Eppure, la sanzione è stata di quelle che fanno rumore: 31,8 milioni di euro.
Il recente provvedimento del Garante per la protezione dei dati personali (n. 208/2026) racconta una storia diversa da quelle a cui siamo abituati. Una storia che non riguarda sofisticate tecniche di intrusione, ma qualcosa di molto più semplice e proprio per questo più insidioso.
Un dipendente. Un accesso legittimo. Una curiosità trasformata in abitudine.
Per oltre due anni, migliaia di consultazioni di dati bancari sono avvenute senza alcuna giustificazione professionale, senza che nessun sistema fosse in grado di intercettarle.
Il dato più rilevante non è il comportamento individuale. È il silenzio del sistema.
Perché nessuno si è accorto di nulla?
La risposta è scomoda, ma necessaria: le aziende continuano a proteggersi dal rischio sbagliato.
La sicurezza informatica è ancora pensata come difesa verso l’esterno. Firewall, antivirus, autenticazione forte sono strumenti indispensabili, ma orientati a tenere fuori chi non deve entrare.
Il problema è che oggi il rischio più concreto non è fuori.
È dentro.
Si chiama insider threat e comprende tutte quelle situazioni in cui chi ha accesso legittimo ai dati li utilizza in modo improprio. Non necessariamente per danneggiare, non sempre per profitto. A volte semplicemente per curiosità.
E proprio questa apparente innocuità lo rende difficile da intercettare.
Un sistema che consente accessi ampi, senza monitoraggio comportamentale, non è un sistema efficiente. È un sistema esposto.
Il provvedimento del Garante è chiaro su un punto ovvero che la responsabilità non si ferma alla condotta del singolo.
Ricade sull’organizzazione.
Il GDPR non chiede solo di proteggere i dati, chiede di farlo in modo proporzionato al rischio reale.
E il rischio reale oramai include chi quei dati li utilizza ogni giorno.
Le misure per prevenire dette situazioni esistono da tempo: limitazione degli accessi, sistemi di alert, tracciamento delle attività, audit periodici, formazione concreta.
Non sono tecnologie futuristiche. Sono scelte organizzative.
Ed è proprio qui che molte aziende si fermano.
Perché intervenire sull’organizzazione significa cambiare abitudini, responsabilità, modelli operativi. Significa passare da un sistema basato sulla fiducia a uno basato sulla verifica.
Ma ciò è esattamente il passaggio richiesto oggi.
La lezione che arriva dal citato provvedimento è che la sicurezza non si misura solo da chi resta fuori. Si misura, soprattutto, da ciò che accade dentro.
Ed ignorarlo non è più un errore. È un rischio giuridico concreto.
Avv. Simona Maruccio
Giornalista pubblicista, opera da molti anni nel settore della compliance aziendale, del marketing e della comunicazione.