Skip to content
data breach

Cos'è il data breach e quali rischi per la sicurezza del cloud

 Sono le 14:35 di un martedì qualunque. Il tuo responsabile IT ti chiama e ti dice una cosa che speravi di non sentire mai: "Qualcuno ha avuto accesso ai dati dei nostri clienti." Cosa fai? Hai 72 ore di tempo prima che scattino gli obblighi di legge, e ogni minuto conta.

In questa guida trovi tutto quello che ti serve sapere in questi casi: cos'è un data breach secondo il GDPR, quali sono le cause più frequenti (spoiler: non sempre è colpa degli hacker), come l'AI sta aprendo nuove forme di violazione, perché il cloud non è automaticamente "sicuro" e, soprattutto, cosa fare passo dopo passo nei minuti e nelle ore successive a un incidente.

 

Cos'è un data breach (violazione dei dati personali) secondo il GDPR

Il GDPR, all'Art. 4, paragrafo 12, definisce la violazione dei dati personali come qualsiasi incidente di sicurezza che comporta, accidentalmente o in modo illecito:

  • la distruzione dei dati personali
  • la perdita o alterazione degli stessi
  • la divulgazione non autorizzata
  • l'accesso a dati trasmessi, conservati o trattati in altro modo

La definizione è volutamente ampia. Rientrano in questa categoria sia l'attacco ransomware che ha cifrato tutti i tuoi file sia una semplice email spedita per errore al destinatario sbagliato, se contiene dati personali.

Vale la pena chiarire subito tre termini che spesso si confondono.

Concetto

Definizione sintetica

Obbligo di notifica al Garante?

Security Incident

Evento che compromette la sicurezza IT (es. tentativo di accesso fallito)

No

Data Breach

Violazione con impatto su dati personali e rischio per i diritti degli interessati

Sì, se il rischio è "probabile"

Data Leak

Esposizione involontaria di dati, spesso per configurazione errata

Sì, se i requisiti GDPR sono soddisfatti

 

 Non ogni incidente di sicurezza è un data breach. Ma ogni data breach nasce da un incidente di sicurezza. Capire questa distinzione ti aiuta a valutare meglio la gravità reale dell'evento e a decidere se e come notificarlo.

 

Le cause del data breach: dall'errore umano all'attacco hacker

Quando pensiamo a una violazione di dati, immaginiamo un hacker con il cappuccio davanti a schermi pieni di codice. La realtà è molto più banale, e per questo ancora più difficile da prevenire.

Le cause più frequenti di data breach nelle PMI sono:

  • un'email con allegati riservati inviata al destinatario sbagliato;
  • un laptop aziendale dimenticato in treno o in aeroporto;
  • una password debole riutilizzata su più servizi;
  • un dipendente che clicca su un link di phishing;
  • un ex collaboratore con credenziali non ancora revocate.

L'errore umano è il fattore abilitante in una quota rilevante degli incidenti. Questo non significa che la tecnologia non conti: significa che anche la migliore infrastruttura può essere aggirata se le persone non sono formate.

In Italia, nel 2024, gli attacchi informatici gravi sono aumentati del 15,2% rispetto all'anno precedente. Una PMI su quattro ha dichiarato di aver ricevuto almeno un attacco nel corso del 2025. Il cybercrime rappresenta il 60,9% di tutti gli incidenti registrati in Italia nello stesso anno.

La domanda da porsi non è se subirai un incidente, ma se sei pronto a gestirlo nel momento in cui accade.

 

Data Breach: hai tutto gli strumenti per prevenirlo? ➡️SCARICA IL KIT

 

L'impatto dell'AI sui data breach: nuove minacce e fughe di dati involontarie

L'intelligenza artificiale ha cambiato il profilo delle minacce. Non solo le ha rese più sofisticate: ha introdotto una categoria di rischio completamente nuova, spesso ignorata dai responsabili IT. Quella delle fughe di dati involontarie generate dai dipendenti stessi. 

Shadow AI: il rischio che non vedi arrivare 

C'è un fenomeno che cresce silenziosamente in quasi ogni azienda italiana. Si chiama Shadow AI ed è l'uso di strumenti di intelligenza artificiale non approvati dall'azienda da parte dei dipendenti, per svolgere il proprio lavoro quotidiano.

Ne sono esempi concreti: un contratto caricato su ChatGPT per una revisione rapida, un'analisi finanziaria elaborata con un AI personale, una presentazione per il cliente generata con uno strumento mai approvato dall'IT. In tutti questi casi, dati riservati escono dal perimetro aziendale e vengono processati da sistemi su cui non hai alcun controllo.

I dati fotografano bene il fenomeno: il 68% dei dipendenti italiani usa strumenti AI non autorizzati senza informare i propri responsabili. A livello globale, il 54% si dichiara disposto a usare strumenti non approvati "in assenza di soluzioni ufficiali".

Il meccanismo è semplice e paradossale: l'azienda blocca l'accesso a ChatGPT per ragioni di sicurezza, il dipendente lo usa comunque dal telefono personale. L'azienda perde il controllo, peggiorando esattamente il problema che voleva evitare.

Attacchi AI-driven: phishing e vishing di nuova generazione 

L'AI non è solo un rischio interno. Gli attaccanti la usano per costruire campagne di phishing e vishing (voice phishing) di qualità prima impossibile da raggiungere: email senza errori grammaticali, voce clonata del CEO che chiede un bonifico urgente, messaggi costruiti su misura a partire dai dati pubblici del dipendente.

Questi attacchi puntano a rubare le credenziali di accesso, che diventano la porta d'ingresso per il vero data breach.

 

I rischi specifici per la sicurezza del cloud computing

Molti titolari di PMI credono che il cloud sia, per definizione, un posto sicuro. L'idea di fondo è: "Se i dati sono su Microsoft Azure o su AWS, ci pensa il provider." Questa convinzione è parzialmente vera e per questo molto pericolosa.

L'83% delle organizzazioni ha affrontato almeno un incidente di sicurezza nel cloud nel 2024. Il 61% ha subìto almeno un data breach direttamente nell'infrastruttura cloud. I numeri smontano la narrativa del "cloud sicuro per definizione".

Le cause principali dei breach in ambiente cloud si concentrano su tre aree.

Configurazioni errate

Un bucket S3 lasciato aperto, un'istanza con porte esposte su internet, policy di accesso troppo permissive: questi errori espongono dati che il provider ha protetto correttamente dal suo lato. Il problema è che la responsabilità della configurazione è tua, non del provider.

Furto di credenziali e identity theft

Le credenziali cloud sono bersagli primari degli attaccanti. Una password di accesso a Microsoft 365 o ad AWS, una volta compromessa, dà accesso a tutto: email, file, database, archivi storici. Il furto avviene spesso tramite phishing, credential stuffing (uso di password rubate in altri breach) o acquisto sul dark web.

Il modello di responsabilità condivisa

Il confine di responsabilità tra provider e cliente è preciso ma spesso sconosciuto. Il provider protegge l'infrastruttura fisica e la piattaforma. Tu sei responsabile di tutto il resto.

Area

Provider cloud

Azienda cliente

Infrastruttura fisica

No

Sicurezza della piattaforma

No

Configurazione accessi e permessi

No

Gestione identità (IAM)

No

Cifratura e backup dei dati

Dipende dal contratto

Monitoraggio degli accessi

Parziale

 

Se non conosci dove finisce la responsabilità del tuo provider e dove inizia la tua, non puoi gestirla. Questa è la radice del rischio cloud per le PMI.

 

Cosa fare in caso di data breach in 4 step

Hai scoperto una violazione. Il panico è una reazione comprensibile, ma non è un piano d'azione. Ecco cosa fare, nell'ordine giusto.

Step 1: isola senza spegnere

Il primo impulso è staccare tutto. Resisti. Isola la macchina infetta dalla rete (disconnetti il WiFi o stacca il cavo ethernet) ma non spegnerla. Lo spegnimento cancella la memoria RAM, che spesso contiene tracce forensi preziose per ricostruire cosa è successo e come.

Step 2: valuta l'impatto

Rispondi a queste domande prima di fare qualsiasi altra mossa:

  • Quali dati sono stati coinvolti (personali, finanziari, sanitari, di terzi)?
  • Quante persone sono potenzialmente interessate?
  • I dati erano cifrati al momento della violazione?
  • La violazione è ancora in corso o è già conclusa?
  • la natura della violazione e le categorie di dati coinvolti;
  • il numero approssimativo di persone interessate;
  • le misure adottate o proposte per contenere e rimediare all'incidente;
  • il nome e i contatti del DPO (Data Protection Officer), se presente nell'organizzazione.

Dalla risposta a questi punti dipende se e come procedere con la notifica obbligatoria.

Step 3: notifica al Garante (Art. 33 GDPR)

L'Art. 33 del GDPR stabilisce che il titolare del trattamento deve notificare la violazione all'Autorità di controllo (in Italia, il Garante per la protezione dei dati personali) entro 72 ore dal momento in cui ne viene a conoscenza, a meno che sia improbabile che la violazione presenti un rischio per i diritti e le libertà delle persone fisiche.

La notifica deve contenere almeno:

Se non riesci a raccogliere tutte le informazioni entro le 72 ore, puoi fare una notifica parziale e integrare successivamente, specificando i motivi del ritardo. La comunicazione tardiva è comunque preferibile all'omissione.

Step 4: documenta tutto nel registro delle violazioni

Anche se pensi che la violazione non superi la soglia di rischio e non richieda notifica al Garante, sei obbligato a registrarla nel Registro delle Violazioni interno. Questo documento deve contenere i fatti relativi all'incidente, i suoi effetti e le misure correttive adottate.

La documentazione costituisce la tua protezione concreta in caso di ispezione o contenzioso successivo.

 

Come prevenire la violazione dei dati

La procedura che hai appena letto funziona. Ma il vero obiettivo è non doverla mai applicare, o applicarla il meno spesso possibile.

La prevenzione di un data breach si costruisce su tre livelli distinti:

  • Visibilità: non puoi proteggere quello che non vedi. Un Vulnerability Assessment periodico identifica le falle nella tua infrastruttura prima che le trovi qualcun altro. Il monitoraggio H24 tramite SOC (Security Operations Center) garantisce che ogni anomalia venga rilevata in tempo reale, non a danni già avvenuti.
  • Formazione: l'errore umano è la prima causa di breach. Simulazioni di phishing e sessioni di Phishing Awareness addestrano i tuoi dipendenti a riconoscere i tentativi di attacco, riducendo la probabilità che un clic sbagliato diventi una violazione notificabile.
  • Gestione della complessità normativa e tecnica: il GDPR, il modello di responsabilità condivisa del cloud, le policy di accesso, la gestione delle identità: ogni elemento richiede competenze specifiche e aggiornamento continuo. Avere un partner che conosce il tuo contesto aziendale significa non dover gestire questa complessità da solo, con le conseguenze operative e legali che ne derivano.

Con 25+ anni di esperienza e 200+ clienti attivi, i nostri consulenti affiancano le PMI lombarde nella costruzione di un presidio di sicurezza che non si limita a reagire agli incidenti, ma li previene. Il modello è semplice: parli con un esperto di fiducia, non apri un ticket.


FAQ: domande frequenti sul data breach

Cosa si intende per data breach? 

Un data breach è una violazione della sicurezza che comporta, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso a dati personali. La definizione è contenuta nell'Art. 4, paragrafo 12 del GDPR e include sia gli attacchi informatici sia gli errori umani come email inviate al destinatario sbagliato o dispositivi smarriti.

Qual è l'Art. 33 del GDPR?

L'Art. 33 del GDPR obbliga il titolare del trattamento a notificare all'autorità di controllo (in Italia, il Garante Privacy) qualsiasi violazione dei dati personali entro 72 ore dal momento in cui ne viene a conoscenza, quando sussiste un rischio per i diritti e le libertà delle persone fisiche. La notifica deve descrivere la natura della violazione, i dati coinvolti, le conseguenze probabili e le misure adottate o pianificate.

Qual è la differenza tra data breach e data leak?

Il data breach indica una violazione attiva della sicurezza, spesso causata da un attacco esterno o da un'azione dolosa interna. Il data leak è invece un'esposizione involontaria di dati, tipicamente causata da una configurazione errata (ad esempio un database accessibile pubblicamente senza autenticazione). In entrambi i casi, se i dati esposti sono personali e il rischio per gli interessati è concreto, si applicano gli obblighi del GDPR

Cosa fare se subisco una violazione della privacy?

La prima azione è isolare il sistema coinvolto senza spegnerlo, per preservare le prove forensi. Poi valuta l'entità dell'incidente, coinvolgi il tuo DPO e, se il rischio per gli interessati è probabile, notifica il Garante entro 72 ore. In ogni caso, documenta l'evento nel Registro delle Violazioni interno. Se non hai un DPO o non sai come procedere, rivolgiti a un consulente specializzato prima che le 72 ore siano scadute: recuperare una notifica tardiva è possibile, non presentarla espone a sanzioni significative.

 

Un data breach è un rischio concreto che ogni PMI italiana affronta ogni giorno, con cause che spaziano dall'errore umano all'attacco AI-driven, passando per configurazioni cloud errate e dipendenti che usano strumenti non autorizzati. Conoscere la definizione, sapere cosa fare nelle prime ore e avere un presidio preventivo fanno la differenza tra una crisi gestita e una crisi che ti sfugge di mano. Se vuoi capire a che punto è la sicurezza della tua azienda, parla con un nostro consulente: un'analisi del tuo contesto è il primo passo per costruire una difesa che funziona davvero.

 

Data Breach Response Kit

Scarica ora la checklist operativa che ti guida passo-passo nelle prime 72 ore, modelli di comunicazione pronti, procedure chiare.

 

#cybersecurity

Leggi i nostri ultimi articoli

ISMS

ISMS: perché implementarlo e quali sono i benefici per l'azienda

A tal proposito, la ISO/IEC 27001 delinea il quadro di policy e tecnologie riconosciute a livello internazionale che può essere ...
Mobile device management

Mobile device management: cos'è, come funziona e perché usarlo

worm virus

Worm virus: cos'è, che danni fa e come si diffonde

Esistono tipi di malware capaci non solo di sfruttare queste vulnerabilità, ma di farlo in modo completamente autonomo, ...
centralino in cloud

Come funziona il centralino in cloud e quando serve

Che cos'è il centralino in cloud Un centralino in cloud è un sistema che offre servizi telefonici tramite Internet, in ...
protezione endpoint

Come migliorare la sicurezza e il monitoraggio degli endpoint

Analizzeremo la differenza tra protezione tradizionale e rilevamento comportamentale, fornendo passaggi concreti per proteggere i ...
Trojan cos'è

Trojan: cos'è, dove si nasconde il virus e cosa fa al tuo pc

Gli analisti sono concordi nell’ammettere che i trojan rappresentano una delle minacce più insidiose, molto sfruttate dagli ...