LiquidLaw

29/05/2026

ATTENZIONE A PHISHING E SITI CLONE

ha richiamato l’attenzione su alcune minacce che colpiscono sempre più spesso gli utenti attraverso strumenti di uso quotidiano: phishing, smishing, furto di credenziali, siti clone e messaggi malevoli inviati tramite email, Sms, Pec o canali di lavoro.

Le frodi sono sempre più difficili da riconoscere: non solo comunicazioni palesemente anomale. Sempre più spesso le comunicazioni imitano , , di o comunicazioni apparentemente attendibili, con l’obiettivo di indurre il destinatario ad aprire link, scaricare allegati o inserire credenziali su pagine non sicure.

Tra i rischi indicati da NoiPA rientrano:
📌 email fraudolente e Sms ingannevoli
📌 furto di credenziali
📌 siti clone costruiti per imitare portali legittimi
📌 malware trasmessi tramite allegati Pec o email di lavoro
📌 finte telefonate di assistenza
📌 mancati aggiornamenti software

Il richiamo interessa direttamente anche la della da parte delle aziende. La prevenzione passa dalla capacità di riconoscere comunicazioni sospette, ma anche da procedure corrette, aggiornamento dei sistemi e attenzione alla circolazione di link, allegati e richieste urgenti.

La campagna riassume questo approccio in una formula essenziale: la prima difesa resta la .

27/05/2026

CRAL E PRIVACY

Il GDPR è ormai entrato stabilmente nei . Minore attenzione è stata dedicata ai CRAL, che però trattano sempre più spesso dati personali degli associati anche oltre la tradizionale attività ricreativa.

Il problema riguarda prima di tutto la qualificazione del ruolo privacy. Nella prassi si riscontrano almeno tre situazioni:
1️⃣ CRAL realmente autonomi, che gestiscono iscrizioni, quote, eventi e convenzioni con strumenti propri
2️⃣ CRAL formalmente autonomi ma integrati nell’organizzazione aziendale, con uso di caselle mail, piattaforme, locali o personale del datore di lavoro
3️⃣ attività ormai assorbite dalle funzioni HR o affidate a provider esterni di welfare

Da questa distinzione deriva che se il CRAL determina autonomamente finalità e mezzi del trattamento, può configurarsi come . Se invece le decisioni sostanziali restano in capo al datore di lavoro o a soggetti esterni, occorre verificare se ricorrano ipotesi di o di responsabile del trattamento.

Un altro profilo riguarda la . Il consenso non può essere richiamato in modo automatico. Nel rapporto di lavoro resta problematico e richiede un’adesione realmente . Per iscrizioni, quote, prenotazioni o servizi richiesti dall’associato, il riferimento può variare in base all’attività svolta. Per benefit collegati all’art. 51 TUIR rilevano invece anche obblighi fiscali, amministrativi o contributivi. Quando si trattano dati sulla salute o altre categorie particolari di dati, serve anche una condizione di liceità ai sensi dell’art. 9 GDPR.

Particolare attenzione va riservata anche alla dei tra HR e CRAL. Elenchi di dipendenti, contatti aziendali, dati dei familiari, informazioni utili all’accesso ai benefit non possono essere trasferiti in via automatica. Occorre verificare basi giuridiche, finalità, ruoli e misure di sicurezza.

Anche i CRAL di dimensioni ridotte restano soggetti ai principi del GDPR. Quando l’attività comprende welfare continuativo, fornitori esterni o dati particolarmente delicati, aumenta il livello di compliance richiesto, con possibili riflessi su mappatura dei trattamenti, ruoli privacy, rapporti con i fornitori, registro dei trattamenti e valutazione del rischio.

25/05/2026

🗓️ AI ACT: DAL 2 AGOSTO SCATTA LA TRASPARENZA

Dal #2 gli obblighi di trasparenza previsti dall’art. 50 dell’AI Act diventano applicabili negli Stati membri dell’Unione europea. La bozza delle linee guida della Commissione europea chiarisce i casi in cui occorre informare l’utente, marcare contenuti sintetici, etichettare deep fake o testi diffusi su temi di interesse pubblico.

Gli ambiti interessati sono quattro:
1️⃣ sistemi di IA che interagiscono direttamente con persone fisiche
2️⃣ contenuti sintetici generati o manipolati dall’IA
3️⃣ sistemi di emotion recognition e biometric categorisation
4️⃣ deep fake e testi pubblicati su temi di interesse pubblico

Gli obblighi possono applicarsi in modo sullo stesso sistema e possono coinvolgere soggetti diversi della catena del valore. Serve quindi una dei sistemi utilizzati o forniti, con distinzione tra sistemi interattivi, generativi, di riconoscimento delle emozioni o di categorizzazione biometrica, e con una chiara individuazione del ruolo assunto da ciascun soggetto come provider o deployer.

Le linee guida richiamano anche requisiti puntuali sulle dell’informazione. L’ deve essere resa in modo chiaro e distinguibile, al più tardi al momento della prima interazione o della prima esposizione.

Per le imprese coinvolte, dagli sviluppatori di sistemi di IA fino alle strutture sanitarie, la verifica riguarda interfacce, contenuti pubblicati, flussi di approvazione, processi di revisione umana e clausole contrattuali con i fornitori. La bozza richiama espressamente anche l’esigenza di il quando si intende valorizzare la human review e la editorial responsibility.

Le linee guida sono in consultazione fino al 3 giugno 2026, ma la scadenza applicativa resta fissata al 2 agosto 2026. Serve quindi avviare ora una verifica interna dei sistemi e degli output interessati dall’art. 50.

25/05/2026

25/05/2026

A due giorni da #“IA A SCUOLA – Edizione 2”, tenutasi sabato 23 maggio presso l’Istituto IISS E.Majorana Brindisi, resta forte la consapevolezza di quanto il confronto tra scuola, istituzioni, autorità ed esperti sia oggi fondamentale per accompagnare l’innovazione digitale nel mondo dell’istruzione.

Abbiamo avuto il piacere di curarne il coordinamento scientifico, contribuendo a creare uno spazio di dialogo concreto su una sfida ormai centrale: integrare l’Intelligenza Artificiale nella scuola in modo sicuro, efficace e conforme alle normative.

L’evento ha riunito dirigenti scolastici, DSGA, docenti, professionisti del settore education, aziende e innovatori del digitale, con la partecipazione di rappresentanti di: , , , , , Puglia, Università e istituzioni scolastiche provenienti da tutta Italia.

Tra i temi emersi con maggiore forza, l’esperienza dell’Istituto Ettore Majorana di Brindisi rappresenta oggi un esempio concreto di innovazione responsabile: il progetto #“Book in Progress AI” dimostra infatti come l’utilizzo dell’Intelligenza Artificiale nella didattica possa essere sviluppato nel pieno rispetto della privacy, della sicurezza dei dati e delle indicazioni normative.

Il sistema è stato progettato mettendo al centro conformità e protezione dei dati personali, anche grazie al lavoro svolto dal dell’Istituto, ruolo affidato al .

Un ringraziamento particolare a tutti i relatori, moderatori e partecipanti che hanno contribuito alla qualità del dibattito e alle realtà che hanno sostenuto l’iniziativa:
Argo Software
FmTechnology srl
Studio Amica
DSGA ON LINE

L’IA nella scuola non è più una prospettiva futura: è una responsabilità presente da costruire insieme.

22/05/2026

WHISTLEBLOWING: IL LICENZIAMENTO SI PRESUME RITORSIVO

La del segnalante prevista dal d.lgs. 24/2023 si estende all’eventuale sul .

È questo il principio richiamato dal Tribunale di Milano, sezione lavoro, con sentenza n. 701 del 27 marzo 2026, secondo cui non spetta al lavoratore dimostrare il carattere ritorsivo del recesso: è il che deve che il è su ragioni estranee alla segnalazione.

Nel caso esaminato, il lavoratore aveva effettuato una segnalazione anonima tramite il canale interno il 9 dicembre 2024.

Nei giorni immediatamente successivi era stato prima sollevato dalle attività, poi destinatario di una contestazione disciplinare e infine licenziato per presunto uso eccessivo dello smart working.

Nel corso dell’istruttoria è però emerso che il superamento dei limiti veniva tollerato in azienda e che, al più, aveva dato luogo a richiami verbali.

Il giudice ha ritenuto quindi insussistente la giusta causa e pretestuosa la contestazione disciplinare. A rilevare, in particolare, sono stati:
📌 l’inversione dell’onere della prova prevista dall’art. 17 del d.lgs. 24/2023
📌 la mancata dimostrazione, da parte della società, di ragioni autonome rispetto alla segnalazione
📌 la stretta vicinanza temporale tra segnalazione, estromissione, contestazione e licenziamento

Accertato il carattere ritorsivo del recesso, il licenziamento è stato dichiarato nullo, con diritto alla reintegrazione e al pagamento delle retribuzioni maturate dalla data del licenziamento fino all’effettivo rientro in servizio, oltre interessi e rivalutazione monetaria.

20/05/2026

VIDEOSORVEGLIANZA: PIÙ RISORSE AI COMUNI

Con la legge 24 aprile 2026, n. 54, di conversione del cosiddetto , i Comuni dispongono di nuove risorse e di operativi in materia di urbana.

Le misure principali riguardano:
📌 19 milioni di euro anche per il 2026 per l’installazione di sistemi di videosorveglianza comunale
📌 29 milioni di euro per il 2026 in più al Fondo per la sicurezza urbana
📌 maggiore flessibilità nell’utilizzo delle risorse per assunzioni a tempo determinato e lavoro straordinario della polizia locale.

Per i Comuni, la novità non riguarda solo le risorse economiche. La legge infatti i per rafforzare il del territorio, sostenere la polizia locale e finanziare interventi di sicurezza urbana in modo più flessibile rispetto al passato.

Tuttavia, la legge incrementa le risorse disponibili, ma il entro cui devono essere progettati e utilizzati i sistemi di controllo del territorio.

Resta infatti confermata la dell’uso del nei luoghi pubblici o aperti al pubblico fino al 31 dicembre 2027.

18/05/2026

SCADENZA ACN AL 30 GIUGNO

L’ per la ha definito le modalità per l’elencazione e la categorizzazione delle attività e dei servizi dei .

🗓️ Dal 1° maggio al 30 giugno 2026, i soggetti interessati devono comunicare attraverso il servizio dedicato l’ delle proprie attività e dei propri servizi.

Il modello ACN richiede di:
🔸 individuare le attività e i servizi supportati da sistemi informatici
🔸 ricondurli alle 10 macro-aree previste
🔸 verificare se il livello di rilevanza preassegnato sia coerente con l’impatto che una compromissione avrebbe sulle attività o sui servizi essenziali o importanti del soggetto NIS.

La è il per orientare in modo proporzionato le future di e per individuare le porzioni di sistemi informativi e di rete su cui sarà necessario un presidio più incisivo.

Le fonti ACN e i commenti tecnici collegano infatti questo adempimento al percorso di adeguamento previsto dal d.lgs. 138/2024 e alle successive misure di sicurezza.

➡️ La cybersecurity non può più essere gestita come un tema esclusivamente tecnico, perché la classificazione di attività e servizi incide direttamente sulle priorità organizzative, sui presidi da adottare e sui presidi da adottare e sulla resilienza complessiva del sistema di conformità.

15/05/2026

SANZIONI PRIVACY: IL GARANTE DEVE CHIUDERE PRIMA LA FASE INVESTIGATIVA

Il Tribunale di Padova, con la sentenza n. 596 del 2 aprile 2026, ha chiarito che, nell’attività del Garante per la protezione dei dati personali volta all’accertamento delle violazioni e all’irrogazione delle relative sanzioni, occorre tra una o preistruttoria e una successiva in senso stretto.

Solo una volta la , infatti, l’Ufficio del Garante può avviare il per l’ dei e delle sanzioni, notificando al titolare o al responsabile del trattamento le presunte violazioni.

La sentenza richiama la struttura del procedimento sanzionatorio delineato dalla Legge n. 689/1981, che si articola in due fasi distinte:
1️⃣ Fase istruttoria, finalizzata all’acquisizione degli elementi
2️⃣ Fase decisoria, preordinata all’adozione dell’ordinanza-ingiunzione o dell’ordinanza di archiviazione

Secondo il Tribunale, il raccordo tra fase investigativa e fase sanzionatoria è dato dal termine previsto dal Regolamento del Garante n. 2/2019, che stabilisce #120 dall’accertamento della violazione per la notificazione ai soggetti residenti nel territorio della Repubblica.

Il termine decorre dall’accertamento definitivo dell’illecito e ha natura perentoria: entro quel termine deve essere esercitato il potere sanzionatorio. In caso contrario, tale potere si consuma.

La decisione attribuisce a questo termine una di , coerente con i principi di sicurezza giuridica e diritto di difesa, escludendo che il potere sanzionatorio possa restare esercitabile senza un limite temporale rigoroso.

13/05/2026

EMAIL AZIENDALE: L’ACCESSO VA RIPENSATO IN CHIAVE PRIVACY

Con il provvedimento del 12 marzo 2026, il Garante privacy ha chiarito che la casella -mail intestata al dipendente può essere gestita come un contenitore “ ”. Anche le comunicazioni di lavoro possono contenere dell’interessato e, per questo, possono rientrare nell’ambito del di previsto dall’art. 15 GDPR.

Nel caso esaminato, l’azienda aveva risposto all’istanza dell’ex dipendente consegnando solo alcune email ritenute “personali” e trattenendo quelle considerate “professionali”. Per il Garante, però, una selezione preventiva costruita unilateralmente dal datore non è coerente con la logica del Regolamento.

Il provvedimento richiama alcuni :
📌 La natura lavorativa del messaggio non esclude, di per sé, la presenza di dati personali
📌 Eventuali limitazioni devono essere specifiche e giustificabili
📌 Il bilanciamento con dati di terzi o informazioni riservate va gestito con misure adeguate, non con esclusioni generiche
📌 La casella e-mail non dovrebbe diventare un archivio permanente e indistinto dell’impresa

Per le imprese, il provvedimento evidenzia la necessità di ripensare modalità e procedure di gestione della posta elettronica aziendale: servono policy chiare sulla gestione delle caselle, procedure per la cessazione del rapporto e criteri corretti per rispondere alle richieste di accesso senza trasformare la tutela del patrimonio informativo in una compressione impropria dei diritti dell’interessato.

11/05/2026

🎓 UNI 11621-8: LE PROFESSIONI AI

L’Italia è la prima nazione EU che in modo strutturato i operanti nel dell’ . Il 30 aprile 2026 è stata, infatti, pubblicata la UNI 11621-8:2026. Il documento è stato elaborato in coerenza con l’AI Act e con la Legge 23 settembre 2025, n. 132, offrendo un riferimento comune per competenze, responsabilità e percorsi di qualificazione.

La norma individua #12 - dalla governance allo sviluppo, dalla sicurezza alla ricerca - e si rivolge a imprese, pubbliche amministrazioni, enti formativi e organismi di certificazione. Per ogni profilo vengono definiti missione, compiti, risultati attesi, competenze, conoscenze, abilità e indicatori di prestazione.

La norma mette a disposizione uno per , e rendere più ordinata la qualificazione delle competenze in un ambito in cui il quadro normativo europeo richiede sempre più chiarezza anche sul piano organizzativo.

Per imprese e amministrazioni, la norma assume rilievo anche sotto il profilo organizzativo e regolatorio. La definizione dei ruoli AI diventa anche uno di , e corretta attuazione dei nuovi obblighi legati all’adozione dei sistemi di intelligenza artificiale.