In primo piano

Stop del Garante: Amazon blocca i controlli sui dipendenti
Il Garante ha ordinato ad Amazon Italia Logistica di cessare immediatamente il trattamento illecito di dati sensibili di oltre 1.800 lavoratori in violazione del GDPR.
Il Provvedimento riguarda lo stabilimento Amazon di Passo Corese (in provincia di Rieti), dove sono emerse gravi criticità nella gestione dei dati dei dipendenti.
Secondo l’Autorità, l’azienda avrebbe raccolto e conservato informazioni sanitarie, dati relativi all’attività sindacale e dettagli sulla vita privata dei lavoratori, anche per periodi fino a 10 anni dopo la cessazione del rapporto di lavoro. Tali informazioni risultavano accessibili a diversi responsabili aziendali tramite una piattaforma collegata al sistema di rilevazione presenze.
Il trattamento è stato ritenuto non conforme ai principi di necessità, pertinenza e minimizzazione previsti dal Regolamento generale sulla protezione dei dati.
Il Garante ha inoltre disposto lo stop all’utilizzo di alcune telecamere collocate in prossimità di aree sensibili come bagni e zone ristoro.
L’istruttoria, condotta anche con il supporto della Guardia di Finanza, prosegue per verificare ulteriori eventuali violazioni.
Data: 24-02-2026
Leggi di più.


Cassazione: Licenziato chi accede ai dati aziendali durante le ferie
La Corte di Cassazione ha confermato la legittimità del licenziamento di un dipendente che, durante un giorno di ferie e in orario anomalo, ha accesso e sincronizzato file aziendali senza alcuna ragione di servizio. La condotta è stata ritenuta potenzialmente lesiva della sicurezza informatica e tale da compromettere irrimediabilmente il rapporto fiduciario con il datore di lavoro.
La decisione della Corte di Cassazione riguarda il caso di un lavoratore che, alle prime ore del mattino e durante un giorno di ferie, ha movimentato numerosi file aziendali senza essere autorizzato e senza giustificazione lavorativa. I giudici hanno interpretato il comportamento come un possibile tentativo di sabotaggio informatico, anche se non è stato necessario dimostrare un danno concreto ai Sistemi. Il rapporto di lavoro subordinato si fonda infatti su un vincolo fiduciario che può essere compromesso anche da condotte sospette o incompatibili con le mansioni svolte. Nei precedenti gradi di giudizio il licenziamento disciplinare era stato annullato, con reintegro del lavoratore e riconoscimento di un risarcimento. In appello la valutazione è cambiata, portando alla dichiarazione di cessazione del rapporto con il riconoscimento di una sola indennità sostitutiva. La sentenza ribadisce che i dati aziendali rappresentano un asset strategico e devono essere protetti come parte del patrimonio immateriale dell’impresa, anche rispetto a accessi impropri da parte dei dipendenti.
Data: 26-02-26
Leggi di più.
 

Dall'Italia

eCampus sanzionata: stop al riconoscimento facciale
Il Garante per la protezione dei dati personali ha sanzionato l’Università eCampus per 50.000 euro per l’uso illecito del riconoscimento facciale nei corsi di abilitazione all’insegnamento.
L’Ateneo utilizzava un sistema di riconoscimento facciale per verificare identità e presenza dei corsisti durante le lezioni online.
Il Garante ha rilevato l’assenza di una base giuridica idonea per il trattamento di dati biometrici, soggetti a garanzie rafforzate.
È emerso inoltre che non era stata effettuata una valutazione di impatto sulla protezione dei dati (DPIA) prima dell’attivazione del sistema.
Le violazioni hanno interessato un numero molto elevato di partecipanti, oltre 450 per ogni lezione.
Durante l’istruttoria il sistema è stato solo parzialmente modificato, senza superare le criticità evidenziate. La sanzione tiene conto della collaborazione dell’Università e della successiva disattivazione del trattamento.
Data: 20-02-2026
Leggi di più.

Dall'Agenzia Nazionale Cybersicurezza

Alert: attività malevole che utilizzano tecniche di Business Email Compromise
L’Agenzia per la Cybersicurezza Nazionale (ACN) ha rilevato una ripresa di campagne malevole basate su furto credenziali, compromissione e tecniche di Business Email Compromise. Gli attaccanti sfruttano il Thread Hijacking per inserirsi in conversazioni reali e veicolare frodi finanziarie.
Il CSIRT di ACN ha individuato una nuova campagna malevola diretta contro organizzazioni italiane, basata sulla compromissione di caselle di posta aziendali tramite phishing. Le e‑mail fraudolente rimandano a una finta pagina di login Outlook, dove vengono sottratte credenziali e codici OTP. Una volta ottenuto l’accesso, gli attaccanti analizzano le conversazioni per individuare scambi commerciali in corso. A questo punto utilizzano la tecnica di Email Thread Hijacking, inserendosi in dialoghi autentici con clienti o partner.
Gli attori della minaccia creano anche domini “sosia” tramite typosquatting per impersonare l’organizzazione compromessa. L’obiettivo è indurre le vittime a seguire istruzioni di pagamento fraudolente, realizzando frodi di tipo Business Email Compromise
Data: 17-02-2026
Leggi di più.

Dall'Europa

EDPB: Relazione sul diritto all'oblio
L’EDPB ha adottato una relazione ufficiale dedicata alla verifica dell’effettiva attuazione del diritto all’oblio da parte dei titolari del trattamento, nell’ambito del Coordinated Enforcement Framework. Il report analizza come i titolari del trattamento applicano l’art. 17 GDPR, evidenziando buone prassi e criticità ricorrenti.
La scelta del tema deriva dal fatto che il diritto alla cancellazione è tra i più frequentemente esercitati e fra quelli che generano più reclami alle autorità di controllo europee. Nell’azione coordinata del 2025 hanno partecipato 32 autorità di protezione dati, che hanno condotto indagini formali o attività conoscitive per valutare come le organizzazioni gestiscono le richieste di cancellazione. Il report evidenzia sette principali criticità, tra cui procedure interne carenti, informazioni insufficienti agli interessati e un uso inadeguato di tecniche di anonimizzazione come alternativa alla cancellazione. È stato riscontrato anche che il diritto all’oblio, non essendo assoluto, crea difficoltà ai titolari nel valutare le condizioni e le eccezioni previste dal GDPR. Complessivamente, 764 titolari hanno risposto alle richieste delle autorità, permettendo un’analisi aggregata a livello europeo. La relazione presenta inoltre buone pratiche osservate e raccomandazioni operative per migliorare la gestione delle richieste di cancellazione. L’EDPB intende utilizzare questi risultati per rafforzare l’uniformità applicativa del GDPR e supportare le autorità nei successivi interventi di follow‑up.
Data: 18-02-2026
Leggi di più.