← Torna al Blog
Conformità e normative Analisi 9 marzo 2026 11 min di lettura

Lanciate le linee guida 6G Security-by-Design, il rischio interno all'intelligenza artificiale raggiunge livelli critici, gli zero-day aziendali raggiungono il massimo storico: riepilogo delle normative sulla sicurezza

Sette nazioni occidentali pubblicano principi di sicurezza fin dalla progettazione per le reti 6G prima ancora che gli standard vengano finalizzati. Mimecast segnala che le minacce interne guidate dall’intelligenza artificiale sono diventate una “minaccia aziendale critica”: il 42% delle organizzazioni ha riscontrato un aumento degli incidenti interni sia dolosi che negligenti. Il Threat Intelligence Group di Google ha monitorato 90 zero-day nel 2025, con il software aziendale ora come obiettivo principale. Microsoft risponde ai problemi di fuga di dati di Copilot con nuovi controlli DLP. Inoltre, una vulnerabilità di elevata gravità dell’intelligenza artificiale Gemini in Chrome solleva nuove domande sulla sicurezza dell’intelligenza artificiale ai sensi della legge sull’intelligenza artificiale dell’UE. Ecco su cosa devono agire le autorità di regolamentazione e i team di conformità questa settimana.


📡 GCOT lancia i principi 6G Security-by-Design

La Coalizione Globale per le Telecomunicazioni (GCOT) – che comprende Australia, Canada, Finlandia, Giappone, Svezia, Regno Unito e Stati Uniti – ha pubblicato i principi volontari di sicurezza e resilienza del 6G al Mobile World Congress 2026 di Barcellona. Partner del settore tra cui AT&T, BT, Ericsson, NVIDIA, Nokia, Qualcomm, Samsung e Vodafone hanno approvato il quadro.

Perché questo è importante prima che esista il 6G

Con il lancio commerciale del 6G non previsto prima del 2029-2030, questo è uno dei primi esempi di normativa sulla sicurezza fin dalla progettazione che precede la tecnologia che disciplina. La coalizione ha valutato che il 6G porterà funzioni di rete più virtualizzate, architetture disaggregate con interfacce standardizzate e integrazione nativa dell’intelligenza artificiale, creando ciascuna nuove superfici di attacco che devono essere affrontate a livello di standard, non adattate dopo l’implementazione.

Gli otto principi

Il GCOT ha definito quattro obiettivi di sicurezza e quattro obiettivi di resilienza:

CategoriaPrincipioRequisito chiave
SicurezzaContenimentoLimitare la propagazione di attori malintenzionati attraverso la rete
SicurezzaRiservatezzaPrivacy-by-design per i dati degli utenti, sicuri contro le intercettazioni
SicurezzaIntegritàGaranzie di integrità dei dati attraverso il transito della rete e l'infrastruttura
SicurezzaControllo degli accessiAutenticazione e autorizzazione per tutti i componenti di rete
ResilienzaContinuità del servizioMantenere la disponibilità in circostanze difficili
ResilienzaFilieraSicurezza multivendor con garanzia di fornitori affidabili
ResilienzaSicurezza fisicaResilienza contro le minacce fisiche e ambientali
ResilienzaRecuperoRipristino rapido dopo incidenti o interruzioni della sicurezza

Allineamento normativo

Questi principi si collegano direttamente alle normative UE esistenti ed emergenti:

Conclusioni sulla conformità

Gli operatori delle telecomunicazioni e i produttori di apparecchiature di rete dovrebbero iniziare subito a mappare i principi GCOT rispetto ai loro programmi di conformità NIS2 e CRA esistenti. Quando gli standard 6G saranno finalizzati dal 3GPP, le organizzazioni con la sicurezza fin dalla progettazione incorporata nei loro processi di sviluppo avranno un notevole vantaggio in termini di conformità. Questa è la rara opportunità di modellare le aspettative normative prima che diventino obbligatorie.


🤖 Rischio interno guidato dall'intelligenza artificiale: una "minaccia aziendale critica"

Il 42% delle organizzazioni segnala un aumento delle minacce interne

Mimecast's di Mimecast Rapporto sullo stato del rischio umano 2026, basato su un sondaggio condotto su 2.500 decisori in materia di sicurezza IT in Nord America, Europa, Sud-Est asiatico e Australia, rileva che il rischio interno è aumentato a livelli critici, guidato in gran parte dall’uso improprio degli strumenti di intelligenza artificiale da parte dei dipendenti e dagli aggressori che utilizzano l’intelligenza artificiale come arma per un’ingegneria sociale più efficace.

Principali risultati

Implicazioni della legge UE sull'intelligenza artificiale

Il quadro basato sul rischio della legge sull’intelligenza artificiale dell’UE ha una rilevanza diretta per le minacce interne guidate dall’intelligenza artificiale:

Requisiti NIS2 e DORA

Le minacce interne rientrano esplicitamente nell'ambito di entrambi i framework:

Azione richiesta

Le organizzazioni dovrebbero verificare immediatamente quali strumenti di intelligenza artificiale utilizzano i dipendenti (IA ombra), implementare controlli DLP sull’accesso ai dati assistito dall’intelligenza artificiale e aggiornare le proprie linee di base per il rilevamento delle minacce interne. Sotto NIS2 e DORA, l’incapacità di affrontare i noti modelli di rischio interni guidati dall’intelligenza artificiale è ora una lacuna di conformità. Includi scenari di uso improprio dell'IA nel tuo prossimo esercizio da tavolo.


🎯 Gli Zero-Day aziendali raggiungono il massimo storico: 90 nel 2025

Il software aziendale ora è l'obiettivo primario

Google Threat Intelligence Group (GTIG) ha riferito che 90 vulnerabilità zero-day sono stati sfruttati attivamente nel 2025, rispetto ai 78 del 2024. Il cambiamento critico: Il 48% ora si rivolge a software e dispositivi aziendali, in aumento rispetto al 46% nel 2024, con i prodotti di sicurezza e di rete che hanno avuto l’impatto più pesante.

Il cambiamento aziendale

L'analisi di Google rivela un cambiamento strutturale nel panorama delle minacce:

Ulteriori risultati GTIG

Implicazioni normative

QuadroRequisitoImpatto del picco zero-day
NIS2Arte. Articolo 21, paragrafo 2, lettera e) — Gestione delle vulnerabilitàLe entità essenziali devono disporre di processi per il rilevamento zero-day, il triage e l'applicazione di patch di emergenza all'infrastruttura aziendale
DORAArte. 9 — Gestione del rischio ICTLe entità finanziarie devono includere gli scenari zero-day aziendali nelle valutazioni del rischio e mantenere procedure di patching di emergenza
CRAArte. 11 — Segnalazione di vulnerabilitàProduct manufacturers face mandatory 24-hour reporting of actively exploited vulnerabilities starting settembre 2026
Legge dell'UE sull'IAArte. 15 — Precisione, robustezza, sicurezzaI sistemi di intelligenza artificiale devono essere resilienti allo sfruttamento: Gemini Chrome CVE dimostra che i componenti di intelligenza artificiale creano nuove classi di vulnerabilità

Conclusioni sulla conformità

Il passaggio agli zero-day mirati alle imprese significa la tua stessa infrastruttura di sicurezza è ora la principale superficie di attacco. I programmi di conformità NIS2 e DORA devono includere procedure specifiche per la risposta zero-day nelle apparecchiature di sicurezza, non solo negli endpoint tradizionali. Le organizzazioni dovrebbero implementare la segmentazione della rete che presuppone che i dispositivi di sicurezza possano essere compromessi e implementare il monitoraggio fuori banda per i dispositivi edge.


🛡️ Protezione dei dati di Microsoft Copilot: governance dell'intelligenza artificiale in pratica

Microsoft ha annunciato nuovi controlli DLP (Data Loss Prevention) per Microsoft 365 Copilot, rispondendo alle diffuse lamentele dei clienti secondo cui Copilot includeva informazioni riservate nei suoi report generati dall'intelligenza artificiale. I nuovi controlli estendono i criteri DLP ai file salvati localmente: in precedenza, DLP proteggeva solo i file archiviati in OneDrive e SharePoint.

Cosa è cambiato

Il problema principale: l'assistente AI di Microsoft 365 Copilot poteva accedere ed elaborare i file archiviati localmente sui computer degli utenti, anche quando i criteri DLP limitavano quegli stessi file su OneDrive e SharePoint. Questa lacuna significava che i documenti riservati, contrassegnati come sensibili dalle regole DLP, potevano essere riepilogati, citati o citati nei report generati da Copilot senza alcuna protezione applicata.

Rilevanza normativa

Questo episodio illustra un modello normativo che i team di conformità devono interiorizzare:

Azione richiesta

Do not wait until aprile.Controlla subito la tua distribuzione Copilot per identificare quali dati riservati potrebbero essere già stati elaborati senza la protezione DLP. Ai sensi dell'articolo 33 del GDPR, se i dati personali sono stati esposti attraverso il gap DLP di Copilot, potresti avere una violazione dei dati segnalabile. Documenta la tua valutazione ed eventuali controlli compensativi per la tua autorità di vigilanza.


⚠️ Estensioni del browser AI false: divario nella protezione dei consumatori

Estensioni "AI" dannose che inondano gli App Store

I ricercatori di sicurezza hanno confermato una tendenza crescente di estensioni del browser dannose mascherate da strumenti di produttività dell'intelligenza artificiale, apparendo nei principali app store e superando con successo i processi di revisione iniziali. Queste estensioni forniscono alcune funzionalità AI previste mentre raccolgono silenziosamente dati utente, credenziali e cronologia di navigazione.

Il divario normativo

Questa tendenza mette in luce lacune critiche nei quadri normativi esistenti:

Raccomandazione aziendale

Implementare lista consentita delle estensioni del browser per tutti gli ambienti aziendali. Ai sensi dell’articolo 21(2)(i) di NIS2, le organizzazioni devono garantire che i dipendenti non possano installare estensioni non controllate sui dispositivi aziendali. Mantieni un elenco di estensioni approvate e utilizza i criteri di gruppo per bloccare tutti gli altri. La governance degli strumenti di intelligenza artificiale è ora un controllo di sicurezza, non una comodità IT.


📅 Calendario regolamentare: date chiave in vista

DataQuadroPietra miliare
11 marzo 2026Martedì della patchMicrosoft marzo 2026 release — after 90 zero-days in 2025, prepare for significant patches
aprile 2026MicrosoftProtezione dei file locali DLP di Copilot applicata per impostazione predefinita: verifica che i criteri DLP coprano tutte le categorie di dati
2 maggio 2026Legge dell'UE sull'IAGli obblighi di trasparenza del modello GPAI entrano in vigore: i fornitori di IA devono pubblicare riepiloghi dei dati di addestramento
2 agosto 2026Legge dell'UE sull'IARequisiti di sistema di IA ad alto rischio applicabili (articoli da 6 a 49) — è richiesto uno stack di conformità completo
11 settembre 2026CRAInizia la segnalazione obbligatoria delle vulnerabilità sfruttate attivamente: obbligo di notifica 24 ore su 24
17 ottobre 2026NIS2Termine ultimo per il recepimento da parte degli Stati membri: tutti i 27 paesi dell'UE devono avere NIS2 nella legislazione nazionale
2029-2030GCOT/6GPreviste implementazioni commerciali iniziali del 6G: i principi di sicurezza fin dalla progettazione dovranno essere incorporati negli standard entro quella data

🔑 Punti chiave per i team di conformità

  1. Gli standard di sicurezza 6G sono in fase di definizione adesso. Gli otto principi del GCOT stabiliscono aspettative che diventeranno requisiti obbligatori. Gli operatori delle telecomunicazioni e i produttori di apparecchiature dovrebbero allineare oggi i loro processi di sicurezza fin dalla progettazione con questi principi: attendere gli standard definitivi significa recuperare terreno.
  2. Il rischio interno all’intelligenza artificiale è un obbligo di conformità, non una questione relativa alle risorse umane. Con il 42% delle organizzazioni che segnalano aumenti delle minacce interne guidate dall’intelligenza artificiale, i programmi di conformità NIS2 e DORA devono includere controlli specifici sulla governance degli strumenti di intelligenza artificiale: audit dell’intelligenza artificiale ombra, DLP per l’accesso assistito dall’intelligenza artificiale e linee di base per le minacce interne che tengono conto delle capacità dell’intelligenza artificiale.
  3. L'obiettivo è la tua infrastruttura di sicurezza. I 90 risultati zero-day di Google, di cui quasi la metà mirati alla sicurezza aziendale e alle apparecchiature di rete, significa che i programmi di gestione delle vulnerabilità devono dare priorità agli strumenti destinati a proteggerti. Presumi la compromissione dei dispositivi periferici e implementa il monitoraggio fuori banda.
  4. Il gap DLP di Microsoft Copilot è un'anteprima dei fallimenti della governance dell'IA. Le organizzazioni che implementano strumenti di produttività basati sull’intelligenza artificiale senza verificare i controlli sulla gestione dei dati sono esposte alla responsabilità del GDPR, dell’EU AI Act e del NIS2. Controlla l’accesso ai dati degli strumenti di intelligenza artificiale prima che le autorità di regolamentazione pongano domande.
  5. Le estensioni AI false rappresentano una crisi per la protezione dei consumatori. Fino a quando l'applicazione di DSA e CRA non verrà aggiornata, l'inserimento nella lista consentita delle estensioni del browser aziendale sarà la tua unica difesa affidabile. Implementalo ora.
  6. La preparazione del Patch Tuesday non è facoltativa. Dopo un anno record di zero-day aziendali, le entità DORA e NIS2 senza procedure di patching di emergenza documentate e testate stanno riscontrando un deficit di conformità che le autorità di vigilanza identificheranno.

Automatizza il monitoraggio della conformità

La scansione continua della sicurezza di KENSAI identifica le esposizioni zero-day, le vulnerabilità legate all'intelligenza artificiale e le lacune di conformità nell'intera infrastruttura, in linea con i requisiti NIS2, DORA e EU AI Act.

Avvia la scansione di sicurezza gratuita →

9 marzo 2026

Fonti: GCOT, governo del Regno Unito, Google GTIG, Mimecast, Palo Alto Networks, Microsoft, Help Net Security, Infosecurity Magazine, ENISA