Le password che non proteggi potrebbero costarti il posto in CdA
25 Maggio 2026
Cominciamo da un dato di fatto che molte aziende hanno trasformato, negli anni, in strategia di compliance.
Il Garante per la protezione dei dati personali è storicamente sottorganico. Lo sa il Garante, lo sappiamo noi consulenti, e — diciamocelo — lo sanno anche le aziende. Il risultato è che in molte realtà il GDPR del 2018 è rimasto esattamente dov’era nel 2018: ad impolverarsi sugli scaffali, aggiornato al massimo con qualche revisione formale, mai davvero rimesso in moto.
Il calcolo sottostante era semplice: ispezioni rare, sanzioni ancora più rare, rischio basso.
Da ottobre 2026, quel calcolo non funziona più. Non perché il Garante abbia assunto nuovo personale ispettivo. Ma perché adesso ha un alleato strutturale, dotato di poteri autonomi e di risorse superiori alle sue: l’ACN, l’Agenzia per la Cybersicurezza Nazionale.
L’ingranaggio che nessuno ha spiegato fino in fondo
Il D.Lgs. 138/2024 — il decreto che ha recepito in Italia la Direttiva NIS2 — contiene una norma che dovrebbe essere letta da ogni titolare del trattamento. Si trova all’art. 14, comma 2, lettera b):
“qualora l’Autorità nazionale competente NIS, in sede di vigilanza o di esecuzione, venga a conoscenza del fatto che la violazione degli obblighi di cui all’articolo 24 da parte di un soggetto essenziale o importante possa comportare una violazione dei dati personali, quale definita all’articolo 4, punto 12), del regolamento (UE) 2016/679, che deve essere notificata ai sensi dell’articolo 33 del medesimo regolamento, ne informa senza indebito ritardo il Garante per la protezione dei dati personali ai sensi dell’articolo 55 o 56 di tale regolamento”
Traduzione pratica: se ACN, durante un’ispezione o nel corso di un’attività di vigilanza, scopre che un soggetto ha violato gli obblighi di sicurezza NIS2 e che quella violazione ha riguardato anche dati personali, è obbligata per legge a passare il fascicolo al Garante.
Non è una facoltà. Non è una prassi informale. È un obbligo normativo che scatta in automatico.
L’ACN diventa, di fatto, il braccio ispettivo che il Garante non ha mai avuto abbastanza.
Il terzo attore che nessuno nomina
A questo punto la domanda è: come fa ACN a sapere che c’è stato un incidente?
Parte delle ispezioni sono proattive e programmate. Ma la realtà operativa ci dice che la maggior parte degli incidenti gravi emerge per vie esterne — e la via esterna più efficiente di tutte è la più scomoda da nominare: il cybercriminale.
Quando un’azienda viene colpita da un ransomware e non paga, i gruppi criminali organizzati ricorrono alla double extortion: i dati sottratti vengono pubblicati sul dark web o comunque fatti trapelare. L’obiettivo è fare pressione sul bersaglio, ma l’effetto collaterale è che l’incidente diventa visibile — alle autorità, ai media, ai partner commerciali.
ACN monitora costantemente queste fonti di intelligence. Il cybercriminale, senza volerlo, diventa il suo informatore.
Il meccanismo, quindi, è questo:
l’hacker colpisce → pubblica i dati → ACN ne viene a conoscenza → ispeziona → trova la violazione NIS2 e il data breach → avvisa il Garante
Tutto questo senza che l’azienda abbia fatto nulla per “attirare” l’ispezione. Le è arrivata addosso.
E se non sei nemmeno un soggetto NIS2?
Qui sta l’aspetto che in pochi stanno davvero considerando.
La NIS2 si applica direttamente ai soggetti essenziali e importanti — grandi infrastrutture, operatori sanitari, manifatturiero sopra certe soglie, fornitori di servizi digitali. Ma le catene di fornitura sono lunghe, e le aziende al loro interno sono spesso molto più piccole.
L’art. 24 D.Lgs. 138/2024 impone ai soggetti NIS2 di gestire i rischi della loro catena di approvvigionamento. Il che significa che se sei fornitore — anche indiretto — di un soggetto essenziale o importante, e sei causa o vettore di un incidente che lo colpisce, diventi parte dell’accertamento. E se in quell’accertamento emergono violazioni di dati personali sul tuo lato della catena, la comunicazione al Garante avviene ugualmente.
Non devi essere un soggetto NIS2 per finire nel radar del Garante tramite NIS2. Ti basta essere fornitore di qualcuno che lo è.
Il GDPR del 2018 non regge più
La maggior parte delle aziende italiane che si è occupata di privacy lo ha fatto tra il 2018 e il 2020. Hanno fatto l’impianto: registro dei trattamenti, lettere di incarico, informative, qualche DPA con i fornitori principali. E poi si sono fermate.
Non per malafede. Per un calcolo razionale che, fino a ieri, aveva una sua logica.
Un impianto del 2018 oggi non riflette i fornitori cloud, i software gestionali e gli strumenti AI che molte aziende usano ogni giorno senza aver aggiornato un contratto. Non riflette le procedure di data breach, spesso ancora formali su carta invece che operative. Non riflette la valutazione del rischio, che in molti casi non è mai stata rifatta dopo il primo anno.
Un impianto vecchio non è solo un problema di conformità formale. È un sistema che, nel momento in cui arriva un’ispezione ACN o un incidente informatico, non regge all’esame. E da ottobre 2026, quell’esame diventa molto più probabile di quanto fosse nel 2020.
Cosa fare adesso
Il punto non è spaventarsi. È smettere di fare un calcolo sbagliato.
Se il tuo impianto privacy ha più di tre anni e non è mai stato aggiornato in modo sostanziale, il rischio che stai assumendo è cresciuto — senza che tu abbia cambiato nulla.
Il primo passo è capire dove stai. Una gap analysis strutturata costa molto meno di una sanzione, molto meno di un incidente gestito senza procedure operative, e ti dà una mappa chiara di cosa fare e in quale ordine.
Se vuoi capire dove stai, contattami per un primo incontro esplorativo — senza impegno.
Avv. Francesco Cucci Studio Legale Cucci — Rimini info@studiolegalecucci.net | www.studiolegalecuccirimini.it | Tel. 0541 56050
Scrivimi su Whatsapp
