Stefano Gazzella : 27 Agosto 2025 12:19
Una sintesi essenziale del principio che si può estrarre dal provv. n. 271 del 29 aprile 2025 dell’Autorità Garante per la protezione dei dati personali potrebbe essere: no budget? non parti! Ovviamente con il trattamento, perché per andare in vacanza o in altri luoghi (che è bene non precisare) c’è sempre tempo.
Per capire meglio questo principio di carattere generale e la sua applicazione pratica, bisogna unzippare il provvedimento che inizia con un data breach e (spoiler!) si conclude con una sanzione di 30 mila euro “per la molteplice violazione degli artt. 5, par. 1, lett. f), e 32, par. 1, del Regolamento”.
Ovverosia, rispettivamente, il principio di integrità e riservatezza:
CALL FOR SPONSOR - Sponsorizza l'ottavo episodio della serie Betti-RHC
Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"?
Conosci il nostro corso sul cybersecurity awareness a fumetti?
Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati.
Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
dati sono: (…) trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali.
e l’obbligo generale in capo a titolari e responsabili di predisporre misure di sicurezza adeguate al rischio:
Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio (…).
Come detto, il fatto che ha portato all’apertura dell’istruttoria è stato un evento di violazione dei dati personali, o data breach, che è stato notificato al Garante Privacy come prescritto dall’art. 33 GDPR e che è consistito in un attacco ransomware con esfiltrazione e pubblicazione dei dati.
In seguito alla richiesta di informazioni, contrariamente a quanto affermato all’interno delle difese, è stato però accertata la mancata adozione di misure adeguate a rilevare le violazioni dei dati personali nonostante l’adozione delle misure indicate come “standard” all’interno della Circolare AgID. Nello specifico, non era stata implementata un’attività di monitoraggio delle anomalie su accessi e operazioni, né un sistema di alert. Il tutto, motivato dalla carenza di personale e budget limitato.
Motivazioni che però non hanno superato le contestazioni del Garante Privacy.
Quando c’è una violazione di sicurezza, qualcosa non ha funzionato. Contrariamente a quanto prospettato all’interno delle difese, l’attacco “particolarmente sofisticato ed elusivo” in quanto l’esfiltrazione di dati è avvenuta progressivamente nel tempo in orario notturno e giorni festivi senza superare la soglia media di traffico, il Garante ha ritenuto invece che un sistema di alert avrebbe ben potuto consentire di rilevare questi eventi di sicurezza:
Tali meccanismi automatici, ove opportunamente configurati e presidiati, consentono, infatti, di rilevare eventi che, proprio per le particolari accortezze impiegate dagli attaccanti, possono sfuggire al controllo umano, mettendo in rilevo determinati eventi (es. traffico in orario notturno o in giorni festivi, in giorni in cui non sono previsti interventi di manutenzione programmati) ancorché non significativi sul piano statistico (es. traffico in linea con la soglia di traffico medio giornaliero).
Per quanto infatti in un’istruttoria ci possa essere il terribile pericolo di un post hoc ergo propter hoc, ovverosia assumere che un evento successivo (data breach) sia stato causato dal precedente (inadeguatezza delle misure di sicurezza), ciò che è al centro della scena sono gli aspetti di gestione. Partendo dal fatto innegabile che se c’è stata una violazione di sicurezza qualcosa non ha funzionato, l’istruttoria ricostruisce le responsabilità in concreto del titolare. Che in questi casi riguardano, ad esempio, l’analisi dei rischi e la predisposizione di misure di mitigazione. E no, nella maggior parte dei casi non si può parlare di eventi che siano assolutamente imprevedibili né inevitabili. Quei rari cigni neri della cybersecurity sono talmente autoevidenti da non richiedere alcuna spiegazione a riguardo. Semmai sono eventi indesiderati, soprattutto per gli interessati.
Fra i requisiti del GDPR c’è infatti la corretta gestione della sicurezza, per cui si deve tenere conto dello stato dell’arte e dei costi di attuazione. Attenzione, però: questo non significa poter diminuire in alcun modo il livello di sicurezza, ma al contrario impone un ragionamento continuo che comporti anche il verificare che le misure adottate siano efficaci nel mitigare i rischi derivanti dai trattamenti. Anzi: il parametro del costo rappresenta un fattore di cui tenere conto per selezionare misure alternative e di pari efficacia, in un’ottica di semplificazione e ottimizzazione. In alcun modo può essere una scusa o giustificare l’inazione, perché è responsabilità del titolare mettere a budget la sicurezza nella gestione complessiva dei costi.
Lo stato dell’arte, in quanto concetto intrinsecamente dinamico, segue i progressi tecnologici, richiamando così l’attenzione sull’essere informati su opportunità e rischi nonché sull’aggiornare le misure in modo tale che siano in grado di fronteggiare le minacce emergenti. Ovviamente, secondo le conoscenze e i mezzi disponibili sul mercato.
Questo significa che adottare alcune misure minime, come quelle AgID, può non essere sufficiente.
Come è accaduto in questo caso. Sia dal punto di vista della realtà dei fatti, che per quanto riguarda gli aspetti sanzionatori.
In realtà le misure minime non sono mai bastate, neanche in vigenza del Codice Privacy e dell’art. 33 che contemplava delle misure minime, dal momento che comunque l’art. 31 prevedeva:
I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta
Ciononostante, il catalogo delle misure indicate da AgID come di livello “standard” (Circolare n. 2/2017 del 18 aprile 2017, “misure minime di sicurezza ICT per le pubbliche amministrazioni”), pur adottate, rappresentano solo una soglia minima di adempimento a cui devono essere aggiunte, se del caso, misure ulteriori.
Insomma: sono misure necessarie ma non sufficienti a dimostrare una gestione adeguata della sicurezza. Quindi, da sole non garantiscono il rispetto degli obblighi di sicurezza dal momento che sono state scritte per fornire indicazioni di carattere generale e diffuso per assicurare un minimo livello di protezione nella maggior parte delle situazioni (con l’indicazione di individuarne di più specifiche e adatte a raggiungere gli obiettivi di sicurezza di ciascuna PA), peraltro risalenti allo stato dell’arte vigente al momento della loro emanazione: fanno infatti riferimento a criteri di controllo del 2015, non sono state aggiornate e hanno skippato alla grande quel piccolo cambio di scenario dovuto a pandemia e guerra ibrida.
Il Garante Privacy conferma così l’esigenza di svolgere un’analisi dei rischi ed aggiornarla, potendo ben prendere come riferimento delle misure “a catalogo” senza però indulgere troppo nella convinzione che possano essere scollegate dal contesto o realizzino un “sempre e per sempre”.
Altrimenti, sarà una favola senza lieto fine.
E non c’è scusa di budget che tenga.
Stefano GazzellaA partire da metà settembre, la Red Hot Cyber Academy inaugurerà un nuovo capitolo della propria offerta formativa con il lancio del corso “Prompt Engineering: dalle basi alla Cyberse...
SinCity torna a far parlare di sé, questa volta mettendo in vendita l’accesso amministrativo a un nuovo shop online italiano basato su PrestaShop. Secondo quanto dichiarato dallo stesso th...
Il 24 agosto 2025 ha segnato i 30 anni dal lancio di Windows 95, il primo sistema operativo consumer a 32 bit di Microsoft destinato al mercato di massa, che ha rivoluzionato in modo significativo il ...
All’inizio del 2025 un’organizzazione italiana si è trovata vittima di un’intrusione subdola. Nessun exploit clamoroso, nessun attacco da manuale. A spalancare la porta agli ...
Nella notte del 19 agosto l’infrastruttura informatica dell’Università Pontificia Salesiana (UPS) è stata vittima di un grave attacco informatico che ha reso temporaneamente in...
