← Torna al Blog
Conformità e normative Rottura 7 marzo 2026 9 min di lettura

Violazione del sistema di sorveglianza dell'FBI, nominato un nuovo CISO del Pentagono, CISA espande KEV - Raccolta delle normative sulla sicurezza

L'FBI sta indagando su una violazione di un sistema che contiene informazioni sensibili di sorveglianza. Il Pentagono nomina James "Aaron" Bishop come nuovo CISO. CISA aggiunge 23 vulnerabilità iOS dal kit di exploit Coruna al catalogo KEV. Nel frattempo, le vulnerabilità della sicurezza AI nell’integrazione Gemini di Chrome evidenziano l’urgenza delle pratiche vietate recentemente applicate dall’EU AI Act. Il report zero-day di Google del 2025 rivela 90 vulnerabilità sfruttate, la metà delle quali rivolte all’infrastruttura aziendale.


🔴 L'FBI indaga sulla violazione del sistema di sorveglianza

Incidente critico per la sicurezza governativa

L'FBI ha confermato che sta indagando su attività informatiche "sospette" su un sistema contenente informazioni sensibili di sorveglianza. L'ufficio di presidenza ha informato i membri del Congresso dell'incidente e sta lavorando per determinare la portata e l'impatto del compromesso.

Implicazioni normative

Questo incidente comporta implicazioni significative per la regolamentazione e la supervisione della sicurezza informatica da parte del governo:

Per le organizzazioni dell’UE, questo incidente sottolinea l’importanza di NIS2 Articolo 21 requisiti per la gestione degli incidenti e delle crisi: anche le agenzie più focalizzate sulla sicurezza rimangono vulnerabili.


🛡️ Il Pentagono nomina il nuovo CISO: James "Aaron" Bishop

James "Aaron" Vescovo è stato selezionato per ricoprire il ruolo di nuovo Chief Information Security Officer del Pentagono, in sostituzione di David McKeown, che passerà al settore privato dopo 40 anni di servizio governativo. La nomina segnala la continua priorità della sicurezza informatica ai massimi livelli della difesa statunitense.

Cosa significa questo per la regolamentazione

Il CISO del Pentagono supervisiona la politica di sicurezza informatica per il Dipartimento della Difesa, la più grande organizzazione al mondo per numero di dipendenti. La nomina del vescovo arriva in un momento critico:


⚠️ CISA aggiunge i difetti iOS del Coruna Exploit Kit al catalogo KEV

23 Vulnerabilità iOS aggiunte al catalogo delle vulnerabilità sfruttate note

CISA ha aggiunto le vulnerabilità iOS sfruttate dal Kit exploit Coruna - descritto come uno strumento "di livello nazionale" - al catalogo delle vulnerabilità sfruttate note (KEV). L'exploit kit prende di mira 23 vulnerabilità che colpiscono le versioni iOS dalla 13 alla 17.2.1.

Impatto sulla conformità

Sotto Direttiva Operativa Vincolante (CdA) 22-01, tutte le agenzie civili federali degli Stati Uniti devono porre rimedio alle vulnerabilità elencate nel KEV entro le scadenze prescritte. Ma l’impatto normativo si estende ben oltre gli Stati Uniti:

Kit di exploit Coruna: dettagli chiave

AttributoDettaglio
ClassificazioneKit di exploit commerciale di livello nazionale
ObiettivoDa iOS 13 a iOS 17.2.1
Vulnerabilità23 exploit concatenati per la compromissione completa del dispositivo
CapacitàEsecuzione di codice remoto senza clic, accesso persistente
Stato KEVTutti i 23 CVE ora nel catalogo CISA KEV

🤖 Sicurezza AI sotto tiro: vulnerabilità di Chrome Gemini ed estensioni false

Due sviluppi di questa settimana evidenziano la crescente intersezione tra sicurezza dell’intelligenza artificiale e conformità normativa:

Vulnerabilità Chrome Gemini (CVE-2026-0628)

Google ha applicato la patch CVE-2026-0628 (CVSS 8.8 — Alto), una vulnerabilità di elevazione dei privilegi nell'integrazione Gemini AI all'interno di Chrome. Segnalato dall'Unità 42 di Palo Alto Networks, il difetto consentiva alle estensioni dannose del browser con autorizzazioni di base di dirottare il pannello Gemini Live, accedendo potenzialmente a:

Epidemia di estensioni AI false

I ricercatori di sicurezza continuano a segnalare estensioni del browser dannose mascherate da strumenti di intelligenza artificiale negli app store ufficiali. Queste estensioni forniscono funzionalità AI superficiali mentre esfiltrano silenziosamente i dati dell'utente, i registri delle sequenze di tasti e i token di autenticazione.

Pertinenza della legge dell'UE sull'IA

A partire dal 2 febbraio 2026, la legge dell'UE sull'intelligenza artificiale pratiche vietate (Articolo 5) sono ora applicabili. Sebbene queste vulnerabilità specifiche non rientrino nelle categorie di intelligenza artificiale proibite, evidenziano lacune critiche nella sicurezza del sistema di intelligenza artificiale che la legge requisiti di IA ad alto rischio(effective agosto 2026) will address:


📊 Report Zero-Day di Google: 90 vulnerabilità sfruttate nel 2025

L'analisi annuale sullo sfruttamento zero-day di Google rivela 90 vulnerabilità zero-day sono stati sfruttati in massa nel corso del 2025, con uno spostamento significativo verso il targeting aziendale:

Conclusioni sulla regolamentazione

Il focus aziendale dello sfruttamento zero-day convalida direttamente l'approccio normativo di NIS2 e DORA:


🔄 Aggiornamenti sulla protezione dei dati di Microsoft Copilot

Microsoft ha annunciato nuovi controlli sui file Copilota Microsoft 365 AI assistant can access during data processing. Il cambiamento arriva in risposta diretta alle segnalazioni dei clienti secondo cui Copilot includeva informazioni riservate nei suoi output.

Modifiche chiave

Conformità al GDPR e alla legge sull'intelligenza artificiale

Questo sviluppo è direttamente rilevante per la conformità all'UE:


⚡ Vulnerabilità Cisco SD-WAN sfruttate in natura

Cisco ha confermato che due vulnerabilità Catalyst SD-WAN sono state recentemente corrette: CVE-2026-20128 e CVE-2026-20122 - vengono attivamente sfruttati. L’infrastruttura SD-WAN è classificata come infrastruttura critica in molteplici quadri normativi.

NIS2 Critical Infrastructure Alert

Le organizzazioni che gestiscono infrastrutture SD-WAN che rientrano nelle classificazioni di entità essenziali o importanti NIS2 devono trattare queste vulnerabilità sfruttate come mandatory immediate patches. Ai sensi dell’articolo 21, la mancata risoluzione delle vulnerabilità note sfruttate nelle infrastrutture di rete critiche può costituire una violazione della conformità soggetta a sanzioni amministrative.


7 marzo 2026

  1. Patch iOS devices immediately — Tutti i 23 CVE del kit di exploit Coruna ora in CISA KEV; Le entità regolamentate da NIS2/DORA devono dare la priorità a
  2. Aggiorna Cisco SD-WAN — CVE-2026-20128 e CVE-2026-20122 sfruttati attivamente; critical infrastructure risk
  3. Controlla le autorizzazioni dello strumento AI — Esaminare le estensioni del browser che rivendicano la funzionalità AI; remove unverified extensions
  4. Configure Microsoft 365 DLP— Ensure DLP labels are applied to sensitive files before Copilot default protections activate in aprile
  5. Esamina gli aggiornamenti di sicurezza di Chrome — Patch CVE-2026-0628 (Gemini vulnerability); valutare i componenti del browser integrati con l'intelligenza artificiale
  6. Preparazione alla legge dell'UE sull'intelligenza artificiale— Prohibited practices now enforceable; inventory AI systems for compliance by agosto 2026 high-risk deadline
  7. NIS2 incident response drill — La violazione dell’FBI sottolinea che anche le organizzazioni di sicurezza di alto livello devono affrontare compromessi; test your 24-hour early warning procedures

Automatizza il monitoraggio della conformità

KENSAI monitora continuamente la tua infrastruttura rispetto ai requisiti NIS2, DORA, GDPR e EU AI Act. Il rilevamento delle vulnerabilità in tempo reale soddisfa la mappatura normativa.

Start Free Compliance Scan

Rimani regolamentato. Rimani protetto.

🗡️ KENSAI Compliance Intelligence

7 marzo 2026