Carenze nella sicurezza: multa per una società
Fatale un ‘data breach’ che ha coinvolto oltre sessantamila persone
Sanzione di 85mila euro irrogata dal ‘Garante per la protezione dei dati personali’ (provvedimento del 17 aprile 2026) a ‘The European House – Ambrosetti spa’, società di consulenza strategica e ‘think tank’, per carenze nelle misure di sicurezza.
Le criticità sono emerse a seguito di un ‘data breach’ (cioè una violazione dei dati) che ha coinvolto oltre sessantunomila persone, tra cui i dipendenti di aziende clienti e il personale interno che utilizzavano i servizi on line. Tardiva anche la comunicazione della violazione ai soggetti coinvolti, comunicazione avvenuta solo dopo l’intervento del ‘Garante’.
L’attacco informatico, riconducibile a un accesso non autorizzato – tramite una vulnerabilità tecnica – ai sistemi, ha comportato l’esfiltrazione di nomi, cognomi, indirizzi e-mail, username e password.
Dagli accertamenti del ‘Garante’ sono emerse diverse violazioni della normativa sulla privacy. In particolare, la società conservava una parte delle password in chiaro e un’altra mediante tecniche crittografiche non conformi agli standard di sicurezza più avanzati, e, inoltre, conservava credenziali relative a sistemi non più in uso, in violazione dei principi di limitazione della conservazione e di sicurezza dei dati.
Il ‘Garante’ ha anche accertato che la società, pur avendo notificato il ‘data breach’ entro le settantadue ore previste dalla normativa, non ha informato tempestivamente i soggetti coinvolti, nonostante la violazione potesse rappresentare un rischio elevato per i loro diritti e le loro libertà. In particolare, la comunicazione ai soggetti coinvolti è avvenuta a distanza di circa due mesi dalla scoperta dell’incidente, e solo dopo un provvedimento correttivo del ‘Garante’.
Oltre ad emettere la sanzione, il ‘Garante’ ha ribadito la necessità per i titolari del trattamento di adottare misure tecniche e organizzative adeguate e di assicurare una gestione tempestiva e trasparente delle violazioni dei dati personali, anche perché le esigenze reputazionali rappresentate dalla società non possono prevalere sui diritti delle persone coinvolte.