Stefano Gazzella : 1 Ottobre 2025 14:20
Un argomento meravigliosamente diffuso nel campo largo di chi svolge attività sui dati personali è quello di sottovalutare i rischi o non volerli guardare affatto è quello secondo cui non occorre farsi particolari problemi nel caso in cui siano trattati dati “non sensibili”. La premessa ontologica per la ricerca di soluzioni e correttivi in ambito di liceità e sicurezza è la capacità di farsi le giuste domande. Motivo per cui la propensione al troppo facile skip non può comporre una strategia funzionale o minimamente utile.
Certo, i dati sensibili esistono nel GDPR e richiamano elevate esigenze di protezione. Questo non comporta però che tutte le altre tipologie di dati (impropriamente chiamati comuni da chi ha proprio bisogno di creare categorie inutili) consentano di prescindere da una corretta gestione dei rischi a riguardo. Non sensibile non può in alcun caso significare “non protetto”, nemmeno attraverso il diaframma dell’interpretazione più spregiudicata che possa essere concepita.
Mentre la spregiudicatezza consiste in comportamenti che selezionano opzioni di risparmio in spregio delle regole facendo pagare i costi di sicurezza agli interessati, la fonte dei comportamenti che portano a sottostimare l’importanza di proteggere ogni dato personale è spesso riconducibile ad una vera e propria carenza di consapevolezza. Attenzione: questa ipotesi non apre la porta a scenari meno gravi o in cui può essere configurabile un minore margine di responsabilità.
Sponsorizza la prossima Red Hot Cyber Conference!Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.  Supporta RHC attraverso:
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Violare un dato non sensibile, ovverosia un semplice dato identificativo, può comportare conseguenze impattanti per l’interessato. Basti pensare che la maggior parte del phishing avviene con dati di contatto, con una probabilità di successo maggiore se si dispone di informazioni quali le abitudini di consumo o altre che possono essere espresse o dedotte ma che comunque non hanno una sensibilità rilevante. La possibilità di correlare informazioni ad un interessato, in concreto, lo espone infatti a maggiori rischi di subire furti di identità, frodi o una gamma di spiacevoli conseguenze che purtroppo compongono la quotidianità della vita digitale.
La disponibilità di questi dati per i cybercriminali deriva da attività di OSINT, ma anche dalla possibilità di reperire database violati. Database violati per effetto di azioni svolte impiegando semplici dati di contatto e che si arricchiscono attraverso violazioni ulteriori, aumentando l’efficacia delle successive campagne d’attacco.
Non essere consapevoli di tutto questo è, al giorno d’oggi, ingiustificabile per un’organizzazione che svolge attività su dati personali, a prescindere dalla data maturity.
L’aspetto della sicurezza e delle violazioni è dunque un argomento particolarmente convincente per non sottovalutare la protezione di tutti i dati personali, ma c’è un elemento ulteriore: la liceità dei trattamenti. Premesso che la sicurezza dei trattamenti è un obbligo previsto dal GDPR, ci sono infatti anche altre ipotesi di violazione ricorrenti che dovrebbero far ragionare proprio su quanto impattante sia violare le “regole del gioco” sin da principio, come ad esempio:
Ovviamente, tutto questo porta alla creazione di database al di fuori di un controllo consapevole da parte dell’interessato. E costituisce facile opportunità di guadagno per i cybercriminali, dal momento che una mancanza di strategia qual è quella che può emergere dalle violazioni prese come esempio conduce ad un accumulo di dati senza creazione di valore. E in assenza di valore, non c’è percezione di alcun asset da dover proteggere.
La soluzione è quella di ragionare sull’impiego sostenibile del dato personale. La norma precisa e regola le responsabilità, ma un corretto approccio strategico sa ragionare secondo valore generato e non esclusivamente concentrandosi su componenti di costo come la ricerca di scuse o giustificazioni per fare il minimo necessario.
Altrimenti, si cade facilmente in trappole come quella della convinzione di dover proteggere o prestare attenzione ai soli dati sensibili. Con tutti i punti ciechi di gestione che portano all’inevitabile inadeguatezza delle misure predisposte.
Spoiler: gli interessati se ne accorgono. E difficilmente selezioneranno i servizi di chi non sa garantire un impiego sostenibile dei loro dati.
Stefano GazzellaBroadcom ha risolto una grave vulnerabilità di escalation dei privilegi in VMware Aria Operations e VMware Tools, che era stata sfruttata in attacchi a partire da ottobre 2024. Al problema è stato a...
In un settore un tempo dominato da star dal vivo, i personaggi digitali si stanno facendo sempre più strada. Durante un summit a Zurigo, Ellin van der Velden, attrice, comica e tecnologa, ha annuncia...
La Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha aggiunto una vulnerabilità critica nella popolare utility Sudo, utilizzata su sistemi Linux e Unix-like, al suo catalog...
Negli ultimi anni gli attacchi informatici sono diventati una delle principali minacce per le aziende, indipendentemente dal settore. Se i reparti tecnici si concentrano sulla risoluzione dei problemi...
Nel 2025 l’Unione Europea vuole avere il controllo totale sulle chat private. Il Regolamento “Chat Control” (proposta COM(2022)209) promette di combattere la pornografia minorile con la scansion...
