L'adempimento prescritto dall'art. 30 del decreto NIS impone a tutti i soggetti essenziali e importanti di mappare le proprie attività e servizi digitali, classificandoli in base a 10 macroaree e 4 livelli di impatto. Questa ricognizione andrà trasmessa all'Agenzia per la Cybersicurezza Nazionale (ACN) tra il 1° maggio e il 30 giugno 2026, definendo così i criteri per le future misure di sicurezza informatica.
Le nuove Linee Guida del Garante Privacy (GU n. 98/2026) stabiliscono che l'uso dei tracking pixel nelle e-mail richiede, come regola generale, il consenso preventivo e un'informativa chiara, fatta eccezione per finalità puramente statistiche, di sicurezza o per messaggi istituzionali di cui sia necessaria la presa di conoscenza.
Il Garante ha sanzionato Poste Italiane e Postepay per oltre 12 milioni di euro a causa del tracciamento non consentito delle app installate sui dispositivi degli utenti tramite il sistema ThreatMetrix. L'Autorità ha ritenuto tale trattamento non necessario ai fini della normativa antifrode e ha ordinato l'interruzione immediata della raccolta dei dati.
L’8 aprile scorso il Senato della Repubblica ha approvato il d.l. n. 21/2026 (cd. “Decreto Bollette”), che interviene anche in materia di telemarketing, con la modifica del Codice del Consumo. Nel dettaglio, gli emendamenti proposti hanno introdotto delle novelle al vigente testo del D. Lgs. n. 206/2005, in particolare per quanto concerne l’art. 51 (“Requisiti formali per i contratti a distanza”).
Sono online sul sito web istituzionale dell’Agenzia per la cybersicurezza nazionale le determine sui termini per gli adempimenti dei nuovi soggetti NIS e sull’aggiornamento delle modalità di utilizzo e accesso alla piattaforma ACN, con particolare riferimento all’elenco dei fornitori rilevanti, esaminate nell’ottava riunione del Tavolo NIS.
L’accessibilità dei servizi digitali si configura oggi come un principio centrale, volto a garantire inclusione, non discriminazione e piena partecipazione alla vita sociale. In questo contesto, assumono rilievo gli obblighi posti a carico dei fornitori di servizi, chiamati a progettare soluzioni accessibili sin dalla fase di sviluppo, nel rispetto di criteri tecnici e normativi sempre più strutturati.
Il Garante Privacy ha sanzionato Intesa Sanpaolo con oltre 17 milioni di euro per il trattamento illecito dei dati di circa 2,4 milioni di clienti, nell’ambito del trasferimento a Isybank. Il provvedimento evidenzia criticità legate alla profilazione senza adeguata base giuridica e alla carenza di trasparenza nelle comunicazioni verso i clienti.
Il Parlamento Europeo è intervenuto sulla proposta di Digital Omnibus sull’AI per garantire una maggiore armonizzazione normativa senza ridurre le tutele previste dall’AI Act. Le modifiche riguardano, tra gli altri, l’obbligo di AI literacy, l’estensione della definizione di sistema di IA, il divieto dei deepfake a contenuto sessuale non consensuale, il trattamento dei dati particolari, i sandbox e le tempistiche di applicazione degli obblighi per i sistemi ad alto rischio.
Il Dlgs 31 dicembre 2025, n. 212 recepisce la direttiva (UE) 2023/2225 (CCD 2) e introduce nel TUB una novellata disciplina sulla valutazione del merito creditizio, con particolare riferimento al caso in cui la stessa si fonda sul trattamento automatizzato di dati personali. Sono previste maggiori tutele per i consumatori (soggetti interessati) anche attraverso un’azione di coordinamento con le previsioni del GDPR.
Lo scorso dicembre l’Agenzia per la Cybersicurezza Nazionale (ACN) ha pubblicato linee guida operative per supportare i soggetti NIS nella definizione del processo di gestione degli incidenti informatici. Il documento individua gli elementi essenziali della procedura e le attività preliminari necessarie per garantirne l’efficacia, con l’obiettivo di rafforzare il livello di cyber resilience e la governance della sicurezza digitale.
