-
Sovranità delle chiavi: il potere che non può più fare eccezione
La sovranità delle chiavi sembra il nuovo potere assoluto. È il contrario: un controllo che non può fare eccezione, e lo Stato non è più sovrano.
-
Interoperabilità DMA: il caso Siri e il nodo di sicurezza dell’apertura forzata degli assistenti
Interoperabilità DMA e sicurezza: il caso del nuovo Siri bloccato in UE mostra la tensione tra apertura forzata degli assistenti AI e protezione dei dati di un agente con accesso profondo al dispositivo.
-
Quando la cybersecurity diventa una questione di governance: il Master UniTo che colma il gap tra IT e boardroom
NIS2, DORA, AI Act cambiano le regole: la sicurezza informatica non riguarda più solo i tecnici, ma i vertici aziendali. L’Università di Torino risponde con un percorso universitario inedito che forma figure capaci di parlare entrambe le lingue – quella del rischio e quella della strategia. C’è un problema strutturale che molte organizzazioni faticano ad…
-
Plugin WordPress di Awesome Motive avvelenati via CDN: la fiducia nello script di terze parti diventa la porta d’ingresso
Un attaccante ha manomesso gli script JavaScript di tre plugin WordPress di Awesome Motive (PushEngage, OptinMonster, TrustPulse) serviti via CDN, impiantando una backdoor invisibile alla dashboard e attivata solo per gli amministratori autenticati. Oltre 1,2 milioni di siti potenzialmente esposti: a cedere non è una vulnerabilità del sito, ma la fiducia in uno script di terze parti.
-
SearchLeak: un solo clic trasformava Microsoft 365 Copilot in uno strumento di esfiltrazione
Varonis ha dimostrato come un singolo clic su un link in dominio Microsoft autentico potesse trasformare Microsoft 365 Copilot Enterprise Search in un canale di furto dati. La falla, SearchLeak (CVE-2026-42824), è stata corretta da Microsoft sul backend, ma ridefinisce il modello di minaccia degli assistenti AI in ambito enterprise: la prompt injection riattiva bug web classici come SSRF e race nei sanitizzatori.
-
Commissione UE, proposto un “Tech sovereignty package” per l’autonomia digitale europea
Nell’odierno dibattito sulla sicurezza informatica, la sovranità digitale riveste un ruolo fondamentale. Come hanno dimostrato i recenti squilibri geopolitici, la dipendenza da tecnologie di provenienza estera può infatti trasformarsi in un elemento di vulnerabilità critica per gli Stati: ciò ogniqualvolta eventi imprevedibili (sia naturali, sia umani) colpiscano le complesse catene di approvvigionamento del mercato tecnologico,…
-
Deepfake: non il falso che crediamo, ma il vero che possiamo negare
Il deepfake non ci farà credere al falso, ma ci permetterà di non credere più al vero. E la prova migra dalla cosa alla firma di chi la rivendica.
-
Velvet Ant, dieci anni dentro il sistema di login: l’APT cinese che riscrive la fiducia nelle reti isolate
Velvet Ant ha modificato PAM e OpenSSH per spiare una rete isolata per quasi dieci anni: l’APT cinese e la difesa che si sposta dal patch alla verifica di integrità.
-
DMA e gatekeeper: il caso WhatsApp e la battaglia sullo strato intelligente delle app
DMA e gatekeeper alla prova del caso WhatsApp: perché la Commissione UE ha usato l’antitrust, e non il DMA, per riaprire l’accesso agli assistenti AI rivali come ChatGPT, Gemini e Claude.
-
AI red teaming: testare un’AI non è fare un penetration test
L’AI red teaming non è un penetration test: collauda il comportamento probabilistico dei modelli e degli agenti. Metodo, framework OWASP e MITRE ATLAS, metriche.
