Questo articolo è realizzato dall’Osservatorio Cybersecurity & Data Protection. Al suo interno si approfondiscono definizione, rischi e strategie di prevenzione dei data breach, uno dei fenomeni più critici per la sicurezza informatica delle imprese.
Un data breach, o violazione dei dati, è molto più di un semplice attacco informatico. Secondo la definizione del GDPR (Regolamento Europeo per la Protezione dei Dati Personali), si tratta di una “violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.
È fondamentale comprendere che un data breach non è necessariamente un evento doloso. La violazione può verificarsi anche accidentalmente, attraverso errori umani, malfunzionamenti tecnici o eventi naturali. Questo aspetto è cruciale, perché amplia notevolmente la casistica di situazioni che possono configurarsi come violazioni dei dati.
Un data breach può compromettere una o più dimensioni fondamentali dei dati:
Le violazioni possono manifestarsi in diverse forme. Gli attacchi hacker, che rappresentano i metodi più comuni, non costituiscono una categoria a sé di minacce, ma piuttosto l’azione attraverso cui una violazione si realizza. Si tratta di operazioni offensive condotte da individui o gruppi che sfruttano vulnerabilità nei sistemi informatici per raggiungere un obiettivo illecito (come ottenere accesso non autorizzato, sottrarre dati o compromettere infrastrutture).
Gli strumenti o mezzi utilizzati per portare a termine queste azioni sono molteplici e variano in funzione della tecnica, della complessità e delle finalità dell’attacco. Di seguito un riepilogo delle principali tipologie di strumenti e modalità di attacco:
Non meno pericolose sono le fughe interne, quando dipendenti o collaboratori con accesso privilegiato abusano della loro posizione. La perdita o il furto di dispositivi contenenti dati non crittografati, gli errori umani nella gestione delle informazioni e le carenze di sicurezza dei sistemi completano il quadro delle principali tipologie di violazione.
Le conseguenze di un data breach vanno ben oltre la semplice perdita di dati, configurandosi come un evento potenzialmente devastante per qualsiasi organizzazione. L’impatto si manifesta su molteplici livelli, ognuno dei quali può compromettere seriamente la continuità operativa e la reputazione aziendale.
Sul fronte finanziario, i costi sono spesso sottostimati dalle organizzazioni. Oltre alle sanzioni del GDPR – che possono arrivare fino a 10 milioni di euro o al 2% del fatturato annuo mondiale –, le aziende devono sostenere spese per l’incident response e l’investigazione forense, per la notifica alle autorità e la comunicazione agli interessati, per il ripristino dei sistemi compromessi. A questi si aggiungono le consulenze legali per gestire le implicazioni normative, i risarcimenti a clienti e partner danneggiati, e i costi per il monitoraggio del credito degli utenti coinvolti. Stando ai dati riportati nel Rapporto Clusit 2026, il costo medio di un data breach nel 2025 ha superato i 4 milioni di euro per le medie imprese edili.
Il danno alla reputazione è spesso l’impatto più duraturo di un data breach. La perdita di fiducia dei clienti può tradursi nell’abbandono del servizio da parte dei clienti esistenti, in difficoltà nell’acquisizione di nuovi clienti, nella riduzione del valore del brand e della quota di mercato. L’impatto negativo si estende ai partner commerciali e ai fornitori, mentre le difficoltà nel reclutamento di talenti, soprattutto in ambito IT, possono compromettere la capacità di innovazione aziendale.
Le conseguenze operative sono altrettanto gravi. Le violazioni dei dati possono causare interruzioni dei servizi e delle attività produttive, perdite di produttività durante il ripristino dei sistemi, necessità di riorganizzare processi e procedure, oltre all’incremento dei costi operativi per implementare nuove misure di sicurezza.
Non bisogna dimenticare che i data breach comportano rischi concreti anche per le persone i cui dati sono stati compromessi. Il furto di identità e l’uso fraudolento delle informazioni personali, le frodi finanziarie attraverso l’uso improprio di dati bancari, i ricatti basati su informazioni sensibili trafugate, le discriminazioni derivanti dalla divulgazione di dati sanitari e la violazione della privacy con impatti sulla sfera personale e professionale rappresentano conseguenze che vanno oltre il danno puramente economico.
La prevenzione dei data breach richiede un approccio olistico, che vada oltre la semplice implementazione di strumenti tecnologici. Come evidenziato dalla ricerca dell’Osservatorio, il 96% dei CISO italiani identifica nel fattore umano il principale elemento di rischio per la Cybersecurity.
La gestione del fattore umano è diventata prioritaria. Deve coprire phishing, ingegneria sociale, gestione delle password e procedure di sicurezza, personalizzandosi in base ai ruoli e aggiornandosi costantemente per affrontare le minacce emergenti.
Le simulazioni pratiche, come i test di phishing controllati e le esercitazioni, permettono ai dipendenti di sperimentare situazioni reali in un ambiente sicuro, rafforzando la preparazione. L’obiettivo è trasformare la Cybersecurity da obbligo a valore condiviso, coinvolgendo tutti i livelli aziendali nella protezione dei dati attraverso policy chiare e la responsabilizzazione di ogni singolo collaboratore.
Secondo il Cost of a Data breach Report 2025[1], la formazione dei dipendenti contribuisce alla riduzione dei costi aziendali causati da un data breach. Tuttavia, risulta meno efficace rispetto a soluzioni di AI e Machine Learning, strumenti di Threat Management e impiego della Threat Intelligence.
L’obsolescenza tecnologica costituisce una vulnerabilità critica che richiede investimenti mirati. Nel 2025 il 68% delle imprese ha introdotto nuove soluzioni tecnologiche, come nuovi firewall e nuovi XDR/EDR, concentrandosi su aggiornamenti sistematici di sistemi operativi, software e firmware. Le architetture zero-trust, che non si basano sulla fiducia implicita ma verificano costantemente ogni accesso e transazione, stanno diventando lo standard.
La segmentazione delle reti permette di isolare sistemi critici e limitare la propagazione di eventuali compromissioni, mentre la crittografia end-to-end protegge i dati sia in transito che a riposo.
La gestione degli accessi e delle identità richiede sistemi di Identity and Access Management (IAM) che garantiscano autenticazione multi-fattore per tutti gli accessi a sistemi critici, applicazione del principio del privilegio minimo, revisione periodica degli accessi e monitoraggio comportamentale per identificare attività anomale.
Fondamentali sono anche i piani di continuità operativa che includano backup regolari con test di ripristino, procedure di disaster recovery documentate e testate, soluzioni di ridondanza per sistemi critici e piani di comunicazione di crisi per gestire l’impatto reputazionale.
La Cybersecurity moderna si sta evolvendo da approccio reattivo a strategia proattiva e predittiva.
L’integrazione dell’AI nella Cybersecurity rappresenta una rivoluzione paradigmatica, capace di ridefinire strategie e strumenti sia difensivi, sia offensivi. Come sottolinea Gabriele Faggioli, Responsabile Scientifico dell’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano: “L’Intelligenza Artificiale ha portato all’automazione e al potenziamento delle attività offensive. Da ora in avanti sarà normale attendersi minacce cyber autonome, anche senza governo da parte dell’uomo.”
Allo stesso tempo, come emerge dalla ricerca dell’Osservatorio, il 56% delle grandi imprese utilizza già l’AI in ambito Cybersecurity in ottica di “augmentation” delle capacità di difesa.
Nello specifico, l’AI trova applicazione concreta attraverso:
Sempre secondo il Cost of a Data breach Report 2025, la Security AI e l’automazione nell’individuazione e risposta agli incidenti contribuiscono ad abbassare l’impatto economico di un data breach. Nelle ultime rilevazioni a livello mondiale, è emerso che nei grandi data breach in cui si ha utilizzato l’Intelligenza Artificiale o l’automazione il risparmio medio è di 1,9 milioni di dollari per ogni episodio di violazione dei dati.
In questo scenario, occorre considerare che, stando ai dati dell’Osservatorio, il 60% dei CISO è preoccupato per l’adozione spontanea di soluzioni AI consumer da parte dei dipendenti. I tool di AI, infatti, diventano nuovi target d’attacco e offrono terreno fertile per l’errore umano.
A questo proposito, è bene che le organizzazioni sviluppino policy chiare per l’uso sicuro dell’AI, e che allo stesso tempo si preparino a minacce potenziate come deepfake e attacchi di social engineering più sofisticati.
Nel 2024 il 44% dei CISO ha riconosciuto insostenibile un presidio completamente interno, orientandosi verso modelli di gestione ibrida della sicurezza. Questo approccio combina competenze interne per la governance strategica con partner esterni specializzati per il monitoraggio H24 e la gestione degli incidenti.
I servizi di Managed Detection and Response (MDR) forniscono capacità di rilevamento e risposta avanzate, particolarmente utili per organizzazioni che non possono permettersi team interni altamente specializzati. La partecipazione a ecosistemi di condivisione delle informazioni sulle minacce permette di beneficiare dell’esperienza collettiva del settore.
L’implementazione di architetture zero trust sta diventando lo standard per le organizzazioni mature. Ogni accesso viene verificato indipendentemente dalla posizione dell’utente o del dispositivo, mentre la micro-segmentazione crea perimetri di sicurezza granulari che limitano il movimento laterale degli attaccanti. Il monitoraggio comportamentale analizza continuamente il comportamento di utenti e dispositivi per identificare anomalie.
Con il 46% dei CISO che ha segnalato la dipendenza da terze parti non-IT come fattore critico di rischio (dato riferito al 2025), la Cybersecurity deve estendersi all’intera supply chain attraverso valutazioni sistematiche della postura di sicurezza di fornitori e partner, l’inserimento di clausole di sicurezza vincolanti nei contratti e il monitoraggio continuo della sicurezza di fornitori critici.
La gestione dei data breach non è solo una questione tecnica, ma comporta obblighi legali stringenti che le organizzazioni devono rispettare scrupolosamente. Il GDPR ha introdotto regole precise che si applicano a tutti i soggetti che trattano dati personali di cittadini europei, indipendentemente dalla loro localizzazione geografica.
In caso di data breach, il titolare del trattamento deve notificare la violazione all’autorità di controllo competente entro 72 ore dalla scoperta, a meno che sia improbabile che comporti rischi per i diritti e le libertà degli interessati. La notifica deve includere natura della violazione, categorie di dati coinvolti, numero approssimativo di interessati, conseguenze probabili e misure adottate.
Se la violazione presenta un rischio elevato per i diritti e le libertà delle persone, deve essere comunicata agli interessati senza ingiustificato ritardo attraverso comunicazioni chiare, specifiche e con indicazioni pratiche per proteggere i propri dati. È inoltre necessario mantenere un registro dettagliato di tutte le violazioni per consentire verifiche da parte dell’autorità di controllo.
Il panorama normativo è in rapida evoluzione. La Direttiva NIS2, la direttiva europea sulla sicurezza delle reti e dei sistemi informativi, richiede un innalzamento della capacità di resilienza Cyber. Secondo l’Osservatorio, il 57% delle grandi imprese italiane, spinte dalla nuova normativa, vede una crescente attenzione del board sulla sicurezza informatica.
Il DORA (Digital Operational Resilience Act) introduce requisiti stringenti per le istituzioni finanziarie nella gestione del rischio operativo digitale, mentre il Cyber Resilience Act obbliga i produttori di tecnologie hardware e software a considerare aspetti di sicurezza sin dalle prime fasi di sviluppo.
Uno degli aspetti più preoccupanti emersi dalla ricerca è l’ampliarsi del “Cyber divide”, ovvero il divario nella capacità di proteggersi dai rischi digitali tra organizzazioni mature e non ancora mature. Mentre le grandi imprese investono massicciamente in Cybersecurity, molte PMI rimangono esposte a rischi significativi per mancanza di risorse, competenze o consapevolezza.
Le piccole e medie imprese affrontano ostacoli specifici come risorse limitate per investimenti in sicurezza e personale specializzato, scarsa consapevolezza dei rischi reali e delle conseguenze legali, dipendenza da fornitori esterni senza adeguata valutazione dei loro standard di sicurezza, e difficoltà nell’accesso a soluzioni di Cybersecurity enterprise-grade.
Le grandi imprese, pur essendo più strutturate, evidenziano ancora carenze significative. Solo il 28% delle grandi organizzazioni italiane ha un approccio realmente orientato alla cyber-resilienza, avendo attivato tutte le leve fondamentali: monitoraggio continuo degli asset, comprensione degli impatti sul business, simulazioni realistiche e uso sistematico dell’AI.
I gap più comuni riguardano i processi di incident response e disaster recovery, il monitoraggio sporadico dei rischi in termini di business impact, la gestione insufficiente della sicurezza dei fornitori e la scarsa integrazione tra Cybersecurity e strategia di business.
Tra gli episodi più rilevanti si può ricordare quello di marzo 2023, quando il gruppo cybercriminale russo CL0P ha sfruttato una vulnerabilità 0Day nel servizio di trasferimento file MoveIT, compromettendo i sistemi di 2700 organizzazioni e causando la diffusione di oltre 93 milioni di record personali.
Nell’aprile 2025, un nuovo caso ha coinvolto ATM Milano: una falla nei sistemi gestiti da Mooney Servizi, relativi agli abbonamenti del trasporto pubblico, ha portato alla violazione dei dati degli utenti.
Questi incidenti mostrano quanto sia crescente il rischio legato alla sicurezza dei sistemi digitali e quanto sia fondamentale investire in prevenzione e monitoraggio continuo.
Il panorama dei data breach rappresenta una delle sfide più complesse che organizzazioni e società devono affrontare nell’era digitale. I dati dell’Osservatorio dimostrano chiaramente che il rischio è reale, pervasivo e in continua crescita. Con il 34% delle grandi imprese italiane colpite da almeno un attacco nel 2025, è evidente che nessuna organizzazione può considerarsi immune.
La prevenzione efficace richiede un approccio multidimensionale che combini investimenti tecnologici, formazione del personale, governance adeguata e partnership strategiche.
Le organizzazioni che emergeranno vincenti saranno quelle capaci di implementare una cultura della sicurezza diffusa a tutti i livelli aziendali, investire in tecnologie predittive e sistemi di risposta automatizzata, sviluppare partnership strategiche per colmare i gap di competenze, mantenere un dialogo costante tra Cybersecurity e business strategy, e adottare un approccio proattivo alla gestione del rischio Cyber.
Il futuro della protezione dai data breach non risiede in soluzioni miracolose, ma nella capacità di costruire ecosistemi di sicurezza resilienti, dove tecnologia, persone e processi lavorano sinergicamente per anticipare, prevenire e rispondere alle minacce emergenti. Solo attraverso questo approccio olistico sarà possibile trasformare la Cybersecurity da costo necessario a vantaggio competitivo sostenibile.
[1] Cost of a Data breach Report 2025, IBM Corporation, 2025
Contenuti suggeriti dell’Osservatorio Cybersecurity & Data Protection
