Cybersecurity Nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

gestione crisi cyber

Password in chiaro e disclosure ritardate: ecco perché il Garante sanziona Ambrosetti

Home Norme e adeguamenti
Partecipa al dibattito
Indirizzo copiato

Il provvedimento del Garante Privacy nei confronti di The European House – Ambrosetti nasce da una violazione di dati personali notificata dalla società nell’aprile 2024 a seguito di un accesso non autorizzato ai propri sistemi, ma è di natura più culturale che meramente tecnica. Ecco i motivi della sanzione

Pubblicato il 22 mag 2026
Tania Orrù

Data Protection, Compliance & Digital Governance Advisor

Attacchi password guessing; Password in chiaro e disclosure ritardate: il Garante sanziona Ambrosetti
AI Questions Icon
Chiedi all'AI
Riassumi questo articolo
Approfondisci con altre fonti

Il provvedimento con cui il Garante Privacy ha sanzionato The European House – Ambrosetti va oltre il tema del semplice data breach.

Tra password conservate in chiaro, sistemi legacy e disclosure ritardate per timori reputazionali, la decisione dell’Autorità fotografa un problema ancora
profondamente culturale: la difficoltà di considerare la trasparenza verso gli interessati come un diritto da garantire e non come un rischio reputazionale da gestire.

Conservazione sicura delle password, linee guida per proteggere informazioni e dati sensibili: punti cardine

Il provvedimento del Garante: cosa è successo

Il provvedimento del Garante Privacy nei confronti di The European House – Ambrosetti (uno dei principali attori italiani nell’ambito della consulenza strategica, della formazione manageriale e dell’analisi dei processi di trasformazione economica e digitale) nasce da una violazione di dati
personali notificata dalla società nell’aprile 2024 a seguito di un accesso non autorizzato ai propri sistemi.
L’attacco aveva comportato l’esfiltrazione di credenziali di autenticazione relative a diversi servizi online e piattaforme utilizzate dalla società per attività di formazione, eventi e contenuti professionali.

Nel corso dell’istruttoria, è emerso che circa 98mila password erano conservate mediante algoritmi di hashing considerati non più adeguati, come MD5 (una funzione di crittografia utilizzata per trasformare le password in stringhe cifrate ma considerata da anni non più sicura per
la conservazione delle credenziali, perché vulnerabile ad attacchi di cracking e forza bruta). Invece circa 36mila risultavano addirittura conservate in chiaro.
Il Garante ha inoltre rilevato la presenza di:

  • credenziali riferite a sistemi non più in uso;
  • vulnerabilità applicative legate a SQL injection (cioè una tecnica di attacco che consente di manipolare le query ai database sfruttando controlli insufficienti sugli input inseriti dagli utenti);
  • e una comunicazione tardiva agli interessati coinvolti, effettuata soltanto dopo uno specifico provvedimento correttivo dell’Autorità.

Particolarmente rilevante, secondo il Garante, è stato il fatto che la società avesse inizialmente escluso la necessità di informare gli interessati, anche sulla base di valutazioni legate all’impatto reputazionale della vicenda.

Al termine del procedimento, il Garante ha contestato la violazione degli articoli 5, 32 e 34 del GDPR, sanzionando la società con una multa da 85mila euro.

Il provvedimento del Garante è di natura culturale e non tecnica

A colpire davvero nel provvedimento con cui il Garante Privacy ha sanzionato The European House – Ambrosetti non è il fatto che un’azienda subisca un attacco informatico.

Se il data breach è ormai un evento fisiologico della vita digitale delle organizzazioni, ad essere interessanti sono le priorità che emergono dopo, le valutazioni che vengono fatte, il modo in cui il management decide di bilanciare reputazione aziendale, continuità operativa e diritti degli interessati.
Il cuore del provvedimento del Garante è infatti di natura culturale più che meramente tecnica.
Durante il procedimento, la società ha spiegato che tra gli elementi che avevano inciso sul ritardo nella comunicazione agli interessati vi erano i “possibili rischi reputazionali” derivanti dall’invio della comunicazione stessa, in un momento particolarmente delicato per il gruppo, impegnato sia
nell’organizzazione del Forum di Cernobbio sia in una complessa fase di riorganizzazione societaria.

Una frase che racconta molto più di quanto sembri, perché rende esplicito ciò che spesso rimane implicito nella gestione delle violazioni di dati personali: il data breach continua a essere percepito innanzitutto come un problema reputazionale e solo successivamente come una questione di
tutela dei diritti fondamentali.
Il Garante sottolinea che l’avere fatto prevalere motivi reputazionali sui diritti degli interessati costituisce un indice di mancato rispetto del principio di accountability.

Il tempo della trasparenza non appartiene all’azienda

Il provvedimento mostra come le fragilità nella gestione della sicurezza e, soprattutto, nella tutela degli interessati durante una crisi cyber non riguardino soltanto realtà marginali o tecnologicamente immature, ma possono emergere anche in contesti che fanno della governance, dell’innovazione e della cultura manageriale elementi centrali della propria identità.
La questione centrale del provvedimento riguarda il modo in cui la società ha gestito il tempo della comunicazione verso gli interessati.
Nel corso del procedimento è emerso infatti come il ritardo nella comunicazione sia stato influenzato da valutazioni legate all’impatto reputazionale che la vicenda avrebbe potuto avere in una fase particolarmente delicata per il gruppo.
Si tratta di un passaggio che fotografa una dinamica molto diffusa nella gestione contemporanea delle crisi cyber: il data breach viene spesso trattato come evento da governare sul piano mediatico e reputazionale.
Per questo motivo, anche il timing della disclosure rischia di trasformarsi in uno strumento di crisis management.

Si prende tempo, si approfondisce, si cerca di comprendere l’effettiva portata dell’incidente. Ma nel frattempo si valuta anche il potenziale impatto sul brand, sul business, sugli stakeholder e sulla narrativa pubblica della vicenda.

Tutto ciò è in linea di massima comprensibile. Tuttavia il GDPR ragiona secondo una logica completamente diversa.

Il tempo della comunicazione non appartiene infatti all’organizzazione, bensì agli interessati coinvolti.
La disclosure serve a consentire alle persone di proteggersi.

Il diritto all’autodifesa digitale

Il Garante sottolinea infatti che il rischio derivante dalla compromissione delle credenziali riguarda anche la possibilità che gli utenti abbiano riutilizzato password identiche o simili su altri servizi online.
Questo significa che la comunicazione agli interessati rappresenta un vero e proprio strumento di autodifesa digitale.
Sapere tempestivamente che le proprie credenziali sono state compromesse consente infatti agli utenti di modificare password riutilizzate, attivare misure di sicurezza ulteriori, verificare eventuali accessi anomali e ridurre il rischio di account takeover o credential stuffing.
Quando la comunicazione viene ritardata, il danno non è soltanto procedurale.

Si sottrae tempo agli interessati per proteggere il proprio ecosistema digitale personale.
E il Garante conferma che il diritto alla protezione dei dati personali include anche il diritto a reagire tempestivamente alla compromissione dei propri dati.

Password in chiaro nel 2026: il problema è culturale

L’aspetto più simbolicamente “devastante” del provvedimento rimane in ogni caso la gestione delle password.
Secondo il Garante, circa 98mila password risultavano protette tramite MD5, mentre circa 36mila erano addirittura conservate in chiaro.

MD5 è da anni considerato inadeguato per scenari di password storage, e la conservazione in chiaro rappresenta qualcosa che, nel 2026, appare quasi
archeologia informatica.
Il Garante, oltre a rilevare la debolezza tecnica delle misure adottate, costruisce poi un ragionamento più sofisticato sul rischio concreto per gli interessati.
La società aveva sostenuto che il rischio fosse trascurabile, evidenziando che numerosi account erano inattivi, che i sistemi erano stati dismessi e che le password, in molti casi, erano obsolete.
L’Autorità adotta invece una prospettiva molto più aderente alle logiche degli attacchi contemporanei, richiamando il fenomeno del password reuse, la tendenza degli utenti a riutilizzare credenziali simili su servizi differenti e la possibilità che le password compromesse possano essere sfruttate in attività di credential stuffing.
In altre parole, il rischio si valuta considerando l’intero ecosistema digitale dell’utente e non soltanto guardando al sistema originariamente compromesso.
La debolezza tecnica delle misure di sicurezza è senz’altro un problema infrastrutturale interno all’organizzazione, ma viene in rilievo come fattore in grado di incidere concretamente sui diritti e sulle libertà degli interessati.

Il problema invisibile dei sistemi legacy

Il riferimento alla pandemia è un altro punto rilevante. La società spiega infatti che, durante il Covid, la necessità di attivare rapidamente nuovi servizi digitali e modalità di lavoro da remoto avrebbe accelerato lo sviluppo di numerosi applicativi, comprimendo tempi e controlli di sicurezza.
Una dinamica che ha riguardato moltissime organizzazioni che, tra il 2020 e il 2022, hanno costruito infrastrutture digitali in emergenza, privilegiando rapidità e continuità operativa spesso a scapito della security by design e della revisione architetturale.
Gran parte di quei software “temporanei” sono rimasti inesorabilmente in produzione e continuano a esistere ai margini della governance IT. Quasi invisibili, ma ancora pienamente esposti ai rischi.
La vicenda Ambrosetti è emblematica, anche perché, nelle proprie difese, la società descrive un percorso di adeguamento avviato da anni, con progressivo rafforzamento delle misure di sicurezza, introduzione di sistemi IAM (Identity and Access Management, cioè piattaforme di gestione delle identità digitali), delle credenziali e dei controlli di accesso ai sistemi aziendali e revisione delle modalità di gestione delle credenziali.
Eppure, parallelamente, emergono password conservate in chiaro, algoritmi di protezione ormai obsoleti, credenziali relative a sistemi non più utilizzati e vulnerabilità applicative che avrebbero potuto consentire accessi non autorizzati ai database aziendali.
Il richiamo alla conservazione di credenziali relative a sistemi non più in uso evidenzia, di fatto, il fallimento della gestione del ciclo di vita dei dati e delle applicazioni.

Il Garante ribadisce che non c’entra la presenza di password obsolete. Un sistema dismesso operativamente, infatti, non smette automaticamente di rappresentare un rischio.

Anzi, spesso è proprio il software “abbandonato” a diventare il punto più vulnerabile dell’intera architettura aziendale.

Il fornitore non trasferisce la responsabilità

Molto rilevante poi il tema dei fornitori.
Nel corso dell’audizione la società ha spiegato che parte dello sviluppo applicativo era stata affidata a soggetti esterni privi delle necessarie competenze in materia di sicurezza e protezione dei dati personali.
Il Garante risponde ricordando che il titolare resta responsabile delle proprie scelte organizzative e richiama esplicitamente il principio di “culpa in eligendo”.
Nel 2026, lo scarico di responsabilità sui fornitori non dovrebbe più rappresentare una linea difensiva credibile.

Sotto questo profilo, il GDPR non lascia particolari ambiguità interpretative. La selezione, la valutazione e la supervisione dei fornitori rientrano pienamente nella responsabilità del titolare del trattamento.
Eppure, nel mercato italiano, l’outsourcing IT continua talvolta a essere vissuto, più o meno implicitamente, come una forma di trasferimento della responsabilità tecnica.

Come se vulnerabilità, errori progettuali o carenze di sicurezza potessero essere neutralizzati richiamando genericamente l’inadeguatezza del vendor.
Il Garante chiarisce invece, ancora una volta, che la scelta dei fornitori è parte integrante dell’accountability richiesta dal GDPR.

Occorre dimostrare di avere valutato competenze, affidabilità e maturità cyber dei soggetti coinvolti.

Il buon vecchio articolo 28 continua a ricordare con chiarezza ormai difficilmente equivocabile che il titolare deve ricorrere esclusivamente a
responsabili del trattamento che presentino “garanzie sufficienti” sotto il profilo tecnico e organizzativo.

Un obbligo che risulta davvero difficilmente equivocabile.

Quello che dovrebbe preoccuparci davvero

La vicenda che ha riguardato Ambrosetti mostra con particolare chiarezza quanto, ancora oggi, nelle crisi cyber, la trasparenza verso gli interessati rischi di essere percepita come un problema reputazionale da gestire e non come un diritto da garantire.
Il modo in cui l’azienda ha interpretato e gestito la crisi ha messo in luce le vulnerabilità tecniche, i sistemi legacy, le password conservate con misure non adeguate.

Ha inoltre evidenziato il tentativo di valutare la sostenibilità reputazionale della trasparenza.
Il Garante ribadisce invece un principio molto netto: quando sono coinvolti diritti fondamentali, la reputazione dell’organizzazione non può diventare il parametro prevalente nella gestione della crisi.
Il fatto che, a quasi dieci anni dall’entrata in vigore del GDPR, sia ancora necessario ribadire che i diritti degli interessati non possono essere subordinati alle esigenze reputazionali o sacrificati ai tempi della comunicazione corporate è già abbastanza disarmante.
Ma ancora più inquietante è che un richiamo tanto elementare debba ancora essere formulato in modo così esplicito proprio nei confronti di realtà che fanno della governance, della leadership e della cultura dell’innovazione una parte centrale della propria narrazione pubblica.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

O
Tania Orrù
Data Protection, Compliance & Digital Governance Advisor

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Who's Who

Argomenti

Canali

SPAZIO CISO

Vedi tutti gli approfondimenti >

Articoli correlati

  • IA obbligo informativa per i professionisti

  • la legge italiana

    IA, obbligo di informativa per i professionisti: trasparenza o adempimento inutile?

    10 Ott 2025

    di Rosario Palumbo

    Condividi
  • vpn più veloci

  • LA GUIDA

    Le 3 VPN più veloci ma anche affidabili e sicure

    17 Ott 2025

    di redazione affiliazioni Nextwork360

    Condividi
  • Whistleblower Ai Act; Garante Privacy, il parere sulle indicazioni Anac per il whistleblowing: serve un tagliando di manutenzione; Linee Guida ANAC 2025: whistleblowing come infrastruttura di gestione del rischio

  • la riflessione

    Whistleblowing e gestione del rischio: una lettura critica delle linee guida ANAC

    02 Gen 2026

    di Pasquale Mancino

    Condividi
  • meme4cyber360_choice

  • meme della settimana

    Il lato paper della security

    19 Set 2025

    di Redazione Cybersecurity360.it

    Condividi
0
Lascia un commento, la tua opinione conta.x