Crisi del Garante Privacy, cyber sovranità inesistente e riforma europea dei dati
Report insiste sulle dimissioni, truffe su Facebook, blackout Cloudflare e report Acn: vi raccontiamo la fragilità della sovranità digitale italiana.
Caro lettore,
questa settimana il filo rosso è la sovranità, in tutte le sue forme. Sovranità dei dati, quando un’Autorità che dovrebbe difendere la privacy finisce travolta da accuse di doppi standard, ordini di sorveglianza interna e rapporti opachi con le big tech. Sovranità delle persone, quando Meta monetizza truffe e vulnerabilità cognitive trasformandole in fatturato, mentre le istituzioni italiane restano alla finestra. Sovranità digitale del Paese, quando un singolo errore su Cloudflare spegne mezzo web – Matrice Digitale compresa – e mostra quanto sia fragile la nostra indipendenza infrastrutturale. Sovranità sui dispositivi che teniamo in tasca, quando un bloatware israeliano preinstallato sui Galaxy diventa potenziale cavallo di Troia tra marketing aggressivo e sorveglianza. Sovranità delle reti critiche, fotografata dalla mappa ACN con 267 rischi cyber in un solo mese, che ci ricorda quanto il perimetro nazionale sia sotto pressione costante. E infine sovranità normativa, con il pacchetto Digital Omnibus che prova a riscrivere il modo in cui l’Europa gestisce dati, incident reporting e intelligenza artificiale, promettendo semplificazione ma aprendo nuovi interrogativi sul potere reale di chi decide gli standard.
Dietro numeri, acronimi e sigle, c’è la stessa domanda: chi controlla davvero cosa nel nuovo ecosistema digitale? E quanto siamo disposti a delegare – a colossi stranieri, a regolatori stanchi, a piattaforme costruite sul profitto – prima di accorgerci di aver perso non solo dati e denaro, ma anche fiducia nelle istituzioni che dovrebbero proteggerci?
Garante privacy, dossier fantasma e un’Autorità che chiede di spiare se stessa
La storia del Garante privacy vicino alle dimissioni non è solo un caso di frizione istituzionale. È il racconto di come un’Autorità nata per difendere i cittadini dagli abusi dei dati sia finita al centro di accuse che la avvicinano pericolosamente alle pratiche che ha sempre condannato. Tutto parte dal dossier fantasma, una raccolta di esposti e documenti che circola per mesi tra ambienti istituzionali e addetti ai lavori, e che mette in fila le relazioni tra componenti del Collegio, studi legali specializzati e pubbliche amministrazioni bersaglio di data breach. Al centro c’è il tema dei conflitti di interesse, con consulenze affidate da enti pubblici a uno studio legale legato al passato professionale di un componente del Collegio e al suo ex studio. Anche a fronte di astensioni formali in sede deliberativa, l’impressione è quella di un sistema in cui chi dovrebbe vigilare sui trattamenti di dati delle amministrazioni si muove in un’orbita troppo vicina a chi quelle amministrazioni le assiste sul piano legale. È qui che la vicenda passa dal piano tecnico a quello politico: non si discute più solo di regole ma di fiducia.
L’episodio dell’Asl 1 Abruzzo è emblematico. Un attacco informatico sottrae dati sensibilissimi – pazienti con Hiv, orientamento sessuale, interruzioni di gravidanza, patologie oncologiche – e l’Autorità opta per un semplice ammonimento, classificando l’evento come “violazione minore”. Sullo sfondo, un incarico di consulenza da decine di migliaia di euro allo studio legale collegato alla storia professionale di un componente del Collegio. Un trattamento molto diverso da quello riservato in passato all’Asl Napoli 3 Sud, dove per un incidente considerato analogo erano arrivate sanzioni economiche significative. È il sospetto di doppio standard a incendiare il dibattito: perché in un caso mano pesante e nell’altro guanto di velluto?Ma il vero punto di rottura arriva con il documento del 4 novembre 2025. Il segretario generale Angelo Fanizza firma un ordine interno che chiede al responsabile della sicurezza informatica, Cosimo Comella, di acquisire praticamente tutto: e-mail dei dipendenti, log di rete, accessi VPN, cartelle condivise, sistemi documentali, log storici congelati per 24 anni. Non un controllo mirato, ma una radiografia totale della vita digitale del personale, da riversare su supporti fisici da consegnare “in forma riservata e interpersonale” al segretario generale.
Il pretesto formale è la sicurezza, ma l’obiettivo reale – come emerge nelle ore successive – è scoprire chi ha parlato con la stampa. È qui che il paradosso diventa insostenibile: l’Autorità che per anni ha sanzionato imprese e PA per controlli a distanza illeciti sui lavoratori chiede di fare esattamente la stessa cosa dentro casa propria. Le stesse norme che richiamano l’articolo 15 della Costituzione sulla segretezza della corrispondenza, le stesse linee guida del 2007 sui controlli e il provvedimento sui metadati del 6 giugno 2024 vengono improvvisamente ignorate in nome della caccia alla “talpa”. La risposta di Comella, il 5 novembre alle 13:04, è un atto che resterà nella storia dell’Autorità. In un documento formale rifiuta l’ordine, spiegando che quella acquisizione sarebbe illegale, violerebbe la Costituzione, le norme sulla protezione dei dati e i provvedimenti dello stesso Garante. Ricorda che l’Autorità ha multato decine di aziende per aver tentato di accedere alle e-mail dei dipendenti senza base giuridica, e che bloccare la sovrascrittura dei log per 24 anni contrasta frontalmente con il limite dei 21 giorni fissato dai provvedimenti più recenti. Il documento ha anche un passaggio quasi grottesco sul piano tecnico: per copiare tutta la mole di dati servirebbero circa 20 mila DVD, 4 mila ore di lavoro, oltre 100 terabyte di spazio e una piattaforma di analisi forense avanzata. Un’operazione ingestibile e, soprattutto, devastante sul piano reputazionale. Quando il testo viene condiviso con il personale, i dipendenti dedicano a Comella un applauso di cinque minuti. In quell’immagine c’è la fotografia di un’Autorità spaccata: da una parte chi prova a difendere diritto e coerenza, dall’altra chi al vertice sembra pronto a piegare le regole in nome dell’auto-tutela.
In mezzo, il dettaglio che i grandi media hanno sfiorato appena: la parentela indiretta di Comella con il Presidente Mattarella. Un’informazione che alcuni hanno usato per evocare teorie di complotto sul Quirinale, ma che nella sostanza si rivela irrilevante di fronte a un dato più semplice e più forte: il dirigente ha agito in linea con la migliore tradizione giuridica del Garante, e proprio così ha smentito chi vedeva in questa crisi un regolamento di conti tra poteri.
Non tutti, però, leggono la vicenda allo stesso modo. L’avvocato Andrea Lisi, esperto di dati personali, invita a distinguere tra il caso Fanizza e la responsabilità complessiva del Collegio. Nella sua interpretazione, l’ordine del segretario generale sarebbe stato in realtà una istanza di accesso personale, scritta male, ambigua, ma non nata con l’intenzione deliberata di avviare una sorveglianza generalizzata. Una lettura che non assolve certo la gravità dell’atto, ma che sposta il focus su un altro paradosso: un’Autorità che predica trasparenza e minimizzazione non si sarebbe mai dotata di una vera policy interna sugli strumenti digitali, conservando log ed e-mail da oltre due decenni. Il 20 novembre, i lavoratori si riuniscono in assemblea e chiedono all’unanimità le dimissioni dell’intero Collegio: Stanzione, Cerrina Feroni, Ghiglia, Varale. È un gesto politicamente potente, perché arriva dall’interno e non da un partito o da una testata. Nella stessa giornata, Fanizza rassegna le dimissioni, il Collegio ne prende atto e lo ringrazia. Ma i dipendenti rivelano un dettaglio decisivo: in assemblea, il Collegio avrebbe confermato di essere stato informato dell’ordine di acquisizione, mentre nella nota ufficiale si dichiara estraneo all’iniziativa del segretario generale. Ancora una volta il problema non è solo giuridico, ma di credibilità.
Su questo scenario pesa anche il rapporto con Meta: la gestione del grande leak Facebook, il tema degli Smart Glasses, il nuovo leak di 3,5 miliardi di numeri WhatsApp su cui Agostino Ghiglia si mostra oggi molto più allarmato di quanto il Garante fosse apparso in passato. I rischi evocati sono gli stessi: esposizione di dissidenti, attivisti, oppositori in contesti autoritari. Ma la memoria di chi ha visto il Garante muoversi con cautela – per qualcuno con eccessiva delicatezza – nei confronti del colosso americano è ancora fresca, e rende più dura la critica. Intorno all’Autorità si muove anche una lobby social fatta di influencer, consulenti e professionisti della privacy che presidiano LinkedIn a colpi di like e commenti compiacenti. Alcuni, definiti provocatoriamente “meta accattoni”, sembrano più impegnati a tutelare rapporti e micro-rendite personali che i diritti delle vittime dei data breach. Voci fuori dal coro, come l’avvocato Massimo Melica, iniziano a denunciare il sistema dei doppi pesi e a chiedere trasparenza piena su conflitti di interesse e scelte discrezionali. Il risultato è una fotografia capovolta: per molti osservatori, il vero “cane da guardia” della privacy negli ultimi mesi non è stato il Garante, ma il giornalismo d’inchiesta e chi ha avuto il coraggio di portare alla luce documenti, atti, retroscena. Finché sul tavolo resterà l’idea che l’Autorità abbia anche solo pensato di spiare ventiquattro anni di vita digitale dei propri lavoratori, sarà difficile ricostruire la fiducia che serve per chiedere ai cittadini di consegnare i propri dati a istituzioni che dovrebbero proteggerli, non imitarne gli abusi.
Se vuoi ripercorrere cronologia, documenti e protagonisti di questa crisi, trovi tutto nell’articolo completo “Garante Privacy vicino alle dimissioni: quello che Report non ha detto nell’inchiesta” su Matrice Digitale.
Meta, il business delle truffe online e l’inerzia delle istituzioni italiane
Mentre il Garante fatica a difendere la propria reputazione, la vicenda di Meta e del business delle truffe online mostra l’altra faccia del cortocircuito istituzionale: la lentezza – quando non il silenzio – delle autorità di fronte a un modello di business che incorpora il Cybercrime come componente strutturale del fatturato. I numeri emersi dai documenti interni analizzati da Reuters sono impressionanti: secondo le stime per il 2024, circa il 10% del fatturato globale di Meta – oltre 16 miliardi di dollari – sarebbe riconducibile a inserzioni legate a truffe, gioco d’azzardo illegale e prodotti vietati. Parliamo di una piattaforma che può arrivare a mostrare fino a 15 miliardi di annunci fraudolenti al giorno e che incassa circa 7 miliardi l’anno dai cosiddetti annunci “high risk”, già classificati come potenzialmente truffaldini. All’interno dell’azienda questi guadagni vengono definiti “violating revenue”. Invece di azzerarli, un sistema di guardrail interni impedirebbe ai team anti-frode di prendere decisioni che riducano i ricavi oltre una certa soglia, fissata attorno allo 0,15% del giro d’affari semestrale. In pratica: il rischio di sanzioni fino a 1 miliardo di dollari viene messo a bilancio come costo accettabile, a fronte di 3,5 miliardi che ogni sei mesi arrivano dagli annunci più rischiosi, compresi quelli che impersonano brand noti o figure pubbliche. Un calcolo cinico che trasforma i risparmi delle vittime in margine operativo.
In una presentazione interna del maggio 2025, Meta riconosce anche che le sue piattaforme sarebbero coinvolte in un terzo di tutte le truffe andate a segno negli Stati Uniti, arrivando ad affermare che è “più facile pubblicare scam su Meta che su Google”. Nel frattempo, fino al 96% delle segnalazioni valide di frode inviate dagli utenti verrebbe ignorato o respinto. Dietro ogni percentuale ci sono pensionati che perdono i risparmi di una vita, famiglie indebitate, ragazzi trascinati in schemi di estorsione sessuale. Il meccanismo è perverso ma semplice: Facebook diventa una zona franca per i gruppi criminali, che sfruttano gli stessi strumenti di targeting usati dalle aziende legittime per profilare le vittime più vulnerabili. Gli algoritmi ottimizzano la delivery, i sistemi pubblicitari massimizzano il rendimento, mentre chi gestisce la piattaforma incassa indifferentemente i soldi di brand certificati e di schemi fraudolenti travestiti da investimenti, trading automatico, opportunità di arricchimento lampo. L’ipocrisia esplode quando si guarda alla moderazione. Da un lato Meta si mostra severa con chi fa informazione indipendente, con le testate che denunciano i suoi eccessi, con le voci scomode. Matrice Digitale lo ha sperimentato sulla propria pelle, vedendo la visibilità ridotta e gli spazi di manovra limitati per aver osato raccontare la filiera del malaffare digitale. Dall’altro lato, gli stessi filtri che si accaniscono contro il dissenso sembrano assai meno efficaci quando si tratta di fermare campagne pubblicitarie palesemente truffaldine, gruppi organizzati, funnel di phishing che partono da una sponsorizzata e finiscono su landing page costruite per rubare denaro, dati, identità. Il precedente dei moderatori africani è un altro tassello della stessa storia. Per anni Meta ha esternalizzato nella periferia del mondo – con salari irrisori – il compito di filtrare i contenuti più violenti e disturbanti: video di torture, stupri, abusi su minori, omicidi ripresi in diretta. Una catena del trauma appaltata a lavoratori invisibili, lontani dagli occhi del pubblico occidentale, che pagano sulla propria salute mentale il “decoro” della bacheca europea. Oggi quei contenuti estremi sono meno visibili, ma il segmento delle truffe continua a prosperare, più silenzioso e molto più redditizio.
In questo quadro, il grande hack mondiale di Facebook ha rappresentato un’occasione mancata per il Garante Privacy italiano. Milioni di numeri di telefono, e-mail e altri dati sono finiti nelle mani dei criminali, trasformando il phishing di massa in spear phishing mirato. Eppure, nonostante l’enorme esposizione del perimetro cyber nazionale, la reazione delle istituzioni italiane è apparsa tiepida, priva di sanzioni esemplari e di campagne di allerta adeguate verso i cittadini. A rendere ancora più grottesco il quadro è la maxi operazione nel sud-est asiatico, con il sequestro di 14 miliardi di dollari in bitcoin legati a una delle più grandi reti di crimine informatico del mondo. Quella rete usava soprattutto Facebook come infrastruttura commerciale per raggiungere le vittime in tutto il pianeta. Oggi gli Stati Uniti e i loro partner si intestano il successo del sequestro, mentre gli stessi governi che per anni hanno beneficiato del gettito fiscale legato alle big tech raccolgono i frutti di una repressione tardiva. Molto poco, invece, torna alle vittime, soprattutto nei paesi – come l’Italia – dove le truffe sono partite ma dove il potere negoziale verso Meta e verso Washington è minimo. Il cortocircuito è evidente: una piattaforma privata monetizza le truffe, contribuisce a creare un ecosistema criminale transnazionale, e poi diventa partner privilegiato degli stessi Stati che intervengono a sequestrare i proventi del crimine e a raccontare alla stampa la propria efficacia. In mezzo, cittadini e risparmiatori che hanno perso tutto restano il soggetto meno tutelato. Da anni Matrice Digitale pone una domanda semplice: è accettabile che le istituzioni italiane continuino a giocare questa partita con queste regole? È accettabile delegare la protezione del perimetro digitale, la moderazione del discorso pubblico e la gestione delle truffe a un soggetto privato straniero che risponde anzitutto agli interessi del proprio azionista e del proprio governo nazionale?
Finché non ci saranno atti concreti – sanzioni vere, linee guida vincolanti, investimenti in alternative europee, una postura regolatoria finalmente autonoma – l’Italia resterà prigioniera di una sudditanza digitale che trasforma ogni truffa andata a segno in un pezzo di fatturato estero e ogni grande operazione internazionale in una conferma della nostra marginalità.
Se vuoi entrare nei numeri, nelle logiche di “violating revenue” e nei dettagli dell’operazione nel sud-est asiatico, puoi leggere l’analisi completa “Meta e il Business delle truffe online ignorato dalle Istituzioni italiane e dal Garante Privacy” su Matrice Digitale.
Cloudflare, blackout globale e la fragilità della sovranità digitale italiana
Quando il 18 novembre 2025 una modifica banale ai permessi di un database ha fatto saltare il traffico di Cloudflare, mezzo internet ha scoperto quanto sia sottile la linea che separa la resilienza dalla fragilità. L’episodio è già stato catalogato dall’azienda come il peggior outage degli ultimi sei anni, ma il punto non è solo tecnico: riguarda il modo in cui abbiamo costruito un web che si proclama distribuito e resiliente, ma che in pratica si regge su pochi nodi ipercentralizzati. La sequenza degli eventi è istruttiva. Tra le 11:20 e le 11:28 UTC, Cloudflare smette di consegnare correttamente il traffico HTTP. I sintomi sono ovunque: errori 5xx a cascata, portali istituzionali irraggiungibili, piattaforme social che smettono di caricare, sistemi di autenticazione che non riescono più a validare l’accesso degli utenti. Non è un datacenter che va giù: è uno strato intermedio – la CDN e il proxy globale – che fa da front-end a centinaia di migliaia di servizi. L’origine non è un attacco, non c’è un gruppo hacktivista da mettere in prima pagina. C’è una banale query sbagliata, eseguita dopo una modifica ai permessi di un database interno. Quella modifica altera i metadati che alimentano il file di configurazione del modulo di Bot Management. Un file che normalmente contiene circa 60 “feature”, ma che dopo l’errore supera il limite di 200 previsto dal codice. Quel limite era stato inserito come misura di sicurezza per evitare consumi di memoria incontrollati. Peccato che, una volta superata la soglia, il componente scritto in Rust vada in panic, blocchi il processo e, per proteggere l’integrità del sistema, inizi a restituire errori. Il problema è che quel componente non vive nel vuoto: è integrato nel proxy core che smista il traffico. Ogni cinque minuti, un job rigenera il file di configurazione: i nodi già aggiornati continuano a produrre file difettosi, altri tentano di tornare a uno stato coerente, generando una rete globale che oscilla tra regioni funzionanti e regioni in tilt. Il risultato è un effetto yo-yo planetario: per ore, l’internet filtrata da Cloudflare rimbalza tra momenti di apparente normalità e nuove ondate di errori 5xx. La cronologia ufficiale racconta che il rollback inizia nel primo pomeriggio e porta a una graduale stabilizzazione intorno alle 14:30 UTC, con pieno ripristino alle 17:06 UTC. Ma il tempo tecnico non coincide con il tempo percepito. Per chi gestisce un sito, un servizio o una testata online, quelle ore sono un blackout totale, in cui si scopre di non avere praticamente strumenti per reagire.
È quello che è successo anche a Matrice Digitale. Pur essendo una voce che da anni denuncia la dipendenza italiana da infrastrutture estere, la testata si è trovata al buio come tutti gli altri. Non per incoerenza, ma per una costrizione architetturale: il dominio è delegato interamente ai nameserver di Cloudflare, che agisce in contemporanea come DNS, CDN e reverse proxy. Quando Cloudflare non risponde, il sito non esiste più agli occhi della rete. Non si tratta solo di contenuti irraggiungibili: durante il blackout era offline persino il pannello di controllo del provider, impedendo qualsiasi intervento rapido. In teoria si potrebbe disattivare il proxy, cambiare DNS, tornare al server origin. In pratica, se lo strumento per farlo è irraggiungibile, ogni strategia di emergenza evaporà. Anche ipotizzando una migrazione immediata, i tempi di propagazione DNS supererebbero di molto la durata dell’incidente. Questo vincolo non è nato dal nulla. Prima di Cloudflare, Matrice Digitale utilizzava BunnyCDN, una soluzione meno invasiva: la CDN faceva caching e acceleration, ma il controllo dei DNS restava in mano all’hosting. Poi sono arrivati blocchi indiscriminati di IP, blacklist legate a sistemi come Piracy Shield, classificazioni restrittive da parte di alcuni provider. In quel contesto, il passaggio a Cloudflare è apparso quasi inevitabile: maggiore affidabilità percepita, protezione DDoS integrata, reputazione più solida a livello globale. Il prezzo, però, è stato un vendor lock-in praticamente totale. Questo è il cuore del problema: quando una CDN assorbe anche il DNS, il sito diventa ostaggio dell’infrastruttura del provider. Se tutto funziona, la soluzione sembra elegante, efficiente, perfino “sicura”. Quando qualcosa si rompe al centro della rete, non hai più un piano B: puoi solo aspettare. Per una testata che parla di sovranità digitale, non è un dettaglio. L’episodio di Cloudflare si inserisce in un pattern di fragilità più ampio. Negli ultimi anni abbiamo visto outage su AWS legati al DNS, disservizi sui servizi Zero Trust della stessa Cloudflare, problemi ai grandi provider di posta, incidenti su piattaforme di gestione identità. Internet era stata pensata come una rete decentralizzata, in grado di resistere a guasti localizzati. L’economia delle piattaforme l’ha trasformata in un sistema dove pochi operatori controllano punti di passaggio obbligati.
Per l’Italia, la lezione è doppia. Da un lato, il blackout mostra quanto siano esposti non solo i servizi essenziali, ma anche la filiera dell’informazione, i media, le PMI che si affidano alle stesse infrastrutture globali delle big tech. Dall’altro, evidenzia i limiti di un discorso sulla “sovranità digitale” che resta spesso confinato ai proclami e alle grandi strategie, ma non si traduce in scelte architetturali diverse: DNS distribuiti, percorsi di traffico alternativi, capacità reale di scollegarsi da una CDN in caso di necessità. C’è anche un’ironia storica difficile da ignorare. Negli anni degli attacchi di Killnet e NoName, molti hanno visto in Cloudflare uno scudo indispensabile per difendersi da DDoS e campagne ostili. Oggi scopriamo che non serve un’armata di bot per buttare giù mezze infrastrutture nazionali: basta un permesso sbagliato su un database.
La domanda finale è inevitabile: possiamo parlare seriamente di perimetro cibernetico nazionale se i nodi cruciali della nostra presenza online – dalle PA alle testate indipendenti – dipendono da decisioni operative prese a migliaia di chilometri, da soggetti che non rispondono alla giurisdizione italiana?
Per cronologia completa, dettagli tecnici del bug e analisi delle conseguenze sul perimetro italiano, puoi leggere “Blackout Cloudflare e sovranità digitale: cosa è successo e perché siamo andati giù” su Matrice Digitale.
AppCloud, Samsung e il confine sottile tra bloatware e sorveglianza
In parallelo alle grandi infrastrutture, la battaglia per la privacy si gioca anche dove poggia la nostra mano ogni giorno: lo smartphone. Il caso AppCloud esploso in queste settimane racconta come una singola componente di sistema, poco visibile e quasi mai discussa nei keynote ufficiali, possa trasformare un telefono in un sensore permanente a vantaggio di terze parti. La narrativa virale è stata immediata: “spyware israeliano preinstallato sui Samsung”. Una formula che funziona bene sui social, soprattutto se incrociata con l’eco degli scandali legati a Pegasus e all’industria della sorveglianza made in Israele. La realtà, come spesso accade, è più complessa – e forse proprio per questo più inquietante. AppCloud non è l’ennesima app che si scarica dal Play Store e si vede nell’icona della home. È un servizio di sistema che gira sotto pelle, pensato come “motore di personalizzazione” e canale per la distribuzione di app promozionali. Il nome che si nasconde dietro è quello di ironSource/Aura, azienda israeliana poi confluita nell’ecosistema Unity, specializzata da anni in piattaforme di monetizzazione e distribuzione software. Tradotto: software che vive sulle linee di confine tra pubblicità aggressiva, telemetria e profilazione spinta. Sulla carta, AppCloud dovrebbe limitarsi a suggerire app “utili” in base a modello, paese, abitudini. Nella pratica, analisi indipendenti mostrano la capacità di installare app di terze parti, raccogliere dati sul comportamento, sugli identificativi di dispositivo, sui pattern di utilizzo e sulla connessione di rete. Tutto questo, spesso, senza un consenso realmente informato, con policy poco accessibili, impossibilità per l’utente medio di comprenderne la portata, e soprattutto con il limite che su molti modelli non può essere disinstallata, ma solo – quando va bene – disattivata. Matrice Digitale ha provato a separare l’allarme dal complottismo, facendo quello che troppo spesso manca nel dibattito: verifiche concrete sui dispositivi. Su alcuni Galaxy A55 presenti sul mercato italiano non è emersa una preinstallazione evidente con il nome AppCloud, almeno nella forma descritta dai post più allarmistici. Su un Galaxy A25, invece, il componente è stato individuato e disattivato, confermando che il fenomeno non è uniforme, ma nemmeno immaginario. Questo non significa che i Galaxy venduti in Europa siano automaticamente sotto il controllo di chissà quale servizio di intelligence. Significa però che esiste un pezzo di software, sviluppato da un soggetto esterno, con forti legami con l’industria della monetizzazione dei dati, che viene integrato profondamente nel sistema operativo di certi modelli, con privilegi che sfiorano quelli di una backdoor. Il confine tra bloatware invasivo e spyware diventa quasi semantico: se un componente può profilare in modo capillare utenti in contesti politicamente sensibili, la direzione d’uso dipende solo da chi ne controlla davvero l’architettura. La dimensione geografica è decisiva. Le segnalazioni più severe arrivano da aree come Medio Oriente, Nord Africa, alcune regioni dell’Asia meridionale: luoghi dove la combinazione tra forte penetrazione di smartphone Samsung, regimi autoritari o instabili e scarsa tutela dei diritti digitali genera un terreno ideale per abusi sistematici. In quei mercati, AppCloud viene descritta come profondamente radicata nel sistema, pressoché impossibile da rimuovere senza procedure di root o flash del firmware. In parallelo, i report internazionali ricordano come infrastruttura digitale, telecomunicazioni e piattaforme online siano da anni strumenti di intelligence e controllo politico nella regione.
In questo contesto, la risposta “è solo pubblicità” non basta più. Anche ammesso che l’intento originario sia puramente commerciale – spingere installazioni sponsorizzate, profilare interessi per vendere meglio spazi pubblicitari – la verità è che profilazione commerciale e sorveglianza politica usano gli stessi strumenti. Una piattaforma che sa dove sei, quali app usi, cosa scarichi, quanto stai connesso, su che reti ti muovi, è un asset perfetto tanto per un inserzionista quanto per un’agenzia di intelligence. Per l’utente comune, intanto, il potere di reazione è minimo. Può entrare nelle impostazioni, scovare AppCloud o i suoi alias, provare a disattivarlo, revocare permessi, bloccare traffico dati. Può, se ha competenze sufficienti, usare ADB per rimuovere componenti non di sistema senza rompere l’OS. Ma contro la logica di fondo – l’alleanza tra produttori di smartphone e società specializzate nella monetizzazione dei dati – la difesa individuale è una toppa, non una soluzione. Qui torna in gioco il ruolo delle autorità nazionali ed europee. Possibile che un’app così invasiva possa essere preinstallata su milioni di dispositivi, in mercati spesso fragili, senza che ci sia un dibattito pubblico serio, una valutazione di impatto, una posizione chiara da parte di chi dovrebbe garantire che il telefono in tasca non diventi un canale privilegiato di profilazione strutturale? Possibile che l’unica vera pressione arrivi da ONG, ricercatori indipendenti e qualche testata che si ostina a guardare dentro i firmware? Il caso AppCloud mette insieme, in un singolo story-arc, Israele, Samsung, industria del bloatware e geopolitica della sorveglianza. E ci ricorda che ogni “servizio di personalizzazione” può veicolare molto più di un consiglio su quale app installare.
Per capire cosa fa davvero AppCloud, cosa hanno rilevato i test sui Galaxy e perché questa storia è un campanello d’allarme per tutti – anche per chi crede di essere al sicuro in Europa – puoi leggere l’approfondimento “Appcloud è uno spyware israeliano di Samsung? Nì: bloatware invasivo e rischioso per la privacy” su Matrice Digitale.
ACN, 267 rischi cyber in un mese: la mappa reale della pressione sull’Italia
Mentre big tech e produttori di smartphone riscrivono – spesso in silenzio – le regole della nostra esposizione digitale, l’Agenzia per la Cybersicurezza Nazionale prova a misurare in numeri la pressione quotidiana sul Paese. Il sommario operativo di ottobre 2025 è un documento freddo nella forma, ma estremamente rivelatore nella sostanza: 267 eventi cyber, 327 vittime, una costellazione di vulnerabilità, tentativi di intrusione, campagne malevole e superfici esposte che disegnano l’Italia come un bersaglio costante. Il dato più interessante non è solo il volume, ma la combinazione. Mentre gli incidenti con impatto confermato scendono a 51 (un calo del 9% rispetto a settembre), gli asset potenzialmente vulnerabili schizzano a 3.836, con un aumento di oltre duemila unità. Gli asset potenzialmente compromessi, invece, si azzerano. È come osservare un sistema immunitario che ha imparato a reagire meglio agli attacchi effettivi, ma che continua a convivere con un corpo pieno di ferite aperte: configurazioni sbagliate, patch mancanti, servizi esposti, software obsoleti. Il CSIRT Italia pubblica 80 alert in un solo mese, nove in più del precedente, e invia 4.367 comunicazioni dirette a soggetti esposti, mentre monitora 4.384 nuove CVE, di cui 7 già sfruttate attivamente. Dietro queste cifre ci sono amministrazioni locali che espongono pannelli di gestione su internet, aziende sanitarie con sistemi legacy mai aggiornati, provider di telecomunicazioni costretti a convivere con strati di tecnologia accumulati nel tempo. Sul fronte tecnico, tra le vulnerabilità segnalate spiccano bug ad altissimo impatto. Una falla in Microsoft Windows Server 2019, catalogata con un indice di impatto vicino a 80 su 100, consente esecuzione di codice arbitrario remoto – in pratica, l’incubo di chiunque gestisca un dominio Active Directory in produzione. Il DNS server ISC BIND 9 presenta vulnerabilità che aprono la strada alla manomissione della cache o alla saturazione del servizio, con effetti a catena sulla risoluzione dei nomi di dominio. Ancora più preoccupante la criticità in prodotti come Gladinet CentreStack e TrioFox, con una CVE già sfruttata in attacco e valutazioni di impatto oltre 77 su 100. A cascata, compaiono rischi su WatchGuard, Oracle, Apache Tomcat, Zimbra, Libraesva, Squid, SAP NetWeaver, fino a piattaforme come TP-Link Omada, Telerik UI, Nagios, Veeam, Redis, Adobe Commerce/Magento, soluzioni Ivanti, VMware Aria Operations. È una lista che attraversa l’intero stack: dal perimetro di rete alle applicazioni, dalle piattaforme di monitoraggio ai sistemi di business critici. La distribuzione settoriale conferma un quadro noto ma mai banale. La Pubblica Amministrazione, centrale e locale, resta il bersaglio principale, seguita da telecomunicazioni e settore finanziario. Gli attacchi hacktivisti collegati al contesto russo-ucraino continuano, ma spesso si manifestano sotto forma di DDoS a bassa intensità, più utili per la propaganda che per un danno operativo strutturale. Molto più insidiosi sono i casi di esfiltrazione tramite infostealer, dove credenziali e dati sensibili finiscono in marketplace criminali o forum sotterranei, alimentando nuove ondate di compromissioni. Il report non è solo un inventario di problemi: racconta anche il lavoro di triage, analisi, supporto agli enti colpiti, la cooperazione con i partner internazionali, il tentativo di trasformare ogni incidente in una lezione appresa. Ma mostra soprattutto quanto sia illusoria l’idea di un perimetro statico e protetto: la realtà è quella di un ecosistema che vive in costante overlapping tra minacce note, patch da applicare, sistemi da mettere in sicurezza mentre continuano a funzionare. Per il lettore italiano, abituato a vedere la cybersicurezza relegata a qualche breve di cronaca o a un comunicato istituzionale, questo tipo di documento è una radiografia molto più onesta. Dice, in sostanza, che l’Italia non è solo spettatrice di grandi cyber-guerre raccontate dai media internazionali, ma campo di battaglia quotidiano per campagne ransomware, tentativi di intrusione, sfruttamento di vulnerabilità “banali” ma letali quando si combinano a configurazioni sbagliate e mancanza di formazione del personale.
In questo scenario, la narrativa della “sovranità digitale” deve fare i conti con un dato scomodo: possiamo discutere di Cloudflare, Meta, AppCloud e delle grandi piattaforme, ma se i server di una piccola PA espongono pannelli di amministrazione su internet con password deboli, se infrastrutture critiche girano su software non aggiornato, se il patch management è lento o inesistente, nessuna strategia di alto livello può reggere.
Per scorrere grafici, tabelle e dettagli su minacce, vulnerabilità e settori colpiti, puoi leggere l’analisi completa su “Acn registra 267 rischi cyber a ottobre 2025: ecco la mappa del rischio in Italia” su Matrice Digitale.
Digital Omnibus, GDPR e AI Act: meno testi, più potere a chi controlla gli standard
Chiude il cerchio della settimana un tema apparentemente lontano dalle cronache, ma in realtà centrale: la proposta Digital Omnibus della Commissione europea. Ufficialmente è un esercizio di semplificazione normativa: meno leggi, meno costi di compliance, un quadro più lineare per aziende e amministrazioni. In pratica, è un massiccio intervento di ingegneria istituzionale sul modo in cui l’Europa governa dati, incidenti e intelligenza artificiale. Sul versante dati, il Digital Omnibus interviene sul puzzle composto da GDPR, ePrivacy, Data Act, Data Governance Act, Open Data Directive, Free Flow of Non-Personal Data Regulation. L’obiettivo dichiarato è trasformare questo mosaico in un quadro più leggibile: da un lato il GDPR come riferimento unico per i dati personali, compreso l’accesso alle informazioni sui terminali (i famosi cookie e tecnologie affini), dall’altro il Data Act come dorsale per i dati non personali, il riuso dei dati pubblici e le regole sui flussi transfrontalieri. Questo significa che gran parte della disciplina oggi frammentata tra FFDR, DGA e Open Data Directive viene inglobata nel Data Act, che diventa una sorta di codice europeo dei dati non personali e dei dati pubblici. Per aziende e PA, sulla carta, il vantaggio è chiaro: un unico testo da studiare, una sola architettura concettuale per capire chi può accedere a cosa, a quali condizioni, con quali garanzie.
Sul fronte privacy, il passaggio più delicato è la migrazione delle regole ePrivacy nel GDPR. L’accesso e la memorizzazione di dati sui terminali – oggi governati da una direttiva recepita in modo disomogeneo dagli Stati membri – entrano nel regolamento, con l’introduzione di un nuovo articolo che allinea questa materia agli standard di trasparenza, base giuridica e accountability tipici del GDPR. Ma la vera svolta è l’introduzione di segnali di consenso e opposizione machine-readable. L’idea è che browser, app mobili o altri strumenti – inclusi in prospettiva agenti AI – possano trasmettere automaticamente le scelte dell’utente su tracciamento, profilazione, uso dei dati. La Commissione ottiene il mandato di spingere gli organismi di standardizzazione a definire formati tecnici comuni, interoperabili, che i siti dovranno saper leggere e rispettare.
Per l’utente, in teoria, è una liberazione dal click continuo su banner e pop-up. In pratica, molto dipenderà da chi controllerà questi standard, da come i browser implementeranno le opzioni, da quanto sarà trasparente la governance di questi “semafori” digitali. Un dettaglio non secondario: i media service provider, alla luce della European Media Freedom Act, ottengono un’esenzione parziale dall’obbligo di accettare automaticamente i segnali machine-readable. Tradotto: per proteggere il pluralismo e la sostenibilità economica dei media, l’UE concede un margine di manovra in più sulle interfacce di consenso. Sul fronte sicurezza, il Digital Omnibus fa un’altra scelta strutturale: creare un single-entry point per l’incident reporting, gestito da ENISA. Oggi lo stesso incidente può generare notifiche parallele: al Garante per violazioni di dati personali, all’autorità NIS2 per incidenti cyber, all’autorità finanziaria per DORA, a quella di settore per CER, e così via. L’idea è spostare tutto su un’unica piattaforma tecnica: “report once, share many”.
In questo modello, un soggetto obbligato invia una sola notifica tramite la piattaforma ENISA; il sistema la smista automaticamente alle autorità competenti in base alla natura dell’evento. Si riusano template e standard già sviluppati per il settore finanziario con DORA, si armonizzano campi, definizioni, tempistiche. Per le aziende, è una boccata d’ossigeno sulla burocrazia; per chi studia la geopolitica dei dati, è anche un aumento del potere centrale della Commissione e delle agenzie europee nella mappa della cyber-resilienza. La stessa logica di accorpamento e centralizzazione tecnica viene estesa all’AI. Sul versante AI Act, il Digital Omnibus rafforza il ruolo dell’AI Office, che diventa il centro di gravità per i sistemi basati su modelli di uso generale, quelli che alimentano servizi trasversali e piattaforme digitali di massa. L’AI Office coordina enforcement, ispezioni, valutazioni di conformità, linee guida, e governa la creazione di un sandbox europeo dedicato ai sistemi più innovativi e complessi, operativo dal 2028.
Un altro passaggio cruciale riguarda il meccanismo di entrata in vigore degli obblighi ad alto rischio. Invece di calare dall’alto una data fissa, il Digital Omnibus collega l’attivazione effettiva delle norme alla disponibilità di standard tecnici, specifiche comuni e guidance. Solo quando la Commissione certifica che esistono gli strumenti necessari, scatta l’obbligo pieno per i fornitori, con un periodo di transizione definito. È un modo per evitare che le imprese debbano rispettare requisiti astratti, ma è anche un modo per rendere il controllo sugli standard il vero luogo del potere regolatorio. Per PMI e small mid-cap vengono previste semplificazioni mirate: documentazione alleggerita, modelli di monitoraggio post-mercato più flessibili, trattamento sanzionatorio differenziato. Sulla carta, è una risposta alla critica ricorrente secondo cui l’AI Act rischia di essere un freno all’innovazione dei piccoli, mentre i grandi possono permettersi team compliance dedicati.
C’è poi un aspetto poco discusso ma importante: la possibilità di trattare categorie particolari di dati (sensibili) in modo eccezionale per identificare e correggere bias nei sistemi AI. È un compromesso tra esigenza tecnica – servono dati ricchi per misurare discriminazioni e distorsioni – e tutela dei diritti fondamentali. Di nuovo, la differenza tra uso virtuoso e abuso dipenderà da chi avrà il controllo effettivo delle pipeline di dati, degli algoritmi di audit e dei parametri di valutazione. Nel complesso, il Digital Omnibus promette risparmi tra 297 e 433 milioni di euro in oneri amministrativi, una maggiore coerenza tra le normative e un ecosistema “più semplice e veloce”. Ma, come spesso accade, la semplificazione non è neutra: sposta pesi, ridisegna gerarchie, concentra capacità decisionale in alcuni nodi – ENISA per gli incidenti, AI Office per l’AI, Data Act per i dati non personali.
Per l’Italia, che fatica già ad allinearsi pienamente a GDPR, NIS2, DORA e al nascente AI Act, la sfida sarà duplice: sfruttare davvero la semplificazione tecnica – un solo punto di notifica, meno testi da interpretare – e allo stesso tempo non limitarsi a fare da esecutore passivo di uno standard deciso altrove. Perché chi controlla i template, le piattaforme, i segnali machine-readable e i criteri di conformità, controlla di fatto il perimetro entro cui si muoveranno aziende, PA e sviluppatori.
Se vuoi entrare nel dettaglio delle modifiche al GDPR, alla disciplina ePrivacy, al Data Act e al modo in cui il Digital Omnibus ridisegna l’attuazione dell’AI Act, trovi l’analisi completa in due articoli collegati: “Digital Omnibus: cosa cambia per GDPR, Data Act, NIS2 e incident reporting” e “Digital Omnibus per l’AI Act semplifica l’attuazione delle regole armonizzate europee” su Matrice Digitale.
Saluti dal Dark Web dell’informazione: quello che Google non mostra, YouTube censura e Meta epura.
Cosa hai perso questa settimana?
Vulnerabilità informatiche: qui per restare aggiornato
Guerra Cibernetica: gli unici ad aggiornarvi H24
Malware: tutte le minacce emergenti e quelle persistenti
Intelligenza Artificiale: le news in tempo reale
Robotica: scopri come saranno gli umani del futuro
Glossario cibernetico: studia e impara la cybersecurity
Smartphone: tutti i confronti realizzati dalla Redazione
Iscriviti al canale Google News di Matrice Digitale