Il panorama della sicurezza digitale vive una settimana densa di eventi: Cybernews denuncia la più vasta esposizione di chat private in app AI companion, Apple avverte sui rischi delle leggi di verifica dell’età che minano la privacy degli utenti, mentre il NIST aggiorna le linee guida sulle password, eliminando obblighi di complessità inutili e puntando su lunghezza e multifattore. Sul fronte europeo, la CMA del Regno Unito assegna a Google Search lo status di “Strategic Market”, introducendo nuove regole sul potere di mercato e sulle tecnologie AI.
Cosa leggere
App AI companion e fuga di conversazioni private
L’indagine di Cybernews ha rivelato una massiccia esposizione di oltre 43 milioni di messaggi e 600.000 file multimediali provenienti dalle app Chattee Chat e GiMe Chat, entrambe sviluppate da Imagime Interactive Limited e disponibili su Android e iOS. Il database compromesso, ospitato su un Kafka Broker pubblico non autenticato, conteneva conversazioni intime tra utenti e modelli AI, spesso di natura NSFW, con tanto di indirizzi IP e identificatori di dispositivo.
Non si è trattato di un attacco sofisticato, ma di una configurazione errata che ha lasciato aperto il flusso dati in tempo reale. I ricercatori hanno chiuso la vulnerabilità dopo la segnalazione, ma non è possibile escludere che attori malevoli abbiano già esfiltrato i dati. Le conseguenze possono essere gravi: le informazioni raccolte, combinate con database di precedenti violazioni, consentono di identificare individui reali e facilitare campagne di sextortion e phishing mirato.
Le due app, che vantano oltre 300.000 download e ricavi superiori a 900.000 euro, promettevano “privacy assoluta” nelle interazioni con modelli AI, ma l’incidente ha dimostrato come la fiducia nell’anonimato digitale sia spesso illusoria. Gli esperti raccomandano agli utenti di cambiare password, attivare autenticazione FIDO2 e monitorare l’uso dei propri dati personali, poiché i contenuti intimi scambiati con un chatbot possono trasformarsi in strumenti di ricatto.
Leggi di verifica età e preoccupazioni Apple
In Texas, la legge SB 2420 impone dal gennaio 2026 l’obbligo di verifica dell’età per tutti i download di app, anche per quelle innocue, come meteo o notizie. La misura richiede agli utenti di fornire documenti d’identità governativi per accedere agli store digitali, introducendo un nuovo rischio per la privacy dei consumatori. Apple ha espresso una forte preoccupazione, sottolineando che una norma nata per proteggere i minori finisce per creare enormi archivi di dati sensibili, vulnerabili a furti e abusi. L’azienda propone invece un approccio basato su Family Sharing e consenso parentale mirato alle app sensibili, riducendo così l’esposizione dei dati personali.
L’allarme è rafforzato da un recente breach su Discord, in cui i criminali hanno rubato i documenti di 70.000 utenti da un verificatore d’età esterno, compromettendo anche dati di pagamento. L’episodio dimostra che le leggi di verifica centralizzata dell’età, già adottate in Utah e Louisiana, potrebbero involontariamente moltiplicare le violazioni di dati personali. Apple invita i legislatori a bilanciare tutela dei minori e diritto alla riservatezza, ricordando che la privacy non può essere sacrificata in nome della protezione. L’azienda sta intanto preparando adeguamenti di conformità per i propri store, pur continuando a opporsi alla raccolta preventiva di dati sensibili.
Designazione CMA per Google e impatto sull’AI
Nel Regno Unito, la Competition and Markets Authority (CMA) ha designato Google Search come piattaforma con Strategic Market Status, attribuendole un ruolo dominante nel mercato digitale. La misura impone nuove regole operative e di trasparenza per limitare l’influenza della società sui flussi pubblicitari e sull’integrazione delle tecnologie AI nei servizi di ricerca. Google, che nel 2023 ha contribuito per 108 miliardi di euro all’economia britannica, teme che una regolamentazione eccessiva possa rallentare l’innovazione e penalizzare i consumatori. L’azienda sostiene di voler cooperare con le autorità, ma avverte che gli interventi troppo rigidi rischiano di rallentare lo sviluppo dell’AI e di far aumentare i costi per imprese e utenti.
La decisione della CMA, tuttavia, rientra in una strategia più ampia di equilibrio tra potere tecnologico e concorrenza, con l’obiettivo di evitare che un singolo attore possa determinare l’accesso alle informazioni, alla pubblicità e ai servizi digitali basati su AI.
NIST: nuove regole per password più sicure e meno complicate
Sul fronte della sicurezza informatica, il National Institute of Standards and Technology (NIST) ha pubblicato un aggiornamento delle proprie linee guida per la gestione delle password, destinato a enti pubblici e aziende private. Le nuove raccomandazioni abbandonano i vecchi criteri di complessità — lettere maiuscole, simboli e numeri obbligatori — e puntano invece su lunghezza, unicità e verifica multifattore.
Le password dovranno avere almeno 15 caratteri nei sistemi a singolo fattore e otto nei contesti con MFA attivo. Il NIST elimina inoltre l’obbligo di cambi periodici, sostituendolo con la modifica solo in caso di compromissione. Le domande di sicurezza vengono considerate obsolete, mentre si suggerisce l’uso di codici temporanei o link di recupero più sicuri. Le organizzazioni sono invitate a implementare blocklist dinamiche per impedire l’uso di password deboli o già compromesse e ad adottare password manager certificati. Secondo il rapporto Verizon 2025, oltre il 60% degli incidenti informatici ha origine da credenziali rubate o forzate, motivo per cui la semplificazione delle regole mira a ridurre gli errori umani e migliorare la sicurezza complessiva. Dalle app AI che violano la privacy agli standard NIST che cercano di riparare decenni di cattive pratiche, il filo conduttore è uno solo: la fragilità dei dati personali in un ecosistema iperconnesso. Gli errori di configurazione, le leggi poco ponderate e i modelli di business basati sulla profilazione creano uno scenario in cui sicurezza e privacy si inseguono, senza mai raggiungere un equilibrio stabile. Le nuove linee guida del NIST rappresentano un passo avanti nella protezione individuale, ma incidenti come quello di Chattee Chat dimostrano che il problema resta culturale prima ancora che tecnico. In un mondo sempre più dipendente dall’intelligenza artificiale e dalla raccolta di dati, la sicurezza diventa un diritto che necessita di regole, ma anche di responsabilità diffuse.
