Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Data Breach e Colpe: Il DPO sotto accusa? Un’analisi che sfida gli stereotipi!

Stefano Gazzella : 20 Novembre 2023 07:43

Data breach, DPO ladro! (cit.)

A pensarci bene, però, c’è anche una similare esistenziale che di solito è addossata al sysadmin. Il quale, similmente al DPO, magari fino al giorno prima le vulnerabilità le aveva anche evidenziate tutte con tanto di invito a provvedere a predisporre un budget dedicato. Ma è rimasto inascoltato. Insomma: uniti nella sorte di pareri perduti, un po’ come il senno d’Orlando sulla Luna.

Sponsorizza la prossima Red Hot Cyber Conference!

Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference
Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. 
Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. 
Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.



Supporta RHC attraverso:
 

  1. L'acquisto del fumetto sul Cybersecurity Awareness
  2. Ascoltando i nostri Podcast
  3. Seguendo RHC su WhatsApp
  4. Seguendo RHC su Telegram
  5. Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber

Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.
 

L’etica della colpa – o per meglio dire: della ricerca forsennata di un colpevole – rappresenta un dispendio di risorse per l’organizzazione. Sarebbe meglio ragionare secondo responsabilità e definire così i ruoli, in modo efficace e seguendo logiche di empowerment. In questo caso l’unico limite è quello di non filosofeggiare troppo, altrimenti si rischia di cadere nel pozzo dell’inefficacia al pari di un Talete qualsiasi ben poco avvezzo alla praticità. E quindi forse smetterla di dire “E allora il DPO?” ad ogni data breach, e iniziare a ricercare piuttosto le cause di ciò che è accaduto può giovare. Soprattutto se si valuta la capacità di reazione dell’organizzazione alla violazione di sicurezza.

Ovviamente, per far ciò bisogna rileggere il ruolo del DPO, anche se questo può sembrare in parte smitizzare la funzione e per alcuni un sacrilegio. Alcuni storyteller l’hanno presentata persino come “longa manus del Garante in azienda”, che è più un ottimo claim ma si tiene ben distante dalla realtà. Sempre restando in tema di mani, non è che con le imposizioni delle stesse – o per effetto di una mera designazione – il DPO risolva per incanto tutte le non conformità e le vulnerabilità di sicurezza. Credere a ciò comporta l’essere preda di allucinazioni, che sia nella compliance sia nell’information security hanno la brutta abitudine di generare false convinzioni destinate a giacere solo sulla carta. E nello specifico ambito della sicurezza, si parla per l’appunto in modo tutt’altro che positivo di paper security.

Il data breach è qualcosa che non solo può accadere, ma che soprattutto va gestito. E non solo nelle comunicazioni interne ed esterne nei confronti degli stakeholder. Ovviamente, se è stato provocato da vulnerabilità irrisolte, ciò comporterà una violazione del principio di integrità e riservatezza. Ma una volta che l’evento di violazione si realizza, il passato e ciò che si sarebbe dovuto fare sfuma e si presenta dirompente un presente che scandisce le azioni. Che queste siano di analisi, mitigazione, o comunicazione, ad esempio, la loro efficacia dipende solo dalla preparazione dell’organizzazione che viene messa alla prova in un vero e proprio stress test che riguarda ogni passaggio. Dalla rilevazione alla risposta, con tutte le azioni in reazione o anche per prevenire conseguenze ulteriori tenendo conto della riskchain.

Avere solo la designazione del DPO senza un sistema di gestione e personale addestrato, sarebbe come avere il jet pilder senza Mazinga Z. Certamente d’effetto, ma poco efficace. E la responsabilità per questo ricade sempre e comunque sull’organizzazione, la quale risponde del posizionamento delle funzioni interne, del budget dedicato e dell’adeguatezza della sicurezza allo stato dell’arte.

Gli inciampi del DPO nella gestione della sicurezza

Questa non è certo un’apologia acritica della funzione di DPO, dal momento che rappresenterebbe uno sfoggio piuttosto palese di disonestà intellettuale. Questa figura, invero piuttosto nuova, ha subito tanto le distorsioni che le opacità di una certa narrazione di mercato più interessata a voler accaparrarsi una fetta maggiore del budget aziendale che svolgere in modo efficace e puntuale la funzione cui è preposta dal GDPR. Ovverosia: primariamente garantire il rispetto della normativa in materia di protezione dei dati personali e tutelare i diritti degli interessati. Ma qui probabilmente si indulge nel pensar male e far peccato.

Esistono degli inciampi comuni del DPO nei processi di gestione della sicurezza, che possono essere per lo più riconducibili ad un’incapacità di comunicare ed integrarsi con le altre funzioni coinvolte. Emblematicamente e in modo più frequente, con l’ufficio IT, il CED o il CISO. Talvolta spendendosi più in opposizione che nella ricerca di punti di incontro e cooperazione. E qui la confusione del ruolo scusa ben poco, perché anche l’organizzazione designante ha la responsabilità di non aver promosso un’integrazione adeguata della funzione.

Quando il conto verrà inevitabilmente presentato agli interessati, tutte queste carenze di gestione e progettazione fondamentali propagheranno i propri effetti negativi nella situazione di crisi di un data breach. Infatti, la realtà ha la pessima abitudine di schivare qualsivoglia scusante si possa frapporre a un’inadeguata progettazione, implementazione e controllo di un sistema di sicurezza.

Gli interventi del DPO nella gestione della sicurezza

Questo significa dunque che il DPO può intervenire – e anzi: deve – nella gestione della sicurezza. Ma lo deve fare instaurando delle sinergie virtuose, sorvegliando lo stato dell’arte e i rischi, formulando pareri se del caso e promuovendo le politiche di formazione e sensibilizzazione del personale. Il tutto tenendo conto come parametro orientativo l’efficacia, dialogando continuamente con esperti tecnici nei tavoli di lavoro e in sede di audit. Chiedendo anche al management che siano collocate risorse aggiuntive per provvedere ai fabbisogni individuati. Insomma: occorre che il ruolo sia proattivo e propositivo, e non solo di reazione rispetto a richieste d’intervento o eventi per cui da procedura il DPO deve essere c oinvolto.

Ma se questi interventi del DPO viene ignorato, sia esso consulenziale e informativo, o di sorveglianza, chi è il vero ladro iconicamente responsabile, come ciascun governo in caso di pioggia? Certo, talvolta fa più comodo un parafulmine che un’assunzione di responsabilità. Ma anche qui, forse, pensiamo male e facciamo nuovamente peccato.

Stefano Gazzella
Privacy Officer e Data Protection Officer, è Of Counsel per Area Legale. Si occupa di protezione dei dati personali e, per la gestione della sicurezza delle informazioni nelle organizzazioni, pone attenzione alle tematiche relative all’ingegneria sociale. Responsabile del comitato scientifico di Assoinfluencer, coordina le attività di ricerca, pubblicazione e divulgazione. Giornalista pubblicista, scrive su temi collegati a diritti di quarta generazione, nuove tecnologie e sicurezza delle informazioni.

Lista degli articoli
Visita il sito web dell'autore

Articoli in evidenza

L’Italia nel mondo degli Zero Day c’è! Le prime CNA Italiane sono Leonardo e Almaviva!
Di Massimiliano Brolli - 06/10/2025

Se n’è parlato molto poco di questo avvenimento, che personalmente reputo strategicamente molto importante e segno di un forte cambiamento nella gestione delle vulnerabilità non documentate in Ita...

Apple nel mirino? Presunta rivendicazione di data breach da 9 GB su Darkforums
Di Inva Malaj - 05/10/2025

Autore: Inva Malaj e Raffaela Crisci 04/10/2025 – Darkforums.st: “303” Rivendica Data Breach di 9 GB su Apple.com Nelle prime ore del 4 ottobre 2025, sul forum underground Darkforums è comparsa...

SoopSocks: il pacchetto PyPI che sembrava un proxy ma era una backdoor per Windows
Di Antonio Piazzolla - 04/10/2025

La storia di SoopSocks è quella che, purtroppo, conosciamo bene: un pacchetto PyPI che promette utilità — un proxy SOCKS5 — ma in realtà introduce un impianto malevolo ben orchestrato. Non stia...

L’informatica non è più una carriera sicura! Cosa sta cambiando per studenti e aziende
Di Redazione RHC - 04/10/2025

Per decenni, l’informatica è stata considerata una scelta professionale stabile e ricca di opportunità. Oggi, però, studenti, università e imprese si trovano davanti a un panorama radicalmente m...

Quando l’hacker si ferma al pub! Tokyo a secco di birra Asahi per un attacco informatico
Di Redazione RHC - 03/10/2025

Lunedì scorso, Asahi Group, il più grande produttore giapponese di birra, whisky e bevande analcoliche, ha sospeso temporaneamente le sue operazioni in Giappone a seguito di un attacco informatico c...