The White House released its new cybersecurity strategy built on offensive operations, AI adoption, and deregulation — a direct collision course with Europe's compliance-heavy NIS2, DORA, and AI Act frameworks. Plus: Gemini AI Chrome vulnerability, Microsoft Copilot DLP changes, and marzo Patch Tuesday forecast.
La Casa Bianca ha diffuso il del presidente Trump strategia di sicurezza informatica di sette pagine, sviluppato dall'Ufficio del Direttore informatico nazionale (ONCD). Rappresenta un cambiamento fondamentale nella politica informatica degli Stati Uniti ponendo operazioni offensive al centro promuovendo attivamente la deregolamentazione.
La strategia si basa su sei pilastri:
| Pilastro | Concentrarsi | Implicazione chiave |
|---|---|---|
| 1. Modellare il comportamento dell'avversario | Operazioni informatiche offensive | Interruzione proattiva delle reti avversarie prima degli attacchi |
| 2. Promuovere una regolamentazione basata sul "buon senso" | Deregolamentazione | Revoca degli standard obbligatori di cibersicurezza |
| 3. Modernizzare le reti federali | Zero trust, post-quantistica, IA | Migrazione al cloud e difese basate sull'intelligenza artificiale |
| 4. Proteggere le infrastrutture critiche | Rafforzamento dei servizi essenziali | Eliminare i fornitori avversari e proteggere le catene di approvvigionamento |
| 5. Sostenere la superiorità tecnologica | IA, quantistica, criptovaluta/blockchain | Prima strategia per fare riferimento alla criptovaluta |
| 6. Sviluppare talento e capacità | Pipeline di forza lavoro | Scuole, industria, formazione informatica militare |
Il pilastro 2 richiede l’eliminazione delle “gravose normative informatiche”, mentre il pilastro 4 richiede il rafforzamento delle infrastrutture critiche. I ricercatori della sicurezza avvertono che questi obiettivi potrebbero essere fondamentalmente contraddittori: non è possibile deregolamentare e rafforzare allo stesso tempo. Le organizzazioni che operano sia nelle giurisdizioni statunitensi che in quelle europee si trovano ad affrontare il paradosso della conformità.
La strategia arriva sulla scia di un confermato Violazione del sistema di intercettazione dell'FBI con sospetto coinvolgimento di un gruppo minaccioso cinese (Salt Typhoon). Il documento avverte esplicitamente: "I nostri avversari hanno e sentiranno sempre più le conseguenze delle loro azioni; smantelleremo le reti, perseguiremo hacker e spie."
La spinta deregolamentazione statunitense crea un senza precedenti divergenza transatlantica nella politica di sicurezza informatica. Mentre Washington elimina gli standard obbligatori, Bruxelles accelera l’applicazione:
| Zona | Stati Uniti (strategia Trump) | UE (legge NIS2/DORA/AI) |
|---|---|---|
| Avvicinamento | Volontario, guidato dal mercato | Obbligatorio, sanzionatorio |
| Regolamento | Deregolamentare le norme “onerose” | NIS2: multe da 10 milioni di euro, DORA: rischio ICT obbligatorio |
| Segnalazione di incidenti | Nessun nuovo mandato | Segnalazione obbligatoria 24 ore su 24 |
| Governance dell'IA | Accelerare l'adozione dell'intelligenza artificiale | Legge UE sull'IA: classificazione basata sul rischio |
| Filiera | Rimuovere i "venditori avversari" | Articolo 21: responsabilità dell'intera catena di fornitura |
| Criptovaluta/Blockchain | Tutelare e promuovere | Quadro normativo MiCA |
Le aziende che operano in entrambe le giurisdizioni si trovano ora ad affrontare una doppio onere di conformità. È necessario contemporaneamente:
💡 Raccomandazione KENSAI: Predefinito secondo lo standard più severo. Se rispetti NIS2 e DORA, supererai qualsiasi ragionevole livello di sicurezza statunitense. Usa il quadro dell’UE come base, non come tetto.
Google ha patchato CVE-2026-0628 (CVSS 8.8, Alto), un'elevazione della vulnerabilità dei privilegi in Gemini AI integrata in Chrome. Scoperto dall'Unità 42 di Palo Alto Networks, il difetto ha consentito estensioni dannose con autorizzazioni di base per dirottare il pannello del browser Gemini Live.
Ciò è particolarmente preoccupante perché:
Oltre alla legittima vulnerabilità, i ricercatori di sicurezza avvertono di un’impennata di false estensioni del browser "AI" apparire negli app store. Queste estensioni imitano gli strumenti di intelligenza artificiale più diffusi ma esfiltrano segretamente i dati degli utenti. L’attacco sfrutta il desiderio degli utenti di adottare strumenti di intelligenza artificiale, un approccio di ingegneria sociale che aggira i tradizionali controlli di sicurezza.
Microsoft sta colmando una lacuna critica nel suo assistente AI Copilot: Le politiche di prevenzione della perdita di dati (DLP) non venivano applicate sui file archiviati all'esterno di OneDrive e SharePoint. Ciò significava che Copilot poteva inavvertitamente includere nelle sue risposte informazioni riservate provenienti da file archiviati localmente.
Inizio aprile 2026, Microsoft applicherà le impostazioni DLP per impostazione predefinita per impedire a Copilot di accedere ai file senza etichette DLP adeguate. Azioni chiave:
Guardando avanti al Patch Tuesday della prossima settimana:
| Data | Regolamento | Cosa succede |
|---|---|---|
| Ora | NIS2 | Applicazione attiva in 23/27 Stati membri dell'UE |
| Ora | DORA | Gli enti finanziari devono conformarsi — Gestione del rischio ICT obbligatoria |
| aprile 2026 | Microsoft Copilot DLP | Applicazione DLP predefinita sull'accesso ai file dell'assistente AI |
| Agosto 2026 | Legge dell'UE sull'IA | Termine ultimo per la registrazione del sistema di IA ad alto rischio |
| 3° trimestre 2026 | Strategia informatica degli Stati Uniti | Sono previsti protocolli di attuazione e richieste di bilancio |
| 2027 | Ciclo completo di audit NIS2 | Primo ciclo di revisione dell'applicazione in tutti gli Stati membri |
KENSAI mappa il tuo livello di sicurezza rispetto a NIS2, DORA, EU AI Act e agli standard internazionali contemporaneamente, in modo da essere conforme ovunque, non solo da qualche parte.
Avvia la scansione di sicurezza gratuita →Pubblicato da KENSAI Informazioni sulle minacce7 marzo 2026
Fonti: CSO Online, Help Net Security, White House ONCD, Palo Alto Networks Unit 42, ENISA