori europei rientrano ora nel rischio 231. A partire dal gennaio 2026, quindi, le sanzioni internazionali, i controlli sulle esportazioni, i beni congelati e i controlli sulle controparti non riguarderanno più solo la conformità commerciale, bancaria o doganale, ma costituiranno un rischio 231 a tutti gli effetti, richiedendo controlli rafforzati su clienti, fornitori, titolari effettivi, pagamenti transfrontalieri, autorizzazioni, esportazioni e relazioni con i Paesi "sensibili". Particolarmente degno di nota è il nuovo sistema sanzionatorio: per violazioni specifiche, le sanzioni pecuniarie non sono più calcolate con il tradizionale sistema delle quote, ma come percentuale dei ricavi totali annuali dell'entità (generalmente tra l'1% e il 5%), con soglie fisse fino a 40 milioni di euro quando non è possibile determinare i ricavi. Ciò rende indispensabile un aggiornamento sostanziale dei Modelli 231, che comprenda una mappatura dettagliata dei rischi di sanzioni UE, procedure di due diligence rafforzate sulle controparti e meccanismi di controllo continui lungo l'intera catena operativa.


Cybersecurity: L'anello più debole è ancora la password.

Oggi la cybersicurezza fallisce non solo di fronte ad attacchi sofisticati, ma soprattutto a causa della prevedibilità umana. Anche l'infrastruttura più avanzata diventa vulnerabile se l'accesso è protetto da credenziali deboli o facilmente indovinabili.

La password non è un dettaglio tecnico, ma una tutela legale e organizzativa di prima linea, rilevante anche ai fini dell'articolo 32 del GDPR. Nomi propri, date di nascita, sequenze banali come "123456" o riferimenti facilmente ricostruibili dai social network rimangono oggi tra le chiavi più sfruttate negli attacchi, facilitando intrusioni nei sistemi, furti di identità e compromissioni aziendali.

A questo si aggiunge l'evoluzione del phishing, potenziato dall'intelligenza artificiale: email e messaggi dal linguaggio impeccabile e dal contesto credibile, persino voci e video deepfake in grado di imitare colleghi e dirigenti.

Il rischio non riguarda più solo il singolo utente, ma la continuità operativa di aziende, organizzazioni e infrastrutture critiche.

Ecco perché la cybersecurity non può rimanere appannaggio dei soli specialisti: è una cultura della prevenzione, della formazione continua, di solide politiche di password, dell'autenticazione a più fattori e della vigilanza quotidiana sui segnali d'allarme.

La vera domanda non è se siamo connessi, ma se siamo veramente pronti a proteggere ciò che affidiamo al regno digitale.


EDPB: raccomandazioni per acquisti online più rispettosi della privacy.

L’European Data Protection Board (EDPB), nella sessione plenaria del 4 dicembre 2025, ha adottato Raccomandazioni per la creazione di account utente sui siti di commercio elettronico. L’obiettivo è rendere gli acquisti online più rispettosi della privacy degli utenti, consentendo di effettuare transazioni senza obbligo di registrazione, privilegiando una modalità “ospite”.Solo in casi specifici, come abbonamenti o offerte esclusive, la registrazione può essere obbligatoria. Queste indicazioni mirano a ridurre la raccolta e il trattamento dei dati personali, in linea con il principio di protezione dei dati fin dalla progettazione e per impostazione predefinita del GDPR.

L’EDPB ha inoltre avviato una discussione preliminare sulla proposta di “Digital Omnibus”, esprimendo preoccupazione per la modifica della definizione di dati personali, che potrebbe superare la giurisprudenza della Corte di giustizia dell’UE e compromettere il diritto fondamentale alla protezione dei dati. Tale modifica, infatti, rischia di indebolire la tutela degli interessati e di ridurre la trasparenza e la responsabilità delle aziende nella gestione dei dati personali.


Regno Unito: ICO sanziona gestore password britannico con 1,2 milioni di sterline per data breach.

L’ICO (Information Commissioner’s Office) del Regno Unito, con provvedimento datato 11 dicembre 2025, ha irrogato una sanzione di 1,2 milioni di sterline (circa 1,375 milioni di euro) a una società britannica che offre servizi di gestione delle password per una grave violazione dei dati avvenuta nel 2022.

Il caso riguarda due incidenti distinti che, combinati, hanno consentito a un hacker di accedere al database di backup dell’azienda e di sottrarre informazioni personali di fino a 1,6 milioni di clienti, tra cui nomi, e-mail, numeri di telefono e URL di siti web memorizzati.

Nonostante il sistema di crittografia “zero knowledge” abbia impedito la decrittazione delle password, la mancata implementazione di misure di sicurezza adeguate ha lasciato esposti i dati personali. L’accesso non autorizzato è stato reso possibile dalla compromissione prima del laptop aziendale e poi del dispositivo personale di un dipendente, su cui era presente la chiave di decrittografia. La violazione è stata riconosciuta grave per la portata, le categorie dei dati coinvolti e la mancata adozione di controlli di sicurezza sufficientemente adeguate.


Spagna: sanzione di 1,56 milioni di euro dall’AEPD ad una società spagnola per data breach.

L’Agencia Española de Protección de Datos (AEPD) ha irrogato, con provvedimento n. EXP202401683 del 22 ottobre 2025, una sanzione di 1,56 milioni di euro ad una società spagnola che si occupa di vendita di articoli sportivi, per una grave violazione della sicurezza dei dati personali.

Il caso ha riguardato un data breach di ampia portata, che ha coinvolto circa 6,4 milioni di persone tra clienti e dipendenti, residenti in Spagna, Francia, Italia, Paesi Bassi e Portogallo. L’attacco informatico ha portato alla compromissione di dati identificativi (nome, cognome, codice fiscale), di contatto (indirizzo, telefono, email), economici e sanitari, con particolare rilevanza per i dati dei dipendenti, inclusi quelli relativi alla salute e alla disabilità.

L’attacco informatico ha portato alla compromissione di dati identificativi (nome, cognome, codice fiscale), di contatto (indirizzo, telefono, email), economici e sanitari, con particolare rilevanza per i dati dei dipendenti, inclusi quelli relativi alla salute e alla disabilità. L’attacco informatico ha portato alla compromissione di dati identificativi (nome, cognome, codice fiscale), di contatto (indirizzo, telefono, email), economici e sanitari, con particolare rilevanza per i dati dei dipendenti, inclusi quelli relativi alla salute e alla disabilità.


WhatsApp : Ricorso alla Corte di giustizia dell’Unione europea per contestare la Sanzione di 225 Milioni di Euro

WhatsApp Ireland Ltd ha presentato un ricorso alla Corte di giustizia dell’Unione Europea (CGUE) contro la sanzione di 225 milioni di euro (circa 236 milioni di dollari) per presunte violazioni delle normative sulla privacy.

La sanzione inizialmente era stata inflitta dall’Irish Data Protection Commission (DPC) per la scarsa trasparenza di WhatsApp riguardo ai trasferimenti di dati verso Facebook, la sua società madre.

L’indagine condotta dalla Commissione irlandese per la protezione dei dati aveva rivelato che WhatsApp non aveva fornito informazioni sufficienti agli utenti sui trasferimenti di dati.

L’EDPB ha deciso di aumentare la sanzione a 225 milioni di euro e ha ordinato a WhatsApp di porre fine alle violazioni entro tre mesi.

Meta, l’azienda madre di WhatsApp, è attualmente sotto pressione in tutta l’UE, affrontando numerose sanzioni legate alla protezione dei dati.

n Irlanda, l’autorità per la protezione dei dati ha già emesso multe significative a Meta negli ultimi anni, inclusa una sanzione record di 1,2 miliardi di euro nel maggio 2024. Inoltre, una recente sentenza della corte suprema tedesca ha aperto la strada per richieste di risarcimento da parte degli utenti per violazioni dei dati riguardanti Facebook.