Data Breach e GDPR: Cos'è, Obblighi di Notifica e Sanzioni

Lettura 8 min · AstraLoop Studio

Se gestisci un'azienda, il termine "data breach" ti arriva quasi sempre nel momento peggiore, cioè quando è già successo. Un dipendente che clicca sulla mail sbagliata, un gestionale bucato, un backup finito su un server esposto. Da quel momento scatta un cronometro molto concreto, quello delle 72 ore che il GDPR ti dà per notificare la violazione al Garante Privacy. Chi non lo sa, o se ne accorge tardi, rischia sanzioni che partono da qualche migliaio di euro e arrivano a cifre capaci di chiudere un'attività.

Vediamo cosa conta davvero come data breach secondo il Regolamento UE 2016/679 (GDPR), quando scatta l'obbligo di notifica, quanto valgono le sanzioni con i numeri aggiornati del Garante e, soprattutto, perché prevenire costa una frazione di quello che costa gestire l'incidente a cose fatte.

Illustrazione di un cronometro con documenti dati che si disperdono, metafora del countdown di 72 ore per la notifica di un data breach

Cos'è un data breach secondo il GDPR

La definizione formale sta nell'articolo 4 del GDPR. Un data breach (in italiano "violazione dei dati personali") è "una violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati".

Tradotto in pratica, non serve un attacco hacker da film. Un data breach è qualsiasi evento che compromette una di queste tre proprietà dei dati personali:

  • Riservatezza: qualcuno accede ai dati senza autorizzazione (furto di credenziali, database esposto, mail inviata al destinatario sbagliato).
  • Integrità: i dati vengono alterati in modo non voluto (un ransomware che li cifra, una modifica illecita).
  • Disponibilità: i dati diventano inaccessibili o vanno persi (un server distrutto, un backup cancellato, una cartella criptata da un attacco).

Questo vuol dire che rientrano nella definizione anche eventi che l'imprenditore medio non associa a una "violazione": un laptop rubato con dentro l'anagrafica clienti, una chiavetta USB smarrita, un dipendente che per errore manda una fattura con dati fiscali al cliente sbagliato, un incendio che distrugge l'archivio cartaceo senza copia di backup. Sono tutti data breach a tutti gli effetti.

Data breach non vuol dire per forza attacco informatico

È l'equivoco più diffuso. La maggior parte delle violazioni notificate al Garante ha origine tecnica (malware, ransomware, phishing), ma una fetta consistente nasce da errori umani o da falle organizzative. Ecco perché parlare solo di "difesa dagli hacker" è riduttivo: la protezione dei dati passa da procedure, permessi, formazione e controllo dei fornitori, non solo dall'antivirus.

I numeri del Garante: quanto è diffuso il fenomeno in Italia

I dati diffusi dal Garante per la Protezione dei Dati Personali raccontano una crescita costante. Le notifiche di data breach ricevute hanno toccato quota 2.204 in un anno, con un aumento di circa il 22% rispetto al periodo precedente. In parallelo si è intensificata l'attività sanzionatoria: parliamo di circa 24 milioni di euro di sanzioni comminate.

Questi numeri vanno letti insieme al quadro più ampio del panorama cyber per le PMI italiane. Il Rapporto Clusit 2026 colloca l'Italia intorno al 10% degli incidenti mondiali, con un +23% di attacchi gravi nel primo trimestre e le piccole e medie imprese come bersaglio nel 72% dei casi. Il data breach non è più un problema delle grandi corporation: è la normalità operativa per l'azienda da 10, 30, 50 dipendenti.

Un dato che merita attenzione: circa il 30% delle violazioni coinvolge una terza parte, cioè un fornitore, un consulente esterno, un software gestionale, un servizio cloud. Il perimetro da proteggere non finisce ai confini della tua azienda.

L'obbligo di notifica: la regola delle 72 ore

Qui sta il cuore degli obblighi GDPR, e il punto in cui molte aziende sbagliano. L'articolo 33 del Regolamento stabilisce che, in caso di violazione dei dati personali, il titolare del trattamento (cioè l'azienda) deve notificare la violazione al Garante entro 72 ore dal momento in cui ne è venuto a conoscenza.

Le 72 ore non partono dall'attacco, ma dalla consapevolezza della violazione. Il che rende cruciale avere sistemi che ti facciano accorgere in fretta: un breach scoperto tre mesi dopo non azzera l'obbligo, anzi peggiora la posizione perché dimostra un monitoraggio inadeguato.

Quando la notifica NON è obbligatoria

Non ogni violazione va notificata. L'articolo 33 prevede un'eccezione: la notifica al Garante non serve se "è improbabile che la violazione presenti un rischio per i diritti e le libertà delle persone fisiche". Esempio classico: un file cifrato con una chiave robusta viene rubato, ma i dati restano illeggibili. In quel caso il rischio è basso.

Attenzione però, la valutazione va documentata. Anche quando decidi di non notificare, devi tenere traccia del ragionamento nel registro delle violazioni, obbligatorio ai sensi dell'articolo 33.5. Il Garante può chiederlo in qualsiasi momento.

Quando devi avvisare anche gli interessati

C'è un secondo livello. L'articolo 34 stabilisce che, se la violazione comporta un rischio elevato per i diritti delle persone (pensa a dati sanitari, dati bancari, credenziali di accesso), devi comunicarla anche direttamente agli interessati, cioè ai clienti, ai pazienti, ai dipendenti coinvolti. Senza ritardo ingiustificato e con un linguaggio chiaro.

Questo passaggio ha un costo reputazionale enorme: comunicare a migliaia di clienti che i loro dati sono stati esposti è un colpo alla fiducia difficile da recuperare. Ne parliamo in dettaglio quando entriamo nel merito di cosa fare concretamente nelle 72 ore successive a un data breach.

Illustrazione di una bilancia tra sanzioni economiche e misure di prevenzione, metafora del rapporto tra multe GDPR e audit di sicurezza

Le sanzioni: quanto si rischia davvero

Il GDPR prevede due fasce sanzionatorie, definite dall'articolo 83. Un data breach mal gestito può ricadere in entrambe.

FasciaMassimaleViolazioni tipiche
Prima fasciaFino a 10 milioni di euro o 2% del fatturato annuo mondialeMancata tenuta del registro, misure di sicurezza inadeguate (art. 32), mancata notifica (art. 33 e 34)
Seconda fasciaFino a 20 milioni di euro o 4% del fatturato annuo mondialeViolazione dei principi di trattamento, dei diritti degli interessati, trasferimenti illeciti

Si applica sempre il valore più alto tra la cifra fissa e la percentuale sul fatturato. Per una PMI il tetto teorico dei 20 milioni è irraggiungibile, ma il 4% del fatturato non lo è affatto: su un'azienda che fattura 3 milioni parliamo potenzialmente di 120.000 euro. E il Garante, nel calibrare la sanzione, valuta se hai adottato misure adeguate prima dell'incidente.

Qui sta il punto che pochi spiegano al titolare: la sanzione non punisce solo il breach in sé, ma la negligenza che l'ha reso possibile. Un'azienda che dimostra di aver fatto un audit, adottato misure tecniche e organizzative, formato il personale e reagito nei tempi viene trattata in modo molto diverso da chi non aveva alcun presidio. La prevenzione documentata è la prima linea di difesa anche in sede sanzionatoria.

Il costo reale non è solo la multa

La sanzione del Garante è la voce più visibile, ma non la più pesante. A un data breach si sommano il fermo operativo, il ripristino dei sistemi, le consulenze legali e forensi, la perdita di clienti e, sempre più spesso, l'estorsione. Il ransomware in Italia sta evolvendo verso la doppia e tripla estorsione, con un costo medio per le PMI tra 35.000 e 250.000 euro. Abbiamo scomposto tutte queste voci nell'analisi sul costo reale di un data breach e il ROI della prevenzione.

La differenza tra una sanzione salata e una gestione ordinata si decide prima dell'incidente. Richiedi un'analisi della tua esposizione ai data breach e capiamo insieme dove sei scoperto.

GDPR non è l'unico obbligo: arriva NIS2

Dal 2026 il quadro normativo si allarga. La direttiva NIS2 introduce obblighi di sicurezza informatica e di notifica degli incidenti per un numero molto più ampio di aziende rispetto al passato, con scadenze operative durante il 2026 e una novità pesante: la responsabilità diretta di CEO e organi di amministrazione, non più delegabile all'IT.

La notifica NIS2 di un incidente convive con quella GDPR: sono due binari distinti (uno guarda alla sicurezza dei servizi, l'altro alla protezione dei dati personali) che spesso scattano insieme. Se vuoi capire se rientri negli obblighi, parti da verificare se la NIS2 si applica alla tua azienda e dalle scadenze concrete del 2026. Il rischio è ritrovarsi a gestire una violazione con due orologi che corrono in parallelo e nessuna procedura pronta.

Come si previene un data breach

La notifica è la reazione. La prevenzione è ciò che decide se il breach avviene, quanto è grave e in che posizione ti trovi davanti al Garante. Le misure che fanno la differenza sono concrete e in gran parte alla portata di qualsiasi PMI:

  • Mappare i dati personali: sapere quali dati tratti, dove sono conservati e chi vi accede. Non puoi proteggere ciò che non sai di avere.
  • Controllo degli accessi: permessi minimi necessari, autenticazione a due fattori, revoca immediata degli accessi di chi lascia l'azienda.
  • Backup testati: un backup che non hai mai provato a ripristinare non è un backup. È contro il ransomware che serve di più.
  • Formazione del personale: gran parte dei breach nasce da un click. La formazione anti-phishing riduce il rischio più di molti strumenti costosi.
  • Controllo dei fornitori: chi tratta i tuoi dati (gestionali, cloud, consulenti) deve garantire misure adeguate. Il 30% delle violazioni passa da terze parti.
  • Governo dell'uso dell'AI: sempre più dipendenti incollano dati aziendali su ChatGPT o altri strumenti. Questo tema, la cosiddetta Shadow AI, è una fonte crescente di data leak e di potenziale violazione del GDPR.

L'audit di sicurezza: la fotografia che ti serve

Tutte queste misure hanno bisogno di un punto di partenza, cioè sapere dove sei debole. È quello che fa un audit di sicurezza informatica completo: individua le vulnerabilità tecniche e organizzative prima che lo faccia un attaccante e produce quella documentazione che, davanti al Garante, dimostra diligenza.

Un audit serio non è uno scan automatico da pochi euro che sputa un PDF di allarmi generici. È un'analisi che parte dai tuoi processi reali, dai dati che tratti e da come li tratti. Se vuoi entrare nel merito tecnico, la distinzione tra vulnerability assessment e penetration test è il primo bivio da capire per scegliere il livello di verifica adatto alla tua situazione.

In sintesi

Un data breach è qualsiasi evento che compromette riservatezza, integrità o disponibilità dei dati personali, non solo un attacco hacker. Il GDPR ti obbliga a notificarlo al Garante entro 72 ore dalla scoperta e, nei casi a rischio elevato, anche agli interessati. Le sanzioni arrivano fino a 20 milioni di euro o al 4% del fatturato, ma vengono calibrate su quanto ti eri preparato prima. La leva più efficace non è reagire meglio, è prevenire, documentare e non arrivare impreparato al momento in cui il cronometro delle 72 ore comincia a correre.

Domande frequenti

Cos'è esattamente un data breach secondo il GDPR?

È una violazione di sicurezza che comporta distruzione, perdita, modifica, divulgazione non autorizzata o accesso a dati personali. Include gli attacchi informatici ma anche errori umani, laptop rubati, mail inviate al destinatario sbagliato o backup persi.

Entro quanto tempo va notificato un data breach al Garante?

Entro 72 ore dal momento in cui l'azienda viene a conoscenza della violazione, ai sensi dell'articolo 33 del GDPR. Il termine parte dalla scoperta, non dall'attacco. Se il rischio per gli interessati è improbabile, la notifica al Garante può non essere richiesta, ma va documentata la valutazione.

Quali sono le sanzioni per un data breach non gestito correttamente?

Il GDPR prevede due fasce: fino a 10 milioni di euro o 2% del fatturato per misure di sicurezza inadeguate e mancata notifica, fino a 20 milioni o 4% del fatturato per violazioni più gravi. Si applica sempre l'importo più alto tra cifra fissa e percentuale.

Devo avvisare anche i clienti coinvolti nella violazione?

Sì, se la violazione comporta un rischio elevato per i diritti delle persone (ad esempio dati sanitari, bancari o credenziali). L'articolo 34 del GDPR impone di comunicarlo agli interessati senza ritardo ingiustificato e con linguaggio chiaro.

Un errore umano conta come data breach?

Sì. Inviare una mail con dati personali al destinatario sbagliato, smarrire una chiavetta USB o cancellare per errore un archivio senza backup sono data breach a tutti gli effetti, con gli stessi obblighi di notifica di un attacco informatico.

Come si previene un data breach in una PMI?

Mappando i dati trattati, limitando gli accessi, testando i backup, formando il personale contro il phishing, controllando i fornitori e governando l'uso di strumenti AI. Il punto di partenza è un audit di sicurezza che individua le vulnerabilità e documenta la diligenza adottata.

Vuoi arrivare preparato al momento in cui il cronometro delle 72 ore inizia a correre? Parlane con noi e valutiamo insieme un audit di sicurezza tarato sulla tua azienda.