15 giugno 2026 · GDPR · Cybersecurity · Data Protection · 7 min

Data breach: cosa fare nelle prime 72 ore

Hai subito una violazione dei dati? Guida pratica alle prime 72 ore: quando notificare al Garante, cosa scrivere, quando avvisare le persone e cosa mettere agli atti.

Un dipendente apre l’allegato sbagliato e il gestionale viene cifrato da un ransomware. Una mail con l’elenco dei clienti parte all’indirizzo errato. Un ex collaboratore scarica il database prima di andarsene. Sono situazioni diverse, ma per il GDPR appartengono alla stessa categoria: una violazione dei dati personali, cioè un evento che compromette la riservatezza, l’integrità o la disponibilità dei dati che tratti.

Quando succede, il tempo conta. L’articolo 33 del Regolamento UE 2016/679 impone di notificare la violazione al Garante senza ingiustificato ritardo e, dove possibile, entro 72 ore dal momento in cui ne sei venuto a conoscenza. Le 72 ore decorrono da quando hai un ragionevole grado di certezza che un incidente di sicurezza si è verificato e ha riguardato dati personali, non da quando hai finito di analizzarlo.

Questa guida ripercorre cosa fare in quella finestra, nell’ordine in cui conviene farlo.

Ora zero: contieni e accerta

Prima ancora di pensare alla notifica, limita il danno. Isola il sistema colpito, revoca le credenziali compromesse, blocca l’invio se una comunicazione è partita per errore. In parallelo, ricostruisci i fatti essenziali:

  • Cosa è successo (cifratura, esfiltrazione, invio errato, perdita di un dispositivo).
  • Quali dati sono coinvolti e di quante persone, anche in modo approssimativo.
  • Quando è avvenuto e quando te ne sei accorto.
  • Se la violazione è ancora in corso o si è esaurita.

Annota l’ora in cui sei venuto a conoscenza dell’evento. È il dato da cui partono le 72 ore, e ti verrà chiesto.

Valuta il rischio per le persone

Non ogni violazione va notificata. La notifica al Garante è dovuta quando è probabile che dalla violazione derivi un rischio per i diritti e le libertà delle persone interessate. Resta esclusa solo l’ipotesi in cui il rischio sia improbabile: per esempio dati già pubblici, oppure dati cifrati in modo robusto con chiave rimasta al sicuro.

Per orientarti, pesa alcuni fattori: il tipo di dati (un elenco di email pesa diversamente da dati sanitari o credenziali bancarie), la quantità di persone, la facilità con cui qualcuno può identificarle, la possibilità di conseguenze concrete come frodi, furto d’identità o danno reputazionale. Nel dubbio sulla soglia, le linee guida del Comitato europeo per la protezione dei dati sulla notifica delle violazioni offrono esempi utili per casi tipici.

Entro 72 ore: notifica al Garante

Se il rischio non è improbabile, notifica. In Italia la notifica si trasmette attraverso la procedura telematica dedicata, raggiungibile dall’apposita sezione del sito del Garante. L’articolo 33, paragrafo 3, indica il contenuto minimo:

  • la natura della violazione, con le categorie e il numero approssimativo di persone e di record coinvolti;
  • i dati di contatto del responsabile della protezione dei dati (DPO) o di un altro punto di riferimento;
  • le probabili conseguenze della violazione;
  • le misure adottate o proposte per porvi rimedio e per attenuarne gli effetti.

Se non hai ancora tutte le informazioni, puoi notificare in più fasi: una prima comunicazione entro le 72 ore e gli aggiornamenti successivi quando l’analisi prosegue. Se notifichi oltre il termine, devi indicare i motivi del ritardo. La cosa da evitare è il silenzio: un ritardo motivato è gestibile, l’omessa notifica molto meno.

Quando avvisare anche le persone

C’è un secondo obbligo, distinto dal primo. Quando la violazione comporta un rischio elevato per i diritti delle persone, l’articolo 34 impone di comunicarlo anche agli interessati, senza ingiustificato ritardo e con un linguaggio chiaro. Lo scopo è metterli in condizione di proteggersi: cambiare una password, bloccare una carta, diffidare di tentativi di truffa che sfruttano i dati sottratti.

La comunicazione diretta non è dovuta se hai applicato misure che rendono i dati inintelligibili a chi non è autorizzato (come una cifratura solida), se hai adottato misure successive che scongiurano il rischio elevato, oppure se avvisare singolarmente ogni persona richiederebbe sforzi sproporzionati. In quest’ultimo caso si procede con una comunicazione pubblica equivalente.

Metti tutto agli atti

L’articolo 33, paragrafo 5, chiede di documentare qualsiasi violazione, comprese quelle che decidi di non notificare. Il registro deve dar conto delle circostanze, degli effetti e dei provvedimenti adottati, in modo che il Garante possa verificare a posteriori la correttezza delle tue valutazioni. Una violazione non notificata perché ritenuta a rischio improbabile va comunque registrata, con la motivazione della scelta. È la prova che hai valutato, non ignorato.

Errori frequenti

  • Far partire l’orologio troppo tardi. Le 72 ore decorrono dalla conoscenza dell’evento, non dalla fine delle indagini.
  • Confondere il fornitore con il titolare. Se i dati li gestisce un responsabile esterno (un fornitore IT, una piattaforma), lui deve avvisare te senza ingiustificato ritardo, ma la notifica al Garante spetta a te titolare.
  • Avvisare le persone senza dir loro cosa fare. Una comunicazione che non suggerisce contromisure concrete manca il suo scopo.
  • Non documentare le violazioni minori. Anche quelle che scegli di non notificare vanno registrate.

Se sei un soggetto NIS2?

Se la tua organizzazione rientra tra i soggetti essenziali o importanti del perimetro NIS2, recepito in Italia dal D.Lgs. 138/2024, tieni presente un secondo regime di notifica, con presupposti propri rispetto a quello privacy: la segnalazione al CSIRT Italia presso l’Agenzia per la Cybersicurezza Nazionale. Il suo presupposto è l’incidente «significativo», quello che ha causato o può causare una grave perturbazione dei servizi o perdite finanziarie rilevanti, oppure danni ad altri soggetti, anche senza alcun dato personale coinvolto. I due regimi non si attivano l’uno per l’altro in automatico: si sommano solo quando lo stesso evento integra al tempo stesso un incidente significativo ai sensi della NIS2 e una violazione di dati personali ai sensi del GDPR.

Gli obblighi di notifica sono fissati dall’art. 25 del D.Lgs. 138/2024. Le notifiche si trasmettono tramite la piattaforma digitale dell’ACN, lo stesso canale su cui i soggetti rientranti assolvono gli adempimenti di registrazione e censimento previsti dal sistema NIS2. La sequenza si articola su tre scadenze:

  1. Pre-allerta, entro 24 ore. Una prima segnalazione senza ingiustificato ritardo, e comunque entro 24 ore da quando sono venuti a conoscenza dell’incidente, in cui si indica se si sospetta una causa illecita o un possibile impatto transfrontaliero.
  2. Notifica, entro 72 ore. Aggiorna la pre-allerta con una valutazione iniziale dell’incidente: gravità, impatto e, dove disponibili, gli indicatori di compromissione.
  3. Relazione finale, entro un mese dalla notifica delle 72 ore. Riporta la descrizione dettagliata dell’incidente, la causa o il tipo di minaccia, le misure di mitigazione adottate e l’eventuale impatto su altri Stati. Se l’incidente è ancora in corso a quella data, si invia prima una relazione sullo stato di avanzamento, e quella finale entro un mese dalla chiusura.

Su richiesta del CSIRT può aggiungersi una relazione intermedia con gli aggiornamenti rilevanti. C’è poi un profilo distinto dalla sequenza di notifica, da valutare caso per caso: a seconda dell’impatto sul servizio e delle misure di mitigazione, può rendersi necessario o opportuno informare anche i destinatari, per esempio segnalando una minaccia in corso e le contromisure che possono adottare. Resta una valutazione legata al singolo incidente, priva della scadenza fissa che caratterizza gli adempimenti precedenti.

In concreto: un attacco ransomware che blocca i sistemi e compromette dati personali ricade in entrambi i regimi, e fa scattare sia la notifica al Garante prevista dall’art. 33 GDPR, sia la sequenza 24 e 72 ore verso l’ACN. Le decorrenze e i destinatari sono diversi, perciò conviene mappare in anticipo chi avvisa chi, ed entro quando.

Il punto

Nelle prime ore conta avere un metodo già pronto: chi decide, chi documenta, chi parla con il Garante. Preparare in anticipo una procedura interna e un fac-simile di notifica trasforma 72 ore di panico in una sequenza di passi ordinati. Se vuoi, è il primo controllo da fare prima che l’incidente arrivi davvero.

Questo articolo ha finalità divulgative e non sostituisce una valutazione sul caso concreto. Ogni violazione ha caratteristiche proprie: per la gestione di un incidente reale è opportuno un confronto specifico.

Domande frequenti

Da quando decorrono le 72 ore per notificare un data breach al Garante?

Dal momento in cui il titolare acquisisce un ragionevole grado di certezza che si è verificata una violazione di dati personali, non dalla fine dell'analisi tecnica dell'incidente. L'articolo 33 del GDPR chiede di notificare al Garante senza ingiustificato ritardo e, dove possibile, entro 72 ore da quel momento. Se la notifica arriva oltre il termine, va corredata dei motivi del ritardo.

Ogni violazione di dati personali va notificata al Garante?

No. La notifica è dovuta quando è probabile che dalla violazione derivi un rischio per i diritti e le libertà delle persone interessate. Resta esclusa solo l'ipotesi in cui il rischio sia improbabile, per esempio se i dati erano cifrati in modo robusto e la chiave è rimasta al sicuro. Anche le violazioni che si decide di non notificare vanno comunque registrate, come prevede l'articolo 33, paragrafo 5.

Quando devo avvisare anche le persone coinvolte nella violazione?

Quando la violazione comporta un rischio elevato per i loro diritti, l'articolo 34 del GDPR impone di comunicarlo agli interessati senza ingiustificato ritardo e con un linguaggio chiaro, così che possano proteggersi, per esempio cambiando una password o bloccando una carta. La comunicazione diretta non è dovuta se i dati erano resi inintelligibili, come con una cifratura solida, oppure se misure successive hanno scongiurato il rischio elevato.

La violazione è avvenuta presso un mio fornitore: chi deve notificare?

La notifica al Garante spetta al titolare del trattamento. Il fornitore che tratta i dati per suo conto, cioè il responsabile ai sensi dell'articolo 28 del GDPR, deve avvisare il titolare senza ingiustificato ritardo non appena viene a conoscenza della violazione, così da consentirgli di rispettare il termine delle 72 ore. Conviene prevederlo già nel contratto che nomina il responsabile.

Cosa devo conservare dopo una violazione dei dati?

L'articolo 33, paragrafo 5, del GDPR chiede di documentare ogni violazione in un registro interno, comprese quelle non notificate: le circostanze, gli effetti e i provvedimenti adottati. Per le violazioni ritenute a rischio improbabile va indicata anche la motivazione della scelta di non notificare. È la prova, in caso di controllo del Garante, di aver valutato l'incidente e non semplicemente ignorato.

Sono un soggetto NIS2: devo fare una doppia notifica?

I due obblighi sono autonomi e si sommano solo quando lo stesso evento è al tempo stesso un incidente significativo ai sensi della NIS2 e una violazione di dati personali. In quel caso convivono la notifica al Garante prevista dall'articolo 33 del GDPR e la segnalazione al CSIRT Italia presso l'ACN, con la sequenza di 24 e 72 ore propria della NIS2. Le decorrenze e i destinatari sono diversi, perciò conviene gestire i due binari in parallelo.

Data protectionCybersecurity
← Tutti gli articoli