Data breach e password in chiaro: il Garante Privacy sanziona The European House Ambrosetti per 85.000 euro

NIS2

Supply chain e NIS2: come classificare i fornitori ICT critici Guida pratica alla Determinazione ACN 127437/2026 – Scadenza 31 maggio 2026

Maggio 20, 2026
gdpr

GARANTE PRIVACY – Foto del paziente senza consenso: multa da 5.000 euro

Giugno 4, 2026
NIS2

Supply chain e NIS2: come classificare i fornitori ICT critici Guida pratica alla Determinazione ACN 127437/2026 – Scadenza 31 maggio 2026

Maggio 20, 2026
gdpr

GARANTE PRIVACY – Foto del paziente senza consenso: multa da 5.000 euro

Giugno 4, 2026
gdpr

Un data breach con gravi carenze nella gestione della sicurezza delle password ha portato il Garante Privacy a irrogare una sanzione di 85.000 euro a The European House โ€“ Ambrosetti Spa. Il provvedimento, pubblicato nella Newsletter N. 547 del 21 maggio 2026, riguarda una violazione che ha coinvolto 61.670 persone e mette in luce i rischi concreti legati a una gestione inadeguata dei dati personali ai sensi del GDPR.

Cosa รจ successo: un attacco che ha colpito 61.670 persone

L’incidente รจ riconducibile a un accesso non autorizzato ai sistemi informatici di Ambrosetti tramite una vulnerabilitร  tecnica. Gli aggressori hanno esfiltrato dati sensibili di oltre 61.000 persone, tra cui dipendenti di aziende clienti e personale interno. Le informazioni compromesse includevano nomi, cognomi, indirizzi email, username e password.

Tuttavia, ciรฒ che ha aggravato la situazione non รจ stato solo l’attacco in sรฉ, ma le carenze strutturali emerse durante l’istruttoria del Garante.

Le violazioni accertate dal Garante

Il Garante ha riscontrato tre criticitร  principali che hanno contribuito alla gravitร  dell’incidente:

  1. Password conservate in chiaro: una parte delle credenziali degli utenti era archiviata senza alcuna forma di cifratura, in aperta violazione delle best practice e dei requisiti di sicurezza previsti dal GDPR.
  2. Tecniche crittografiche non conformi: un’altra parte delle password era protetta con algoritmi obsoleti, non allineati agli standard di sicurezza piรน avanzati attualmente disponibili.
  3. Credenziali di sistemi dismessi ancora attive: l’azienda conservava ancora credenziali relative a sistemi non piรน in uso, in contrasto con i principi di limitazione della conservazione e di minimizzazione dei dati sanciti dal Regolamento europeo.

Comunicazione tardiva: una violazione che pesa

Nonostante il data breach sia stato notificato al Garante entro le 72 ore previste dalla normativa, la comunicazione agli interessati รจ avvenuta con ritardo. Di conseguenza, gli utenti coinvolti non hanno potuto adottare tempestivamente misure di protezione, come il cambio delle password compromesse. L’Autoritร  ha considerato questo elemento come un aggravante nella valutazione della sanzione.

Pertanto, il Garante ha concluso il procedimento con una sanzione complessiva di 85.000 euro, che tiene conto sia delle violazioni tecniche sia della gestione non adeguata della crisi.

Cosa deve imparare ogni organizzazione da questo caso

Il caso Ambrosetti รจ emblematico di un problema diffuso: molte organizzazioni investono nelle infrastrutture tecnologiche, ma trascurano le basi della sicurezza dei dati. Di conseguenza, si espongono a rischi legali e reputazionali significativi.

Alcune misure essenziali che ogni azienda dovrebbe adottare immediatamente:

  • Adottare algoritmi di hashing sicuri per le password (es. bcrypt, Argon2), eliminando qualsiasi conservazione in chiaro.
  • Effettuare revisioni periodiche delle credenziali attive, eliminando quelle legate a sistemi dismessi.
  • Predisporre un piano di risposta agli incidenti che includa procedure chiare per la comunicazione tempestiva agli interessati.
  • Effettuare vulnerability assessment e penetration test regolari per individuare le vulnerabilitร  prima che vengano sfruttate.

Conclusione: la conformitร  GDPR รจ una prioritร  strategica

Questo provvedimento del Garante conferma che la conformitร  al GDPR non รจ un adempimento formale, ma una necessitร  concreta per proteggere le persone e le organizzazioni. Inoltre, le sanzioni sono sempre piรน correlate non solo alla gravitร  della violazione, ma anche alla qualitร  delle misure preventive adottate.

GetSolution supporta le organizzazioni nella valutazione e nel rafforzamento delle misure di sicurezza dei dati, dalla revisione delle policy di gestione delle credenziali alla predisposizione di piani di risposta agli incidenti conformi al GDPR

Comments are closed.