CCDP by Sicurdata Srl

CCDP by Sicurdata Srl Sicurdata Srl è il partner strategico per le aziende che vogliono trasformare la privacy e la sicurezza dei dati in un vantaggio competitivo.

Oltre 30 anni di consulenza specialistica nei settori sanitario, digital health, sviluppo software e AI. SICURDATA Srl (da sempre impegnata nell'attività di consulenza in ambito trattamento dei dati personali) ha deciso, visto anche l'entrata in vigore del Nuovo Regolamento EU 679/2016, di creare al Suo interno il C.C.D.P. (Centro Competenza Data Protection & E-Privacy) composto dalle seguenti com

petenze professionali :

• Esperti certificati in materia di Data Protection & E-Privacy;
• Esperti certificati in Sistema di Gestione e norme ISO;
• Esperti Legali;
• Esperti certificati in Sicurezza Informatica;
• Esperti certificati in sistemi di Auditing e Governance Aziendale;

La squadra di professionisti del C.C.D.P. è guidata da :

Agostino Oliveri
Data Protection Officer – Privacy Consultant e Auditor Certificated
(secondo gli standard ISO 17024 e 17065 e disciplinato ai sensi legge 4 del 2013). Esperienza pluriennale tecnica e di project management nel campo delle architetture di rete e della sicurezza, computer forensics Cyber Security e gestione degli incidenti, analisi e disegno di basi dati, integrazione di piattaforme software, consulenza procedurale ed organizzativa per l’adeguamento alle normative nazionali ed internazionali in materia di misure di sicurezza informatica (Privacy, Garante AdS, Codice Amministrazione Digitale – Disaster Recovery, ISO 27001) e sicurezza sul lavoro. Collabora attivamente su diversi progetti di sicurezza con le community di settore fra cui :

- Iscritto come socio sostenitore e coordinatore dell'area di ricerca Legal & Privacy di CSA Italy (Associazione Cloud Security Alliance Italy Chapter)

- Iscritto come socio sostenitore a CLUSIT (Associazione Italiana per la Sicurezza Informatica)


- Referente Territoriale ASSODPO


- Iscritto al GDL (Gruppo di Lavoro) della Oracle Community for Security


- Membro Contributors at Europrivacy.info

Sicurdata Srl ha maturato anche altre esperienze ed è in grado di fornire anche assistenza, nelle attività di seguito elencate :

1. Adeguamenti in materia di responsabilità amministrativa come previsto dalla legge 231/2001;
2. Piani di Continuità Operativa e Disaster Recovery in conformità dell’art. 50 – bis del Codice di Amministrazione Digitale
3. Conduzione e sostegno verso la compliance aziendale rispetto a dispositivi di Legge o standard internazionali (ISO 9001, ISO/IEC 27001, ISO/IEC 27018 per i servizi in modalità CLOUD COMPUTING, ISO/IEC 20000, ecc.);
4. Adeguamenti in materia di DL. 33/2013 sulla Trasparenza e L. 190/2012 sull’Anticorruzione;
5. Adeguamenti in materia di sicurezza sul lavoro Dlgs. 81/2008;
6. Progetti Formativi

Siamo certi che l’esperienza significativa maturata nei vari settori su alcune realtà molto importanti anche multinazionali, possa essere indice di Professionalità, Sicurezza, Capacità e Coerenza nel rispetto degli obiettivi prefissati.

Desideriamo aggiornarti su una cruciale evoluzione del quadro normativo nazionale in materia di Intelligenza Artificiale...
19/06/2026

Desideriamo aggiornarti su una cruciale evoluzione del quadro normativo nazionale in materia di Intelligenza Artificiale, destinata ad avere un impatto diretto sull'organizzazione e sulle responsabilità delle imprese.
Il Consiglio dei Ministri ha recentemente approvato i decreti attuativi della Legge sull’Intelligenza Artificiale (L. 132/2025), tracciando in via definitiva la "via italiana" all'AI Act.

🚩 Il messaggio del legislatore è tanto chiaro quanto severo: lo sviluppo e l'adozione di sistemi di AI all'interno dei processi aziendali non è più solo una questione informatica, ma di sicurezza e responsabilità legale.

Cosa cambia per le aziende?
🏦Il nuovo scenario sanzionatorio
La vera portata rivoluzionaria di questi decreti riguarda l'introduzione di specifiche responsabilità civili e penali per le aziende e i professionisti che utilizzano sistemi di AI:
- Reato di "omessa adozione di misure di sicurezza": viene punito chi, con dolo o colpa grave, non previene i malfunzionamenti dei sistemi di Intelligenza Artificiale omettendo di adottare adeguate misure tecniche di sicurezza.
- Estensione della Responsabilità degli Enti (D.Lgs. 231/2001): queste nuove fattispecie di reato (che includono anche l'illecita diffusione di contenuti generati o manipolati dall'AI) si integrano nel novero dei reati presupposto. Un malfunzionamento dell'AI dovuto a negligenza può tradursi in pesanti sanzioni per l'intera azienda.
- Responsabilità Civile: resta fermo l'obbligo di risarcimento per i danni causati a terzi (clienti, partner, dipendenti) da decisioni automatizzate errate o, per coinvolgere il Garante Privacy, da data breach e trattamenti illeciti di dati personali derivanti da sistemi AI non sicuri.

🔐Cosa fare subito per mettersi al riparo?
La sfida per le organizzazioni non è fermare l'innovazione, ma governarla. Per evitare l'esposizione a questi nuovi e gravosi rischi, è diventato giuridicamente indispensabile implementare:

1. Valutazione preventiva dei rischi (AI Risk Assessment): mappare quali sistemi di IA si usano e che impatto hanno.

2. Modelli Organizzativi aggiornati: integrare la gestione dell'AI all'interno dei Modelli 231 e delle policy aziendali.

3. Monitoraggio e Tracciabilità: stabilire una supervisione umana continua sui sistemi e definirla in procedure chiare, garantendo la tracciabilità e la spiegabilità delle decisioni prese o suggerite dall'AI.

4. Contrattualistica: revisionare i contratti con i fornitori di software AI per allocare correttamente le responsabilità in caso di violazione di dati o malfunzionamento.

👣 Il prossimo passo
La governance dell'Intelligenza Artificiale è oggi un fattore strategico per la sostenibilità legale e l'affidabilità del business. Il giudice, in sede di eventuale contenzioso, valuterà in via discrezionale l'idoneità preventiva delle misure tecniche o organizzative adottate o omesse dall'azienda.

🔔 Non aspettare che si verifichi un incidente per scoprire se i presidi adottati sono sufficienti! 🔔

Recentemente è stato pubblicato l'atteso Verizon Data Breach Investigations Report (DBIR) 2026, il rapporto annuale più ...
17/06/2026

Recentemente è stato pubblicato l'atteso Verizon Data Breach Investigations Report (DBIR) 2026, il rapporto annuale più autorevole a livello globale sulle violazioni dei dati.

L'edizione di quest'anno, basata sull'analisi di oltre 31.000 incidenti di sicurezza e 22.000 violazioni confermate in 145 Paesi, evidenzia un cambio di paradigma radicale che impatta direttamente le vostre strategie di conformitàlegale, in particolare in ambito Data Protection (GDPR) e Direttiva NIS2.

Ecco i punti chiave del report e le relative implicazioni:

1. Lo sfruttamento delle vulnerabilità come vettore di attacco
Per la prima volta, lo sfruttamento delle vulnerabilità software (31%) ha superato il phishing e il furto di credenziali come metodo principale utilizzato dagli hacker per violare i perimetri aziendali. Parallelamente, sono peggiorati i tempi di reazione delle aziende: la media per risolvere una vulnerabilità nota è salita a ben 43 giorni.

⚠️ Impatto NIS2: obbligo di adozione di misure tecniche ed organizzative adeguate per la gestione dei rischi, inclusa l'obbligatorietà di procedure agili di patching (risoluzione).

2. Rischio supply chain

Il 48% dei data breach avviene tramite falle nella catena di fornitura.

⚠️ Impatto GDPR & NIS2: sicurezza nella catena di approvvigionamento; non solo firma DPA ex art. 28 GDPR, ma processi di due diligence e audit.

3. "Shadow AI" fuori controllo

Il 45% dei dipendenti usa l'IA generativa (come ChatGPT o simili) tramite i dispositivi aziendali per lavorare, spesso accedendo con account personali e all'insaputa dell'azienda

⚠️ Impatto GDPR: l'inserimento di dati aziendali, segreti industriali o, peggio, dati personali di clienti all'interno di piattaforme di IA pubbliche configura una fuga di dati (data leakage), nonché un illecito trattamento e trasferimento dei dati.

In questo quadro, il fattore umano resta al centro: gli attacchi basati sui dispositivi mobili hanno registrato un tasso di successo del 40% superiore rispetto al tradizionale phishing

Come possiamo supportarvi?
L'adeguamento documentale e procedurale non è mai stato così cruciale. Per evitare sanzioni e blocchi operativi, siamo a disposizione per supportarvi concretamente attraverso:

- La revisione e il rafforzamento dei contratti e dei DPA con i vostri fornitori IT, checklist di due diligence e programmazione di audit per validarne la conformità.

- La stesura di una AI Policy aziendale per regolamentare l'uso sicuro dell'Intelligenza Artificiale da parte dei dipendenti e tutelare i dati aziendali.

- La verifica e l'aggiornamento delle procedure e delle politiche che compongono il Sistema di Gestione NIS2, quali l'Incident Response Plan, la Politica di Controllo Accessi, i Piani di Business Continuity e Disaster Recovery.

Desideriamo sottoporre alla tua attenzione la nuova "Guida Operativa per gli enti privati" pubblicata da Confindustria l...
15/06/2026

Desideriamo sottoporre alla tua attenzione la nuova "Guida Operativa per gli enti privati" pubblicata da Confindustria lo scorso 14 maggio in materia di gestione delle segnalazioni whistleblowing.
Il documento, che segue l’aggiornamento delle Linee Guida emanate dall’ANAC in materia Whistleblowing lo scorso dicembre (vd. news di Sicurdata del 23 marzo 2026), offre una preziosa "check-list" per la corretta attuazione, nell’ambito degli enti privati, della normativa sancita dal D.lgs. 24/2023 a protezione e tutela dei soggetti segnalanti.

Ecco gli adempimenti chiave e le raccomandazioni pratiche da implementare tempestivamente:

1. 📑 Atto organizzativo e identikit del Gestore

Atto ufficiale: l'azienda deve definire le procedure per il ricevimento e la gestione delle segnalazioni in un "atto organizzativo", di norma approvato dal CdA.

Ruolo del Gestore:
- deve necessariamente disporre di requisiti di autonomia, indipendenza, imparzialità ed essere stato formato;
- deve essere nominato in anticipo un "sostituto" che possa intervenire nei casi in cui il Gestore ufficiale sia coinvolto in una segnalazione o sia assente);
- sconsigliato far coincidere il Gestore con il Responsabile della Protezione dei Dati (DPO/RPD), perché i due ruoli richiedono autonomie e carichi complessi di lavoro difficilmente sovrapponibili.

2. 🔍 Impatto diretto sul Modello 231
Aggiornamento obbligatorio: il Modello 231 e il sistema disciplinare vanno tassativamente integrati inserendo i canali adottati, il divieto di ritorsione e le sanzioni contro i trasgressori e i segnalanti in malafede.

Il ruolo dell'OdV: l'Organismo di Vigilanza è il candidato perfetto a cui affidare il ruolo di Gestore, godendo già di autonomia e competenze istruttorie; in questo scenario, il canale per le segnalazioni ordinarie 231 e il canale whistleblowing devono coincidere.

Flussi informativi: qualora l'OdV non fosse stato nominato Gestore, deve comunque essere informato tempestivamente di ogni segnalazione con rilevanza 231, così da permettergli di adempiere al suo compito di verifica.

3. 👨‍💻 Piattaforme IT e gestione nei Gruppi (Stop alle e-mail!)

Stop alle e-mail: le normali caselle di posta elettronica (e-mail e PEC) non garantiscono l'anonimato del segnalante, a causa della creazione automatica dei log tracciabili; la soluzione standard è l'adozione di piattaforme software crittografate.

Semplificazione per i Gruppi: per le società che non superano la soglia dei 249 dipendenti, è ammessa la condivisione del canale e la sua gestione associata, nelle forma di una piattaforma unica che si "ramifica" in sotto-canali autonomi per le varie aziende del Gruppo.
Esternalizzazione: per i gruppi con società over 249 dipendenti, è espressamente consentito delegare la gestione delle segnalazioni alla Capogruppo, che agirà come un soggetto esterno; tale situazione deve essere regolata con appositi contratti di servizio intercompany.

4. 🚨 Privacy, ritorsioni e formazione

DPIA e tracciabilità: l'attivazione del canale informatico di segnalazione deve essere sempre preceduta da una Valutazione d'Impatto Privacy (DPIA) ex GDPR.

Nuovo concetto di ritorsione: tutto l'organico aziendale deve comprendere che la "ritorsione", assolutamente vietata, non è solo il licenziamento o la sanzione disciplinare, ma anche atti subdoli quali l'ostracismo, i demansionamenti, il cambio di scrivania o le note negative di performance.

Formazione diffusa: si deve prevedere un'adeguata formazione, non solo per il gestore delle segnalazioni, ma diffusa a tutto il personale aziendale e alle terze parti coinvolte (fornitori, consulenti, ecc.), predisponendo informative facilmente reperibili sui siti istituzionali.

🔔 L'ANAC prevede sanzioni fino a 50.000€ per procedure assenti o non conformi

Il nostro Team è a vostra disposizione per un audit efficiente e per supportarvi operativamente nell'aggiornamento della procedura di whistleblowing, nell'aggiornamento del Modello 231 e nella stesura della DPIA sul canale di segnalazione.

Il panorama normativo europeo sull'Intelligenza Artificiale sta vivendo una svolta tanto inaspettata quanto decisiva.Seb...
13/05/2026

Il panorama normativo europeo sull'Intelligenza Artificiale sta vivendo una svolta tanto inaspettata quanto decisiva.

Sebbene l’AI Act sia già entrato formalmente in vigore, le istituzioni di Bruxelles hanno avviato un profondo processo di revisione e semplificazione noto come "Digital AI Omnibus".

🔍 Cosa sta succedendo?

Il nuovo regolamento Digital Omnibus nasce dalla necessità di snellire la burocrazia e mantenere la competitività europea nei confronti di partner internazionali quali USA e Cina.
L’obiettivo è chiaro: evitare che l'Europa rimanga schiacciata da regole troppo rigide rispetto ai colossi tecnologici globali e rendere più snelli gli oneri burocratici per le imprese.

Le 4 novità principali:

- ⏳ Rinvio delle Scadenze (2027-2028): L’entrata in vigore degli obblighi più stringenti per i sistemi ad alto rischio e le relative sanzioni slittano ufficialmente. Le aziende avranno respiro fino alla fine del 2027 o all'inizio del 2028 per completare l'adeguamento.

- 📈 Semplificazione per Big Tech e PMI: Meno oneri documentali e requisiti più agili per i modelli di IA di portata generale (GPAI). L'obiettivo è evitare che l'eccesso di regolamentazione soffochi l'innovazione prima ancora che questa possa decollare.

- 🤝 Allineamento internazionale: Le nuove regole sono scritte per essere più compatibili con gli standard americani, facilitando le aziende che operano su scala globale e riducendo le frizioni con i fornitori di tecnologia USA.

- 🏦 Governance "Light": Si passa da un controllo rigido a un sistema di autoregolamentazione assistita, mantenendo la responsabilità delle imprese ma rendendo il percorso verso la conformità meno oneroso dal punto di vista documentale.

💡 Cosa significa per la tua azienda?

Nonostante la semplificazione e il rinvio delle date, fermare i processi di adeguamento sarebbe un errore strategico:

1. Il GDPR è in vigore: le informazioni che alimentano i vostri sistemi di IA devono essere protette ora, applicando le regole sulla qualità dei dati e la protezione della privacy.
2. Vantaggio competitivo: il tempo extra deve essere sfruttato per implementare una governance dell'IA che permetta di essere non solo "in regola", ma più efficienti rispetto ai competitor.
3. Cybersecurity al primo posto: il rinvio normativo non diminuisce i rischi di attacchi informatici o di violazioni della proprietà intellettuale connessi ai sistemi di IA.

Il nostro Team sta monitorando quotidianamente l'evoluzione del "Digital Omnibus" per ricalibrare le roadmap di conformità e focalizzare gli investimenti su ciò che conta davvero per la tua protezione legale e tecnologica.

29/04/2026

Nell’ambito del monitoraggio degli adempimenti previsti dal D.lgs. n. 138/2024 (Decreto NIS) , desideriamo informarti su un nuovo fondamentale obbligo introdotto da una nuova Determinazione ACN.

L'Agenzia per la Cybersicurezza Nazionale ha stabilito le modalità con cui ogni soggetto NIS (Essenziale o Importante) deve mappare e classificare le proprie attività operative. L'obiettivo è misurare l'impatto che un incidente informatico avrebbe sulla capacità dell'azienda di erogare i propri servizi critici.

🗂️ In cosa consiste la "Categorizzazione" ?

Ogni azienda deve predisporre un elenco delle proprie attività e servizi, suddivisi in 10 Macro-aree standard (es. Monitoraggio e controllo, Produzione, Gestione Clienti, Logistica). A ciascuna attività deve essere associata una "Categoria di Rilevanza" che ne definisce l'impatto:

- Impatto Alto: Attività vitali (es. orchestrazione sicurezza, continuità operativa);
- Impatto Medio: Processi core (es. produzione beni/servizi, ricerca e sviluppo);
- Impatto Basso: Funzioni di supporto (es. gestione finanziaria, risorse umane);
- Impatto Minimo: Attività accessorie (es. marketing, gestione amministrativa).

📢 Dati necessari per la comunicazione

Il Punto di Contatto dovrà inserire sulla piattaforma digitale ACN per ogni servizio/attività:
1) La Macro-area di appartenenza;
2) La denominazione e descrizione specifica dell'attività interna.
3) La Categoria di rilevanza (confermandola o modificandola rispetto al modello ACN sulla base di una valutazione d'impatto documentata).

⏳ Scadenze e Responsabilità
Finestra di comunicazione: dal 1° maggio al 30 giugno 2026.
Aggiornamento: l'elenco deve essere aggiornato annualmente nella medesima finestra temporale.
Responsabilità: gli Organi di Amministrazione e Direttivi sono responsabili della veridicità dei dati trasmessi. Il mancato adempimento espone l'azienda alle sanzioni amministrative previste dal Decreto NIS (fino a 10 milioni di euro o al 2% del fatturato).

👣 Prossimi passi
Ti invitiamo a pianificare sin da ora l'analisi dei tuoi processi interni per garantire una classificazione coerente con le linee guida ACN.

Il team di Sicurdata è a tua disposizione per supportarti nell’identificazione delle attività riconducibili alle 10 macro-aree; redigere la valutazione d'impatto necessaria qualora si decida di variare le categorie di rilevanza pre-assegnate e assisterti tecnicamente nella sottomissione dei dati sul Portale dei Servizi ACN.

22/04/2026

📧 Email Marketing & Security: Cosa cambia ad Aprile 2026?

‼️ Importanti novità normative impongono alle aziende un rapido adeguamento nella gestione delle comunicazioni digitali.

Il Garante Privacy e l'ACN hanno introdotto nuove linee guida su tracking e sicurezza.

Ecco i due pilastri del cambiamento:

✋ 1. Stop al tracciamento "occulto" (Garante Privacy)
L'uso dei tracking pixel nelle email per monitorare aperture e comportamenti non è più liberamente consentito.
Obbligo di Consenso: Il pixel richiede ora un consenso preventivo, libero e specifico (Art. 122 Codice Privacy).
Le Eccezioni: Il consenso non serve solo per finalità tecniche, di sicurezza o statistiche aggregate/anonime.
Tempo di Adeguamento: Le aziende hanno 6 mesi per mettersi in regola ed evitare sanzioni.

🛡️ 2. Più scudi contro il Phishing (Linee Guida ACN)
Per proteggere la reputazione del brand e prevenire lo spoofing, l’Agenzia per la Cybersicurezza Nazionale richiede l’implementazione congiunta di tre protocolli:
- SPF: Autorizza gli IP abilitati all'invio.
- DKIM: Garantisce l'integrità del messaggio tramite firma digitale.
- DMARC: Definisce le azioni da intraprendere se i controlli falliscono.

💡 Cosa deve fare la tua azienda?
- Aggiornare le informative: Spiegare chiaramente l'uso dei marcatori nelle email.
- Rivedere i consensi: Integrare il consenso al tracking nelle strategie di marketing.
- Configurazione Tecnica: Intervenire sui record DNS e allineare i fornitori IT/Marketing.
- Privacy by Design: Preferire l'anonimizzazione dei dati per le analisi statistiche.

💎 La conformità non è solo un obbligo di legge, ma un fattore di fiducia e competitività sul mercato.

🛡️ Vuoi mettere in sicurezza il tuo dominio o adeguare i tuoi processi di marketing?

Il team di Sicurdata è a tua disposizione per una consulenza specializzata.
📩 Contattaci: [email protected]

l'intelligenza artificiale corre veloce, ma le regole per usarla bene non sono da meno. Sappiamo che districarsi tra co...
21/04/2026

l'intelligenza artificiale corre veloce, ma le regole per usarla bene non sono da meno.
Sappiamo che districarsi tra commi e regolamenti può essere complesso, per questo abbiamo deciso di rendere tutto più semplice (e visivamente piacevole!).

In collaborazione con Gemini, abbiamo realizzato una nuova infografica esclusiva che riassume i punti chiave della normativa tra UE e Italia.

Non è il solito documento legale, ma una sintesi "smart" per capire cosa si può fare, cosa è vietato e quali sono i rischi.

Cosa troverai in questa guida rapida:

-❌ I "No" assoluti : Scopri le pratiche vietate dall'AI Act, come la manipolazione subliminale, il social scoring o lo scraping selvaggio di immagini facciali.

- 🚨Sistemi ad alto rischio : Un focus su software per infrastrutture critiche, istruzione e gestione del lavoro, che richiedono sorveglianza umana e standard rigorosi.

- ⚖️ I tuoi diritti (GDPR) : Ricorda che, secondo l'Art. 22, hai il diritto di non essere giudicato solo da un algoritmo se questo produce effetti giuridici importanti.

- 🔒 Occhio alle sanzioni : Le multe possono essere salate (fino a 35 milioni di euro o il 7% del fatturato), anche se per le PMI e le startup sono previsti trattamenti più proporzionati.

- 🏛️ Le novità in Italia : Dalle pene fino a 5 anni per i Deepfake dannosi, ai rischi fino a 7 anni per chi manipola i mercati finanziari con l'AI.

Abbiamo creato questo strumento perché crediamo che l'innovazione sia potente solo quando è consapevole. L'intelligenza artificiale è una grande opportunità, a patto di conoscere i binari su cui farla correre.

Per qualsiasi informazione potete contattarci e all'indirizzo mail [email protected] per approfondire insieme ai nostri consulenti.

17/04/2026

Con l'entrata in vigore della Legge 11 marzo 2026, n. 34, il quadro normativo per le imprese ha subito un’importante accelerazione, integrando profili di sicurezza sul lavoro e trasparenza digitale.
Riepiloghiamo i due pilastri della riforma che potrebbero avere un impatto sulla vostra gestione aziendale:

👨‍💻1. Lavoro Agile: obbligo di informativa
La nuova legge non si limita a richiamare il D.Lgs. 81/2008, ma rende perentorio e sanzionabile penalmente l'obbligo di informativa per lo smart working (già previsto dalla L. 81/2017).

Consegna annuale: l'informativa scritta sui rischi generali e specifici deve essere fornita con cadenza almeno annuale.

Destinatari: il documento va consegnato sia al lavoratore agile che al Rappresentante dei Lavoratori per la Sicurezza (RLS/RLST).
Contenuto: deve dettagliare le misure di prevenzione per i rischi legati all'ambiente esterno ai locali aziendali e alle attrezzature fornite.



❗La mancata consegna dell'informativa comporta ora sanzioni severe: l'arresto da due a quattro mesi o l'ammenda da un minimo di € 1.708,61 fino a un massimo di € 7.403,96. ❗

Per evitare sanzioni e garantire la tutela dei vostri collaboratori, vi suggeriamo di:
-Revisionare l'informativa attuale, per verificare che sia aggiornata ai parametri della norma.
-Formalizzare la consegna, utilizzando sistemi che lascino traccia certa della ricezione da parte del lavoratore.
-Coinvolgere l'RSPP, per mappare correttamente i nuovi scenari di rischio

🚩2. Recensioni Online: nuove regole contro il "falso"
La nuova legge introduce una stretta decisiva contro le recensioni illecite per tutelare la leale concorrenza e i consumatori.

-Divieti assoluti: è vietata la compravendita di recensioni positive o la pubblicazione di recensioni da parte di soggetti che non hanno realmente usufruito del servizio/prodotto.

-Obbligo di trasparenza: le imprese e le piattaforme devono dichiarare i criteri di verifica dell'autenticità delle recensioni.

-Diritto alla rimozione: il legale rappresentante dell'azienda ha ora facoltà di segnalare e richiedere la rimozione di recensioni non conformi (es. prive di esperienza reale verificabile).

La verifica dell'autenticità di una recensione comporta spesso il trattamento di dati (email, prove d'acquisto): per questo è essenziale che queste procedure siano descritte nella vostra Informativa Privacy e gestite secondo il principio di minimizzazione. Vi consigliamo di:

-Verificare che sul vostro sito web le modalità di gestione delle recensioni siano trasparenti e conformi ai nuovi requisiti della Legge 34/2026.

- Aggiornare le procedure di risposta e segnalazione delle recensioni illecite per sfruttare le nuove tutele legali.

Il nostro Team è a tua completa disposizione per supportarti nell'integrazione di queste procedure all'interno del Modello Organizzativo Privacy.

Per qualsiasi informazione potete contattarci e all'indirizzo mail [email protected] per approfondire insieme ai nostri consulenti.

16/04/2026

Nell'ambito del costante monitoraggio degli adempimenti previsti dal D.lgs. n. 138/2024 (Decreto NIS), desideriamo informarti su un’importante novità introdotta dalla Determinazione ACN n. 127437/2026.

In occasione dell'imminente aggiornamento annuale, l'Agenzia per la Cybersicurezza Nazionale ha reso obbligatorio il censimento dei "Fornitori Rilevanti NIS". L'obiettivo dell'Autorità è mappare gli elementi sistemici della catena di approvvigionamento per elevare il livello di resilienza dell'intero ecosistema digitale nazionale.

Chi sono i "Fornitori Rilevanti NIS"?
Un fornitore deve essere comunicato ad ACN se soddisfa almeno uno dei seguenti criteri:

- Criterio A - Fornitura ICT: Servizi riconducibili a infrastrutture digitali o gestione dei servizi TIC (es. fornitori di servizi gestiti, cloud, consulenza informatica, audit e manutenzione sistemi).
- Criterio B - Fornitura non fungibile: Servizi (digitali e non) la cui interruzione comporterebbe un impatto significativo sulla tua operatività, qualora non fossero disponibili alternative immediate sul mercato.

🧾Dati necessari per la comunicazione
Per ogni fornitore rilevante, il Punto di Contatto (PdC) dovrà inserire sulla piattaforma ACN:

Anagrafica: Denominazione e Codice Fiscale.

Sede Legale: Paese di stabilimento.

Classificazione CPV: Codici del Common Procurement Vocabulary relativi alla fornitura.

Criterio di rilevanza: Motivazione dell'inserimento (ICT o non fungibilità).

⌛ Scadenze e Responsabilità
Finestra Aggiornamento Annuale: Dal 15 aprile al 31 maggio 2026.

Aggiornamento Continuo: Qualsiasi modifica successiva deve essere comunicata entro 14 giorni dall'evento.

Responsabilità: Ricordiamo che gli Organi di Amministrazione e Direttivi hanno il compito di sovrintendere a queste comunicazioni.

Il mancato adempimento o la comunicazione di dati non veritieri espone l’azienda a sanzioni amministrative significative (fino a 10 milioni di euro o al 2% del fatturato annuo).

☝ Prossimi passi
Ti invitiamo a iniziare fin da ora una mappatura strategica dei tuoi contratti di fornitura.

Il team di SicurData Srl è a tua completa disposizione per supportarti nella corretta classificazione dei fornitori secondo i criteri ACN; assisterti nell'individuazione dei corretti codici CPV e affiancarti nella compilazione tecnica dei dati sul Portale dei Servizi ACN.

Per qualsiasi informazione ulteriore o necessità di supporto, puoi contattarci all'indirizzo [email protected].

Indirizzo

Via E. Codignola, 10/a
Scandicci

Telefono

+39055750808

Sito Web

Notifiche

Lasciando la tua email puoi essere il primo a sapere quando CCDP by Sicurdata Srl pubblica notizie e promozioni. Il tuo indirizzo email non verrà utilizzato per nessun altro scopo e potrai annullare l'iscrizione in qualsiasi momento.

Contatta L'azienda

Invia un messaggio a CCDP by Sicurdata Srl:

Scelte rapide

Condividi

Digitare