Data Breach: Cos'è, come agire e le sanzioni previste

Scopri cos'è un data breach, le 3 tipologie principali e come gestire la notifica al Garante entro 72 ore per evitare le sanzioni previste dal GDPR.

---

---

Nell'attuale ecosistema digitale, il data breach non rappresenta più un'ipotesi remota, ma una minaccia concreta che può compromettere la sopravvivenza stessa di un'impresa. Con un costo medio globale di 3,86 milioni di dollari le violazioni dei dati personali si confermano come uno dei rischi finanziari e operativi più critici per le organizzazioni moderne.

Oltre alle ingenti perdite economiche e ai danni reputazionali spesso irreversibili, il quadro normativo impone sfide rigorose: le sanzioni GDPR possono infatti raggiungere i 10 milioni di euro o il 2% del fatturato globale.

In questo articolo analizziamo nel dettaglio la definizione di data breach e le sue diverse tipologie, fornendo una guida operativa sulle procedure di gestione e sul sistema sanzionatorio previsto dalla normativa vigente.

Cos'è un Data Breach?

L'Articolo 4 del GDPR definisce la violazione dei dati personali come una violazione di sicurezza che comporta, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati.

Un punto cruciale di questa definizione è che un data breach non si limita agli attacchi informatici dolosi, ma comprende anche eventi accidentali o errori procedurali interni.

Differenza tra incidente informatico e violazione dei dati

Non tutti gli attacchi informatici costituiscono automaticamente una violazione dei dati personali. Occorre distinguere i diversi scenari:

• Attacco DDoS - se colpisce un sito web rendendolo solo irraggiungibile, non rientra nella categoria di data breach.
• Attacco Ransomware - quando blocca i dati dei clienti e minaccia di divulgarli, rappresenta una vera violazione.
• Furto fisico - il furto di dischi rigidi, unità flash USB o documenti cartacei contenenti informazioni sensibili configura ugualmente un data breach.

I tre pilastri della sicurezza compromessi

Secondo le linee guida del Garante, le violazioni possono colpire tre principi fondamentali della sicurezza delle informazioni:

1. Violazione della riservatezza che comprende la divulgazione non autorizzata o accidentale di dati personali.
2. Violazione dell'integrità in cui avviene un'alterazione non autorizzata o accidentale dei dati.
3. Violazione della disponibilità come la perdita dell'accesso ai dati o la loro distruzione.

Tipologie di dati coinvolti e impatto

I dati sottratti spaziano dalle informazioni finanziarie - come carte di credito e dati bancari - alle cartelle cliniche, fino ai segreti industriali. Spesso, le fughe di dati riguardano informazioni non strutturate sovraesposte, come archivi e documenti non protetti.

Gli effetti per gli interessati risultano significativi: la perdita di controllo sui dati può portare a furti di identità, frodi, perdite finanziarie, danni alla reputazione e limitazione dei diritti individuali.

Quali sono le 3 tipologie di Data Breach?

Il Gruppo di lavoro dei Garanti Europei, attraverso le linee guida WP250, ha definito tre categorie precise di data breach. Questa classificazione permette alle organizzazioni di identificare la natura della violazione, e determinare i conseguenti obblighi di notifica al Garante.

Confidentiality Breach (Violazione della riservatezza)

Questa fattispecie si verifica in caso di accesso non autorizzato o accidentale ai dati personali. Un esempio tipico è un attacco informatico a un'applicazione web che consente a soggetti esterni di consultare o sottrarre informazioni riservate.

Availability Breach (Violazione della disponibilità)

Questa categoria riguarda la perdita, l'indisponibilità temporanea o la distruzione dei dati. Ad esempio un attacco ransomware che cifra i file in assenza di un backup disponibile costituisce una violazione grave per la quale è obbligatoria la notifica al Garante.

Integrity Breach (Violazione dell'integrità)

Si manifesta quando i dati personali vengono alterati in modo non autorizzato o accidentale. Tale violazione compromette l'affidabilità e la correttezza delle informazioni trattate dall'organizzazione, con potenziali impatti negativi sui processi decisionali che riguardano gli interessati.

Molto frequentemente però la violazione dei dati personali può interessare simultaneamente riservatezza, integrità e disponibilità imponendo l’obbligo di notifica immediata al Garante e attuare tutte le azioni per tutelare i soggetti coinvolti.

Cosa si deve fare in caso di Data Breach

In caso di violazione dei dati personali, il titolare del trattamento deve procedere immediatamente a una valutazione del rischio per i diritti e le libertà degli interessati. Questa autovalutazione, prevista dal principio di accountability all’articolo 5 del GDPR, determina la sussistenza dell'obbligo di notifica all'Autorità Garante e di comunicazione ai soggetti coinvolti.

La violazione deve essere notificata al Garante per la protezione dei dati personali senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui l'organizzazione ne viene a conoscenza. Tale termine decorre dal momento in cui si acquisisce un ragionevole grado di certezza che la violazione si sia effettivamente verificata.

L'obbligo di notifica scatta esclusivamente quando il data breach presenta un rischio per i diritti e le libertà delle persone fisiche. Dal 1° luglio 2021, la trasmissione della documentazione avviene esclusivamente tramite la procedura telematica disponibile sul portale dei servizi online dell'Autorità.

Secondo i requisiti normativi, la notifica deve contenere:

• la descrizione della natura della violazione;
• le categorie, il numero approssimativo di interessati e di record coinvolti;
• I contatti del Data Protection Officer - DPO;
• le probabili conseguenze della violazione;
• le misure adottate o proposte per porre rimedio all'incidente.

Comunicazione agli interessati - Articolo 34 GDPR

Qualora la violazione comporti un rischio elevato per i diritti delle persone, il titolare ha l'obbligo di comunicare l'evento direttamente agli interessati.

La comunicazione deve essere redatta con un linguaggio semplice e chiaro, descrivendo la natura del breach e fornendo indicazioni specifiche su come proteggersi dalle possibili conseguenze negative come ad esempio, il cambio delle password o il monitoraggio dei conti bancari.

Indipendentemente dall'obbligo di notifica al Garante, ogni organizzazione deve documentare qualsiasi violazione all'interno del registro dei data breach. Questa documentazione è essenziale per consentire all'Autorità di verificare il rispetto della normativa e per dimostrare la corretta applicazione del principio di responsabilizzazione (accountability).

Sanzioni previste nei casi di Data Breach

Il GDPR stabilisce sanzioni amministrative pecuniarie articolate su due livelli di gravità, rendendo il costo della non-compliance estremamente elevato.

Le violazioni relative agli obblighi di notifica e comunicazione - previsti dagli articoli 33 e 34 - rientrano nel primo livello, con sanzioni che possono raggiungere i 10.000.000 di euro o, per le imprese, fino al 2% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore.

Nei casi di violazioni più gravi, i massimali raddoppiano, arrivando fino a 20.000.000 di euro o al 4% del fatturato.

L'Autorità Garante determina l'importo della sanzione attraverso una valutazione multidimensionale che include:

• entità del danno e durata della violazione;
• carattere doloso o colposo della condotta;
• tempestività delle misure adottate per limitare il danno agli interessati;
• grado di collaborazione dimostrato con l'Autorità durante l'istruttoria.

Secondo i criteri europei, ogni sanzione deve risultare effettiva, proporzionata e dissuasiva per il singolo caso trattato.

Esempi di Data Breach

L'analisi dei casi recenti dimostra come le violazioni dei dati personali colpiscono organizzazioni di ogni settore e dimensione, dalle multinazionali alla Pubblica Amministrazione.

Il caso Google e ShinyHunters

Nel 2025, un attacco al database Salesforce di Google da parte del gruppo ShinyHunters ha evidenziato la vulnerabilità del fattore umano. Attraverso tecniche di vishing - phishing vocale - gli attaccanti hanno indotto i dipendenti a installare applicazioni dannose, ottenendo l'accesso ai dati di contatto di numerose piccole e medie imprese.

Le vulnerabilità critiche di Oracle

Nel marzo 2025, un'incursione nei sistemi che gestiscono le identità digitali - SSO e LDAP - di Oracle Cloud ha esposto 6 milioni di record appartenenti a oltre 140 mila aziende clienti, mettendo a rischio password cifrate e chiavi di gestione enterprise.

La violazione di InfoCert

Il 27 dicembre 2024, InfoCert ha subito un attacco che ha coinvolto i dati di circa 5,5 milioni di clienti. La violazione, avvenuta tramite il sistema di Customer Care gestito da un fornitore esterno, ha comportato l'esposizione di milioni di indirizzi email e numeri di telefono, evidenziando il rischio intrinseco nella gestione dei dati tramite terze parti.

La Pubblica Amministrazione: il caso del Comune di Fiano

Anche le realtà locali risultano vulnerabili. Il Comune di Fiano ha subito un attacco malware originato da una mail di phishing contenente un allegato malevolo. Questo episodio conferma come la mancanza di adeguate misure di filtraggio e di formazione del personale possa paralizzare i servizi pubblici e compromettere la riservatezza dei cittadini.

La gestione professionale di un data breach richiede procedure immediate e una conformità normativa rigorosa per evitare sanzioni elevate, e danni reputazionali irreversibili. 

Affidarsi a servizi di consulenza privacy specializzati rappresenta dunque la soluzione strategica per regolarizzare la propria posizione aziendale e garantire la massima protezione dei dati trattati.

SCOPRI I NOSTRI SERVIZI DI CONSULENZA PRIVACY