Torna all'archivio

Edizione 06 · 13 luglio 2026

Edition 06

Chat Control di ritorno tramite un escamotage procedurale, quattro governi in tribunale per NIS2, 281 VPN gratuite che perdono dati, Meta che acquisisce il vostro volto per impostazione predefinita e un sistema operativo che vi osserva finché non lo bloccate.

Di Christophe Mazzola, CISO in attività e fondatore di Cyber Academy.

Chat Control di ritorno tramite un escamotage procedurale, quattro governi in tribunale per NIS2, 281 VPN gratuite che perdono dati, Meta che acquisisce il vostro volto per impostazione predefinita e un sistema operativo che vi osserva finché non lo bloccate.

In questa edizione

  1. 01La maggioranza dei deputati ha votato contro. È passato lo stesso.
  2. 02Quattro governi hanno ignorato la legge cyber. L'UE li ha portati in tribunale.
  3. 03281 VPN gratuite testate. La privacy era solo una messa in scena.
  4. 04Meta trasformerà le vostre foto pubbliche in immagini AI per impostazione predefinita.
  5. 05L'identificativo Windows che non si può disattivare ha incastrato un hacker.

Ricevi il prossimo GRC Brief nella tua casella.

Iscriviti a The GRC Brief

La maggioranza dei deputati ha votato contro. È passato lo stesso.

Due etichette, due cose molto diverse. Chat Control 1.0 è la deroga volontaria che consente alle piattaforme di scansionare i messaggi non cifrati alla ricerca di CSAM. È scaduta ad aprile, quando il Parlamento si è rifiutato di rinnovarla. Il 2 luglio il Consiglio l'ha ripristinata e ha trasmesso la propria posizione al Parlamento con una procedura d'urgenza, calcolata per l'ultima sessione prima della pausa estiva. Il 9 luglio, per bloccarla occorreva una maggioranza assoluta: 361 dei 720 eurodeputati. Il rigetto ha ottenuto 314 voti contro 276; più membri vi si sono opposti che non l'hanno sostenuta, ma il testo è rimasto valido perché mancavano 47 voti. Il Parlamento ha approvato separatamente degli emendamenti che escludono i servizi end-to-end cifrati, i quali ora tornano al Consiglio. La versione permanente e obbligatoria, Chat Control 2.0, quella che potrebbe imporre la scansione lato client sulle app cifrate, è ancora bloccata in trilogo; il prossimo round è a settembre. I sostenitori, tra cui le principali piattaforme statunitensi, sostengono che la scansione volontaria sia indispensabile per continuare a rilevare e segnalare gli abusi.

Fonte: My full analysis · christophemazzola.fr

La mia analisi

È la notizia più grave di questa pagina e dovrebbe farvi indignare. Tralasciando la procedura: più eurodeputati hanno votato contro il ripristino della scansione di massa dei messaggi che a favore, eppure è passata lo stesso. La soglia per rigettare una posizione del Consiglio è volutamente alta, una maggioranza assoluta, ma il voto è stato forzato con una procedura d'urgenza e programmato per l'ultima sessione estiva, quando gran parte dell'emiciclo era già partita per le vacanze. La maggioranza ha detto no. Il calendario ha detto sì.

Ora la parte che la maggior parte della copertura mediatica sbaglia, e che voi non dovreste sbagliare. Ciò che è tornato in vigore è la versione 1.0, la scansione volontaria dei messaggi non cifrati, non la scansione obbligatoria lato client delle app cifrate. L'esclusione della cifratura è passata, quindi Signal, WhatsApp e iMessage sono formalmente fuori da questa misura. La versione pericolosa, la 2.0, è ancora viva in trilogo e arriva a settembre. La vittoria per la cifratura è reale, ma contenuta; e la battaglia che conta è a tre mesi di distanza.

Se consigliate qualcuno che gestisce un prodotto cifrato, o un team di policy che segue questa vicenda, mettete settembre in calendario adesso. Il precedente fissato questa settimana è procedurale, non tecnico. Ma l'appetito è evidente, e chi vuole scansionare tutto ha appena imparato che può vincere un voto che aveva perso.

Quattro governi hanno ignorato la legge cyber. L'UE li ha portati in tribunale.

L'8 luglio la Commissione europea ha deferisce alla Corte di Giustizia Irlanda, Spagna, Francia e Paesi Bassi per non aver recepito NIS2, la principale direttiva UE in materia di cybersecurity, nel diritto nazionale. Il termine di recepimento era ottobre 2024, quindi i quattro Paesi sono in ritardo di oltre venti mesi. La Commissione chiede alla Corte di imporre una somma forfettaria più sanzioni giornaliere fino alla notifica del recepimento completo da parte di ciascuno. Per avere un'idea della frequenza di questi ritardi: a gennaio 2025, solo sei dei ventisette Stati membri avevano recepito la direttiva. Alcuni dei quattro si stanno ora muovendo: i Paesi Bassi hanno approvato la propria legge il 7 luglio, il giorno prima del deferimento, e l'Irlanda prevede di notificare entro fine anno. La tempistica ha un aspetto tagliente: l'Irlanda ha assunto la presidenza di turno del Consiglio UE il 1° luglio, una settimana prima di essere citata davanti alla massima corte dell'Unione.

Fonte: European Commission · Commission referral, 8 Jul 2026

La mia analisi

Leggete questa notizia accanto a quella precedente e il contrasto è l'intera newsletter. L'unica legge UE che obbliga le organizzazioni a difendersi davvero, NIS2, è rimasta inattuata in quattro Paesi per venti mesi, incluso il mio. Bruxelles può accelerare un regime di scansione in una settimana, ma la direttiva che protegge ospedali e reti elettriche aspetta due anni e una convocazione in tribunale.

Il punto pratico è netto, e lo ripeto in ogni corso. Il ritardo del vostro governo non è uno scudo. La scadenza è passata nell'ottobre 2024. Gli obblighi, gestione del rischio, segnalazione degli incidenti, doveri nella supply chain, indicano la direzione del settore indipendentemente da quando Madrid o Parigi finiranno le pratiche burocratiche. Se gestite un'entità regolamentata e avete aspettato il recepimento nazionale come scusa, avete accumulato debito; e il conto si comprime nel momento in cui il testo entra in vigore.

E gustatevi la tempistica. L'Irlanda ha assunto la presidenza del Consiglio UE il 1° luglio ed è stata trascinata davanti alla corte dell'Unione l'8 luglio. Chi avrebbe dovuto guidare sul fronte cyber non è riuscito ad attuare la legge cyber. Se avevate bisogno di una prova che consapevolezza e applicazione sono cose diverse, eccola.

281 VPN gratuite testate. La privacy era solo una messa in scena.

Dei ricercatori hanno sottoposto 281 delle VPN Android gratuite più diffuse, con oltre 2,4 miliardi di installazioni complessive, a un nuovo framework di audit chiamato MVPNalyzer, sviluppato da team delle università del Michigan, del New Mexico e dell'IIT di Delhi. Le criticità sono elementari. 29 app fanno trapelare traffico fuori dal tunnel, incluse le query DNS che rivelano i siti visitati. 61 trasmettono alcuni dati in chiaro, e cinque di esse scaricano il file di configurazione in chiaro, consentendo a un attaccante sulla stessa rete di reindirizzare la connessione verso un server sotto il suo controllo. Più dell'80% ha contattato server pubblicitari e di tracciamento noti, 76 hanno inviato l'ID pubblicitario del dispositivo, e una ha trasmesso le coordinate GPS esatte del telefono. Il punto che i ricercatori ribadiscono: una VPN sposta la vostra fiducia dal provider internet a chiunque abbia sviluppato l'app, e il badge Verified del Play Store si comporta più come un'etichetta di marketing che come una garanzia di sicurezza.

Fonte: The Hacker News · MVPNalyzer study, 10 Jul 2026

La mia analisi

Stessa lezione di qualche settimana fa con gli ad blocker, costume diverso. Le persone le installano per essere più al sicuro e consegnano il proprio traffico a chi ha scritto l'app. 2,4 miliardi di installazioni, e le basi sono compromesse: DNS che perdono dati, file di configurazione in chiaro, tracker ovunque, un'app che comunica a casa le vostre coordinate GPS. Il badge Verified non ha servito a nulla, perché un badge è un'etichetta di marketing, non un controllo.

Per la vostra organizzazione questo non è una nota a margine per i consumatori. È shadow IT sugli endpoint che toccano i vostri dati. Qualcuno nel vostro team installa una VPN gratuita sul telefono che legge la posta aziendale, e ora il vostro traffico transita attraverso un operatore che non avete mai verificato, possibilmente in chiaro. Le VPN gratuite non sono uno strumento di privacy. Sono un modello di business, e voi siete la merce.

L'unico filtro reale è la provenienza. Un audit indipendente recente, una titolarità chiara, un'azienda che guadagna con il denaro anziché con i vostri dati. Tutto il resto, comprese le dichiarazioni no-log, è un punto di partenza, non una prova.

Meta trasformerà le vostre foto pubbliche in immagini AI per impostazione predefinita.

Meta ha lanciato Muse Image, un nuovo modello AI che consente di menzionare con la @-mention un account Instagram pubblico e generare immagini partendo dalle foto, dai video e dai reel pubblici di quella persona. È attivo per impostazione predefinita. Chiunque può taggare un profilo pubblico per creare contenuti che riutilizzano in parte o interamente i media pubblicati, e a seconda delle impostazioni i contenuti generati dall'AI possono apparire nei risultati di ricerca. Le persone non vengono notificate quando le loro immagini vengono rielaborate in questo modo. Rendere privato il proprio account per più di un giorno elimina i reel e i post che altri hanno creato dai vostri contenuti, ma tutto ciò che è già stato generato con le funzionalità AI rimane. Meta afferma che gli utenti hanno il pieno controllo e possono disattivarlo, sepolto sotto Impostazioni, poi Condivisione e riutilizzo. È lo stesso schema di opt-out predefinito che Google ha appena adottato per iniziare ad alimentare i propri modelli AI con i media degli utenti connessi.

Fonte: The Hacker News · Meta Muse Image, 9 Jul 2026

La mia analisi

Attivo per impostazione predefinita, e non venite nemmeno informati quando accade. Rifletteteci. Meta prenderà le vostre foto pubbliche, lascerà che un estraneo vi menzioni con la @-mention e genererà immagini di voi, e la prima volta che ne sentite parlare è mai. Il controllo, nella versione di Meta, è un'opzione che non sapevate esistesse, sepolta tre menu in profondità, che non elimina nulla di quanto già prodotto.

Questo è il problema del consenso che l'intero settore sta ignorando di corsa. L'opt-out predefinito non è consenso; è una messa in scena del consenso, e nell'UE non si tratta di un dibattito sulla UX, ma di un dibattito sul GDPR. Google ha fatto lo stesso questo mese con i vostri media e la propria AI. Lo schema è rivelatore: prima prendono, poi offrono un'opzione nascosta, e non notificano mai.

Due minuti di manutenzione se usate Instagram: Impostazioni, Condivisione e riutilizzo, disattivate post e reel. Fatelo anche per gli account pubblici che gestite. E ricordate che ferma solo il prossimo riutilizzo, non quelli già in circolazione.

L'identificativo Windows che non si può disattivare ha incastrato un hacker.

Una denuncia federale statunitense appena resa pubblica ha portato alla luce un identificativo Windows che la maggior parte delle persone non aveva mai sentito nominare: il Global Device Identifier, o GDID. È un ID persistente a livello di dispositivo che Microsoft assegna al momento dell'accesso con un account Microsoft; collega l'attività che il PC riporta a Microsoft a una singola identità e sopravvive agli aggiornamenti di Windows. Non esiste una schermata di consenso né un vero modo per disattivarlo: non è possibile impedire a Windows di generarlo senza compromettere l'attivazione, e reinstallare il sistema fornisce solo un nuovo numero che Microsoft può ricondurre allo stesso account. Fino a questo caso, Microsoft lo aveva documentato in una sola frase, in una tabella di riferimento enterprise di Azure. Il caso in questione: un presunto membro di Scattered Spider di 19 anni ha violato un gioielliere statunitense ingannando il suo help desk con tecniche di social engineering, operando poi dietro proxy VPN. Quegli IP proxy erano vicoli ciechi, ma i log di Microsoft hanno collocato il GDID della sua macchina sia nella fase di registrazione dell'attaccante sia nel sito della vittima negli stessi minuti, e gli investigatori hanno poi abbinato lo stesso ID ai suoi account personali in quattro Paesi nell'arco di otto mesi. La VPN ruotava. Il GDID no.

Fonte: Windows Latest · GDID / FBI complaint, 10 Jul 2026

La mia analisi

Due voci più su, le VPN gratuite vi stavano facendo perdere dati. Ecco la versione più dura della stessa lezione: anche una VPN che funziona perfettamente non serve a nulla se il vostro sistema operativo imprime un ID permanente su tutto ciò che fate. L'hacker usava proxy. Erano vicoli ciechi. L'identificativo Windows sottostante non lo era. L'anonimato non è un singolo strumento; è l'anello più debole dell'intera catena, e di solito quell'anello è il sistema operativo.

Nessuno piangerà per un membro di Scattered Spider, e questo identificativo è anche il modo in cui Microsoft gestisce licenze e frodi, il che è ragionevole. La parte che dovrebbe disturbarvi è l'asimmetria. Apple e Google proteggono i loro ID dispositivo con una schermata di consenso e la possibilità di reimpostarli. Microsoft ne distribuisce uno senza prompt, senza possibilità di reset, con una sola frase di documentazione pubblica, collegato al vostro account anziché alla vostra persona, e il pubblico ha scoperto che esisteva solo perché un documento giudiziario lo ha esplicitato.

Per il vostro modello di minaccia, siate precisi su cosa acquistate con una VPN: nasconde il percorso di rete, non l'identità della vostra macchina. Se l'identità stessa è il rischio, giornalismo, attivismo, una persona a rischio, si parla di account locale, Linux o Tails, non di VPN. Per una flotta gestita, è un motivo in più per cui la vostra strategia di identity sugli endpoint non può fermarsi al livello di rete.

Ti è piaciuta? Ricevi la prossima.

Atterra sulla prossima.

Cinque cose che si sono mosse nella GRC, ogni lunedì. Analisi onesta, senza comunicati riciclati.

Iscriviti a The GRC Brief