Cos’è un data breach (e perché capita più spesso di quanto pensi)
Prima di spaventarti, mettiamo le cose in chiaro: un data breach non è solo l’attacco da film con l’hacker incappucciato. È, più semplicemente, qualunque violazione della sicurezza che porta — per caso o per dolo — alla distruzione, alla perdita, alla modifica o alla divulgazione di dati personali che custodisci. Tradotto da imprenditore a imprenditore: ogni volta che i dati delle persone che si fidano di te finiscono dove non dovevano, o spariscono, o li vede chi non doveva, sei davanti a una violazione dei dati personali.
E capita molto più spesso di quanto pensi, quasi mai con un film d’azione di mezzo. Il laptop del commerciale rubato dall’auto, con dentro l’archivio clienti. La mail di gruppo mandata con tutti gli indirizzi in chiaro invece che in copia nascosta. Il dipendente che se ne va e si porta via il foglio Excel dei contatti. Il gestionale a cui accede ancora chi non lavora più con te. Il backup mai fatto, e l’unico file che si corrompe. Sono questi i data breach veri delle PMI italiane, non l’attacco informatico sofisticato.
Questo è il punto da cui partiamo: la violazione dei dati personali non è un problema da multinazionali. Una SRL con cinque dipendenti e un gestionale pieno di nomi è esposta esattamente come una grande azienda. Cambia la scala, non l’obbligo. E il giorno in cui succede — perché statisticamente, prima o poi, qualcosa succede — quello che fa la differenza non è quanto sei grande. È quanto in fretta sai cosa è stato toccato.
La regola delle 72 ore: cosa chiede davvero il GDPR
Cominciamo dalla parte che ti tiene sveglio: l’orologio. Quando subisci una violazione dei dati personali, il GDPR ti chiede di notificarla al Garante per la protezione dei dati personali entro 72 ore dal momento in cui ne vieni a conoscenza — salvo che sia improbabile che la violazione comporti un rischio per i diritti e le libertà delle persone coinvolte. E se quel rischio è elevato, non basta avvisare il Garante: devi informare anche le persone i cui dati sono stati esposti.
Leggila bene, perché c’è una trappola dentro. Le 72 ore non partono dal momento dell’attacco. Partono dal momento in cui ti accorgi che è successo. Sembra una sfumatura, ma cambia tutto: significa che il cronometro non aspetta che tu abbia capito la portata del danno. Appena hai un ragionevole sospetto che ci sia stata una violazione, l’orologio è già acceso — e tre giorni passano in fretta quando devi ancora capire cosa è successo davvero.
Il problema pratico è che quasi nessuno è pronto a quella corsa. Non perché non ci tenga, ma perché non si è mai fermato a pensarci prima che servisse. Il giorno del breach scopri che non sai con certezza quali dati erano su quel laptop, quante persone coinvolge quella mail sbagliata, chi aveva accesso a quel gestionale. E senza queste risposte non puoi nemmeno scrivere la notifica: stai cercando di descrivere al Garante una cosa che tu per primo non hai ancora ricostruito.
Le 72 ore non partono da quando ti hanno bucato. Partono da quando te ne accorgi. E l’orologio non aspetta che tu capisca cosa è successo.
Ed è qui che parte la reazione sbagliata più comune. C’è chi, presa la paura, nasconde la testa sotto la sabbia e spera che nessuno se ne accorga — il modo più veloce per trasformare un incidente gestibile in un problema serio. E c’è chi va nel panico e notifica tutto, anche le sciocchezze, perché tanto “meglio una notifica in più”. Sono due modi diversi di non avere una procedura. La via di mezzo onesta è un’altra: sapere in anticipo cosa fare, e soprattutto avere i dati in ordine così da poter rispondere in fretta alle domande che contano — cosa è stato esposto, chi coinvolge, a chi va notificato.
Ma la regola delle 72 ore è solo metà della storia. Perché il vero ostacolo non è sapere che hai tre giorni. È riuscire a usarli, e qui entra in gioco un problema di cui nessuno ti parla.
Il vero ostacolo non è la legge: è che non sai cosa è stato esposto
Mettiamo che tu conosca la regola a memoria, 72 ore e tutto il resto. Resta la domanda che il Garante ti farà per prima, e che tu dovrai saper riempire: quali dati sono stati violati, e di quante persone? Prova a rispondere adesso, a mente fredda, senza un incidente in corso. Se la risposta è “dovrei controllare”, hai già trovato il vero problema.
Perché in quasi tutte le PMI italiane i dati delle persone non vivono in un posto solo. Vivono nel gestionale, nel CRM se c’è, nella casella email con lo storico delle conversazioni, nel foglio Excel del commerciale sul suo portatile, su WhatsApp Business, nel sistema di fatturazione. Ogni programma è un’isola, e nessuno parla con gli altri. Lo chiamo Frankenstein operativo: un mostro cucito a mano, fatto di pezzi che non si parlano, che cammina solo se lo tieni in piedi tu. E quando il Frankenstein subisce un breach, non c’è un posto dove guardare per capire la portata. Ce ne sono dieci.
Il risultato lo intuisci anche se non l’hai mai vissuto. Ti rubano il laptop del commerciale e non sai dire con certezza quali clienti erano in quel file, perché lo stesso contatto esiste in tre archivi diversi e in ognuno con dati diversi. Mandi la mail sbagliata e non sai a quante persone, perché la lista era incollata a mano da fonti scollegate. Ogni domanda della notifica diventa una caccia al tesoro, e intanto le 72 ore scorrono.
Tradotto sul rischio: stai cercando di gestire un’emergenza con i dati sparpagliati in dieci posti, sotto pressione, col cronometro acceso. Non è una questione di antivirus o di firewall — quelli servono, ma sono solo la porta. Il punto è cosa c’è dentro casa e se sai dov’è. Una violazione gestita male, con una notifica incompleta o tardiva, pesa molto più dell’incidente in sé.
Il modo più rapido per dirlo: un data breach non lo gestisci con uno strumento di sicurezza in più; lo gestisci sapendo, in pochi minuti, cosa è stato esposto e chi coinvolge. E questo lo sai solo se i dati delle persone vivono in un posto solo, tuo, con un registro di chi tocca cosa. È la differenza tra rispondere al Garante con un quadro chiaro e rispondere con un “ci stiamo ancora lavorando”.
La stessa violazione, con i dati sparsi o con i dati in un posto solo
| Dati sparsi (Frankenstein) | Database unico, sui tuoi server | |
|---|---|---|
| Cosa è stato esposto | Da ricostruire in dieci posti, col cronometro acceso | Lo vedi in un punto solo, subito |
| Quante persone coinvolge | Stima a mano, fonti che si contraddicono | Numero certo, perché il contatto vive una volta sola |
| Chi aveva accesso al dato | Nessuno lo sa con certezza | A registro: si sa chi ha visto e modificato cosa |
| Le 72 ore | Bruciate a capire la portata | Spese a gestire, non a cercare |
| Notifica al Garante | Incompleta o tardiva, scritta nel panico | Completa, perché i fatti ci sono |
| Avvisare le persone | Lista incerta, rischio di dimenticarne | Elenco preciso di chi è davvero coinvolto |
| Dopo l’incidente | Resta il dubbio di non aver trovato tutto | Sai cosa è successo, e lo dimostri |
Letta così, sparisce la domanda sbagliata (“che antivirus compro?”) e resta quella giusta: il giorno in cui succede, saprò in pochi minuti cosa è stato toccato e chi coinvolge, o starò ancora cercando i miei stessi dati mentre le 72 ore finiscono?
Prima che capiti, scopri a che punto sei davvero: il voto GDPR del tuo sito in pochi minuti, gratis e senza carta di credito.
Una violazione gestita male ti costa due volte: con il Garante e con i clienti
Subire un data breach e gestirlo male, così, ti presenta il conto da due lati nello stesso momento.
Dal lato del rischio formale: una notifica tardiva o incompleta non è un dettaglio. Il GDPR non ti chiede di non subire mai una violazione — quella, prima o poi, può capitare a chiunque. Ti chiede di gestirla con criterio quando capita: accorgertene, valutarla, notificarla in tempo, avvisare chi serve. È il modo in cui rispondi che fa la differenza tra un incidente gestito e un problema che si allarga. E rispondere bene è possibile solo se hai i dati in ordine prima, non mentre l’edificio brucia.
Dal lato della reputazione: i clienti ti hanno affidato i loro dati come ti affiderebbero le chiavi di casa. Il giorno in cui qualcosa va storto, quello che ricordano non è che sei stato bucato — può succedere — ma come ti sei comportato. Un’azienda che avvisa con chiarezza, dice cosa è successo e cosa sta facendo, trasmette di essere padrona della situazione. Un’azienda che balbetta, minimizza o sparisce, perde la fiducia molto più dell’incidente in sé. E un’agenzia o un consulente che lavora con te — che fa un mestiere vero e ti porta acqua pulita ogni mese — non può rimediare a un backend che perde dal fondo: riempie a fatica una piscina bucata.
Qui la violazione dei dati smette di essere un argomento da addetti ai lavori e diventa un pezzo del tuo backend operativo. Il principio è lo stesso che applico ovunque: il dato vive in un posto solo, tuo, tracciato, dove sai sempre chi tocca cosa. È il registro dei contatti dell’azienda tenuto in modo che, il giorno dell’incidente, le risposte ci siano già — lo stesso ordine da cui parte un adeguamento GDPR fatto sui dati e non sulla carta. Non un software di sicurezza in più: un sistema dove il dato non si perde — e dove, quando qualcosa va storto, sai esattamente cosa dire e a chi.
La domanda non è “che antivirus compro”. È: il giorno in cui succede, saprò in pochi minuti cosa è stato esposto, o lo starò ancora cercando mentre le 72 ore finiscono?
Cinque domande oneste, da farsi prima che serva
Non serve una consulenza da migliaia di euro per capire se reggeresti un data breach. Bastano cinque domande, e le risposte le sai già — o scopri di non saperle, che è la cosa più utile.
- Se domani ti rubano il laptop di un collaboratore, sai dire con certezza quali dati di clienti c’erano sopra — o dovresti ricostruirlo a memoria?
- Sai in quanti posti diversi vivono oggi i dati personali della tua azienda, e quali sono?
- C’è un registro di chi, nel tuo team, ha visto o esportato i dati dei clienti nell’ultimo mese?
- Se dovessi avvisare le persone coinvolte da una violazione, avresti una lista precisa di chi sono — o la metteresti insieme a mano da fonti diverse?
- Sapresti dove andare, e cosa scrivere, per notificare al Garante entro 72 ore — o partiresti da zero col cronometro già acceso?
Se a queste domande hai risposto con un sospiro, non sei nei guai: sei nella situazione di quasi tutte le PMI italiane. La differenza la fa misurare con precisione dove sei oggi, a freddo, invece di scoprirlo nel momento peggiore. E questo lo puoi fare adesso, da solo, in pochi minuti.
GDPR Quick Audit · il voto di conformità del tuo sito
Rispondi a poche domande sul tuo sito e sui tuoi dati — dove stanno, chi accede, banner, informativa, consenso — e in pochi minuti hai un voto chiaro su quanto sei a norma e dove sei scoperto. Serve a sapere a che punto sei prima che un incidente ti metta alla prova, non dopo. Niente gergo da avvocato, solo dove intervenire per primo.
Inserisci i dati e parti. Senza carta di credito. Il risultato lo salvi nella tua Officina con la sola email, se vuoi tenertelo.
Il voto è il punto di partenza. Dice quanto saresti pronto oggi; cosa farne, lo decidi tu.
Le domande che ti stai facendo adesso
Cos’è un data breach secondo il GDPR?
È una violazione di sicurezza che porta — per caso o per dolo — alla distruzione, alla perdita, alla modifica o alla divulgazione non autorizzata di dati personali che custodisci. Non è solo l’attacco informatico: un laptop rubato con dentro l’archivio clienti, una mail mandata alla persona sbagliata, un dipendente che se ne va col foglio dei contatti sono tutti data breach. Riguarda ogni azienda che tratta dati di persone, anche la più piccola.
Quanto tempo ho per notificare un data breach al Garante?
Il GDPR prevede la notifica al Garante entro 72 ore dal momento in cui vieni a conoscenza della violazione, salvo che sia improbabile un rischio per i diritti e le libertà delle persone. Attenzione: le 72 ore partono da quando te ne accorgi, non da quando l’attacco è avvenuto. E se il rischio è elevato, devi informare anche le persone coinvolte.
Devo sempre notificare ogni violazione dei dati personali?
Non necessariamente. La regola generale è notificare al Garante, ma il GDPR prevede l’eccezione per i casi in cui è improbabile che la violazione comporti un rischio per i diritti delle persone. Il punto delicato è proprio valutare quel rischio in fretta e con cognizione: e puoi farlo bene solo se sai cosa è stato esposto e chi coinvolge. Senza quei dati chiari, ti trovi a indovinare. La valutazione caso per caso va fatta con chi cura la parte legale.
Come faccio a sapere cosa è stato esposto in una violazione?
Qui sta il vero ostacolo, e non è legale: è di backend. Se i dati delle persone sono sparsi tra gestionale, email, fogli Excel e laptop personali, ricostruire cosa è stato toccato e quante persone coinvolge diventa una caccia al tesoro col cronometro acceso. Se invece vivono in un posto solo, tuo, con un registro di chi accede a cosa, la risposta è in un punto solo e la trovi in pochi minuti. La differenza non la fa la legge: la fa dove tieni i dati.
Chi mi garantisce che non subirò mai un data breach?
Nessuno serio te lo promette, e diffida di chi lo fa. Una violazione può capitare a chiunque, anche all’azienda più attenta: la domanda giusta non è “come faccio a non subirla mai”, ma “il giorno in cui succede, sono pronto a gestirla in tempo?”. Chi ti vende la sicurezza totale ti sta vendendo una promessa, non un dato. Il primo passo serio è sapere a che punto sei oggi, non firmare una rassicurazione.
Da dove inizio, senza impegno?
Dagli strumenti diagnostici gratuiti: misuri il voto GDPR del tuo sito e capisci dove stanno i tuoi dati in pochi minuti, senza carta di credito e senza parlare con nessuno. Poi, se ha senso, ne parliamo.
Puoi aspettare il giorno del breach per scoprire che non sai dove sono i tuoi dati. Oppure puoi saperlo adesso, a freddo, mentre non c’è ancora nessuna emergenza.
Non aspettare l’incidente per organizzarti. La procedura serve prima, non dopo.
La maggior parte degli imprenditori che mi scrive non ha paura dell’hacker. Ha paura del momento dopo: quando dovrà dire al Garante e ai clienti cosa è successo, e non avrà le risposte pronte perché i dati erano sparsi in dieci posti.
Comprare un altro strumento di sicurezza non lo risolve, perché il buco non è solo nella porta: è nel fatto che, una volta dentro, nessuno sa più dov’è cosa. Lo risolve avere i dati in un posto solo, tuo, tracciato — così che il giorno dell’incidente le 72 ore le spendi a gestire, non a cercare i tuoi stessi dati.
Non ti chiedo di firmare niente e non ti chiedo di credermi. Ti chiedo di guardare il voto GDPR del tuo sito, gratis, in pochi minuti. Se quello che vedi ti suona familiare, andiamo avanti. Se non fa per te, chiudiamo qui senza rancore.
Il giorno del breach scopri se eri pronto. Falla diventare una giornata gestibile, non un disastro: parti da dove sono i tuoi dati, adesso!
Strumenti gratuiti. Senza carta di credito. Senza parlare con nessuno.
