Supply chain e NIS2: come classificare i fornitori ICT critici Guida pratica alla Determinazione ACN 127437/2026 – Scadenza 31 maggio 2026
Maggio 20, 2026
Un data breach con gravi carenze nella gestione della sicurezza delle password ha portato il Garante Privacy a irrogare una sanzione di 85.000 euro a The European House – Ambrosetti Spa. Il provvedimento, pubblicato nella Newsletter N. 547 del 21 maggio 2026, riguarda una violazione che ha coinvolto 61.670 persone e mette in luce i rischi concreti legati a una gestione inadeguata dei dati personali ai sensi del GDPR.
Cosa è successo: un attacco che ha colpito 61.670 persone
L’incidente è riconducibile a un accesso non autorizzato ai sistemi informatici di Ambrosetti tramite una vulnerabilità tecnica. Gli aggressori hanno esfiltrato dati sensibili di oltre 61.000 persone, tra cui dipendenti di aziende clienti e personale interno. Le informazioni compromesse includevano nomi, cognomi, indirizzi email, username e password.
Tuttavia, ciò che ha aggravato la situazione non è stato solo l’attacco in sé, ma le carenze strutturali emerse durante l’istruttoria del Garante.
Le violazioni accertate dal Garante
Il Garante ha riscontrato tre criticità principali che hanno contribuito alla gravità dell’incidente:
- Password conservate in chiaro: una parte delle credenziali degli utenti era archiviata senza alcuna forma di cifratura, in aperta violazione delle best practice e dei requisiti di sicurezza previsti dal GDPR.
- Tecniche crittografiche non conformi: un’altra parte delle password era protetta con algoritmi obsoleti, non allineati agli standard di sicurezza più avanzati attualmente disponibili.
- Credenziali di sistemi dismessi ancora attive: l’azienda conservava ancora credenziali relative a sistemi non più in uso, in contrasto con i principi di limitazione della conservazione e di minimizzazione dei dati sanciti dal Regolamento europeo.
Comunicazione tardiva: una violazione che pesa
Nonostante il data breach sia stato notificato al Garante entro le 72 ore previste dalla normativa, la comunicazione agli interessati è avvenuta con ritardo. Di conseguenza, gli utenti coinvolti non hanno potuto adottare tempestivamente misure di protezione, come il cambio delle password compromesse. L’Autorità ha considerato questo elemento come un aggravante nella valutazione della sanzione.
Pertanto, il Garante ha concluso il procedimento con una sanzione complessiva di 85.000 euro, che tiene conto sia delle violazioni tecniche sia della gestione non adeguata della crisi.
Cosa deve imparare ogni organizzazione da questo caso
Il caso Ambrosetti è emblematico di un problema diffuso: molte organizzazioni investono nelle infrastrutture tecnologiche, ma trascurano le basi della sicurezza dei dati. Di conseguenza, si espongono a rischi legali e reputazionali significativi.
Alcune misure essenziali che ogni azienda dovrebbe adottare immediatamente:
- Adottare algoritmi di hashing sicuri per le password (es. bcrypt, Argon2), eliminando qualsiasi conservazione in chiaro.
- Effettuare revisioni periodiche delle credenziali attive, eliminando quelle legate a sistemi dismessi.
- Predisporre un piano di risposta agli incidenti che includa procedure chiare per la comunicazione tempestiva agli interessati.
- Effettuare vulnerability assessment e penetration test regolari per individuare le vulnerabilità prima che vengano sfruttate.
Conclusione: la conformità GDPR è una priorità strategica
Questo provvedimento del Garante conferma che la conformità al GDPR non è un adempimento formale, ma una necessità concreta per proteggere le persone e le organizzazioni. Inoltre, le sanzioni sono sempre più correlate non solo alla gravità della violazione, ma anche alla qualità delle misure preventive adottate.
GetSolution supporta le organizzazioni nella valutazione e nel rafforzamento delle misure di sicurezza dei dati, dalla revisione delle policy di gestione delle credenziali alla predisposizione di piani di risposta agli incidenti conformi al GDPR