Gli interventi
EncPriMes Privacy assoluta nella trasmissione messaggi mediante E2EE con chiavi OTP simmetriche precaricate⇧
La digitalizzazione della trasmissione dei messaggi (sia essi di testo o multimediali), porta con se un enorme rischio di potenziale violazione del contenuto degli stessi da parte di soggetti terzi NON autorizzati Per fronteggiare questo rischio, nel corso dell'evoluzione dei sistemi sono stati intrapresi una serie di accorgimenti. Tutti i sistemi ad oggi utilizzati, pur cercando di offrire un argine a questo problema, presentano delle debolezze che ne vanificano l'intento difensivo. Questo è il motivo per cui esiste EncPriMes che facendo tesoro degli errori che hanno impedito la piena protezione della privacy nella trasmissione dei messaggi, propone una soluzione unica mediante criptazione e E2EE con chiavi OTP che rendono i messaggi matematicamente inviolabili in ogni fase del percorso tra mittente e destinatario.
Navigare la complessità normativa nell'era dell'intelligenza artificiale sanitaria⇧
Filippo Bianchini (AIP - ASSO DPO - CLUSIT)
L'intelligenza artificiale sta trasformando la sanità, ma porta sfide normative complesse. Questo talk esplora il panorama regolatorio europeo per l'AI nelle life sciences, dalla rivoluzione del rapporto medico-paziente (fenomeno "Dr. ChatGPT") alle intersezioni tra AI Act, MDR e European Health Data Space. Vengono analizzate le classificazioni dei dispositivi medici basati su AI, le timeline di applicazione 2025-2027 e i ruoli dei diversi attori della filiera. Focus su cybersecurity sanitaria (NIS2, Cyber Resilience Act), bias algoritmici in medicina e modelli generativi GPAI. La nuova Product Liability Directive ridefinisce le responsabilità civili nella catena AI. Il talk fornisce una roadmap implementativa pratica per trasformare la compliance da obbligo burocratico in vantaggio competitivo, con approccio integrato che supera i silos normativi tradizionali.
Hacking e Privacy: minacce invisibili e difese consapevoli⇧
Massimo Chirivì (Associazione Italiana Professionisti della Sicurezza Informatica)
Ogni giorno lasciamo tracce digitali che, se intercettate, possono mettere a rischio la nostra privacy. Gli hacker sfruttano tecniche come phishing e sniffing per violare dati e identità, spesso senza che ce ne accorgiamo. In questo talk scopriremo le principali minacce invisibili e le difese consapevoli da adottare, trasformando la conoscenza in sicurezza digitale concreta.
Funes il memorioso ChatGpt e il giudice imperfetto⇧
Tout comprendre c'est tout pardonner. Da Madame de Staël passando per Jorge Luis Borges per arrivare al processo penale ed al giudizio: una riflessione sulla datificazione come linguaggio artificiale e l'impatto dell'AI sul più imperfetto dei giudizi.
Le ragioni della speranza⇧
Marco Ciurcina (StudioLegale.it)
Partendo dall’analisi di alcune vicende specifiche (trasferimento dati extra-UE, azioni di classe per la tutela del diritto alla privacy, eccezioni all’AIA e norme sui modelli d’intelligenza artificiale per finalità generali), si tenta di trarre alcune considerazioni sullo scenario attuale del diritto: la storia del GDPR e della sua applicazione, ma anche i primi passi dell'AIA, ci portano a considerare che il futuro è aperto e dipende da come si costruirà consenso intorno a un modello di società, bilanciando poteri degli stati e delle imprese e diritti dei cittadini.
Tessere Sicurezza, Navigare il Rischio: L'Impresa Responsabile nell'Era della Misurazione Algoritmica⇧
Giacomo Uberti (udeis Srl (partner di rete Penelope)) e Paola Bontempi (Resolve Consulting Srl (partner di rete Penelope))
Come intrecciare standard ISO 27001 e normative AI per proteggere l'umano dietro i dati.
Come Penelope tesseva di giorno e disfaceva di notte la sua tela, le imprese oggi devono continuamente tessere e ritessere la propria strategia di sicurezza in un contesto digitale in rapida evoluzione, dove l'intelligenza artificiale trasforma l'umano in flussi di dati misurabili.
La Rete Penelope accompagna le organizzazioni in questa duplice sfida: tessere uno sviluppo digitale strutturato e navigare consapevolmente i rischi emergenti. Come Odisseo affrontò le sirene e i ciclopi, le imprese devono oggi affrontare attacchi informatici sempre più sofisticati, usi impropri dell'IA e diffusioni involontarie di informazioni sensibili.
L'intervento presenta come la sicurezza delle informazioni – attraverso l'adozione di sistemi di gestione ISO/IEC 27001 e la conformità alla Direttiva NIS2 – rappresenti il "telaio" su cui tessere un'innovazione responsabile. Ogni filo della trama corrisponde a un elemento del sistema: la valutazione del rischio, le misure tecniche, la formazione delle persone, la governance.
In un labirinto normativo che intreccia GDPR, AI Act e NIS2, l'impresa non può più limitarsi alla conformità passiva. Deve assumere il ruolo di custode attivo delle informazioni, riconoscendo che dietro ogni dato c'è una persona, con la sua dignità e i suoi diritti. Attraverso l'esperienza della Rete Penelope, mostreremo come: - La valutazione del rischio diventa la bussola per navigare l'adozione di sistemi di IA - Gli standard ISO 27001 forniscono il telaio metodologico per tessere sicurezza - La conformità NIS2 protegge le rotte digitali dell'impresa - La rete d'impresa permette di condividere competenze, proprio come i compagni di Odisseo remavano insieme
Se l'Uomo Vitruviano rappresentava un ideale di misura perfetta, oggi l'impresa deve tessere un equilibrio nuovo: tra innovazione e protezione, tra efficienza algoritmica e rispetto dell'umano. La sicurezza delle informazioni non è l'ancora che blocca la nave, ma la vela che permette di navigare verso un futuro digitale responsabile.
Etica, Privacy e FOSS: proviamo a unirle.⇧
Autotutela Digitale Consapevole, perché no? Semplice e soprattutto possibile per tutti
L’Europa alla prova del Chat Control: la cifratura E2EE come fondamento della libertà digitale⇧
Luca Cadonici (European Forensic Institute)
Il dibattito europeo sul cosiddetto Chat Control mette in tensione due diritti fondamentali: da un lato la protezione della società contro gravi reati come la diffusione di materiale pedopornografico (CSAM), dall’altro il diritto alla riservatezza delle comunicazioni e alla protezione dei dati personali. Al centro della discussione vi è l’End-to-End Encryption (E2EE), oggi considerata l’architrave della libertà digitale, poiché garantisce che solo mittente e destinatario possano accedere ai contenuti delle comunicazioni, escludendo provider, governi e terze parti. Se da una parte E2EE tutela cittadini, giornalisti, attivisti e professionisti a rischio da sorveglianza e abusi, dall’altra limita drasticamente la capacità investigativa delle autorità, creando frizioni tra esigenze di sicurezza pubblica e salvaguardia dei diritti fondamentali. Questo contributo esplora il nodo politico e giuridico posto dal Chat Control, evidenziando come un’eventuale indebolimento della cifratura rischierebbe di compromettere non solo la sicurezza tecnica delle comunicazioni, ma anche la fiducia dei cittadini nel digitale. La sfida per l’Europa sarà dunque quella di conciliare la lotta ai crimini gravi con la difesa della sfera privata e dei diritti civili, mantenendo E2EE come pilastro irrinunciabile della democrazia digitale
Tette e gattini (titolo rubato a Matteo Flora)⇧
Diego GIORIO (SEPEL Editrice - Comune di Villanova Canavese)
Oggi Internet è un riflesso della società intera, rappresentata da pericoli (le tette) e da utili e piacevoli servizi (i gattini). Certo l'ideale sarebbe eliminare o almeno contenere i primi e favorire i secondi. Tuttavia le strade dell'inferno sono lastricate di buone intenzioni, per cui non sempre i legittimi e opportuni tentativi di tutelare la popolazione portano, in ultima analisi, a benefici reali, capaci di superare gli aspetti negativi. Un esempio? L’idea della Apple di sospendere una videochiamata se qualcuno inizia a spogliarsi. Ottima l’idea di tutelare qualche ingenuo, anche per prevenire truffe e ricatti; meno positivo il fatto di avere, ab origine, un’AI sul telefono che controlla tutte le attività. Cosa succederebbe se governi e imprese decidessero di utilizzarla anche per altri fini?
Blockchain tra privacy e regolamentazioni: un nuovo paradigma di compliance⇧
Andrea Rizzini (Politecnico di Milano)
In questo talk affronteremo nel dettaglio il problema del dualismo privacy-compliance nelle blockchain e nelle applicazioni web3. Recentemente sono nate diverse normative (MiCA, FATF Travel Rule, FinCEN), applicabili principalmente ai virtual asset service providers (VASP), ovvero entità come banche, exchange e soluzioni di custodia. La compliance, quindi, non tocca protocolli neutrali come Ethereum e Bitcoin nel loro complesso, ma soltanto gli endpoint VASP che li sfruttano come layer sottostante. Vogliamo mettere in evidenza la necessità di introdurre una soluzione che garantisca e salvaguardi la privacy degli utenti sulla blockchain, spiegando perché lo pseudonimato non è sufficiente e al contempo, i problemi legati ai cybercrimini che potrebbero sorgere. Arriveremo quindi a illustrare le attuali soluzioni di compliance e i loro limiti (molte di queste basate su backdoor), collegandoci ad una nostra proposta chiamata “Ancestral Commitment Compliance”, che abbiamo recentemente presentato alla conferenza CISOSE–DAPPS tenutasi a Tucson (Arizona, USA).
Dal corpo elettronico alla "governamentalità algoritmica": l’assolutizzazione del frammento e le ricadute etico-giuridiche⇧
Emanuele Brambilla (Università degli Studi di Milano)
Le sempre più raffinate capacità di profilazione hanno contribuito a rendere la persona umana sempre più un “oggetto” da vagliare e archiviare, più che un soggetto libero e responsabile da rispettare. L’intervento si concentrerà dapprima sul significato di corpo elettronico, per come viene definito da Stefano Rodotà, avendo cura di segnalare brevemente gli antecedenti di questo concetto, prima di spiegarlo e di definirne il “contenuto”. Dopodiché, passerà all’analisi della cosiddetta “governamentalità algoritmica” (secondo la terminologia di Rouvroy e Berns) per esplicitare quali passaggi precedano il suo raggiungimento, in cosa essa consista e quali ne siano le conseguenze. In tal modo, si potrà meglio comprendere come le odierne capacità algoritmiche e le modalità di sfruttamento dei dati non li interpretino più come una parte del tutto che è l’uomo, ma intraprendano un’assolutizzazione del frammento per scopi di marketing, pubblicità comportamentale o, semplicemente, per indicare le (supposte e dedotte) preferenze personali. Infine, verrà fatto emergere come le attuali disposizioni giuridiche disegnino un quadro parziale che va aggiornato costantemente a seconda delle nuove sfide che si presentano, avendo cura di far fiorire sopratutto l’aspetto etico, che precede e fonda quello normativo.
Il corpo fisico ed il corpo digitale dell’uomo contemporaneo⇧
Vitruvio nel “De Architectura” sosteneva che le misure fisiche dell’essere umano debbano essere in armonia con le misure fisiche degli edifici, i quali devono corrispondere alle necessità del fruitore.
Secoli dopo si potrebbe aggiungere che le “costruzioni nell’ambiente digitale” deve essere anche in armonia con le misure digitali dell’essere umano: in tal senso si era argomentato che il computer possa considerarsi “una parte esternalizzata del corpo della persona,” al fine di estenderne le tutele costitu-zionali. Ma essendo il corpo digitale dell’uomo impalpabile, invisibile non è agevole applicare dei limi-ti alla voracità per i dati del corpo fisico e digitale: immancabilmente il corpo digitale esercita anche un’influenza su quello fisico del cittadino.
Si ricava l’impressione che il corpo digitale, proprio perché invisibile, possa essere usato senza le me-desime tutele del corpo fisico garantite a livello costituzionale: si lascia al GDPR e al Regolamento sull’intelligenza artificiale il compito di fornire garanzie, dove invece le tutele dovrebbero discendere da fonti del diritto superiori.
AI or not AI – that is the question⇧
Una breve introduzione su come funzionano sotto il cofano gli llm e perché allo stato attuale no, non sono del tutto intelligenti, sono al momento strumenti di monopolizzazione del tempo
Policy Aziendali per i lavoratori per la Tutela dei Dati Riservati nell'utilizzo della AI⇧
Monica Gobbato (Privacy Academy e Lawboat.ch) e Angela Pedalina (LawBoat.ch Informatich.ch)
L'integrazione degli strumenti di Intelligenza Artificiale Generativa nei processi aziendali offre un potenziale significativo di aumento della produttività. Tuttavia, l'adozione non regolamentata espone le organizzazioni a gravi rischi legali, finanziari e reputazionali, in particolare per quanto riguarda la violazione della riservatezza e la diffusione di dati sensibili o protetti (inclusi segreti commerciali, proprietà intellettuale e dati personali). Questo intervento si concentra sull'urgente necessità di sviluppare e implementare Policy Aziendali chiare ed efficaci per l'utilizzo dell'IA da parte dei lavoratori. Discuteremo delle sfide legate alla formazione dei dipendenti e del monitoraggio dell'aderenza alle policy. L'obiettivo è fornire un quadro strategico per consentire alle aziende di sfruttare i benefici dell'IA, minimizzando al contempo l'esposizione al rischio e garantendo una rigorosa tutela del patrimonio informativo.
Alla ricerca del nuovo umanesimo: digitalizzare l’umano, umanizzare il digitale⇧
Oggi, quasi senza accorgercene, per ciascuno di noi esiste almeno un doppio digitale. Non è fatto di carne e sangue, ma di dati. Siamo diventati doppi: da un lato l'essere umano attivo e creativo, che aspira a essere misura del mondo; dall'altro un gemello digitale passivo e misurato, la cui esistenza è definita da altri. Ma la via non è segnata. Possiamo scegliere se essere definiti dalla nostra Ombra digitale o se riaffermare la complessità del nostro essere "originali"; una sfida più umanistica che tecnologica.
Il Firewall che Respira Open Source: Un Viaggio all'Interno di IPFire.⇧
Fabio Carletti (ipfire italia) e Umberto Parma
Talk incentrato sulla distro linux IpFire(https://www.ipfire.org/), fork del progetto ipcop è una soluzione orientata per soluzioni router/firewall con una intuitiva interfaccia grafica da remoto tramite https per la gestione, l’abilitazione di servizi da attivare e da aggiungere tramite plug-in installabili. Nel talk si presenterà in diretta la configurazione per i diversi scenari tipici di utilizzo per piccoli uffici e aziendale. Abilitazione di plug-in per implementare servizi vari così da avere in un pc più servizi usabili nella zona lan come samba, cups, tor e funzionalità IDS/IPS tramite suricada, plug-in per uso adblock per evitare la tracciabilità dnavigazione e altre feature legate all'ultima release del progetto. Kernel patchato con protezioni grsec, il progetto molto attivo rilascia 2-3 release annue di versione.
Bias e intelligenza artificiale generativa⇧
I pregiudizi (bias) sono intrinsecamente umani e quelli che possono causare danno integrano varie forme di discriminazione, individuali e collettive. Gli algoritmi informatici, nella misura in cui sono scritti dall’uomo e restituiscono risultati sulla base di dati immessi dall’uomo, presentano un rischio strutturale di riprodurre ed amplificare tali bias, con conseguente incremento delle potenzialità discriminatorie. Tali criticità risultano ulteriormente accentuate nei sistemi di intelligenza artificiale generativa, caratterizzati da processi autonomi di produzione e rielaborazione dei contenuti. L’intervento si propone di approfondire le questioni giuridiche connesse alla discriminazione veicolata dall’intelligenza artificiale generativa sotto il profilo della protezione dei dati personali.