14 aprile 2026 · Dott. Pietro Cravero

Data Breach GDPR: Cosa Fare nelle Prime 72 Ore

Hai scoperto una possibile violazione dei dati personali. Un'email inviata al destinatario sbagliato con un allegato riservato. Un ransomware che ha cifrato i server. Un dipendente che ha perso un laptop con dati clienti. Cosa devi fare, subito?

Il tempo stringe: il GDPR ti dà 72 ore per notificare al Garante, se necessario. In questa guida ti spiego cosa fare operativamente in ognuna di queste ore, come valutare la gravità, quando informare gli interessati e come limitare il danno.

Cos'è un data breach

L'art. 4 del GDPR definisce la violazione dei dati personali come "la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati."

Nella pratica, sono data breach:

• Ransomware o malware che cifra o ruba dati
• Hacking del sito web o del gestionale con esfiltrazione di dati
• Email inviata al destinatario sbagliato con dati personali di altri
• Laptop, chiavetta USB o smartphone aziendale smarriti o rubati
• Accesso non autorizzato al sistema da parte di un ex dipendente
• Errore umano che espone dati online (es. cartella condivisa resa pubblica)
• Furto di documenti cartacei con dati personali
• Distruzione accidentale di dati senza backup

Le prime ore: cosa fare subito

Ore 0-2: contenere

La prima priorità è fermare la violazione e limitare il danno. Azioni immediate:

• Se l'email è partita al destinatario sbagliato: contatta il destinatario per chiederne la cancellazione immediata. Documenta la richiesta.
• Se c'è un attacco informatico in corso: isola i sistemi compromessi, scollega dalla rete, blocca gli accessi.
• Se un dispositivo è stato rubato: cambia immediatamente le credenziali dell'utente, blocca l'accesso remoto, attiva la cancellazione da remoto se possibile.
• Se l'accesso è stato ottenuto da credenziali compromesse: revoca tutte le sessioni attive, forza il cambio password, attiva MFA se non presente.

Ore 2-12: documentare

Raccogli tutte le informazioni sull'evento:

• Quando è avvenuta la violazione (data e ora, anche approssimative)
• Quando è stata scoperta
• Come è avvenuta (tecnica utilizzata, vulnerabilità sfruttata, errore umano)
• Quali categorie di dati sono state coinvolte (anagrafici, di contatto, sanitari, finanziari, credenziali)
• Quanti interessati sono stati potenzialmente coinvolti
• Chi ha avuto o potrebbe aver avuto accesso ai dati
• Quali misure sono state adottate per contenere la violazione

Ore 12-24: valutare la gravità

Non tutti i data breach vanno notificati al Garante. La notifica è obbligatoria solo se la violazione "presenta un rischio per i diritti e le libertà delle persone fisiche" (art. 33). Fattori da valutare:

• Natura dei dati: dati anagrafici standard hanno un rischio inferiore rispetto a dati finanziari, sanitari o credenziali
• Volume: una email a una persona sbagliata è diversa da un ransomware che cifra 10.000 record
• Conseguenze per gli interessati: possibili danni reputazionali, finanziari, discriminatori
• Contesto: dati di minori o soggetti vulnerabili aumentano il rischio
• Misure di mitigazione: dati cifrati o pseudonimizzati riducono il rischio

In caso di dubbio, la prassi prudenziale è notificare. Il Garante valuta positivamente la trasparenza.

Ore 24-72: notificare al Garante (se necessario)

Se la violazione presenta un rischio per gli interessati, vai notificata al Garante entro 72 ore dalla scoperta. La notifica avviene tramite procedura online sul sito del Garante e deve contenere:

• Descrizione della natura della violazione
• Categorie e numero approssimativo di interessati coinvolti
• Categorie e numero approssimativo di record coinvolti
• Dati di contatto del DPO o del referente
• Probabili conseguenze della violazione
• Misure adottate o proposte per porre rimedio e per attenuare gli effetti

Se non è possibile fornire tutte le informazioni entro 72 ore, la notifica può essere fatta in fasi, fornendo le informazioni ulteriori man mano che sono disponibili.

Quando informare anche gli interessati

L'art. 34 prevede che, se la violazione "è suscettibile di presentare un rischio elevato" per i diritti e le libertà delle persone fisiche, il Titolare deve comunicare la violazione anche agli interessati senza ingiustificato ritardo.

La comunicazione agli interessati è obbligatoria tipicamente quando:

• Sono stati compromessi dati finanziari (carte di credito, IBAN)
• Sono state rubate credenziali di accesso (username e password)
• Sono stati compromessi dati sanitari o particolari
• C'è un rischio concreto di furto d'identità
• Gli interessati devono adottare misure per proteggersi (cambio password, monitoraggio conti)

La comunicazione agli interessati deve essere in un linguaggio chiaro e semplice, indicare la natura della violazione, i possibili effetti, le misure adottate e le raccomandazioni per gli interessati (es. "cambia subito la password").

La procedura data breach scritta

Un errore comune è aspettare il data breach per capire cosa fare. È troppo tardi. La procedura deve essere pronta e testata prima che l'evento accada.

La procedura scritta deve indicare: chi viene informato subito internamente (direzione, DPO, IT, legale), chi decide se notificare al Garante, chi redige la notifica, chi comunica agli interessati, chi gestisce la comunicazione stampa (per eventi gravi), chi documenta tutto l'evento per il registro data breach.

Il registro dei trattamenti va accompagnato da un registro delle violazioni (art. 33, comma 5) che documenta tutti i data breach rilevati, comprese quelle NON notificate al Garante (perché non a rischio), con la motivazione della decisione.

Gli errori da evitare

• Non notificare per paura della sanzione: la mancata notifica è essa stessa sanzionabile, e se il Garante scopre la violazione attraverso altre vie (un reclamo, i media), la posizione del Titolare peggiora drasticamente
• Aspettare troppo: le 72 ore partono dalla scoperta, non dalla comprensione completa. Meglio una notifica parziale in tempo che una completa in ritardo
• Comunicare agli interessati senza strategia: email generiche e allarmistiche aggravano il danno. La comunicazione va preparata con cura
• Non documentare: tutto deve essere scritto, con date e orari. Serve sia per la notifica sia per difendersi in caso di controllo
• Ignorare gli incidenti "piccoli": anche un'email al destinatario sbagliato è un data breach. Va documentata nel registro violazioni, anche se non notificata.

Il costo di un data breach non gestito

Le sanzioni per data breach non notificati rientrano nella fascia fino a 10 milioni di euro o il 2% del fatturato. Ma il vero costo di un data breach mal gestito è reputazionale: la perdita di fiducia dei clienti è spesso più grave della sanzione. Studi internazionali stimano che il costo medio di un data breach per PMI sia tra i 100.000 e i 500.000 euro, considerando sanzioni, perdita di clienti, costi tecnici di risposta e legali.