Data Breach: Cosa Fare nelle Prime 72 Ore (Guida Operativa + Checklist)
Lettura 9 min · AstraLoop Studio
Un data breach non ti avvisa. Lo scopri un lunedì mattina perché un cliente ti scrive che ha ricevuto una mail strana a tuo nome, oppure perché il gestionale non si apre più e sullo schermo compare una richiesta di riscatto. Da quel momento, se sono coinvolti dati personali, parte un orologio: hai 72 ore per notificare la violazione al Garante per la protezione dei dati personali, come previsto dall'articolo 33 del GDPR (Regolamento UE 2016/679).
Il problema è che nelle prime ore la tentazione è muoversi a caso. Spegnere tutto, chiamare dieci persone diverse, cancellare quello che sembra compromesso. Sono esattamente le mosse che peggiorano la situazione, distruggono le prove e ti mettono in difficoltà con l'autorità. Questa guida ti dà la sequenza operativa, azione per azione, per le prime 72 ore. Se prima vuoi capire cosa conta legalmente come violazione, leggi cos'è un data breach secondo il GDPR. Qui passiamo dritti ai fatti.

Le 72 ore non partono quando pensi tu
Prima regola, quella che sbaglia quasi tutti: le 72 ore decorrono da quando sei venuto a conoscenza della violazione, non da quando è avvenuta e nemmeno da quando hai finito di capirci qualcosa. Se il tuo IT nota traffico anomalo alle 9 di martedì, il conto alla rovescia inizia lì. Non aspettare di avere il quadro completo per far partire il cronometro: per il Garante conta il momento in cui qualcuno dentro l'organizzazione ha avuto ragionevole certezza che ci fosse un problema.
Seconda cosa da mettere subito in chiaro: non tutte le violazioni vanno notificate. La notifica scatta solo se la violazione comporta un rischio per i diritti e le libertà delle persone. Un file cifrato con chiave robusta finito nelle mani sbagliate, ma illeggibile, spesso non genera obbligo. Un database di clienti con nomi, email, numeri di telefono e magari dati di pagamento esfiltrato in chiaro, sì. La valutazione del rischio è il cuore della decisione, e va documentata anche quando decidi di NON notificare.
Ora 0-1: contenere senza distruggere le prove
Il primo istinto è staccare tutto. È giusto isolare, sbagliato distruggere. La differenza è enorme.
- Isola, non spegnere di colpo. Scollega la macchina compromessa dalla rete (stacca il cavo, disattiva il Wi-Fi), ma valuta bene prima di spegnerla del tutto: la RAM può contenere prove utili per l'analisi forense. Se è un ransomware attivo che sta cifrando, l'isolamento immediato ha la priorità. Se è un accesso non autorizzato già concluso, meglio preservare lo stato.
- Non formattare, non ripristinare backup sopra le prove. Ripristinare subito da backup sembra la mossa da eroe, ma cancella le tracce di come sono entrati e quando. Prima si documenta, poi si ripristina, idealmente su hardware diverso.
- Cambia le credenziali critiche. Password degli account amministratore, accessi al gestionale, email aziendali, pannelli di hosting. Se non hai attivato la MFA, questo è il momento peggiore per accorgertene: attivala comunque su tutto ciò che è ancora sano.
- Congela ciò che puoi. Fai screenshot, salva i log, annota gli orari. Ogni dato che raccogli ora ti servirà per la notifica e per l'eventuale assicurazione.
Se il breach è partito da un sito compromesso, la logica è la stessa ma i passaggi sono specifici. Abbiamo una guida dedicata a cosa fare quando il sito WordPress viene hackerato, utile se l'attacco è entrato da lì.
Ora 1-4: chi coinvolgi e chi comanda
Nel caos delle prime ore serve una catena di comando chiara, altrimenti quattro persone fanno quattro cose che si annullano a vicenda. Definisci subito chi decide.
| Ruolo | Cosa fa nelle prime ore |
|---|---|
| Titolare / CEO | Decide e coordina. Con NIS2 la responsabilità non è più delegabile all'IT: la palla è tua. |
| Responsabile IT o fornitore | Isola i sistemi, raccoglie i log, avvia il contenimento tecnico. |
| DPO (se nominato) o consulente privacy | Valuta se scatta l'obbligo di notifica e prepara i contenuti per il Garante. |
| Legale | Valuta profili di responsabilità, rapporti con terzi coinvolti, eventuale denuncia. |
| Comunicazione | Prepara i messaggi verso clienti e stampa. Non improvvisare comunicati. |
Se ti appoggi a fornitori esterni (hosting, software gestionale, agenzia), chiamali ora. Un dato che spesso si ignora: circa il 30% delle violazioni coinvolge una terza parte, e con NIS2 la valutazione dei fornitori diventa un obbligo, non una cortesia. Se il breach nasce da un tuo fornitore, la responsabilità verso i tuoi clienti resta comunque tua.

Ora 4-24: la valutazione del rischio (il documento che ti salva)
Questa è la fase che distingue chi gestisce un breach da chi lo subisce. Devi rispondere per iscritto a domande precise, perché sono le stesse che ti farà il Garante.
- Che natura ha la violazione? Riservatezza (dati visti o rubati), integrità (dati alterati), disponibilità (dati resi inaccessibili, tipico del ransomware). Spesso ce ne sono più di una insieme.
- Quali categorie di dati sono coinvolte? Nomi ed email sono un conto; dati sanitari, giudiziari, credenziali bancarie o password sono tutt'altro livello di rischio.
- Quante persone sono interessate? Un numero anche approssimativo va indicato. Meglio "circa 4.000 clienti" che "non lo sappiamo".
- Quali sono le conseguenze probabili? Furto d'identità, frodi, danno reputazionale, phishing mirato ai tuoi clienti usando i dati rubati.
- Che misure hai già preso e quali prevedi di prendere? Contenimento, ripristino, comunicazione agli interessati.
Il risultato di questa analisi determina tre scenari: nessun obbligo di notifica (rischio improbabile, ma documenti comunque), notifica al solo Garante (rischio presente), oppure notifica al Garante più comunicazione diretta agli interessati (rischio elevato per i loro diritti, come previsto dall'art. 34 GDPR). Quando i dati esposti includono password o dati finanziari, quasi sempre finisci nel terzo scenario.
Come notificare il data breach al Garante entro le 72 ore
La notifica non si fa via email né con una PEC generica. Il Garante Privacy ha una procedura online dedicata, accessibile dal sito ufficiale garanteprivacy.it, con un modulo strutturato da compilare e firmare digitalmente. Ecco cosa devi avere pronto.
Contenuti obbligatori della notifica
- Descrizione della natura della violazione (cosa è successo, come, quando).
- Categorie e numero approssimativo di interessati coinvolti.
- Categorie e numero approssimativo di record di dati personali coinvolti.
- Nome e contatti del DPO o di un punto di contatto per ulteriori informazioni.
- Descrizione delle probabili conseguenze della violazione.
- Misure adottate o proposte per porvi rimedio e attenuare i possibili effetti negativi.
E se non riesci a raccogliere tutto in 72 ore?
Il GDPR lo prevede espressamente: puoi fare una notifica in più fasi. Notifichi entro le 72 ore con le informazioni disponibili, indicando che è preliminare, e integri i dettagli mancanti man mano. Meglio una notifica parziale nei tempi che una completa in ritardo. Se superi le 72 ore, la notifica va comunque fatta, corredata dei motivi del ritardo. Il ritardo ingiustificato è uno degli elementi che il Garante valuta più negativamente.
Cosa conservi per te
A prescindere dalla notifica, devi tenere un registro interno delle violazioni (art. 33.5 GDPR) dove annoti ogni breach, anche quelli non notificati, con la relativa valutazione del rischio. È il primo documento che ti chiedono in caso di ispezione. Non averlo, o averlo vuoto quando è evidente che qualcosa è successo, è un problema serio a sé stante.
Vuoi arrivare a un data breach con un piano già pronto invece di improvvisare sotto pressione? Richiedici un'analisi della tua sicurezza e del tuo piano di risposta agli incidenti.
La comunicazione agli interessati: quando e come
Se la violazione comporta un rischio elevato, non basta avvisare il Garante: devi informare anche le persone coinvolte, senza ingiustificato ritardo. La comunicazione deve essere in linguaggio chiaro e semplice, spiegare cosa è successo, quali dati sono coinvolti, le probabili conseguenze e cosa possono fare per proteggersi (cambiare password, monitorare i conti, diffidare di email sospette che sfruttano i loro dati).
Non è solo un obbligo. Gestita bene, questa comunicazione limita il danno reputazionale. Un'azienda che avvisa in fretta e con trasparenza viene percepita in modo molto diverso da una che nasconde e poi viene scoperta. E i dati rubati vengono spesso usati per campagne di phishing mirate contro i tuoi stessi clienti: avvisarli è anche un modo concreto per proteggerli.
Checklist operativa 72 ore
| Fase | Azione |
|---|---|
| Ora 0-1 | Isola i sistemi compromessi senza distruggere prove. Cambia le credenziali critiche. Salva log e screenshot. |
| Ora 1-4 | Attiva la catena di comando. Contatta IT, DPO, legale e fornitori coinvolti. |
| Ora 4-24 | Conduci e metti per iscritto la valutazione del rischio. Decidi lo scenario di notifica. |
| Ora 24-48 | Prepara la notifica sul portale del Garante con tutti i contenuti obbligatori. Bozza della comunicazione agli interessati. |
| Entro 72 ore | Invia la notifica (anche preliminare, se serve). Aggiorna il registro interno delle violazioni. |
| Dopo | Comunica agli interessati se il rischio è elevato. Chiudi le falle. Fai un audit post-incidente. |
Gli errori che trasformano un incidente in un disastro
- Pagare il riscatto senza pensarci. Non garantisce la restituzione dei dati e non ferma l'obbligo di notifica. Nel ransomware moderno spesso i dati sono già stati esfiltrati prima della cifratura (doppia estorsione): il breach c'è comunque.
- Aspettare di "avere tutto chiaro" prima di notificare. Le 72 ore non aspettano. La notifica in più fasi esiste proprio per questo.
- Non documentare la decisione di non notificare. Anche il "abbiamo valutato e il rischio era improbabile" va scritto e conservato.
- Ripristinare i backup sopra le prove. Cancelli la scena del crimine e ti giochi l'analisi forense e l'eventuale rimborso assicurativo.
- Improvvisare la comunicazione ai clienti. Un comunicato sbagliato fa più danni del breach stesso.
Il costo vero e perché prevenire conviene
Per una PMI italiana il costo medio di un incidente serio va dai 35.000 ai 250.000 euro tra fermo operativo, ripristino, consulenze legali e forensi, sanzioni ed erosione della fiducia. Il Rapporto Clusit 2026 conferma il quadro: l'Italia raccoglie circa il 10% degli incidenti mondiali, gli attacchi gravi crescono e le PMI sono il bersaglio nel 72% dei casi. Se vuoi mettere numeri precisi sul tavolo, abbiamo analizzato il costo reale di un data breach per le PMI e il ROI della prevenzione.
La verità scomoda è che la gestione delle 72 ore va preparata prima, non improvvisata durante. Chi ha un piano di risposta agli incidenti, ruoli definiti, log configurati e backup testati chiude un breach in giorni. Chi non ce l'ha lo trascina per settimane, pagandolo caro. Un audit di sicurezza informatica completo serve proprio a questo: individuare le falle prima che qualcuno le sfrutti e costruire il piano di risposta mentre sei ancora lucido. Con NIS2 operativa dal 2026 e l'AI Act nella sua fase applicativa, questa preparazione non è più opzionale per molte aziende. Leggi quali obblighi NIS2 riguardano la tua azienda per capire se rientri.
Se il tema più ampio ti interessa, la nostra guida alla cyber security per PMI 2026 mette in fila minacce, obblighi e priorità di spesa per l'anno.
Domande frequenti
Da quando decorrono le 72 ore per la notifica del data breach?
Dal momento in cui l'organizzazione viene a conoscenza della violazione con ragionevole certezza, non da quando l'attacco è avvenuto né da quando l'analisi è completa. Se il tuo team scopre l'anomalia martedì mattina, il conto alla rovescia parte lì.
Devo notificare al Garante ogni violazione dei dati?
No. La notifica scatta solo quando la violazione comporta un rischio per i diritti e le libertà delle persone. Se il rischio è improbabile (ad esempio dati cifrati e illeggibili) puoi non notificare, ma devi comunque documentare per iscritto la valutazione e annotarla nel registro interno.
Cosa succede se supero le 72 ore?
La notifica va fatta comunque, indicando i motivi del ritardo. Il GDPR prevede anche la notifica in più fasi: puoi inviare quella preliminare entro le 72 ore con le informazioni disponibili e integrare i dettagli dopo. Il ritardo ingiustificato è però tra gli elementi valutati più severamente dal Garante.
Come si notifica concretamente il data breach al Garante?
Tramite la procedura online dedicata sul sito ufficiale del Garante Privacy (garanteprivacy.it), compilando il modulo strutturato e firmandolo digitalmente. Non è valida una semplice email o PEC generica. Servono natura della violazione, dati e interessati coinvolti, conseguenze probabili e misure adottate.
Devo avvisare anche i clienti coinvolti?
Solo se la violazione comporta un rischio elevato per i loro diritti (art. 34 GDPR). In quel caso devi informarli senza ingiustificato ritardo, con linguaggio chiaro, spiegando cosa è successo e come proteggersi. Con dati come password o informazioni bancarie esposte, quasi sempre questa comunicazione è obbligatoria.
Pagare il riscatto ferma l'obbligo di notifica in caso di ransomware?
No. Il pagamento non estingue l'obbligo di notifica né garantisce il recupero dei dati. Nei ransomware moderni i dati vengono spesso esfiltrati prima della cifratura (doppia estorsione), quindi la violazione della riservatezza è già avvenuta e va comunque gestita.
Non aspettare il primo incidente per scoprire dove sei scoperto: parlane con noi e costruiamo insieme il tuo piano di risposta alle violazioni.