← Torna al Blog
Conformità e normative
Rottura
7 marzo 2026
9 min di lettura
Violazione del sistema di sorveglianza dell'FBI, nominato un nuovo CISO del Pentagono, CISA espande KEV - Raccolta delle normative sulla sicurezza
L'FBI sta indagando su una violazione di un sistema che contiene informazioni sensibili di sorveglianza. Il Pentagono nomina James "Aaron" Bishop come nuovo CISO. CISA aggiunge 23 vulnerabilità iOS dal kit di exploit Coruna al catalogo KEV. Nel frattempo, le vulnerabilità della sicurezza AI nell’integrazione Gemini di Chrome evidenziano l’urgenza delle pratiche vietate recentemente applicate dall’EU AI Act. Il report zero-day di Google del 2025 rivela 90 vulnerabilità sfruttate, la metà delle quali rivolte all’infrastruttura aziendale.
🔴 L'FBI indaga sulla violazione del sistema di sorveglianza
Incidente critico per la sicurezza governativa
L'FBI ha confermato che sta indagando su attività informatiche "sospette" su un sistema contenente informazioni sensibili di sorveglianza. L'ufficio di presidenza ha informato i membri del Congresso dell'incidente e sta lavorando per determinare la portata e l'impatto del compromesso.
Implicazioni normative
Questo incidente comporta implicazioni significative per la regolamentazione e la supervisione della sicurezza informatica da parte del governo:
- Controllo del Congresso: È probabile che la violazione acceleri l’azione legislativa sui mandati federali in materia di sicurezza informatica, con entrambi i comitati di intelligence che dovrebbero tenere briefing riservati
- Conformità FISMA: Sorgeranno domande sul fatto che il sistema compromesso soddisfi i requisiti della legge federale sulla modernizzazione della sicurezza informatica
- Riforma della sorveglianza: La violazione dei dati relativi alla sorveglianza potrebbe riaccendere il dibattito sulla sezione 702 della FISA e sulle garanzie di protezione dei dati per i sistemi di intelligence
- Preoccupazioni della catena di fornitura: Gli investigatori stanno esaminando se la violazione ha avuto origine da un fornitore terzo, facendo eco ai requisiti di sicurezza della catena di fornitura NIS2 e DORA
Per le organizzazioni dell’UE, questo incidente sottolinea l’importanza di NIS2 Articolo 21 requisiti per la gestione degli incidenti e delle crisi: anche le agenzie più focalizzate sulla sicurezza rimangono vulnerabili.
🛡️ Il Pentagono nomina il nuovo CISO: James "Aaron" Bishop
James "Aaron" Vescovo è stato selezionato per ricoprire il ruolo di nuovo Chief Information Security Officer del Pentagono, in sostituzione di David McKeown, che passerà al settore privato dopo 40 anni di servizio governativo. La nomina segnala la continua priorità della sicurezza informatica ai massimi livelli della difesa statunitense.
Cosa significa questo per la regolamentazione
Il CISO del Pentagono supervisiona la politica di sicurezza informatica per il Dipartimento della Difesa, la più grande organizzazione al mondo per numero di dipendenti. La nomina del vescovo arriva in un momento critico:
- Applicazione CMMC 2.0: Il programma di certificazione del modello di maturità della sicurezza informatica sta entrando in piena applicazione, richiedendo a tutti gli appaltatori della difesa di soddisfare standard di sicurezza informatica verificati
- Architettura Zero Trust: La scadenza per l'implementazione dello Zero Trust da parte del Dipartimento della Difesa si sta avvicinando e si prevede che tutti i componenti raggiungeranno la maturità a livello target
- Allineamento internazionale: Maggiore coordinamento tra gli standard di cibersicurezza della difesa degli Stati Uniti e i quadri dell’UE (NIS2, DORA) per l’interoperabilità tra alleati
- Sicurezza IA/ML: L'uso crescente dei sistemi di intelligenza artificiale da parte del Dipartimento della Difesa richiede l'allineamento con gli standard emergenti di sicurezza dell'IA, parallelamente ai requisiti di intelligenza artificiale ad alto rischio previsti dalla legge sull'intelligenza artificiale dell'UE
⚠️ CISA aggiunge i difetti iOS del Coruna Exploit Kit al catalogo KEV
23 Vulnerabilità iOS aggiunte al catalogo delle vulnerabilità sfruttate note
CISA ha aggiunto le vulnerabilità iOS sfruttate dal Kit exploit Coruna - descritto come uno strumento "di livello nazionale" - al catalogo delle vulnerabilità sfruttate note (KEV). L'exploit kit prende di mira 23 vulnerabilità che colpiscono le versioni iOS dalla 13 alla 17.2.1.
Impatto sulla conformità
Sotto Direttiva Operativa Vincolante (CdA) 22-01, tutte le agenzie civili federali degli Stati Uniti devono porre rimedio alle vulnerabilità elencate nel KEV entro le scadenze prescritte. Ma l’impatto normativo si estende ben oltre gli Stati Uniti:
- NIS2 (UE): L'articolo 21 impone la gestione e la divulgazione delle vulnerabilità: le organizzazioni che utilizzano dispositivi iOS in operazioni di entità essenziali/importanti devono applicare immediatamente le patch
- DORA (Finanziaria): Le entità finanziarie nell'ambito di DORA devono includere le vulnerabilità dei dispositivi mobili nei loro quadri di gestione del rischio ICT e nella segnalazione degli incidenti
- GDPR: Lo sfruttamento di queste vulnerabilità potrebbe portare all'esfiltrazione di dati personali, facendo scattare gli obblighi di notifica delle violazioni entro 72 ore ai sensi dell'articolo 33
- Legge dell'UE sull'IA: I sistemi di intelligenza artificiale in esecuzione su un'infrastruttura iOS compromessa potrebbero non soddisfare i requisiti di sicurezza dei sistemi di intelligenza artificiale ad alto rischio di cui all'articolo 15
Kit di exploit Coruna: dettagli chiave
| Attributo | Dettaglio |
| Classificazione | Kit di exploit commerciale di livello nazionale |
| Obiettivo | Da iOS 13 a iOS 17.2.1 |
| Vulnerabilità | 23 exploit concatenati per la compromissione completa del dispositivo |
| Capacità | Esecuzione di codice remoto senza clic, accesso persistente |
| Stato KEV | Tutti i 23 CVE ora nel catalogo CISA KEV |
🤖 Sicurezza AI sotto tiro: vulnerabilità di Chrome Gemini ed estensioni false
Due sviluppi di questa settimana evidenziano la crescente intersezione tra sicurezza dell’intelligenza artificiale e conformità normativa:
Vulnerabilità Chrome Gemini (CVE-2026-0628)
Google ha applicato la patch CVE-2026-0628 (CVSS 8.8 — Alto), una vulnerabilità di elevazione dei privilegi nell'integrazione Gemini AI all'interno di Chrome. Segnalato dall'Unità 42 di Palo Alto Networks, il difetto consentiva alle estensioni dannose del browser con autorizzazioni di base di dirottare il pannello Gemini Live, accedendo potenzialmente a:
- Conversazioni dell'utente con l'assistente AI
- Contesto di navigazione e contenuto della pagina condivisi con Gemini
- Tutti i dati elaborati tramite il pannello AI
Epidemia di estensioni AI false
I ricercatori di sicurezza continuano a segnalare estensioni del browser dannose mascherate da strumenti di intelligenza artificiale negli app store ufficiali. Queste estensioni forniscono funzionalità AI superficiali mentre esfiltrano silenziosamente i dati dell'utente, i registri delle sequenze di tasti e i token di autenticazione.
Pertinenza della legge dell'UE sull'IA
A partire dal 2 febbraio 2026, la legge dell'UE sull'intelligenza artificiale pratiche vietate (Articolo 5) sono ora applicabili. Sebbene queste vulnerabilità specifiche non rientrino nelle categorie di intelligenza artificiale proibite, evidenziano lacune critiche nella sicurezza del sistema di intelligenza artificiale che la legge requisiti di IA ad alto rischio(effective agosto 2026) will address:
- Articolo 15: I sistemi di IA ad alto rischio devono raggiungere livelli adeguati di accuratezza, robustezza e sicurezza informatica
- Articolo 9: I sistemi di gestione del rischio devono affrontare le minacce alla sicurezza informatica dei componenti dell’intelligenza artificiale
- GPAI transparency (maggio 2026): I fornitori di modelli di IA per scopi generali devono documentare le misure di sicurezza informatica che proteggono l’integrità del modello
📊 Report Zero-Day di Google: 90 vulnerabilità sfruttate nel 2025
L'analisi annuale sullo sfruttamento zero-day di Google rivela 90 vulnerabilità zero-day sono stati sfruttati in massa nel corso del 2025, con uno spostamento significativo verso il targeting aziendale:
- 50% di prodotti aziendali mirati — dispositivi di sicurezza, gateway VPN, infrastruttura di rete
- Venditori di spyware rimangono gli utenti zero-day più prolifici, con gli strumenti di sorveglianza commerciale che rappresentano la quota attribuita maggiore
- Gruppi legati alla Cina ha guidato l'attribuzione a livello nazionale, concentrandosi sui dispositivi periferici della rete e sulle infrastrutture critiche
- Meno della metà di tutti gli zero-day potrebbe essere attribuita a specifici autori di minacce
Conclusioni sulla regolamentazione
Il focus aziendale dello sfruttamento zero-day convalida direttamente l'approccio normativo di NIS2 e DORA:
- Entità essenziali NIS2 le infrastrutture di rete operative sono obiettivi primari — Le misure di gestione del rischio previste dall'articolo 21 non sono raccomandazioni facoltative ma requisiti di sopravvivenza
- Test di resilienza operativa di DORA (compresi i test di penetrazione guidati dalle minacce) riflette la realtà che le infrastrutture del settore finanziario devono far fronte ad attacchi prolungati e sofisticati
- Legge sulla resilienza informatica dell’UE (CRA) i requisiti per i produttori di fornire aggiornamenti di sicurezza e la gestione delle vulnerabilità diventano fondamentali poiché gli aggressori prendono sempre più di mira i difetti a livello di prodotto
🔄 Aggiornamenti sulla protezione dei dati di Microsoft Copilot
Microsoft ha annunciato nuovi controlli sui file Copilota Microsoft 365 AI assistant can access during data processing. Il cambiamento arriva in risposta diretta alle segnalazioni dei clienti secondo cui Copilot includeva informazioni riservate nei suoi output.
Modifiche chiave
- Espansione dell'applicazione DLP: Le etichette di Prevenzione della perdita di dati ora verranno applicate ai file locali, non solo a OneDrive/SharePoint, impedendo a Copilot di accedere ai contenuti con limitazioni DLP indipendentemente dalla posizione di archiviazione
- Protezione predefinita:The new controls will be applied by default starting aprile 2026
- Responsabilità dell'utente: Le organizzazioni devono configurare correttamente le etichette DLP sui file sensibili per impedire l'accesso all'intelligenza artificiale
Conformità al GDPR e alla legge sull'intelligenza artificiale
Questo sviluppo è direttamente rilevante per la conformità all'UE:
- Articolo 5, paragrafo 1, lettera f) GDPR: Integrità e riservatezza: gli strumenti di intelligenza artificiale che accedono ai dati oltre l'ambito previsto possono violare il principio di adeguata sicurezza
- Articolo 25 GDPR: Protezione dei dati fin dalla progettazione: il cambiamento di Microsoft riflette le aspettative normative di misure di tutela della privacy integrate
- Articolo 10 della legge UE sull'IA: I requisiti di governance dei dati per i sistemi di intelligenza artificiale devono garantire che la formazione e l'elaborazione dei dati soddisfino gli standard di qualità e pertinenza
⚡ Vulnerabilità Cisco SD-WAN sfruttate in natura
Cisco ha confermato che due vulnerabilità Catalyst SD-WAN sono state recentemente corrette: CVE-2026-20128 e CVE-2026-20122 - vengono attivamente sfruttati. L’infrastruttura SD-WAN è classificata come infrastruttura critica in molteplici quadri normativi.
NIS2 Critical Infrastructure Alert
Le organizzazioni che gestiscono infrastrutture SD-WAN che rientrano nelle classificazioni di entità essenziali o importanti NIS2 devono trattare queste vulnerabilità sfruttate come mandatory immediate patches. Ai sensi dell’articolo 21, la mancata risoluzione delle vulnerabilità note sfruttate nelle infrastrutture di rete critiche può costituire una violazione della conformità soggetta a sanzioni amministrative.
7 marzo 2026
- Patch iOS devices immediately — Tutti i 23 CVE del kit di exploit Coruna ora in CISA KEV; Le entità regolamentate da NIS2/DORA devono dare la priorità a
- Aggiorna Cisco SD-WAN — CVE-2026-20128 e CVE-2026-20122 sfruttati attivamente; critical infrastructure risk
- Controlla le autorizzazioni dello strumento AI — Esaminare le estensioni del browser che rivendicano la funzionalità AI; remove unverified extensions
- Configure Microsoft 365 DLP— Ensure DLP labels are applied to sensitive files before Copilot default protections activate in aprile
- Esamina gli aggiornamenti di sicurezza di Chrome — Patch CVE-2026-0628 (Gemini vulnerability); valutare i componenti del browser integrati con l'intelligenza artificiale
- Preparazione alla legge dell'UE sull'intelligenza artificiale— Prohibited practices now enforceable; inventory AI systems for compliance by agosto 2026 high-risk deadline
- NIS2 incident response drill — La violazione dell’FBI sottolinea che anche le organizzazioni di sicurezza di alto livello devono affrontare compromessi; test your 24-hour early warning procedures
Automatizza il monitoraggio della conformità
KENSAI monitora continuamente la tua infrastruttura rispetto ai requisiti NIS2, DORA, GDPR e EU AI Act. Il rilevamento delle vulnerabilità in tempo reale soddisfa la mappatura normativa.
Start Free Compliance Scan
Rimani regolamentato. Rimani protetto.
🗡️ KENSAI Compliance Intelligence
7 marzo 2026