Il 21 maggio 2026 il Garante per la protezione dei dati personali ha pubblicato un provvedimento destinato a diventare un riferimento per chiunque gestisca credenziali utente e procedure di incident response. La sanzione data breach Ambrosetti ammonta a 85.000 euro e colpisce The European House – Ambrosetti, società di consulenza strategica e think tank organizzatore del Forum di Cernobbio. Il provvedimento nasce da una violazione dei dati avvenuta nell'aprile 2024, che ha coinvolto 61.670 persone tra dipendenti di aziende clienti e personale interno che utilizzavano i servizi online della società.
L'aspetto che rende questo caso particolarmente significativo non è l'importo, contenuto rispetto ad altre sanzioni recenti, ma la natura dei rilievi mossi dall'Autorità. Il Garante ha contestato due profili distinti e indipendenti: l'inadeguatezza delle misure tecniche di sicurezza, in particolare nella gestione delle password, e il ritardo ingiustificato con cui la società ha informato gli interessati della violazione. Su questo secondo punto, il provvedimento contiene un'affermazione di principio che merita attenzione: le esigenze reputazionali di un'organizzazione non possono prevalere sui diritti delle persone coinvolte.
🛠️ Come è avvenuto l'attacco e cosa è stato esfiltrato
L'attacco informatico, riconducibile a un accesso non autorizzato ai sistemi, è stato veicolato attraverso una vulnerabilità di tipo SQL injection su un database collegato a circa dieci applicativi differenti. Si tratta di una tipologia di attacco nota da oltre vent'anni, per la quale esistono contromisure consolidate a livello di sviluppo applicativo. La superficie di esposizione, ampliata dal collegamento del database a più sistemi, ha determinato un impatto rilevante in termini di dati esfiltrati.
Gli accertamenti hanno consentito di ricostruire l'ambito della violazione: in una prima fase gli interessati potenzialmente coinvolti erano stati stimati in 134.303, poi ridotti a 61.670 dopo attività di verifica e deduplicazione. Le categorie di dati esfiltrati comprendono nomi, cognomi, indirizzi email, username e password.
🔐 Perché il Garante ha bocciato la gestione delle password
Il cuore tecnico del provvedimento riguarda la gestione delle credenziali. Le verifiche dell'Autorità hanno fatto emergere una situazione che fotografa, con dati alla mano, perché la conformità formale non basta. Le criticità contestate sono concrete e riconducibili a violazione dell'art. 32 GDPR sulle misure adeguate al rischio:
- circa 36.000 password risultavano conservate in chiaro, senza alcuna forma di protezione crittografica
- circa 98.000 password erano protette con hashing MD5, algoritmo non più considerato adeguato per la conservazione di credenziali e non sempre accompagnato da salt
- venivano conservate credenziali relative a sistemi non più in uso, superati da interventi di aggiornamento completati tra il 2020 e il 2022, in violazione del principio di limitazione della conservazione (art. 5, par. 1, lett. e GDPR)
Il messaggio sottostante è netto: l'aggiornamento delle tecniche di protezione delle credenziali non è una questione opinabile o rinviabile, ma un obbligo che il Garante valuta nel concreto. Anche aziende strutturate possono trascinare nel tempo configurazioni superate, e proprio questa dimenticanza può tradursi in una contestazione.
🕒 La comunicazione agli interessati: due mesi sono troppi
Il secondo profilo di contestazione è altrettanto interessante. La società aveva notificato il data breach al Garante entro le 72 ore previste dall'art. 33 GDPR, adempiendo correttamente a quell'obbligo. Il problema riguarda l'art. 34, che impone la comunicazione diretta agli interessati quando la violazione presenta un rischio elevato per i loro diritti e libertà. In presenza di credenziali esfiltrate, quel rischio è praticamente presunto.
Ambrosetti ha invece comunicato l'incidente agli interessati con circa due mesi di ritardo rispetto alla scoperta, e soltanto dopo un provvedimento correttivo del Garante. La comunicazione diretta ha raggiunto 54.917 interessati, mentre per gli altri sono stati utilizzati canali residuali come sito web, social, comunicati stampa e avvisi alle società clienti. Durante l'audizione la società aveva motivato il ritardo con il timore di ricadute reputazionali, citando in particolare la cinquantesima edizione del Forum di Cernobbio e cambiamenti nell'assetto societario.
⚖️ Il principio affermato: la reputazione non viene prima degli utenti
La risposta del Garante su questo punto è il passaggio del provvedimento con maggiore portata sistemica. L'Autorità ha chiarito che le esigenze reputazionali di un'organizzazione non possono prevalere sui diritti delle persone coinvolte. La comunicazione agli interessati non è un atto di comunicazione istituzionale modulabile in base all'agenda dell'azienda, ma un adempimento autonomo, finalizzato a consentire alle persone di adottare misure di protezione: cambiare le password riutilizzate su altri servizi, attivare l'autenticazione a due fattori, monitorare attività sospette, prestare attenzione a tentativi di phishing mirati che spesso seguono i breach.
Questo passaggio chiarisce un dubbio che molte aziende si pongono in fase di crisi: quando un breach è grave, non esiste un margine discrezionale per dosare la comunicazione. Esiste solo l'obbligo di farla, tempestivamente, e in forma diretta verso le persone esposte.
📌 Cosa fare per non trovarsi nella stessa situazione
Il provvedimento contiene anche un elenco implicito di interventi che ogni titolare del trattamento dovrebbe verificare nella propria organizzazione. Non come adempimento formale, ma come architettura di sicurezza e governance:
- audit periodico sugli algoritmi di hashing utilizzati per le credenziali e migrazione verso standard aggiornati (bcrypt, Argon2, scrypt con parametri attuali)
- mappatura dei sistemi attivi e dismissione effettiva delle credenziali riferite a piattaforme non più operative
- test di sicurezza applicativa periodici, con attenzione specifica a vulnerabilità note come SQL injection sui database connessi a più applicativi
- procedura di incident response che includa template e tempistiche per la comunicazione agli interessati, definite prima dell'incidente e non costruite sotto pressione
- una linea di confine chiara tra valutazioni reputazionali e adempimenti di legge, gestita da chi ha competenza giuridica autonoma rispetto al management
Dopo l'incidente Ambrosetti ha dichiarato di aver avviato un percorso per la certificazione ISO/IEC 27001, rafforzato la selezione dei fornitori ICT, introdotto nuove iniziative formative e interrotto il rapporto con il precedente DPO. È un pacchetto di interventi coerente, ma arrivato dopo la sanzione: la differenza tra costruire questa struttura prima o dopo un breach è esattamente la distanza tra prevenzione e contenimento del danno.
La distanza tra una violazione contenuta e un incidente sistemico si misura nella qualità delle scelte fatte prima dell'attacco: algoritmi di hashing aggiornati, dismissione effettiva delle credenziali superate, procedure di comunicazione agli interessati già pronte e validate. Mantenere queste componenti allineate ai trattamenti reali, e separarle dalle valutazioni reputazionali quando l'incidente si verifica, è parte del lavoro di chi presidia la governance privacy di un'organizzazione strutturata. Sul piano documentale, la solidità della risposta a un breach dipende dall'esistenza preventiva di una mappatura dei trattamenti aggiornata, dalle nomine ai fornitori ICT e da template di incident response pensati a freddo, non sotto pressione.
#databreach #ambrosetti #incidentresponse #sicurezzainformatica #gdpr
