Sono le undici di sera quando arriva la notifica sul tuo telefono. Un messaggio del responsabile IT: «Abbiamo un problema serio. Qualcuno ha avuto accesso ai nostri sistemi. Non sappiamo ancora quanti dati sono compromessi.» In quel momento inizia il conto alla rovescia: 72 ore. Non 72 ore lavorative, 72 ore solari. Entro quel termine il GDPR (Reg. UE 679/2016) ti impone, se ne ricorrono le condizioni, di notificare l'incidente al Garante per la protezione dei dati personali. Quello che fai nelle prime ore determinerà le conseguenze legali, economiche e reputazionali che seguiranno. In questo articolo ti guido attraverso ogni fase della gestione di un data breach, con riferimenti precisi alla normativa e agli strumenti preventivi che possono fare la differenza tra una crisi gestibile e una catastrofe aziendale.
Data breach: le prime 72 ore sono tutto
Il punto di partenza dell'obbligo di notifica è il momento in cui l'organizzazione viene a conoscenza del breach, non il momento in cui l'incidente è avvenuto. Questa distinzione è cruciale. L'art. 33 del GDPR stabilisce che il titolare del trattamento notifica la violazione all'autorità di controllo competente senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza.
«Venire a conoscenza» significa avere ragionevole certezza che si è verificata una violazione dei dati personali. Non è necessaria la certezza assoluta di tutti i dettagli: se hai prove ragionevoli che un breach è avvenuto, il timer parte. Le Linee guida EDPB 01/2021 chiariscono che una volta che un titolare ha sufficiente certezza che un incidente di sicurezza ha colpito dati personali, deve considerare questo come il momento in cui è venuto a conoscenza.
Cosa significa «72 ore» in pratica? Se scopri il breach venerdì sera alle undici, la scadenza cade lunedì sera alle undici. Il Garante non accetta l'alibi del weekend. Se non riesci a completare la notifica entro 72 ore perché le informazioni non sono ancora disponibili, puoi notificare in modo parziale indicando che i dati verranno integrati. Ma non puoi non notificare sostenendo che stavi ancora raccogliendo informazioni.
Appena scopri o sospetti un breach, la prima priorità è contenere il danno, non la documentazione. Ma contenimento e documentazione devono procedere in parallelo, perché tutto ciò che fai in queste ore sarà rilevante per la notifica al Garante e per eventuali procedimenti successivi. Le azioni immediate dipendono dalla natura dell'incidente: per un accesso non autorizzato, isola i sistemi compromessi dalla rete e preserva i log prima di qualsiasi operazione di recovery; per un ransomware, disconnetti i sistemi colpiti senza spegnerli (potresti perdere tracce forensi in memoria volatile); per il furto di un dispositivo, procedi con il remote wipe se disponibile. Parallelamente, documenta tutto con timestamp: ora di scoperta, chi te lo ha segnalato, sistemi coinvolti, azioni intraprese.
Senza un sistema strutturato: panico, errori, sanzioni
Chi non ha un piano di incident response strutturato improvvisa. E improvvisare durante un breach significa fare errori che costano caro — non solo in termini di sanzioni, ma di danni reputazionali e operativi che si protraggono mesi dopo l'incidente.
Gli errori più frequenti in assenza di un sistema strutturato:
- Non notificare al Garante perché si sperava che l'incidente rimanesse interno — il Garante scopre quasi sempre le notifiche mancate, e la sanzione per omessa notifica è molto più grave di quella per una notifica tardiva.
- Sottostimare il numero degli interessati o dei dati coinvolti nella notifica iniziale, per poi dover correggere in aumento — il Garante interpreta la discrepanza come omissione, con conseguenze sanzionatorie molto più severe.
- Comunicare agli interessati in modo inadeguato: un comunicato legale scritto per minimizzare le responsabilità non dà alle persone le informazioni che servono per proteggersi (cambiare la password, bloccare la carta di credito, monitorare il conto bancario).
- Non preservare le evidenze forensi nelle operazioni di recupero, rendendo impossibile ricostruire l'incidente per la notifica al Garante e per eventuali procedimenti penali.
- Non attivare le coperture assicurative cyber (se esistenti) nei tempi previsti dalla polizza.
Il Garante italiano valuta positivamente la pronta notifica, la collaborazione con l'autorità, le misure correttive adottate e la presenza di un sistema di gestione strutturato. Al contrario, sanziona con maggiore severità la negligenza grave, la mancanza di misure di sicurezza adeguate, la mancata nomina del DPO quando obbligatoria, e soprattutto il tentativo di nascondere o minimizzare l'incidente. Le sanzioni per mancata notifica arrivano fino a 10 milioni di euro o al 2% del fatturato mondiale annuo. Le violazioni di principi fondamentali del trattamento possono essere sanzionate fino a 20 milioni di euro o al 4% del fatturato mondiale.
ISO 27001 e ISO 27701: il framework che ti prepara
La ISO/IEC 27001 è lo standard internazionale per i sistemi di gestione della sicurezza delle informazioni. La ISO/IEC 27701, sua estensione, si occupa specificamente della gestione della privacy e dei dati personali ed è il framework tecnico di riferimento per l'implementazione del GDPR a livello organizzativo.
Come queste norme ti preparano a gestire un breach? La ISO 27001:2022 richiede di implementare controlli specifici per la gestione degli incidenti di sicurezza (Annex A, controlli 5.24-5.28): pianificazione e preparazione alla gestione degli incidenti, valutazione e decisione sugli eventi, risposta, post-incident review, raccolta delle prove. Un'organizzazione certificata ISO 27001 ha già documentato le procedure di escalation, sa chi chiama in caso di breach, ha già testato le procedure di risposta.
La ISO 27701 aggiunge i requisiti specifici per gli incidenti che coinvolgono dati personali: la procedura di notifica all'autorità di controllo, la comunicazione agli interessati, la gestione delle richieste degli interessati durante un incidente. Chi ha implementato la 27701 ha già mappato i trattamenti di dati personali in modo che, in caso di breach, può immediatamente identificare quali categorie di dati e quali interessati sono potenzialmente coinvolti — accelerando enormemente la valutazione del rischio e la preparazione della notifica.
Un elemento spesso sottovalutato: entrambe le norme richiedono esercitazioni periodiche dei piani di risposta agli incidenti. Un breach gestito male è quasi sempre un breach gestito da chi non ha mai simulato quella situazione. Chi ha fatto tabletop exercise e penetration test nei dodici mesi precedenti affronta la crisi con calma e metodo. Chi no, improvvisa.
Notifica al Garante e comunicazione agli interessati: procedura step-by-step
La notifica al Garante si effettua attraverso il portale telematico disponibile sul sito garanteprivacy.it. L'art. 33, par. 3 del GDPR specifica il contenuto minimo: la natura della violazione (categorie e numero approssimativo di interessati e di registrazioni coinvolte), il nome e i dati di contatto del DPO o altro punto di contatto, le probabili conseguenze della violazione, le misure adottate o proposte per porre rimedio.
Se non disponi di tutte le informazioni entro 72 ore, notifica con quelle disponibili e indica esplicitamente quali elementi verranno integrati e in che tempi. Il GDPR consente notifiche in fasi successive, ma richiede che la notifica iniziale avvenga entro il termine. Un errore frequente: sottostimare il numero degli interessati. Meglio sovrastimare inizialmente e correggere al ribasso nelle integrazioni successive.
La comunicazione agli interessati è distinta dalla notifica al Garante ed è soggetta a una soglia di rischio più alta (art. 34 GDPR): è obbligatoria quando la violazione è suscettibile di presentare un rischio elevato. Casi tipici: violazione di dati bancari o carte di credito (rischio di frode finanziaria), credenziali di accesso (rischio di furto di identità), dati sanitari (rischio di discriminazione o danni alla reputazione). La comunicazione deve essere comprensibile per una persona comune e deve darle le informazioni che le servono per proteggersi — non deve sembrare un comunicato legale scritto per minimizzare le responsabilità. Alcune esenzioni: la comunicazione non è necessaria se i dati erano cifrati in modo efficace, o se le misure adottate hanno eliminato il rischio per gli interessati.
I costi di un data breach: sanzioni GDPR, danni reputazionali, class action
I costi di un data breach vanno molto oltre le sanzioni del Garante. Una valutazione completa deve considerare almeno cinque categorie di impatto.
Sanzioni GDPR: fino a 10 milioni di euro o il 2% del fatturato mondiale per mancata notifica e violazioni di misure di sicurezza; fino a 20 milioni di euro o il 4% per violazioni di principi fondamentali del trattamento. Il Garante può anche imporre il divieto temporaneo di trattamento dei dati — per alcune categorie di aziende equivale a uno stop operativo.
Costi di risposta all'incidente: digital forensics, incident response specialist, comunicazione di crisi, notifiche legali agli interessati, attivazione di servizi di monitoraggio del credito per gli interessati nei casi più gravi. Per un'azienda media, questi costi si collocano tra i 50.000 e i 500.000 euro a seconda della complessità dell'incidente.
Danni reputazionali: difficili da quantificare ma spesso più costosi delle sanzioni. La perdita di clienti, la difficoltà nel mantenere relazioni commerciali con partner che gestiscono supply chain certificate, e il danno al brand sono effetti che si protraggono anni. Nel B2B, un data breach che ha esposto dati di clienti può portare alla risoluzione di contratti e a esclusione da gare future.
Class action degli interessati: il GDPR (art. 82) prevede il diritto al risarcimento per chiunque abbia subito un danno materiale o immateriale a causa di una violazione del regolamento. Le azioni collettive dei consumatori per data breach sono in crescita rapida in tutta Europa, inclusa l'Italia.
Sanzioni accessorie: il Garante può ordinare la cancellazione dei dati trattati illecitamente, obbligare alla notifica agli interessati anche quando il titolare preferirebbe evitarla, e — nei casi più gravi — inibire determinate attività di trattamento.
Costruire la resilienza: dal piano di incident response alla certificazione
La gestione di un data breach è uno di quei momenti in cui la preparazione fatta nei mesi precedenti si trasforma in vantaggio competitivo o in disastro operativo. Ecco cosa dovresti avere già pronto nella tua organizzazione.
Piano di incident response documentato, basato sulla ISO/IEC 27035: definizione di cosa costituisce un incidente e come classificarlo per gravità, struttura del team di risposta con ruoli e responsabilità, procedure di comunicazione interna ed esterna, contatti di emergenza aggiornati (DPO, avvocati specializzati, forensic specialist, CSIRT nazionale csirt.gov.it attivo 24/7).
Template pre-validati: il template di notifica al Garante e quello di comunicazione agli interessati devono essere già preparati e validati dall'ufficio legale e dal DPO. Quando il breach si verifica, non hai tempo di costruire queste procedure da zero. Devono essere accessibili anche offline — se il breach ha colpito i tuoi sistemi, potresti non riuscire ad accedere al cloud.
Esercitazioni periodiche: almeno una tabletop exercise all'anno simula uno scenario di breach e verifica che tutte le persone coinvolte sappiano cosa fare. Questa pratica rivela i gap del piano prima che lo faccia un incidente reale.
La ISO 27001 e la ISO 27701, implementate seriamente, forniscono l'architettura di base per tutti questi elementi. Non sono un esercizio documentale: sono il sistema che, quando l'undici di sera ricevi quella notifica, ti permette di rispondere con calma e metodo invece che con panico.
FAQ
Non tutti i breach richiedono notifica al Garante? Corretto. L'obbligo sussiste solo quando la violazione è suscettibile di presentare un rischio per i diritti e le libertà delle persone fisiche. Se i dati erano cifrati con chiave non compromessa, il rischio per gli interessati può essere basso e la notifica non obbligatoria. In caso di dubbio, la strategia più prudente è notificare: il Garante preferisce ricevere notifiche rivelatesi non necessarie piuttosto che scoprire violazioni non notificate.
Devo comunicare il breach anche ai miei clienti business? Dipende dal tuo ruolo nel trattamento dei loro dati. Se sei responsabile del trattamento per conto di un tuo cliente (titolare), hai l'obbligo contrattuale e normativo di notificargli il breach senza ingiustificato ritardo. Il titolare valuterà poi se notificare il Garante e gli interessati finali.
La ISO 27001 riduce le sanzioni del Garante? Non automaticamente, ma il Garante considera favorevolmente la presenza di un sistema di gestione della sicurezza strutturato nella valutazione delle misure di sicurezza adottate (art. 32 GDPR) e nella determinazione della sanzione. Chi aveva misure di sicurezza adeguate prima del breach riceve tipicamente sanzioni più basse rispetto a chi non le aveva.