GDPR — Reg. UE 2016/679
Ambito: Protezione dei dati personali, applicabile dal 25 maggio 2018.
Sanzioni: Fino a 20 milioni € o 4% del fatturato annuo mondiale (art. 83 par. 5). Sanzioni minori fino a 10 mln € o 2% (art. 83 par. 4).
Realtà dei costi
Quanto ti costerebbe un attacco?
I numeri parlano chiaro. La domanda non è se proteggersi. È quando iniziare.
In sintesi (TL;DR)
- GDPR (Reg. UE 2016/679): sanzioni fino a 20 M€ o 4% del fatturato annuo mondiale (art. 83).
- NIS2 (D.Lgs. 138/2024): obbligo registrazione ACN, sanzioni fino a 10 M€ o 2% del fatturato per entità essenziali.
- DORA (Reg. UE 2022/2554): in vigore dal 17 gennaio 2025 per entità finanziarie e fornitori ICT critici.
- Costo medio data breach 2024: 4,88 M$ (IBM Cost of a Data Breach Report 2024); +65% attacchi gravi in Italia 2019→2024 (Clusit 2025).
4,88M $
Costo medio globale di un data breach nel 2024 (+10% sul 2023)
Fonte: IBM Cost of a Data Breach Report 2024
258 gg
Tempo medio per identificare e contenere una violazione
Fonte: IBM Cost of a Data Breach Report 2024
1.731
Data breach notificati al Garante Privacy italiano nel 2023
Fonte: Garante Privacy – Relazione annuale 2024
20 mln €
Sanzione massima GDPR (o 4% del fatturato annuo mondiale)
Fonte: Art. 83 par. 5 Reg. UE 2016/679
+37%
Crescita attacchi ransomware globali nel 2024
Fonte: Clusit – Rapporto 2025
23 gg
Downtime medio aziendale dopo un attacco ransomware
Fonte: Sophos State of Ransomware 2024
2,73M $
Riscatto medio richiesto nei ransomware 2024 (+500% in 1 anno)
Fonte: Sophos State of Ransomware 2024
73%
PMI italiane senza piano di incident response strutturato
Fonte: Osservatorio Cybersecurity – Politecnico di Milano 2024
Le conseguenze di un attacco
Perdita di dati
Database compromessi, backup distrutti, asset critici inaccessibili. Obbligo di notifica al Garante entro 72 ore (art. 33 GDPR) e agli interessati senza ingiustificato ritardo.
Blocco delle attività
Giorni o settimane di operatività ferma. In media 23 giorni di downtime dopo un ransomware (Sophos 2024). Costi nascosti su clienti, fornitori, contratti SLA.
Sanzioni amministrative e penali
GDPR: fino a 20 mln € o 4% fatturato. NIS2: fino a 10 mln € o 2%. AI Act: fino a 35 mln € o 7%. Reato presupposto D.Lgs. 231/2001 con sanzioni fino a 1,5 mln €.
Danno reputazionale
Il 66% dei consumatori europei interrompe i rapporti con aziende coinvolte in data breach (PwC 2023). Crisi di fiducia di lungo periodo difficile da recuperare.
Responsabilità penali del management
Art. 615-ter c.p. (accesso abusivo), art. 2638 c.c. (ostacolo vigilanza), responsabilità ex D.Lgs. 231/2001 art. 24-bis. Possibili sanzioni interdittive: divieto di contrarre con la PA, esclusione da finanziamenti.
Perdita di clienti B2B
Sempre più contratti B2B prevedono clausole di audit di sicurezza dei fornitori (vendor risk management). Un breach può comportare l'esclusione automatica dalla supply chain di clienti enterprise.
Quadro normativo
Normative vigenti e sanzioni
Riferimenti normativi essenziali aggiornati ad aprile 2025. Tutte le fonti sono pubbliche e ufficiali.
Fonte: EUR-Lex / Garante Privacy
Codice Privacy — D.Lgs. 196/2003 (agg. D.Lgs. 101/2018)
Ambito: Norme nazionali italiane di adeguamento al GDPR. Disciplina la tutela dei dati personali in Italia.
Sanzioni: Sanzioni amministrative cumulabili con GDPR. Reati specifici (artt. 167-172): trattamento illecito di dati, comunicazione illecita, falsità, fino alla reclusione.
NIS2 — Direttiva UE 2022/2555 (D.Lgs. 138/2024)
Ambito: Sicurezza delle reti e dei sistemi informativi. In Italia recepita dal D.Lgs. 138/2024, in vigore dal 16 ottobre 2024. Coinvolge soggetti essenziali e importanti in 18 settori.
Sanzioni: Soggetti essenziali: fino a 10 mln € o 2% del fatturato annuo mondiale. Soggetti importanti: fino a 7 mln € o 1,4%. Notifica incidenti 24h pre-notifica + 72h + 1 mese.
DORA — Reg. UE 2022/2554
Ambito: Resilienza operativa digitale del settore finanziario. Direttamente applicabile dal 17 gennaio 2025.
Sanzioni: Sanzioni amministrative pecuniarie definite dagli Stati membri. Per i fornitori ICT critici: penalità giornaliere fino all'1% del fatturato medio mondiale.
AI Act — Reg. UE 2024/1689
Ambito: Primo regolamento al mondo sull'intelligenza artificiale. Entrato in vigore il 1° agosto 2024, applicazione progressiva (pratiche vietate dal 2/2/2025, GPAI dal 2/8/2025).
Sanzioni: Pratiche IA vietate: fino a 35 milioni € o 7% del fatturato annuo mondiale. Violazioni obblighi: fino a 15 mln € o 3%. Informazioni inesatte: fino a 7,5 mln € o 1,5%.
Cyber Resilience Act — Reg. UE 2024/2847
Ambito: Requisiti di cybersecurity per prodotti hardware e software con elementi digitali. Entrato in vigore l'11 dicembre 2024, applicazione piena dall'11 dicembre 2027.
Sanzioni: Fino a 15 milioni € o 2,5% del fatturato annuo mondiale per le violazioni dei requisiti essenziali.
Direttiva CER — Reg. UE 2022/2557 (D.Lgs. 134/2024)
Ambito: Resilienza dei soggetti critici (energia, trasporti, banche, sanità, acqua, infrastrutture digitali, PA, spazio, alimentare). Recepita in Italia con D.Lgs. 134/2024.
Sanzioni: Sanzioni pecuniarie definite a livello nazionale. Obbligo di valutazione del rischio, piano di resilienza, segnalazione incidenti.
D.Lgs. 231/2001 — Responsabilità amministrativa enti
Ambito: Responsabilità amministrativa delle persone giuridiche. Include reati informatici (art. 24-bis) e trattamento illecito di dati.
Sanzioni: Sanzioni pecuniarie da 25.823 € a 1.549.370 €, sanzioni interdittive (sospensione attività, divieto contrarre con la PA, esclusione da finanziamenti).
Codice Penale — Reati informatici (artt. 615-ter ss.)
Ambito: Accesso abusivo a sistema informatico (615-ter), detenzione e diffusione di codici di accesso (615-quater), danneggiamento di informazioni (635-bis), frode informatica (640-ter).
Sanzioni: Reclusione fino a 8 anni nelle ipotesi aggravate. Aggravanti specifiche per sistemi di interesse pubblico, sanitario, militare.
Data Act — Reg. UE 2023/2854
Ambito: Accesso ed uso equo dei dati generati da prodotti connessi e servizi correlati. Applicabile dal 12 settembre 2025.
Sanzioni: Sanzioni stabilite dagli Stati membri. Per dati personali si applicano in aggiunta le sanzioni GDPR.
Calendario adempimenti
Timeline normativa 2024–2027
Le scadenze chiave per la compliance europea e italiana.
NIS2 in vigore in Italia
16/10/2024D.Lgs. 138/2024 — registrazione soggetti essenziali/importanti.
Cyber Resilience Act in vigore
11/12/2024Reg. UE 2024/2847 — requisiti di sicurezza per prodotti digitali.
DORA applicabile
17/01/2025Reg. UE 2022/2554 — resilienza operativa settore finanziario.
AI Act — pratiche vietate
02/02/2025Divieto di sistemi IA a rischio inaccettabile (social scoring, manipolazione).
AI Act — GPAI
02/08/2025Obblighi per modelli IA per scopi generali (GPT, Gemini, Claude…).
Data Act applicabile
12/09/2025Reg. UE 2023/2854 — accesso ed uso equo dei dati IoT.
AI Act — sistemi ad alto rischio
02/08/2026Piena applicazione obblighi per sistemi IA ad alto rischio.
CRA pienamente applicabile
11/12/2027Tutti i prodotti digitali immessi sul mercato UE devono essere conformi.
Impatto economico
Quanto costa subire un attacco
Costi e tempi medi documentati da fonti istituzionali e di settore (IBM, Clusit, ACN, Sophos, Verizon).
€ 4,88 mln
Costo medio globale di un data breach (2024)
Fonte: IBM Cost of a Data Breach Report 2024
194 giorni
Tempo medio per identificare un data breach
Fonte: IBM Cost of a Data Breach Report 2024
64 giorni
Tempo medio per contenere un data breach
Fonte: IBM Cost of a Data Breach Report 2024
€ 4,91 mln
Costo medio di un attacco ransomware (2024)
Fonte: IBM Cost of a Data Breach Report 2024
+10% YoY
Incremento attacchi gravi in Italia nel 2024
Fonte: Rapporto Clusit 2025 (marzo 2025)
9,1%
Quota italiana sugli attacchi gravi globali, a fronte di un PIL inferiore al 2% del totale mondiale
Fonte: Rapporto Clusit 2025
€ 1,45 mln
Costo medio di un attacco a una PMI italiana
Fonte: Sophos State of Ransomware 2024
+148%
Aumento attacchi ransomware in Italia (2023→2024)
Fonte: ACN — Relazione annuale 2024
Profili di responsabilità
Chi risponde e come
Le responsabilità giuridiche in materia di protezione dei dati e cybersecurity sono distribuite e cumulabili.
Titolare del trattamento
art. 24 GDPR
Determina finalità e mezzi del trattamento. È il principale responsabile della conformità e deve dimostrare il rispetto del principio di accountability.
Responsabile del trattamento
art. 28 GDPR
Tratta dati per conto del titolare sulla base di un contratto scritto (DPA) che disciplina oggetto, durata, natura e finalità del trattamento.
DPO / RPD
artt. 37-39 GDPR
Obbligatorio per autorità pubbliche, attività che richiedono monitoraggio sistematico su larga scala, trattamento su larga scala di dati artt. 9 e 10.
Amministratore di sistema
Provv. Garante 27/11/2008
Designazione individuale, log degli accessi conservati per 6 mesi, verifica annuale dell'operato. Profilo critico per la sicurezza dei sistemi.
Responsabilità penale
artt. 167-172 D.Lgs. 196/2003
Trattamento illecito di dati, comunicazione illecita, falsità in dichiarazioni, inosservanza di provvedimenti del Garante: pene detentive previste.
Responsabilità amministrativa enti
D.Lgs. 231/2001 art. 24-bis
Reati informatici come reato presupposto: sanzioni pecuniarie fino a 1,5 mln € e sanzioni interdittive (divieto di contrarre con la PA, esclusione da finanziamenti).
Responsabilità civile
art. 82 GDPR
Risarcimento del danno materiale e immateriale subito dall'interessato. Onere della prova invertito a carico di titolare/responsabile.
Responsabilità solidale
art. 82(4) GDPR
Titolare e responsabile rispondono in solido del danno cagionato, salvo regresso interno secondo le rispettive responsabilità.
Casi reali — Italia
Casi reali italiani — provvedimenti del Garante
Selezione di provvedimenti pubblici del Garante Privacy. Ogni voce indica importo, autorità, data, articoli violati e link al testo ufficiale.
Enel Energia
Garante Privacy — 16/12/2021 — doc. 9735672
Trattamenti illeciti nel telemarketing, attivazione di contratti non richiesti, gestione consensi non conforme lungo la filiera commerciale.
Articoli violati: artt. 5, 6, 7, 12-14, 21, 24 GDPR
Provvedimento ufficialeTIM S.p.A.
Garante Privacy — 15/01/2020 — doc. 9256486
Marketing telefonico aggressivo, mancato rispetto del diritto di opposizione, basi giuridiche carenti, misure di sicurezza inadeguate.
Articoli violati: artt. 5, 6, 7, 17, 21, 24, 25, 32 GDPR
Provvedimento ufficialeWind Tre
Garante Privacy — 09/07/2020 — doc. 9435753
Trattamenti illeciti per finalità di marketing, gestione dei consensi non conforme, mancata risposta alle istanze degli interessati.
Articoli violati: artt. 5, 6, 7, 12-15, 21, 24, 25, 32 GDPR
Provvedimento ufficialeVodafone Italia
Garante Privacy — 12/11/2020 — doc. 9485681
Telemarketing illecito tramite reti di partner, controllo carente sulla filiera commerciale, basi giuridiche non valide.
Articoli violati: artt. 5, 6, 7, 12, 24, 25, 32 GDPR
Provvedimento ufficialeRegione Lazio
Garante Privacy — 2024 — doc. 10003571
Provvedimento conseguente al data breach del luglio 2021 sui sistemi sanitari regionali (LazioCrea). Costi complessivi di ripristino documentati in audizione parlamentare oltre 5 mln €.
Articoli violati: artt. 5(1)(f), 32 GDPR
Provvedimento ufficialePostel S.p.A.
Garante Privacy — 2024 — doc. 9985672
Data breach derivante da attacco ransomware con violazione di dati personali di oltre 25.000 dipendenti e collaboratori.
Articoli violati: artt. 5(1)(f), 32, 33 GDPR
Provvedimento ufficialeUniCredit S.p.A.
Garante Privacy — 2024 — doc. 10095401
Data breach del 2018 che aveva compromesso i dati di circa 778.000 clienti. Misure di sicurezza by design ritenute insufficienti.
Articoli violati: artt. 5(1)(f), 25, 32 GDPR
Provvedimento ufficialeASL 1 Abruzzo
Garante Privacy — 2024 — doc. 10024787
Attacco ransomware del maggio 2023 (gruppo Monti) con esposizione di dati sanitari di pazienti e dipendenti pubblicati nel dark web. Prescrizioni correttive del Garante.
Articoli violati: artt. 5(1)(f), 9, 32 GDPR
Provvedimento ufficialeSynlab Italia
Garante Privacy — Aprile 2024 — Newsletter Garante 12/06/2024
Attacco ransomware Black Basta con esfiltrazione di circa 1,5 TB di dati sanitari (referti, anagrafica, esami). Sospensione di prelievi ed esami su tutto il territorio nazionale per giorni. Caso emblematico per la sanità privata.
Articoli violati: artt. 5(1)(f), 9, 32, 33 GDPR
Provvedimento ufficialeWestpole / PA Digitale
ACN — Comunicato 11/12/2023 — Dicembre 2023
Attacco ransomware (gruppo Lockbit 3.0) al data center Westpole con compromissione dei servizi PA Digitale, fornitori di software gestionale per oltre 1.300 enti locali italiani. Mesi per il pieno ripristino di delibere, protocolli, anagrafe.
Articoli violati: Incidente NIS — fornitore ICT critico
Provvedimento ufficialeComune di Palermo
Garante Privacy / ACN — Giugno 2022
Attacco ransomware (gruppo Vice Society) ai sistemi del Comune con blocco di servizi anagrafici, tributi, multe, ZTL. Notifica data breach al Garante e ad oltre 1,2 mln di cittadini. Costi di ricostruzione e messa in sicurezza per milioni di euro.
Articoli violati: artt. 5(1)(f), 32, 33-34 GDPR
Provvedimento ufficialeINPS — App bonus COVID
Garante Privacy — 01/04/2020 — doc. 9322310
Data breach durante l'avvio della piattaforma per il bonus 600€: utenti hanno visualizzato dati di altri richiedenti per malfunzionamento. Il Garante ha avviato istruttoria e prescritto misure di sicurezza by design.
Articoli violati: artt. 5, 25, 32, 33 GDPR
Provvedimento ufficialeULSS 6 Euganea (Padova)
Garante Privacy — Dicembre 2021 — istruttoria 2022-2024
Attacco ransomware LockBit 2.0 con esfiltrazione e pubblicazione nel dark web di dati sanitari, cartelle cliniche e referti di centinaia di migliaia di pazienti. Notifica al Garante e azione prescrittiva.
Articoli violati: artt. 5(1)(f), 9, 32, 33-34 GDPR
Provvedimento ufficialeRegione Molise
ACN / Garante Privacy — Aprile 2023
Attacco ransomware ai sistemi regionali con sospensione di servizi digitali, portali sanitari e amministrativi. Coordinamento ACN per il ripristino e notifica al Garante.
Articoli violati: artt. 5(1)(f), 32, 33 GDPR
Provvedimento ufficialeCasi reali — Unione Europea
Sanzioni di rilievo a livello UE
Provvedimenti pubblici delle autorità di controllo europee. Casi che hanno definito interpretazioni vincolanti del GDPR.
Meta Ireland
Data Protection Commission (Irlanda) — 22/05/2023
Trasferimenti di dati personali UE→USA effettuati senza adeguate garanzie post-Schrems II. Sanzione record nel sistema GDPR.
Articoli violati: art. 46(1) GDPR
Provvedimento ufficialeAmazon Europe Core
CNPD (Lussemburgo) — 16/07/2021
Trattamenti pubblicitari basati su consenso non valido. Maggiore sanzione GDPR mai comminata fino a quel momento.
Articoli violati: artt. 5, 6, 7 GDPR
Provvedimento ufficialeUber B.V.
Autoriteit Persoonsgegevens (Paesi Bassi) — 26/08/2024
Trasferimento di dati di autisti europei verso server USA senza meccanismi di trasferimento adeguati ai sensi del Capo V GDPR.
Articoli violati: art. 44 GDPR
Provvedimento ufficialeClearview AI
Garante Privacy — 10/02/2022 — doc. 9751362
Raccolta massiva di immagini facciali da fonti web e creazione di un database biometrico senza base giuridica e senza informativa.
Articoli violati: artt. 5, 6, 9, 12-15, 27 GDPR
Provvedimento ufficialeCriteo
CNIL (Francia) — 15/06/2023
Mancanza di prova del consenso per il targeting pubblicitario, informativa carente, esercizio dei diritti degli interessati non garantito.
Articoli violati: artt. 7, 12-13, 15, 17 GDPR
Provvedimento ufficialeTikTok
Data Protection Commission (Irlanda) — 01/09/2023
Profili di minori impostati come pubblici di default, trattamenti non trasparenti per under 18, dark patterns nei flussi di consenso.
Articoli violati: artt. 5(1)(a,c,f), 12, 13, 24, 25 GDPR
Provvedimento ufficialeCalcola il tuo rischio
Riferimenti normativi e dati aggiornati ad aprile 2025. Fonti: Garante Privacy (garanteprivacy.it), EUR-Lex (eur-lex.europa.eu), Gazzetta Ufficiale, ACN (acn.gov.it), EDPB (edpb.europa.eu), ENISA (enisa.europa.eu), Clusit, IBM Security, Verizon, Sophos. Per casi specifici è sempre raccomandato consultare un professionista qualificato.