Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca
Red Hot Cyber Academy

La trappola del “dato non sensibile”: l’errore che costa caro alle aziende

Stefano Gazzella : 1 Ottobre 2025 14:20

Un argomento meravigliosamente diffuso nel campo largo di chi svolge attività sui dati personali è quello di sottovalutare i rischi o non volerli guardare affatto è quello secondo cui non occorre farsi particolari problemi nel caso in cui siano trattati dati “non sensibili”. La premessa ontologica per la ricerca di soluzioni e correttivi in ambito di liceità e sicurezza è la capacità di farsi le giuste domande. Motivo per cui la propensione al troppo facile skip non può comporre una strategia funzionale o minimamente utile.

Certo, i dati sensibili esistono nel GDPR e richiamano elevate esigenze di protezione. Questo non comporta però che tutte le altre tipologie di dati (impropriamente chiamati comuni da chi ha proprio bisogno di creare categorie inutili) consentano di prescindere da una corretta gestione dei rischi a riguardo. Non sensibile non può in alcun caso significare “non protetto”, nemmeno attraverso il diaframma dell’interpretazione più spregiudicata che possa essere concepita.

Spregiudicatezza o incoscienza?

Mentre la spregiudicatezza consiste in comportamenti che selezionano opzioni di risparmio in spregio delle regole facendo pagare i costi di sicurezza agli interessati, la fonte dei comportamenti che portano a sottostimare l’importanza di proteggere ogni dato personale è spesso riconducibile ad una vera e propria carenza di consapevolezza. Attenzione: questa ipotesi non apre la porta a scenari meno gravi o in cui può essere configurabile un minore margine di responsabilità.

Sponsorizza la prossima Red Hot Cyber Conference!

Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference
Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. 
Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. 
Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.



Supporta RHC attraverso:
 

  1. L'acquisto del fumetto sul Cybersecurity Awareness
  2. Ascoltando i nostri Podcast
  3. Seguendo RHC su WhatsApp
  4. Seguendo RHC su Telegram
  5. Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber

Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.
 

Violare un dato non sensibile, ovverosia un semplice dato identificativo, può comportare conseguenze impattanti per l’interessato. Basti pensare che la maggior parte del phishing avviene con dati di contatto, con una probabilità di successo maggiore se si dispone di informazioni quali le abitudini di consumo o altre che possono essere espresse o dedotte ma che comunque non hanno una sensibilità rilevante. La possibilità di correlare informazioni ad un interessato, in concreto, lo espone infatti a maggiori rischi di subire furti di identità, frodi o una gamma di spiacevoli conseguenze che purtroppo compongono la quotidianità della vita digitale.

La disponibilità di questi dati per i cybercriminali deriva da attività di OSINT, ma anche dalla possibilità di reperire database violati. Database violati per effetto di azioni svolte impiegando semplici dati di contatto e che si arricchiscono attraverso violazioni ulteriori, aumentando l’efficacia delle successive campagne d’attacco.

Non essere consapevoli di tutto questo è, al giorno d’oggi, ingiustificabile per un’organizzazione che svolge attività su dati personali, a prescindere dalla data maturity.

Ragionare sull’utilizzo sostenibile dei dati personali.

L’aspetto della sicurezza e delle violazioni è dunque un argomento particolarmente convincente per non sottovalutare la protezione di tutti i dati personali, ma c’è un elemento ulteriore: la liceità dei trattamenti. Premesso che la sicurezza dei trattamenti è un obbligo previsto dal GDPR, ci sono infatti anche altre ipotesi di violazione ricorrenti che dovrebbero far ragionare proprio su quanto impattante sia violare le “regole del gioco” sin da principio, come ad esempio:

  • non informare in modo chiaro e completo gli interessati (=violare il principio di trasparenza);
  • aggirare le regole e non garantire i diritti (= violare il principio di correttezza);
  • raccogliere e trattare dati senza seguire una logica (= violare il principio di liceità, limitazione delle finalità e minimizzazione);
  • non cancellare mai i dati non più utili (= violare il principio di limitazione della conservazione).

Ovviamente, tutto questo porta alla creazione di database al di fuori di un controllo consapevole da parte dell’interessato. E costituisce facile opportunità di guadagno per i cybercriminali, dal momento che una mancanza di strategia qual è quella che può emergere dalle violazioni prese come esempio conduce ad un accumulo di dati senza creazione di valore. E in assenza di valore, non c’è percezione di alcun asset da dover proteggere.

La soluzione è quella di ragionare sull’impiego sostenibile del dato personale. La norma precisa e regola le responsabilità, ma un corretto approccio strategico sa ragionare secondo valore generato e non esclusivamente concentrandosi su componenti di costo come la ricerca di scuse o giustificazioni per fare il minimo necessario.

Altrimenti, si cade facilmente in trappole come quella della convinzione di dover proteggere o prestare attenzione ai soli dati sensibili. Con tutti i punti ciechi di gestione che portano all’inevitabile inadeguatezza delle misure predisposte.

Spoiler: gli interessati se ne accorgono. E difficilmente selezioneranno i servizi di chi non sa garantire un impiego sostenibile dei loro dati.

Stefano Gazzella
Privacy Officer e Data Protection Officer, è Of Counsel per Area Legale. Si occupa di protezione dei dati personali e, per la gestione della sicurezza delle informazioni nelle organizzazioni, pone attenzione alle tematiche relative all’ingegneria sociale. Responsabile del comitato scientifico di Assoinfluencer, coordina le attività di ricerca, pubblicazione e divulgazione. Giornalista pubblicista, scrive su temi collegati a diritti di quarta generazione, nuove tecnologie e sicurezza delle informazioni.

Lista degli articoli
Visita il sito web dell'autore

Articoli in evidenza

Un bug critico in VMware Aria Operations e VMware Tools utilizzato da mesi dagli hacker cinesi
Di Redazione RHC - 01/10/2025

Broadcom ha risolto una grave vulnerabilità di escalation dei privilegi in VMware Aria Operations e VMware Tools, che era stata sfruttata in attacchi a partire da ottobre 2024. Al problema è stato a...

Addio star di carne e ossa? Arriva Tilly Norwood, la prima attrice AI!
Di Redazione RHC - 30/09/2025

In un settore un tempo dominato da star dal vivo, i personaggi digitali si stanno facendo sempre più strada. Durante un summit a Zurigo, Ellin van der Velden, attrice, comica e tecnologa, ha annuncia...

Da user a root in un secondo! il CISA avverte: milioni di OS a rischio. Patchate!
Di Redazione RHC - 30/09/2025

La Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha aggiunto una vulnerabilità critica nella popolare utility Sudo, utilizzata su sistemi Linux e Unix-like, al suo catalog...

Gestione della crisi digitale: la comunicazione è la chiave tra successo o fallimento
Di Redazione RHC - 30/09/2025

Negli ultimi anni gli attacchi informatici sono diventati una delle principali minacce per le aziende, indipendentemente dal settore. Se i reparti tecnici si concentrano sulla risoluzione dei problemi...

Un’estensione barzelletta e cade Chat Control! Houston, abbiamo un problema… di privacy
Di Sergio Corpettini - 30/09/2025

Nel 2025 l’Unione Europea vuole avere il controllo totale sulle chat private. Il Regolamento “Chat Control” (proposta COM(2022)209) promette di combattere la pornografia minorile con la scansion...