Data breach Ambrosetti, maxi sanzione del Garante privacy e rischi per 61.670 utenti
Il Garante per la protezione dei dati personali ha sanzionato The European House – Ambrosetti spa, società di consulenza strategica e think tank, con una multa di 85mila euro per gravi carenze nelle misure di sicurezza.
Il provvedimento nasce dal data breach che ha colpito il Forum Ambrosetti e i servizi online connessi, con esfiltrazione di dati personali di 61.670 persone, tra dipendenti di aziende clienti e personale interno.
L’incidente, avvenuto in Italia e notificato entro le 72 ore previste dal Gdpr, si è aggravato per la comunicazione tardiva agli interessati, avvenuta solo dopo l’intervento dell’Autorità.
Il Garante ha ritenuto inadeguate le misure tecniche e organizzative adottate da Ambrosetti e ha ribadito che le esigenze reputazionali non possono prevalere sui diritti delle persone coinvolte.
In sintesi:
- Sanzione da 85mila euro a The European House – Ambrosetti spa per gravi carenze di sicurezza.
- Data breach con esfiltrazione di dati di 61.670 utenti tra clienti e personale interno.
- Password conservate in chiaro o con crittografia inadeguata e credenziali obsolete non cancellate.
- Comunicazione agli interessati ritardata di due mesi, solo dopo provvedimento correttivo del Garante.
Come è avvenuto il data breach e cosa ha rilevato il Garante
L’attacco informatico al Forum Ambrosetti è riconducibile a un accesso non autorizzato ai sistemi tramite una vulnerabilità tecnica non correttamente gestita.
Secondo gli accertamenti dell’Autorità, sono stati esfiltrati nomi, cognomi, indirizzi email, username e password degli utenti che utilizzavano i servizi online di The European House – Ambrosetti spa.
Le verifiche del Garante hanno evidenziato violazioni multiple del Gdpr. Una parte delle password era conservata in chiaro, mentre le altre erano protette con tecniche crittografiche non allineate agli standard di sicurezza più avanzati, rendendo più probabile la compromissione delle credenziali.
Inoltre, la società conservava ancora credenziali relative a sistemi non più in uso, in violazione dei principi di limitazione della conservazione, minimizzazione e sicurezza dei dati personali.
Pur avendo notificato il data breach all’Autorità entro le 72 ore, Ambrosetti non ha informato tempestivamente gli interessati, nonostante l’elevato rischio potenziale per diritti e libertà.
La comunicazione agli utenti è arrivata solo dopo circa due mesi, a seguito di un provvedimento correttivo del Garante, che ha giudicato inaccettabile il ritardo motivato da esigenze reputazionali.
Implicazioni per le aziende italiane e prossime mosse sulla cybersecurity
Il caso Ambrosetti ribadisce che la conformità formale al Gdpr non è sufficiente senza misure tecniche robuste e processi di risposta agli incidenti realmente operativi.
La gestione delle password, l’aggiornamento dei sistemi e la cancellazione tempestiva delle credenziali obsolete diventano elementi centrali di responsabilità per tutti i titolari del trattamento.
Per le aziende italiane, soprattutto quelle che gestiscono servizi digitali a valore aggiunto, il provvedimento del Garante è un segnale chiaro: ritardi nella comunicazione agli utenti, anche se motivati da timori reputazionali, aggravano il rischio sanzionatorio e l’esposizione legale.
Questo precedente potrebbe spingere verso investimenti più strutturali in cybersecurity, audit periodici di sicurezza e piani di gestione dei data breach che privilegino trasparenza e tempestività rispetto alla mera tutela dell’immagine aziendale.
FAQ
Quali dati sono stati rubati nel data breach Ambrosetti?
Il data breach ha riguardato nomi, cognomi, indirizzi email, username e password di 61.670 utenti collegati ai servizi online Ambrosetti.
Perché il Garante ha sanzionato The European House – Ambrosetti?
Il Garante ha sanzionato Ambrosetti per misure di sicurezza inadeguate, password conservate in modo insicuro e tardiva comunicazione del data breach agli interessati.
Quanto tempo ha impiegato Ambrosetti a informare gli utenti colpiti?
La società ha informato gli utenti solo dopo circa due mesi dalla scoperta dell’incidente, a seguito del provvedimento correttivo del Garante.
Cosa devono fare le aziende per evitare sanzioni simili?
Le aziende devono adottare crittografia robusta, cancellare credenziali obsolete, aggiornare i sistemi e comunicare i data breach tempestivamente, seguendo rigidamente i requisiti del Gdpr.
Da quali fonti è stato elaborato questo articolo sulla sanzione Ambrosetti?
L’articolo è stato elaborato congiuntamente da informazioni provenienti da Ansa.it, Adnkronos.it, Asca.it e Agi.it, rielaborate dalla nostra Redazione.
Our Fact Checking Process
We prioritize accuracy and integrity in our content. Here's how we maintain high standards:
- Expert Review: All articles are reviewed by subject matter experts.
- Source Validation: Information is backed by credible, up-to-date sources.
- Transparency: We clearly cite references and disclose potential conflicts.
Our Review Board
Our content is carefully reviewed by experienced professionals to ensure accuracy and relevance.
- Qualified Experts: Each article is assessed by specialists with field-specific knowledge.
- Up-to-date Insights: We incorporate the latest research, trends, and standards.
- Commitment to Quality: Reviewers ensure clarity, correctness, and completeness.
Look for the expert-reviewed label to read content you can trust.