Privacy Letters #33
Interferenze Russe , Smart Cities , Biometria e molto altro...
In questo episodio di Privacy Letters:
PimEyes e Riconoscimento Facciale
Elsag EOC Plus: Il Sistema di Sorveglianza Veicolare
Smart Cities VS Città Libere
Dentro le operazioni diNoName057(16)
Boot:
Le elezioni presidenziali in Romania del 2025 rappresentano un caso emblematico delle nuove vulnerabilità delle democrazie europee. Dopo l’annullamento del primo turno da parte della Corte Costituzionale per gravi interferenze attribuite alla Russia — tra cui una capillare campagna su TikTok a favore del candidato di estrema destra Călin Georgescu — il secondo turno ha visto una nuova forma di attacco, questa volta informatico. Il gruppo filo-russo NoName057(16) ha rivendicato una serie di attacchi DDoS contro siti governativi e istituzionali nel giorno del ballottaggio, colpendo la trasparenza e la stabilità del processo democratico.
Le istituzioni romene, in particolare la Direzione Nazionale per la Sicurezza Cibernetica, sono riuscite a contenere l’impatto tecnico degli attacchi. Tuttavia, il significato politico e simbolico rimane profondo: si tratta di una strategia sistematica di destabilizzazione, che combina cyber-attacchi, disinformazione sui social media e propaganda mirata alle fasce più influenzabili della popolazione, in particolare i giovani.
La vittoria di George Simion, leader del partito nazionalista AUR, già noto per le sue posizioni euroscettiche e contrarie agli aiuti all’Ucraina, avviene in questo clima alterato. Pur non essendo direttamente coinvolto nelle interferenze, il successo elettorale di candidati le cui agende coincidono con quelle promosse dalla propaganda russa solleva interrogativi sulla genuinità del consenso popolare in un contesto inquinato da campagne coordinate di manipolazione.
Ciò che è accaduto in Romania non è un caso isolato, ma un campanello d’allarme per tutta l’Unione Europea. Il fronte orientale dell’UE si conferma il più esposto alle operazioni ibride che mirano a erodere dall’interno la fiducia dei cittadini nelle istituzioni democratiche. È necessario rafforzare non solo le difese cibernetiche, ma anche gli strumenti di educazione digitale, monitoraggio della disinformazione e trasparenza delle piattaforme sociali.
Il tempo in cui le elezioni si combattevano solo nelle urne è finito. Oggi, le guerre dell’informazione si vincono — o si perdono — ben prima che gli elettori entrino nei seggi.
📬 Condividi la newsletter ed iscriviti per ricevere articoli e consigli su privacy, sicurezza e cyber geowarfare.
PimEyes e i Sistemi di Riconoscimento Facciale: Riflessioni Critiche su Sicurezza, Privacy e Etica in un'Epoca di Sorveglianza Globale
L’uso crescente di strumenti di riconoscimento facciale basati sull’intelligenza artificiale — come PimEyes, Clearview AI, Face++, FindFace e simili — solleva interrogativi profondi e urgenti per quanto riguarda privacy, sicurezza dei dati personali, responsabilità giuridica ed etica democratica. Questi strumenti, inizialmente sviluppati per scopi legittimi (prevenzione del crimine, autenticazione, ecc.), sono oggi accessibili al pubblico e, cosa ancor più critica, alla criminalità organizzata, agli stalker digitali, ai regimi autoritari e ai datori di lavoro senza scrupoli.
Questo articolo si propone di analizzare in profondità i rischi concreti connessi all’uso di PimEyes e di piattaforme analoghe, alla luce delle normative internazionali sulla protezione dei dati (GDPR, CCPA, ecc.), delle implicazioni tecnologiche e dei principi fondamentali della società democratica.
1. Cos'è PimEyes?
PimEyes è un motore di ricerca visivo che consente di cercare immagini di un volto specifico su internet partendo da una sola fotografia. È tecnicamente simile a strumenti come Clearview AI, ma, a differenza di quest’ultima, è aperto al pubblico.
2. Vulnerabilità e minacce
a) Violazione della privacy individuale su larga scala
PimEyes permette a chiunque — senza bisogno di autorizzazione o di motivazione — di caricare un volto e ottenere tutte le immagini associate a quella persona sparse nel web, comprese foto pubblicate su social media, forum, blog, siti professionali, archivi pubblici. Questo spoglia ogni cittadino del diritto all'anonimato nella sfera pubblica digitale.
b) Stalking, doxxing e persecuzioni mirate
Lo strumento può essere utilizzato da:
Stalker per identificare e seguire le vittime.
Datori di lavoro per profilare dipendenti senza consenso.
Attori statali per monitorare dissidenti e giornalisti.
Gruppi criminali per raccogliere informazioni su bersagli.
La combinazione tra identificazione biometrica e OSINT (open-source intelligence) crea una minaccia senza precedenti alla sicurezza personale.
c) Assenza di consenso e meccanismi di difesa
PimEyes opera in assenza di un meccanismo robusto di opt-out o controllo da parte degli interessati. Le richieste di rimozione sono onerose, poco trasparenti, e spesso inefficaci. In pratica, l'onere della difesa ricade sulla vittima.
d) Re-identificazione anonima
Uno dei pericoli maggiori dei sistemi come PimEyes è la re-identificazione di soggetti anonimi:
Attivisti ripresi in video durante proteste.
Vittime di abusi il cui volto è stato condiviso online.
Minorenni ripresi in contesti scolastici o sociali.
Questa capacità cancella ogni barriera tra identità pubblica e privata, tra esposizione volontaria e involontaria.
3. Contesto legale e normativo
Sebbene strumenti come PimEyes dichiarino di rispettare il GDPR, vi sono molteplici zone grigie:
Trattamento di dati biometrici senza esplicito consenso (Art. 9 GDPR).
Assenza di una base giuridica chiara per l'indicizzazione del volto.
Diritti degli interessati (accesso, rettifica, cancellazione) difficilmente esercitabili.
Nel contesto extra-europeo, il California Consumer Privacy Act (CCPA) e le iniziative come l’AI Act europeo cercano di limitare questi usi, ma spesso le tecnologie evolvono più rapidamente della regolamentazione.
4. Minaccia alla democrazia e alla libertà
La possibilità di identificare chiunque, ovunque, trasforma il concetto stesso di spazio pubblico. Laddove la presenza pubblica comportava un certo grado di anonimato sociale, oggi la riconoscibilità automatica cambia la natura del vivere civile:
Libertà di manifestare compressa dalla paura della sorveglianza.
Libertà accademica, artistica e politica ridimensionate.
Libertà di reinventarsi (un principio chiave nella dignità personale) erosa dalla permanenza visiva online.
5. Raccomandazioni per policy makers ed esperti
Moratoria internazionale sull’uso pubblico dei motori di riconoscimento facciale fino a una regolamentazione condivisa.
Design etico dell’IA: introdurre obblighi di “privacy by design” e “privacy by default” anche per strumenti a uso individuale.
Sistemi di audit trasparente su database di immagini indicizzate.
Obbligo di opt-in esplicito, non di opt-out, per il trattamento biometrico.
Educazione digitale avanzata per istituzioni, utenti e imprese.
6. Strategie Tecniche di Mitigazione contro il Riconoscimento Facciale Non Autorizzato
1. Obfuscazione dell’immagine (Image Cloaking)
Tecniche di cloaking consistono nell’introduzione di perturbazioni impercettibili nei pixel delle immagini che ingannano i modelli di riconoscimento facciale basati su deep learning.
Tool open-source:
Fawkes (University of Chicago)
LowKey (MIT Media Lab)
PhotoGuard (MIT CSAIL)
Limiti: non sempre efficaci contro motori non pubblici; possono degradare la qualità visiva.
2. Watermarking invisibile per tracciamento e segnalazione
Applicare watermarking impercettibile (steganografia robusta) alle immagini personali pubblicate, per identificare riutilizzi non autorizzati.
Strumenti:
Digimarc (commerciale)
Invisible Watermarking via DWT-SVD
Uso strategico: marcatura automatica lato server e supporto a prove legali.
3. Content Security Policy + Anti-scraping
Applicare header CSP e tecniche anti-bot per ostacolare l’indicizzazione non autorizzata da scraper automatizzati.
Strategie:
Rate-limiting intelligente
JS obfuscation con token dinamici
Captcha invisibili o honeypot
4. Tattiche di avvelenamento del dataset (Data Poisoning)
Diffondere dataset avvelenati con volti sintetici simili per inquinare i modelli di riconoscimento facciale.
Tecnologie: StyleGAN + manipolazione metadati + cloaking.
Nota: eticamente controverso, ma possibile difesa.
5. Privacy proxy e CDN protettivi
Utilizzare CDN con protezione anti-scraping (es. Cloudflare) per proteggere contenuti multimediali.
6. Federated learning e riconoscimento decentralizzato
Per sistemi biometrici aziendali, preferire modelli federati e con privacy differenziale, per evitare centralizzazione dei dati sensibili.
Best Practice Aggiuntive
📌 Per siti web e CMS:
Disabilita l’indicizzazione delle immagini con
robots.txteX-Robots-TagApplica header HTTP anti-scraping
📱 Per App Mobile:
Implementa rilevamento anti-screenshot e anti-recording
Oscura immagini sensibili in background
👥 Per utenti finali:
Formazione continua sulla pubblicazione sicura delle foto
Uso di strumenti di cloaking (Fawkes, LowKey)
🧩 Per sistemi server-side:
Logging degli accessi a immagini statiche
CDN con protezione bot e fingerprinting
🎓 Per ambienti scolastici e HR:
Evitare pubblicazione libera di volti di minori o dipendenti
Gestione consensi espliciti per ogni utilizzo pubblico
Conclusioni
L’accesso pubblico a tecnologie come PimEyes rappresenta una rottura epocale nel rapporto tra tecnologia, identità e libertà personale. I pericoli superano ampiamente i benefici percepiti. Come esperti, legislatori e cittadini, siamo chiamati a intervenire con urgenza, prima che l’identità diventi proprietà pubblica, la privacy un’illusione, e la sorveglianza una condizione permanente.
“Non possiamo sacrificare la libertà in nome dell’efficienza tecnica. La storia ci ha insegnato che le tecnologie non neutrali richiedono governance non passiva.”
📬 Vuoi restare libero in un mondo sempre più tracciato?
Iscriviti alla newsletter per ricevere analisi indipendenti su privacy, sicurezza informatica, sorveglianza urbana e geowarfare.
💬 Commenta e partecipa: ogni voce informata è un atto di resistenza digitale.
Elsag EOC Plus: La Nuova Frontiera della Sorveglianza Veicolare Solleva Preoccupazioni sulla Privacy negli Stati Uniti
Negli Stati Uniti è in fase di test una nuova e controversa tecnologia di sorveglianza veicolare: si tratta dell’Elsag EOC Plus, sviluppato dalla filiale americana della multinazionale italiana Leonardo. Questo sistema è in grado di identificare e tracciare i dispositivi elettronici presenti in un veicolo in movimento, creando una vera e propria “impronta digitale elettronica” del mezzo e dei suoi occupanti.
Come Funziona il Sistema Elsag EOC Plus
Il sistema EOC Plus combina le tradizionali telecamere LPR (License Plate Recognition) con sensori avanzati in grado di rilevare segnali radio provenienti da:
Dispositivi Bluetooth (smartphone, auricolari, orologi smart)
Wi-Fi hotspot mobili e componenti dell’auto
Chip RFID (in carte bancarie, passaporti, badge d’accesso, libri)
Microchip per animali domestici
Sensori di pressione dei pneumatici, sistemi di infotainment, e altro ancora
Ogni dispositivo emette una firma elettronica unica, che viene registrata insieme alla targa del veicolo e al timestamp. Anche se il sistema non raccoglie contenuti o comunicazioni, consente di identificare combinazioni uniche di dispositivi che possono essere usate per tracciare gli spostamenti di un’auto specifica nel tempo.
Esempio: anche se 40 auto su 100 hanno un iPhone, solo una avrà un iPhone 13, un Apple Watch, un auricolare Bose, una radio Sony, un localizzatore Tile e la targa ABC-1234.
Un Sistema con Copertura Estesa
Leonardo afferma che oltre 4.000 forze dell’ordine statunitensi utilizzano i loro sistemi LPR. L’EOC Plus rappresenta un’estensione di queste infrastrutture esistenti, rendendo più efficiente l’identificazione dei veicoli e dei loro occupanti. È stato progettato per essere integrato non solo nelle auto di pattuglia, ma anche in strade pubbliche, stazioni ferroviarie, aeroporti e centri commerciali.
Il Brevetto del 2024: Identificazione Tramite “Firma Elettronica”
Nel marzo 2024, Leonardo US Cyber and Security Solutions ha ottenuto il brevetto statunitense n. 11,941,716 B2. Il brevetto descrive un sistema in grado di identificare individui sulla base dei segnali emessi dai loro dispositivi elettronici, anche in assenza della lettura della targa. Le forze dell’ordine possono così analizzare “firme elettroniche” storiche in database centralizzati, verificando la presenza di un determinato soggetto in una specifica area a un certo momento.
Applicazioni Potenziali e Rischi di Abuso
Il sistema potrebbe essere impiegato in vari scenari:
Identificazione di sospetti e testimoni di reati
Tracciamento di persone scomparse
Rilevazione di jammer GPS e dispositivi illeciti
Analisi comportamentali per scopi investigativi o commerciali
Tuttavia, ciò solleva serie preoccupazioni in materia di privacy. Le informazioni raccolte possono essere archiviate e analizzate anche senza mandato, creando uno strumento potente per la sorveglianza di massa.
Critiche e Preoccupazioni per la Privacy
Organizzazioni come la Electronic Frontier Foundation (EFF) hanno espresso forti preoccupazioni: sebbene Leonardo affermi che il sistema sia conforme alla legge e che non raccoglie dati senza autorizzazione, la mancanza di trasparenza e regolamentazione solleva interrogativi etici e legali.
Un rapporto del Government Accountability Office (GAO) del 2024 ha evidenziato che l'U.S. Customs and Border Protection (CBP) non soddisfa pienamente sei principi fondamentali di protezione della privacy nei propri programmi di sorveglianza, tra cui l’uso di tecnologie simili all’EOC Plus.
Concorrenza e Espansione del Settore
L’EOC Plus non è l’unica tecnologia in questo ambito. Aziende concorrenti come Flock Safety offrono già soluzioni di sorveglianza per quartieri residenziali e aziende private, fornendo i dati direttamente alle forze dell’ordine.
Il mercato della sorveglianza intelligente è in rapida crescita, spinto dalla combinazione di AI, riconoscimento facciale, tracciamento RFID e accesso in tempo reale ai dati.
Conclusione: Il Futuro della Sicurezza o un Grande Fratello su Quattro Ruote?
L’EOC Plus rappresenta una svolta nella raccolta passiva di informazioni da parte delle forze dell’ordine, potenzialmente utile nella lotta contro la criminalità. Tuttavia, senza regole chiare, supervisione indipendente e trasparenza pubblica, questa tecnologia rischia di diventare uno strumento invasivo di sorveglianza di massa.
Il dibattito è aperto: sicurezza e privacy possono coesistere, ma solo attraverso un uso responsabile, norme rigorose e un controllo democratico sull’impiego di queste tecnologie.
🏙️ Verso le Città Libere: Tecnologia Urbana Senza Sorveglianza
🔍 Controllo o progresso?
Negli ultimi dieci anni, le nostre città sono diventate sempre più digitali. Le cosiddette Smart Cities — costellate di sensori, telecamere e app — promettono efficienza, sostenibilità e sicurezza.
Ma dietro questa promessa si nasconde un pericolo reale: la trasformazione dello spazio urbano in un ambiente di controllo permanente.
⚠️ Tecnologia per chi? E a quale prezzo?
Le città intelligenti funzionano spesso su un modello top-down:
centralizzato,
opaco,
imposto senza reale consenso.
📹 Riconoscimento facciale, tracciamento GPS, e identità digitale obbligatoria trasformano i cittadini in dati da analizzare, non persone da servire.
"Chi controlla la tecnologia? E soprattutto: a vantaggio di chi?"
🧭 Due visioni a confronto
📡 Smart City (modello attuale)
Governance: Centralizzata, spesso opaca, gestita da enti pubblici e privati
Raccolta dati: Continua, anche passiva (videocamere, app, sensori)
Accesso ai servizi: Legato all’identità digitale personale
Mobilità: Tracciata tramite app e infrastrutture digitali
Partecipazione civica: Limitata, solo consultiva
Finalità economica: Efficienza e attrattività per investitori
🏘️ Città Libera (modello privacy-first)
Governance: Decentralizzata, basata su assemblee civiche e trasparenza
Raccolta dati: Limitata, anonimizzata, controllata dall’utente
Accesso ai servizi: Anonimo, tramite credenziali temporanee
Mobilità: Non tracciata, supportata da tessere locali e opzioni offline
Partecipazione civica: Attiva e decisionale, con votazioni digitali criptate
Finalità economica: Autosufficienza locale e cooperazione
🏙️ Il lato oscuro dei “15 minuti”
Il modello della Città dei 15 Minuti sembrava la soluzione perfetta: sostenibile, a misura d’uomo, senza auto.
Ma c’è un rovescio della medaglia.
🧱 La prossimità forzata può diventare una prigione urbana.
📡 La digitalizzazione capillare abilita tracciamenti continui.
🔒 L’accesso ai servizi richiede spesso l’identificazione digitale.
Invece di garantire autonomia, il modello rischia di segmentare la città in zone controllate, dove ogni spostamento è monitorato e ogni servizio tracciato.
🏘️ La proposta: il Quartiere Libero
Un’alternativa concreta e realizzabile: una città modulare fondata sulla privacy e la partecipazione.
🔧 Infrastruttura tecnica
Edge computing → i dati restano locali
App open source → nessun tracking occulto
Identità anonima → servizi senza profilazione
No sorveglianza biometrica → telecamere oscurano i volti
🗳️ Partecipazione democratica
Assemblee digitali → votazioni criptate
Governance civica → decisioni prese dal basso
💱 Economia comunitaria
Mercati peer-to-peer
Criptovalute etiche
Reti energetiche cooperative
🚀 Scalabilità: dal quartiere alla metropoli
Il Quartiere Libero è pensato per essere replicabile. Può nascere in un piccolo distretto e poi connettersi ad altri in una rete federata, evitando il ritorno al controllo centralizzato.
🧩 Conclusione: non smart, ma libere
Non dobbiamo scegliere tra tecnologia e libertà. Possiamo avere entrambe, ma solo se mettiamo la privacy e l’autonomia al centro della progettazione urbana.
"La vera innovazione è costruire città in cui si può vivere, muoversi e dissentire — senza essere osservati."
📬 Vuoi restare libero in un mondo sempre più tracciato?
Iscriviti e condividi la newsletter per ricevere analisi indipendenti su privacy, sicurezza informatica, sorveglianza urbana e geowarfare.
💬 Commenta e partecipa: ogni voce informata è un atto di resistenza digitale.
Il volto oscuro del cyberspazio: dentro le operazioni di NoName057(16), l’arma digitale del Cremlino
Nel panorama della guerra ibrida del XXI secolo, le battaglie non si combattono solo sul terreno, ma anche nei server e nei social. La Romania, al centro delle cronache per le sue elezioni presidenziali recenti, è stata l’ultima vittima della guerra informatica portata avanti da NoName057(16), un collettivo hacker filorusso che ha fatto dell’attacco DDoS la sua firma digitale. Ma chi sono veramente? E perché rappresentano una minaccia crescente per le democrazie europee?
Origini e ideologia: un collettivo “patriottico”
NoName057(16) nasce nel marzo 2022, nei primi giorni dell’invasione russa dell’Ucraina. Ufficialmente si presenta come un gruppo di “hacktivisti patriottici”, ma in realtà è parte integrante di un ecosistema cyberfilorusso che opera con obiettivi strategici: destabilizzare i paesi ostili al Cremlino, interferire nei processi democratici e promuovere la propaganda russa.
Attraverso il loro canale Telegram — aggiornato quotidianamente con obiettivi, rivendicazioni e proclami propagandistici — i membri del collettivo giustificano ogni attacco come una risposta “difensiva” contro la russofobia occidentale.
Modus operandi: attacchi coordinati e ricompensati
La specialità della casa sono gli attacchi DDoS (Distributed Denial of Service): inondano i siti web bersaglio di richieste artificiali fino a renderli inaccessibili. Ma il vero salto di qualità è arrivato con DDosia, una piattaforma che consente a chiunque — in cambio di criptovaluta — di unirsi agli attacchi, trasformando NoName057(16) in un’impresa decentralizzata della disinformazione e della destabilizzazione.
Un vero e proprio “modello Uber” dell’attivismo informatico, con una rete internazionale di simpatizzanti pagati per mandare offline media, enti pubblici e persino infrastrutture critiche.
Obiettivi: dove c’è una crisi, c’è NoName057(16)
Dal 2022 a oggi, il gruppo ha colpito in modo sistematico:
Ucraina, con attacchi continui alle agenzie governative;
Polonia, Lettonia, Lituania, Estonia, per il loro sostegno a Kyiv;
Italia, Francia, Germania, nei momenti più caldi del dibattito pubblico sulle armi all’Ucraina;
E recentemente la Romania, dove hanno colpito il giorno del ballottaggio presidenziale, bloccando i siti della Corte Costituzionale, del Ministero degli Esteri e del governo.
Nel caso romeno, l’attacco si è inserito in un contesto già compromesso: il primo turno elettorale era stato annullato per interferenze russe, tra cui una massiccia campagna social su TikTok a favore del candidato di estrema destra Călin Georgescu.
Affiliazioni sospette: oltre l’attivismo
Sebbene NoName057(16) si presenti come entità autonoma, analisi OSINT e di cybersecurity suggeriscono connessioni indirette con l’intelligence russa e con altri gruppi noti come Killnet e XakNet. Questi collettivi, pur operando su fronti diversi, sembrano coordinati nei tempi e negli obiettivi, suggerendo una cabina di regia centrale, probabilmente vicina al GRU (l’intelligence militare russa).
Impatto e rischi per l’Europa
Quello che NoName057(16) dimostra è che la destabilizzazione non passa più solo per spie e infiltrati: passa dai social, dalle reti decentralizzate e da un consenso che viene manipolato a colpi di meme, bug e crash dei server. Il loro obiettivo non è solo bloccare un sito, ma delegittimare le istituzioni, creare sfiducia, polarizzare il discorso pubblico.
Nel breve termine, il danno è tecnico; nel lungo termine, è politico e culturale.
Conclusioni: la democrazia si difende anche nel cyberspazio
L’Unione Europea, e in particolare i paesi dell’Est, devono affrontare una nuova frontiera di minaccia: quella della guerra cognitiva. Contrastare NoName057(16) non è solo una questione di firewall e antivirus, ma di resilienza democratica: educazione digitale, trasparenza algoritmica, e cooperazione tra governi e piattaforme.
NoName057(16) è solo un sintomo. La malattia è un’epoca in cui la verità è negoziabile e le urne possono essere manipolate con un clic.
Notizie in Breve:
Un dipendente di xAI, la compagnia di intelligenza artificiale fondata da Elon Musk, ha accidentalmente esposto una chiave API privata su GitHub, consentendo per due mesi l'accesso a modelli linguistici avanzati sviluppati per SpaceX, Tesla e Twitter/X.La chiave ha permesso l'interrogazione di almeno 60 modelli, tra cui versioni non rilasciate e private come "grok-spacex-2024-11-04" e "tweet-rejector". GitGuardian ha rilevato l'esposizione il 2 marzo 2025 e ha avvisato sia l'autore del commit sia il team di sicurezza di xAI. Nonostante ciò, la chiave è rimasta attiva fino al 30 aprile, quando è stata finalmente rimossa dal repository.Secondo gli esperti, l'esposizione di queste credenziali potrebbe aver consentito attacchi come l'iniezione di prompt o l'inserimento di codice dannoso nella catena di approvvigionamento. xAI non ha commentato l'incidente, né ha risposto alle richieste di chiarimento.
Questo episodio evidenzia le vulnerabilità legate alla gestione delle credenziali e alla sicurezza dei dati sensibili all'interno di ambienti aziendali complessi.
TikTok è stata multata di 530 milioni di euro dalla Commissione irlandese per la protezione dei dati (DPC) per violazioni del GDPR relative al trasferimento non autorizzato dei dati degli utenti europei in Cina. L'indagine, avviata nel settembre 2021, ha rivelato che la piattaforma non ha garantito adeguate protezioni per i dati personali degli utenti dell'Area Economica Europea (EEA), né ha assicurato che tali dati fossero protetti da accessi da parte delle autorità cinesi, in contrasto con gli standard europei. Inoltre, TikTok ha fornito informazioni errate durante l'inchiesta, inizialmente negando di archiviare dati in server cinesi, per poi ammettere nel febbraio 2025 che alcuni dati erano stati effettivamente conservati lì. Sebbene TikTok abbia affermato che i dati sono stati ora eliminati, la DPC sta valutando ulteriori azioni normative.La sanzione include un ordine che impone a TikTok di cessare i trasferimenti di dati verso la Cina entro sei mesi, a meno che non vengano adottate misure correttive. La società ha dichiarato l'intenzione di presentare ricorso, sostenendo che l'attuale iniziativa "Project Clover" ha migliorato la sicurezza dei dati in Europa. Questa è la seconda multa significativa per TikTok: nel settembre 2023, la DPC l'aveva già multata di 345 milioni di euro per violazioni relative alla protezione dei dati dei minori.
In un passo deciso verso la sicurezza moderna, Microsoft ha annunciato che gli account personali come Outlook, OneDrive, Xbox Live e altri diventeranno passwordless per impostazione predefinita.
Questo significa che per accedere non sarà più necessario inserire una password: al suo posto si potrà utilizzare l'app Microsoft Authenticator, Windows Hello (con riconoscimento facciale o impronta digitale), codici temporanei via SMS/email o chiavi di sicurezza compatibili con FIDO2.
L’obiettivo è ridurre drasticamente i rischi legati al furto di credenziali e agli attacchi di phishing, spingendo gli utenti verso metodi di autenticazione più robusti e difficili da compromettere.
WhatsApp (di proprietà Meta) ha vinto una causa contro NSO Group, azienda israeliana nota per il software spia Pegasus. Il tribunale federale della California ha stabilito che NSO ha violato la legge statunitense contro l'hacking (CFAA) e i termini di servizio di WhatsApp, sfruttando i suoi server per installare spyware su circa 1.400 dispositivi di attivisti, giornalisti e diplomatici nel 2019.
Il giudice ha ordinato a NSO di consegnare il codice sorgente completo di Pegasus e di altri strumenti usati tra il 2018 e il 2020, pur non obbligandola a rivelare i clienti o l'infrastruttura interna. Il processo per la quantificazione dei danni è in corso, con Meta che chiede almeno 440.000 dollari in danni, mentre le sanzioni finali potrebbero ammontare a decine di milioni.
Il caso segna un precedente legale importante contro l’abuso di tecnologie di sorveglianza e mette pressione sul settore per maggiore trasparenza e responsabilità.
Durante il ballottaggio delle elezioni presidenziali in Romania, il gruppo filo-russo NoName057(16) ha lanciato attacchi DDoS contro vari siti istituzionali romeni. Gli attacchi, rivendicati come “sorpresa DDoS”, sono stati gestiti e risolti rapidamente. Il contesto è segnato da sospette interferenze russe, già evidenziate nel primo turno annullato. Ha vinto George Simion, leader nazionalista, con una campagna molto attiva sui social. L’episodio sottolinea i rischi crescenti per la sicurezza cibernetica e l’integrità elettorale in Europa orientale.
News:
NSO Group damages in WhatsApp spyware case could be in the ‘tens of millions,’ experts predict
Canadian Electric Utility Hit by Cyberattack
Microsoft Accounts Go Passwordless by Default
TikTok Slammed With €530 Million GDPR Fine for Sending E.U. Data to China
xAI Dev Leaks API Key for Private SpaceX, Tesla LLMs
Data center sotterranei: in Trentino focus su efficienza e sostenibilità
Russian hackers target Romanian state websites on election day
TikTok Fined $600 Million for China Data Transfers That Broke EU Privacy Rules