Enti e Associazioni

Data breach da oltre 61mila utenti: stangata del Garante ad Ambrosetti

Redazione Redazione
26 Maggio 2026 - 10:28
0

lentepubblica.it

La gestione di un attacco informatico può trasformarsi in un problema ancora più grave quando emergono carenze nelle misure di sicurezza adottate dall’azienda.

È quanto accaduto a The European House – Ambrosetti, società attiva nella consulenza strategica e nota anche per le sue attività di think tank, finita nel mirino del Garante per la protezione dei dati personali dopo un data breach che ha coinvolto oltre 61 mila persone.

L’Autorità ha infatti disposto una sanzione amministrativa da 85mila euro, contestando alla società una serie di violazioni legate alla protezione dei dati personali e alla gestione dell’incidente informatico verificatosi nell’aprile 2024. Nel provvedimento viene sottolineato come alcune criticità avrebbero potuto esporre gli utenti a rischi concreti, soprattutto per effetto della conservazione non adeguata delle credenziali di accesso.

Oltre 61 mila persone coinvolte nell’attacco

Secondo quanto ricostruito dal Garante Privacy, l’attacco sarebbe stato reso possibile attraverso lo sfruttamento di una vulnerabilità tecnica che ha consentito un accesso abusivo ai sistemi informatici della società.

L’intrusione ha comportato l’esfiltrazione di numerosi dati personali appartenenti a 61.670 soggetti, tra cui dipendenti di aziende clienti e personale interno che utilizzava i servizi digitali messi a disposizione dalla società.

Tra le informazioni finite nelle mani degli attaccanti figuravano:

  • nomi e cognomi;
  • indirizzi email;
  • username;
  • password di accesso.

Un insieme di dati particolarmente delicato, considerando che le credenziali sottratte potrebbero essere riutilizzate anche su altri servizi online dagli stessi utenti, aumentando così il rischio di ulteriori compromissioni.

Password conservate in chiaro e sistemi non più utilizzati

Uno degli aspetti più pesantemente contestati dall’Autorità riguarda proprio le modalità di conservazione delle password.

Dagli accertamenti sarebbe infatti emerso che una parte delle credenziali veniva mantenuta in chiaro, cioè senza alcuna protezione crittografica. Un’altra parte risultava invece archiviata con tecniche considerate non adeguate rispetto agli standard di sicurezza oggi richiesti.

Per il Garante si tratta di una violazione significativa dei principi di sicurezza previsti dal GDPR, soprattutto perché le organizzazioni che trattano grandi quantità di dati personali sono tenute ad adottare misure tecniche costantemente aggiornate e coerenti con l’evoluzione delle minacce informatiche.

Ma non è tutto. L’istruttoria ha fatto emergere anche la presenza di credenziali riferite a sistemi non più operativi o comunque non più utilizzati. Una pratica ritenuta incompatibile con il principio di limitazione della conservazione, che impone di mantenere i dati personali solo per il tempo strettamente necessario alle finalità per cui sono stati raccolti.

Secondo l’Autorità, la permanenza di vecchie credenziali inutilizzate avrebbe aumentato inutilmente la superficie di rischio esposta ad eventuali attacchi.

La comunicazione agli utenti arrivata in ritardo

Nel provvedimento viene inoltre evidenziata un’altra criticità: la gestione della comunicazione verso gli interessati coinvolti nel data breach.

La normativa europea prevede che, in presenza di una violazione suscettibile di comportare un rischio elevato per i diritti e le libertà delle persone, il titolare del trattamento debba informare gli utenti senza ingiustificato ritardo.

Nel caso specifico, The European House – Ambrosetti avrebbe rispettato il termine delle 72 ore previsto per la notifica al Garante, ma non avrebbe comunicato tempestivamente l’accaduto ai soggetti coinvolti.

La comunicazione agli utenti sarebbe infatti arrivata soltanto circa due mesi dopo la scoperta dell’incidente informatico e solo a seguito di un intervento correttivo dell’Autorità.

Per il Garante, un ritardo di questo tipo può impedire alle persone coinvolte di adottare rapidamente misure di protezione, come il cambio delle password o il monitoraggio di eventuali utilizzi anomali degli account.

Il richiamo del Garante: la reputazione non viene prima dei diritti degli utenti

Nel testo del provvedimento l’Autorità ribadisce un principio ormai centrale nella disciplina europea sulla privacy: le esigenze reputazionali delle aziende non possono prevalere sulla tutela dei diritti degli interessati.

Un passaggio che assume particolare rilevanza in un contesto in cui molte organizzazioni, dopo un incidente cyber, tendono a valutare con estrema cautela tempi e modalità delle comunicazioni pubbliche per limitare i danni d’immagine.

Il Garante sottolinea invece che la trasparenza nella gestione delle violazioni rappresenta un obbligo preciso previsto dal GDPR e non una scelta discrezionale legata a valutazioni di opportunità aziendale.

La rapidità nell’informare gli utenti coinvolti serve infatti a consentire loro di reagire immediatamente per ridurre i possibili effetti negativi derivanti dalla sottrazione dei dati.

Sicurezza informatica e GDPR: un tema sempre più centrale

Il caso che ha coinvolto The European House – Ambrosetti si inserisce in un quadro più ampio caratterizzato da un incremento costante degli attacchi informatici contro aziende, enti pubblici e organizzazioni private.

Negli ultimi anni il Garante Privacy ha più volte richiamato imprese e amministrazioni sull’importanza di adottare sistemi di protezione adeguati, soprattutto quando vengono trattati database contenenti informazioni sensibili o credenziali di accesso.

Tra le misure considerate ormai indispensabili rientrano:

  • l’utilizzo di sistemi avanzati di cifratura;
  • la protezione delle password tramite algoritmi aggiornati;
  • il controllo periodico delle vulnerabilità;
  • la cancellazione dei dati non più necessari;
  • procedure rapide per la gestione degli incidenti informatici.

La semplice presenza di strumenti tecnologici non basta più. Il GDPR richiede infatti un approccio dinamico alla sicurezza, basato su valutazioni costanti dei rischi e sull’aggiornamento continuo delle misure di protezione.

Il peso economico e reputazionale dei data breach

Le conseguenze di un attacco informatico non si limitano alle sanzioni economiche. Episodi di questo tipo possono avere effetti significativi anche sul piano reputazionale, operativo e commerciale.

Quando vengono compromessi dati personali e credenziali di accesso, le aziende rischiano infatti:

  • perdita di fiducia da parte di clienti e partner;
  • danni d’immagine;
  • contenziosi legali;
  • costi tecnici per il ripristino dei sistemi;
  • obblighi di notifica e gestione delle emergenze.

Per questo motivo il tema della cybersicurezza è ormai diventato una priorità strategica anche per realtà tradizionalmente non considerate bersagli “tecnologici”.

La decisione del Garante rappresenta dunque un ulteriore segnale rivolto alle organizzazioni pubbliche e private: la protezione dei dati personali non può essere affrontata come un mero adempimento burocratico, ma deve diventare parte integrante della governance aziendale.

Un precedente che rafforza il principio di accountability

Il provvedimento nei confronti di The European House – Ambrosetti conferma inoltre il rafforzamento del principio di accountability introdotto dal GDPR.

Le aziende non devono soltanto rispettare formalmente la normativa, ma devono anche essere in grado di dimostrare di aver adottato tutte le misure necessarie per prevenire rischi e violazioni.

Nel contesto attuale, caratterizzato da minacce cyber sempre più sofisticate, la gestione delle credenziali, delle infrastrutture obsolete e delle procedure di risposta agli incidenti rappresenta uno degli elementi maggiormente scrutinati dalle autorità di controllo.

Ed è proprio su questi aspetti che il Garante Privacy ha concentrato le proprie contestazioni, evidenziando come ritardi, sistemi non aggiornati e procedure insufficienti possano tradursi in conseguenze rilevanti sia sul piano economico sia sotto il profilo della tutela dei diritti fondamentali delle persone.

The post Data breach da oltre 61mila utenti: stangata del Garante ad Ambrosetti appeared first on lentepubblica.it.

Leggi di più
Articolo precedente

Violenza sul tram a Torino: pestato con una testata e rapinato della collana,...

Articolo successivo

F1 | Aston Martin: piccoli segnali incoraggianti dopo il lavoro d'affinamento...

Qual è la tua reazione?

Mi piace Mi piace 0
Antipatico Antipatico 0
Lo amo Lo amo 0
Comico Comico 0
Wow Wow 0
Triste Triste 0
Furioso Furioso 0
Redazione
Redazione

Redazione Eventi e News

Articoli correlati

Estate amara per i padri separati, servono diritti

Redazione
15 Giugno 2026
0

Riforma delle Province, la Regione Friuli Venezia Gi...

Redazione
16 Giugno 2026
0

Addizionali IRPEF locali: quando il fisco locale pen...

Redazione
15 Giugno 2026
0

Marche da bollo: il caso Como e i reati del pubblico...

Redazione
16 Giugno 2026
0

Bonus assunzione giovani 2026, partono le domande: l...

Redazione
16 Giugno 2026
0

Foto delle passeggere nelle chat private degli autis...

Redazione
17 Giugno 2026
0

Commenti (0)

User