Data Breach e Mancata Notifica: Sanzioni del Garante

Il biennio 2024-2025 ha segnato un'escalation senza precedenti sul fronte della cybersecurity in Italia. Secondo la Relazione Annuale 2024 del Garante Privacy (luglio 2025), le notifiche di data breach sono aumentate del 22%, raggiungendo quota 2.204 in un solo anno. A questa emergenza tecnica si affianca una risposta istituzionale ferma: l'Autorità ha irrogato sanzioni per circa 24 milioni di euro, focalizzandosi proprio sulle carenze nelle misure di sicurezza (Art. 32 GDPR) e sulla tardiva gestione degli incidenti.

In questo scenario, subire un attacco ransomware non è più una remota possibilità, ma un rischio statistico elevato. L'errore più costoso che molte aziende commettono non risiede nell'incidente in sé, quanto nel fallimento della gestione legale post-breach: omettere o ritardare la notifica obbligatoria alle Autorità competenti.

In sintesi: (1) Un data breach include non solo furti hacker, ma anche lo smarrimento accidentale di PC o l'invio palese di mail massive mal configurate (CC e non CCN). (2) Il board colpito deve categoricamente notificare l'Autorità entro il tetto limite formale di 72 ore dall'evento accertato. (3) Nascondere subdolamente l'incidente trasforma un'attenuante procedurale in un'aggravante dolosa sanzionata fino a 10 milioni di Euro dal Garante. (4) Conservare fisicamente un registro interno degli incidenti è obbligo cogente.

Cos'è legalmente un Data Breach e perché non riguarda solo gli attacchi hacker?

L'immaginario collettivo lega il concetto di "Data Breach" all'hacker incappucciato che sabota i server aziendali. Questo pregiudizio cognitivo è la prima causa di sanzioni in azienda. Ai sensi dell'Art. 4, punto 12, del Regolamento (UE) 2016/679 (GDPR), si configura una violazione dei dati personali in ogni caso di "violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati". Per una comprensione più ampia della struttura del Regolamento, si veda la guida completa al GDPR.

La casistica ispettiva del Garante dimostra che i breach più sanzionati derivano spesso da negligenze umane:

• Perdita di dispositivi (Confidentiality Breach): Lo smarrimento di uno smartphone o di un PC aziendale (non protetto da crittografia BitLocker o FileVault e sprovvisto di Mobile Device Management per il remote-wiping) usato per accedere alla posta elettronica clinica o professionale.

• Invio massivo in Cc (Disclosure Breach): L'invio di newsletter o comunicazioni amministrative ponendo centinaia di destinatari in "Copia Conoscenza" (Cc) anziché in "Copia Nascosta" (Ccn), esponendo così l'intero database di clienti. Il Garante ha comminato multe a strutture sanitarie e associazioni proprio per questo "banale" errore organizzativo.

• Incendi o allagamenti (Availability Breach): La distruzione dei server fisici o degli archivi cartacei senza l'esistenza di un piano di Disaster Recovery o backup off-site funzionante, rendendo i dati indisponibili in modo permanente.

Da quale momento scatta il conto alla rovescia delle 72 ore per la notifica?

L'istinto primordiale di un board aziendale di fronte a uno schermo bloccato da un ransomware è "risolviamo prima il problema tecnico, poi chiamiamo gli avvocati". Questa scelta porta quasi inevitabilmente alla sanzione.

L'Art. 33 del GDPR impone al Titolare del trattamento l'obbligo di notificare la violazione al Garante Privacy "senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza", a meno che sia improbabile che la violazione presenti un rischio per i diritti e le libertà delle persone fisiche.

Quando si innesca l'orologio delle 72 ore?

Le linee guida EDPB 01/2021 chiariscono che un Titolare si considera "a conoscenza" di una violazione nel momento in cui possiede un ragionevole grado di certezza che un incidente di sicurezza sia avvenuto, non al completamento dell'indagine forense. Se l'antivirus o l'EDR segnala un'esfiltrazione anomala il venerdì sera, il Titolare deve agire. Aspettare il martedì per "verificare meglio con i tecnici" significa superare il limite.

Notifica per fasi (Art. 33, par. 4)

È umanamente impossibile avere un quadro di rete completo in tre giorni. Proprio per questo, la legge permette la "notifica per fasi". L'azienda virtuosa segnala subito al Garante che è in corso un evento critico (Notifica Preliminare), fornendo le stime iniziali e indicando che ulteriori indagini sono in corso. Questa mossa anestetizza il rischio sanzionatorio per ritardo.

Quando va comunicato il data breach anche agli interessati e non solo al Garante?

Non tutti i Data Breach vanno notificati all'Autorità, e ancora meno vanno comunicati alle vittime. È qui che entra in gioco l'analisi del rischio.

• Rischio Basso: I dati violati erano crittografati con algoritmi solidi (es. AES-256) e le chiavi non sono state rubate. In questo caso, basta annotare l'incidente nel "Registro dei Data Breach" interno aziendale. Non serve avvisare il Garante.

• Rischio Medio: Esiste un rischio per gli individui (es. esfiltrazione di nomi, email e numeri di telefono, prestando il fianco al phishing). Scatta l'obbligo di notifica al Garante entro 72 ore, ma non la comunicazione pubblica.

• Rischio Elevato: I dati compromessi includono categorie particolari (Art. 9: orientamento politico, dati sanitari, impronte digitali), password in chiaro, dati delle carte di credito o documenti d'identità. In questo caso, l'Art. 34 del GDPR impone l'obbligo di informare le vittime stesse senza ingiustificato ritardo. Nascondere questo genere di breach si configura come circostanza severamente aggravante nel quadro quantificativo (Art. 83).

Quali sono le sanzioni per mancata o tardiva notifica del data breach?

Le conseguenze amministrative non sono l'unico problema. L'ammontare delle sanzioni per violazione dell'Art. 33 (e dell'Art. 32 correlato) può raggiungere il tetto dei 10.000.000 di euro o, per le imprese, il 2% del fatturato mondiale annuale (si applicherà la sanzione più alta tra le due).

Ma cosa accade operativamente quando il Garante scopre una mancata notifica? Recentemente, la stampa ha portato alla luce numerose intrusione nei sistemi di provider italiani ospedalieri o di multi-servizi che, avendo negato il data breach, sono stati smentiti dai cyber-criminali (ad LockBit o Rhysida) che hanno pubblicato i database nel Dark Web. In queste circostanze, il Garante interviene ex officio. L'omissione volontaria (o per crassa ignoranza) stravolge a monte il principio cardine del GDPR: l'Accountability (Responsabilizzazione). L'indagine si sposta immediatamente dall'evento traumatico (l'attacco) alla struttura sistemica: spesso l'ispezione rivela la totale assenza di Data Protection Impact Assessment (DPIA), l'uso di software vulnerabili, l'assenza di audit e di policy di data retention. Il breach diviene la "pistola fumante" per smantellare l'impalcatura privacy inesistente e irrogare la sanzione massima.

5. Come si coordina il flusso comunicativo obbligatorio tra CISO e DPO durante il breach?

Nelle PMI strutturate e nelle grandi imprese, le frizioni organizzative peggiorano le tempistiche di risposta. Da una parte il CISO (Chief Information Security Officer) o l'IT Manager si oppongono alla notifica sostenendo l'approccio Zero Knowledge ("cerchiamo di chiudere la falla prima che se ne accorga nessuno"). Dall'altra, il DPO (Data Protection Officer) preme per la notifica istituzionale al fine di proteggere la società legalmente.

La designazione di un DPO esterno, scevro da timori reverenziali o pressioni del management operativo IT, assicura un'imperturbabile valutazione giuridica. Sarà suo compito coadiuvare la dirigenza, istituendo un Incident Response Team e preparando fisicamente il documento telematico da inoltrare al Garante, mitigando e traducendo le terminologie informatiche in esimenti giuridiche. Per comprendere i vantaggi di questo assetto, si rimanda all'approfondimento su DPO interno vs esterno.

Domande Frequenti (FAQ)

Cosa accade se paghiamo il riscatto di un ransomware? Il pagamento del riscatto non esonera dall'obbligo di notifica. Anzi, le Autorità (inclusa l'ACN e il Garante) sconsigliano vivamente il pagamento, poiché non garantisce affatto la distruzione dei dati esfiltrati. Dichiarare agli interessati che il rischio è cessato solo perché si è pagato il riscatto può essere considerato un'informazione ingannevole e un'aggravante in sede di ispezione.

Da quando partono esattamente le 72 ore per la notifica? Il termine decorre dal momento in cui il Titolare ha "conoscenza" del breach, ovvero una ragionevole certezza dell'incidente. Non è necessario attendere la fine delle indagini forensi: è anzi prassi raccomandata effettuare una "notifica preliminare" entro le 72 ore, riservandosi di integrare le informazioni successivamente (notifica per fasi).

Cosa rischia un'azienda che nasconde un Data Breach? Oltre alle sanzioni amministrative pecuniarie (fino a 10 milioni di euro o 2% del fatturato), l'azienda rischia la perdita totale di credibilità verso il mercato. Se il breach emerge successivamente (ad esempio tramite la pubblicazione dei dati sul Dark Web), l'omissione viene considerata una violazione dolosa, portando spesso all'irrogazione delle sanzioni massime.

Il mio fornitore Cloud è stato attaccato: chi deve notificare? Il fornitore (Responsabile del Trattamento) deve informare immediatamente te (Titolare). L'obbligo di notificare il Garante rimane in capo alla tua azienda come Titolare. È fondamentale che il DPA sottoscritto con il fornitore (Art. 28 GDPR) specifichi tempi certi per la comunicazione del breach dal provider alla tua società.

Esistono esenzioni dalla notifica per le imprese? No. Il GDPR non prevede soglie dimensionali. Tuttavia, la notifica è obbligatoria solo se la violazione presenta un rischio per i diritti e le libertà delle persone. Se i dati erano cifrati correttamente e le chiavi sono al sicuro, il rischio è considerato nullo e l'evento va solo annotato nel Registro dei Data Breach interno.