Quella foto del documento su WhatsApp ti costerà cara (e non parlo solo della multa)
12 Maggio 2026
Ottantacinquemila euro. È la sanzione che il Garante Privacy ha appena inflitto a The European House – Ambrosetti. Ma se ti fermi alla cifra, perdi il punto.
Perché la vera notizia non è la multa. È come ci sono arrivati. E soprattutto: è la fotografia esatta di quello che trovo ogni settimana quando entro nei sistemi delle PMI italiane.
Due errori che sembrano banali (finché non ti esplodono in mano)
Il Garante ha messo nero su bianco due criticità che dovrebbero togliere il sonno a qualsiasi imprenditore:
Primo: password conservate in chiaro. Sì, nel 2026. Una parte delle credenziali di 61.670 persone era salvata come se fossimo nel 1998. L’altra parte? Protetta con hash, sì, vabbé, ma fondati su algoritmi che oggi non reggono nemmeno un attacco amatoriale.
Secondo: comunicazione agli interessati arrivata due mesi dopo il breach. Due mesi. Il Garante ha dovuto emettere un provvedimento correttivo per costringerli ad avvisare le persone coinvolte.
Ora, Ambrosetti è un think tank con clienti Fortune 500. Ha risorse, competenze, consulenti. Se succede a loro, cosa pensi che trovi quando faccio un assessment in una PMI da 50 dipendenti?
IL PROBLEMA DELLE “CREDENZIALI ZOMBIE”
C’è un passaggio del provvedimento che mi ha colpito: Ambrosetti conservava credenziali relative a sistemi non più in uso.
Lo chiamo il cimitero delle password. Ogni azienda ne ha uno. Quel vecchio gestionale dismesso tre anni fa. Il portale fornitori che nessuno usa più. L’accesso FTP del consulente che non lavora più con voi dal 2019.
Queste credenziali restano lì. Nessuno le cancella perché “non si sa mai” o “tanto non le usa nessuno”. Peccato che gli attaccanti le trovino eccome. E quando le trovano, spesso funzionano ancora. O peggio: gli utenti hanno riusato quelle stesse password altrove.
NIS2 cambia tutto (e non nel modo che pensi)
Se stai leggendo pensando “vabbè, 85mila euro, me li posso permettere”, ti fermo subito.
Con NIS2 la musica cambia radicalmente. Non parliamo più solo di sanzioni all’azienda. Parliamo di responsabilità personale degli amministratori.
Gli artt. 23, 24 e 38 della Direttiva sono chirurgici: gli organi di gestione devono approvare le misure di gestione del rischio cyber e supervisionarne l’attuazione. Se non lo fanno, ne rispondono personalmente. E la sanzione è la sospensione del ruolo di amministratore della società.
Tradotto: quelle password in chiaro che il tuo IT ha dimenticato di sistemare? Quel data breach notificato in ritardo perché “aspettiamo di capire meglio la situazione”? Potrebbero costarti la poltrona. E non solo quella.
“Tanto siamo piccoli, chi vuoi che ci attacchi”
È la frase che sento più spesso. Ed è esattamente il ragionamento che ha portato migliaia di PMI a finire nei database dei ransomware gang.
Gli attaccanti non scelgono i bersagli grandi. Scelgono quelli facili. Una PMI con password deboli, sistemi non aggiornati e nessun monitoraggio è il bersaglio perfetto. Costa poco attaccarla e paga per riavere i suoi dati.
Il caso Ambrosetti dimostra che nemmeno le grandi organizzazioni sono immuni. Ma almeno loro hanno i margini per assorbire una sanzione. Tu?
Cosa devi fare domani mattina
Non tra un mese. Domani.
Primo: chiedi al tuo IT un report su come vengono conservate le password nei vostri sistemi. Se la risposta è vaga o imbarazzata, hai un problema.
Secondo: fai un inventario delle credenziali attive. Quante sono? Quante appartengono a persone che non lavorano più con voi? Quante accedono a sistemi che non usate più?
Terzo: verifica la vostra procedura di data breach. Avete 72 ore per notificare al Garante. E dovete comunicare agli interessati “senza ingiustificato ritardo” se c’è rischio elevato. Due mesi non è senza ritardo. Due settimane non è senza ritardo.
Il vero costo non è la sanzione
Ambrosetti pagherà 85mila euro. Ma il danno reputazionale? Quanti clienti si chiederanno se i loro dati sono al sicuro? Quante trattative commerciali salteranno perché “abbiamo letto quella cosa del data breach”?
La compliance non è un costo. È un’assicurazione. E come tutte le assicurazioni, la apprezzi solo quando ne hai bisogno.
Se vuoi capire dove sono i buchi nella tua sicurezza prima che li trovi qualcun altro, parliamone.
