Data Breach – La sanzione ad Ambrosetti parla a tutta la filiera
Quando si analizzano i provvedimenti del Garante Privacy, l’attenzione tende spesso a concentrarsi sull’importo della sanzione. È comprensibile: gli 85.000 euro irrogati a The European House – Ambrosetti S.p.A. dal Provvedimento n. 280 del 17 aprile 2026 rappresentano un dato immediatamente percepibile e facilmente comunicabile.
Tuttavia, fermarsi alla dimensione economica significherebbe perdere l’aspetto più interessante dell’intera vicenda.
Questo caso, infatti, offre una lezione importante non soltanto ai Titolari del trattamento, ma anche ai Responsabili del trattamento e, più in generale, a tutti i soggetti che partecipano alla gestione dei dati personali lungo la filiera digitale.
La decisione dell’Autorità non riguarda esclusivamente un attacco informatico o una vulnerabilità tecnica. Riguarda soprattutto il modo in cui un’organizzazione governa il rischio, seleziona i propri fornitori, gestisce la sicurezza, comunica con gli interessati e reagisce quando qualcosa va storto.
Quando il problema non è l’attacco ma la gestione dell’attacco
Ogni organizzazione sa che il rischio zero non esiste.
Firewall, antivirus, sistemi di monitoraggio, autenticazione multifattore e controlli sugli accessi rappresentano strumenti indispensabili, ma nessuno può garantire l’assoluta invulnerabilità di un’infrastruttura digitale.
Per questo motivo il GDPR non si limita a richiedere misure tecniche e organizzative adeguate. Pretende anche che le organizzazioni siano in grado di reagire correttamente quando tali misure non risultano sufficienti.
Nel caso esaminato dal Garante, il problema non è stato soltanto l’attacco informatico che ha consentito l’esfiltrazione di dati personali da numerosi portali aziendali. A pesare in modo significativo è stata soprattutto la gestione successiva dell’evento.
La società ha infatti scelto inizialmente di non informare gli interessati, ritenendo che il rischio fosse limitato. Nel corso dell’istruttoria è emerso come tale decisione fosse stata influenzata anche dal timore delle possibili conseguenze reputazionali e mediatiche derivanti dalla diffusione della notizia.
Ed è proprio qui che il provvedimento assume una valenza generale.
Il GDPR non consente di subordinare la tutela dei diritti degli interessati a valutazioni di opportunità commerciale o di immagine. Quando esiste un rischio elevato per le persone fisiche, la comunicazione agli interessati non rappresenta una scelta strategica ma un obbligo normativo.
La trasparenza come misura di sicurezza
Molte aziende continuano a considerare la comunicazione di un data breach come un problema reputazionale.
In realtà la trasparenza costituisce essa stessa una misura di protezione.
Informare tempestivamente gli interessati significa consentire loro di adottare contromisure, modificare credenziali, rafforzare i propri sistemi di autenticazione e ridurre il rischio di ulteriori danni.
Nel caso Ambrosetti, il Garante ha evidenziato come la presenza di credenziali compromesse potesse esporre gli utenti a rischi ulteriori, anche in considerazione della frequente tendenza a riutilizzare le stesse password su servizi differenti.
Questo principio dovrebbe far riflettere tanto i Titolari quanto i Responsabili del trattamento.
La gestione di un incidente non può essere valutata esclusivamente dal punto di vista aziendale. Deve essere osservata prima di tutto dalla prospettiva delle persone coinvolte.
Il mito della responsabilità trasferita ai fornitori
Uno degli aspetti più interessanti del provvedimento riguarda la gestione della supply chain tecnologica.
Sempre più organizzazioni affidano lo sviluppo, la manutenzione e la gestione delle proprie piattaforme a soggetti esterni. Si tratta di una scelta del tutto legittima e spesso necessaria.
Ciò che non è legittimo è ritenere che tale affidamento comporti automaticamente il trasferimento delle responsabilità.
Dall’istruttoria è emerso che l’organizzazione non aveva una piena conoscenza delle misure di sicurezza adottate dai propri fornitori e non esercitava un controllo sufficientemente efficace sulle attività svolte da questi ultimi.
Il messaggio del Garante è estremamente chiaro.
Il Titolare del trattamento mantiene sempre la responsabilità complessiva della governance dei dati personali. Non può giustificare una violazione sostenendo di aver confidato nelle competenze di terzi.
Ma il provvedimento contiene anche un messaggio per i Responsabili del trattamento.
Chi fornisce servizi digitali, sviluppo software, hosting, manutenzione applicativa o servizi cloud non può limitarsi a dichiarare genericamente la propria conformità. Deve essere in grado di dimostrare concretamente le misure adottate, le procedure implementate e la propria capacità di proteggere i dati trattati.
In altre parole, la fiducia non sostituisce la verifica.
Password, sistemi obsoleti e debito tecnologico
Le risultanze tecniche emerse nel procedimento rappresentano un ulteriore elemento di riflessione.
L’Autorità ha rilevato la presenza di credenziali memorizzate in chiaro e l’utilizzo di meccanismi di hashing ormai considerati inadeguati rispetto agli standard attuali di sicurezza.
Al di là degli aspetti tecnici specifici, il caso evidenzia un problema molto diffuso: il debito tecnologico.
Molte organizzazioni accumulano nel tempo applicazioni, database, portali e sistemi che continuano a rimanere attivi anche quando non svolgono più una funzione realmente utile.
Questi sistemi diventano progressivamente invisibili ai processi di controllo, ma restano esposti agli attacchi e continuano a rappresentare una superficie di rischio.
La sicurezza non dipende soltanto dalla qualità delle tecnologie più recenti. Dipende anche dalla capacità di individuare, monitorare e dismettere correttamente ciò che non serve più.
Conservazione dei dati e sistemi dimenticati
Un altro insegnamento fondamentale riguarda il principio di limitazione della conservazione.
Durante l’istruttoria sono emersi archivi contenenti credenziali riferibili a servizi e applicazioni non più utilizzati da anni. La società ha sostenuto che la conservazione fosse giustificata dalla natura ricorrente delle proprie attività commerciali e da esigenze amministrative e legali.
Il Garante ha respinto tale impostazione.
Conservare documentazione contrattuale può essere necessario. Conservare indefinitamente credenziali e dati tecnici associati a sistemi ormai dismessi è un’altra cosa.
Questo principio interessa direttamente anche i Responsabili del trattamento, che spesso custodiscono enormi quantità di dati per conto dei propri clienti.
La domanda corretta non è soltanto “quanto possiamo conservare questi dati?”, ma soprattutto “per quale finalità continuiamo a conservarli?”.
Quando la finalità viene meno, il dato dovrebbe essere eliminato, anonimizzato o comunque gestito secondo criteri coerenti con il principio di minimizzazione.
Accountability significa governo continuo
La lezione più importante che emerge da questo provvedimento riguarda probabilmente il concetto di accountability.
Molte organizzazioni interpretano ancora questo principio come un insieme di documenti, registri, procedure e adempimenti formali.
In realtà l’accountability richiede molto di più.
Il caso Ambrosetti dimostra che la vera maturità organizzativa non emerge quando tutto funziona correttamente. Si manifesta quando un’organizzazione affronta un evento critico e deve scegliere tra il silenzio e la trasparenza, tra la delega e il controllo, tra la ricerca di giustificazioni e l’assunzione di responsabilità.
Per Titolari e Responsabili del trattamento il messaggio è inequivocabile: la conformità non si misura dalla quantità di documenti prodotti, ma dalla capacità concreta di dimostrare che dati, fornitori, tecnologie e processi siano realmente sotto controllo. E proprio questa capacità rappresenta oggi il cuore dell’accountability richiesta dal GDPR.
