Il provvedimento con cui il Garante Privacy ha sanzionato The European House – Ambrosetti va oltre il tema del semplice data breach.
Tra password conservate in chiaro, sistemi legacy e disclosure ritardate per timori reputazionali, la decisione dell’Autorità fotografa un problema ancora
profondamente culturale: la difficoltà di considerare la trasparenza verso gli interessati come un diritto da garantire e non come un rischio reputazionale da gestire.
Il provvedimento del Garante: cosa è successo
Il provvedimento del Garante Privacy nei confronti di The European House – Ambrosetti (uno dei principali attori italiani nell’ambito della consulenza strategica, della formazione manageriale e dell’analisi dei processi di trasformazione economica e digitale) nasce da una violazione di dati
personali notificata dalla società nell’aprile 2024 a seguito di un accesso non autorizzato ai propri sistemi.
L’attacco aveva comportato l’esfiltrazione di credenziali di autenticazione relative a diversi servizi online e piattaforme utilizzate dalla società per attività di formazione, eventi e contenuti professionali.
Nel corso dell’istruttoria, è emerso che circa 98mila password erano conservate mediante algoritmi di hashing considerati non più adeguati, come MD5 (una funzione di crittografia utilizzata per trasformare le password in stringhe cifrate ma considerata da anni non più sicura per
la conservazione delle credenziali, perché vulnerabile ad attacchi di cracking e forza bruta). Invece circa 36mila risultavano addirittura conservate in chiaro.
Il Garante ha inoltre rilevato la presenza di:
- credenziali riferite a sistemi non più in uso;
- vulnerabilità applicative legate a SQL injection (cioè una tecnica di attacco che consente di manipolare le query ai database sfruttando controlli insufficienti sugli input inseriti dagli utenti);
- e una comunicazione tardiva agli interessati coinvolti, effettuata soltanto dopo uno specifico provvedimento correttivo dell’Autorità.
Particolarmente rilevante, secondo il Garante, è stato il fatto che la società avesse inizialmente escluso la necessità di informare gli interessati, anche sulla base di valutazioni legate all’impatto reputazionale della vicenda.
Al termine del procedimento, il Garante ha contestato la violazione degli articoli 5, 32 e 34 del GDPR, sanzionando la società con una multa da 85mila euro.
Il provvedimento del Garante è di natura culturale e non tecnica
A colpire davvero nel provvedimento con cui il Garante Privacy ha sanzionato The European House – Ambrosetti non è il fatto che un’azienda subisca un attacco informatico.
Se il data breach è ormai un evento fisiologico della vita digitale delle organizzazioni, ad essere interessanti sono le priorità che emergono dopo, le valutazioni che vengono fatte, il modo in cui il management decide di bilanciare reputazione aziendale, continuità operativa e diritti degli interessati.
Il cuore del provvedimento del Garante è infatti di natura culturale più che meramente tecnica.
Durante il procedimento, la società ha spiegato che tra gli elementi che avevano inciso sul ritardo nella comunicazione agli interessati vi erano i “possibili rischi reputazionali” derivanti dall’invio della comunicazione stessa, in un momento particolarmente delicato per il gruppo, impegnato sia
nell’organizzazione del Forum di Cernobbio sia in una complessa fase di riorganizzazione societaria.
Una frase che racconta molto più di quanto sembri, perché rende esplicito ciò che spesso rimane implicito nella gestione delle violazioni di dati personali: il data breach continua a essere percepito innanzitutto come un problema reputazionale e solo successivamente come una questione di
tutela dei diritti fondamentali.
Il Garante sottolinea che l’avere fatto prevalere motivi reputazionali sui diritti degli interessati costituisce un indice di mancato rispetto del principio di accountability.
Il tempo della trasparenza non appartiene all’azienda
Il provvedimento mostra come le fragilità nella gestione della sicurezza e, soprattutto, nella tutela degli interessati durante una crisi cyber non riguardino soltanto realtà marginali o tecnologicamente immature, ma possono emergere anche in contesti che fanno della governance, dell’innovazione e della cultura manageriale elementi centrali della propria identità.
La questione centrale del provvedimento riguarda il modo in cui la società ha gestito il tempo della comunicazione verso gli interessati.
Nel corso del procedimento è emerso infatti come il ritardo nella comunicazione sia stato influenzato da valutazioni legate all’impatto reputazionale che la vicenda avrebbe potuto avere in una fase particolarmente delicata per il gruppo.
Si tratta di un passaggio che fotografa una dinamica molto diffusa nella gestione contemporanea delle crisi cyber: il data breach viene spesso trattato come evento da governare sul piano mediatico e reputazionale.
Per questo motivo, anche il timing della disclosure rischia di trasformarsi in uno strumento di crisis management.
Si prende tempo, si approfondisce, si cerca di comprendere l’effettiva portata dell’incidente. Ma nel frattempo si valuta anche il potenziale impatto sul brand, sul business, sugli stakeholder e sulla narrativa pubblica della vicenda.
Tutto ciò è in linea di massima comprensibile. Tuttavia il GDPR ragiona secondo una logica completamente diversa.
Il tempo della comunicazione non appartiene infatti all’organizzazione, bensì agli interessati coinvolti.
La disclosure serve a consentire alle persone di proteggersi.
Il diritto all’autodifesa digitale
Il Garante sottolinea infatti che il rischio derivante dalla compromissione delle credenziali riguarda anche la possibilità che gli utenti abbiano riutilizzato password identiche o simili su altri servizi online.
Questo significa che la comunicazione agli interessati rappresenta un vero e proprio strumento di autodifesa digitale.
Sapere tempestivamente che le proprie credenziali sono state compromesse consente infatti agli utenti di modificare password riutilizzate, attivare misure di sicurezza ulteriori, verificare eventuali accessi anomali e ridurre il rischio di account takeover o credential stuffing.
Quando la comunicazione viene ritardata, il danno non è soltanto procedurale.
Si sottrae tempo agli interessati per proteggere il proprio ecosistema digitale personale.
E il Garante conferma che il diritto alla protezione dei dati personali include anche il diritto a reagire tempestivamente alla compromissione dei propri dati.
Password in chiaro nel 2026: il problema è culturale
L’aspetto più simbolicamente “devastante” del provvedimento rimane in ogni caso la gestione delle password.
Secondo il Garante, circa 98mila password risultavano protette tramite MD5, mentre circa 36mila erano addirittura conservate in chiaro.
MD5 è da anni considerato inadeguato per scenari di password storage, e la conservazione in chiaro rappresenta qualcosa che, nel 2026, appare quasi
archeologia informatica.
Il Garante, oltre a rilevare la debolezza tecnica delle misure adottate, costruisce poi un ragionamento più sofisticato sul rischio concreto per gli interessati.
La società aveva sostenuto che il rischio fosse trascurabile, evidenziando che numerosi account erano inattivi, che i sistemi erano stati dismessi e che le password, in molti casi, erano obsolete.
L’Autorità adotta invece una prospettiva molto più aderente alle logiche degli attacchi…
#Adessonews seleziona nella rete articoli di particolare interesse.
Se vuoi leggere l’articolo completo clicca sul seguente link
Tania Orrù
Source link
