Categoria: Avvocato

Un weekend di caos nei principali scali europei ha riportato l’attenzione su una minaccia ormai costante: la vulnerabilità del trasporto aereo di fronte agli attacchi informatici. Sabato scorso gli aeroporti di Berlino, Londra, Bruxelles e Dublino sono stati colpiti da un ransomware che ha messo fuori uso i sistemi di check-in e imbarco, costringendo migliaia di passeggeri a lunghe attese e provocando ritardi a catena.

La conferma è arrivata lunedì 22 dall’Enisa, l’Agenzia europea per la sicurezza informatica, che ha individuato il tipo di malware responsabile dell’attacco. A essere compromesso, secondo le prime indagini, è stato il software Muse di Collins Aerospace, utilizzato in diversi scali internazionali per le postazioni self-service. Un punto debole che, come in un effetto domino, ha bloccato più aeroporti e più compagnie contemporaneamente.

Una minaccia in costante crescita

Per gli esperti di Check Point Research non si tratta di un episodio isolato. Il settore dei trasporti e della logistica è infatti tra i più colpiti al mondo: in media registra 1.143 attacchi a settimana, con un incremento del 5% rispetto all’anno precedente. Nel solo mese di agosto, il numero è salito a 1.258. Una tendenza aggravata dalla scelta strategica dei cybercriminali di colpire nei fine settimana o nei giorni festivi, quando i team IT lavorano a ranghi ridotti e i tempi di reazione si allungano, scaricando i disagi soprattutto sui voli del lunedì.

Dal turismo alle prenotazioni: nessuno è al sicuro

Il settore dei viaggi, già sotto pressione per l’esplosione della domanda post-pandemia e per la corsa alla digitalizzazione, è diventato terreno fertile per ransomware, attacchi DDoS e campagne di phishing. Non solo compagnie aeree e aeroporti, ma anche operatori turistici e piattaforme di prenotazione finiscono nel mirino.

Lo dimostrano i casi recenti: lo scorso marzo un attacco DDoS ha paralizzato un importante rivenditore di biglietti aerei in Germania, Austria e Svizzera, lasciando a secco decine di agenzie di viaggio. A inizio 2025, un’agenzia australiana ha subito una violazione massiccia per un errore di configurazione in cloud su Amazon AWS, con oltre 112mila dati sensibili esposti, tra passaporti, visti e numeri di carte di credito.

Dati sensibili e sistemi obsoleti

L’industria del travel è tra le più esposte perché gestisce enormi flussi di dati in tempo reale, spesso affidandosi a terze parti per pagamenti elettronici, autenticazioni e infrastrutture cloud. A complicare il quadro, l’uso ancora diffuso di sistemi legacy e la mancanza di solide pratiche di DevSecOps, che integrino la sicurezza in ogni fase dello sviluppo software.

La nuova urgenza: resilienza informatica

Secondo gli analisti, l’unica strategia efficace è trattare la sicurezza digitale con la stessa importanza della sicurezza fisica. Significa investire in difese proattive, rafforzare la cooperazione internazionale e predisporre piani di continuità operativa capaci di reggere anche davanti ad attacchi su larga scala.

L’attacco agli scali europei è solo l’ultimo campanello d’allarme. Nel mondo iperconnesso dei viaggi, dove ogni ritardo genera un effetto valanga globale, la resilienza informatica non è più un optional: è la condizione minima per tenere in volo i cieli del futuro.

---

LEGGI ANCHE

L’Europa si trova a un bivio cruciale: o accelera il passo nella costruzione di strumenti comuni, oppure rischia di restare schiacciata tra le potenze globali che stanno consolidando la loro supremazia tecnologica, militare ed economica. In questa fase segnata dal ritorno massiccio degli Stati sul mercato – per ragioni di sicurezza e stabilità – le piccole e medie imprese europee non possono essere lasciate indietro. La chiave, secondo molti osservatori, è rispolverare una formula già sperimentata con successo: i consorzi europei.

La storia offre precedenti importanti. Nel 1954 fu il CERN a rappresentare la prima grande sfida condivisa nella ricerca scientifica. Qualche anno dopo, nel 1969, la nascita del consorzio Airbus mostrò come la collaborazione tra Paesi e imprese potesse spezzare il monopolio di colossi come Boeing, portando l’Europa a conquistare un ruolo da protagonista nel settore aeronautico.

Oggi, in un contesto di tensioni geopolitiche e di competizione serrata sulle tecnologie di frontiera, si torna a guardare a quel modello come alla strada più efficace per garantire sovranità. Difesa, cybersicurezza e produzione di armamenti sono i primi ambiti in cui l’Unione dovrebbe coordinarsi, creando consorzi capaci di sviluppare progetti comuni e di gestire centralmente gli acquisti per evitare squilibri: senza un meccanismo europeo, il rischio è che il peso maggiore cada solo su singoli Paesi – in primis la Germania – con conseguenze politiche ed economiche delicate.

Accanto alla difesa, c’è il capitolo della tecnologia. I data center europei, cuore pulsante delle infrastrutture digitali, sono oggi dominati da società extra-UE. Un consorzio continentale sarebbe indispensabile per proteggere non solo i dati personali, ma anche la sicurezza strategica delle reti. Lo stesso vale per l’intelligenza artificiale: in Italia, Francia, Germania e Paesi baltici esistono già realtà innovative che sviluppano modelli alternativi, meno dipendenti da enormi quantità di dati e quindi più accessibili. Unirle in consorzi dedicati significherebbe rafforzare un’autonomia tecnologica europea e al tempo stesso fornire strumenti a sostegno di un welfare aggiornato e sostenibile.

La creazione di consorzi avrebbe poi effetti positivi a cascata sui mercati collegati. L’Unione dei risparmi e degli investimenti rappresenta già una corsia preferenziale, capace di attrarre capitali europei oggi spesso gestiti da fondi statunitensi. Lo stesso consolidamento bancario, reso possibile dal quadro normativo esistente, offrirebbe ai risparmiatori un canale sicuro per investire in settori strategici diversi da quello militare, evitando derive pericolose.

Ma a chi spetta la responsabilità di avviare questa nuova stagione di alleanze? Non alla Commissione, che ha il compito di interpretare le regole sugli aiuti di Stato, né al Consiglio dell’Unione, oggi affidato a presidenze non inclini a spingere in questa direzione. Il compito ricade sul Consiglio europeo, l’organo che nei momenti di crisi ha già saputo imprimere svolte decisive: dall’Unione bancaria per rispondere alla crisi finanziaria al Next Generation EU nato per affrontare la pandemia.

La lezione è chiara: quando l’Europa agisce unita, sa trasformare le difficoltà in opportunità. Ora la sfida è ancora più ampia e riguarda la sua stessa capacità di restare un attore di primo piano nello scenario internazionale. In questa partita, Italia e Germania hanno la responsabilità di assumere la leadership, con la Francia – nonostante le sue difficoltà interne – chiamata a fungere da cerniera politica.

I tempi stringono, e l’inerzia potrebbe costare cara. Ma la storia recente insegna che l’Unione, sotto pressione, ha saputo innovare. Resta da vedere se sarà in grado di farlo anche oggi, quando la posta in gioco è la sua autonomia industriale, tecnologica e strategica.

---

LEGGI ANCHE

L’intelligenza artificiale promette di dare una spinta senza precedenti alla macchina fiscale italiana, potenziando gli strumenti già esistenti nella lotta all’evasione. Ma la stessa potenza che ne fa un alleato prezioso può trasformarla in una fonte di rischi significativi. È questo l’avvertimento lanciato dalla Banca d’Italia durante un’audizione davanti alla commissione parlamentare di vigilanza sull’anagrafe tributaria.

Secondo Giacomo Ricotti, Capo del Servizio Assistenza e Consulenza fiscale di Via Nazionale, i modelli di machine learning e i sistemi di intelligenza artificiale generativa (Llm) offrono prospettive inedite: dall’analisi predittiva dei comportamenti sospetti fino a forme di accertamento in tempo reale basate sui dati dell’anagrafe tributaria e dei conti correnti. Un salto che, se governato, potrebbe ridurre ulteriormente il “tax gap” – stimato dal Mef in 82 miliardi di euro, scesi del 6% tra il 2017 e il 2021.

Gran parte dei progressi degli ultimi anni si deve al digitale: fatturazione elettronica e trasmissione telematica dei corrispettivi hanno già rafforzato la capacità del Fisco di intercettare anomalie. Ora l’intelligenza artificiale si propone come la leva in grado di ampliare enormemente le possibilità di utilizzo dei dati. La riforma fiscale del 2024, con il decreto sugli accertamenti, ha già aperto la strada, prevedendo l’impiego dell’Ai in chiave predittiva attraverso una task force congiunta Agenzia delle Entrate–Guardia di finanza.

Tuttavia, Bankitalia invita alla prudenza: l’uso dei sistemi generativi comporta almeno quattro criticità. La prima riguarda le cosiddette “allucinazioni”, cioè errori dovuti a modelli non affidabili o a dati distorti, che potrebbero minare il diritto del contribuente a fidarsi delle informazioni ricevute dall’amministrazione, con conseguente aumento dei contenziosi. La seconda si lega alle dinamiche cognitive dell’Ai, basate su schemi probabilistici più che su regole certe, con il rischio di risposte ancorate al passato e incapaci di favorire un’interpretazione evolutiva delle norme. Terzo punto: i costi elevati di hardware e software che spingono verso l’affidamento a provider esterni, sollevando interrogativi sulla sicurezza dei dati sensibili. Infine, la necessità di ribadire un principio fondamentale: la tecnologia può supportare, ma non sostituire, la decisione umana.

Un argine già è stato previsto: nell’ultimo Piano integrato di attività e organizzazione, l’Agenzia delle Entrate ha indicato la necessità di adottare nuovi modelli di gestione del rischio, in linea con le normative internazionali.

---

LEGGI ANCHE

Il 12 settembre l’Unione Europea è stata chiamata a esprimersi sul regolamento Chat Control (https://www.europarl.europa.eu/doceo/document/E-10-2025-003250_EN.html), noto come CSAM Regulation. Una misura che mira a contrastare la pedopornografia online imponendo lo scanning preventivo dei contenuti in chat e sui social, persino nelle comunicazioni cifrate end-to-end.

L’obiettivo dichiarato è quello di individuare e bloccare immagini, video o messaggi riconducibili ad abusi su minori, fenomeno disumano e in crescita. Ma dietro l’intento di protezione si nasconde un meccanismo che – secondo il reparto cybersecurity di Servicematica, rischia di aprire la strada a una sorveglianza di massa senza precedenti nonché di perdita ulteriore di dati sensibili.

I nodi tecnici

Gli algoritmi AI previsti dal regolamento dovranno operare su due fronti: confrontare le immagini con database già esistenti e valutare autonomamente nuovi contenuti sospetti.
Ed è qui che emergono i rischi: per il primo “Basta aggiungere piccoli dettagli – spiegano gli esperti di Servicematica – come elementi grafici o immagini accessorie, perché il sistema non riconosca più il materiale illecito (aggiungo agrumi e fiori nella foto per indurre AI ad interpretazione errata) . Gli strumenti rischiano così di essere facilmente bypassati, perdendo efficacia proprio contro i criminali che dovrebbero colpire”.

Ancora più grave, secondo Servicematica, è “per il “secondo fronte” cioè la necessità di un intervento umano, per i nuovi contenuti, ogni volta che l’algoritmo segnala un contenuto sospetto. Molto probabilmente un operatore di terze ditte dovrà leggere le chat, per contestualizzare la foto, visionare foto e messaggi privati anche NON inerenti alla pedopornografia. Dovrà capire innanzitutto se la foto è di un minorenne e se si tratta di un invio ad un pediatra per consiglio medico, piuttosto che al coniuge per adorare/amare il figlio: questo porta molto probabilmente (sicuramente) ad una fuga di dati sensibili e personali come foto, documenti privati, atti civili e penali, password di ogni genere (esempio: password del wi-fi di casa, modem. ecc. con immaginabili conseguenze).

Privacy, economia e secondi fini

Le preoccupazioni non si fermano qui. Indebolire la crittografia end-to-end significa aprire varchi sfruttabili da hacker, gruppi criminali e persino Stati ostili.
Inoltre, la fiducia degli utenti nelle piattaforme digitali potrebbe essere minata, obbligando le aziende a indebolire i sistemi di sicurezza.

Sul piano politico, il regolamento divide governi e Parlamenti. Italia, Francia e Spagna sostengono la misura, mentre Germania, Austria, Belgio e Paesi Bassi guidano il fronte del no. Anche all’Europarlamento le spaccature sono trasversali, con Verdi, social-liberali e parte della destra contrari a quella che definiscono “una sorveglianza di massa mascherata”.

La domanda che resta

Il dubbio di fondo rimane intatto: il Chat Control sarà davvero uno strumento efficace per proteggere i minori o rappresenterà l’inizio di un modello di controllo capillare delle comunicazioni private travestito?

“Dietro l’intento nobile della lotta alla pedopornografia rischiamo di trovarci con un sistema che, più che proteggere, normalizza la sorveglianza digitale e apre scenari pericolosi per la democrazia e i diritti dei cittadini europei”.

Conclude Servicematica indicando che la pedopornografia va combattuta con tutte le nostre forze e mezzi. Sono atti vergognosi, scandalosi e non accettabili.

Un inasprimento importante delle pene non sarebbe forse una buona partenza?

Se scovato il pedofilo poi non abbiamo pene esemplari e certe a cosa serve il sistema CSAM ?

---

LEGGI ANCHE

Comprare e vendere oggetti da privati attraverso marketplace online è ormai un’abitudine diffusa: veloce, comoda e spesso conveniente. Ma accanto ai vantaggi si moltiplicano anche i rischi. Crescono infatti le marketplace scam, truffe organizzate da falsi venditori o acquirenti che mirano a sottrarre denaro o dati personali agli utenti meno prudenti.

I raggiri seguono schemi ormai ricorrenti: prodotti pagati e mai spediti, richieste di acconti “anomali” prima di concludere l’affare, oppure link fraudolenti inviati in chat o via SMS con la scusa di “ricevere il pagamento”. In realtà, si tratta di collegamenti a siti clone che rubano credenziali bancarie o carte di credito.

«Le truffe nei marketplace sono il riflesso della rapidità con cui i criminali digitali si adattano alle nuove abitudini degli utenti» spiegano gli esperti di Servicematica. «Le piattaforme offrono strumenti di protezione, ma non sono sufficienti se chi compra o vende non assume comportamenti responsabili. L’unico vero scudo resta la consapevolezza».

Ecco le quattro regole d’oro suggerite dagli esperti Servicematica per evitare di cadere in trappola:

• Usa sempre i sistemi di pagamento ufficiali del marketplace. Evita anticipi e trasferimenti fuori piattaforma: sono la porta d’ingresso per i truffatori.
• Non fidarti dei link ricevuti via chat o SMS. Le piattaforme non ti chiederanno mai di inserire dati sensibili tramite collegamenti esterni.
• Controlla l’affidabilità del profilo. Account appena creati, senza recensioni o con poche informazioni sono spesso campanelli d’allarme.
• Pretendi chiarezza e trasparenza. Se l’interlocutore rifiuta di usare i canali ufficiali, meglio rinunciare subito all’affare.

---

LEGGI ANCHE

L’intelligenza artificiale conquista anche i carrelli virtuali degli italiani. Negli ultimi dodici mesi l’utilizzo dell’AI per lo shopping è cresciuto del 47%, con un italiano su dieci che ha già sperimentato servizi basati su algoritmi e oltre la metà pronta a farlo in futuro. È quanto emerge dal Retail Report 2025 elaborato da Adyen, piattaforma tecnologico-finanziaria internazionale.

Dietro l’entusiasmo, però, si nasconde un rovescio della medaglia. Tra il 2024 e il 2025 il valore delle frodi ai danni dei consumatori italiani è aumentato del 21%, con impatti diversi a seconda delle generazioni: +10,6% per i baby boomer, +43,2% per la generazione X, +19,6% per i millennial e +21,4% per la generazione Z.

I baby boomer risultano i più vulnerabili per scarsa familiarità con il digitale, mentre la generazione X acquista molto online ma tende a sottovalutare i rischi. L’Italia, tuttavia, appare più resiliente rispetto ad altri Paesi: in Canada le frodi sono cresciute del 222% e nel Regno Unito del 143%. A fare la differenza sono la minore penetrazione dell’e-commerce (20-30% contro oltre il 50% britannico) e sistemi di pagamento più sicuri, con regole bancarie stringenti.

Le truffe più diffuse restano il phishing (email, sms o siti clone che rubano dati), il social engineering (manipolazioni psicologiche che inducono a fornire informazioni riservate) e le frodi sulle carte di pagamento. Il danno medio per utente in Italia si aggira intorno ai 600 euro.

Il report ricorda anche alcune regole pratiche per difendersi: verificare sempre il mittente prima di cliccare su un link, usare password forti e diverse, attivare l’autenticazione a due fattori per i pagamenti e monitorare regolarmente il proprio conto.

Ma se da un lato l’AI viene sfruttata dai truffatori per rendere i loro attacchi sempre più sofisticati e difficili da distinguere da comunicazioni autentiche, dall’altro rappresenta l’arma più efficace per contrastarli. L’intelligenza artificiale, infatti, è in grado di analizzare milioni di segnali in tempo reale ed è molto più rapida di qualunque operatore umano nel riconoscere anomalie.

Il futuro, insomma, si gioca sul crinale della fiducia: l’AI può diventare un alleato prezioso, ad esempio nell’organizzazione di un viaggio con un “agent” virtuale, ma resta aperta la domanda chiave: quanto ci si può fidare degli strumenti che utilizziamo? Chi riuscirà a garantire sicurezza totale?

---

LEGGI ANCHE

Mentre l’Europa muove i primi passi verso la piena applicazione dell’AI Act e i giuristi si interrogano su come rispettare il nuovo obbligo di alfabetizzazione digitale previsto dall’articolo 4, da Singapore arriva un documento che potrebbe indicare la rotta. Il Ministero della Giustizia ha infatti diffuso, sottoponendola a consultazione pubblica, una guida operativa dedicata all’utilizzo dell’intelligenza artificiale generativa nel settore legale.

Non si tratta di una norma o di un regolamento tecnico, ma di un insieme di raccomandazioni pratiche, sviluppate in coerenza con la strategia nazionale per l’AI. L’obiettivo: responsabilizzare avvocati e studi legali, promuovendo un uso sicuro, etico e consapevole degli strumenti digitali.

La guida si articola attorno a tre principi cardine: rispetto dell’etica professionale, protezione della confidenzialità e trasparenza. I legali, sottolinea il testo, restano pienamente responsabili di quanto prodotto con l’ausilio dell’AI: i sistemi generativi possono accelerare ricerche e redazioni, ma non sostituire il giudizio umano. Da qui la raccomandazione del “lawyer-in-the-loop”: ogni output deve essere rivisto, verificato e validato dal professionista.

Ampio spazio è dedicato anche al tema dei dati sensibili. La guida distingue tra software gratuiti, piattaforme enterprise e soluzioni sviluppate internamente, indicando per ciascuno standard di sicurezza, cautele sull’anonimizzazione dei dati e divieto di training dei modelli con input professionali.

Il terzo pilastro è la trasparenza: i clienti devono essere informati in modo chiaro sull’eventuale utilizzo dell’AI, con lettere di incarico o informative dedicate. Se l’impiego di questi strumenti incide su tempi, costi o modalità di gestione del mandato, il cliente deve poterlo conoscere e, se lo ritiene, rifiutare. Allo stesso modo, nei rapporti con i giudici, i professionisti sono invitati a dichiarare se un documento depositato è stato prodotto con il supporto dell’AI e ad attestare di averne verificato la correttezza.

Accanto ai principi, la guida propone un percorso in cinque fasi per l’adozione dell’AI generativa: dall’elaborazione di policy interne alla valutazione dei bisogni, dalla scelta dei tool all’implementazione, fino al monitoraggio costante. Una roadmap che traduce in prassi operative la trasformazione in corso, dimostrando che l’innovazione può essere governata senza snaturare la funzione sociale della professione legale.

---

LEGGI ANCHE

Bruxelles alza il livello di guardia contro le frodi digitali. La Commissione europea ha infatti inviato una richiesta formale di informazioni ad Apple, Google, Microsoft e alla piattaforma di prenotazioni Booking, chiedendo conto delle misure adottate per proteggere i cittadini da truffe finanziarie e utilizzi illeciti dei loro servizi. L’iniziativa rientra nell’applicazione del Digital Services Act (DSA), la normativa che mira a rendere il web europeo più trasparente e sicuro.

Al centro dell’indagine figurano l’App Store di Apple, Google Play, il motore di ricerca Bing e il portale Booking.com. Secondo l’esecutivo comunitario, sono sempre più frequenti le segnalazioni di app che si spacciano per software bancari ufficiali, inserzioni pubblicitarie fittizie che promettono servizi inesistenti e link fraudolenti diffusi tramite i motori di ricerca. Una rete di inganni digitali che, una volta raggiunto l’utente, può tradursi nel furto di dati sensibili o di denaro.

«Si tratta di un passo fondamentale per tutelare i cittadini europei da pratiche scorrette e verificare che le grandi piattaforme facciano la loro parte», ha spiegato un portavoce della Commissione. L’obiettivo, ha aggiunto, è prevenire la diffusione di contenuti illeciti e rafforzare i diritti degli utenti in un ambiente digitale sempre più esposto al rischio di abusi.

La mossa arriva in un momento delicato nei rapporti tra Bruxelles e Washington. L’Unione europea ha più volte contestato presunti abusi di posizione dominante da parte dei giganti tecnologici americani, mentre dall’altra parte dell’Atlantico non sono mancate reazioni dure: l’ex presidente Donald Trump in passato ha protestato apertamente contro le politiche europee in materia. A complicare il quadro c’è anche la volontà di diversi Paesi UE di introdurre una tassa specifica sulle attività digitali, tema che da tempo genera frizioni con gli Stati Uniti.

---

LEGGI ANCHE

La rivoluzione dell’intelligenza artificiale entra a pieno titolo nel diritto italiano con la legge delega approvata dal Parlamento nei giorni scorsi. Il provvedimento introduce principi destinati a incidere in maniera significativa sul mondo delle professioni, sulla procedura civile e sul diritto penale, delineando i contorni di un sistema che dovrà essere definito dai futuri decreti attuativi del Governo.

Cause di IA solo ai Tribunali
Una prima novità riguarda la competenza civile. Le controversie legate all’intelligenza artificiale non saranno più affidate ai giudici di pace, ma passeranno esclusivamente ai Tribunali ordinari e, per i casi più complessi, alle sezioni specializzate delle imprese. Un cambiamento che accomuna le cause di IA a quelle su imposte e tasse, diritti onorifici, stato e capacità delle persone, querela di falso ed esecuzione forzata.

Responsabilità e trasparenza dei professionisti
Il testo stabilisce anche che l’utilizzo dell’intelligenza artificiale da parte dei professionisti debba restare limitato ad attività strumentali e di supporto: il cuore della prestazione deve conservare natura intellettuale. Avvocati, commercialisti e consulenti avranno quindi l’obbligo di informare i clienti sulle tecnologie impiegate, con linguaggio chiaro e comprensibile, illustrando rischi e potenzialità. Gli Ordini professionali potranno inoltre organizzare percorsi formativi dedicati e sarà riconosciuto un equo compenso proporzionato alla responsabilità e ai rischi connessi all’uso di strumenti hi-tech.

Il nuovo reato di deepfake
Sul fronte penale, la legge introduce l’articolo 612-quater del codice penale, che punisce con la reclusione da uno a cinque anni la diffusione illecita di contenuti generati o manipolati dall’IA senza il consenso dell’interessato. Si tratta di un delitto procedibile a querela, salvo i casi in cui sia connesso ad altri reati perseguibili d’ufficio o commesso ai danni di minori, incapaci o pubbliche autorità. Previste aggravanti specifiche quando l’intelligenza artificiale viene utilizzata per ostacolare la difesa, amplificare gli effetti di una frode, manipolare i mercati finanziari o interferire con il libero esercizio dei diritti politici.

IA e diritto d’autore
La legge interviene infine anche sul copyright: le opere create con l’ausilio dell’intelligenza artificiale saranno tutelate solo se frutto di un apporto creativo umano. Viene regolata inoltre l’estrazione e la riproduzione di testi e dati da opere e banche dati tramite sistemi di IA, con limiti conformi alla normativa vigente.

---

LEGGI ANCHE

La Corte di giustizia dell’Unione Europea è tornata a pronunciarsi sul tema delicato dei dati personali e sul valore della pseudonimizzazione. Con la sentenza del 4 settembre 2025 (causa C-413/23 P, Edps contro Srb), i giudici di Lussemburgo hanno stabilito che i dati pseudonimizzati non cessano automaticamente di essere “personali” e che il titolare del trattamento resta tenuto a informare i soggetti interessati, anche quando i dati vengano trasferiti a terzi.

La vicenda nasce dalla risoluzione della crisi bancaria di Banco Popular Español nel 2017. Il Single Resolution Board (Srb), autorità responsabile delle procedure di risoluzione, aveva raccolto osservazioni da azionisti e creditori, poi trasmesse in forma pseudonimizzata a Deloitte, incaricata della valutazione economica. Alcuni dei soggetti coinvolti presentarono reclamo all’European Data Protection Supervisor (Edps), sostenendo di non essere stati informati del possibile trasferimento dei loro dati.

L’Edps diede loro ragione, qualificando le osservazioni come dati personali e contestando allo Srb la violazione dell’obbligo di informativa previsto dal Regolamento (UE) 2018/1725. In prima battuta il Tribunale dell’UE accolse parzialmente il ricorso dello Srb, ma la Corte di giustizia ha ribaltato la decisione, riaffermando alcuni principi fondamentali.

Secondo i giudici, la pseudonimizzazione può impedire l’identificazione dei soggetti da parte del destinatario dei dati, quando questi non abbia accesso alle chiavi di reidentificazione. Tuttavia, per il titolare originario del trattamento, i dati restano personali se conserva le informazioni necessarie per risalire all’identità. Di conseguenza, lo Srb avrebbe dovuto informare sin dall’inizio che i dati raccolti potevano essere trasmessi a terzi, anche se in forma pseudonimizzata.

La Corte ha inoltre sottolineato che le opinioni e osservazioni fornite da una persona fisica costituiscono già di per sé dati personali, a prescindere dal contenuto, poiché esprimono direttamente la posizione individuale di chi le formula.

La decisione ha implicazioni pratiche di rilievo per istituzioni e imprese. Non è sufficiente applicare tecniche di pseudonimizzazione per considerare assolti gli obblighi di trasparenza: ogni titolare deve valutare caso per caso se i dati possano comunque essere ricondotti a una persona fisica e, in tal caso, informare gli interessati circa l’uso e il possibile trasferimento.

Un principio già richiamato dalle linee guida di Enisa e riconosciuto anche dal Data Act e dall’AI Act: la pseudonimizzazione è una misura importante di sicurezza e riduzione del rischio, ma non cancella la natura personale dei dati se il titolare mantiene la possibilità di reidentificazione.

---

LEGGI ANCHE