Cybersecurity: come difendersi dai data breach
-
- Tweet
- Pin It
- Condividi per email
-
di Federica De Stefani, avvocato e responsabile Aidr Regione Lombardia
Sentiamo (sempre più) spesso parlare di data breach e la richiesta che ne deriva, quasi naturalmente, riguarda la possibilità di evitarlo o, quanto meno, di contenerlo. La risposta, purtroppo, è negativa, non è possibile evitare un data breach poiché il “rischio zero” non esiste. È certo possibile limitare le occasioni per cadere nella “trappola” dell’incidente informatico ed è altrettanto possibile limitare le conseguenze che ne derivano, ma questo è un discorso diverso.
Per comprendere il fenomeno del data breach, molto spesso identificato esclusivamente con un attacco hacker, è necessario comprendere di cosa si tratti.
Che cos’è il data breach?
Con il termine “data breach” si indica una violazione di sicurezza che comporta – acciden-talmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.
Come si vede un data breach può comportare la perdita di dati che non derivano da un attacco hacker, ma può derivare anche dalla perdita della diponibilità degli stessi, così come avviene nell’ipotesi in cui ci sia, per esempio, un furto di un device.
Quando si verifica il data breach?
Le tipologie di data breach sono piuttosto varie e quindi, a mero titolo esemplificativo, pos-siamo indicare come rientranti nella casistica l’accesso o l’acquisizione dei dati da parte di terzi non autorizzati, il furto o la perdita di dispositivi informatici contenenti dati personali, l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware, ecc, la deliberata alterazione di dati personali, la perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità, la divulgazione non autorizzata dei dati personali.
Dove si può verificare un data breach?
Un data breach, inteso, come detto, come violazione che incide sulla disponibilità, integrità e riservatezza dei dati, può riguardare qualsiasi ambito, sia fisico sia digitale.
Si pensi, per esempio, alla distruzione di un archivio cartaceo, o al furto di documenti o, ancora, alla manomissione e all’alterazione degli stessi.
Chi sono i soggetti interessati da un data breach?
Un data breach rappresenta un evento che, a seconda delle caratteristiche specifi-che del singolo caso, può coinvolegere soggetti diversi.
Il titolare del trattamento è colui che, a norma dell’art. 33 GDPR, si deve attivare senza in-giustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a cono-scenza, per notificare la violazione al Garante per la protezione dei dati personali, salva l’ipotesi in cui sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche. Al contrario, qualora la violazione presenti rischi elevati per i diritti e le libertà delle persone fisiche, il titolare, sempre senza ritardo, deve anche provvedere a informare gli interessati. Nel caso in cui sia stato nominato un Re-sponsabile del trattamento quando questi venga a conoscenza di una violazione, è tenuto a informare tempestivamente il titolare in modo che possa attivarsi.
Quali sono le cause di un data breach?
Come detto il data breach è violazione di sicurezza che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati trattati e questo significa, nella pratica, che le misure di sicurezza adottate non hanno funzionato. Non bisogna tuttavia cadere nell’errore di associare automaticamente il data breach all’adeguatezza delle misure adottate per farne derivare sic et simplicter una responsabilità (oggettiva) del titolare del trattamento. La questione è ben più complessa, posto che il GDPR non prevede una responsabilità di questo genere in capo al titolare, ma prevede la possibilità per lo stesso di dimostrare di aver fatto tutto quanto in suo potere per proteggere i dati trattati.
Il fattore umano e l’importanza della formazione
Se da un lato l’evento data breach non può essere totalmente eliminato, in quanto, come anticipato, il rischio zero non esiste, dall’altro è necessario interrogarsi sulle strategie e sulle misure da adottare per limitare al massimo il rischio.
Al di là delle misure tecniche e organizzative “adeguate”, così nella terminologia del Regolamento europeo, una parte importante della prevenzione è rappresentata dalla formazione del personale.
Ad oggi il fattore umano rappresenta ancora un tallone d’Achille piuttosto diffuso in moltissime realtà, anche strutturate e di grandi dimensioni.
La mancanza di adeguata e specifica formazione, l’assenza di policy adeguate sull’utilizzo degli strumenti informatici e sulle procedure, sono ancora oggi cause piuttosto diffuse di data breach.
Il nodo della questione è rappresentato non solo dalla tipologia di protezione adottata, ma anche dalle modalità di applicazione delle stesse, dall’aggiornamento e dalla formazione specifica data ai soggetti che trattano i dati.
Non si deve infatti dimenticare che la compliance deve svolgersi a più livelli, deve essere trasversale e non può riguardare solo il lato tecnico e la cybersecurity, ma anche l’aspetto organizzativo e procedurale per quanto attiene al c.d. fattore umano.
Contenuti correlati
-
Avvicendamento al CINI Cybersecurity National LabLa Direzione del CINI Cybersecurity National Lab rivolge i migliori auguri di buon lavoro al nuovo Direttore Generale dell’Agenzia per la Cybersicurezza Nazionale (ACN), Andrea Quacivi, rinnovando la piena disponibilità a proseguire e rafforzare la collaborazione istituzionale...
-
Ricerca di Rockwell Automation: i produttori italiani sono sempre più orientati all’esecuzione e alla crescitaRockwell Automation ha annunciato i risultati relativi all’Italia dell’11ª edizione del suo State of Smart Manufacturing Report. La ricerca evidenzia un cambiamento nell’approccio dei produttori italiani alla trasformazione digitale: oggi, infatti, crescita ed espansione della capacità produttiva...
-
Si delinea il programma di secsolutionforum 2026Secsolutionforum 2026 torna in presenza il 7 e 8 ottobre 2026 a BolognaFiere, all’interno di Urban Tech 2026 – The Urban Technology Show, l’ecosistema dedicato a e-mobility, traffic, commuting, tlc & data ed environment. Dopo sei edizioni...
-
Manifatturiero italiano sotto attacco: ecco il paradosso che i dati non raccontano
“Never touch a running system”: è il principio non scritto che governa la gestione dei macchinari in molti stabilimenti italiani. Non per resistenza al cambiamento, ma perché ogni intervento può avere un costo operativo immediato e, a volte,...
-
Tra crescente consapevolezza e incompleta maturitàLe aziende italiane aumentano l’attenzione alla cybersecurity, ma restano divari operativi, soprattutto nelle PMI. Tra minacce sempre più evolute e nuove tecnologie, emerge la necessità di un approccio strutturato, resiliente e orientato al modello Zero Trust Leggi...
-
Il punto debole dell’industria? La sicurezza OTMinacce cyber in aumento e nuove normative spingono la sicurezza OT al centro delle strategie industriali. Tra ritardi organizzativi e nuove tecnologie, le aziende devono evolvere per proteggere asset critici e continuità operativa Leggi l’articolo
-
Difendere le reti IT-OTLa convergenza sempre più spinta fra reti IT e OT, così come la diffusione di sistemi di industrial IoT hanno reso più che mai cruciale proteggere la comunicazione dati con dispositivi di sicurezza sia a livello hardware...
-
SPS Italia, un ecosistema di contenuti e soluzioni per la fabbrica del futuroÈ iniziato il conto alla rovescia per la quattordicesima edizione di SPS Italia, che si sviluppa su sei padiglioni e propone una panoramica sulle tecnologie abilitanti per la fabbrica e sui trend che guidano la trasformazione della...
-
Proofpoint inaugura il suo Centro di Innovazione Europeo a ParigiProofpoint, azienda esperta di cybersicurezza e compliance, annuncia l’apertura del Centro di Innovazione a Parigi, che segna un passo significativo nel continuo investimento dell’azienda in innovazione e ricerca e sviluppo in Europa. Il centro è stato inaugurato con...
-
Adaptit presenta la piattaforma IoT interoperabile EYEvNEXTDopo il debutto nel mercato italiano, Adaptit amplia la propria presenza nel settore delle infrastrutture critiche e della sicurezza OT annunciando EYEvNEXT, una nuova piattaforma interoperabile progettata per trasformare il modo in cui aziende pubbliche e private monitorano,...
Scopri le novità scelte per te
-
Avvicendamento al CINI Cybersecurity National Lab
La Direzione del CINI Cybersecurity National Lab rivolge i migliori auguri di buon lavoro al nuovo Direttore...
-
Ricerca di Rockwell Automation: i produttori italiani sono sempre più orientati all’esecuzione e alla crescita
Rockwell Automation ha annunciato i risultati relativi all’Italia dell’11ª edizione del suo State of Smart Manufacturing Report....
Notizie Tutti ▶
-
DigiKey si aggiudica 29 prestigiosi riconoscimenti dai suoi partner fornitori all’EDS Leadership Summit 2026DigiKey ha ricevuto 29 riconoscimenti dai suoi partner fornitori in occasione dell’EDS Leadership Summit 2026,...
-
10 anni di trasformazione Zero Trust: Zscaler e Alstom insiemeZscaler ha annunciato oggi l’estensione della partnership con Alstom, attore attivo a livello globale...
-
TXT e-tech guida il progetto DART per l’innovazione del settore difesa nell’Unione EuropeaIl Gruppo TXT annuncia di aver ottenuto la guida del progetto DART – Digital Architecture...
Prodotti Tutti ▶
-
Presentata a SPS Italia 2026 la nuova piattaforma Ewon Edge & Cloud di HMS NetworksIn occasione di SPS Italia 2026, la fiera di riferimento per l’automazione e il...
-
XIA, il copilota di TEX per la programmazione di PLC e CNCXIA è l’avanguardia tecnologica nata dalla visione di TEX. Non è un semplice assistente virtuale,...
-
HP celebra dieci anni di innovazione nell’additive manufacturing e presenta la stampante 3D HP MJF 1200In occasione di RAPID + TCT 2026, HP ha presentato diverse novità nel proprio...
