Avv. Antonino Ingoglia - Diritto IT e Privacy
Aziende2026-04-047 min read

Data Breach e Mancata Notifica: Analisi delle Sanzioni del Garante Privacy

Cosa succede in caso di mancata notifica di un data breach? Analisi delle sanzioni Garante Privacy 2024-2025, obblighi del titolare e prevenzione legale.

Il biennio 2024-2025 ha segnato un'escalation senza precedenti sul fronte della cybersecurity e del contrasto alle violazioni dei dati in Europa. Secondo il Rapporto Clusit 2025, gli attacchi informatici rivolti alle PMI italiane sono aumentati del 65% rispetto all'anno precedente, evidenziando una preoccupante fragilità sistemica. A questa emergenza tecnica si affianca la ferma risposta istituzionale: la Relazione Annuale del Garante Privacy italiano certifica oltre 24,4 milioni di euro di sanzioni riscosse nel 2024, tramite 468 provvedimenti collegiali, moltissimi dei quali focalizzati sulle carenze nelle misure di sicurezza (Art. 32 GDPR) e sulla scorretta gestione degli incidenti. Inoltre, il report DLA Piper sulle sanzioni GDPR ha evidenziato come l'Italia si confermi regolarmente sul podio europeo per l'ammontare delle multe irrogate.

In questo scenario, subire un attacco ransomware o un'esfiltrazione di dati non è più una remota possibilità, ma un rischio statistico certo. Eppure, l'errore più drammatico e costoso che quasi il 40% delle aziende (inclini all'occultamento) commette non risiede tanto nell'incidente in sé, quanto nel fallimento della gestione legale post-breach: ovvero omettere o ritardare la notifica alle Autorità.

1. Oltre l'Hacker: Cos'è Realmente un Data Breach

L'immaginario collettivo lega il concetto di "Data Breach" all'hacker incappucciato che sabota i server aziendali. Questo pregiudizio cognitivo è la prima causa di sanzioni in azienda. Ai sensi dell'Art. 4, punto 12, del Regolamento (UE) 2016/679 (GDPR), si configura una violazione dei dati personali in ogni caso di "violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati".

La casistica ispettiva del Garante dimostra che i breach più sanzionati derivano spesso da negligenze umane:

  • Perdita di dispositivi (Confidentiality Breach): Lo smarrimento di uno smartphone o di un PC aziendale (non protetto da crittografia BitLocker o FileVault e sprovvisto di Mobile Device Management per il remote-wiping) usato per accedere alla posta elettronica clinica o professionale.

  • Invio massivo in Cc (Disclosure Breach): L'invio di newsletter o comunicazioni amministrative ponendo centinaia di destinatari in "Copia Conoscenza" (Cc) anziché in "Copia Nascosta" (Ccn), esponendo così l'intero database di clienti. Il Garante ha comminato multe a strutture sanitarie e associazioni proprio per questo "banale" errore organizzativo.

  • Incendi o allagamenti (Availability Breach): La distruzione dei server fisici o degli archivi cartacei senza l'esistenza di un piano di Disaster Recovery o backup off-site funzionante, rendendo i dati indisponibili in modo permanente.

2. Il Countdown Inesorabile: La Regola delle 72 Ore

L'istinto primordiale di un board aziendale di fronte a uno schermo bloccato da un ransomware è "risolviamo prima il problema tecnico, poi chiamiamo gli avvocati". Questa scelta porta quasi inevitabilmente alla sanzione.

L'Art. 33 del GDPR impone al Titolare del trattamento l'obbligo di notificare la violazione al Garante Privacy "senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza", a meno che sia improbabile che la violazione presenti un rischio per i diritti e le libertà delle persone fisiche.

Quando si innesca l'orologio delle 72 ore?

Le linee guida EDPB 01/2021 chiariscono che un Titolare si considera "a conoscenza" di una violazione nel momento in cui possiede un ragionevole grado di certezza che un incidente di sicurezza sia avvenuto, non al completamento dell'indagine forense. Se l'antivirus o l'EDR segnala un'esfiltrazione anomala il venerdì sera, il Titolare deve agire. Aspettare il martedì per "verificare meglio con i tecnici" significa superare il limite.

Notifica per fasi (Art. 33, par. 4)

È umanamente impossibile avere un quadro di rete completo in tre giorni. Proprio per questo, la legge permette la "notifica per fasi". L'azienda virtuosa segnala subito al Garante che è in corso un evento critico (Notifica Preliminare), fornendo le stime iniziali e indicando che ulteriori indagini sono in corso. Questa mossa anestetizza il rischio sanzionatorio per ritardo.

3. La Valutazione del Rischio e la Comunicazione agli Interessati (Art. 34)

Non tutti i Data Breach vanno notificati all'Autorità, e ancora meno vanno comunicati alle vittime. È qui che entra in gioco l'analisi del rischio.

  • Rischio Basso: I dati violati erano crittografati con algoritmi robusti (es. AES-256) e le chiavi non sono state rubate. In questo caso, basta annotare l'incidente nel "Registro dei Data Breach" interno aziendale. Non serve avvisare il Garante.

  • Rischio Medio: Esiste un rischio per gli individui (es. esfiltrazione di nomi, email e numeri di telefono, prestando il fianco al phishing). Scatta l'obbligo di notifica al Garante entro 72 ore, ma non la comunicazione pubblica.

  • Rischio Elevato: I dati compromessi includono categorie particolari (Art. 9: orientamento politico, dati sanitari, impronte digitali), password in chiaro, dati delle carte di credito o documenti d'identità. In questo caso, l'Art. 34 del GDPR impone l'obbligo di informare le vittime stesse senza ingiustificato ritardo. Nascondere questo genere di breach si configura come circostanza severamente aggravante nel quadro quantificativo (Art. 83).

4. Analisi delle Sanzioni e L'Aggravante dell'Omissione

Le conseguenze amministrative non sono l'unico problema. L'ammontare delle sanzioni per violazione dell'Art. 33 (e dell'Art. 32 correlato) può raggiungere il tetto dei 10.000.000 di euro o, per le imprese, il 2% del fatturato mondiale annuale (si applicherà la sanzione più alta tra le due).

Ma cosa accade operativamente quando il Garante scopre una mancata notifica? Recentemente, la stampa ha portato alla luce numerose intrusione nei sistemi di provider italiani ospedalieri o di multi-servizi che, avendo negato il data breach, sono stati smentiti dai cyber-criminali (ad LockBit o Rhysida) che hanno pubblicato i database nel Dark Web. In queste circostanze, il Garante interviene ex officio. L'omissione volontaria (o per crassa ignoranza) stravolge a monte il principio cardine del GDPR: l'Accountability (Responsabilizzazione). L'indagine si sposta immediatamente dall'evento traumatico (l'attacco) alla struttura sistemica: spesso l'ispezione rivela la totale assenza di Data Protection Impact Assessment (DPIA), l'uso di software vulnerabili, l'assenza di audit e di policy di data retention. Il breach diviene la "pistola fumante" per smantellare l'impalcatura privacy inesistente e irrogare la sanzione massima.

5. Il Rapporto Tra CISO e DPO Durante l'Emergenza

Nelle PMI strutturate e nelle grandi imprese, le frizioni organizzative peggiorano le tempistiche di risposta. Da una parte il CISO (Chief Information Security Officer) o l'IT Manager si oppongono alla notifica sostenendo l'approccio Zero Knowledge ("cerchiamo di chiudere la falla prima che se ne accorga nessuno"). Dall'altra, il DPO (Data Protection Officer) preme per la notifica istituzionale al fine di proteggere la società legalmente.

La designazione di un DPO esterno, scevro da timori reverenziali o pressioni del management operativo IT, assicura un'imperturbabile valutazione giuridica. Sarà suo compito coadiuvare la dirigenza, istituendo un Incident Response Team e preparando fisicamente il documento telematico da inoltrare al Garante, mitigando e traducendo le terminologie informatiche in esimenti giuridiche.

Domande Frequenti

La mia azienda subisce estorsione da un ransomware: il pagamento blocca l'obbligo di notificare il Garante?

Categoricamente no. Le agenzie governative, l'ACN e il Garante sono irremovibili su questo punto: non vi è mai certezza matematica che la cybergang distrugga le copie dei dati esfiltrati. Il pagamento arricchisce l'organizzazione criminale senza ripristinare il controllo normativo sui dati. Assicurare agli interessati che "i dati non sono in pericolo perché abbiamo pagato" rappresenta una grave elusione dei doveri ex Art. 34 e aggrava la responsabilità Titolare.

Cosa accade se è il mio fornitore gestionale Cloud a subire il breach?

Nel modello contrattuale corretto (Art. 28 GDPR), il provider Cloud opera in veste di Responsabile del Trattamento (Data Processor). I suoi obblighi consistono nel comunicare immediatamente al Titolare (la tua azienda) l'avvenuta compromissione. I termini stringenti delle 72 ore per inoltrare la comunicazione all'Autorità decorrono nel momento in cui il cloud provider notifica l'evento a te. Assenti DPA redatti chirurgicamente, il rimpallo di responsabilità sfocia di norma in sanzioni per ambo i lati.

Esistono assicurazioni per coprire le sanzioni del Garante in caso di Data breach?

Esistono nel mercato le polizze di Cybersecurity Insurance (con fortissima enfasi negli ultimi due anni). Tuttavia, nel panorama giuridico italiano, nessuna polizza assicurativa può rifondere il pagamento di sanzioni amministrative pecuniarie governative o multe (sarebbe contrario all'ordine pubblico). Le assicurazioni intervengono unicamente sui costi di Business Interruption, rimborso delle spese di ripristino forense IT, sui costi dei legali e sugli eventuali risarcimenti civilistici a terzi per danni materiali ex Art. 82. Le multe del Garante spettano puramente all'azienda.

Nota Informativa: I contenuti di questo articolo hanno finalità puramente divulgative e informative. Non costituiscono parere legale né instaurano un rapporto professionale. Ogni caso concreto richiede una valutazione specifica.
Torna agli articoli

Serve assistenza per il tuo caso?

Prenota un assessment online in videochiamata da tutta Italia. Analizzeremo la situazione e definiremo i passi operativi in totale sicurezza.