← Torna al Blog
Conformità e normative
Analisi
9 marzo 2026
11 min di lettura
Lanciate le linee guida 6G Security-by-Design, il rischio interno all'intelligenza artificiale raggiunge livelli critici, gli zero-day aziendali raggiungono il massimo storico: riepilogo delle normative sulla sicurezza
Sette nazioni occidentali pubblicano principi di sicurezza fin dalla progettazione per le reti 6G prima ancora che gli standard vengano finalizzati. Mimecast segnala che le minacce interne guidate dall’intelligenza artificiale sono diventate una “minaccia aziendale critica”: il 42% delle organizzazioni ha riscontrato un aumento degli incidenti interni sia dolosi che negligenti. Il Threat Intelligence Group di Google ha monitorato 90 zero-day nel 2025, con il software aziendale ora come obiettivo principale. Microsoft risponde ai problemi di fuga di dati di Copilot con nuovi controlli DLP. Inoltre, una vulnerabilità di elevata gravità dell’intelligenza artificiale Gemini in Chrome solleva nuove domande sulla sicurezza dell’intelligenza artificiale ai sensi della legge sull’intelligenza artificiale dell’UE. Ecco su cosa devono agire le autorità di regolamentazione e i team di conformità questa settimana.
📡 GCOT lancia i principi 6G Security-by-Design
La Coalizione Globale per le Telecomunicazioni (GCOT) – che comprende Australia, Canada, Finlandia, Giappone, Svezia, Regno Unito e Stati Uniti – ha pubblicato i principi volontari di sicurezza e resilienza del 6G al Mobile World Congress 2026 di Barcellona. Partner del settore tra cui AT&T, BT, Ericsson, NVIDIA, Nokia, Qualcomm, Samsung e Vodafone hanno approvato il quadro.
Perché questo è importante prima che esista il 6G
Con il lancio commerciale del 6G non previsto prima del 2029-2030, questo è uno dei primi esempi di normativa sulla sicurezza fin dalla progettazione che precede la tecnologia che disciplina. La coalizione ha valutato che il 6G porterà funzioni di rete più virtualizzate, architetture disaggregate con interfacce standardizzate e integrazione nativa dell’intelligenza artificiale, creando ciascuna nuove superfici di attacco che devono essere affrontate a livello di standard, non adattate dopo l’implementazione.
Gli otto principi
Il GCOT ha definito quattro obiettivi di sicurezza e quattro obiettivi di resilienza:
| Categoria | Principio | Requisito chiave |
| Sicurezza | Contenimento | Limitare la propagazione di attori malintenzionati attraverso la rete |
| Sicurezza | Riservatezza | Privacy-by-design per i dati degli utenti, sicuri contro le intercettazioni |
| Sicurezza | Integrità | Garanzie di integrità dei dati attraverso il transito della rete e l'infrastruttura |
| Sicurezza | Controllo degli accessi | Autenticazione e autorizzazione per tutti i componenti di rete |
| Resilienza | Continuità del servizio | Mantenere la disponibilità in circostanze difficili |
| Resilienza | Filiera | Sicurezza multivendor con garanzia di fornitori affidabili |
| Resilienza | Sicurezza fisica | Resilienza contro le minacce fisiche e ambientali |
| Resilienza | Recupero | Ripristino rapido dopo incidenti o interruzioni della sicurezza |
Allineamento normativo
Questi principi si collegano direttamente alle normative UE esistenti ed emergenti:
- NIS2 Articolo 21: I principi di sicurezza rispecchiano le misure di gestione del rischio di NIS2 per entità essenziali nel settore delle telecomunicazioni: contenimento, integrità e controllo degli accessi sono requisiti fondamentali di NIS2
- Legge sulla resilienza informatica dell'UE (CRA): La catena di fornitura e i principi di sicurezza fin dalla progettazione sono in linea con i requisiti di sicurezza dei prodotti CRA, che si applicheranno alle apparecchiature di rete 6G una volta commercializzate
- Codice europeo delle comunicazioni elettroniche (EECC): I principi di resilienza del GCOT integrano gli articoli 40-41 dell'EECC sulla sicurezza e l'integrità della rete
- Legge dell’UE sull’IA: Con l'intelligenza artificiale integrata nativamente nelle reti 6G, i requisiti di governance dell'intelligenza artificiale di cui agli articoli da 6 a 49 si applicheranno ai componenti IA nell'infrastruttura 6G classificati come ad alto rischio
Conclusioni sulla conformità
Gli operatori delle telecomunicazioni e i produttori di apparecchiature di rete dovrebbero iniziare subito a mappare i principi GCOT rispetto ai loro programmi di conformità NIS2 e CRA esistenti. Quando gli standard 6G saranno finalizzati dal 3GPP, le organizzazioni con la sicurezza fin dalla progettazione incorporata nei loro processi di sviluppo avranno un notevole vantaggio in termini di conformità. Questa è la rara opportunità di modellare le aspettative normative prima che diventino obbligatorie.
🤖 Rischio interno guidato dall'intelligenza artificiale: una "minaccia aziendale critica"
Il 42% delle organizzazioni segnala un aumento delle minacce interne
Mimecast's di Mimecast Rapporto sullo stato del rischio umano 2026, basato su un sondaggio condotto su 2.500 decisori in materia di sicurezza IT in Nord America, Europa, Sud-Est asiatico e Australia, rileva che il rischio interno è aumentato a livelli critici, guidato in gran parte dall’uso improprio degli strumenti di intelligenza artificiale da parte dei dipendenti e dagli aggressori che utilizzano l’intelligenza artificiale come arma per un’ingegneria sociale più efficace.
Principali risultati
- Aumento del 42% degli incidenti interni dannosi: I dipendenti rubano, manipolano o distruggono deliberatamente i dati, spesso utilizzando strumenti di intelligenza artificiale per individuare ed esfiltrare informazioni sensibili su larga scala
- Aumento del 42% degli incidenti dovuti a negligenza: Dipendenti che utilizzano account cloud personali, password deboli o cadono nel phishing potenziato dall'intelligenza artificiale: disattenzione amplificata dal falso senso di sicurezza fornito dagli strumenti di produttività dell'intelligenza artificiale
- Crescita del 10% su base annua preoccupazione del CISO per gli insider malintenzionati, con i leader della sicurezza che ora si aspettano una media di sei minacce provenienti dagli interni al mese
- L'intelligenza artificiale sia come arma che come vulnerabilità: Gli aggressori utilizzano l'intelligenza artificiale per creare esche di phishing più convincenti, mentre gli addetti ai lavori utilizzano l'intelligenza artificiale per cercare ed estrarre dati sensibili in modo più efficiente
Implicazioni della legge UE sull'intelligenza artificiale
Il quadro basato sul rischio della legge sull’intelligenza artificiale dell’UE ha una rilevanza diretta per le minacce interne guidate dall’intelligenza artificiale:
- Articolo 9 (Gestione del rischio): I sistemi di IA ad alto rischio utilizzati negli ambienti di lavoro devono includere sistemi di gestione del rischio che affrontino scenari di uso improprio, compreso l'abuso deliberato da parte di utenti autorizzati
- Articolo 14 (Vigilanza umana): Gli strumenti di intelligenza artificiale utilizzati negli ambienti aziendali devono mantenere le capacità di supervisione umana, inclusa la capacità di rilevare e prevenire modelli di esfiltrazione di dati
- Articolo 13 (Trasparenza): Le organizzazioni che implementano strumenti di produttività IA devono informare gli utenti sulle capacità e sui limiti del sistema: i dipendenti devono capire a quali dati possono accedere gli strumenti IA
- Articolo 52 (Trasparenza specifica): I sistemi di intelligenza artificiale che generano contenuti o interagiscono con gli esseri umani devono essere identificabili come IA: questo vale per le e-mail di phishing create dall'intelligenza artificiale che prendono di mira i dipendenti
Requisiti NIS2 e DORA
Le minacce interne rientrano esplicitamente nell'ambito di entrambi i framework:
- NIS2 Articolo 21, paragrafo 2, lettera i): Richiede misure di "sicurezza delle risorse umane", inclusi controlli dei precedenti, consapevolezza della sicurezza e gestione degli accessi: la governance degli strumenti di intelligenza artificiale deve ora far parte di tutto ciò
- NIS2 Articolo 21, paragrafo 2, lettera a): L’analisi dei rischi e le politiche di sicurezza dei sistemi informativi devono tenere conto degli scenari di rischio interno amplificati dall’intelligenza artificiale
- DORA Articolo 5: Le entità finanziarie devono includere scenari di minacce interne nei loro quadri di gestione del rischio ICT, con le minacce guidate dall'intelligenza artificiale che richiedono specifiche capacità di rilevamento e risposta
- DORA Articolo 13: I requisiti di apprendimento e di evoluzione implicano che le entità finanziarie debbano aggiornare la propria intelligence sulle minacce per includere modelli di attacco interno abilitati all’intelligenza artificiale
Azione richiesta
Le organizzazioni dovrebbero verificare immediatamente quali strumenti di intelligenza artificiale utilizzano i dipendenti (IA ombra), implementare controlli DLP sull’accesso ai dati assistito dall’intelligenza artificiale e aggiornare le proprie linee di base per il rilevamento delle minacce interne. Sotto NIS2 e DORA, l’incapacità di affrontare i noti modelli di rischio interni guidati dall’intelligenza artificiale è ora una lacuna di conformità. Includi scenari di uso improprio dell'IA nel tuo prossimo esercizio da tavolo.
🎯 Gli Zero-Day aziendali raggiungono il massimo storico: 90 nel 2025
Il software aziendale ora è l'obiettivo primario
Google Threat Intelligence Group (GTIG) ha riferito che 90 vulnerabilità zero-day sono stati sfruttati attivamente nel 2025, rispetto ai 78 del 2024. Il cambiamento critico: Il 48% ora si rivolge a software e dispositivi aziendali, in aumento rispetto al 46% nel 2024, con i prodotti di sicurezza e di rete che hanno avuto l’impatto più pesante.
Il cambiamento aziendale
L'analisi di Google rivela un cambiamento strutturale nel panorama delle minacce:
- 43 prodotti aziendali mirati a zero-day — dispositivi di sicurezza, apparecchiature di rete, piattaforme di virtualizzazione e applicazioni aziendali
- 21 di questi (quasi la metà) miravano a soluzioni di sicurezza e di rete — firewall, VPN, router e gateway di sicurezza che si trovano ai margini della rete
- I dispositivi Edge sono punti ciechi: Le apparecchiature di sicurezza spesso non dispongono della copertura EDR (Endpoint Detection and Response), rendendo più difficile il rilevamento dello sfruttamento zero-day
- Gli aggressori si stanno radicando profondamente nelle infrastrutture aziendali critiche, utilizzando strumenti aziendali compromessi per l'escalation dei privilegi e lo spostamento laterale
Ulteriori risultati GTIG
- Windows rimane il sistema operativo più preso di mira: Dei 47 zero-day per gli utenti finali, 24 (27% del totale) hanno preso di mira i sistemi operativi, con Microsoft Windows in testa
- Gli zero-day mobili sono aumentati: 15 zero-day del sistema operativo mobile nel 2025, rispetto ai 9 del 2024: un aumento del 67%
- Gli zero-day del browser hanno raggiunto il minimo storico: Con il miglioramento del sandboxing del browser, gli aggressori si stanno spostando verso obiettivi meno protetti
- CVE-2026-0628 (Gemini AI in Chrome): Una vulnerabilità di elevazione dei privilegi di gravità elevata (CVSS 8.8) che consente alle estensioni dannose di dirottare Gemini Live nel pannello del browser Chrome
Implicazioni normative
| Quadro | Requisito | Impatto del picco zero-day |
| NIS2 | Arte. Articolo 21, paragrafo 2, lettera e) — Gestione delle vulnerabilità | Le entità essenziali devono disporre di processi per il rilevamento zero-day, il triage e l'applicazione di patch di emergenza all'infrastruttura aziendale |
| DORA | Arte. 9 — Gestione del rischio ICT | Le entità finanziarie devono includere gli scenari zero-day aziendali nelle valutazioni del rischio e mantenere procedure di patching di emergenza |
| CRA | Arte. 11 — Segnalazione di vulnerabilità | Product manufacturers face mandatory 24-hour reporting of actively exploited vulnerabilities starting settembre 2026 |
| Legge dell'UE sull'IA | Arte. 15 — Precisione, robustezza, sicurezza | I sistemi di intelligenza artificiale devono essere resilienti allo sfruttamento: Gemini Chrome CVE dimostra che i componenti di intelligenza artificiale creano nuove classi di vulnerabilità |
Conclusioni sulla conformità
Il passaggio agli zero-day mirati alle imprese significa la tua stessa infrastruttura di sicurezza è ora la principale superficie di attacco. I programmi di conformità NIS2 e DORA devono includere procedure specifiche per la risposta zero-day nelle apparecchiature di sicurezza, non solo negli endpoint tradizionali. Le organizzazioni dovrebbero implementare la segmentazione della rete che presuppone che i dispositivi di sicurezza possano essere compromessi e implementare il monitoraggio fuori banda per i dispositivi edge.
🛡️ Protezione dei dati di Microsoft Copilot: governance dell'intelligenza artificiale in pratica
Microsoft ha annunciato nuovi controlli DLP (Data Loss Prevention) per Microsoft 365 Copilot, rispondendo alle diffuse lamentele dei clienti secondo cui Copilot includeva informazioni riservate nei suoi report generati dall'intelligenza artificiale. I nuovi controlli estendono i criteri DLP ai file salvati localmente: in precedenza, DLP proteggeva solo i file archiviati in OneDrive e SharePoint.
Cosa è cambiato
Il problema principale: l'assistente AI di Microsoft 365 Copilot poteva accedere ed elaborare i file archiviati localmente sui computer degli utenti, anche quando i criteri DLP limitavano quegli stessi file su OneDrive e SharePoint. Questa lacuna significava che i documenti riservati, contrassegnati come sensibili dalle regole DLP, potevano essere riepilogati, citati o citati nei report generati da Copilot senza alcuna protezione applicata.
- New default behavior (aprile 2026): I criteri DLP verranno applicati a tutti i file a cui Copilot accede, indipendentemente dalla posizione di archiviazione
- Applicato per impostazione predefinita: Non è necessario che le organizzazioni aderiscano: la protezione sarà automatica
- Applicazione retroattiva: Le policy DLP esistenti verranno estese per coprire l'accesso ai file locali di Copilot
Rilevanza normativa
Questo episodio illustra un modello normativo che i team di conformità devono interiorizzare:
- Articolo 25 GDPR (Protezione dei dati fin dalla progettazione): Il comportamento originale di Copilot – ovvero elaborare dati riservati senza applicare le regole DLP esistenti – violava probabilmente il principio della protezione dei dati fin dalla progettazione e per impostazione predefinita. Le organizzazioni che hanno distribuito Copilot senza verificare la copertura DLP potrebbero essere esposte alla responsabilità del controller
- Articolo 9 della legge UE sull'intelligenza artificiale (gestione del rischio): I sistemi di intelligenza artificiale che trattano dati personali o riservati devono includere controlli per prevenire l’esposizione non autorizzata dei dati. Il gap DLP di Copilot è esattamente il tipo di rischio che i sistemi di gestione del rischio ex articolo 9 devono identificare e mitigare
- DORA Articolo 28 (Rischio ICT Terzi):Financial entities using Microsoft 365 Copilot must treat this DLP gap as a material ICT risk event. Document the gap, the timeline for remediation (aprile 2026), and any interim compensating controls in your third-party risk register
- NIS2 Articolo 21, paragrafo 2, lettera d) — Sicurezza della catena di approvvigionamento: Copilot è un componente AI di terze parti nel tuo ambiente ICT. Il suo comportamento nel trattamento dei dati rappresenta un rischio della catena di fornitura che deve essere valutato continuamente
Azione richiesta
Do not wait until aprile.Controlla subito la tua distribuzione Copilot per identificare quali dati riservati potrebbero essere già stati elaborati senza la protezione DLP. Ai sensi dell'articolo 33 del GDPR, se i dati personali sono stati esposti attraverso il gap DLP di Copilot, potresti avere una violazione dei dati segnalabile. Documenta la tua valutazione ed eventuali controlli compensativi per la tua autorità di vigilanza.
⚠️ Estensioni del browser AI false: divario nella protezione dei consumatori
Estensioni "AI" dannose che inondano gli App Store
I ricercatori di sicurezza hanno confermato una tendenza crescente di estensioni del browser dannose mascherate da strumenti di produttività dell'intelligenza artificiale, apparendo nei principali app store e superando con successo i processi di revisione iniziali. Queste estensioni forniscono alcune funzionalità AI previste mentre raccolgono silenziosamente dati utente, credenziali e cronologia di navigazione.
Il divario normativo
Questa tendenza mette in luce lacune critiche nei quadri normativi esistenti:
- Articolo 52 della legge UE sull'IA (Trasparenza): I sistemi di intelligenza artificiale che interagiscono con gli utenti devono essere identificabili come intelligenza artificiale e rivelare il loro scopo. Le estensioni AI false violano sia i requisiti di trasparenza che quelli di limitazione delle finalità, ma i meccanismi di applicazione per la distribuzione negli app store non sono definiti
- Legge sui servizi digitali (DSA): Gli app store si qualificano come "piattaforme online" ai sensi della DSA e devono implementare misure per prevenire la distribuzione di estensioni dannose. Ciò include obblighi proattivi di revisione della sicurezza per le piattaforme online di grandi dimensioni (VLOP)
- Articolo 5, paragrafo 1, lettera b), GDPR – Limitazione della finalità: Le estensioni che raccolgono dati oltre la funzionalità AI dichiarata violano il principio di limitazione dello scopo. Le autorità di protezione dei dati dovrebbero dare priorità all'applicazione delle norme contro questi soggetti
- Sicurezza del prodotto CRA:When CRA reporting obligations take effect in settembre 2026, app stores may face requirements to report actively exploited vulnerabilities in distributed software, including malicious extensions
Raccomandazione aziendale
Implementare lista consentita delle estensioni del browser per tutti gli ambienti aziendali. Ai sensi dell’articolo 21(2)(i) di NIS2, le organizzazioni devono garantire che i dipendenti non possano installare estensioni non controllate sui dispositivi aziendali. Mantieni un elenco di estensioni approvate e utilizza i criteri di gruppo per bloccare tutti gli altri. La governance degli strumenti di intelligenza artificiale è ora un controllo di sicurezza, non una comodità IT.
📅 Calendario regolamentare: date chiave in vista
| Data | Quadro | Pietra miliare |
| 11 marzo 2026 | Martedì della patch | Microsoft marzo 2026 release — after 90 zero-days in 2025, prepare for significant patches |
| aprile 2026 | Microsoft | Protezione dei file locali DLP di Copilot applicata per impostazione predefinita: verifica che i criteri DLP coprano tutte le categorie di dati |
| 2 maggio 2026 | Legge dell'UE sull'IA | Gli obblighi di trasparenza del modello GPAI entrano in vigore: i fornitori di IA devono pubblicare riepiloghi dei dati di addestramento |
| 2 agosto 2026 | Legge dell'UE sull'IA | Requisiti di sistema di IA ad alto rischio applicabili (articoli da 6 a 49) — è richiesto uno stack di conformità completo |
| 11 settembre 2026 | CRA | Inizia la segnalazione obbligatoria delle vulnerabilità sfruttate attivamente: obbligo di notifica 24 ore su 24 |
| 17 ottobre 2026 | NIS2 | Termine ultimo per il recepimento da parte degli Stati membri: tutti i 27 paesi dell'UE devono avere NIS2 nella legislazione nazionale |
| 2029-2030 | GCOT/6G | Previste implementazioni commerciali iniziali del 6G: i principi di sicurezza fin dalla progettazione dovranno essere incorporati negli standard entro quella data |
🔑 Punti chiave per i team di conformità
- Gli standard di sicurezza 6G sono in fase di definizione adesso. Gli otto principi del GCOT stabiliscono aspettative che diventeranno requisiti obbligatori. Gli operatori delle telecomunicazioni e i produttori di apparecchiature dovrebbero allineare oggi i loro processi di sicurezza fin dalla progettazione con questi principi: attendere gli standard definitivi significa recuperare terreno.
- Il rischio interno all’intelligenza artificiale è un obbligo di conformità, non una questione relativa alle risorse umane. Con il 42% delle organizzazioni che segnalano aumenti delle minacce interne guidate dall’intelligenza artificiale, i programmi di conformità NIS2 e DORA devono includere controlli specifici sulla governance degli strumenti di intelligenza artificiale: audit dell’intelligenza artificiale ombra, DLP per l’accesso assistito dall’intelligenza artificiale e linee di base per le minacce interne che tengono conto delle capacità dell’intelligenza artificiale.
- L'obiettivo è la tua infrastruttura di sicurezza. I 90 risultati zero-day di Google, di cui quasi la metà mirati alla sicurezza aziendale e alle apparecchiature di rete, significa che i programmi di gestione delle vulnerabilità devono dare priorità agli strumenti destinati a proteggerti. Presumi la compromissione dei dispositivi periferici e implementa il monitoraggio fuori banda.
- Il gap DLP di Microsoft Copilot è un'anteprima dei fallimenti della governance dell'IA. Le organizzazioni che implementano strumenti di produttività basati sull’intelligenza artificiale senza verificare i controlli sulla gestione dei dati sono esposte alla responsabilità del GDPR, dell’EU AI Act e del NIS2. Controlla l’accesso ai dati degli strumenti di intelligenza artificiale prima che le autorità di regolamentazione pongano domande.
- Le estensioni AI false rappresentano una crisi per la protezione dei consumatori. Fino a quando l'applicazione di DSA e CRA non verrà aggiornata, l'inserimento nella lista consentita delle estensioni del browser aziendale sarà la tua unica difesa affidabile. Implementalo ora.
- La preparazione del Patch Tuesday non è facoltativa. Dopo un anno record di zero-day aziendali, le entità DORA e NIS2 senza procedure di patching di emergenza documentate e testate stanno riscontrando un deficit di conformità che le autorità di vigilanza identificheranno.
Automatizza il monitoraggio della conformità
La scansione continua della sicurezza di KENSAI identifica le esposizioni zero-day, le vulnerabilità legate all'intelligenza artificiale e le lacune di conformità nell'intera infrastruttura, in linea con i requisiti NIS2, DORA e EU AI Act.
Avvia la scansione di sicurezza gratuita →
9 marzo 2026
Fonti: GCOT, governo del Regno Unito, Google GTIG, Mimecast, Palo Alto Networks, Microsoft, Help Net Security, Infosecurity Magazine, ENISA