sicurezza dei dati

Data breach, la notifica non basta: misure preventive e sanzioni del Garante

Quali sono le misure che un’azienda deve adottare per proteggere i dati degli interessati? La mera segnalazione del data breach non è sufficiente: la sanzione del Garante nei confronti di un’azienda ospedaliera

Pubblicato il 4 mar 2025

Chiara Benvenuto

Senior Associate Dipartimento Data Protection Rödl & Partner

Elena Bonvini

Junior Associate Dipartimento Data Protection Rödl & Partner

Il fenomeno del data breach è un trend in costante crescita. In base al rapporto Clusit 2024, gli attacchi informatici continuano ad aumentare, con un incremento in Italia del 65% nel 2023. Il report annuale IBM “Cost of a Data Breach” ha invece sottolineato che il costo dei data breach nel 2024 è incrementato del 23% rispetto all’anno precedente.

Le sanzioni previste dal Garante possono arrivare fino a 10 milioni di euro o, nel caso di imprese, fino al 2% del fatturato totale annuo mondiale. La mera notifica dell’avvenuto data breach non è sufficiente a rendere esenti le imprese da responsabilità: occorre altresì implementare una serie di misure di sicurezza da aggiornare periodicamente.

GDPR, come gestire un data breach: la guida agile per le aziende

L’articolo verterà sul dettagliare le misure che, secondo i procedimenti del Garante, sono idonee sia a tutelare i dati personali degli interessati che ad essere compliant al GDPR per le aziende.

Indice degli argomenti

**Il caso: la sanzione del Garante a seguito del data breach ad un’azienda ospedaliera**

Il Garante per la protezione dei dati personali ha concluso il procedimento avviato, a seguito di notifica di data breach, nei confronti di un’azienda ospedaliero-universitaria[1], vittima di un attacco hacker ai propri sistemi informatici nel dicembre 2022, comminando, con provvedimento del 17 ottobre 2024 [doc. web n. 10086523], una sanzione amministrativa pari ad euro 25.000,00.

Il data breach era stato causato da un malware di tipo ransomware (tipologia di attacco che prevede il blocco all’accesso ai file di un sistema o la cifratura dei dati), introdotto nei sistemi attraverso l’accesso a un PC aziendale con VPN aperta, ed aveva comportato la perdita di riservatezza, integrità e disponibilità dei dati personali di un vasto numero di soggetti, tra cui dipendenti e consulenti, ma anche pazienti. Nonostante ciò, l’attacco non aveva causato l’interruzione dei servizi sanitari.

L’ispezione condotta dal Garante e le carenze rilevate

L’ispezione condotta dal Garante a seguito della notifica del titolare del trattamento ha rilevato diverse carenze in relazione agli obblighi di sicurezza stabiliti dal GDPR, principalmente dovute all’uso di sistemi non aggiornati e a misure insufficienti per rilevare tempestivamente le violazioni dei dati e garantire la sicurezza delle reti informatiche. Nel caso di specie, l’impiego di software obsoleti, privi di aggiornamenti di sicurezza, e l’assenza di un sistema di allerta attivo 24 ore su 24, hanno contribuito al verificarsi dell’attacco. Durante l’istruttoria, il Garante ha riscontrato ulteriori lacune, tra cui la mancanza di una procedura di autenticazione a più fattori per l’accesso remoto alla VPN, che avveniva esclusivamente tramite username e password.

Alla luce del summenzionato provvedimento risulta chiaro che la mera segnalazione all’autorità – seppur tempestiva – del data breach non è sufficiente a rendere esente il titolare del trattamento da qualsivoglia forma di responsabilità, il quale, infatti, è necessario dimostri di aver selezionato, ai sensi degli artt. 24 e 32 GDPR, misure di sicurezza atte a prevenire ed evitare il verificarsi di violazioni di sicurezza, valutato il rischio intrinseco dei trattamenti svolti.

Gli orientamenti del Garante sul tema data breach

Con provvedimento del 4 luglio 2024 [doc. web. 10063782], il Garante privacy ha ingiunto a una società di servizi di gestione documentale e comunicazione.[2] il pagamento di 900.000 euro per non essere intervenuta su una vulnerabilità già nota e segnalata dai propri sistemi, portando alla violazione di un elevato numero di dati personali.

L’attacco ransomware a una società di servizi di gestione documentale e comunicazione

Dalla ricostruzione effettuata dal Garante il data breach (nello specifico un attacco ransomware), notificato nel mese di agosto 2023, aveva comportato il blocco dei server aziendali nonché di alcune postazioni di lavoro. Nonostante la vulnerabilità fosse stata segnalata prima dal produttore del software (settembre 2022, rendendo disponibili degli aggiornamenti disponibili per l’implementazione da novembre 2022 e volti al rafforzamento della sicurezza cibernetica) e successivamente dalla segnalazione del pericolo di data breach dell’Agenzia per la Cybersicurezza Nazionale (nel novembre 2022), Postel non aveva mai provveduto ad aggiornare i propri sistemi, come consigliato.

L’incidente ha comportato l’esfiltrazione, e in alcuni casi la perdita di disponibilità, di dati personali relativi a circa 25.000 individui, tra cui dipendenti, ex dipendenti, familiari, dirigenti, candidati a posizioni lavorative e rappresentanti di aziende che avevano rapporti commerciali con Postel. I dati oggetto dell’attacco ransomware, successivamente diffusi nel dark web, riguardavano le informazioni anagrafiche e di contatto, le credenziali di accesso, i dati di pagamento, le informazioni relative a condanne penali e reati, nonché, tra i dati sensibili, quelli sull’appartenenza sindacale e sulla salute.

Pertanto, tenuto conto della quantità e della tipologia di dati violati, il Garante ha ritenuto che la Società, oltre a non essere riuscita a evitare che avvenisse l’attacco informatico, non avesse nemmeno implementato delle adeguate misure per contrastare gli effetti dell’attacco una volta avvenuto. Nello specifico, l’Autorità ha contestato sia la mancata adozione di aggiornamenti dei software volti a rafforzare la sicurezza cibernetica, sia la protratta inerzia nel notificare la violazione dei dati avvenuta.

La mancata adozione di adeguate azioni di mitigazione del rischio

Secondo il Garante, considerato che l’attacco informatico della Società ha sfruttato due vulnerabilità della piattaforma Microsoft Exchange, che hanno permesso (all’attaccante) di assumere il ruolo di amministratore ed eseguire un codice malevolo, prendendo così il controllo del sistema, la Società avrebbe dovuto adottare le opportune azioni di mitigazione del rischio, indicate dal provider con segnalazione del settembre 2022, tra cui gli aggiornamenti necessari da apportare alla piattaforma Exchange per superare proprio siffatte vulnerabilità.

Successivamente, anche l’Agenzia per la Cybersicurezza nazionale (ACN) aveva indicato pubblicamente l’esistenza della predetta vulnerabilità. Nonostante ciò, ad agosto 2023, mese in cui la Società ha subito l’attacco informatico e lo ha notificato, la stessa non aveva ancora adottato sui propri sistemi alcuna delle misure predette. Dall’indagine del Garante è emerso, dunque, che la Società, per un periodo di tempo molto lungo (quasi 12 mesi), non sia stata in grado di garantire la necessaria protezione dei dati personali. Tali omissioni hanno portato il Garante ha ritenere che la Società abbia violato gli artt. 5, par. 1, lett. f), 25 e 32 del Regolamento. Inoltre, il Garante ha ritenuto che l’azienda non avesse fornito informazioni sufficienti sulla violazione e sulle misure adottate per mitigare o eliminare le vulnerabilità, ritardando così le verifiche da parte dell’Autorità.

Sul punto, l’Autorità ha precisato, richiamando le linee guida 9/2022 sulla notifica di violazione dei dati personali ai sensi del GDPR, che oltre alle informazioni espressamente richieste dal Regolamento, il titolare del trattamento deve fornire proattivamente tutte le informazioni necessarie per illustrare in maniera completa le circostanze della violazione, comprese quelle relative alle scelte aziendali in materia di sicurezza dei sistemi e delle informazioni.

L’importanza del corretto aggiornamento del Registro Data Breach

In occasione di tale provvedimento è stato possibile cogliere una serie di indicazioni da parte del Garante per valutare in primis la necessità di segnalare il data breach e – in secondo luogo – per far sì che la documentazione inoltrata all’Autorità con la notifica sia esaustiva. Per quanto qui d’interesse, la segnalazione deve includere tutti i dettagli necessari per identificare le caratteristiche dell’attacco informatico che ha originato la violazione dei dati: sul punto, è lo stesso Garante che raccomanda ai titolari del trattamento di documentare dettagliatamente anche le violazioni avvenute in precedenza, sollecitando sul corretto aggiornamento del Registro Data Breach. In sede ispettiva, infatti, il registro dei data breach deve essere messo a disposizione dell’Autorità, ove richiesto: per questo motivo, è importante che il titolare, in occasione di ciascuna violazione, menzioni le misure di sicurezza adottate preliminarmente al suo verificarsi, nonché le azioni rimediali a mitigazione, oltre al calcolo di gravità dell’incidente (secondo la metodologia adottata dall’organizzazione) ed alle motivazioni che eventualmente hanno portato ad escludere la ricorrenza di un obbligo di notifica (e, dunque, al parere del DPO, se presente).

L’attacco informatico alla Regione Lazio

In un altro caso, invece, in seguito alle notizie riportate dalla stampa e alle comunicazioni relative alle violazioni dei dati personali, segnalate dalla Regione Lazio e dal Consiglio regionale del Lazio, dovute da un attacco informatico ai sistemi di una società[3] che gestisce le infrastrutture tecnologiche e i sistemi informativi a livello regionale, avvenuto il 31 luglio 2021, il Garante ha avviato un’indagine da cui è emerso che l’attacco, causato da un ransomware, aveva temporaneamente reso indisponibili diversi sistemi e servizi di un’azienda ospedaliera[4], senza tuttavia compromettere i servizi di emergenza. Sebbene l’integrità dei dati non fosse stata compromessa, l’attacco ha causato un ritardo nel ripristino dei sistemi e nella disponibilità dei dati.

La compromissione di un account appartenente a un dipendente regionale

L’indagine del Garante ha rivelato che l’attacco è stato reso possibile dalla compromissione di un account appartenente a un dipendente regionale, il cui dispositivo era stato infettato da malware già a marzo 2021. Pertanto, gli hacker hanno utilizzato le credenziali rubate per accedere alla rete aziendale e lanciare l’attacco. Successivamente, è stato accertato che al momento della violazione dei dati, non era prevista una procedura di autenticazione a più fattori per l’accesso VPN.

L’autenticazione a due fattori è un sistema di sicurezza che richiede agli utenti di fornire due o più elementi di prova per verificare la loro identità: è il caso dell’utilizzo da parte dell’utente di una password in combinato con la richiesta di autorizzazione su proprio device aziendale.

Nel caso in esame, l’azienda ha fornito agli interessati aggiornamenti sull’attacco, confermando che la compromissione riguardava solo la perdita di riservatezza di due account aziendali, senza compromettere l’integrità e la riservatezza dei dati di ulteriori soggetti. Diversamente, nei confronti dell’Autorità, è mancata la notifica del data breach, portando alla violazione dell’art. 33 par. 1 e 5 del GDPR. Oltre a non aver segnalato l’attacco informatico, nel corso dell’istruttoria avviatasi a seguito delle notifiche di Regione Lazio e Consiglio regionale del Lazio non è stata fornita un’idonea documentazione, omettendo di indicare informazioni chiave come le conseguenze della violazione per gli interessati, le motivazioni sottese alla decisione di non procedere con la notifica, nonché la valutazione del rischio derivante dalla violazione.

La sanzione del Garante

Quanto appena indicato ha portato il Garante ad adottare, con provvedimento del 21 marzo 2024 [doc. web n. 10002324], l’ordinanza di ingiunzione, applicando cosi una sanzione amministrativa dell’importo di Euro 10.000,00, per non avere l’azienda “provveduto a notificare la violazione dei dati personali all’Autorità, né a fornire adeguata documentazione sulle decisioni assunte e sulle valutazioni svolte, in grado di comprovare che, con riferimento a tali trattamenti, fosse improbabile che la violazione presentasse un rischio per i diritti e le libertà degli interessati”.

Misure da implementare per prevenire il data breach e minimizzare i suoi effetti

Il Garante, nel provvedimento appena citato, ha posto l’attenzione sulle misure da implementare sia per prevenire il data breach che, una volta avvenuto, per minimizzare i suoi effetti, ribandendo gli elementi essenziali che deve presentare la notifica all’Autorità ai sensi dell’art. 33 del GDPR. Tra le misure, si leggono:

sorveglianza H24 dei sistemi di monitoraggio: un monitoraggio costante tramite la presenza di personale (interno o esterno) dedicato all’analisi H24 degli alert è in grado di agevolare un riscontro tempestivo del data breach, rendendo possibile intervenire sugli allarmi con maggiore tempestività;
misure per segmentare e segregare le reti sulle quali vengono attestate le postazioni di lavoro dei propri dipendenti: è importante adottare, tra le altre, specifiche azioni volte alla segregazione e messa in sicurezza dei diversi sistemi gestiti dalle società. In questo contesto, il Garante fa riferimento al principio del privilegio minimo, in base al quale viene previsto che, a un utente, vengano concessi solo i permessi minimi necessari per svolgere le proprie mansioni;
implementazione di misure di autenticazione a due fattori: come illustrato precedentemente il Garante ha sottolineato l’importanza di implementare tali sistemi. Nel caso di specie, è stato contestato il mancato utilizzo di tale misura con riferimento all’accesso VPN;
sostituzione, ove presenti, di software di base obsoleti: un grande numero di questi software non dispone di aggiornamenti di sicurezza, rendendoli maggiormente vulnerabili ad un data breach;
tempestività della notifica all’Autorità, anche nel caso in cui le informazioni in proprio possesso non siano complete, tramite una “notifica per fasi”: nel caso di specie, il Garante non ha giustificato il ritardo nella notifica da parte della società, ritenendo che quest’ultima avrebbe dovuto “notificare la violazione entro 72 ore dal momento in cui ne era venuta a conoscenza, fornendo le informazioni di cui era in possesso e avvalendosi della facoltà di procedere con una “notifica per fasi””;

L’importanza della formazione del personale che tratta dati personali

Comunemente si è portati a pensare che la violazione dei dati personali avvenga esclusivamente a causa di un attacco informatico di un soggetto esterno alla realtà del titolare del trattamento. Ciò – tuttavia – non corrisponde al vero.

La sicurezza dei dati personali non dipende solo dalle tecnologie utilizzate, ma anche dalle persone che vi interagiscono quotidianamente. Formare il personale aiuta difatti a sensibilizzarlo sull’importanza della minimizzazione dei dati, assicurandosi che vengano raccolti solo i dati necessari per le specifiche finalità, evitando accumuli di informazioni sensibili che potrebbero rappresentare un rischio in caso di incidente. Un dipendente non formato correttamente può, infatti, rappresentare un rischio significativo per la sicurezza delle informazioni, sia attraverso errori involontari che, nel peggiore dei casi, per azioni dolose. Investire in un’adeguata formazione del personale consente di ridurre il rischio di sanzioni e danni reputazionali, tutelando allo stesso tempo la fiducia dei clienti e degli utenti.

Maggiore è il rischio derivante dal trattamento dei dati e più sono coinvolti soggetti e dati sensibili, tanto più deve essere specifica la formazione del personale. A questa conclusione è arrivato il Garante privacy con il provvedimento del 27 aprile 2023 [doc. web. 9900808] nei confronti di un comune italiano[5]. Nel caso di specie, sono stati violati i dati sensibili sulla salute di diversi soggetti, tramite pubblicazione degli stessi.

Dall’istruttoria sono emerse carenze nella gestione della documentazione e nella formazione dei responsabili del trattamento dei dati. Nello specifico, è emerso che – da un lato – Roma Capitale, in qualità di titolare del trattamento, non aveva fornito istruzioni adeguate al responsabile del trattamento, una società[6] che espleta i servizi di smaltimento per il comune e – dall’altro –quest’ultima non aveva implementato un’idonea formazione del proprio personale. Il Garante, seppur accertando l’implementazione della formazione del personale, ha ritenuto questa inadatta in quanto di natura generica. Secondo l’Autorità, dunque, il titolare del trattamento deve predisporre un piano formativo personalizzato per gli autorizzati al trattamento. In sostanza, la formazione del personale – nei casi in cui questi operino in settori ad alto rischio vista la natura sensibile dei dati – non deve limitarsi alle generali disposizioni del GDPR bensì deve essere adatta al contesto.

Il Garante ha, pertanto, stabilito che il comune, in qualità di titolare del trattamento, non ha fornito istruzioni adeguate a alla società (responsabile del trattamento), violando le normative su come gestire i dati personali, ingiungendo il pagamento di euro 176.000,00 a titolo di sanzione amministrativa pecuniaria.

Riflessioni finali

L’analisi dei recenti interventi del Garante per la protezione dei dati personali evidenzia alcune problematiche ricorrenti e indicazioni importanti per la gestione della sicurezza dei dati personali.

La mancata adozione di sistemi aggiornati, la carenza di misure di sicurezza tempestive e l’assenza di adeguate procedure di autenticazione sono alcune delle cause comuni che possono portare alla violazione dei dati e alla relativa sanzione che – come abbiamo avuto modo di vedere – può essere ingente.

In questo senso, diverse sono le misure di prevenzione al data breach. In primo luogo, l’adozione di un registro dei data breach, il monitoraggio delle azioni rimediali e la formazione mirata del personale sono strumenti fondamentali per mitigare il ripetersi di data breach. Una formazione generica sul GDPR non è sufficiente, specialmente in contesti ad alto rischio che trattano dati sensibili, come è emerso alla luce dei provvedimenti esaminati. L’implementazione di piani formativi personalizzati, specificamente focalizzati sulle esigenze e i rischi del trattamento, è cruciale per prevenire incidenti e garantire una protezione efficace alla riservatezza dei dati. Tra le altre misure, occorre garantire la sorveglianza costante dei sistemi di monitoraggio tramite la presenza di personale (interno o esterno) dedicato all’analisi H24 degli alert per poter dare risposta rapida agli allarmi, riducendo il rischio di data breach o mitigandone gli effetti. Allo stesso modo, occorre tempestivamente sostituire software divenuti obsoleti, per questo vulnerabili agli attacchi. È altresì fondamentale segmentare e separare le reti, limitando i permessi degli utenti secondo il principio del privilegio minimo. Ulteriori misure sono ravvisabili nell’adozione dell’autenticazione a due fattori, misura importante per rafforzare la sicurezza degli accessi, in particolare per le VPN. Si ricorda, in ultima istanza ma non di minor valore, la necessità di notificare tempestivamente all’Autorità in caso di data breach, anche se le informazioni disponibili sono ancora parziali, procedendo a notifica preliminare, con la possibilità di inviare una “notifica per fasi” per integrare con i dettagli ottenuti successivamente alle indagini condotte.