Poco prima della fine dell'anno un'ultima rilettura della settimana natalizia fino a tra le festività (22.12-28.12.2025), come di consueto 9 novità dalla tecnologia e dall'informatica, questa volta con parere, cannella e zucchero.
Conformità 26 | Consenso ai cookie | AI nei giochi | Velocità di Bitlocker | MongoDB CVE | Cambiamento del nome di Gmail Alias | 39C3 Conclusione dell'APE | 39C3 DiDay | Perdita di filo metallico
Articolo 1
Anteprima legale 2026: Concentrati sulla conformità all'IA e sulla sicurezza IT
Bella panoramica sulla rivista iX alla fine dell'anno: Il 2026 segna il passaggio dalla legislazione all'attuazione pratica nel diritto informatico. Sebbene manchino nuovi grandi progetti, l'attenzione si concentra sui riaggiustamenti (pacchetto omnibus digitale) e sulle decisioni giudiziarie fondamentali.
Gli argomenti più importanti a colpo d'occhio:
Regolamento sull'IA (legge sull'IA): A partire da 2 agosto 2026 La maggior parte delle disposizioni della legge sull'IA si applica, in particolare ai sistemi ad alto rischio. Le imprese devono ora istituire strutture di governance, anche se il pacchetto Omnibus digitale potrebbe prorogare alcune scadenze fino al 2027/28 per alleggerire l'onere per l'economia.
AI & Diritto d'autore: A seguito della sentenza della GEMA contro OpenAI, è prevista una procedura di ricorso innovativa per il 2026. La questione fondamentale è se la formazione dei modelli di IA costituisca una violazione del diritto d'autore o rientri in un'eccezione giuridica.
Legge sui dati: Dal settembre 2026 si applicheranno gli obblighi. Fornitura dei dati. I produttori di prodotti connessi (IoT) devono tecnicamente garantire che gli utenti possano accedere facilmente ai loro dati e portarli con sé ad altri fornitori.
Sicurezza informatica (NIS2 & CRA): Il 2026 è il primo anno completo sotto il nuovo Legge di attuazione della NIS2. Un numero significativamente maggiore di imprese è ora sotto la supervisione della BSI e deve rispettare rigorosi obblighi in materia di rischi e relazioni. Inoltre, nell'autunno del 2026, i primi obblighi di comunicazione Legge sulla ciberresilienza (CRA).
Identità digitale (eIDAS 2.0): Entro il 2026 gli Stati membri dell'UE dovrebbero: Portafoglio di identità digitale offerta. I cittadini possono utilizzarlo per gestire digitalmente carte d'identità o certificati sui loro smartphone e firmarli legalmente.
Piattaforme & Sovranità : Ai sensi della legge sui servizi digitali e della legge sui mercati digitali, sono previste sanzioni iniziali nei confronti delle grandi società tecnologiche. C'è una tendenza negli appalti pubblici Acquista europeo Sovranità e intercambiabilità del cloud diventano importanti criteri di aggiudicazione.
Questo video di VamiSec riassume le informazioni più importanti:
Conclusione: Il 2026 è l'anno della Audit di conformità . I responsabili IT devono adattare le architetture esistenti alle nuove categorie normative per evitare multe e rischi di responsabilità .
Fine dell'alluvione? Avviato il primo "agente autorizzato" riconosciuto
Articolo di heise.de. Un pezzo importante del puzzle per l'autodeterminazione digitale va nella prova pratica: Con lo strumento Consenso è il primo servizio per la gestione dei consensi sui cookie disponibile in Germania, che è stato ufficialmente riconosciuto dall'Autorità federale per la protezione dei dati.
I dettagli dell'inizio:
Rilascio silenzioso: Il plugin del browser è aggiornato Disponibile tramite un pre-link nel Chrome Store. Il lancio ufficiale e la quotazione per Firefox e Safari avrà luogo su 26 gennaio 2026.
Come funziona: Gli utenti impostano le loro preferenze sulla privacy una volta centralmente nel plugin del browser. L'agente li trasmette automaticamente ai siti web visitati, il che dovrebbe eliminare i fastidiosi clic manuali sui banner dei cookie.
L'ostacolo: Affinché il sistema funzioni, anche gli operatori di siti web devono svolgere un ruolo. Poiché molte soluzioni di consenso esistenti non elaborano ancora volontariamente i segnali dei plug-in del browser, il team dietro Consenter offre il proprio banner compatibile per i siti Web.
Contesto scientifico: Il progetto è stato finanziato dal Ministero federale della ricerca e sviluppato sotto la direzione del Prof. Dr. von Grafenstein (UdK Berlin). L'obiettivo è combattere la "fatica del consenso" e consentire un'autentica sovranità digitale.
Perché questo è importante per i decisori IT: Il Consensore fornisce una valutazione automatizzata dei rischi per gli strumenti di terze parti. Gli operatori di siti web che implementano il sistema ricevono una sorta di valutazione d'impatto indipendente sulla protezione dei dati. Ciò può non solo rendere la conformità più sicura dal punto di vista giuridico, ma anche aumentare l'accettazione da parte degli utenti attraverso una maggiore trasparenza.
Articolo 3
Premio indipendente per i costi di utilizzo dell'IA: 'Clair Obscur - Expedition 33' perde il titolo
Leggi su Reddit. Lo studio francese Sandfall Interactive subito dopo il successo al Indie Game Awards 2025 Restituisci due titoli. Il motivo è una violazione delle rigide linee guida per l'uso dell'intelligenza artificiale.
Contesto della decisione:
Politica di tolleranza zero: Il Indie Game Awards Consentire solo nomination per giochi che sono stati sviluppati completamente senza strumenti di intelligenza artificiale. Sandfall Interactive aveva assicurato nel processo di candidatura che avrebbe rispettato questo requisito.
L’indicatore «Kauderwelsch»: Poco dopo il rilascio, i giocatori hanno scoperto texture generate dall'IA (testo illeggibile su una colonna pubblicitaria). Lo studio ha poi ammesso in un’intervista di aver utilizzato «un po’ di IA» per le trame segnaposto che erano rimaste accidentalmente nella versione di vendita.
Le conseguenze: Il gioco perde i premi come Gioco Indie dell'anno (Va ora a Principe blu) e il Debutto Game Award (da affrontare Spiacenti, siamo chiusi).
Importante distinzione: Il titolo generale multipiattaforma "Gioco dell'anno" del separato The Game Awards può mantenere il gioco, perché lì l'uso dell'IA non porta all'esclusione.
Pertinenza per le industrie informatiche e creative: Il caso evidenzia il crescente divario nella valutazione dell'IA: Mentre diventa standard nel settore AAA come strumento di efficienza, è spesso considerato tabù nella scena indie. Per gli sviluppatori, questo significa: La trasparenza sullo stack tecnologico sta diventando sempre più un rischio legale e reputazionale nelle presentazioni di premi e nel marketing.
Articolo 4
Accelerazione hardware per BitLocker: Più velocità per le unità NVMe
Microsoft ha annunciato un importante cambiamento di architettura per la crittografia di Windows. Con il BitLocker accelerato dall'hardware L'azienda affronta le perdite di prestazioni che finora sono state particolarmente evidenti negli SSD NVMe estremamente veloci e nelle attività computazionalmente intensive (editing video, giochi). Questo sarà implementato con le prossime generazioni di CPU nel 2026.
I punti salienti tecnici:
Crypto offloading: Il lavoro di crittografia viene trasferito dalla CPU principale a una CPU dedicata. Motore crittografico SoC (Sistema su chip). Ciò consente di risparmiare in media, secondo Microsoft 70 % Cicli della CPU e protegge la batteria.
Chiavi protette dall'hardware: Le chiavi di crittografia sono "avvolte" sul lato hardware. L'obiettivo è quello di vietare completamente le chiavi BitLocker dalla cache e dalla memoria della CPU in futuro, al fine di proteggerle dagli attacchi di lettura.
Algoritmo: Utilizzo dei dispositivi supportati per impostazione predefinita XTS-AES-256.
Disponibilità e requisiti:
Software: Prerequisito è l'aggiornamento di Windows 11 da settembre 2025 (versione 24H2) o la nuova versione 25H2.
Hardware: Iniziare con i dispositivi Intel in arrivo Processori di Panther Lake (Core Ultra Serie 3). Altri produttori seguiranno.
Verifica: Circa l'ordine Stato di manage-bde il prompt dei comandi può essere utilizzato per verificare se "l'accelerazione hardware" è attiva.
Nota importante per gli amministratori: Hardware BitLocker disattivato, quando i criteri di gruppo (GPO) applicano algoritmi obsoleti o incompatibili (come AES-CBC). Microsoft consiglia di modificare i criteri in XTS-AES-256 per sfruttare i vantaggi in termini di prestazioni.
Articolo 5
Chiamata urgente di patch: Vulnerabilità in MongoDB
Leggi su Bleepingcomputer.com: MongoDB avverte gli amministratori di una grave vulnerabilità (CVE-2025-14847) nella gestione dello stoccaggio, che richiede un'azione immediata.
I fatti più importanti:
Il rischio: Un errore nel zlibL'implementazione del server consente agli aggressori remoti non autenticati di leggere la memoria non inizializzata (memoria heap). L'attacco non è molto complesso e non richiede l'interazione dell'utente.
Possibili conseguenze: Secondo gli esperti di sicurezza, nel peggiore dei casi, il divario potrebbe portare gli aggressori a prendere il controllo dei sistemi interessati.
Versioni interessate: L'elenco è lungo e comprende quasi tutte le versioni comuni (da v4.4 a v8.2) e tutte le versioni delle serie v4.2, v4.0 e v3.6.
Misure di emergenza:
Aggiornamento: Aggiornato alle versioni 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 o 4.4.30.
Soluzione alternativa: Se un aggiornamento non è possibile immediatamente, il Compressione zlib disattivata Lo sara'. Questo viene fatto iniziando mongod oppure mongos con l'opzione, zlib Esplicitamente dal networkMessageCompressori Escluso.
Classificazione per la sicurezza informatica: Poiché MongoDB è uno dei database NoSQL più utilizzati al mondo (oltre 62.000 clienti, tra cui molte aziende Fortune 500), questo divario è un obiettivo interessante per gli attacchi automatizzati. Gli amministratori dovrebbero dare la priorità alla registrazione delle patch a causa dell'eseguibilità remota senza autenticazione.
Articolo 6
39C3: Critiche aspre all'EPA perché le carenze di sicurezza rimangono irrisolte
Un anno dopo l'introduzione della cartella clinica elettronica (ePA), la ricerca sulla sicurezza si sta spostando a 39. Chaos Communication Congress è un record che fa riflettere. La ricercatrice Bianca Kastl avverte che i problemi strutturali chiave continuano ad esistere.
Le principali critiche:
Identità incerte: Il problema principale risiede nelle procedure di autenticazione dell'infrastruttura telematica. Kastl critica il fatto che i processi di verifica dell'identità siano soggetti a errori organizzativi e consentano abusi, che non possono essere corretti con piccole correzioni.
Mancanza di trasparenza: La comunicazione del ministero federale della Salute (campagna «ePA, nasicher!») è classificata come eufemistica. Le prove critiche degli esperti sarebbero ignorate o relativizzate.
Responsabilità diffusa: La responsabilità per i rischi per la sicurezza viene spostata avanti e indietro tra politici, autorità e attori. Alla fine, gli assicurati si assumono l'intero rischio (ad esempio in caso di perdite di dati o accesso errato).
Avvertenza sul portafoglio EU ID: Per quanto riguarda il previsto portafoglio di identità UE di proprietà dello Stato (cfr. eIDAS 2.0), Kastl mette in guardia dal commettere nuovamente gli stessi errori strutturali, ma con un impatto molto maggiore sulla sovranità digitale.
Heise era sul posto e ha anche materiale video online:
Articolo 7
La rivoluzione di Gmail: Indirizzo email finalmente modificabile (alias system)
Dopo più di 20 anni, Google sta allentando una delle sue regole più severe: Gli utenti possono ora utilizzare il loro primario @gmail.comCambia il tuo indirizzo senza dover aprire un nuovo account. Questa è soprattutto una benedizione per coloro che usano un "peccato giovanile" come nome di posta elettronica (ad es. party-maus2005@) vorrebbe scambiare per un indirizzo rispettabile.
Ecco come funziona il nuovo sistema:
Funzione alias automatica: Se modifichi il tuo indirizzo, il vecchio indirizzo non verrà cancellato. Rimane come pseudonimo permanentemente associato al tuo account.
Nessuna perdita di dati: Tutte le e-mail, le foto, i file di unità e gli accessi rimangono. Si ricevono ancora le mail che vengono inviate al vecchio indirizzo, ma si appare all'esterno con il nuovo nome.
Login flessibile: Puoi comunque accedere ai servizi Google con entrambi gli indirizzi (vecchio e nuovo).
Restrizioni: * Il cambiamento è solo una volta ogni 12 mesi possibile.
- Il totale è massimo tre modifiche di indirizzo Per account consentito.
- In alcuni sistemi profondamente radicati (come le vecchie voci del calendario), l'indirizzo originale potrebbe essere ancora visibile.
Caratteristica aggiuntiva "E-mail nascosta": In parallelo, Google sta lanciando il cosiddetto "E-mail celate" Spegni. Ciò consente di creare alias temporanei per le newsletter o le iscrizioni alle app (simile all'"indirizzo e-mail nascosto" di Apple). Questi inoltrano i messaggi alla tua casella di posta principale, ma mantengono segreto il tuo vero indirizzo e quindi proteggono dallo spam.
Per inciso, la funzione alias in sé non è affatto nuova, ma solo la modifica dell’«indirizzo principale», che diventa così un indirizzo alias.
Articolo 8
39C3: L'Alleanza chiede la Giornata dell'Indipendenza Digitale
Leggi su golem.de: Il 39. Il Chaos Communication Congress (39C3) ha un'ampia alleanza Club di computer del caos (CCC) e Wikimedia Italia Una nuova iniziativa è stata lanciata contro il predominio delle grandi aziende tecnologiche.
Di.giorno: A partire da 4 gennaio 2026 Il Digital Independence Day viene celebrato ogni prima domenica del mese. L'obiettivo è ridurre l'influenza delle piattaforme statunitensi sui processi democratici e sulla privacy.
Parti di scambio & Workshops: Hackerspaces in più di dieci città organizzano workshop per aiutare a passare da WhatsApp a Signal, da Chrome a Firefox o da Windows a Linux.
Sostegno di primo piano: L'autore Marc-Uwe Kling Promuovere l'azione al Congresso. L'obiettivo è lasciare alle spalle il "capitalismo di sorveglianza" e promuovere la sovranità digitale attraverso "partiti di cambiamento" (anche offline).
Cambiare le ricette: Nella pagina della campagna Di.Day Gli utenti troveranno istruzioni concrete su come esportare i dati e migrare in modo sicuro verso alternative gratuite.
Articolo 9
Perdita di dati a WIRED: Gli hacker rilasciano milioni di dati degli utenti
Bleepingcomputer.com: Un criminale informatico con lo pseudonimo "Lovely" ha una banca dati della rinomata rivista statunitense WIRED trapelato. La fuga fa parte di un grande attacco alla società di media Condé Nast, Secondo la minaccia dell'hacker, un totale di fino a 40 milioni di record di varie pubblicazioni (tra cui Vogue, Il New Yorker e Vanity Fair) potrebbe essere in circolazione.
Dettagli dell'incidente:
Ambito di applicazione: La banca dati WIRED pubblicata contiene circa 2,37 milioni di record.
Contenuto: Indirizzi e-mail, ID interni e timestamp sono trapelati. Alcuni abbonati includono anche nomi chiari, indirizzi fisici, date di nascita e numeri di telefono. Le password non sembrano essere incluse direttamente nel testo normale, ma i dati sono già stati verificati rispetto ad altri registri di furto di informazioni.
Contesto: L'hacker afferma di aver precedentemente avvertito Condé Nast delle vulnerabilità della sicurezza invano per un mese. Poiché la società non ha reagito, ha ora pubblicato i dati come una «sanzione». Tuttavia, gli esperti di sicurezza non classificano l'autore del reato come un ricercatore etico, ma come un classico ricattatore.
Stato attuale: I dati sono già stati messi in servizio. Sono stato pedinato preparata. Gli utenti possono verificare se il loro indirizzo e-mail è interessato.
Importanza per la sicurezza informatica: Questo caso mostra ancora una volta il rischio di attacchi di credential stuffing e phishing. Poiché la banca dati contiene informazioni risalenti al 1996, anche gli utenti a lungo termine sono a rischio. I dipartimenti IT dovrebbero sensibilizzare i dipendenti che hanno utilizzato le e-mail aziendali per gli abbonamenti privati ai titoli Condé-Nast.
Come già annunciato la scorsa settimana, il collega Sun-Tsu è in una meritata vacanza di Natale e si sta divertendo sulla LAN Retro. Farò in modo che sia breve: Venite a trovarci nel nuovo anno nella vecchia freschezza!
IT 
DE 
EN 
ES 
FR