Cybersecurity Nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

giornata mondiale

Data protection day: nell’era dell’AI agentica serve una disciplina di resilienza

Home News, attualità e analisi Cyber sicurezza e privacy
Partecipa al dibattito
Indirizzo copiato

Le identità compromesse sono spesso la strada principale per accedere ai dati sensibili. Resilienza significa rilevare precocemente gli accessi anomali, limitare il raggio d’azione dell’attacco e ripristinare con sicurezza quando i controlli di identità vengono aggirati. Ma nell’era dell’Agentic AI, il Data Protection Day 2026 non deve essere una giornata di esercizio retorico. Ecco perché

Pubblicato il 28 gen 2026
Data protection day: le migliori pratiche per tutelare i dati personali e in azienda; Data Protection Day 2026: la protezione dei dati è questione di resilienza

Il 28 gennaio si celebra il Data Protection Day 2026, la giornata internazionale dedicata alla protezione dei dati che nel mondo prende il nome di Data Privacy Day e sta acquisendo nuova centralità mentre la protezione dei dati è sotto pressione a causa dei rischi legati all’Agentic AI e all’AI generativa.

“Con il passaggio dall’analisi a un processo decisionale autonomo, il concetto di privacy non riguarda più solo le modalità di raccolta o archiviazione dei dati, ma anche la responsabilità”, avverte Paolo Lossa, Country Sales Director di CyberArk Italy.

Secondo Corey Nachreiner, Chief Security Officer di WatchGuard, “oggi il rischio per la privacy dei dati non deriva principalmente da attaccanti che superano un firewall, ma dalla compromissione delle identità e dall’uso improprio di accessi considerati affidabili”.

“Questa ricorrenza rischia ogni anno di diventare simbolica, ricca di buone intenzioni, ma povera di cambiamenti reali”, commenta Pierluigi Paganini, analista di cyber security e Ceo Cybhorus. Ecco come “evitare l’ennesimo esercizio retorico”, perché dalla tutela dei dati personali dipende la difesa della democrazia, la salvaguardia della libertà e della dignità delle persone.

Data Protection Day 2026: la protezione dei dati è questione di resilienza

Nel Data Privacy Day vale la pena ricordare che “la protezione dei dati non è un esercizio ‘una tantum’, ma una disciplina di resilienza”, sottolinea Bruno Filippelli, Sales Director di Semperis in Italia: “Per le aziende significa sapere dove risiedono i dati, limitarne la diffusione, controllare gli accessi e rendere verificabili decisioni e responsabilità. Il ransomware lo dimostra ogni giorno: la privacy si regge su governance e continuità operativa, con processi, persone e controlli che funzionano sotto stress, quando servono ripristino rapido e responsabilità chiare”.

I dati, la conservazione dei dati raccolti dovrebbe seguire le normative vigenti in materia, ma a volte avviene per periodi indefiniti e sono impiegati per profilare individui in maniera dettagliata, spaziando dalle preferenze comportamentali alle abitudini di consumo, dallo stato di salute a quello socioeconomico.

Questo rischio si è alzato con la diffusione dell’AI agentica. “Nel 2026, l’uso diffuso di agenti autonomi ha trasformato la governance dell’Intelligenza Artificiale da priorità strategica a imperativo per la sopravvivenza delle aziende. L’AI accelera la portata degli attacchi e trasforma la ‘fiducia’ in una vulnerabilità. È evidente come le conseguenze delle compromissioni ai sistemi di AI siano maggiori rispetto a quelle di un attacco ransomware, minando in modo permanente la fiducia dei clienti e delle autorità di regolamentazione.

Per mitigare questo rischio, le organizzazioni devono andare oltre la semplice prevenzione e adottare una mentalità basata sulla resilienza e sul presupposto della violazione. È necessaria una solida governance dei dati, che garantisca visibilità – dalla formazione alla comprensione – e che consideri la conformità alle normative come l’AI Act non un ostacolo, ma un investimento strategico per un’architettura di fiducia duratura”, spiega Alessio Stellati, Regional Vice President Italy, Spain & Portugal di Rubrik.

Il divario di responsabilità

“Le organizzazioni stanno implementando l’AI in ambienti ad alto impatto più rapidamente di quanto possano essere aggiornati i quadri di governance, sollevando questioni spinose in materia di responsabilità, qualità dei dati e supervisione quando i sistemi basati sull’AI producono conseguenze indesiderate. Esiste un crescente divario di responsabilità poiché le decisioni basate sull’AI influenzano sempre più le persone, i risultati e la fiducia”, mette in guardia Paolo Lossa.

Il ruolo guida delle organizzazioni

Per le organizzazioni, la priorità deve essere quella di proteggere l’AI nel punto in cui il rischio per la privacy è più elevato ovvero l’agente AI stesso.

“Questi agenti operano con una velocità, una portata e una capacità di accesso che spesso superano quelli degli utenti umani, rendendoli una nuova classe di identità altamente privilegiate. Trattare gli agenti AI come ‘software affidabili’ piuttosto che come identità privilegiate può rivelarsi molto rischiosi.

In un mondo ibrido di collaborazione tra uomo e macchina, la sicurezza dell’AI agentica diventa un controllo fondamentale della privacy, che richiede la possibilità di concedere privilegi minimi di accesso, un monitoraggio continuo e una chiara responsabilità umana.

Con una regolamentazione ancora in evoluzione, le organizzazioni devono assumere un ruolo guida nella protezione della privacy nell’era dell’AI”, evidenzia Paolo Lossa.

Tecniche di inganno potenziate dall’AI

Stiamo osservando come i criminali informatici facciano sempre più leva sul social engineering e su tecniche di inganno potenziate dall’intelligenza artificiale per rubare credenziali, impersonare utenti legittimi ed esfiltrare dati in modo silenzioso.

“In molti casi, questi attacchi hanno origine da qualcosa di apparentemente banale, come un link o un download ingannevole, a dimostrazione di quanto la consapevolezza degli utenti sia fondamentale tanto quanto le misure di sicurezza tecniche”, ricorda Corey Nachreiner, Chief Security Officer di WatchGuard.

“Questo cambiamento spiega perché oggi la protezione dei dati richieda un approccio più semplice e unificato, che integri identità, endpoint e controlli di sicurezza in modo coerente. Quando questi livelli operano in silos, si creano inevitabilmente delle falle che gli attaccanti sono pronti a sfruttare. Accorgimenti di base come verificare l’origine dei download, utilizzare l’autenticazione a più fattori e mantenere una corretta igiene delle credenziali possono fermare gli attacchi anche quando le credenziali sono prese di mira. Grazie a queste pratiche, le organizzazioni possono intercettare le minacce molto prima, evitando che il furto di credenziali si trasformi in una violazione dei dati, in sanzioni normative o in danni reputazionali di lungo periodo”, spiega Corey Nachreiner.

Identità come punto critico della privacy

Infatti “l’identità è un punto critico della privacy”, conferma Mark Molyneux, Field CTO Northern Europe di Commvault: “Negli ambienti cloud, le identità compromesse sono spesso la via più rapida per raggiungere i dati sensibili. Resilienza significa rilevare precocemente gli accessi anomali, limitare il raggio d’azione dell’attacco e ripristinare con sicurezza quando i controlli di identità vengono aggirati.

Questo è il motivo per cui un ripristino pulito è fondamentale. In caso di ransomware o compromissione basata su identità, il rischio è ripristinare risorse errate al momento sbagliato, senza averne validato l’integrità. Le aziende mature danno priorità a isolamento, analisi forense e verifica, nonché alla ripetibilità, in modo da poter ripristinare i servizi critici, riducendo il rischio di nuova infezione o esposizione o dati corrotti”.

La perdita dei dati non avviene da sola

Il Data Protection Day 2026 rappresenta “un utile rimando alla tensione che le aziende stanno vivendo in tema di intelligenza artificiale. Da un lato, GenAI e agentic AI stanno offrendo reali vantaggi in termini di produttività, dall’altro, stanno creando nuovi modi in cui i dati sensibili possono venire esposti – specialmente con la continua integrazione nelle attività quotidiane di strumenti di AI e agenti autonomi”, mette in guardia Matt Cooke, Director, Cybersecurity Strategy EMEA di Proofpoint.

“Una volta che informazioni confidenziali o dati personali vengono condivisi con un sistema di AI, può essere difficile capire dove vadano a finire o come vengano riutilizzati: è questo che preoccupa molti responsabili della sicurezza”, continua Matt Cooke: “La realtà è che la perdita di dati non avviene da sola. Inizia dalle persone e, ora, anche dagli agenti AI che agiscono per loro conto. Questo si riflette in quello che ci stanno confermando i CISO: il 77% delle aziende italiane ha subìto una perdita materiale di dati sensibili nell’ultimo anno, e l’errore umano rimane il fattore determinante“.

“Poiché lo spazio di lavoro agentico sta diventando una realtà, i team di sicurezza devono adottare un approccio alla protezione dei dati che sia focalizzato sulla persona, applicata in modo coerente su email, cloud, endpoint, web e strumenti di AI, fornendo agli utenti strumenti adeguati e formazione costante. Solo così le aziende potranno godere dei vantaggi dell’AI senza mettere a rischio la confidenzialità dei dati”, conclude Matt Cooke.

La valuta odierna sono i dati

Oggi “la nostra valuta sono i dati. Le informazioni personali vengono acquistate, vendute ed esposte tramite offerte in tempo reale (RTB) più e più volte, anche nello stesso giorno”, spiega Anthony Cusimano, Director of Solutions Object First.

Deepfake, campagne di phishing, data poisoning, agenti di intelligenza artificiale dimostrano come l’IA abbia favorito il loro sfruttamento: “I nostri dati oggi sono più esposti a minacce che in qualunque altro momento della storia a causa degli exploit e degli attacchi informatici basati sull’intelligenza artificiale. Ecco perché è così importante disporre di controlli adeguati che proteggano i propri dati”, avvisa Anthony Cusimano.

Serve un approccio basato sull’evidenza

Nel 2026, secondo Mark Molyneux, “la domanda che ogni consiglio di amministrazione dovrebbe porsi è se possiamo dimostrare il controllo sui dati personali e mantenere la fiducia anche in caso di interruzioni, indipendentemente dal fatto che siano dovute a un’intrusione, una configurazione errata, un errore interno o un incidente di un fornitore”.

“Le aziende non devono più dichiarare intenzioni, ma fornire prove concrete. Questo approccio ‘basato sull’evidenza’ si riflette chiaramente anche in Europa ed è richiesto, tra le altre cose, dai requisiti normativi di GDPR, NIS2 e DORA, che impongono alle aziende di dimostrare misure tecniche e organizzative appropriate per l’accesso ai dati e la gestione del rischio, e di fornire una protezione speciale per i loro sistemi critici, come i servizi di directory”, avverte Mark Molyneux.

“È essenziale registrare chi è autorizzato ad accedere ai sistemi critici e quali ruoli e permessi esistono. Entrambi i set di regole richiedono esplicitamente che gli account di admin e di servizio siano protetti separatamente e che le loro azioni siano registrate in modo distinto. In parole semplici, la preparazione in materia di privacy per questi set di dati dipende dalla capacità operativa: contenimento, validazione e ripristino sicuro, non solo dalle policy“, sottolinea Mark Molyneux.

Convergenza fra privacy e resilienza

Secondo Mark Molyneux, “è qui che convergono privacy e resilienza. Quando sono coinvolti dati personali, gli incidenti diventano eventi che minano la fiducia. Le aziende sono giudicate in base alla loro capacità di rispondere in modo decisivo e ripristinare le operazioni con sicurezza”.

Un approccio pratico consiste nel “definire le priorità critiche per la fiducia: dati, sistemi e processi che devono essere protetti e ripristinati per primi, sotto pressione. Piani e obiettivi da soli non sono sufficienti. Il fattore differenziante è la capacità di recovery comprovata, con chiari diritti decisionali e workflow collaudati che consentono un ripristino pulito e rapido”, aggiunge Mark Molyneux.

I dati sintetici per il training dell’AI

Con l’ascesa degli LLM e degli agenti AI, le aziende si trovano sempre più spesso nella condizione di dover utilizzare dati sensibili per addestrare e testare i propri modelli.

“Tuttavia, anche quando i processi di training considerano tutti gli accorgimenti necessari per rispettare la riservatezza, i dati sensibili possono facilmente finire nei corpora di addestramento, nei set di valutazione o nelle librerie di prompt. E ciò accade soprattutto quando le aziende sono chiamate a creare e sviluppare casi d’uso dell’AI in velocità”, esprime i suoi timori Sergio Gago, CTO di Cloudera.

“I dati sintetici rappresentano in questo senso una soluzione pratica: generati da algoritmi, sono progettati per rispecchiare i set di dati del mondo reale senza riprodurre i record effettivi. Se utilizzati correttamente, consentono la messa a punto dei modelli di AI, la valutazione della loro efficacia su larga scala e il raffinamento dei dati per gli agenti, riducendo al contempo i rischi per la privacy”.

Una disciplina ingegneristica per trattare i dati sintetici

Tuttavia, questi dati non sono una soluzione miracolosa. Infatti, “e generati in modo inadeguato – per esempio conservando combinazioni di caratteristiche rare, o se riflettono troppo fedelmente esempi del mondo reale – possono comunque divulgare informazioni sensibili”, avverte Sergio Gago.

“Per essere veramente efficaci, i dati sintetici devono essere trattati come una disciplina ingegneristica, non come ultima risorsa, sviluppando e applicando protocolli e metodologie accurate. Le organizzazioni devono prima definire lo scopo per cui hanno bisogno di questi dati e poi determinare come devono essere generati. In ogni caso, i dati sintetici non possono sostituire universalmente i dati reali e non eliminano la necessità di una governance”, suggerisce Sergio Gago.

In occasione del Data Protection Day 2026, Sergio Gago invita le aziende a “considerare i dati sintetici come una leva per un’innovazione sicura, a condizione che siano generati, supervisionati e integrati in modo adeguato in una governance solida per proteggere la riservatezza durante tutto il ciclo di vita dell’AI”,

La protezione fisica dei dati

Genetec raccomanda strategie per la tutela delle informazioni sensibili senza compromettere l’efficacia dei processi operativi. Strategie trasparenti, tecnologie resilienti e partnership basate sulla fiducia, tutti elementi cruciali per mantenere l’equilibrio fra la protezione e la sicurezza fisica, in uno scenario normativo e di rischio in continua evoluzione.

In questo contesto, Genetec suggerisce alcune linee guida per rafforzare la tutela dei dati nei sistemi di sicurezza fisica:

  • le aziende devono delineare una strategia chiara per la tutela dei dati;
  • adottare sistemi basati sul principio di “Privacy by Design”;
  • implentare efficaci difese informatiche nel tempo;
  • usare servizi cloud per favorire resilienza e conformità;
  • selezionare partner che abbiano a cuore il rispetto della privacy e della trasparenza.

“I dati relativi alla sicurezza fisica possono essere estremamente sensibili: per questo la loro tutela richiede molto più di misure di tutela basilari o rassicurazioni generiche”, afferma Mathieu Chevalier, Principal Security Architect di Genetec: Alcune soluzioni presenti sul mercato trattano i dati come una risorsa da sfruttare o condividere per finalità diverse da quelle originali, esponendo le aziende a gravi rischi per quanto riguarda la privacy delle informazioni.

Le aziende devono invece poter contare su limiti precisi d’utilizzo, controlli rigorosi lungo tutto il ciclo di vita delle informazioni e tecnologie progettate per garantire la privacy sin dalla fase di progettazione, e non come semplice integrazione a posteriori“.

La privacy come pratica quotidiana e misurabile

In questo Data Protection Day 2026, occorre rivedere le proprie impostazioni sulla privacy, attivare un’autenticazione rafforzata e cooperare con organizzazioni affidabili che mettano in primo piano sicurezza e ripristino dei dati.

Occorre inoltre promuovere trasparenza e responsabilità, oltre che adottare misure proattive per proteggere il proprio digital footprint.

Secondo Paganini, “la riflessione principale per evitare l’ennesimo esercizio retorico è una sola: la privacy non può restare un tema ‘celebrativo’, deve diventare una pratica quotidiana e misurabile. Parlare di protezione dei dati senza collegarla a scelte concrete, tecnologiche, organizzative e culturali, svuota il messaggio di significato. A mio parere urge un cambiamento culturale in un momento di grandi incertezze e continui cambiamenti, tecnologici e normativi”.

Le normative in vigore (Ai Act eccetera) sono importanti, ma non sono sufficienti a fronteggiare l’utilizzo dei dati da parte dell’intelligenza artificiale.

Storage di backup a prova di ransomware con immutabilità assoluta, approcci Zero Trust, automatizzare l’hardening ed eliminare i controlli amministrativi non necessari sono buone pratiche per garantire la privacy. “Minore è la complessità per gli utenti, maggiore sarà l’affidabilità della protezione dei dati di cui sono responsabili”, secondo Anthony Cusimano.

“La sfida sulla privacy è passare dai principi ai fatti“, conclude Paganini: “Progettare servizi con la tutela dei dati come fulcro, investire in sicurezza, formare persone consapevoli e garantire trasparenza reale. In un’era di AI e big data, la privacy non vuole e può bloccare l’innovazione ma deve aiutarci a renderla sostenibile. Il Data Protection Day 2026 conta solo se diventa un momento di verifica concreta su quanto fatto e su cosa migliorare”.

Infatti “se la privacy viene vista unicamente come un obbligo normativo, sarà solo una lista di controllo della conformità, se invece la si considera una parte fondamentale della propria strategia di resilienza – un elemento che dimostri di poter resistere a ransomware, minacce interne e uso dei dati da parte dell’intelligenza artificiale – rappresenterà un potente fattore di differenziazione per essere competitivi”, mette in risalto Anthony Cusimano.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Mirella Castigli
Giornalista
Giornalista pubblicista, collabora con AgendaDigitale.eu dal 2021. Laurea in Chimica Bio-organica all’Università degli Studi di Milano (1998, tesi sulla Chimica combinatoria, relatore Prof. Umberto Valcavi), collabora con CyberSecurity360, Pagamenti Digitali e BigData4Innovation (ora ZeroUno) dal 2021. In precedenza, ha collaborato con Computer Idea e alle inchieste di Pc Magazine come freelance (2000 – 2006), alla newsletter quotidiana e settimanale di VNUnet.it (VNU B. P.) dal 2004 e di ITespresso.it (2007-2017, NetMediaEurope). Nel 2002 è stata curatrice tecnica del progetto “Linee guida per la promozione della cittadinanza digitale: E-democracy” (progetto CRC con il Ministero per l’Innovazione e le Tecnologie). Ha scritto i libri “I motori di ricerca nel caos della rete” (ShaKe, 2000); Mela marcia (AgenziaX, 2010, ripubblicato come eBook da Punto-Informatico.it); Zero Privacy (Vidèa Instant Book). Attiva nella comunità degli Hackmeeting italiani dalla fine degli anni ’90, il suo hacktivismo e la sua cultura di rete sono stati citati in “Networking: The Net as Artwork”, scritto da Tatiana Bazzichelli (Costa & Nolan, 2006 /DARC Press, 2008). Ha lavorato come redattrice per “Le Sindache d’Italia” (ALI Autonomie), Reality book (Roma, 2021). Ha collaborato con Valigia Blu nel 2011. Un suo articolo, pubblicato da AgendaDigitale.eu, è citato sul Vocabolario Treccani alla voce “disruption”.

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Who's Who

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
PA digitale
AI per il lavoro
Mobile security
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • Strategie di protezione dei dati per le aziende; La logica della resilienza: dal metodo alla cultura

  • data act

    Strategie di protezione dei dati per le aziende

    18 Lug 2025

    di Federica Maria Rita Livelli

    Condividi
  • Gruppi pro-Cina disinformazione immagini generate da AI; L'eclissi della cifratura: AI, quantum e la sfida satellitare cinese nel 2026

  • previsioni

    L'eclissi della cifratura: AI, quantum e la sfida satellitare cinese nel 2026

    26 Gen 2026

    di Benito Mirra

    Condividi
  • GDPR AI assicurazioni; Sanzione del Garante Privacy a Verisure Italia e Aimag: sette anni di GDPR, zero progressi

  • la riflessione

    GDPR e intelligenza artificiale: ecco una “bussola” per il mondo assicurativo

    07 Mar 2025

    di Stefano Petrussi

    Condividi
  • asilo nido sanzione privacy

  • il provvedimento

    Privacy e minori: il caso dell’asilo nido sanzionato e le regole da rispettare

    11 Set 2025

    di Rosario Palumbo

    Condividi
0
Lascia un commento, la tua opinione conta.x