Alma Mater Studiorum - Università di Bologna

Sede di Forlì

Corso di Laurea in

Scienze criminologiche per l’investigazione e la sicurezza

(classe LM-88)

ELABORATO FINALE

Diritti in Internet e Illeciti Informatici

Titolo dell’Elaborato Finale

CANDIDATO/A RELATORE/RELATRICE
Virginia Zacchiroli [Link] Francesca Mollo

Anno Accademico 20**/20**

Dichiarazione di originalità
Si ricorda che il RD n. 475/1925 "Repressione della falsa attribuzione di lavori altrui
da parte di aspiranti al conferimento di lauree, diplomi, uffici, titoli e dignità
pubbliche” all’art. 1 configura la seguente ipotesi di reato:

“Chiunque in esami o concorsi, prescritti o richiesti da autorità o pubbliche

amministrazioni per il conferimento di lauree o di ogni altro grado o titolo scolastico
o accademico, per l'abilitazione all'insegnamento ed all'esercizio di una professione,
per il rilascio di diplomi o patenti, presenta, come propri, dissertazioni, studi,
pubblicazioni, progetti tecnici e, in genere, lavori che siano opera di altri, è punito
con la reclusione da tre mesi ad un anno. La pena della reclusione non può essere
inferiore a sei mesi qualora l'intento sia conseguito”.

Pertanto, si informa che il docente che sorprenderà il laureando/a a copiare -

parzialmente o totalmente - la propria tesi o il proprio elaborato finale da opere
altrui provvederà, in quanto pubblico ufficiale, a informare le Autorità giudiziarie
competenti.

Il/La sottoscritto/a ______________________ matr. n. _____________

iscritto/a al corso di laurea in ______________________________________________

candidato/a per la seduta di laurea del mese di ____________________________

consapevole

che presentare come opere proprie lavori che siano opera di altri configura
un reato penale ai sensi del RD n. 475/1925 "Repressione della falsa
attribuzione di lavori altrui da parte di aspiranti al conferimento di lauree,
diplomi, uffici, titoli e dignità pubbliche” 1

dichiara

sotto la propria responsabilità, che la propria tesi o elaborato finale è

originale, e non riproduce, neanche parzialmente, opere di altri come
proprie.

Forlì, __________________

Firma del laureando/a _______________________________________

1
Art. 1 RD 475/25 “Chiunque in esami o concorsi, prescritti o richiesti da autorità o pubbliche
amministrazioni per il conferimento di lauree o di ogni altro grado o titolo scolastico o accademico, per
l'abilitazione all'insegnamento ed all'esercizio di una professione, per il rilascio di diplomi o patenti,
presenta, come propri, dissertazioni, studi, pubblicazioni, progetti tecnici e, in genere, lavori che siano
opera di altri, è punito con la reclusione da tre mesi ad un anno. La pena della reclusione non può essere
inferiore a sei mesi qualora l'intento sia conseguito”

2
 Indice

Titolo della Tesi

Introduzione pag. **

Capitolo I pag. **

Titolo capitolo 1
1.1. Titolo paragrafo pag. **
1.2. Titolo paragrafo pag. **
1.3. Titolo paragrafo pag. **
1.4. Titolo paragrafo pag. **

Capitolo II pag. **

Titolo capitolo 2
2.1 Titolo paragrafo pag. **
2.2. Titolo paragrafo pag. **
2.3. Titolo paragrafo pag. **
2.4. Titolo paragrafo pag. **

Capitolo III pag. **

Titolo capitolo 3
3.1 Titolo paragrafo pag. **
3.2. Titolo paragrafo pag. **
3.3. Titolo paragrafo pag. **
3.4. Titolo paragrafo pag. **

Conclusioni pag. **
Allegati pag. **

3
Titolo allegato 1 pag. **
Titolo allegato 2 pag. **

Bibliografia pag. **

4
 Introduzione

Il patrimonio informativo di un'organizzazione rappresenta una risorsa

fondamentale per il conseguimento degli obiettivi strategici e operativi. Questo
patrimonio non si limita a dati e informazioni, ma comprende anche il know-how
e le competenze delle risorse umane, la cui protezione e valorizzazione sono
essenziali per il successo dell’impresa. Le informazioni possono assumere forme
diverse, che spaziano da archivi digitali e cartacei a conoscenze trasmesse
oralmente. In un contesto aziendale sempre più complesso e interconnesso, la
sicurezza delle informazioni emerge come un aspetto cruciale, poiché mira a
garantire la riservatezza, l'integrità e la disponibilità (RID) delle informazioni
aziendali.
La gestione del patrimonio informativo aziendale è un compito che richiede
attenzione e strategia, poiché questo patrimonio è il fondamento su cui poggiano
le decisioni strategiche, le operazioni quotidiane e le relazioni con clienti e
fornitori. La capacità di un'organizzazione di raccogliere, gestire e proteggere le
informazioni determina non solo la sua efficienza operativa, ma anche la sua
competitività nel mercato. Pertanto, la gestione del patrimonio informativo deve
essere considerata una priorità, e non un'attività secondaria. Un approccio
sistemico alla sicurezza delle informazioni non può limitarsi a soluzioni
tecnologiche, ma deve integrare aspetti organizzativi e umani. Le persone devono
essere formate e sensibilizzate sull'importanza della sicurezza delle informazioni
e sui rischi associati alla loro gestione. Questo implica un cambiamento nella
mentalità aziendale, dove ogni individuo diventa custode della sicurezza delle
informazioni, contribuendo attivamente alla protezione del patrimonio
informativo.
Il Sistema di Gestione della Sicurezza delle Informazioni (SGSI) rappresenta uno
strumento fondamentale per garantire la sicurezza delle informazioni. Basato
sulla norma ISO/IEC 27001, il SGSI consente alle organizzazioni di avere una

5
visione d'insieme della sicurezza delle informazioni, identificando i rischi e
implementando misure di mitigazione adeguate. Attraverso l'adozione di un
SGSI, le organizzazioni possono monitorare continuamente le proprie pratiche di
sicurezza, garantendo che siano sempre allineate agli obiettivi strategici e alle
normative vigenti. Con l'entrata in vigore del Regolamento Generale sulla
Protezione dei Dati (GDPR), le organizzazioni devono affrontare obblighi
rigorosi in materia di protezione dei dati personali. Il GDPR impone alle aziende
di adottare misure tecniche e organizzative adeguate per garantire la sicurezza
delle informazioni, ponendo particolare attenzione alla riservatezza e alla
protezione dei diritti degli individui. L'interazione tra il GDPR e il SGSI offre
un'opportunità unica per le organizzazioni di rafforzare le proprie pratiche di
sicurezza, integrando i requisiti normativi con le strategie di gestione della
sicurezza delle informazioni.
La gestione del patrimonio informativo deve essere considerata lungo tutto il
ciclo di vita dei dati, dalla raccolta alla conservazione, fino all'eliminazione. È
fondamentale che le organizzazioni implementino misure di sicurezza adeguate
in ogni fase del ciclo di vita dei dati, tenendo conto delle minacce e delle
vulnerabilità specifiche associate a ciascuna fase. La triade RID (riservatezza,
integrità e disponibilità) costituisce il fulcro della sicurezza delle informazioni.
La riservatezza garantisce che solo le persone autorizzate possano accedere alle
informazioni sensibili, mentre l'integrità assicura che i dati non siano alterati o
corrotti. La disponibilità, infine, garantisce che le informazioni siano accessibili
quando necessario. Queste tre dimensioni, sebbene distinte, sono interconnesse e
richiedono un bilanciamento attento. Misure di sicurezza mirate a rafforzare una
dimensione possono influenzare le altre, rendendo essenziale un approccio
olistico alla sicurezza delle informazioni.
Un aspetto cruciale nella gestione della sicurezza delle informazioni è la
formazione del personale. Gli incidenti di sicurezza sono spesso causati da errori
umani, come la condivisione involontaria di informazioni sensibili o l'uso di
password deboli. Pertanto, è fondamentale che le organizzazioni investano nella

6
formazione continua del personale, promuovendo una cultura della sicurezza che
incoraggi la responsabilità individuale. La consapevolezza sui rischi associati alla
sicurezza delle informazioni deve essere parte integrante della formazione
aziendale, affinché ogni dipendente possa contribuire attivamente alla protezione
del patrimonio informativo.
Le violazioni dei dati rappresentano una minaccia significativa per le
organizzazioni, con conseguenze potenzialmente devastanti. È essenziale che le
aziende sviluppino piani di risposta agli incidenti, che includano procedure chiare
per la gestione delle violazioni dei dati. Questi piani devono prevedere azioni
tempestive per contenere e mitigare l'impatto delle violazioni, nonché per
informare le autorità competenti e gli interessati, in conformità con le
disposizioni del GDPR. Una gestione efficace delle violazioni non solo riduce i
danni immediati, ma contribuisce anche a mantenere la fiducia dei clienti e a
proteggere la reputazione dell'organizzazione.
Il panorama normativo in continua evoluzione, rappresentato dal GDPR, richiede
che le organizzazioni non solo si conformino a requisiti legali, ma che sviluppino
anche una cultura della sicurezza informatica integrata nelle loro operazioni
quotidiane. Questo approccio non solo migliora la protezione dei dati, ma
consente anche alle aziende di adattarsi rapidamente ai cambiamenti del contesto
normativo e tecnologico. L'implementazione di un SGSI, in linea con le norme
ISO/IEC 27001, offre un framework strutturato per affrontare le sfide della
sicurezza delle informazioni, facilitando la gestione dei rischi e garantendo la
conformità alle normative.
L'importanza della sicurezza delle informazioni è ulteriormente accentuata dalla
crescente digitalizzazione delle operazioni aziendali. Con l'aumento della
dipendenza dalle tecnologie digitali, le organizzazioni devono affrontare nuove
minacce e vulnerabilità. Gli attacchi informatici diventano sempre più sofisticati
e mirati, richiedendo misure di sicurezza proattive e reattive. Le organizzazioni
devono essere pronte a identificare e rispondere a queste minacce in tempo reale,
sviluppando capacità di monitoraggio e rilevamento avanzate. Inoltre, la

7
collaborazione tra diverse funzioni aziendali, come IT, risorse umane e legale, è
fondamentale per garantire un approccio integrato alla sicurezza delle
informazioni.
La crescente interconnessione tra sistemi e reti richiede un'attenzione particolare
alla gestione delle identità e degli accessi. Le aziende devono implementare
controlli rigorosi per garantire che solo le persone autorizzate possano accedere
alle informazioni sensibili. Ciò include l'uso di autenticazione multifattore,
gestione delle password e monitoraggio degli accessi. La formazione continua
del personale su pratiche di sicurezza e l'adozione di tecnologie avanzate possono
contribuire significativamente a ridurre il rischio di violazioni.
La sicurezza delle informazioni è una responsabilità condivisa che coinvolge tutti
i livelli dell'organizzazione. È fondamentale che le aziende sviluppino una
cultura della sicurezza che promuova la consapevolezza e la responsabilità
individuale. L'adozione di un SGSI e il rispetto delle normative vigenti, come il
GDPR, forniscono un quadro solido per garantire la protezione del patrimonio
informativo. Attraverso un approccio integrato e sistemico, le organizzazioni
possono affrontare le sfide della sicurezza delle informazioni e proteggere
efficacemente i propri dati e quelli dei propri clienti. La presente tesi si propone
di esplorare questi temi in modo approfondito, offrendo una visione completa
della sicurezza delle informazioni nell'era digitale, con particolare attenzione
all'importanza di un approccio proattivo e olistico alla gestione della sicurezza.

8
 Capitolo I

I FONDAMENTI DELLA SICUREZZA DELLE INFORMAZIONI

1. 1. Il patrimonio informativo aziendale

Il patrimonio informativo può essere definito come un insieme eterogeneo di elementi

conoscitivi che contribuiscono al raggiungimento degli obiettivi strategici e allo
svolgimento delle attività operative all’interno di un’organizzazione. Questi elementi
possono assumere diverse forme, che possono corrispondere sia alle informazioni
conservate all’interno di archivi digitali, cartacei, o a informazioni trasmesse dagli
individui in forma orale.
Possono, inoltre, rientrare nel patrimonio informativo aziendale le conoscenze che le
persone acquisiscono nel tempo attraverso l’esperienza professionale e le interazioni
all’interno dell’organizzazione. Tali conoscenze sono importanti poiché influenzano le
decisioni, i processi operativi e la capacità dell’organizzazione di raggiungere i propri
obiettivi.
Il patrimonio informativo non si limita, pertanto, alle sole informazioni documentate,
ma comprende anche il know-how e le competenze legate alle risorse umane, la cui
tutela e valorizzazione contribuiscono al raggiungimento degli obiettivi
dell’organizzazione.
Approcciarsi al tema della sicurezza delle informazioni nel contesto aziendale non
comporta, pertanto, il limitarsi all’analisi della dimensione tecnologica propria dei
sistemi informatici, ma implica l’adozione di un approccio sistemico, che integri aspetti
tecnologici, organizzativi e umani. I sistemi informatici, pur svolgendo un ruolo cruciale
nel ciclo di vita dei dati, concorrono solo in minima parte alla creazione di valore. Nel
momento in cui un’informazione viene elaborata, interpretata, trasmessa o conservata,
infatti, entrano in gioco sia componenti tecnologiche, come server, applicazioni e
dispositivi, sia componenti umane, quali conoscenza, azioni e decisioni.

9
Prima di proseguire, è utile chiarire la nozione di organizzazione. Nel presente
elaborato, questo termine viene utilizzato per identificare “ogni forma di impresa,
azienda, ente, associazione, agenzia” (Gallotti 2022, 17 2). L’organizzazione si compone
di processi, ossia di attività fra di loro interrelate o interagenti che trasformano elementi
in ingresso (input) in elementi in uscita (output).
La definizione e l’analisi dei processi risultano spesso complesse perché un processo è
fatto da più attività, collegate tra loro, e ciascuna di esse può essere svolta in modi
diversi, utilizzando strumenti o approcci differenti. Questo fa sì che, anche perseguendo
lo stesso obiettivo, il processo possa funzionare in maniera diversa a seconda delle
scelte organizzative adottate. Affinché il processo che conduce al raggiungimento degli
output attesi sia adeguato e reiterabile, è fondamentale che esso sia tracciato e
monitorato nel tempo. In aggiunta, è necessario che eventuali scostamenti rispetto agli
output desiderati e, le relative azioni correttive, siano previsti dall’organizzazione, sin
dalla fase di progettazione (by design) del processo.

Un elemento essenziale di ogni organizzazione è il sistema informativo aziendale, che

comprende l’insieme dei processi attraverso i quali vengono gestite informazioni di
varia natura, sulla base delle quali gli organi direttivi dell’organizzazione concordano le
decisioni strategiche e le politiche di business.
Nell’ambito aziendale è possibile individuare numerosi esempi di sistemi informativi,
come ad esempio i sistemi utilizzati per la gestione delle presenze del personale, per la
fatturazione dei clienti o per il controllo del magazzino, e ognuno di essi deve essere
progettato in modo efficace.

“I requisiti di un sistema informativo, idoneo a supportare il

processo decisionale e ad essere comunicato all’esterno, vanno
ricercati nella selettività, vale a dire l’idoneità dei flussi
informativi a servire un dato processo decisionale; nella
elasticità, nel senso di essere pronto ad adattarsi ai cambiamenti
del sistema decisionale; nella affidabilità, basata sui processi di
trasmissione dei dati e sull’ampiezza delle informazioni
elaborate; nella convenienza, valutabile in termini di rapporto
costi-benefici; nella accettabilità, in termini di validità
2
Gallotti C. 2022. Sicurezza delle informazioni. Gestione del rischio. I sistemi di gestione per la
sicurezza delle informazioni. La norma ISO/IEC 27001: 2022. I controlli della ISO/IEC 27002:2022.
Streetlib.

10
 soggettiva delle informazioni ricevute e della loro efficacia
oggettiva; nella integrazione delle informazioni, attraverso la
quale si perviene alla massima efficacia dei processi
comunicativi; nella tempestività, vale a dire nella sua
disponibilità in tempo utile ad avviare il processo decisionale.”
(Paolone G. 2012, 363)

Le caratteristiche sopracitate rappresentano criteri guida da seguire in ogni fase del ciclo
di vita di un sistema informativo. Una prima fase consiste nella definizione del
fabbisogno informativo4, inteso come l’insieme delle informazioni indispensabili per il
corretto svolgimento delle attività aziendali.

Lo scopo di un sistema informativo è infatti quello di soddisfare le esigenze di

conoscenza che emergono sia dall’interno sia dall’esterno dell’organizzazione. Si pensi,
ad esempio, ai documenti relativi ai contratti di lavoro dei dipendenti, che devono essere
prodotti per rispondere a richieste informative interne, provenienti dagli stessi lavoratori
e dalle funzioni aziendali, e a obblighi informativi esterni, imposti dalle leggi vigenti.
Oltre all’individuazione del fabbisogno informativo, è necessario svolgere uno studio di
fattibilità, ossia un’analisi in termini economici per valutare se i costi legati alla
realizzazione del sistema informativo e al reperimento delle risorse necessarie possano
essere compensati dai benefici. Qualora lo studio di fattibilità produca un esito positivo,
la fase di analisi prosegue non più in termini economici, ma in termini tecnici, in quanto
si focalizza sullo studio delle componenti del sistema informativo da progettare e sulle
relative funzionalità. Conclusa la fase di analisi, si passa alla fase di progettazione e
successivamente a quella di collaudo. Quest’ultima ha lo scopo di testare che tutte le
componenti del sistema funzionino correttamente e far emergere eventuali criticità, in
modo tale che possano essere sanate prima della fase conclusiva di implementazione.
Una volta superati i test, il sistema informativo viene avviato e diviene operativo. Si
apre così la fase di esercizio e di manutenzione del sistema, che necessità di essere
aggiornato nel tempo e migliorato a fronte di nuove necessità o criticità. L’ultima fase
corrisponde, infine, all’eliminazione, che si verifica quando il sistema viene dismesso.

3
Paolone, G. (2012). Il sistema informativo aziendale. Maggioli Editore.
4
D’angiolo F. (2010). Impatti dell'integrazione fra sistema informatico e fabbisogno informativo ai vari
livelli di automazione, [Link] consultato il 02/12/2025.

11
Ogni sistema informativo si basa su informazioni e queste hanno origine dai dati. I
termini “dato” e “informazione” vengono spesso usati come sinonimi nel linguaggio
comune, tuttavia in questo contesto è utile chiarirne i caratteri distintivi. Il dato è una
mera descrizione oggettiva di un elemento della realtà, come un evento o un fatto, senza
alcun tipo di elaborazione o interpretazione. Dunque, il dato di per sé non ha un
significato, ma lo assume nel momento in cui diventa informazione. Quest’ultima
corrisponde, infatti ad un dato che, attraverso l’elaborazione, l’interpretazione e
l’inserimento in un contesto specifico, acquisisce significato e diventa, pertanto,
comprensibile5.

Per riassumere, i dati acquisiscono valore quando vengono elaborati e contestualizzati,

trasformandosi in informazioni utili a supportare processi e decisioni. La gestione del
patrimonio informativo, quindi, non riguarda solo la disponibilità di dati, ma soprattutto
la capacità di tramutarli in conoscenza e di utilizzarla in modo coerente rispetto agli
obiettivi dell’organizzazione.

Il modello DIKW (Data, Information, Knowledge, Wisdom) è spesso richiamato per

rappresentare in maniera sintetica questo percorso di valorizzazione, poiché descrive il
processo attraverso il quale i dati si trasformano prima in informazioni, poi in
conoscenza e infine in saggezza, intesa come capacità decisionale.

5
Barillaro A. 2025 “Differenza tra dato e informazione”, Differenza tra dato e informazione |
Informatica per tutti, consultato il 20/12/2025.

12
Alla base della piramide si trovano i dati, ossia le descrizioni oggettive di un elemento
della realtà sopracitate, prive di significato intrinseco. Nel gradino superiore della
piramide si collocano le informazioni, ottenute dall’organizzazione, contestualizzazione
e interpretazione dei dati. Le informazioni acquisiscono così valore e diventano
comprensibili, generando la conoscenza, la quale rappresenta il gradino successivo della
piramide.
Infine, al vertice si trova la saggezza, che implica la capacità di applicare la conoscenza
all’interno del contesto organizzativo. In altre parole, la saggezza si traduce nella
capacità di sfruttare le conoscenze acquisite per fare riflessioni e previsioni e prendere
decisioni strategiche coerenti con gli obiettivi di business.
Pur essendo utile come rappresentazione concettuale, il modello non riflette pienamente
la natura iterativa dei processi decisionali. Nello specifico, nelle organizzazioni
l’esperienza e le decisioni assunte nel tempo orientano la raccolta dei dati e influenzano
le chiavi interpretative con cui essi vengono analizzati. Nonostante tale limite, la
piramide DIKW risulta efficace, in questa sede, come schema di riferimento per
rappresentare l’incremento di valore che accompagna la contestualizzazione del dato.

Fig. 1 La piramide DIKW

13
In questa prospettiva, la natura dei dati trattati assume un rilievo decisivo, poiché non
tutti i dati generano le stesse implicazioni in termini di rischio, responsabilità e misure
di protezione. All’interno della categoria dei dati in senso lato, acquisisce particolare
importanza, ai fini del tema trattato nel presente elaborato, la sottocategoria dei dati
personali. Per dato personale si intende “qualsiasi informazione riguardante una persona
fisica identificata o identificabile («interessato»); si considera identificabile la persona
fisica che può essere identificata, direttamente o indirettamente, con particolare
riferimento a un identificativo come il nome, un numero di identificazione, dati relativi
all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua
identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.” (Articolo
4 Regolamento UE 27 aprile 2016, n. 679 6). Alcuni dati personali, come quelli
anagrafici, facilitano un'immediata identificazione della persona alla quale
appartengono. Altri, come ad esempio il codice fiscale, ne consentono l’individuazione
solo in modo indiretto. Il ciclo di vita dei dati comprende diverse fasi, illustrate nella
Fig. 2 sotto riportata.

Fig. 2 Il ciclo di vita del dato

6
Regolamento UE n. 2016/679 (GDPR)

14
L’analisi di tali fasi mostra che i requisiti di sicurezza e le misure di protezione non
sono elementi statici e immutabili, ma variano in funzione delle operazioni svolte e dei
contesti in cui il dato viene trattato.

Questa prospettiva risulta utile sia in ottica di sicurezza delle informazioni sia in ottica
data protection. Da un lato, perché consente di individuare le fasi del ciclo di vita del
dato in cui quest’ultimo è maggiormente esposto a rischi e di associare controlli
adeguati a ciascuna fase. Dall’altro, perché ogni fase del ciclo di vita del dato
corrisponde a specifici trattamenti in ottica GDPR e, dunque, l’analisi di ogni fase
permette di individuare in modo chiaro chi sia il soggetto titolare del trattamento, il
responsabile, i destinatari e quali siano i relativi obblighi (ad esempio relativi al rilascio
del consenso, informativa, individuazione della base giuridica, limitazione del tempo di
conservazione).

Per aggiungere un ulteriore elemento all’interno dell’analisi, risulta opportuno chiarire

la differenza tra sistema informativo e sistema informatico. Il primo identifica un
ecosistema più ampio che comprende infrastrutture fisiche, attività di elaborazione
manuale e automatizzata dei dati, nonché risorse umane e tecnologiche che generano,
trasmettono e conservano informazioni. Il secondo, invece, riguarda nello specifico le
componenti tecnologiche automatizzate, ossia hardware e software che supportano il
funzionamento del sistema informativo.

Nel prosieguo verrà definito in modo più puntuale il concetto di asset.

Alla luce delle considerazioni sin qui svolte, il patrimonio informativo di

un’organizzazione può essere inteso come un insieme di asset informativi, ciascuno dei
quali ha un valore per l’organizzazione e, in quanto tale, necessita di adeguate misure di
protezione. Tra i compiti più difficili che un’organizzazione è chiamata a svolgere
rientra la valorizzazione del proprio patrimonio informativo, a partire
dall’individuazione degli asset che lo compongono, dei soggetti che vi accedono, delle
modalità e degli scopi per i quali le informazioni vengono utilizzate e dei luoghi in cui
sono conservate. Tale attività di ricognizione è fondamentale, poiché ciascun asset
contribuisce in misura diversa al perseguimento degli obiettivi strategici ed è dunque

15
differente dagli altri. Questa eterogeneità non deve essere sottovalutata, poiché
comporta esigenze di tutela e livelli di protezione differenti che, se non adeguatamente
considerati, possono tradursi in vulnerabilità ed esposizione ai rischi.

Affinché un’organizzazione possa proteggere in modo adeguato il proprio patrimonio

informativo, è dunque di primaria importanza che comprenda quali siano le sue
componenti, la loro priorità e gli obiettivi di sicurezza da perseguire in relazione al
contesto operativo. È inoltre necessario individuare le misure di sicurezza da adottare,
affinché la protezione sia proporzionata ai rischi. Nei paragrafi successivi tale
prospettiva verrà approfondita attraverso l’analisi degli asset informativi, introducendo
le tre dimensioni fondamentali della sicurezza delle informazioni, la cui protezione
costituisce la base per l’implementazione di un Sistema di Gestione della Sicurezza
delle Informazioni.

1.2. Asset informativi, minacce e vulnerabilità

La norma ISO/IEC 27000 definisce l’asset come “qualsiasi cosa che abbia valore per
l’organizzazione” (ISO,20187). Tale definizione appare dunque ampia e trasversale,
poiché include tutti gli elementi meritevoli di protezione in virtù del valore che
generano, quali infrastrutture, processi, persone, software, hardware e informazioni.
La norma introduce, inoltre, una differenziazione tra asset primari e di supporto.
Gli asset primari sono le attività e processi di business, il cui corretto funzionamento è
reso possibile e sostenuto dagli asset di supporto, quali, ad esempio, le infrastrutture
fisiche e tecnologiche e le risorse umane.
Un asset informativo è dunque un sottoinsieme di asset focalizzato su dati e
informazioni (in formato cartaceo, digitale o verbale) e sulle risorse che ne gestiscono il
ciclo di vita. Ai fini della salvaguardia della sicurezza delle informazioni, è necessario
che un’organizzazione sia dotata di un inventario degli asset, ottenibile attraverso
software dedicati o check-list realizzate manualmente.
Secondo quanto definito dal controllo 5.9 della ISO/IEC 27001:2024, “deve essere
sviluppato e mantenuto un inventario delle informazioni e degli asset relativi, compresi i

7
ISO/IEC 27000:2018, Information technology — Security techniques — Information security
management systems — Overview and vocabulary

16
responsabili” (ISO 2024, 138). Tale inventario deve riflettere, inoltre, la classificazione
delle informazioni, così come definita dal controllo 5.12 della stessa norma. Nello
specifico, “le informazioni devono essere classificate in base alle esigenze di sicurezza
delle informazioni dell’organizzazione sulla base dei requisiti di riservatezza, integrità,
disponibilità e delle parti interessate pertinenti” (Ibid.)
Mediante l’inventario è quindi possibile determinare i) tipologia e attributi degli asset,
ii) il proprietario designato, iii) l’ambito di utilizzo e iv) la priorità di protezione in
termini di sicurezza delle informazioni. In tale prospettiva, l’individuazione dell’owner
designato ha un valore non solo formale, poiché risponde a esigenze di governance.
Infatti l’owner dell’asset informativo è tenuto a definire la classificazione dell’asset, a
stabilirne i requisiti minimi di protezione e a contribuire alla definizione delle regole di
accesso e condivisione, assicurando coerenza con il contesto operativo e con le politiche
dell’organizzazione.

Oltre a censire gli asset informativi, è fondamentale definirne i requisiti di sicurezza.

Questi ultimi risultano, infatti, indispensabili poiché ogni asset è esposto a minacce e
vulnerabilità che sono da evitare.
La ISO/IEC 27000, a tal proposito, definisce le minacce come potenziali cause di
incidenti in grado di compromettere uno o più asset informativi. Le minacce possono
essere intenzionali (ad esempio attacchi cibernetici, phishing, malware) o non
intenzionali (ad esempio errori umani, guasti tecnici, eventi naturali). Le vulnerabilità
sono definite come “debolezze di un asset o di un controllo che possono essere sfruttate
da una o più minacce”. Tali debolezze rappresentano, dunque, fattori intrinsechi, di
natura tecnica, organizzativa o procedurale, che assumono criticità qualora vengano
posti in relazioni a minacce in grado di sfruttarli. Allorché una minaccia sfrutta la
vulnerabilità di un asset, si concretizza uno scenario di rischio per l’asset interessato.

I requisiti di sicurezza precedentemente delineati si pongono l’obiettivo di

salvaguardare tre proprietà essenziali delle informazioni, ossia riservatezza, integrità e
disponibilità, note come triade CIA (confidentiality, integrity, availability), in lingua
italiana ricorrono spesso come RID (Riservatezza, Integrità, Disponibilità). Nel presente
8
ISO/IEC 27001:2024, Information technology — Security techniques — Information security
management systems — Requirements

17
elaborato si farà riferimento prevalentemente alla terminologia CIA, mantenendo RID
come equivalente. L’adozione di tale paradigma consente di superare un approccio
universale, nel quale tutte le informazioni verrebbero trattate nello stesso modo, per
privilegiare invece una strategia differenziata e proporzionata al valore intrinseco degli
asset informativi e al rischio derivante da una loro eventuale compromissione. La
definizione dei requisiti di sicurezza non si basa esclusivamente sul valore intrinseco di
un asset informativo, ma è influenzata dal contesto di utilizzo delle informazioni. In
aggiunta alle necessità che caratterizzano il contesto interno della singola
organizzazione, devono essere tenuti in considerazione fattori esterni, quali ad esempio i
requisiti legali e regolamentari applicabili ed i vincoli contrattuali assunti nei confronti
di clienti e fornitori.

Ciò che emerge dall’analisi condotta fino a qui è che asset informativi, minacce e
vulnerabilità sono fattori fortemente interconnessi. Nel paragrafo successivo le proprietà
delle informazioni saranno analizzate nel dettaglio e correlate al concetto di rischio,
poiché lo studio di tale relazione rappresenta la base per condurre l’analisi del rischio.

1.3. Le proprietà delle informazioni

La salvaguardia delle informazioni si fonda su tre pilastri fondamentali: riservatezza,

integrità e disponibilità (RID), caratteristiche che devono essere garantite durante
l’intero ciclo di vita delle informazioni.
Nel linguaggio comune spesso si tende a sovrapporre il concetto di informazione
riservata a quello di informazione segreta, rendendo il contenuto di quest’ultima non
divulgabile a nessun individuo. Tuttavia, tale interpretazione risulta errata, poiché
la riservatezza (confidentiality) non implica la segretezza di un’informazione, ma
richiede piuttosto la definizione e la gestione dei diritti di accesso. In tal senso, può
essere definita come la proprietà di un’informazione che ne limita l’accesso ai soli
soggetti autorizzati.
Essa implica che le informazioni sensibili siano accessibili esclusivamente in base al
principio della necessità di conoscenza (need to know) e a quello del privilegio
minimo (least privilege), entrambi principi volti a ridurre il rischio di data

18
breach derivanti da accessi non autorizzati.
Il primo principio consente l’accesso soltanto a chi deve utilizzare specifiche
informazioni per lo svolgimento delle proprie mansioni, in relazione al ruolo ricoperto
all’interno dell’organizzazione. Il secondo, complementare al primo, limita
ulteriormente il livello di accesso, stabilendo che ogni individuo, sistema o servizio,
disponga unicamente dei privilegi strettamente necessari all’esecuzione delle proprie
attività operative.
Passando alla seconda dimensione fondamentale della sicurezza delle informazioni,
ossia l’integrità (integrity), quest’ultima è la proprietà che garantisce che l’informazione
non venga alterata o corrotta attraverso manipolazioni non autorizzate che possono
comprometterne la validità.
La terza dimensione, la disponibilità (availability), garantisce che le informazioni e le
risorse associate siano accessibili e utilizzabili quando richieste dagli utenti autorizzati.
Essa protegge contro interruzioni di servizio, attacchi denial-of-service (DoS) o guasti
tecnici che potrebbero impedire l’accesso tempestivo ai dati critici per le operazioni
organizzative.

Le dimensioni sopracitate appaiono dunque distinte tra loro, ma fortemente

interdipendenti, poiché una misura di sicurezza pensata per rafforzare una di esse, può
avere effetti collaterali, positivi o negativi, sulle altre. Ad esempio, meccanismi di
autenticazione multifattoriale, attraverso i quali l’identità dell’utente viene verificata più
volte e con modalità differenti, possono potenziare la riservatezza delle informazioni.
Tuttavia, se tali meccanismi non vengono correttamente integrati all’interno dei
processi, possono complicare l’accesso alle informazioni, limitandone la disponibilità.

19
Fig. 3 Esempio di eventi che possono avere un impatto su uno o più parametri RID (Fonte: Gallotti 2022,
14)

Come sottolineano Whitman e Mattord (20099), la tutela delle tre proprietà sopracitate
mantiene oggi la stessa rilevanza di un tempo. Tuttavia, il tradizionale modello
triangolare non risulta più pienamente adeguato a rispondere alle esigenze e alle
trasformazioni del panorama informatico contemporaneo.

Accanto alla triade RID, esistono ulteriori proprietà delle informazioni che assumono
particolare rilievo.
L’autenticità è definita dalla ISO/IEC 27000:2018 come “la proprietà per cui un’entità è
ciò che dichiara di essere” (ISO, 201810). Secondo Alverone e Perego (202411), tale
proprietà consente di avere certezza sia della fonte dalla quale proviene l’informazione,
sia del fatto che quest’ultima non sia stata modificata. Ciò assicura il rispetto della
cosiddetta catena di custodia, definita dagli stessi autori come “una traccia cronologica
non alterabile che registra ogni fase del ciclo di vita di un documento, coinvolgendo
anche i fornitori.” (Ivi, 166). La completezza dell’informazione garantisce, infatti, che
quest’ultima non presenti delle mancanze.

9
Whitman ME, Mattord HJ 2018. Principles of information security. Cengage Learning, Boston
10
ISO/IEC 27000:2018, Information technology — Security techniques — Information security
management systems — Overview and vocabulary
11
Alverone G., Perego M 2024. Il modello organizzativo NIS 2 (MONIS), Il [Link]. 138/2024 in pratica.
Edizioni Simone, Napoli.

20
Il non ripudio viene definito dalla ISO/IEC 27000:2018 come “la capacità di provare il
verificarsi di un evento o di un'azione dichiarati e le entità che ne sono all'origine” (ISO,
201812). L’obiettivo è dunque evitare che una persona possa negare di aver compiuto
una determinata operazione. Infine, la tracciabilità è da intendersi come la “possibilità di
sapere chi ha avuto accesso a un’informazione e chi l’ha modificata” (Gallotti 2022,
1313).

1.4. I concetti di rischio e cyber risk

Il rischio rappresenta l’elemento chiave che consente di mettere in relazione il valore

attribuito agli asset informativi, le proprietà delle informazioni da salvaguardare e le
misure di protezione che l’organizzazione intende adottare. La normativa ISO/IEC
27000 lo definisce come “l’effetto dell’incertezza sugli obiettivi.” (ISO, 201814).
I rischi possono avere sia effetti positivi sia effetti negativi. Nella prospettiva di Gallotti
(202215), la sicurezza delle informazioni tratta esclusivamente i rischi che producono
effetti negativi. Nello specifico, il livello di rischio viene normalmente stimato mettendo
in relazione la probabilità o verosimiglianza che un evento si verifichi con le
conseguenze che ne deriverebbero.
Il rischio informatico (cyber risk) corrisponde alla “possibilità di danni o perdite dovuti
ad accesso non autorizzato, utilizzo, divulgazione, interruzione, modifica o distruzione
di risorse IT, OT o informative. Il rischio informatico è una funzione dell'impatto, della
probabilità e della suscettibilità” (C2M2, Glossary).

La Tabella 1di seguito riassume alcune definizioni del fenomeno, evidenziandone la

natura multidimensionale.

12
ISO/IEC 27000:2018, Information technology — Security techniques — Information security
management systems — Overview and vocabulary
13
Gallotti C. 2022. Sicurezza delle informazioni. Gestione del rischio. I sistemi di gestione per la
sicurezza delle informazioni. La norma ISO/IEC 27001: 2022. I controlli della ISO/IEC 27002:2022.
Streetlib
14
ISO/IEC 27000:2018, Information technology — Security techniques — Information security
management systems — Overview and vocabulary
15
Gallotti C. 2022. Sicurezza delle informazioni. Gestione del rischio. I sistemi di gestione per la
sicurezza delle informazioni. La norma ISO/IEC 27001: 2022. I controlli della ISO/IEC 27002:2022.
Streetlib

21
 Tabella 1 – Sintesi delle definizioni accademiche e degli sviluppi concettuali sul rischio informatico

(Fonte: Vota V. 2025)16

In termini operativi, la combinazione tra probabilità e impatto è spesso sintetizzata

attraverso la formula “probabilità × impatto”. Tuttavia, nella pratica il risultato di tale
stima non è un semplice calcolo aritmetico. Le organizzazioni definiscono criteri e scale
di valutazione (qualitative o quantitative) per graduare, da un lato, la verosimiglianza di
accadimento e, dall’altro, la severità delle conseguenze, tenendo conto del contesto
(asset coinvolti, minacce, vulnerabilità, controlli già in essere) e delle proprie soglie di
accettazione.

16
Vota, V. 2025, Cybersecurity e gestione del rischio informatico nella governance aziendale: evidenze
dalla letteratura e strumenti operativi. Economia Aziendale Online, 16(3), 1031-1054.

22
Nella prospettiva di Alemanno (201717), la concezione pluralistica del rischio che si è
affermata nel contesto contemporaneo rappresenta un approccio capace non solo di
cogliere la complessità e la natura multidimensionale di questo fenomeno, ma anche di
offrirne una comprensione più completa e aderente alla realtà. Quando si parla di
rischio, è opportuno definirne un’unità di misura. Nello specifico, il livello di rischio
può essere definito come l’entità di un rischio ottenuta dalla combinazione tra le sue
conseguenze e la verosimiglianza delle stesse. Gallotti (2022 18) individua le fondamenta
dell’analisi del rischio, elencandone gli elementi essenziali, tra cui le minacce e la loro
probabilità o verosimiglianza, le vulnerabilità e la loro gravità, i controlli di sicurezza e
la loro robustezza, gli asset e il valore degli stessi e il contesto.
Le fasi della valutazione del rischio saranno oggetto di analisi dettagliata nel capitolo
successivo.

Proteggere il patrimonio informativo aziendale non significa eliminare i rischi, bensì

valutarli, documentarli e gestirli in modo proporzionato e coerente rispetto agli obiettivi
strategici che l’organizzazione vuole perseguire. L’assenza di rischio in un contesto
organizzativo rappresenta uno scenario irrealistico, poiché qualsiasi misura di sicurezza
adottata potrebbe perdere di efficacia nel corso del tempo, ad esempio a fronte
dell’insorgenza di una nuova minaccia. Ciò che può essere ragionevolmente perseguito
è, pertanto, il raggiungimento di un livello di sicurezza “adeguato” in funzione della
tipologia di attività svolte, del settore di appartenenza, delle risorse disponibili e del
quadro normativo e regolamentare applicabile.
Tale livello di sicurezza, individuabile attraverso il processo di analisi del rischio, può
essere inteso come l’insieme delle misure volte a garantire che i rischi non eccedano la
soglia di rischio accettabile, ossia quella che l’organizzazione è disposta a tollerare. Ciò
implica che i rischi che si collocano entro tale soglia possono essere accettati senza
necessità di trattamento, seppur permangono monitorati nel tempo. Al contrario, i rischi
superiori alla soglia richiedono l’adozione di specifiche azioni di trattamento, definite
all’interno del piano di trattamento dei rischi.
Avendo appurato che il rischio non possa essere totalmente eliminato, è necessario
17
Cerase A. 2017, Rischio e comunicazione. Teorie, modelli, problemi. EGEA.
18
Gallotti C. 2022. Sicurezza delle informazioni. Gestione del rischio. I sistemi di gestione per la
sicurezza delle informazioni. La norma ISO/IEC 27001: 2022. I controlli della ISO/IEC 27002:2022.
Streetlib

23
definire le dimensioni che può assumere. Si parla di rischio inerente, o intrinseco, per
riferirsi al rischio che esiste all’origine, prima dell’implementazione di qualsiasi misura
di trattamento. Si parla invece di rischio residuo per riferirsi al rischio a cui
l’organizzazione continua ad essere esposta, nonostante l’implementazione di misure di
mitigazione del rischio intrinseco.
Talvolta accade che il livello di rischio residuo continui a superare la soglia definita
accettabile. In tal caso, l’organizzazione può intraprendere ulteriori azioni, quali una
nuova analisi del rischio, il trasferimento del rischio a soggetti terzi o revisione più
profonda dei processi da cui il rischio ha origine. Nei casi più estremi, può essere
valutata anche l’interruzione di determinate attività o servizi particolarmente esposti.
In via eccezionale, qualora le alternative disponibili non risultino praticabili o sostenibili
dal punto di vista operativo o economico, l’organizzazione può decidere di accettare
formalmente il rischio residuo, documentando le motivazioni della decisione e
assumendone le conseguenze.
La gestione del rischio è un processo ciclico che necessita di essere reiterato nel tempo e
integrato nella pianificazione strategica dell’organizzazione. I rischi, infatti, non
permangono invariati e la loro valutazione non può essere un’attività episodica. Inoltre,
l’adozione di un modello standard e universale di gestione del rischio per tutte le
organizzazioni risulterebbe inefficace, in quanto non adattabile al contesto operativo
specifico di ciascuna.
Le organizzazioni si interfacciano con profili di rischio eterogenei, che impongono
approcci personalizzati per la loro mitigazione o eliminazione. Tale differenziazione
favorisce, inoltre, la riduzione dei costi operativi e una maggiore prevedibilità dei
processi (Alarcon 202319).

1.5. Sicurezza delle informazioni e sicurezza informatica

Nei paragrafi precedenti si è evidenziato come i dati incorporino informazioni vitali per

19
Alarcon J. A. 2023. Risk management model for information security, DecisionTech Review

24
l'organizzazione. In questa sezione verranno proposte alcune definizioni di sicurezza
delle informazioni (information security) e sicurezza informatica (cybersecurity)
presenti in letteratura, al fine di chiarirne il significato e le principali differenze.
L’ENISA (Agenzia Europea per la Cybersicurezza) descrive la sicurezza delle
informazioni come l’insieme delle misure volte a prevenire il furto, la perdita o la
modifica dei dati archiviati o trasmessi attraverso un sistema informatico (ENISA
201520). In linea con questa prospettiva, Alarcón (202321) evidenzia come la sicurezza
delle informazioni riguardi sia i dati sia gli asset che li elaborano e li custodiscono,
mettendo al centro la tutela del patrimonio informativo nel suo complesso.
Il NIST (National Institute of Standards and Technology) la definisce invece come “la
protezione delle informazioni e dei sistemi informativi da accessi, utilizzi, divulgazioni,
interruzioni, modifiche o distruzioni non autorizzati al fine di garantirne la riservatezza,
l'integrità e la disponibilità.” (Barker W. C.3 2003, 1522)

Nonostante la sicurezza informatica non si sovrapponga perfettamente alla sicurezza

delle informazioni, ne rappresenta un elemento centrale. Nello specifico, “è una
disciplina trasversale che integra aspetti sia tecnici – relativi a reti, sistemi e
infrastrutture digitali – sia economici, connessi alla gestione del rischio, agli impatti
reputazionali e alla continuità operativa” (Vota 2025, 103323). La UIT (Unione
Internazionale per le Telecomunicazioni) fornisce la seguente definizione di sicurezza
informatica.
La sicurezza informatica è l'insieme di strumenti, politiche,
concetti di sicurezza, misure di protezione, linee guida, approcci
di gestione dei rischi, azioni, formazione, migliori pratiche,
garanzie e tecnologie che possono essere utilizzati per
proteggere l'ambiente informatico, l'organizzazione e le risorse
degli utenti. Le risorse dell'organizzazione e degli utenti
includono dispositivi informatici connessi, personale,
infrastrutture, applicazioni, servizi, sistemi di telecomunicazione
e la totalità delle informazioni trasmesse e/o memorizzate
nell'ambiente informatico. La sicurezza informatica mira a
garantire il raggiungimento e il mantenimento delle proprietà di
20
ENISA 2015. Definition of Cybersecurity – Gaps and overlaps in standardisation
21
Alarcon J. A. 2023. Risk management model for information security, DecisionTech Review.
22
Barker W. C. 2003. Guideline for Identifying an Information System as a National Security System,
NIST Special Publication 800-59
23
Vota, V. 2025. Cybersecurity e gestione del rischio informatico nella governance aziendale: evidenze
dalla letteratura e strumenti operativi. Economia Aziendale Online.

25
 sicurezza delle risorse dell'organizzazione e degli utenti contro i
rischi di sicurezza rilevanti nell'ambiente informatico. Gli
obiettivi generali di sicurezza comprendono quanto segue:
disponibilità, integrità, che può includere autenticità e non
ripudiabilità, e riservatezza.

E ancora, Kaplan et al. (201524), definiscono la cybersecurity come funzione che

protegge l'organizzazione dai danni degli attacchi hacker, tenendo conto di limiti pratici
quali gli obiettivi aziendali da raggiungere, le risorse disponibili e i requisiti di
compliance da rispettare.

Sul piano normativo nazionale, la sicurezza cibernetica è stata definita come "la
condizione per la quale lo spazio cibernetico risulti protetto grazie all’adozione di
idonee misure di sicurezza fisica, logica e procedurale rispetto ad eventi, di natura
volontaria o accidentale, consistenti nell’acquisizione e nel trasferimento indebiti di
dati, nella loro modifica o distruzione illegittima, ovvero nel controllo indebito,
danneggiamento, distruzione o blocco del regolare funzionamento delle reti e dei
sistemi informativi o dei loro elementi costitutivi.” (Presidente del Consiglio dei
Ministri, 201725).

Dall’analisi di queste definizioni emerge la necessità di un approccio integrato alla

protezione del patrimonio informativo aziendale, in cui la sicurezza informatica sia un
elemento imprescindibile di una strategia più ampia che si adatti al quadro normativo
esistente.
Nel presente capitolo sono stati esaminati i concetti essenziali per comprendere la
sicurezza delle informazioni in ambito organizzativo. Dall’analisi condotta emerge che
la tutela delle informazioni richiede, non solo misure di natura tecnica, bensì un
approccio integrato coinvolga processi, persone e tecnologie, assicurando nel contempo
coerenza e continuità nel tempo. In tale ottica, risulta centrale l’adozione di un modello
organizzativo strutturato e riconosciuto. Il capitolo successivo è dedicato al Sistema di
Gestione della Sicurezza delle Informazioni (SGSI) e alla normativa
ISO/IEC27001:2024, con l’obiettivo di analizzarne i principi cardine e i requisiti.

24
Kaplan, J., Bailey, T., Rezek, C., O’Halloran, D. and Marcus, A. 2015. Beyond cybersecurity:
protecting your digital business. Wiley.
25
Gazzetta Ufficiale n. 87 del 13 aprile 2017

26
27
 Capitolo II
SGSI e ISO/IEC 27001:2024

1.1 Il Sistema di Gestione della Sicurezza delle Informazioni

Ai sensi della norma ISO/IEC 27000:2018, un sistema di gestione può essere inteso
come un insieme di elementi interrelati o interagenti di un’organizzazione, finalizzati a
stabilire politiche, obiettivi e processi per il conseguimento di tali obiettivi 26. Tali
obiettivi possono riguardare ambiti differenti, tra cui la qualità dei prodotti e dei servizi
erogati, l’efficienza dei processi interni, la sostenibilità gli impatti ambientali, la
gestione delle risorse umane, la continuità operativa, nonché la protezione degli accessi
logici e fisici. Nel presente elaborato, l’attenzione è rivolta in modo specifico agli
obiettivi connessi alla sicurezza delle informazioni, pertanto l’analisi proposta si
concentra sul Sistema di Gestione della Sicurezza delle Informazioni (SGSI), noto
anche come Information Security Management System (ISMS), in conformità alla
norma ISO/IEC 27001:2024, quale declinazione del sistema di gestione orientata alla
tutela delle proprietà delle informazioni sopracitate.

Un SGSI è dunque “parte di un sistema di gestione che riguarda la sicurezza delle

informazioni.” 27e non riguarda solamente un insieme di azioni da intraprendere, ma un
assetto organizzativo in cui politiche, obiettivi e processi sono definiti in modo coerente
e coordinato.

Ogni sistema di gestione risponde allo scopo che si pone l’organizzazione, alle sue
caratteristiche peculiari e al contesto in cui opera quest’ultima.

Nelle realtà di piccole dimensioni, il raggiungimento degli obiettivi può essere garantito
anche attraverso un forte coinvolgimento della direzione aziendale, capace di
comunicare in modo diretto aspettative, ruoli e contributi individuali, senza
necessariamente dover ricorrere a un apparato documentale particolarmente esteso e
articolato. Al contrario, nelle organizzazioni di maggiori dimensioni o che operano in
settori caratterizzati da elevati livelli di regolamentazione, emerge una maggiore
26
ISO/IEC 27000:2018, Information technology — Security techniques — Information security
management systems — Overview and vocabulary
27
ISO 9001:2015, Quality management systems — Requirements

28
necessità di definire e formalizzare politiche e procedure, adottare controlli sistematici e
stabilire meccanismi di verifica periodica, volti a garantire la conformità alla normativa
vigente e il continuo miglioramento.

L’adozione di un SGSI è generalmente motivata da una combinazione di esigenze

strategiche, operative e di conformità normativa. In molti casi si tratta di una scelta
assunta a livello direzionale, oppure di un requisito imposto da autorità pubbliche o da
una società capogruppo, con l’obiettivo di governare la sicurezza delle informazioni in
modo più consapevole. Un ulteriore elemento rilevante da considerare è la necessità di
trasmettere affidabilità a clienti e partner, dimostrando l’adesione alle migliori pratiche
di settore e rafforzando, al contempo, la propria posizione sul mercato rispetto ai
competitors. A ciò si aggiunge l’esigenza di garantire la compliance alle disposizioni
legislative e regolamentari e di migliorare l’efficacia dei processi interni nella gestione
delle informazioni.

Fig. 4 Motivazioni alla base dell’implementazione di un SGSI o ISMS (Fonte: Calder A. 202028)

In termini generali, l’adozione di un sistema di gestione implica che l’organizzazione

definisca e governi un insieme di processi, ciascuno dei quali prevede l’individuazione

delle attività da svolgere, dei ruoli e delle responsabilità, nonché degli obiettivi da
conseguire.
28
Calder, A. 2020. Implementing information security based on ISO 27001/ISO 27002. Van Haren.

29
A tal fine, gli organi amministrativi e direttivi di un’organizzazione individuano
indicatori di controllo (anche detti KPI29) con l’obiettivo di predisporre evidenze utili a
dimostrare l’efficacia delle attività svolte nel conseguimento degli obiettivi prefissati.
Tale impostazione presuppone che le attività non siano gestite in modo occasionale o
meramente reattivo, ma secondo una pianificazione basata sulla comprensione delle
relazioni esistenti tra i diversi elementi che compongono il sistema.

In particolare, ogni modifica che incide su un singolo processo o componente del

sistema di gestione, può produrre effetti sugli altri elementi, in virtù
dell’interconnessione che li lega. A titolo esemplificativo, consideriamo
un’organizzazione che decida di introdurre una nuova tecnologia informatica per
migliorare l’efficienza operativa. Tale scelta, apparentemente circoscritta all’ambito
tecnologico, può comportare la necessità di aggiornare le procedure operative, ridefinire
le responsabilità del personale coinvolto, prevedere attività di formazione specifica e
rivedere i criteri di controllo delle prestazioni. Inoltre, l’introduzione della nuova
tecnologia può incidere su altri aspetti del sistema, quali la continuità operativa, la
gestione degli accessi o la sicurezza delle informazioni, rendendo necessario un
coordinamento tra più processi e funzioni organizzative.

Chiarire ruoli e responsabilità non solo consente di definire quale sia il contributo che il
singolo individuo apporta all’interno dell’organizzazione, ma permette altresì di
monitorare e valutare l’efficacia di tale contributo nel tempo, consentendo
all’organizzazione di intervenire con azioni correttive laddove necessario, in un’ottica di
miglioramento continuo. Tale miglioramento è reso possibile anche dalla disponibilità di
evidenze documentate, che consentono all’organizzazione di ripercorrere il proprio
operato e valutarne la coerenza rispetto agli obiettivi inizialmente prefissati. Detta
documentazione costituisce la base su cui si fondano le attività di verifica, sia interne sia
esterne.

Il Sistema di Gestione della Sicurezza delle Informazioni è strutturato per poter essere
integrato con altri sistemi di gestione basati su norme ISO che condividono una struttura
comune, di cui si parlerà in modo approfondito nel corso del capitolo. A titolo
esemplificativo, il SGSI può essere integrato con il sistema di gestione per la qualità

29
Key Performance Indicators.

30
conforme alla ISO 9001, con il sistema di gestione per la continuità operativa conforme
alla ISO 22301, nonché con il sistema di gestione per la protezione dei dati personali
conforme alla ISO/IEC 27701. Questa armonia è resa possibile grazie a requisiti comuni
agli standard su aspetti chiave come il contesto organizzativo, la leadership, la
pianificazione, il supporto operativo, la valutazione delle prestazioni e il miglioramento
continuo.

Dal punto di vista metodologico, i sistemi di gestione sono impostati secondo il ciclo
PDCA (Plan–Do–Check–Act), noto anche come ciclo di Deming30.

Tale modello è oggi largamente utilizzato da tutte quelle organizzazioni che vogliono
gestire il rischio in modo strutturato e coerente, adottando un approccio sistematico e,
allo stesso tempo, rappresenta un riferimento fondamentale per le realtà che intendono
introdurre un sistema di gestione formalizzato e conseguire una certificazione conforme
agli standard ISO o ad altri schemi riconosciuti come best practice a livello
internazionale.31

Il modello, tuttavia, non si limita al governo del rischio, ma viene utilizzato in diversi
contesti, ad esempio per il controllo della qualità, il miglioramento continuo dei processi
e la gestione dei cambiamenti organizzativi. La sua natura iterativa consente di
affrontare le attività in modo progressivo, prevedendo momenti di pianificazione,
attuazione e verifica che permettono di individuare eventuali scostamenti rispetto agli
obiettivi e di adottare le opportune azioni di adeguamento

Di seguito vengono descritte in dettaglio le singole fasi che compongono il ciclo PDCA,
come rappresentato nella Figura 5.

30
Dal nome dell’ingegnere statunitense William Edwards Deming.
31
DNV. “PDCA: Ciclo di gestione del rischio”, [Link]
pdca/ (consultato il 07/01/2026)

31
 Fig. 5 Ciclo di Deming

Nella fase di Plan l’organizzazione definisce il quadro di riferimento entro cui operare,

individuando gli obiettivi da perseguire, i criteri di controllo e le modalità operative

necessarie al loro conseguimento, in coerenza con il contesto organizzativo e le risorse
disponibili. In questa fase vengono inoltre stabiliti gli elementi sulla base dei quali le
attività saranno successivamente valutate, così da rendere il controllo parte integrante
della pianificazione e non un’attività svolta a posteriori. Rientrano ad esempio, in
questa fase la definizione delle politiche e la pianificazione degli obiettivi.

La fase di Do rappresenta il momento in cui le decisioni assunte in fase di

pianificazione vengono tradotte in attività operative e il sistema di gestione entra
effettivamente in funzione. In questa fase, l’organizzazione esegue i processi secondo le
modalità definite, applicando le regole, le procedure e i criteri stabiliti, e rendendo
operative le responsabilità precedentemente assegnate. Rientrano in tale fase, ad
esempio, l’erogazione dei servizi e la formazione del personale coinvolto.

Tale fase non coincide quindi con una mera esecuzione tecnica delle attività, ma
costituisce la fase in cui il disegno del sistema viene verificato nella pratica operativa.
Le attività svolte sono strutturate in modo tale da produrre risultati coerenti con gli
obiettivi definiti e, al tempo stesso, informazioni utili a valutare l’andamento dei
processi.

32
La fase di Check è alla verifica dei risultati ottenuti rispetto a quanto pianificato.
L’organizzazione può, ad esempio, svolgere audit interni per valutare la conformità dei
processi e l’effettiva applicazione delle regole stabilite. Dal confronto, fondato su
evidenze oggettive, tra gli obiettivi inizialmente stabiliti e quelli realmente conseguiti, si
possono portare alla luce eventuali inefficienze o criticità all’interno del sistema di
gestione implementato, in modo tale che queste possano essere tempestivamente sanate.

A questo punto, una volta terminata l’attività di verifica, l’organizzazione deve poi
tradurre gli esiti conseguiti in azioni pratiche.

Si giunge così alla fase di Act, in cui, sulla base di quanto emerso nella fase di Check, si
valuta se i processi adottati risultino adeguati o se, al contrario, siano necessarie azioni
di miglioramento per affrontare le criticità individuate. A titolo meramente
esemplificativo, l’organizzazione può decidere di modificare una procedura, aggiornare
i KPI o rivedere il modo in cui determinate attività vengono svolte.

Alla luce di quanto sinora detto, la fase di Act non è da intendersi come mera fase finale
del processo, e in quanto tale non più soggetta a modifica, bensì come un collegamento
critico tra la verifica di quanto implementato fino a quel momento e le successive
decisioni operative.

Le modifiche introdotte, infatti, rappresentano il punto di partenza per una nuova

pianificazione e per le decisioni future. In tal modo, il ciclo PDCA può ripetersi nel
tempo, consentendo al sistema di gestione di evolvere in modo coerente con le esigenze
dell’organizzazione, garantendone dinamismo e aggiornamento.

Per chiarire l’applicazione del ciclo PDCA in un contesto operativo, si consideri il caso
di un’organizzazione che intenda definire regole di accesso, tramite credenziali, ai
propri sistemi informativi e di rete32.

Nella fase di Plan, l’organizzazione definisce una politica o procedura che stabilisce chi
possa richiedere l’accesso ai sistemi sopracitati, chi sia responsabile della gestione e
autorizzazione degli accessi, quali profili possano essere assegnati agli utenti e con
quale periodicità debbano essere effettuate le verifiche sugli accessi attivi.
32
Definiti dalla lettera p), articolo 2 del Decreto Legislativo del 4 Settembre 2024 n. 138 come “1) una
rete di comunicazione elettronica ai sensi dell'articolo 2, comma 1, lettera vv), del decreto legislativo 1°
agosto 2003, n. 259.”

33
Nella fase di Do, la procedura o politica viene applicata. Le richieste di accesso
vengono gestite secondo le modalità definite, le autorizzazioni vengono assegnate dai
soggetti competenti e gli accessi vengono registrati secondo quanto previsto.

Nella fase di Check, l’organizzazione verifica se quanto pianificato è stato

effettivamente rispettato. Ad esempio, viene verificato se gli accessi siano stati concessi
in conformità alla procedura o alla politica formalizzata, se i profili assegnati risultino
coerenti con i ruoli degli utenti e, se le verifiche periodiche previste siano state eseguite
nei tempi stabiliti e tracciate.

Infine, nella fase di Act, sulla base degli esiti delle verifiche svolte, l’organizzazione
decide se intervenire sulla gestione degli accessi, ad esempio ridefinendo i criteri di
autorizzazione o aggiornando le responsabilità assegnate.

Come sopra già evidenziato, il sistema di gestione non è concepito come un assetto
statico, ma come un insieme di elementi che evolvono nel tempo sulla base risultati
ottenuti, dei cambiamenti del contesto in cui l’organizzazione opera e delle decisioni
dell’organizzazione stessa. Ad ogni modo, il tema del miglioramento continuo verrà
ripreso e sarà oggetto di approfondimento nel paragrafo 2.4.

2.2 La ISO e gli standard internazionali

La ISO (International Organization for Standardization) e la IEC (International

Electrotechnical Commission) sono degli organismi internazionali che sviluppano e
pubblicano standard validi su scala globale. Le norme pubblicate da tali organismi sono
il risultato di un processo strutturato di elaborazione che coinvolge le organizzazioni
nazionali di standardizzazione che partecipano ai lavori attraverso specifici comitati
tecnici dedicati ai diversi ambiti tematici.

Gli organismi nazionali che sono membri dell’ISO e dell’IEC

partecipano allo sviluppo delle norme internazionali attraverso
comitati tecnici istituiti dalla rispettiva organizzazione per
occuparsi di particolari campi di attività tecnica. I comitati

34
 tecnici ISO e IEC collaborano in settori di reciproco interesse.
Ai lavori partecipano anche altre organizzazioni internazionali,
governative e non governative, in collegamento con ISO e IEC.
(ISO 2024, 233)

Ci sono alcuni elementi che differenziano gli organismi citati. L’ISO elabora, infatti,
standard applicabili a una vasta gamma di settori, che includono, tra gli altri, la gestione
della qualità, la sicurezza delle informazioni e la sostenibilità ambientale. Tali standard
hanno carattere trasversale e forniscono linee guida e requisiti generalmente applicabili
a organizzazioni di qualsiasi tipo e dimensione.

L’IEC, invece, concentra la propria attività nella definizione di standard tecnici per le
tecnologie elettriche ed elettroniche, affrontando aspetti altamente specialistici quali la
sicurezza elettrica, la compatibilità elettromagnetica e l’efficienza energetica.

In entrambi i casi, gli standard sono sviluppati attraverso il contributo di comitati di

esperti che rappresentano e raccolgono un ampio spettro di parti interessate. “Ogni
nazione possiede anche un proprio organismo di standardizzazione responsabile dello
sviluppo di standard nazionali. Ad esempio, l'American National Standards Institute
(ANSI) supervisiona gli standard nazionali negli Stati Uniti. Nel Regno Unito, questo
ruolo è svolto dal British Standards Institution (BSI), mentre in Germania, è svolto dal
Deutsches Institut für Normung (DIN).”34

Adottare standard comuni a livello internazionale consente di valutare aspetti come la

sicurezza delle informazioni attraverso approcci oggettivi e condivisi, garantendo una
maggiore affidabilità dei sistemi di gestione implementati, sia nei confronti del
personale interno all’organizzazione sia nei confronti di partner e fornitori.

Come citato all’inizio del presente capitolo e secondo quanto afferma DNV 35, la norma
ISO/IEC 27001:2024 “definisce i requisiti per pianificare, attuare, operare, monitorare,
riesaminare, mantenere e migliorare il sistema di gestione per la sicurezza delle

33
ISO/IEC 27001:2024, Information technology — Security techniques — Information security
management systems — Requirements
34
BONAD 2024. What are the Main Differences Between ISO Standards and IEC Standards?
[Link]
and-iec-standards/ (consultato il 07/01/2026)
35
Det Norske Veritas, organismo di certificazione fondato ad Oslo nel 1864.

35
informazioni”36 delle organizzazioni. Tale norma va a sostituire la seconda edizione,
pubblicata nel 2017, con l’obiettivo di garantire una “struttura armonizzata per i sistemi
di gestione e con la UNI CEI EN ISO/IEC 27002:2023.”37

L’analisi della sigla completa della norma, ossia UNI CEI EN ISO/IEC 27001:2024,
permette di ricostruire le diverse fasi attraverso le quali uno standard elaborato a livello
internazionale (ISO/IEC) viene prima recepito in ambito europeo (EN) e
successivamente in ambito nazionale (UNI e CEI).

Nel contesto italiano, la sigla è particolarmente significativa perché evidenzia le diverse

fasi di adozione dello standard: dalla sua elaborazione in sede internazionale, al
recepimento in ambito europeo, fino alla trasposizione come norma tecnica valida e
applicabile a livello nazionale.

La normazione tecnica è l’attività che studia, elabora, approva e

pubblica i documenti di applicazione volontaria denominati
“norme tecniche” (definizione all’art.2 del Regolamento UE
1025/2012, in inglese standard) che definiscono “come fare
bene le cose” garantendo prestazioni certe di qualità e sicurezza
per materiali, prodotti, processi, servizi, persone e
organizzazioni, in un’ottica di sostenibilità ambientale,
economica e sociale.38

In particolare, il sistema di normazione fa riferimento a due organismi principali con

competenze distinte, UNI Ente Italiano di Normazione e CEI Comitato Elettrotecnico
Italiano, i quali operano sotto vigilanza del Ministero delle Imprese e del Made in Italy,
ai sensi dei Regolamento UE 1025/2012 39e del Decreto Legislativo 223/201740.
36
DNV. ISO/IEC 27001 - Sicurezza delle informazioni. [Link]
sicurezza-delle-informazioni-3327/ (consultato il 07/01/2026)
37
DNV. ISO/IEC 27001 - Sicurezza delle informazioni. [Link]
sicurezza-delle-informazioni-3327/ (consultato il 07/01/2026)
38
Ministero delle Imprese e del Made in Italy 2024. Normativa tecnica.
[Link] - ultima modifica 31/10/2024,
(consultato il 07/01/2026)
39
Regolamento (UE) n. 1025/2012 del Parlamento Europeo e del Consiglio del 25 ottobre 2012
40
Decreto Legislativo 15 dicembre 2017, n. 223 - Adeguamento della normativa nazionale alle
disposizioni del regolamento (UE) n. 1025/2012 del Parlamento europeo e del Consiglio, del 25 ottobre
2012, sulla normazione europea e della direttiva (UE) 2015/1535 del Parlamento europeo e del Consiglio,
del 9 settembre 2015, che prevede una procedura d'informazione nel settore delle regolamentazioni
tecniche e delle regole relative ai servizi della società dell'informazione.

36
Nello specifico, tali organismi svolgono un ruolo di rappresentanza dell’Italia
all’interno di organizzazioni di normazioni europee e internazionali.

Il primo organismo citato svolge il ruolo di ente nazionale di normazione tecnica per la
maggior parte dei settori industriali e dei servizi, mentre il secondo è specificamente
responsabile della normazione nei settori elettrotecnico, elettronico e delle
telecomunicazioni.

Come chiarito dall’organismo ISO all’interno della norma stessa, la ISO/IEC

27001:2024 “costituisce il recepimento, in lingua italiana, della norma europea EN
ISO/IEC 27001 (edizione Luglio 2023), che assume così lo status di norma nazionale
italiana.” (ISO, 2024)41

Proseguendo nell’analisi della sigla che identifica la norma di interesse, il codice 27001
individua lo specifico standard all’interno della famiglia ISO/IEC 27000, dedicata ai
sistemi di gestione della sicurezza delle informazioni. L’anno “2024” fa invece
riferimento all’anno di pubblicazione dell’edizione nazionale, consentendo di
distinguere in modo chiaro la versione vigente dalle precedenti edizioni e di tenere
traccia degli aggiornamenti intervenuti nel tempo.

All’interno del sistema ISO/IEC sono presenti tre categorie di documenti con
caratteristiche specifiche che consentono di chiarire sia la funzione svolta da ciascuna
norma, sia le relazioni esistenti tra i diversi standard.

1) Norme di requisiti (certificabili)

Le norme di requisiti comprendono gli standard che definiscono condizioni verificabili

per l’istituzione e il funzionamento di un sistema organizzativo.

Si tratta di requisiti che possono essere oggetto di valutazione da parte di soggetti

indipendenti e, in genere, di certificazione di terza parte. In questo ambito rientra la UNI
CEI EN ISO/IEC 27001:2024, che stabilisce ciò che un’organizzazione deve prevedere
in termini di struttura del sistema di gestione, definizione dei processi, attribuzione delle
responsabilità, pianificazione delle attività, gestione operativa e valutazione delle
41
ISO/IEC 27001:2024, Information technology — Security techniques — Information security
management systems — Requirements

37
prestazioni.

La logica delle norme certificabili non è limitata alla sicurezza delle informazioni né
alla sola famiglia ISO/IEC 27000. Nell’ambito della normazione ISO esistono infatti
numerosi standard di requisiti applicabili a settori diversi, accomunati da
un’impostazione analoga. Tra questi rientrano, ad esempio, le norme per la gestione
della qualità, dell’ambiente, della salute e sicurezza sul lavoro, della continuità
operativa e dell’energia, così come standard riferiti ad ambiti più specifici quali la
gestione dei servizi o i sistemi di prevenzione della corruzione.

Quello che accomuna tali norme non è il contenuto tecnico specifico, che varia in base
al settore di riferimento (ad esempio, qualità, ambiente o sicurezza), ma l'approccio
metodologico fondato sul sistema di gestione. In altri termini, indipendentemente dal
tema trattato, l’organizzazione deve essere in grado di spiegare cosa intende fare, come
lo fa, chi ne è responsabile e come verifica che quanto pianificato venga effettivamente
realizzato. Questo approccio consente una valutazione oggettiva della conformità ai
requisiti e rende possibile il confronto sia nel tempo, sia nei rapporti con soggetti
esterni, quali enti di certificazione, clienti o autorità di controllo

2) Norme di controlli e linee guida (buone prassi)

Le norme di controlli e linee guida, note anche come buone prassi, supportano
l’organizzazione nella progettazione e nell’attuazione pratica dei controlli previsti da un
sistema di gestione. A differenza delle norme certificabili, non stabiliscono requisiti
obbligatori, ma forniscono indicazioni operative ed esempi per tradurre i principi del
sistema di gestione in attività concrete. L’obiettivo è dunque quello di rendere
comprensibile il modo in cui i controlli vengono ideati, applicati e mantenuti nel tempo,
limitando il rischio di interpretazioni difformi.

Nell’ambito della sicurezza delle informazioni, il principale riferimento è rappresentato

dalla UNI CEI EN ISO/IEC 27002:2023, che fornisce un insieme di controlli di
sicurezza accompagnati da linee guida con indicazioni dettagliate per la loro
implementazione. Questa norma non è certificabile, ma serve da guida per
l’organizzazione nella scelta e nell’applicazione dei controlli, ossia come aiuto per
tradurre in azioni i controlli scelti durante la fase di analisi e trattamento dei rischi

38
prevista dalla ISO/IEC 27001.

3) Documenti di vocabolario e visione d’insieme

Questa categoria comprende gli standard che forniscono definizioni, concetti di base e
un inquadramento generale della disciplina. A titolo esemplificativo, la ISO/IEC 27000
definisce la terminologia di riferimento e offre una visione d’insieme dei sistemi di
gestione per la sicurezza delle informazioni. La disponibilità di un vocabolario
condiviso consente di ridurre il rischio di interpretazioni differenti degli stessi concetti
tra funzioni aziendali diverse e favorisce una comunicazione più chiara e coerente con
le parti interessate esterne, quali auditor, clienti e fornitori. Senza una tassonomia
comune, concetti come evento di sicurezza, incidente, rischio o controllo possono essere
interpretati diversamente da soggetti con ruoli, prospettive e competenze differenti. Il
reparto tecnico potrebbe limitare la nozione di «incidente» a un’interruzione concreta
dei sistemi IT, mentre la direzione aziendale potrebbe includervi anche una fuga di dati
personali, pur in assenza di blocchi operativi immediati, creando così una diversa
interpretazione

Annualmente vengono pubblicati i risultati dell’ISO Survey, un’indagine statistica

condotta dall’ISO che raccoglie e analizza i dati relativi alla diffusione a livello
mondiale delle certificazioni dei principali sistemi di gestione. Tale indagine consente di
comprendere a quali norme decidano di conformarsi le organizzazioni e come tali
decisioni evolvano all’interno dei diversi settori produttivi.

42
Dall’ISO Survey 2024 risulta che, a livello globale, il numero complessivo delle
certificazioni rilasciate ha raggiunto quota 2.963.862, con la ISO 9001 che si conferma
lo standard maggiormente adottato. In questo contesto emerge anche la posizione di
rilievo dell’Italia, che figura tra i primi tre Paesi per numero di certificazioni in ben sei
sistemi di gestione: ISO 9001, ISO 14001, ISO 45001, ISO 37001, ISO 20121 e
ISO/IEC 27001.

2.3 La struttura e i principi della norma ISO/IEC 27001:2024

42
UNI 2025. ISO Survey 2024: dati alla mano. [Link]
(consultato il 05/01/2026)

39
Il primo elemento che caratterizza la struttura della ISO/IEC 27001:2024 è l’High Level
Structure (HLS), ossia una struttura di alto livello comune a tutti i sistemi di gestione,
introdotta per sanare le criticità riscontrate negli standard pubblicati prima del 2012,
all’interno dei quali requisiti sostanzialmente analoghi venivano spesso formulati in
maniera eterogenea e collocati in sezioni differenti, rendendo più complessa
l’integrazione tra norme diverse.

Secondo quanto evidenziato da Gallotti nel suo testo, nel 2009 ebbero inizio i lavori
volti alla definizione di una struttura comune, denominata Common Structure and
Identical Text for Management System Standards, conosciuta come High Level
Structure (HLS), integrata e recepita poi in tutti gli standard esistenti nel periodo tra il
2012 e il 2018.43

L’adozione di tale struttura agevola, dunque, l’implementazione di più sistemi di

gestione all’interno della stessa organizzazione. Ciò anche grazie all’impostazione dei
capitoli, alle sequenze in cui vengono categorizzate le diverse tematiche e all’utilizzo di
una terminologia comune e univoca.

Secondo quanto riportato all’interno della norma ISO/IEC 27002:2023, “un controllo è
definito come una misura che modifica o mantiene il rischio.” (ISO 2023, 444).

I controlli elencati nell’Appendice A della ISO/IEC 27001:2024 si suddividono in: i)

controlli preventivi (ad esempio il 5.12 relativo alla classificazione delle informazioni,
ii) investigativi (ad esempio il 5.25 relativo alla valutazione e decisione sugli eventi
relativi alla sicurezza delle informazioni) e iii) correttivi (ad esempio il 5.24 relativo alla
pianificazione e preparazione per la gestione degli incidenti relativi alla sicurezza delle
informazioni).

Nello specifico, l’obiettivo dei controlli preventivi è quello di anticipare potenziali

minacce, con l’obiettivo di tentare di neutralizzarle e, di conseguenza, ridurre la

43
Gallotti C. 2022. Sicurezza delle informazioni. Gestione del rischio. I sistemi di gestione per la
sicurezza delle informazioni. La norma ISO/IEC 27001: 2022. I controlli della ISO/IEC 27002:2022.
Streetlib
44
ISO/IEC 27002:2022. Information security, cybersecurity and privacy protection — Information
security controls

40
probabilità che un incidente si verifichi.

I controlli investigativi, invece, sono invece orientati alla rilevazione e

all’identificazione di eventi anomali o di incidenti di sicurezza. Tali controlli
consentono all’organizzazione di acquisire consapevolezza tempestiva del verificarsi di
un evento avverso, supportando le attività di analisi, monitoraggio e tracciabilità
necessarie per una gestione efficace dell’incidente.

Infine, i controlli correttivi intervengono successivamente al verificarsi di un incidente e

sono finalizzati al contenimento degli impatti, al ripristino delle condizioni di sicurezza
e della continuità operativa, nonché all’eliminazione o alla riduzione delle cause che
hanno originato l’evento

La struttura della ISO/IEC 27001:2024 rispecchia il modello di Deming, ossia il ciclo

PDCA descritto all’inizio del capitolo. Nello specifico, le clausole 4, 5 e 6
corrispondono alla fase di Plan, poiché riguardano tematiche quali, ad esempio, la
comprensione dell’organizzazione, del contesto, delle aspettative delle parti interessate
(interne ed esterne), la definizione di politiche, ruoli e responsabilità, la pianificazione
delle azioni utili alla valutazione e al trattamento dei rischi relativi alla sicurezza delle
informazioni.

Le clausole 7 e 8 corrispondono, invece, alla fase di Do, poiché trattano temi relativi,
quali l’allocazione delle risorse, la formazione del personale, a gestione delle
comunicazioni interne ed esterne e a pianificazione delle attività operative, ossia dei
processi e dei controlli per la sicurezza delle informazioni.

La clausola 9 corrisponde alla fase di Check, in quanto prevede la valutazione delle

prestazioni e dell’efficacia del SGSI, attraverso attività di audit interni.

Infine, la clausola 10 rappresenta la fase di Act, poiché è dedicata al miglioramento

continuo mediante la gestione delle non conformità emerse e l’adozione di azioni
correttive.

La ISO/IEC 27001:2024 può essere descritta come norma estremamente flessibile,

poiché non deve essere obbligatoriamente applicata all’intera organizzazione, ma può

41
essere applicata solo ad alcuni processi all’interno di essa. Essa non prevede un insieme
predeterminato di controlli, ma consente all’organizzazione di definire i requisiti
applicabili in base al proprio contesto, alle proprie esigenze e ai rischi a cui è esposta.

Il primo capitolo è infatti denominato “scopo e ambito di applicazione”, poiché gli

organi amministrativi e direttivi dell’organizzazione devono prima di tutto comprendere
il contesto in cui opera l’organizzazione, ovvero “i fattori esterni e interni che sono
rilevanti per le sue finalità e che influenzano le sue capacità di conseguire i risultati
attesi.” (ISO 2024, 4) 45.
In secondo luogo, è necessario definire il perimetro di applicazione del sistema di
gestione per la sicurezza delle informazioni, ossia definire dove e per cosa si applica o
non si applica il sistema stesso. L’organizzazione deve inoltre individuare quali dei
controlli contenuti nell’Appendice A siano applicabili, coerentemente con il contesto e
con i risultati del processo di valutazione del rischio.
Per ogni controllo escluso, deve essere fornita e formalizzata una motivazione che
giustifichi la scelta effettuata. Ad esempio, il sistema di gestione può essere applicato ai
sistemi informativi utilizzati dal personale presso la sede principale, mentre può non
includere sistemi o servizi gestiti da fornitori esterni, purché tale esclusione sia motivata
e formalmente documentata.

Come già evidenziato, l’Appendice A individua i controlli di sicurezza a supporto

dell’implementazione di un SGSI, con l’obiettivo di guidare l’organizzazione nella
selezione delle misure più idonee al trattamento dei rischi individuati. Essa non
introduce requisiti aggiuntivi rispetto a quelli definiti nelle clausole da 4 a 10 della
norma, ma svolge una funzione di raccordo tra il processo di valutazione del rischio e
l’effettiva attuazione delle misure di sicurezza.

Nello specifico, l’Appendice A contiene 93 controlli di sicurezza che riguardano i punti

da 5 a 8 della ISO/IEC 27002:2023. Tali controlli sono suddivisibili in 4 gruppi, sulla
base delle tematiche affrontate: i) controlli organizzativi, ii) controlli sul personale, iii)
controlli fisici, iv) controlli tecnologici.
45
ISO/IEC 27001:2024, Information technology — Security techniques — Information security
management systems — Requirements

42
I dettagli operativi utili ai fini dell’implementazione sono contenuti nella ISO/IEC
27002:2023, in cui ogni capitolo della norma è dedicato all’approfondimento di una
famiglia di controlli: il punto 5 è dedicato ai controlli organizzativi, il punto 6 a quelli
sul personale, il punto 7 a quelli fisici e il punto 8 a quelli tecnologici.

È importante sottolineare come l’elenco dei controlli riportati nell’Appendice A non

debba essere considerato esaustivo, poiché è prevista la possibilità che le organizzazioni
introducano misure supplementari. Dall’analisi condotta da ogni organizzazione sul
proprio contesto operativo, organizzativo e tecnologico, può emergere, infatti, la
necessità di definire e implementare controlli ulteriori rispetto a quelli standard, per
mitigare rischi specifici non adeguatamente coperti dai controlli dell’Appendice A.
Tali controlli aggiuntivi possono derivare, ad esempio, da obblighi normativi settoriali,
da requisiti contrattuali, dalla complessità dell’infrastruttura informativa o dal livello di
esposizione a particolari minacce.

Il nesso tra la valutazione dei rischi e i controlli selezionati è rappresentato dalla

Dichiarazione di Applicabilità (SoA). Tale documento, secondo quanto riportato dal
punto d) della clausola 6.1.3 della ISO/IEC 27001:2024, deve riportare “i controlli
necessari, le giustificazioni per la loro inclusione, se i controlli necessari sono
implementati o meno, le giustificazioni per l’esclusione dei controlli dell’Appendice A.”
(ISO 2024, 7)46
In tale contesto, il processo di valutazione e trattamento dei rischi assume un ruolo
centrale all’interno del SGSI. Un’analisi più approfondita del processo di valutazione e
trattamento dei rischi è sviluppata nel paragrafo 2.3.2., mentre gli aspetti relativi alle
attività di verifica, alla gestione delle non conformità e ai meccanismi di miglioramento
sono trattati nei paragrafi successivi.

2.3.1 Il ruolo del contesto esterno nell’SGSI

Ai fini dell’implementazione di un SGSI, è necessario comprendere il contesto esterno

all’interno del quale opera l’organizzazione e i fattori che possono influenzare il
46
ISO/IEC 27001:2024, Information technology — Security techniques — Information security
management systems — Requirements

43
raggiungimento degli obiettivi di sicurezza definiti. In particolare, tra i fattori esterni più
significativi rientrano le minacce informatiche, caratterizzate da un’elevata dinamicità e
da modalità di attacco in continua evoluzione.

L’analisi di alcuni grafici tratti dal Rapporto Clusit 2025 47 consente di evidenziare
elementi critici rilevanti per la comprensione del contesto di rischio in cui operano le
organizzazioni.

Fig. 6 Andamento degli incidenti cyber nel periodo 2020 - I semestre 2025 (Fonte: Rapporto Clusit 2025)

Dalla Figura 6 emerge un incremento particolarmente significativo del numero di

incidenti registrati nell’ultimo semestre del 2025, che raggiungono quota 2.755,
decretando un aumento del 36% rispetto al periodo precedente.

47
CLUSIT 2025. Rapporto Clusit sulla Cybersecurity in Italia e nel mondo. Astrea, Milano.

44
 Fig. 7 Distribuzione delle tecniche di attacco nel I semestre 2025 (Fonte: Rapporto Clusit 2025)

Come emerge dal grafico sopra riportato, la significativa varietà delle tecniche di
attacco evidenzia come le minacce alla sicurezza delle informazioni non siano
riconducibili ad un unico schema operativo e ciò rende, pertanto, indispensabile
potenziare i sistemi di monitoraggio e di analisi degli eventi di sicurezza.

Infine, il Rapporto Clusit 2025 mette in evidenza una criticità rilevante nella gestione
della sicurezza delle informazioni, legata ai tempi di individuazione delle violazioni.
Il fatto che numerosi incidenti vengano censiti solo successivamente al periodo di
riferimento evidenzia come, i meccanismi di rilevazione e monitoraggio, risultino
spesso insufficienti a garantire una tempestiva individuazione degli eventi di sicurezza.

2.3.2 Analisi e trattamento dei rischi

La gestione dei rischi legati alla sicurezza delle informazioni e alla protezione dei dati
personali è un processo che riguarda l’intera organizzazione e coinvolge tutti i livelli,
sia decisionali sia operativi. La direzione aziendale stabilisce gli obiettivi e il livello di
rischio che l’organizzazione è disposta ad accettare, integrando sicurezza e privacy nelle

45
scelte strategiche. I responsabili di area e di funzione trasformano tali indirizzi in regole,
procedure e misure tecniche concrete, assicurandone l’applicazione nei progetti e nei
processi. Il personale tecnico e operativo, infine, contribuisce alla gestione del rischio
attraverso la progettazione, l’implementazione e la gestione dei sistemi informativi che
supportano le attività aziendali, applicando nella pratica le misure di sicurezza e
protezione dei dati definite a livello organizzativo.48

Fig. X con titolo

La gestione del rischio si articola principalmente in quattro fasi, ossia identificazione,

analisi, valutazione e trattamento del rischio.
Di seguito vengono riportate alcune definizioni tratte dal Glossario NIST ai fini di una
migliore comprensione del tema:
48
NIST 2018. Risk Management Framework for Information Systems and Organizations A System Life
Cycle Approach for Security and Privacy. Revision 2.

46
  Identificazione del rischio: processo di individuazione, riconoscimento e
descrizione dei rischi;
 Analisi del rischio: processo di comprensione della natura e del livello di rischio;
 Valutazione del rischio: processo di confronto dei risultati dell'analisi dei rischi
con i criteri di rischio per determinare se il rischio e/o la sua entità siano
accettabili o tollerabili;
 Trattamento del rischio: processo di modifica del rischio.

Secondo quanto affermato da ACN49, il processo di identificazione del rischio può

avvenire mediante due diversi approcci. L’approccio basato sulle minacce parte
dall’analisi degli eventi potenzialmente dannosi e delle loro conseguenze, sviluppando
scenari che consentono di individuare le minacce rilevanti per il contesto organizzativo,
le vulnerabilità sfruttabili e il ruolo degli attori coinvolti. L’approccio basato sugli asset,
invece, si concentra sull’identificazione e classificazione degli asset in base alla loro
criticità, analizzando per ciascuno le vulnerabilità e le minacce associate, così da
definire misure di trattamento puntuali.50

Come anticipato in precedenza, i controlli previsti dall’Appendice A non sono applicati

in modo uniforme, ma vengono individuati e adottati in funzione dei risultati emersi
dall’analisi dei rischi. L’obiettivo di tale analisi non è quello di azzerare la probabilità di
accadimento di un evento avverso, ma comprendere quali minacce possano
compromettere le proprietà delle informazioni e valutarne i possibili impatti, sulla base
di una metodologia, di un processo strutturato e di criteri predefiniti. I criteri definiti
riguardano, in particolare, le modalità di valutazione della probabilità di accadimento e
dell’impatto degli eventi, nonché le condizioni in base alle quali un rischio può essere
considerato accettabile o, al contrario, richiedere un trattamento. Stabilire dei criteri fa
sì che i rischi non vengano individuati ed analizzati in modo arbitrario e ciò consente
alle organizzazioni di confrontare i risultati ottenuti in periodi diversi.
Il punto b) della clausola 6.1.2 della ISO/IEC 27001:2024 richiede infatti che
l’organizzazione “assicuri che ripetute valutazioni del rischio relativo alla sicurezza

49
Agenzia per la Cybersicurezza Nazionale
50
ACN. Domini della cybersicurezza – Cyber Risk Management
[Link]
titoloParagrafo-2 (consultato il 07/01/2026)

47
delle informazioni producano risultati coerenti, validi e confrontabili tra loro.” (ISO
2024, 651)

Secondo la definizione riportata all’interno del Glossario NIST 52, la propensione al

rischio (risk appetite) può essere descritta come “il livello di rischio complessivo che
un'organizzazione è disposta ad accettare nel perseguimento della propria
missione/visione”. Tale propensione viene generalmente formalizzata in una
dichiarazione approvata dal Consiglio di Amministrazione e varia da organizzazione a
organizzazione.
Ad esempio, un’azienda operante nel settore della logistica può accettare un certo
livello di rischio legato all’ottimizzazione dei processi e all’automazione delle attività,
al fine di migliorare l’efficienza e ridurre i tempi di consegna, ma mantenere una
propensione al rischio molto bassa in relazione alla sicurezza delle informazioni
scambiate con clienti e partner. Analogamente, un ente pubblico può mostrare una
ridotta tolleranza verso i rischi legati alla protezione dei dati, mentre può accettare
margini di rischio più ampi in termini di tempi di implementazione dei progetti, in
ragione dei vincoli procedurali e normativi cui è soggetto.

Fig. X Rappresentazione della soglia di risk appetite (Fonte: ACN53)

51
ISO/IEC 27001:2024, Information technology — Security techniques — Information security
management systems — Requirements
52
NIST CSRC. Glossary. [Link] (consultato il 07/01/2026)
53
ACN. Domini della cybersicurezza – Cyber Risk Management
[Link]
titoloParagrafo-2 (consultato il 07/01/2026)

48
La tolleranza al rischio (risk tolerance) viene invece definita come “il livello di rischio
che un'organizzazione è disposta ad assumersi per ottenere un potenziale risultato
desiderato”. Questi due concetti possono essere considerati “due facce della stessa
medaglia” (Carmichael et al. 202254).

Nella norma ISO/IEC 27001:2024 il processo di valutazione del rischio è disciplinato

dalla clausola 6.1.2, mentre le modalità di trattamento dei rischi individuati sono
definite dalla clausola 6.1.3, che richiede all’organizzazione di selezionare e applicare
controlli coerenti con i risultati dell’analisi. Entrando più nel dettaglio del processo di
valutazione, il punto 2) della clausola 6.1.2 richiede che l’analisi dei rischi tenga conto
delle possibili conseguenze derivanti dal manifestarsi dei rischi individuati, della
probabilità che tali eventi si verifichino e del livello di rischio risultante dalla
combinazione di tali fattori. Passando poi alla clausola 6.1.3, essa richiede che
l’organizzazione elabori e documenti un piano di trattamento del rischio, il quale deve
comprendere almeno le azioni proposte per il trattamento, lo stato di implementazione
delle stesse, le responsabilità dei soggetti, le risorse necessarie e le tempistiche di
attuazione.
Ripercorrendo, dunque, le fasi del processo di gestione del rischio, in primo luogo
l’organizzazione individua le informazioni rilevanti, gli asset che le supportano e le
potenziali minacce in grado di comprometterne riservatezza, integrità e disponibilità. In
tal modo vengono mappati asset, minacce e vulnerabilità e a ciascun rischio viene
associata una stima dell’impatto e della probabilità di accadimento, al fine di indirizzare
le priorità di intervento verso le minacce più significative.
Vengono altresì identificati i responsabili dei rischi, ovverosia coloro che devono
occuparsi della gestione degli stessi.
Solo successivamente, l’organizzazione si trova a decidere come trattare i rischi
individuati. Il trattamento del rischio può tradursi in diverse opzioni, quali
l’implementazione di misure di sicurezza volte a ridurne il livello, l’accettazione del
rischio residuo, il trasferimento del rischio a terze parti o la sua eliminazione attraverso

54
Carmichael et al. 2022. Risk Appetite vs. Risk Tolerance: What is the Difference?
[Link]
what-is-the-difference (consultato il 09/01/2026)

49
interventi di natura organizzativa o operativa.
Le decisioni adottate devono essere allineate ai criteri di accettabilità stabiliti e risultare
coerenti con le finalità e gli obiettivi complessivi del sistema di gestione. Poiché il
contesto organizzativo e tecnologico è in continua evoluzione, la valutazione e il
trattamento dei rischi devono essere rivisti con regolarità e aggiornati in presenza di
cambiamenti rilevanti,ciò consente al sistema di getione di restare efficace nel tempo e
di garantire che le misure di sicurezza restino allineate ai rischi reali.

2.4 Non conformità e miglioramento continuo

Nel quadro delineato dalla ISO/IEC 27001, la gestione delle non conformità e il
miglioramento continuo rappresentano il meccanismo attraverso il quale il sistema di
gestione viene mantenuto efficace e coerente nel tempo.
Dopo aver definito struttura, processi e approccio al rischio, la norma introduce infatti
requisiti specifici volti a verificare il funzionamento del sistema e a garantire che
eventuali scostamenti vengano gestiti in modo sistematico e strutturato.
Il miglioramento continuo non è inteso come un insieme di iniziative sporadiche, ma
come il risultato di un ciclo di verifica e di correzione fondato su evidenze, analisi e
decisioni consapevoli. In tale prospettiva, le attività di audit e la gestione delle non
conformità assumono un ruolo centrale nel garantire che il sistema di gestione non
rimanga statico, ma sia in grado di adattarsi ai cambiamenti del contesto organizzativo e
operativo.

2.4.1. Preparazione dell’audit di certificazione

La preparazione all’audit di certificazione richiede che l’organizzazione abbia

consolidato gli elementi fondamentali del Sistema di Gestione per la Sicurezza delle
Informazioni e sia in grado di dimostrarne l’effettiva attuazione.
Un primo elemento essenziale è la chiara definizione del campo di applicazione del
sistema, che delimita il perimetro entro il quale i requisiti della norma vengono applicati
e verificati. Lo scopo deve risultare coerente con il contesto dell’organizzazione, con i
processi effettivamente svolti e con le decisioni assunte in materia di gestione del

50
rischio.
Un secondo elemento centrale è la Dichiarazione di Applicabilità (SoA), che rende
esplicito il collegamento tra l’analisi del rischio, il trattamento del rischio e i controlli
adottati. La SoA costituisce uno dei principali punti di riferimento durante l’audit,
poiché consente di comprendere le scelte effettuate dall’organizzazione e di verificarne
la coerenza rispetto ai rischi identificati.
Accanto a questi aspetti, la preparazione dell’audit richiede la disponibilità e la corretta
gestione delle evidenze documentate. L’organizzazione deve essere in grado di
dimostrare, attraverso documentazione appropriata, che i processi sono stati pianificati,
attuati, monitorati e riesaminati. La reperibilità, la tracciabilità e l’aggiornamento delle
evidenze rappresentano quindi un presupposto fondamentale per sostenere la verifica
del sistema.

2.4.2. Ciclo di auditing: audit di prima parte e audit di terza parte

La norma UNI CEI EN ISO/IEC 27001:2024 impone all’organizzazione di condurre

audit interni, anche definiti audit di prima parte, e richiede che tali audit siano
programmati regolarmente al fine di verificare che il SGSI sia, e continui ad essere nel
tempo, conforme sia ai requisiti stabiliti dalla norma sia alle regole interne definite
dall'organizzazione. In tal modo è possibile rilevare deviazioni, vulnerabilità o
inefficienze, prima che si manifestino nel corso dei controlli svolti da soggetti esterni.
Infatti, l'audit di certificazione esterna, detto anche audit di terza parte, è affidato a un
ente indipendente.
Il suo scopo non è rimodulare il sistema, ma valutarlo criticamente in base a evidenze
oggettive: in un SGSI ben rodato, viene semplicemente validato quanto già scoperto e
affrontato attraverso gli audit interni.

2.4.3 Svolgimento dell’audit di certificazione

Dal punto di vista metodologico, l’audit di certificazione si sviluppa come una

valutazione strutturata del sistema di gestione rispetto ai requisiti della norma e allo
scope dichiarato. L’auditor verifica la coerenza tra quanto pianificato e quanto attuato,

51
analizzando processi, responsabilità, gestione del rischio, controlli e meccanismi di
monitoraggio.
Nel corso dell’audit vengono esaminate le prassi operative e le evidenze documentate,
al fine di valutare se il sistema sia, non solo formalmente conforme, ma anche
effettivamente funzionante.
L’esito dell’audit può tradursi in differenti tipologie di rilievi, che nella prassi vengono
generalmente classificati come osservazioni, opportunità di miglioramento e non
conformità.
Le non conformità possono essere distinte, in base alla loro gravità e all’impatto sul
sistema, in non conformità di maggiore o minore rilevanza.
Indipendentemente dalla classificazione adottata dall’organismo di certificazione, ciò
che rileva ai fini del sistema di gestione è la capacità dell’organizzazione di gestirle in
modo strutturato.

2.4.4 Gestione delle non conformità e transizione tra audit interno e audit di
certificazione

La gestione delle non conformità costituisce uno dei principali motori del
miglioramento continuo. In presenza di una non conformità, l’organizzazione è
chiamata a intervenire non solo correggendo l’effetto immediato, ma analizzando le
cause che l’hanno determinata e definendo azioni correttive volte a prevenirne il
ripetersi.
Le azioni intraprese devono essere proporzionate alla criticità riscontrata e supportate da
evidenze che ne dimostrino l’efficacia.
Gli audit interni possono produrre risultati che confluiscono poi nel riesame della
direzione, come opportunità o azioni di miglioramento e osservazioni, al fine di valutare
le prestazioni del SGSI e valutare quali azioni intraprendere per il futuro.
Il miglioramento continuo non si configura, quindi, come un principio astratto, bensì
come il risultato di un insieme di attività di verifica e di analisi che supportano decisioni
consapevoli in materia di sicurezza delle informazioni.

52
 Capitolo III

LA PROTEZIONE DEI DATI PERSONALI NEL GDPR

E L’INTEGRAZIONE CON IL SGSI

Il presente capitolo è dedicato all’analisi del quadro europeo in materia di protezione dei
dati personali, con particolare riferimento al Regolamento (UE) 2016/679 55, quale
principale riferimento della disciplina vigente in ambito europeo.
Il capitolo si apre con l’inquadramento del diritto alla protezione dei dati personali quale
diritto fondamentale dell’ordinamento europeo e prosegue con l’analisi dei principi
generali del trattamento dei dati personali. In tale prospettiva, particolare attenzione è
rivolta alle misure tecniche e organizzative “adeguate”, così come definite dal
Regolamento all’art 32, ed al principio di accountability, evidenziando infine il ruolo
del SGSI nella protezione dei dati personali all’interno delle organizzazioni.

3.1 Il diritto alla protezione dei dati personali nel panorama della normativa
europea

L’evoluzione di Internet e dei servizi digitali, a partire dalla fine degli anni Novanta, ha
inciso profondamente sull’organizzazione della società contemporanea, determinando
una trasformazione delle istituzioni giuridiche e politiche. Il trattamento dei dati, in
questo contesto, è divenuto un elemento centrale di gran parte delle relazioni
interpersonali, le quali si creano sempre più online, al di fuori della dimensione fisica,
rendendo ormai superata la contrapposizione tra realtà digitale e realtà “reale”.
In particolare, il progresso tecnologico non può essere considerato più un elemento
disgiunto dalla tutela dei diritti fondamentali. Lo sviluppo delle tecnologie e la
protezione della persona risultano, infatti, strettamente interconnessi e richiedono una
consapevolezza diffusa delle potenzialità e dei rischi connessi all’uso dei dati,

55
Regolamento (Ue) 2016/679 del Parlamento Europeo e del Consiglio del 27 Aprile 2016 relativo alla
protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera
circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)

53
condizione essenziale per l’elaborazione di strategie politiche ed economiche efficaci. 56

In questa prospettiva, “alla luce delle fonti interne e internazionali il diritto alla privacy
odierno si delinea come fattispecie complessa, un diritto della personalità che tiene al
suo interno diritto alla riservatezza, diritto alla protezione dei dati personali e diritto
all’identità personale.” (Galgano 2019, senza pagina)57
Attraverso il proprio operato, le organizzazioni pubbliche e private si espongono a
diversi tipi di rischio, che non dipendono soltanto da possibili attacchi informatici, ma
anche da criticità interne, come scelte progettuali poco accurate, una gestione non
strutturata dei flussi informativi o un controllo insufficiente sui processi.
La protezione dei dati personali non può essere, dunque, ridotta a un tema
esclusivamente di natura giuridica o di conformità alla normativa, poiché riguarda
oramai, più in generale, il modo in cui le informazioni vengono gestite all’interno
dell’organizzazione e il livello di consapevolezza dei rischi connessi al loro trattamento.

L'uso crescente delle tecnologie "smart", che si basano su enormi database in cui ogni
giorno confluiscono quantità enormi di informazioni, ha portato a un aumento
significativo delle attività di trattamento dei dati. L'Unione Europea, in particolare, pone
al centro della sua strategia una visione della società digitale che rispetta i diritti
fondamentali e i principi democratici. Si tratta di un approccio che valorizza la persona
e il suo libero arbitrio, imponendo a chi si occupa di protezione dei dati personali di
aderire a un "patriottismo europeo", ovvero un impegno a difendere i valori fondanti
della cultura occidentale.

In questo contesto in continua evoluzione, il GDPR risponde a due esigenze

fondamentali: garantire una protezione adeguata dei diritti e delle libertà degli individui
e uniformare la normativa sulla protezione dei dati tra tutti gli Stati membri dell'Unione
Europea, evitando così legislazioni nazionali divergenti in un ambito così delicato.
Esso costituisce la fonte primaria dell’Unione Europea in materia di protezione dei dati
personali e, trattandosi di un regolamento, risulta direttamente applicabile all’interno
degli Stati membri dell’Unione Europea, senza la necessità che i singoli Stati emanino
56
Mercadante G. 2018. Ciberspazio e diritto. Mucchi Editore, vol. 19, n. 60, pp. 21-38.
57
Galgano, N. Z. 2019. Persona e mercato dei dati. Riflessioni sul GDPR. Cedam.

54
norme nazionali che lo recepiscano.

Questo regolamento è entrato in vigore il 25 maggio 2018 ed è divenuto applicabile a

far data dal 25 Maggio 2018, abrogando così la normativa privacy europea fino ad
allora contenuta nella Direttiva 95/46 /CE 58 precedentemente in vigore, dopo un biennio
concesso dall'Unione Europea agli Stati membri per prepararsi all'applicazione delle
nuove norme. In Italia, l'attuazione del GDPR ha comportato l'emissione iniziale del
Decreto Legislativo 51/2018, relativo al trattamento dei dati personali da parte delle
autorità competenti, seguito dal Decreto Legislativo 101/2018, che ha armonizzato le
disposizioni precedenti del Codice della privacy ([Link]. 196/2003) con il regolamento
europeo.

L'intento del legislatore europeo si è tradotto in regole concrete, applicabili a una vasta
gamma di situazioni, con l'obiettivo di proteggere adeguatamente tutti i dati personali
trattati attraverso strumenti elettronici o tecnologici. Il nuovo sistema legislativo
rappresenta un cambiamento significativo rispetto al passato, stabilendo misure minime
di sicurezza per qualsiasi ente, pubblico o privato, che gestisca dati personali,
fondandosi sul principio di responsabilizzazione.

Il considerando 6 del GDPR recita quanto segue:

La rapidità dell'evoluzione tecnologica e la globalizzazione
comportano nuove sfide per la protezione dei dati personali.
La portata della condivisione e della raccolta di dati personali è
aumentata in modo significativo. La tecnologia attuale consente
tanto alle imprese private quanto alle autorità pubbliche di
utilizzare dati personali, come mai in precedenza, nello
svolgimento delle loro attività. Sempre più spesso, le persone
fisiche rendono disponibili al pubblico su scala mondiale
informazioni personali che le riguardano.59

Per attuare gli obblighi previsti dal GDPR, è necessario che un’organizzazione traduca i

58
Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela
delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali
dati
59
Regolamento (Ue) 2016/679 del Parlamento Europeo E del Consiglio del 27 Aprile 2016 relativo alla
protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera
circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)

55
requisiti normativi in processi definiti, responsabilità formalizzate, controlli
documentati e meccanismi di miglioramento continuo. La protezione dei dati personali
non può essere dunque considerata come un ambito autonomo e separato rispetto alla
sicurezza delle informazioni, poiché tali dimensioni risultano strettamente connesse e
devono essere gestite in modo integrato.
Con l’entrata in vigore del GDPR, la disciplina europea in materia di protezione dei dati
personali si è progressivamente allontanata da un’impostazione prevalentemente
formale, fondata su obblighi prescrittivi e autorizzativi, per orientarsi verso un modello
non solo volto al rispetto delle norme applicabili, ma in grado di dimostrare, in modo
continuativo, la coerenza delle proprie scelte organizzative e operative. Questo
approccio è in linea con il principio di accountability introdotto dall’art 5 paragrafo 2
del GDPR. La conformità assume così una dimensione dinamica, fondata sulla capacità
dell’organizzazione di governare consapevolmente i processi di trattamento e di adattare
le misure adottate al mutare dei rischi e del contesto operativo.

Secondo la prospettiva di Carpanelli et al.60, il GDPR deve essere applicato tenendo

conto degli articoli 7 e 8 della Carta dei diritti fondamentali dell’Unione Europea. Ai
sensi dell’articolo 7 61“rispetto della vita privata e della vita familiare” della Carta dei
diritti fondamentali dell’Unione Europea, nota anche come Carta di Nizza, “ogni
individuo ha diritto al rispetto della propria vita privata e familiare, del proprio
domicilio e delle sue comunicazioni.” L’esercizio di tale diritto può essere limitato solo
nei casi espressamente previsti dalla legge e quando ciò si renda necessario per la
salvaguardia di interessi pubblici rilevanti o per la protezione dei diritti e delle libertà
altrui.62

Ai sensi dell’articolo 8 “protezione dei dati di carattere personale” della medesima

Carta:
“1) Ogni individuo ha diritto alla protezione dei dati di carattere personale che lo
60
CSEIA. Manuale breve su “La protezione dei dati nel diritto internazionale ed europeo: il ruolo delle
corti nazionali nell’applicazione della carta dei diritti fondamentali”, Progetto E-NACT
61
Tale articolo riprende il contenuto dell’articolo 8 della Convenzione Europea dei Diritti dell’Uomo
(CEDU)
62
Gazzetta ufficiale dell’Unione europea, Spiegazioni relative alla carta dei diritti fondamentali (2007/C
303/02) – 14.12.2007

56
riguardano;
2) tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e
in base al consenso della persona interessata o a un altro fondamento legittimo previsto
dalla legge. Ogni individuo ha il diritto di accedere ai dati raccolti che lo riguardano e di
ottenerne la rettifica;
3) il rispetto di tali regole è soggetto al controllo di un’autorità indipendente.” 63

Secondo la prospettiva di Tosi et al., il legame tra diritto alla riservatezza e protezione
dei dati personali si è trasformato nel tempo per via dei cambiamenti sociali e
tecnologici64. È possibile distinguere, in questo percorso, tre momenti principali. In una
prima fase, la riservatezza si afferma come diritto della personalità, volto a tutelare la
dimensione privata dell’individuo dalle ingerenze esterne. Con l’avvento
dell’informatica e delle tecnologie, questo diritto entra in una fase di forte tensione: la
capacità dei sistemi digitali di raccogliere ed elaborare grandi quantità di informazioni,
infatti, mette in discussione i confini tradizionali della sfera privata. Nella fase più
recente, segnata dalla diffusione delle piattaforme digitali e dalla circolazione continua
dei dati, la riservatezza risulta ulteriormente indebolita, poiché la raccolta e l’utilizzo
delle informazioni personali avvengono spesso in modo esteso e pervasivo.

Nonostante l’entrata in vigore del GDPR quale norma di portata europea,

nell’ordinamento italiano continua a trovare applicazione il Codice in materia di
protezione dei dati personali, detto anche “Codice Privacy”, originariamente adottato in
attuazione della Direttiva 95/46/CE mediante la legge n. 675 del 31 dicembre 1996,
novellato dal [Link]. 10 agosto 2018, n. 101, al fine di adeguare la normativa nazionale
alle disposizioni del GDPR. A seguito dell’entrata in vigore del Regolamento (UE)
2016/679, il Codice Privacy è stato oggetto di un processo di adeguamento volto ad
assicurarne la coerenza con il quadro europeo. Allo stato attuale, esso svolge una
funzione di raccordo, nei limiti consentiti dal GDPR. Nello specifico, continua ad essere
applicato alle disposizioni compatibili con il GDPR e agli ambiti nei quali il diritto
dell’Unione ammette interventi nazionali di specificazione o integrazione, mentre risulta
inapplicabile nelle parti espressamente abrogate o comunque incompatibili, in ragione
63
Articolo 8 Carta di Nizza
64
Tosi E. 2019. Privacy Digitale, Giuffrè.

57
della diretta applicabilità e della prevalenza della normativa europea.

Facendo un esempio di integrazione tra le norme e coesistenza tra GDPR e Codice

Privacy, prendiamo in considerazione l’articolo 110 del Codice Privacy, che disciplina
il trattamento dei dati per finalità di ricerca medica, biomedica ed epidemiologica.
L’articolo prende in considerazione trattamenti che riguardano dati particolarmente
sensibili, come quelli relativi alla salute, e prevede che essi possano essere trattati anche
in assenza della prima base giuridica annoverata all’art 6 lettera a) del GDPR ovvero il
consenso dell’interessato. Questa eccezionale casistica può verificarsi, ad esempio
quando fornire l’informativa risulti impossibile o richieda uno sforzo sproporzionato,
oppure quando l’obbligo di informare gli interessati rischi di compromettere in modo
rilevante il conseguimento delle finalità della ricerca. In questi casi, il coordinamento
con il GDPR non comporta una riduzione delle tutele, ma un diverso modo di garantirle.
L’attenzione non è più concentrata esclusivamente sul consenso dell’interessato, bensì
65
sulla capacità del titolare del trattamento (ovvero la persona fisica o giuridica che
definisce le finalità e modalità del trattamento) di valutare e gestire preventivamente i
rischi connessi all’attività di ricerca. A tal fine, l’articolo 110 richiede lo svolgimento di
una valutazione d’impatto sulla protezione dei dati, ai sensi degli articoli 35 e 36 del
Regolamento, attraverso la quale il titolare deve dimostrare di aver adottato misure
adeguate a tutelare i diritti e le libertà degli interessati.

L’integrazione degli obblighi introdotti dal GDPR non risponde al mero obiettivo di
introdurre regole comuni, per il trattamento dei dati all’interno delle organizzazioni,
europee, ma risponde alle seguenti due esigenze principali. Da un lato, vi è la necessità
di responsabilizzare il soggetto designato come titolare del trattamento dei dati, ossia
colui che determina le modalità e finalità del trattamento. Il titolare deve assumere la
65
L’articolo 24 del GDPR dal titolo “responsabilità del titolare del trattamento” recita “1. tenuto conto
della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi
aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento
mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che
il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e
aggiornate qualora necessario; 2. se ciò è proporzionato rispetto alle attività di trattamento, le misure di
cui al paragrafo 1 includono l'attuazione di politiche adeguate in materia di protezione dei dati da parte
del titolare del trattamento; 3. l'adesione ai codici di condotta di cui all'articolo 40 o a un meccanismo di
certificazione di cui all'articolo 42 può essere utilizzata come elemento per dimostrare il rispetto degli
obblighi del titolare del trattamento.”

58
responsabilità effettiva su tali attività, mantenendone il controllo e dimostrando che le
scelte adottate all’interno dell’organizzazione sono coerenti con i principi di protezione
dei dati. Dall’altro lato, il Regolamento promuove un approccio basato sul rischio, in
base al quale le misure di sicurezza e i controlli devono essere valutati sulla base dei
rischi che possono derivare per gli interessati, tenendo conto della natura dei dati
trattati, delle finalità perseguite e del contesto operativo in cui avviene il trattamento.
In questo senso, la conformità non coincide con la mera produzione di documenti, ma
con la capacità dell’organizzazione di strutturare i propri processi in modo tale da
prevenire, individuare e gestire eventi che possano incidere sui diritti e sulle libertà delle
persone.

Alla luce di tali considerazioni, il GDPR si configura come un quadro normativo che
integra principi giuridici, requisiti organizzativi e logiche di gestione del rischio,
richiedendo alle organizzazioni un approccio strutturato e sistematico alla protezione dei
dati personali. Nei paragrafi che seguono verranno analizzati i principi generali del
trattamento, il ruolo delle misure tecniche e organizzative adeguate e il principio di
accountability, per poi evidenziare come il SGSI rappresenti uno strumento idoneo a
supportare l’attuazione coerente e continuativa degli obblighi previsti dal Regolamento
all’interno delle organizzazioni.

3.2 I soggetti coinvolti nel trattamento

Il GDPR individua una pluralità di soggetti coinvolti nel trattamento dei dati personali,
ciascuno dei quali assume un ruolo a cui sono attribuite specifiche responsabilità.
Individuare chiaramente tali soggetti all’interno di un’organizzazione non ha una
rilevanza meramente classificatoria, ma costituisce un presupposto essenziale per la
concreta attuazione degli obblighi di protezione dei dati. La definizione dei ruoli incide
infatti sulla distribuzione delle responsabilità, sull’adozione delle misure di sicurezza e,
più in generale, sull’assetto organizzativo attraverso cui il trattamento viene governato.
Il Regolamento, infatti, non si limita a descrivere le figure coinvolte, ma richiede che i
ruoli siano chiaramente definiti, coerenti con le attività svolte e adeguatamente
formalizzati.

59
La corretta qualificazione dei soggetti coinvolti rappresenta quindi uno degli elementi
fondanti del principio di accountability, poiché consente di attribuire in modo
trasparente le responsabilità e di dimostrare la conformità del trattamento ai principi del
Regolamento. Nella prospettiva di Iaselli (202566), il concetto di accountability può
essere ricondotto ad almeno due dimensioni fondamentali. Da un lato, esso esprime
l’obbligo di rendere conto verso l’esterno, e in particolare nei confronti degli
stakeholder, dell’impiego delle risorse e dei risultati conseguiti, fornendo informazioni
chiare, comprensibili e coerenti con gli obiettivi perseguiti dall’organizzazione.
Dall’altro lato, l’accountability richiama l’esigenza di rafforzare i meccanismi di
responsabilizzazione all’interno delle organizzazioni e delle reti di imprese,
promuovendo una maggiore consapevolezza e controllo sull’utilizzo delle risorse e sugli
esiti delle attività svolte.

Il titolare del trattamento riveste una posizione centrale all’interno del sistema delineato
dal GDPR, poiché è il soggetto che determina le finalità e i mezzi del trattamento 67e, in
quanto tale, è responsabile delle scelte operate. “Il titolare del trattamento è il soggetto
che decide in merito a determinati elementi chiave del trattamento stesso. La titolarità
può essere definita a norma di legge o può derivare da un’analisi degli elementi di fatto
o delle circostanze del caso.” (EDPB 2021, 368)

Accanto al titolare opera il responsabile del trattamento 69, ossia il soggetto che svolge
operazioni di trattamento di dati personali per conto del titolare. La qualificazione di
tale ruolo presuppone due elementi essenziali: da un lato, la distinta autonomia
soggettiva rispetto al titolare del trattamento; dall’altro, lo svolgimento delle attività di
trattamento sulla base di un mandato conferito da quest’ultimo ai sensi dell’art 28 del
GDPR.
Egli è tenuto a operare nel rispetto delle istruzioni impartite dal titolare e non può
utilizzare i dati per finalità diverse da quelle da quest’ultimo definite. Ciò non esclude,
66
Iaselli M. 2025. Sanzioni e responsabilità in ambito GDPR. Giuffrè Francis Lefebvre
67
Articolo 4, paragrafo 7, del GDPR
68
EDPB 2021. Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del
trattamento ai sensi del GDPR versione 2.0
69
Articolo 4, paragrafo 8, del GDPR.

60
tuttavia, che le indicazioni ricevute possano lasciare un margine di autonomia operativa,
consentendo al responsabile di individuare soluzioni tecniche e organizzative più
adeguate all’esecuzione del trattamento, purché coerenti con le finalità stabilite.
Qualora il responsabile ecceda tali limiti e determini autonomamente le finalità o i
mezzi del trattamento, egli perde la qualifica di responsabile e assume il ruolo di titolare
autonomo del trattamento con riferimento a quelle specifiche operazioni. In tale ipotesi,
il soggetto potrà essere ritenuto direttamente responsabile delle violazioni del GDPR e
assoggettato alle relative sanzioni, non avendo rispettato il perimetro delle istruzioni
ricevute.70

Nei trattamenti maggiormente articolati, il responsabile può a sua volta ricorrere a

ulteriori soggetti per l’esecuzione di specifiche operazioni, configurando il ruolo del
sub-responsabile del trattamento. Tale possibilità non introduce una nuova catena di
responsabilità autonoma, ma si inserisce all’interno del rapporto originario tra titolare e
responsabile. In particolare, l’articolo 28, paragrafo 2, del GDPR prevede che il
coinvolgimento di un sub-responsabile sia subordinato a una preventiva autorizzazione
del titolare del trattamento, che può essere specifica o generale71. Il paragrafo 4 del
medesimo articolo stabilisce inoltre che al sub-responsabile debbano essere imposti,
mediante un atto giuridico o un contratto, gli stessi obblighi in materia di protezione dei
dati previsti per il responsabile principale, assicurando così la continuità delle garanzie
lungo l’intera catena del trattamento e facendo così che il responsabile che si avvale di
sub responsabili risponda per il loro operato nei confronti del titolare del trattamento.

Il Regolamento contempla inoltre l’ipotesi in cui due o più soggetti determinino

congiuntamente le finalità e i mezzi del trattamento, configurando una situazione di
contitolarità del trattamento. In tali casi, la responsabilità non è concentrata in capo a un
unico soggetto, ma è condivisa tra i contitolari, i quali partecipano in modo coordinato
alle decisioni essenziali relative al trattamento dei dati personali.
70
EDPB 2021. Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del
trattamento ai sensi del GDPR versione 2.0
71
Nel caso di autorizzazione specifica, il titolare del trattamento mantiene un controllo diretto sul ricorso
ai sub-responsabili, approvando di volta in volta i singoli soggetti coinvolti. L’autorizzazione generale,
invece, offre al responsabile una maggiore flessibilità operativa, prevedendo che il titolare venga
informato delle modifiche e possa eventualmente opporsi. La differenza principale riguarda quindi il
grado di controllo preventivo esercitato dal titolare.

61
 “La partecipazione congiunta può assumere la forma di una
decisione comune, presa da due o più soggetti, o può derivare
dalle decisioni convergenti di due o più soggetti, qualora tali
decisioni si integrino vicendevolmente e siano necessarie
affinché il trattamento abbia luogo così da esplicare un effetto
tangibile sulla definizione delle finalità e dei mezzi del
trattamento. Un criterio importante è che il trattamento non
sarebbe possibile senza la partecipazione di entrambi i soggetti,
nel senso che i trattamenti svolti da ciascun soggetto sono tra
loro indissociabili, ovverosia indissolubilmente legati. La
partecipazione congiunta comprende, da un lato, la
determinazione delle finalità e, dall’altro, la determinazione dei
mezzi.” (EDPB 2021, 372)

La gestione della contitolarità richiede un elevato livello di chiarezza organizzativa,

poiché devono essere definiti in modo trasparente le responsabilità e la ripartizione degli
gli obblighi previsti dal Regolamento, in particolare con riferimento all’esercizio dei
diritti degli interessati, alla gestione delle violazioni di dati personali e all’adozione
delle misure di sicurezza. Tale definizione, pur potendo essere formalizzata attraverso
un accordo, assume rilievo soprattutto sul piano sostanziale, poiché mira a garantire
un’effettiva capacità di governo congiunto del trattamento.

Un ruolo di particolare rilievo tra gli attori coinvolti nel trattamento è rivestito dagli
autorizzati al trattamento, ossia dalle persone fisiche che, all’interno
dell’organizzazione, operano sotto l’autorità del titolare o del responsabile, solitamente
sono rappresentati dai dipendenti dell’azienda.
Pur non assumendo responsabilità decisionali autonome, gli autorizzati rappresentano
un elemento cruciale nella protezione dei dati personali, poiché sono direttamente
coinvolti nelle operazioni di trattamento. Errori, comportamenti non conformi o carenze
di consapevolezza possono incidere in modo significativo sulla sicurezza dei dati.
Per tale ragione, il GDPR richiede che l’accesso ai dati sia limitato a quanto
strettamente necessario e che le attività degli autorizzati siano supportate da adeguate
misure organizzative, quali procedure, formazione e controlli sugli accessi.

Il Responsabile della protezione dei dati (DPO) si colloca in una posizione peculiare

72
EDPB 2021. Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del
trattamento ai sensi del GDPR versione 2.0

62
rispetto agli altri soggetti coinvolti. Egli, quale figura che opera super partes, non
assume decisioni operative sul trattamento, né è responsabile delle scelte del titolare, ma
svolge una funzione di supporto, consulenza e sorveglianza. La sua efficacia dipende in
larga misura dall’indipendenza e dall’integrazione all’interno dell’organizzazione.
Il DPO contribuisce a garantire che la protezione dei dati sia considerata in modo
sistematico nelle decisioni aziendali, fungendo da punto di raccordo tra le esigenze
operative, i requisiti normativi e la tutela dei diritti degli interessati.
In linea generale, ai sensi dell’articolo 29 del GDPR, i
dipendenti aventi accesso ai dati personali all’interno di
un’organizzazione non sono considerati «titolari del
trattamento» o «responsabili del trattamento», bensì persone che
«agiscono sotto l’autorità del titolare del trattamento o del
responsabile del trattamento». (EDPB 2021, 1273)

Al centro dell’intero sistema si colloca infine l’interessato, ossia la persona fisica cui i
dati si riferiscono. Sebbene non partecipi direttamente all’organizzazione del
trattamento, l’interessato rappresenta il destinatario principale della tutela garantita dal
GDPR.
I diritti riconosciuti dal Regolamento costituiscono il parametro attraverso il quale
valutare l’adeguatezza delle misure adottate dal titolare del trattamento e l’impatto dei
trattamenti. In tale prospettiva, l’analisi del rischio e l’adozione delle misure di
sicurezza devono essere orientate non solo alla protezione dell’organizzazione, ma
anche alla salvaguardia concreta dei diritti e delle libertà delle persone fisiche.

Nei trattamenti che si basano su sistemi informativi complessi, un ruolo particolarmente

delicato è svolto dagli amministratori di sistema, ossia da coloro che dispongono di
ampi privilegi tecnici sulle infrastrutture e sugli applicativi.
Pur non essendo qualificati dal GDPR come una categoria autonoma, e menzionati nel
provvedimento del Garante del 27 novembre 2008, essi assumono rilevanza sotto il
profilo della sicurezza dei dati, in ragione dell’ampiezza dei poteri di accesso. Risulta
dunque necessario che la gestione di tali profili sia attentamente regolata, limitando i
privilegi a quanto strettamente necessario e assicurando la tracciabilità delle operazioni
svolte, al fine di prevenire utilizzi impropri dei poteri attribuiti.
73
EDPB 2021. Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del
trattamento ai sensi del GDPR versione 2.0

63
Nel loro insieme, i soggetti coinvolti nel trattamento delineano una rete di ruoli e
responsabilità che richiede coerenza, coordinamento e chiarezza organizzativa, poiché
la frammentazione delle responsabilità o una definizione imprecisa dei ruoli
comprometterebbe l’efficacia delle misure di protezione e aumenterebbe il rischio di
non conformità.
Tabella 2 - I soggetti coinvolti nel trattamento

Soggetto Fonte di riferimento Ruolo e responsabilità

Interessato Regolamento (UE) 2016/679, Persona fisica cui i dati si
art. 4 (definizione) e artt. 12– riferiscono e titolare dei diritti
22 (diritti e modalità di riconosciuti dal GDPR
esercizio) (trasparenza, accesso, rettifica,
cancellazione, limitazione,
portabilità, opposizione),
esercitabili nei confronti del
titolare del trattamento e nei
limiti del responsabile.
Titolare del Regolamento (UE) 2016/679, Determina finalità e mezzi del
trattamento art. 4 (definizione), art. 24 trattamento e deve assicurare e
(responsabilità del titolare) dimostrare che il trattamento
avvenga nel rispetto del GDPR,
incluse misure
organizzative/tecniche adeguate
e gestione sicura dei fornitori.
Contitolare Regolamento (UE) 2016/679, Due o più soggetti determinano
del art. 26 congiuntamente finalità e mezzi,
trattamento definendo in modo trasparente
(tramite accordo scritto) la
ripartizione delle rispettive
responsabilità, in particolare
verso gli interessati.
Responsabile Regolamento (UE) 2016/679, Tratta dati per conto del titolare

64
 del art. 4 (definizione), art. 28 sulla base di un contratto
trattamento (DPA74), opera secondo
istruzioni documentate del
titolare e adotta misure adeguate.
Inoltre, decide sull’eventuale
ricorso a sub-responsabili,
secondo le regole dell’art. 28.
Sub- Regolamento (UE) 2016/679, Soggetto individuato dal
responsabile art. 28 (par. 2 e 4) responsabile che svolge attività
di trattamento. Può essere
coinvolto solo alle condizioni
previste dal DPA.
Persone Regolamento (UE) 2016/679, Persone fisiche che trattano dati
autorizzate al art. 29, art. 32 (par. 4) sotto l’autorità del titolare o del
trattamento responsabile, nei limiti delle
istruzioni e delle autorizzazioni
ricevute, in coerenza con ruoli e
mansioni.
Amministrator Provvedimento del Garante Soggetti con privilegi elevati di
i di sistema per la protezione dei dati gestione e/o manutenzione dei
personali, 27 novembre 2008 sistemi che possono comportare
accessi ai dati. Si richiedono
formalizzazione dell’incarico
limitazione e controllo dei
privilegi e misure di
tracciamento delle attività.

3.3 Il trattamento dei dati nel GDPR

Il GDPR disciplina il trattamento dei dati, ossia l’insieme delle operazioni che possono
essere compiute nel corso del ciclo di vita dei dati. Nello specifico si tratta di:
74
Data Processing Agreement.

65
 Qualsiasi operazione o insieme di operazioni,
compiute con o senza l’ausilio di processi
automatizzati e applicate a dati personali o insieme
di dati personali, come la raccolta, la registrazione,
l’organizzazione, la strutturazione, la conservazione,
l’adattamento o la modifica, l’estrazione, la
consultazione, l’uso, la comunicazione mediante
trasmissione, diffusione o qualsiasi altra forma di
messa a disposizione, il raffronto o
l’interconnessione, la limitazione, la cancellazione o
la distruzione.75

Affinché un dato sia definibile come “dato personale” deve innanzitutto riferirsi ad una
persona fisica identificata o identificabile, e non ad una persona giuridica. Attraverso il
dato, deve essere concretizzata o potenzialmente possibile l’identificazione diretta (ad
esempio attraverso nome e cognome) o indiretta (ad esempio tramite i connotati fisici)
di tale persona fisica.
“L’identificabilità di una persona a partire dalle informazioni raccolte deve essere
considerata in base a tutti i mezzi di cui il titolare del trattamento (o un terzo) possono
ragionevolmente avvalersi per identificare detta persona fisica direttamente o
indirettamente. La ragionevolezza o probabilità con cui tali mezzi possono essere
utilizzati deve prendere in considerazione un insieme di fattori obiettivi, tra cui: le
risorse economiche e di tempo necessarie per l’identificazione, le tecnologie disponibili
al momento del trattamento e gli sviluppi tecnologici.” (Coraggio G. 2022, 6)76

L’articolo 5 del GDPR enuncia una serie di criteri che sono utili al titolare del
trattamento al fine di orientare le proprie scelte lungo l’intero ciclo di vita dei dati e
fornire una valutazione sul trattamento posto in essere. Ciascun principio enunciato,
seppur complementare rispetto agli altri, esprime un’esigenza singolare. Il principio di
77
liceità, correttezza e trasparenza stabilisce che il trattamento di dati personali si basi
su un idoneo presupposto giuridico, sia condotto nel rispetto delle aspettative legittime
dell’interessato e si svolga secondo modalità comprensibili e non ingannevoli. Il titolare
è pertanto chiamato ad assicurare che le finalità del trattamento e le relative modalità

75
Articolo 4, paragrafo 2, GDPR.
76
Coraggio G. 2022. Privacy e data protection. Ipsoa
77
Secondo quanto sancito dall’Articolo 5, comma 1, del GDPR “I dati personali sono: a) trattati in modo
lecito, corretto e trasparente nei confronti dell’interessato.”

66
siano chiaramente definite e comunicate. La trasparenza assume dunque una funzione
essenziale nel rapporto tra titolare e interessato, in quanto permette a quest’ultimo di
acquisire piena consapevolezza dell’utilizzo dei propri dati personali.

Nella prospettiva di Palumbo (202678), il principio di limitazione della finalità introduce

un vincolo sostanziale alle scelte organizzative, poiché stabilisce che i dati personali
possano essere raccolti e utilizzati solo per scopi chiaramente individuati, espliciti e
legittimi, che devono essere definiti sin dall’inizio del trattamento. Il titolare è quindi
chiamato a garantire che le operazioni svolte sui dati restino coerenti con le finalità
dichiarate, evitando impieghi successivi che risultino non compatibili o non
adeguatamente giustificati.

Il principio di minimizzazione richiede che il trattamento riguardi solo i dati

strettamente necessari al raggiungimento delle finalità perseguite, per ridurre
l’esposizione al rischio e favorire una gestione più controllata e sicura dei dati personali.
Ciò implica un’attenta selezione delle informazioni raccolte e utilizzate, con l’obiettivo
di limitare il trattamento a ciò che è realmente pertinente.

Il principio di esattezza impone che i dati personali siano corretti e aggiornati rispetto
alle finalità del trattamento. Il titolare deve pertanto predisporre misure e procedure
idonee a individuare e correggere tempestivamente eventuali inesattezze, o a cancellare
i dati non più adeguati, adottando controlli organizzativi e operativi che consentano di
mantenere nel tempo un adeguato livello di qualità del dato.

La limitazione della conservazione riguarda invece la durata del trattamento e impone

che i dati siano mantenuti in una forma che consenta l’identificazione degli interessati
solo per il tempo strettamente necessario al conseguimento delle finalità per cui sono
stati raccolti. Tale principio richiede una gestione consapevole dei tempi di
conservazione, che deve essere definita in modo coerente con le finalità del trattamento.

78
Palumbo A. 2026. Il principio di accountability nel GDPR: obblighi del titolare e sistema
sanzionatorio. [Link]
obblighi-del-titolare-e-sistema-sanzionatorio/ (consultato il 22/01/2026)

67
Infine, il principio di integrità e riservatezza rappresenta il punto di maggiore
convergenza tra la disciplina della protezione dei dati personali e la sicurezza delle
informazioni, poiché richiede che i dati personali siano trattati garantendo un livello di
sicurezza adeguato ai rischi, attraverso l’adozione di misure tecniche e organizzative
idonee a prevenire accessi non autorizzati, trattamenti illeciti, perdite o danni
accidentali.

A completamento del quadro, il principio di responsabilizzazione (accountability)

impone al titolare del trattamento non solo di rispettare i principi sopra richiamati, ma
anche di essere in grado di dimostrarne l’effettiva applicazione. Il punto 21 del parere
del gruppo di lavoro Articolo 2979, lo definisce come segue:
Il termine inglese “accountability” (responsabilità) proviene dal
mondo anglosassone, dove è di uso comune e dove il suo
significato è ampiamente compreso e condiviso. Ciononostante,
risulta complesso definire che cosa esattamente significhi
“accountability” in pratica. In generale, comunque, l’accento è
posto sulla dimostrazione di come viene esercitata la
responsabilità e sulla sua verificabilità. La responsabilità e
'obbligo di rendere conto sono due facce della stessa medaglia
ed entrambe sono elementi essenziali di una buona governance.
Solo quando si dimostra che la responsabilità funziona
effettivamente nella pratica può instaurarsi una fiducia
sufficiente.

La conformità non si esaurisce quindi nell’adozione formale di misure o documenti, ma

richiede la capacità di integrare i principi del GDPR all’interno dei processi
organizzativi e decisionali, attraverso un sistema coerente di regole, controlli e
meccanismi di miglioramento continuo.
Nella prospettiva di Iaselli (202580), nell’ambito della sicurezza informatica, il concetto
di accountability trova una specifica declinazione. Infatti, in questo settore,
caratterizzato da un’elevata capacità di espansione, l’accountability può essere intesa
come la possibilità per un sistema di identificare i singoli utenti e di ricostruire le azioni
e i comportamenti da essi compiuti al proprio interno, grazie all’impiego di meccanismi
di autenticazione e di strumenti di audit.

79
Gruppo di lavoro Articolo 29, Parere 3/2010 sul principio di responsabilizzazione, adottato il 13 Luglio
2010, 00062/10/EN WP 173
80
Iaselli M. 2025. Sanzioni e responsabilità in ambito GDPR. Giuffrè Francis Lefebvre

68
Il trattamento dei dati personali deve essere considerato come un processo dinamico,
che si sviluppa lungo l’intero ciclo di vita delle informazioni e che richiede un presidio
costante. L’integrazione dei principi del GDPR all’interno di un Sistema di Gestione
della Sicurezza delle Informazioni consente di strutturare tale presidio in modo
sistematico, favorendo una gestione coerente dei rischi, l’adozione di misure
proporzionate e la dimostrazione dell’adeguatezza delle scelte operate dal titolare del
trattamento.
Parallelamente alla definizione delle condizioni di liceità e dei principi del trattamento,
il GDPR costruisce un sistema di garanzie volto a collocare l’interessato in una
posizione sostanziale di centralità. Quest’ultimo non è concepito esclusivamente come
destinatario di tutela, ma come soggetto titolare di prerogative giuridiche che gli
consentono di esercitare un controllo strutturato sulle modalità con cui i propri dati
personali vengono trattati.

In questa prospettiva, gli obblighi informativi previsti dagli articoli 13 e 14 del GDPR
svolgono un ruolo centrale nel rapporto tra titolare e interessato. Attraverso
l’informativa, l’interessato è messo nella condizione di comprendere come vengono
trattati i propri dati personali, per quali finalità, su quale base giuridica, per quanto
tempo e con quali possibili destinatari, nonché di conoscere in modo chiaro i diritti che
l’ordinamento gli riconosce. L’informazione diventa così uno strumento essenziale per
rendere il trattamento trasparente e comprensibile dal punto di vista della persona. 81

Su questo presupposto si innesta il sistema dei diritti disciplinati dagli articoli 15–21 del
Regolamento, che comprende, tra gli altri, il diritto di accesso, rettifica, cancellazione,
limitazione, portabilità e opposizione. L’esercizio effettivo di tali diritti richiede che il
titolare del trattamento disponga di un’organizzazione adeguata a supportarne
l’attuazione. Ciò implica la capacità di individuare i dati e i sistemi coinvolti, ricostruire
i flussi informativi, valutare correttamente i presupposti giuridici e garantire riscontri
coerenti e tempestivi. È infatti necessario che gli effetti dei diritti esercitati si riflettano

81
Saetta B. 2018. Informativa privacy (art. 13 GDPR). [Link]
Ultima modifica: 05 Ottobre 2023 (consultato il 15/01/2026)

69
concretamente sui diversi archivi, sistemi e processi interessati dal trattamento.

Ne deriva la necessità di un assetto organizzativo nel quale ruoli, responsabilità,

procedure e controlli siano chiaramente individuati e mantenuti nel tempo. Tale
impostazione rafforza il collegamento tra la protezione dei dati personali e la sicurezza
delle informazioni, mettendo in evidenza l’importanza di un approccio per processi e di
una gestione dell’intero ciclo di vita del dato, anche in relazione ai soggetti esterni
coinvolti nel trattamento.

3.4 Articoli 6 e 9 del GDPR

Nel disciplinare il principio di liceità del trattamento dei dati personali, il Regolamento
(UE) 2016/679 distingue tra diverse basi giuridiche del trattamento, previste
dall’articolo 6, come sotto meglio dettagliate, e le condizioni ulteriori richieste per il
trattamento delle categorie particolari di dati personali, disciplinate dall’articolo 9 del
GDPR.
Tale distinzione non introduce due regimi alternativi, ma configura un sistema
cumulativo, nel quale le disposizioni dell’articolo 9 si aggiungono a quelle dell’articolo
6 nei casi in cui il trattamento riguardi dati caratterizzati da una particolare delicatezza.

L’articolo 6 individua le condizioni che rendono lecito il trattamento dei dati personali e
declina diverse basi giuridiche partendo dalla base giuridica del l consenso
dell’interessato, all’esecuzione di un contratto, l’adempimento di un obbligo legale, la
tutela di interessi vitali, l’esecuzione di un compito di interesse pubblico o l’esercizio di
un legittimo interesse del titolare, purché adeguatamente bilanciato con i diritti e le
libertà dell’interessato.
Tali basi giuridiche costituiscono il presupposto imprescindibile per porre in essere
qualsiasi trattamento di dati personali, indipendentemente dalla tipologia di dato trattato.
L’articolo 9, invece, interviene nei casi in cui il trattamento abbia ad oggetto categorie
particolari di dati personali, quali quelli idonei a rivelare lo stato di salute, l’origine
razziale o etnica, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché
i dati genetici e biometrici.

70
 In tali ipotesi, il Regolamento introduce un divieto generale di trattamento, che può
essere superato solo in presenza di specifiche condizioni ulteriori, espressamente
previste dalla norma. Tali condizioni rispondono all’esigenza di garantire un livello di
tutela rafforzato, proporzionato ai rischi più elevati che il trattamento di tali dati può
comportare per i diritti e le libertà delle persone fisiche.

Tra le condizioni previste dall’articolo 9 rientrano, tra le altre, il consenso esplicito

dell’interessato, l’adempimento di obblighi e l’esercizio di diritti in materia di diritto del
lavoro e della sicurezza sociale, la tutela di interessi vitali, il perseguimento di rilevanti
motivi di interesse pubblico, nonché finalità di medicina preventiva, diagnosi e
assistenza sanitaria, ricerca scientifica o archiviazione nel pubblico interesse.
La pluralità delle condizioni previste evidenzia come il consenso non rappresenti
l’unico fondamento possibile per il trattamento di tali dati, né necessariamente quello
prevalente, soprattutto nei contesti istituzionali, sanitari o di ricerca.

La Tabella 3 offre una rappresentazione schematica delle principali basi giuridiche del
trattamento ai sensi dell’articolo 6 e delle condizioni ulteriori previste dall’articolo 9 del
GDPR con riferimento alle categorie particolari di dati personali. Si precisa che, in caso
di trattamento di dati particolari, le condizioni dell’articolo 9 si applicano in aggiunta e
non in alternativa alle basi giuridiche dell’articolo 6.

Tabella 3 - Condizioni di liceità (Fonte: Reggiani e Marchese 2022, 4)82

82
Reggiani G. e Marchese M. 2022. Il trattamento dei dati personali: basi giuridiche, soggetti e diritti
degli interessati.

71
3.5 Analisi dell’art. 32 del GDPR: misure tecniche e organizzative adeguate

L’articolo 32 del GDPR rappresenta la disposizione che più direttamente traduce i

principi della protezione dei dati personali in requisiti operativi di sicurezza. La norma
impone, infatti, al titolare e al responsabile del trattamento l’obbligo di adottare misure
tecniche e organizzative adeguate a garantire un livello di sicurezza appropriato rispetto
al rischio, collocando la protezione dei dati all’interno di una logica concreta di governo
dei processi e dei sistemi che supportano il trattamento.

Tale articolo non prevede un catalogo rigido e predeterminato di misure obbligatorie

valide per ogni organizzazione e per ogni tipologia di trattamento. Il Regolamento
richiede infatti che il titolare del trattamento, nella scelta delle misure di sicurezza da
adottare, tenga conto delle caratteristiche effettive del trattamento e dei rischi che esso
comporta per i diritti e le libertà delle persone fisiche. Nello specifico, egli deve
considerare elementi quali lo stato dell’arte delle soluzioni disponibili, i costi di
attuazione e, soprattutto, le caratteristiche concrete del trattamento, tenendo conto della
sua natura, delle finalità perseguite e del contesto in cui si inserisce.

72
Per ciò che concerne il rischio, esso viene valutato tenendo conto sia della probabilità
che un evento si verifichi sia della gravità delle sue conseguenze, con particolare
attenzione agli impatti tale evento può avere sui diritti e sulle libertà dell’interessato. In
quest’ottica, episodi come accessi non autorizzati, divulgazioni indebite, alterazioni dei
dati o interruzioni prolungate della loro disponibilità assumono rilievo non tanto per il
danno economico o operativo che possono causare, quanto per l’impatto diretto
sull’esercizio dei diritti individuali.
Le misure di sicurezza devono quindi essere proporzionate ai rischi individuati e idonee
a ridurre la probabilità che si verifichino eventi avversi o, quantomeno, a contenerne gli
effetti sugli interessati.

Il comma 1 dell’articolo 32 individua una serie di obiettivi di sicurezza che

l’organizzazione deve essere in grado di perseguire e mantenere nel tempo. L’elenco
fornito dal Regolamento ha carattere esemplificativo e serve a chiarire che la sicurezza
dei dati personali non può essere ricondotta a un adempimento formale o all’adozione di
strumenti isolati, ma richiede una gestione complessiva dei fattori di rischio che
possono incidere sulla sicurezza del trattamento.
In questo quadro si collocano, a titolo esemplificativo, la pseudonimizzazione e la
cifratura dei dati personali. In particolare, si tratta di misure che intervengono su profili
differenti del rischio, rispettivamente sull’identificabilità dell’interessato e
sull’accessibilità delle informazioni. La pseudonimizzazione, infatti, è finalizzata a
ridurre la possibilità di identificare direttamente l’interessato in caso di accesso non
autorizzato, rendendo l’associazione tra i dati e la persona fisica possibile solo in via
indiretta e mediante l’utilizzo di informazioni aggiuntive. La cifratura, invece, è volta a
garantire l’inintelligibilità dei dati a soggetti che non dispongano delle necessarie
credenziali o delle chiavi di accesso.
La tutela dei dati personali non si esaurisce nella prevenzione della divulgazione
indebita del dato, ma comprende anche alterazioni non autorizzate, perdite, distruzioni
accidentali o situazioni di indisponibilità prolungata che possono produrre effetti
rilevanti sulla sfera giuridica degli interessati, in particolare quando i dati risultano
indispensabili per l’accesso a servizi essenziali o per l’esercizio di diritti riconosciuti
dall’ordinamento.

73
Il riferimento alla resilienza dei sistemi e dei servizi di trattamento 83 rafforza
ulteriormente questa impostazione, poiché il GDPR non richiede l’eliminazione assoluta
del rischio né l’assenza di incidenti, ma pone in capo all’organizzazione la capacità di
fronteggiare eventi avversi, contenerne gli effetti e ripristinare condizioni operative
adeguate in tempi compatibili con la tutela dei diritti e delle libertà delle persone fisiche.

In caso di eventi di natura tecnica o fisica, è necessario che l’accesso alle informazioni
possa essere ripristinato in tempi compatibili con le esigenze del trattamento. La rapidità
del ripristino deve essere valutata tenendo conto dell’importanza del trattamento e delle
conseguenze che un’interruzione prolungata potrebbe avere sui diritti e sulle libertà
degli interessati. Per questo motivo, le soluzioni di backup e le procedure di recupero
devono essere coerenti con le finalità del trattamento e adeguate al contesto operativo.

Infine, l’articolo 32 richiede inoltre che le misure tecniche e organizzative adottate non
siano considerate definitive, ma siano oggetto di verifiche periodiche. Il titolare è infatti
chiamato a testarne e valutarne regolarmente l’efficacia, così da assicurare che restino
adeguate nel tempo. Questo aspetto riflette una visione dinamica della sicurezza, che
impone di riesaminare le misure adottate alla luce dell’evoluzione dei trattamenti, delle
tecnologie utilizzate e dello scenario delle minacce.

3.5 Le misure di sicurezza del SGSI a supporto della protezione dei dati personali
(integrazione con la ISO/IEC 27701)

L’analisi dell’articolo 32 del GDPR evidenzia come la protezione dei dati personali non
possa essere affidata a interventi puntuali o a misure isolate, ma richieda un approccio
strutturato, continuo e coerente con il contesto organizzativo e con i rischi del
trattamento. In tale prospettiva, il SGSI rappresenta uno strumento particolarmente
idoneo a supportare l’attuazione degli obblighi previsti dal Regolamento, traducendo i
requisiti di sicurezza in processi organizzativi governabili e verificabili nel tempo. Esso
si fonda su una logica per processi e su un ciclo di miglioramento continuo, che
consente di integrare la sicurezza delle informazioni nella gestione ordinaria
83
Articolo 32 GDPR, lettera b) “la capacità di assicurare su base permanente la riservatezza, l'integrità, la
disponibilità e la resilienza dei sistemi e dei servizi di trattamento;

74
dell’organizzazione.
Questa impostazione risulta pienamente coerente con l’approccio basato sul rischio e sul
principio di accountability introdotti dal GDPR, poiché consente di collegare in modo
sistematico l’analisi dei rischi, la selezione delle misure di sicurezza, la loro attuazione
operativa e la verifica della loro efficacia.

In questo quadro si inserisce la norma ISO/IEC 27701, che estende il SGSI includendo
requisiti e controlli specificamente orientati alla protezione dei dati personali.
“La norma ISO/IEC 27701, in primis, integra gli approcci, i requisiti e i controlli di tutte
le norme che trattano la privacy e la sicurezza delle informazioni. Lo scopo di questa
integrazione è quello di mettere a disposizione dei titolari del trattamento un unico
riferimento normativo per soddisfare i requisiti del GDPR e i requisiti della ISO/IEC
27001.” (Tsiouras 2020, senza pagina)84

Le misure di sicurezza previste nell’ambito del SGSI assumono rilievo non solo in
quanto controlli tecnici, ma anche come presidi organizzativi e procedurali.
La definizione chiara dei ruoli e delle responsabilità, la gestione degli accessi, la
classificazione delle informazioni, la sicurezza delle risorse umane, la gestione dei
fornitori, il controllo delle operazioni e la gestione degli incidenti costituiscono elementi
essenziali per garantire la riservatezza, l’integrità e la disponibilità dei dati personali.
Tali misure contribuiscono inoltre ad assicurare la tutela dei diritti degli interessati,
consentendo all’organizzazione di individuare i dati trattati, ricostruire i flussi
informativi e intervenire in modo coerente sui sistemi coinvolti.

Il collegamento tra il SGSI e la protezione dei dati personali emerge in modo

particolarmente evidente nella gestione del cambiamento. Le attività di trattamento,
infatti, possono evolvere nel tempo, ad esempio a seguito dell’introduzione di nuove
tecnologie, della modifica dei rapporti con fornitori e partner o del mutare dello scenario
delle minacce. In questi casi, le misure di sicurezza adottate devono essere riesaminate e
aggiornate, per continuare a risultare adeguate rispetto ai rischi effettivi. L’approccio
strutturato promosso dagli standard ISO supporta questo processo, poiché consente di

84
Tsiouras, I. 2020. GDPR. Privacy Risk Management. Youcanprint.

75
individuare tempestivamente i cambiamenti rilevanti, valutarne l’impatto sui rischi e
adeguare in modo coerente le misure tecniche e organizzative.

76
 Capitolo IV

GESTIONE DEGLI INCIDENTI DI SICUREZZA

E DEI DATA BREACH

4.1 Gli incidenti di sicurezza

Una violazione dei dati costituisce una forma particolarmente grave di incidente di
sicurezza, in quanto comporta la compromissione di informazioni sensibili, riservate o
comunque protette, che possono essere copiate, divulgate, sottratte o utilizzate da
soggetti non autorizzati85. Tali eventi interessano in modo trasversale contesti differenti,
ad esempio la pubblica amministrazione, il settore sanitario, i servizi finanziari e
assicurativi, le piattaforme digitali e i social media, evidenziando la natura trasversale
del fenomeno86.

La letteratura scientifica ha ampiamente analizzato le conseguenze delle violazioni dei

dati, soffermandosi in particolare sugli effetti reputazionali ed economici per le
organizzazioni coinvolte87. Per esempio, Goode e colleghi nel 2017 hanno analizzato
come i risarcimenti ai clienti e gli sforzi delle organizzazioni per recuperare la fiducia
dei consumatori possano influenzare la percezione pubblica dell’affidabilità
dell’organizzazione, influenzando il comportamento di consumatori e investitori 88. Allo
stesso modo, Kwon e Johnson (2014) hanno indagato le conseguenze degli investimenti
in sicurezza, specialmente in contesti soggetti a pressioni normative89.
85
US Department of Health and Human Services. (2015). State and Tribal Child Welfare Information
Systems, Information Security Data Breach Response Plans. Administiration for Children and Families.
86
Index, B. L. (2018). Data Privacy and New Regulations Take Center Stage. Technical Report. Breach
Level Index.
87
Sen, R., & Borle, S. (2015). Estimating the contextual risk of data breach: An empirical
approach. Journal of Management Information Systems, 32(2), 314-341.
88
Goode, S., Hoehle, H., Venkatesh, V., & Brown, S. A. (2017). User compensation as a data breach
recovery action. MIS Quarterly, 41(3), 703-A16.
89
Kwon, J., & Johnson, M. E. (2014). Proactive versus reactive security investments in the healthcare
sector. Mis Quarterly, 38(2), 451-A3.

77
Altre ricerche sono state svolte per approfondire gli effetti finanziari delle violazioni dei
dati, evidenziando come tali eventi possano generare rendimenti anomali sulle azioni 90 e
come l’annuncio di un incidente di sicurezza possa determinare variazioni anomale del
valore di mercato delle imprese coinvolte91. Nonostante l’attenzione riservata agli
impatti economico-finanziari, permane tuttavia una lacuna significativa nella
comprensione delle modalità attraverso cui le organizzazioni possano individuare in
modo sistematico i rischi associati alle violazioni e sviluppare capacità strutturate per
prevenirle e gestirle in maniera efficace. 92 Questo limite appare particolarmente
rilevante se si considera che la mera reazione ex-post all’incidente risulta insufficiente a
garantire un adeguato livello di protezione nel medio-lungo periodo.

Nel quadro più ampio della sicurezza delle informazioni, un incidente di sicurezza si
riferisce a qualsiasi violazione, o minaccia imminente di violazione, delle politiche di
sicurezza informatica, delle regole di utilizzo accettabile o delle prassi operative
adottate da un’organizzazione, ed è spesso associato a una compromissione di dati o
informazioni.
Nello specifico, esso può essere definito come un “evento che compromette la
disponibilità, l'autenticità, l'integrità o la riservatezza di dati conservati, trasmessi o
elaborati o dei servizi offerti dai sistemi informatici e di rete o accessibili attraverso di
essi.” (ACN 2025, 293). Un esempio ricorrente è rappresentato dagli attacchi che mirano
a compromettere la disponibilità dei servizi, come l’invio massivo di richieste a un
server web, tale da impedirne il corretto funzionamento.

Non tutti gli incidenti di sicurezza, tuttavia, comportano una violazione dei dati
personali. In base alla definizione fornita dal GDPR, infatti, una violazione dei dati

90
Kannan, K., Rees, J., & Sridhar, S. (2007). Market reactions to information security breach
announcements: An empirical analysis. International Journal of Electronic Commerce, 12(1), 69-91.
91
Cavusoglu, H., Mishra, B., & Raghunathan, S. (2004). The effect of internet security breach
announcements on market value: Capital market reactions for breached firms and internet security
developers. International Journal of Electronic Commerce, 9(1), 70-104.
92
Campbell, K., Gordon, L. A., Loeb, M. P., & Zhou, L. (2003). The economic cost of publicly
announced information security breaches: empirical evidence from the stock market. Journal of
Computer security, 11(3), 431-448.
93
ACN 2025. “Linee Guida CAD – Definizione dei processi e delle procedure per la gestione degli
incidenti di sicurezza informatica”

78
personali si verifica quando, in modo accidentale o illecito, si determina la distruzione,
la perdita, la modifica, la divulgazione non autorizzata o l’accesso a dati personali
trasmessi, conservati o comunque trattati94.

Al fine di comprendere le diverse modalità attraverso cui tali eventi possono

manifestarsi nella pratica, è utile richiamare, in continuità con quanto già analizzato nei
capitoli precedenti, la tradizionale classificazione delle violazioni in relazione alle tre
dimensioni fondamentali della sicurezza delle informazioni: riservatezza, integrità e
disponibilità. Le violazioni possono essere classificate in tre categorie principali: i) la
violazione della riservatezza, che si verifica quando i dati personali vengono divulgati o
resi accessibili a persone non autorizzate; ii) la violazione dell'integrità, che si manifesta
quando i dati vengono alterati senza autorizzazione; iii) la violazione della disponibilità,
che accade quando i dati non sono più accessibili a chi ha diritto di consultarli, sia a
causa di perdita che di distruzione. Occorre considerare, inoltre, che un medesimo
evento può incidere contemporaneamente su più dimensioni della sicurezza delle
informazioni, determinando effetti interdipendenti che tendono ad amplificare l’impatto
complessivo dell’incidente95.

Le conseguenze di una violazione dei dati possono essere particolarmente rilevanti e

assumere forme eterogenee. Oltre a danni fisici o materiali, possono emergere effetti
immateriali quali la perdita di controllo sui propri dati personali, la limitazione dei diritti
degli interessati, episodi di discriminazione, furti di identità, frodi e danni reputazionali.
A tali profili si affiancano spesso svantaggi economici e sociali significativi, che
incidono tanto sugli individui coinvolti quanto sulle organizzazioni responsabili del
trattamento.
Le modalità attraverso cui si verificano le violazioni sono molteplici e includono, ad
esempio, tecniche di ingegneria sociale finalizzate a indurre gli utenti ad aprire allegati
contenenti malware, nonché condotte estorsive riconducibili a fenomeni di ransomware,
in cui i dati vengono sottratti o cifrati e la loro restituzione è subordinata al pagamento

94
Kannan, K., Rees, J., & Sridhar, S. (2007). Market reactions to information security breach
announcements: An empirical analysis. International Journal of Electronic Commerce, 12(1), 69-91.
95
Cavusoglu, H., Mishra, B., & Raghunathan, S. (2004). The effect of internet security breach
announcements on market value: Capital market reactions for breached firms and internet security
developers. International Journal of Electronic Commerce, 9(1), 70-104.

79
di un riscatto. Alla luce di tali scenari, appare evidente come la gestione di un data
breach non possa essere improvvisata, ma richieda procedure chiare e previamente
definite.

Con riferimento alla riservatezza, le violazioni si verificano quando l’organizzazione

perde il controllo sui dati trattati, consentendone l’accesso al di fuori dei requisiti
organizzativi previsti96. Anche in assenza di un utilizzo intenzionale o di evidenze
concrete di abuso, ogni perdita di controllo sulle informazioni costituisce una
compromissione rilevante sotto questo profilo. In tali contesti, la sottrazione dei dati non
è necessariamente finalizzata al furto di identità, ma può rappresentare uno strumento
per ottenere accesso a risorse informative di maggiore valore, come nel caso
dell’utilizzo delle credenziali di un dipendente per accedere ai dati di un dirigente. Le
conseguenze associate a questo tipo di violazioni includono un incremento delle
sanzioni amministrative e delle azioni legali, particolarmente marcato in settori soggetti
a obblighi stringenti come quello sanitario97, nonché effetti economici indiretti quali la
perdita di vantaggio competitivo e la riduzione della fiducia da parte dei clienti. 98.

Le violazioni della disponibilità incidono invece sulla capacità dell’organizzazione di

garantire la continuità dei servizi e l’accesso alle informazioni da parte degli utenti
autorizzati. Tra le cause più frequenti rientrano gli attacchi di tipo denial of service, che
mirano a rendere indisponibili i servizi attraverso il sovraccarico delle infrastrutture di
rete, impedendo agli utenti autorizzati di accedervi. 99. I dati rubati possono includere
proprietà intellettuale, informazioni sui clienti, dati dei pazienti e altre informazioni
sensibili non pubbliche. Ulteriori fattori che incidono sulla disponibilità sono
rappresentati da interruzioni di alimentazione elettrica, guasti hardware o software ed
errori umani o di progettazione, che possono determinare periodi di inattività non

96
Benaroch, M., Chernobai, A., & Goldstein, J. (2012). An internal control perspective on the market
value consequences of IT operational risk events. International Journal of Accounting Information
Systems, 13(4), 357-381.
97
Roberds, W., & Schreft, S. L. (2009). Data breaches and identity theft. Journal of Monetary
Economics, 56(7), 918-929.
98
Posey, C., Roberts, T. L., Lowry, P. B., & Hightower, R. T. (2014). Bridging the divide: A qualitative
comparison of information security thought patterns between information security professionals and
ordinary organizational insiders. Information & management, 51(5), 551-567.
99
Dutta, A., Peng, G. C. A., & Choudhary, A. (2013). Risks in enterprise cloud computing: the
perspective of IT experts. Journal of Computer Information Systems, 53(4), 39-48.

80
pianificati. In funzione del contesto operativo e della localizzazione geografica
dell’organizzazione, anche la qualità e l’affidabilità dell’infrastruttura energetica
possono influenzare in modo significativo la disponibilità dei sistemi e dei dati. Una
minaccia particolarmente rilevante in questo ambito è rappresentata dagli attacchi
ransomware, nei quali i dati vengono cifrati o cancellati, rendendoli indisponibili e
subordinandone il ripristino al pagamento di un riscatto. Tali eventi evidenziano come
la compromissione della disponibilità possa tradursi in conseguenze operative ed
economiche significative anche in assenza di una sottrazione definitiva delle
informazioni.100.

Infine, le violazioni dell’integrità sono riconducibili a manipolazioni non autorizzate o

accidentali dei dati e possono verificarsi in qualsiasi fase del loro ciclo di vita, sia
durante l’archiviazione, sia nel transito o nell’utilizzo. Tali eventi sono spesso legati a
soluzioni tecniche incomplete o mal configurate, a errori nella gestione dei sistemi,
nonché a condotte dolose quali l’appropriazione indebita di informazioni o
l’introduzione di software malevolo101. Le conseguenze possono manifestarsi sotto
forma di alterazione o corruzione dei dati, compromettendo l’affidabilità delle
informazioni e il corretto funzionamento dei processi aziendali. In alcuni casi, ciò può
determinare effetti rilevanti sulla continuità dei servizi, sulla capacità decisionale e sulla
posizione competitiva complessiva dell’organizzazione.

In questo quadro, è fondamentale che l’organizzazione sia dotata di un protocollo di

gestione delle violazioni dei dati, in grado di definire ruoli, responsabilità, tempistiche e
modalità di comunicazione verso i soggetti coinvolti. Ciò risulta particolarmente
rilevante per le istituzioni, e in particolare per quelle operanti nel settore finanziario,
chiamate a valutare tempestivamente la necessità di notificare l’evento alle autorità
competenti e agli interessati.

Nel contesto italiano, il Garante per la protezione dei dati personali è l'autorità designata

100
Kruse, C. S., Frederick, B., Jacobson, T., & Monticone, D. K. (2017). Cybersecurity in healthcare: A
systematic review of modern threats and trends. Technology and Health Care, 25(1), 1-10.
101
Thompson, N., Ravindran, R., & Nicosia, S. (2015). Government data does not mean data governance:
Lessons learned from a public sector application audit. Government information quarterly, 32(3), 316-
322.

81
a ricevere tempestivamente le segnalazioni riguardanti le violazioni dell'integrità delle
reti e dei sistemi informatici. Nei casi in cui la violazione possa comportare un rischio
elevato per i diritti e le libertà delle persone fisiche, sussiste inoltre l’obbligo di
informare direttamente gli interessati. In tale prospettiva, il GDPR attribuisce un ruolo
centrale agli aspetti organizzativi interni, evidenziando come il data breach sia spesso il
risultato non solo di carenze tecnologiche, ma anche di inefficienze nei processi e nelle
responsabilità interne102.

Il GDPR attribuisce un ruolo centrale agli aspetti organizzativi interni nella prevenzione
e nella gestione delle violazioni dei dati personali, evidenziando come la sicurezza non
possa essere affidata esclusivamente a soluzioni tecnologiche. In tale prospettiva, il
titolare del trattamento è chiamato a definire politiche aziendali chiare e coerenti in
materia di protezione dei dati personali, supportate da procedure amministrative e
tecniche adeguate, nonché da infrastrutture informatiche in grado di rilevare
tempestivamente eventuali violazioni, valutarne l’impatto e determinare se sussistano i
presupposti per la notifica all’autorità di controllo. La risposta organizzativa a un
incidente, infatti, varia in funzione della gravità dell’evento e del livello di rischio per i
diritti e le libertà degli interessati, rendendo essenziale un approccio strutturato e
proattivo alla gestione della sicurezza delle informazioni.

In tale contesto, la letteratura ha messo in evidenza come le perdite di dati possano

verificarsi attraverso modalità differenti. In particolare, Curtin e Ayres, osservano che
esse possono derivare sia dalla perdita o dalla compromissione di beni fisici contenenti
informazioni riservate, sia da azioni interne o logiche che incidono sulla sicurezza senza
richiedere un accesso diretto a tali beni. Su questa base, le violazioni dei dati possono
essere ricondotte a due categorie principali: violazioni di natura fisica e violazioni di
natura logica.

Le violazioni fisiche riguardano la perdita di controllo su supporti o infrastrutture che

consentono l’accesso a dati sensibili. Tali eventi possono derivare, ad esempio, dallo
smarrimento o dallo smaltimento improprio di documentazione cartacea, dal furto di
102
Cook, I., & Pfleeger, S. (2010). Security decision support challenges in data collection and use. IEEE
Security & Privacy, 8(3), 28-35.

82
dispositivi contenenti dati riservati (laptop, supporti di memorizzazione o server) oppure
dall’utilizzo di dispositivi non autorizzati per accedere alle reti aziendali 103.
Accanto a queste ipotesi, un ruolo rilevante è svolto dagli errori di processo, come
l’invio errato di documentazione a soggetti non legittimati, fenomeno particolarmente
critico in ambiti quali quello sanitario, dove la circolazione impropria di referti o fatture
può determinare una diretta compromissione della riservatezza degli interessati.

Le violazioni di natura logica, invece, si manifestano quando soggetti malintenzionati

sfruttano vulnerabilità tecniche o organizzative per ottenere accessi non autorizzati ai
sistemi informativi e ai dati trattati 104. Tali eventi possono essere riconducibili
all’impiego di software malevolo, alla compromissione delle infrastrutture di rete o
all’utilizzo di tecniche di attacco volte all’intercettazione o alla manipolazione delle
comunicazioni, consentendo agli attaccanti di operare direttamente sulle interfacce
applicative e sulle basi di dati dell’organizzazione.

In questo quadro si inserisce anche la sottrazione di proprietà intellettuale, che

rappresenta una forma particolarmente insidiosa di violazione e può riguardare
software, marchi, contenuti digitali e altre risorse immateriali. Nel contesto digitale, il
capitale intellettuale risulta infatti esposto a pratiche quali il reverse engineering, il furto
di segreti aziendali o la diffusione illecita di contenuti attraverso piattaforme online, con
impatti che vanno ben oltre la mera perdita informativa.105.

Ulteriori vulnerabilità possono derivare da controlli di autorizzazione inadeguati o da

meccanismi inefficienti di gestione delle credenziali, come procedure di recupero delle
password non sicure, che facilitano l’intercettazione delle stesse 106. Tali criticità possono
favorire accessi non autorizzati ai sistemi informativi e l’uso improprio delle credenziali
degli utenti, con effetti diretti sui sistemi di gestione delle identità e sull’affidabilità

103
Bennett, K., Bennett, A.J., and Griffiths, K.M. 2010. "Security Considerations for E-Mental Health
Interventions," Journal of Medical Internet Research (12:5), pp. 1-11.
104
Grobauer, B., Walloschek, T., & Stocker, E. (2010). Understanding cloud computing
vulnerabilities. IEEE Security & privacy, 9(2), 50-57.
105
Biener, C., Eling, M., & Wirfs, J. H. (2015). Insurability of cyber risk: An empirical analysis. The
Geneva Papers on Risk and Insurance-Issues and Practice, 40(1), 131-158.
106
Zahadat, N., Blessner, P., Blackburn, T., & Olson, B. A. (2015). BYOD security engineering: A
framework and its analysis. Computers & Security, 55, 81-99.

83
complessiva dell’ecosistema informativo dell’organizzazione. Analogamente, la
presenza di software difettosi o non adeguatamente protetti, caratterizzati da
vulnerabilità sfruttabili tramite attacchi quali SQL injection o cross-site scripting, può
determinare violazioni estese, periodi prolungati di indisponibilità dei servizi e perdite
rilevanti di informazioni107.

4.2 Fasi del processo di gestione degli incidenti

La gestione del rischio in ambito di sicurezza delle informazioni può essere intesa come
il processo attraverso il quale un’organizzazione identifica, analizza e controlla i rischi
associati ai propri beni informativi, con l’obiettivo di garantire la riservatezza,
l’integrità e la disponibilità delle informazioni trattate108. In tale contesto, la gestione
degli incidenti rappresenta una componente essenziale del più ampio sistema di gestione
della sicurezza, in quanto consente di affrontare in modo strutturato eventi che possono
compromettere il normale funzionamento dei sistemi informativi. Nello specifico, la
gestione degli incidenti di sicurezza informatica può essere descritta come un “insieme
di processi e procedure volti a prevenire, rilevare, analizzare, contenere un incidente di
sicurezza, a rispondervi e recuperare da esso.” (ACN 2025, 2109)

In base alla letteratura, i rischi associati alle violazioni dei dati possono essere analizzati
considerando, tra gli altri aspetti, le cause che danno origine all’incidente, il contesto in
cui esso si verifica e l’impatto prodotto sull’organizzazione. In particolare, la causa
della violazione può essere ricondotta all’evento primario che dà origine a un incidente
di violazione110.

Sotto questo profilo, le cause delle violazioni dei dati vengono comunemente distinte in
intenzionali e non intenzionali. Le violazioni intenzionali derivano da azioni malevole
107
Fu, K., & Blum, J. (2013). Controlling for cybersecurity risks of medical device
software. Communications of the ACM, 56(10), 35-37.
108
Whitman, M. E., & Mattord, H. J. (2006). Principles of incident response and disaster recovery.
Course Technology Press.
109
ACN 2025. “Linee Guida CAD – Definizione dei processi e delle procedure per la gestione degli
incidenti di sicurezza informatica”
110
Benaroch, M., Chernobai, A., & Goldstein, J. (2012). An internal control perspective on the market
value consequences of IT operational risk events. International Journal of Accounting Information
Systems, 13(4), 357-381.

84
poste in essere da agenti di minaccia che sfruttano vulnerabilità tecniche o organizzative
per danneggiare l’organizzazione. Rientrano in questa categoria gli attacchi condotti da
soggetti esterni, come hacker, che utilizzano tecniche quali l’iniezione SQL, lo scripting
intersito o campagne di phishing, così come le violazioni attribuibili a insider malevoli,
i quali, disponendo di accessi legittimi ai sistemi, possono eludere i controlli di
sicurezza e compromettere dati e processi critici111.

In contesti più complessi, anche attori sponsorizzati da Stati possono rappresentare una
fonte di minaccia, soprattutto quando perseguono obiettivi strategici o geopolitici, come
dimostrato da episodi di sabotaggio informatico ampiamente documentati in letteratura.
Un esempio emblematico è il worm Stuxnet del 2010, che ha sfruttato vulnerabilità
sconosciute per sabotare le strutture nucleari iraniane112.

Accanto alle violazioni intenzionali, un ruolo rilevante è svolto dalle violazioni non
intenzionali, che derivano da errori umani, carenze procedurali o difetti tecnici, in
assenza di intenti malevoli.113. La letteratura individua diversi fattori ricorrenti alla base
di tali violazioni, tra cui rientrano i comportamenti insicuri degli utenti, quali l’utilizzo
di password deboli o la condivisione delle credenziali, che possono verificarsi anche in
assenza di consapevolezza del rischio114. Un’ulteriore causa frequente è rappresentata
dalla perdita o dal riutilizzo improprio di supporti contenenti dati, inclusi documenti
cartacei o dispositivi elettronici smarriti115. Infine, l’utilizzo di software non autorizzato
può determinare la rivelazione involontaria di informazioni, ad esempio attraverso
attraverso il file sharing peer-to-peer, e in tal modo gli hacker possono prendere il
controllo di più computer per lanciare attacchi ad altri siti web116.

111
Soomro, Z. A., Shah, M. H., & Ahmed, J. (2016). Information security management needs more
holistic approach: A literature review. International journal of information management, 36(2), 215-225.
112
Aleem, A., Wakefield, A., & Button, M. (2013). Addressing the weakest link: Implementing
converged security. Security Journal, 26(3), 236-248.
113
Elifoglu, I. H., Abel, I., & Taşseven, Ö. (2018). Minimizing insider threat risk with behavioral
monitoring. Review of business, 38(2), 61-73.
114
Grobauer, B., Walloschek, T., & Stocker, E. (2010). Understanding cloud computing
vulnerabilities. IEEE Security & privacy, 9(2), 50-57.
115
Soomro, Z. A., Shah, M. H., & Ahmed, J. (2016). Information security management needs more
holistic approach: A literature review. International journal of information management, 36(2), 215-225.
116
Culnan, M. J., Foxman, E. R., & Ray, A. W. (2008). Why IT executives should help employees secure
their home computers. MIS Quarterly Executive, 7(1), 6.

85
Per affrontare in modo strutturato le violazioni dei dati, la letteratura propone
framework di gestione della sicurezza incentrati sugli incidenti, che integrano i
paradigmi della prevenzione e della risposta. Il paradigma di prevenzione è orientato a
ridurre la probabilità che un incidente si verifichi, mentre quello di risposta si concentra
sulla gestione efficace degli eventi già accaduti117. In tale prospettiva, la gestione delle
violazioni dei dati può essere ricondotta a tre macro-fasi: prevenzione, contenimento e
recupero, che consentono di governare l’intero ciclo di vita dell’incidente. La
prevenzione costituisce un approccio proattivo finalizzato a ridurre la probabilità di una
violazione e il relativo impatto negativo. Il contenimento comprende gli interventi
immediati attivati al momento della rilevazione dell’incidente, con l’obiettivo di
limitarne la propagazione, mentre il recupero concerne le azioni volte a mitigare le
conseguenze di una violazione già verificatasi118.

Con riferimento alla fase di prevenzione, l’obiettivo principale è ridurre l’esposizione

dell’organizzazione alle minacce, intervenendo sulle vulnerabilità tecniche,
organizzative e comportamentali che possono favorire il verificarsi di incidenti di
sicurezza. Tale fase si fonda su un insieme coordinato di misure che mirano a rafforzare
la postura di sicurezza complessiva, agendo non solo sui sistemi informativi, ma anche
sui processi e sulle persone coinvolte.
In questo contesto, assumono particolare rilievo le attività di mappatura delle risorse e
delle reti, che consentono di acquisire una visione strutturata dei beni informativi e delle
loro interdipendenze e di individuare più agevolmente anomalie, modifiche non
autorizzate e potenziali punti di debolezza. Accanto agli aspetti infrastrutturali, la
gestione delle identità e degli accessi rappresenta un elemento centrale della
prevenzione, in quanto definisce in modo puntuale chi può accedere alle risorse
informative e a quali condizioni. Politiche di autenticazione adeguate, la revisione
periodica dei privilegi e la rimozione tempestiva degli accessi non più necessari
contribuiscono in modo significativo a ridurre il rischio di accessi indebiti. Un ulteriore
fattore critico della prevenzione è rappresentato dalla formazione e dalla
sensibilizzazione del personale. Poiché una quota rilevante degli incidenti deriva da
117
Baskerville, R., Spagnoletti, P., & Kim, J. (2014). Incident-centered information security: Managing a
strategic balance between prevention and response. Information & management, 51(1), 138-151.
118
Whitman, M. E., & Mattord, H. J. (2006). Principles of incident response and disaster recovery.
Course Technology Press.

86
errori non intenzionali o da comportamenti non conformi alle politiche di sicurezza,
programmi strutturati di awareness consentono di ridurre il rischio associato al fattore
umano e di promuovere una cultura della sicurezza coerente con gli obiettivi
dell’organizzazione.119.

Un ruolo specifico nella prevenzione è svolto dai test di penetrazione (penetration test),
che permettono di individuare vulnerabilità nei sistemi prima che possano essere
sfruttate da attori malevoli. Tali test, condotti internamente o da soggetti esterni,
contribuiscono a valutare la resilienza dell’infrastruttura informatica e a migliorare la
postura di sicurezza complessiva dell’organizzazione120.

La fase di contenimento assume rilievo nel momento in cui un incidente viene rilevato e
ha l’obiettivo di limitarne l’estensione e l’impatto. In questo contesto, i sistemi di
rilevamento e prevenzione delle intrusioni (IDPS) svolgono una funzione centrale,
consentendo di identificare tempestivamente attività sospette e di attivare le
contromisure necessarie. Le attività di contenimento possono includere, tra l’altro,
l’isolamento dei sistemi compromessi, la segregazione della rete e il monitoraggio delle
azioni dell’attaccante, anche attraverso strumenti dedicati, al fine di evitare la
propagazione dell’incidente ad altre risorse.

La gestione operativa degli incidenti è spesso affidata a strutture specializzate, quali il

Computer Security and Incident Response Team (CSIRT), il cui obiettivo principale è
coordinare le attività di risposta, minimizzare i danni e supportare il ripristino delle
operazioni. Il processo di gestione degli incidenti si articola generalmente in fasi
sequenziali che comprendono la preparazione, l’identificazione, il contenimento,
l’eliminazione delle cause, il recupero e le attività di follow-up121.

Con riferimento alla fase di recupero, l’obiettivo principale è il ripristino delle

funzionalità compromesse e la gestione delle conseguenze operative ed economiche
119
Soomro, Z. A., Shah, M. H., & Ahmed, J. (2016). Information security management needs more
holistic approach: A literature review. International journal of information management, 36(2), 215-225.
120
Bayuk, J. L. (2013). Security as a theoretical attribute construct. Computers & Security, 37, 155-175.
121
Ahmad, A., Maynard, S. B., & Shanks, G. (2015). A case analysis of information systems and security
incident responses. International Journal of Information Management, 35(6), 717-723.

87
dell’incidente. In tale contesto, accanto alle attività di ripristino dei sistemi e dei servizi,
possono assumere rilievo anche strumenti di natura finanziaria, come l’assicurazione
informatica, volti a mitigare l’impatto economico derivante da violazioni dei dati. Tale
assicurazione non sostituisce le misure di sicurezza tecniche e organizzative, ma
rappresenta uno strumento complementare per la copertura delle perdite residue e per il
supporto alla continuità operativa nel periodo successivo all’incidente122.

Nelle fasi successive all’incidente, il contributo del CSIRT si concentra in particolare

sulle attività di analisi post-evento e follow-up, finalizzate a consolidare il recupero e a
prevenire il ripetersi di eventi analoghi123 . In tale contesto, assumono rilievo l’analisi
delle cause profonde dell’incidente e la raccolta delle evidenze tecniche, che consentono
di ricostruire le modalità di accadimento, individuare eventuali carenze nei controlli e
supportare l’adozione di misure correttive.
In particolare, la documentazione degli incidenti rappresenta un elemento centrale di
questo processo. I rapporti redatti a seguito di una violazione includono generalmente
una descrizione dell’evento, i problemi di sicurezza riscontrati, una classificazione
iniziale dell’incidente e una valutazione della completezza delle informazioni
disponibili. Tali documenti costituiscono una base informativa essenziale sia per le
attività di analisi interna sia per eventuali obblighi di comunicazione o rendicontazione.

Un ulteriore aspetto rilevante della fase di follow-up è l’analisi delle lezioni apprese,
che consente alle organizzazioni di valutare l’impatto complessivo dell’incidente,
stimare le perdite associate a eventi simili e individuare fattori causali ricorrenti 124. Le
informazioni emerse dalla gestione dell’incidente possono tradursi in aggiornamenti
della documentazione esistente, nella revisione delle procedure operative o
nell’introduzione di nuovi controlli di sicurezza, contribuendo al miglioramento
continuo del sistema di gestione della sicurezza delle informazioni.

122
Rue, R., & Pfleeger, S. L. (2009). Making the best use of cybersecurity economic models. IEEE
Security & Privacy, 7(4), 52-60.
123
Ruefle, R., Dorofee, A., Mundie, D., Householder, A. D., Murray, M., & Perl, S. J. (2014). Computer
security incident response team development and evolution. IEEE Security & Privacy, 12(5), 16-26.
124
Ruefle, R., Dorofee, A., Mundie, D., Householder, A. D., Murray, M., & Perl, S. J. (2014). Computer
security incident response team development and evolution. IEEE Security & Privacy, 12(5), 16-26.

88
Infine, prima della ripresa completa delle operazioni, è fondamentale che
l’organizzazione verifichi che la minaccia sia stata effettivamente contenuta e che non
sussistano ulteriori impatti su altri sistemi o risorse125.

4.3 Obblighi di notifica e comunicazione secondo il GDPR (artt. 33 e 34)

Come anticipato nel capitolo precedente, il GDPR rovescia la prospettiva tradizionale

della protezione dei dati, ponendo l’accento sui doveri e sulla responsabilizzazione del
titolare del trattamento. In tale quadro, al titolare è richiesto di adottare approcci e
politiche che tengano conto in modo costante dei rischi connessi al trattamento dei dati
personali rispetto ai diritti e alle libertà degli interessati. Ciò si traduce nell’obbligo di
implementare misure tecniche e organizzative adeguate, idonee a garantire che, per
impostazione predefinita, siano trattati esclusivamente i dati personali necessari rispetto
alle finalità perseguite, con riferimento alla quantità di dati, all’estensione del
trattamento, ai tempi di conservazione e alle modalità di accesso.

In questo contesto si colloca la disciplina delle violazioni dei dati personali, regolata
dagli articoli 33 e 34 del GDPR, che definiscono rispettivamente gli obblighi di notifica
all’autorità di controllo e di comunicazione agli interessati. Tali disposizioni rafforzano
il principio di accountability, imponendo al titolare non solo di adottare misure
preventive, ma anche di essere in grado di gestire in modo tempestivo e strutturato gli
incidenti che incidono sulla sicurezza dei dati personali.

L’articolo 33 stabilisce che, in caso di violazione dei dati personali, il titolare del
trattamento notifichi l’evento all’autorità di controllo competente senza ingiustificato
ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza,
salvo che sia improbabile che la violazione presenti un rischio per i diritti e le libertà
delle persone fisiche. Qualora la notifica avvenga oltre tale termine, il titolare è tenuto a
fornire una motivazione del ritardo. La notifica deve contenere informazioni idonee a
descrivere la natura della violazione, le categorie e il numero approssimativo degli
interessati coinvolti, nonché le misure adottate o previste per porre rimedio all’evento e
125
Bennett, K., Bennett, A. J., & Griffiths, K. M. (2010). Security considerations for e-mental health
interventions. Journal of medical Internet research, 12(5), e1468.

89
attenuarne i possibili effetti.

Il Regolamento chiarisce che non tutte le violazioni richiedono la notifica all’autorità di

controllo. Come precisato dal considerando 85, l’obbligo non sussiste qualora sia
improbabile che la violazione comporti conseguenze negative per gli interessati. Tale
impostazione riflette l’approccio basato sul rischio adottato dal GDPR, volto a garantire
una tutela sostanziale dei diritti fondamentali evitando, al contempo, un’applicazione
meramente formale degli obblighi normativi. In ogni caso, anche le violazioni non
soggette a notifica devono essere adeguatamente documentate dal titolare, al fine di
dimostrare la corretta valutazione del rischio effettuata e la conformità alle disposizioni
regolamentari.

Accanto all’obbligo di notifica all’autorità di controllo, l’articolo 34 disciplina la

comunicazione della violazione agli interessati e stabilisce che, quando una violazione
dei dati presenta un rischio elevato per i diritti e le libertà delle persone, il titolare debba
informare gli interessati senza ingiustificato ritardo. La comunicazione redatta in forma
chiara e comprensibile, evitando un linguaggio eccessivamente tecnico, così da
consentire agli interessati di comprendere la natura della violazione, le possibili
conseguenze e le misure adottate o previste per mitigarne gli effetti negativi.

Nel loro insieme, gli articoli 33 e 34 delineano un sistema di obblighi che impone al
titolare del trattamento di integrare la gestione delle violazioni dei dati personali
all’interno dei propri assetti organizzativi e procedurali. La notifica e la comunicazione
non assumono dunque una funzione meramente formale, ma rappresentano strumenti
essenziali per garantire trasparenza, tutela degli interessati e una gestione responsabile
degli incidenti di sicurezza, coerente con l’impostazione complessiva del GDPR.

4.4 Il ruolo del SGSI nella gestione degli incidenti e nel miglioramento continuo

Prima della diffusione degli standard della famiglia ISO/IEC 27000, le organizzazioni
disponevano di un numero limitato di riferimenti strutturati per affrontare in modo
sistematico il tema della sicurezza delle informazioni, tra cui il noto standard britannico

90
BS7799:1, che forniva una raccolta di buone pratiche per la gestione della sicurezza
aziendale126. Con l’introduzione degli standard ISO/IEC 27000, dedicati alla
progettazione e alla certificazione dei Sistemi di Gestione della Sicurezza delle
Informazioni, la sicurezza ha progressivamente assunto una dimensione organizzativa
più ampia e strutturata. In tale contesto, lo standard ISO/IEC 27001, pur non
rappresentando una soluzione definitiva a tutte le problematiche di sicurezza, costituisce
un riferimento fondamentale per lo sviluppo di un sistema in grado di governare in
modo coerente i diversi aspetti della sicurezza delle informazioni.

Come evidenziato nei capitoli precedenti, gli obiettivi di un SGSI possono essere
ricondotti alla dimostrazione della conformità e dell'efficacia delle scelte organizzative
e operative adottate per garantire la riservatezza, l'integrità e la disponibilità delle
informazioni incluse nel perimetro del sistema. A tali obiettivi si affiancano la tutela
della continuità operativa, la riduzione degli impatti derivanti da eventi avversi,
l’ottimizzazione degli investimenti in sicurezza e la promozione di un miglioramento
continuo dell’efficacia organizzativa127.

All’interno di un SGSI, la gestione degli incidenti di sicurezza rappresenta uno degli

elementi centrali per assicurare l’effettiva tenuta del sistema nel tempo. Il SGSI fornisce
infatti un quadro strutturato per l’individuazione, la segnalazione, l’analisi e la gestione
degli eventi che possono compromettere la riservatezza, l’integrità o la disponibilità
delle informazioni. In tale ambito, l’organizzazione è chiamata a dotarsi di meccanismi
che consentano di rilevare tempestivamente gli incidenti, valutarne la gravità,
contenerne gli effetti e ripristinare le condizioni operative ordinarie. La gestione
dell’incidente non si esaurisce nella risposta immediata, ma comprende anche l’analisi
delle cause che lo hanno generato e la valutazione delle conseguenze sui processi e sugli
asset informativi coinvolti.

La gestione degli incidenti si inserisce inoltre nel più ampio ciclo di miglioramento
continuo su cui si fonda il SGSI, coerente con il modello Plan-Do-Check-Act (PDCA).
126
Amato, R., & Chiappi, R. (1991). Pianificazione e controllo dei progetti: tecniche di project
management. F. Angeli.
127
Meriah, I., & Rabai, L. B. A. (2019). Comparative study of ontologies based iso 27000 series security
standards. Procedia Computer Science, 160, 85-92.

91
Le informazioni raccolte durante la gestione degli incidenti alimentano le fasi di verifica
e di riesame del sistema, consentendo di individuare debolezze, inefficienze o carenze
nelle misure adottate. Gli esiti di tali analisi possono tradursi in azioni correttive,
nell’aggiornamento delle procedure, nel rafforzamento dei controlli o nella revisione
della valutazione dei rischi. Attraverso il ciclo PDCA, il SGSI consente così di
trasformare gli incidenti da eventi esclusivamente negativi a occasioni di apprendimento
organizzativo.

In questa prospettiva, il SGSI non si limita a supportare la gestione degli incidenti

quando questi si verificano, ma costituisce uno strumento essenziale per il
rafforzamento progressivo della sicurezza delle informazioni. L’analisi sistematica degli
eventi e l’aggiornamento continuo delle misure adottate permettono all’organizzazione
di migliorare nel tempo la propria capacità di prevenire nuovi incidenti e di affrontare in
modo sempre più efficace quelli che, nonostante le misure in atto, dovessero comunque
verificarsi.

92
 Capitolo V

IL CASO BRITISH AIRWAYS (2018)

E LA GOVERNANCE DEL RISCHIO CYBER

5.1 Il cybercrime

Il fenomeno del cybercrime si configura oggi come una delle principali minacce alla
stabilità delle infrastrutture digitali e, più in generale, alla continuità operativa delle
organizzazioni. In senso ampio, esso ricomprende qualsiasi condotta illecita realizzata
mediante o contro sistemi informatici e reti telematiche, includendo accessi abusivi,
violazioni di dati, frodi informatiche e appropriazioni indebite di identità digitali.
Sul piano internazionale, il riferimento normativo principale è rappresentato dalla
Convenzione del Consiglio d'Europa sulla criminalità informatica128, conosciuta anche
come Convenzione di Budapest, che ha fornito una base giuridica comune per la
tipizzazione delle principali fattispecie di reato informatico e per il coordinamento della
cooperazione investigativa tra Stati.
Nello specifico, essa rappresenta il trattato internazionale più completo in materia e
individua, tra le condotte penalmente rilevanti, l’accesso illegale, intercettazione,
interferenza nei dati, interferenza nei sistemi e uso improprio di dispositivi. L’impianto
della Convenzione rappresenta un modello di riferimento per gli ordinamenti nazionali,
tra cui Stati Uniti, Regno Unito e India, che ne hanno recepito l’impostazione nelle
proprie legislazioni129.

La rilevanza del cybercrime, tuttavia, non si esaurisce nella dimensione penalistica.

Nell’attuale economia digitale, un attacco informatico assume frequentemente rilievo
anche sul piano civilistico e contrattuale, in quanto può determinare l’inadempimento di
obbligazioni assunte nell’ambito di rapporti commerciali. L’esternalizzazione di servizi
128
Tropina, T., & Callanan, C. (2015). Self-and co-regulation in cybercrime, cybersecurity and national
security (p. 25). Heidelberg: Springer.
129
Tennis, M. M. (2020). A United Nations convention on cybercrime. Cap. UL Rev., 48, 189.

93
ICT, l’adozione di modelli cloud e SaaS e l’integrazione delle catene di fornitura digitali
amplificano l’esposizione delle organizzazioni al rischio di interruzione delle
prestazioni contrattuali a seguito di attacchi informatici.
In particolare, questi ultimi possono tradursi nella violazione di clausole relative ai
livelli di servizio (SLA130), agli obblighi di protezione dei dati o ai requisiti di continuità
operativa, con conseguenti richieste risarcitorie. La giurisprudenza, specialmente nei
sistemi di common law, ha progressivamente approfondito l’analisi della responsabilità
contrattuale, soffermandosi sui profili di prevedibilità dell’evento, di accertamento del
nesso causale e di definizione dello standard di diligenza tecnica richiesto agli operatori,
valorizzando l’obbligo di adeguata gestione del rischio informatico quale componente
essenziale dell’obbligazione contrattuale131.

La Convenzione di Budapest, oggi ratificata da oltre 60 Stati, costituisce il principale

riferimento internazionale in materia. Accanto ad essa, iniziative sovranazionali quali il
Cybersecurity Act dell'Unione Europea riflettono il crescente impegno volto a
rafforzare la resilienza delle infrastrutture digitali.
Nonostante tali sviluppi, l’armonizzazione giuridica resta parziale. Le differenze
significative che permangono in materia di localizzazione dei dati, standard crittografici,
criteri di imputazione soggettiva e qualificazione dell’elemento psicologico del reato
negli ambienti digitali rendono difficile una piena armonizzazione del quadro normativo
internazionale132. Tali divergenze incidono direttamente sui rapporti contrattuali
transnazionali, generando incertezza circa l’individuazione della legge applicabile e
l’allocazione delle responsabilità.

Ulteriore complessità deriva dall’incremento di attacchi informatici riconducibili a

soggetti statuali o para-statuali. In tali ipotesi, si pone il problema della qualificazione
dell’evento ai fini contrattuali.
In alcune giurisdizioni di civil law, tra cui Germania e Francia, le dottrine legali stanno
esplorando sempre di più l'applicabilità della “forza maggiore” nelle richieste di
130
Service Level Agreement
131
Tsakalidis, G., & Vergidis, K. (2017). A systematic approach toward description and classification of
cybercrime incidents. IEEE Transactions on Systems, Man, and Cybernetics: Systems, 49(4), 710-729.
132
Oreku, G. S., & Mtenzi, F. J. (2016). Cybercrime: concerns, challenges and opportunities. Information
Fusion for Cyber-Security Analytics, 129-153.

94
violazione contrattuale causate da attacchi informatici, mentre nei sistemi di common
law, come Stati Uniti e Regno Unito, prevale un approccio incentrato sulla verifica della
diligenza adottata e sulla conformità agli standard di settore.
Decisioni giurisprudenziali quali Target Corp. Data Breach Litigation e PIPEDA v.
Equifax Canada hanno stimolato discussioni giudiziarie sul dovere di custodia
contrattuale dei dati. Con l'aumento delle transazioni digitali globali, la risposta legale
transfrontaliera al cybercrime deve evolversi, fornendo chiarezza su come le
responsabilità contrattuali siano condivise o trasferite tra le giurisdizioni133.

In questo scenario, l’integrazione di clausole specifiche in materia di cybersecurity nei

contratti ICT si è affermata come strumento di gestione preventiva del rischio. Le
imprese inseriscono sempre più requisiti di sicurezza dettagliati e clausole di
responsabilità nei contratti di outsourcing, negli accordi cloud e nei contratti di livello di
servizio tecnologico, con l’obiettivo di rendere più prevedibile e governabile l’impatto
giuridico di eventuali violazioni di sicurezza 134. Queste clausole spesso delineano le
responsabilità delle parti in materia di protezione dei dati, tempistiche di notifica delle
violazioni e strutture di indennizzo. Tali clausole non si limitano a disciplinare la
ripartizione delle conseguenze economiche derivanti da un incidente informatico, ma
definiscono in modo puntuale le misure di sicurezza da adottare, le procedure di
gestione degli incidenti, gli obblighi di notifica e le responsabilità operative di ciascuna
parte nella protezione dei dati e nella continuità del servizio.
Negli Stati Uniti, il National Institute of Standards and Technology (NIST) ha
sviluppato il NIST Cybersecurity Framework, frequentemente richiamato nei contratti
come parametro di riferimento per l’individuazione degli standard tecnici generalmente
accettati nel settore. Analogamente, lo standard ISO/IEC 27001 rappresenta uno
standard internazionale di riferimento per la gestione della sicurezza delle informazioni
ed è spesso richiamato nei contratti per indicare il livello di sicurezza che le parti si

133
Viano, E. C. (2016). Cybercrime: Definition, typology, and criminalization. In Cybercrime, Organized
Crime, and Societal Responses: International Approaches (pp. 3-22). Cham: Springer International
Publishing.
134
Ehiane, S. O., & Olumoye, M. Y. (2023). Introduction and contextual background of cybercrime as an
emerging phenomenon in Africa. In Cybercrime and Challenges in South Africa (pp. 1-28). Singapore:
Springer Nature Singapore.

95
impegnano a garantire135.

Il richiamo a tali standard, tuttavia, non garantisce di per sé l’esonero da responsabilità.

L’efficacia delle clausole dipende dalla chiarezza con cui viene definita l’allocazione
del rischio, dalla specificazione delle misure di sicurezza richieste e dalla concreta
prevedibilità dell’evento dannoso. I tribunali hanno esaminato clausole standard e
impegni vaghi di “miglior sforzo” in decisioni come Patco Construction Co. v. People’s
United Bank, dove il linguaggio contrattuale non è riuscito a sollevare la banca dalla
responsabilità dopo un incidente di frode online136.
La complessità aumenta negli ecosistemi contrattuali multi-parte, caratterizzati dal
coinvolgimento di fornitori terzi e subappaltatori. In tali contesti, l’individuazione del
nesso causale e la determinazione della responsabilità proporzionale risultano
particolarmente problematiche, soprattutto quando le funzioni di gestione della
sicurezza sono distribuite lungo la catena di fornitura137.

Anche in sede arbitrale, soprattutto nel settore tecnologico, si registra un incremento di

controversie connesse a incidenti di cybersecurity, spesso riconducibili a formulazioni
contrattuali imprecise o a obblighi di sicurezza non adeguatamente circoscritti. In
dottrina si evidenzia pertanto l’opportunità di integrare nei contratti digitali protocolli
dettagliati di risposta agli incidenti, standard tecnici minimi esplicitamente individuati e
obblighi di copertura assicurativa per il rischio cyber, al fine di rendere più chiara la
distribuzione delle responsabilità138.

Nel caso Heartland Payment Systems Inc., il tribunale ha stabilito che i querelanti
devono dimostrare un chiaro legame causale tra la violazione dei dati e i danni subiti,
fissando un alto standard per il recupero sotto le teorie di violazione contrattuale. Nel
Regno Unito, Yerjanov e colleghi (2017) hanno evidenziato le difficoltà legali nel
135
Viano, E. C. (2016). Cybercrime: Definition, typology, and criminalization. In Cybercrime, Organized
Crime, and Societal Responses: International Approaches (pp. 3-22). Cham: Springer International
Publishing.
136
Payne, B. K. (2020). Defining cybercrime. In The Palgrave handbook of international cybercrime and
cyberdeviance (pp. 3-25). Cham: Springer International Publishing.
137
Pawlak, P., & Barmpaliou, P. N. (2017). Politics of cybersecurity capacity building: conundrum and
opportunity. Journal of Cyber Policy, 2(1), 123-144.
138
Schjolberg, S., & Ghernaouti-Helie, S. (2011). A global treaty on cybersecurity and
cybercrime. Cybercrime Law, 97.

96
quantificare i danni nei casi di violazione informatica, in particolare sotto le
rivendicazioni basate sulla protezione dei dati e sui torti. Al contrario, le giurisdizioni di
diritto civile hanno mostrato una maggiore apertura nel trasferire l'onere della prova
verso i fornitori di servizi, come dimostrato nella giurisprudenza tedesca e francese sui
fallimenti nella sicurezza delle piattaforme di e-commerce 139. Inoltre, decisioni che
fanno giurisprudenza, come In re: Equifax Inc. Customer Data Security Breach
Litigation, hanno inoltre chiarito che la mancata adozione delle pratiche di cybersecurity
promesse o contrattualmente concordate può integrare non solo una violazione
normativa, ma anche un inadempimento contrattuale. In tal modo, la sicurezza
informatica viene ricondotta al contenuto stesso dell’obbligazione, rafforzando
l’intersezione tra responsabilità civile, contrattuale e regolatoria.

L'aumento degli attacchi informatici mirati alle catene di approvvigionamento e ai

fornitori di servizi gestiti ha ulteriormente ampliato il perimetro del rischio contrattuale.
Le organizzazioni operano ormai in ecosistemi altamente interconnessi, nei quali
soggetti terzi trattano dati sensibili o gestiscono infrastrutture critiche per conto del
titolare del servizio. In tali configurazioni, la vulnerabilità di un singolo fornitore può
generare effetti sistemici lungo l’intera catena contrattuale. Il caso Target Corp. (2013),
nel quale l’accesso fraudolento è avvenuto tramite un fornitore terzo, ha rappresentato
un punto di svolta nella percezione del rischio di supply chain. Da allora, le imprese
hanno rafforzato le attività di due diligence, i meccanismi di audit e i modelli di
governance della sicurezza.

Sotto il profilo della governance societaria, il rischio cyber assume rilevanza diretta ai
fini dell’adempimento dei doveri fiduciari degli organi di amministrazione. I consigli di
amministrazione sono chiamati a garantire l’adeguatezza degli assetti organizzativi,
amministrativi e di controllo interno, nonché l’effettiva implementazione di sistemi di
gestione del rischio idonei a presidiare le minacce informatiche. A tal fine, molte
imprese adottano framework di riferimento come COSO e COBIT140.

139
Yerjanov, T. K., Baimagambetova, Z. M., Seralieva, A. M., Zhailau, Z., & Sairambaeva, Z. T. (2017).
Legal issues related to combating cybercrime: Experience of the Republic of Kazakhstan. Journal of
Advanced Research in Law and Economics, 8(7 (29)), 2286-2301.
140
Iqbal, F., Debbabi, M., & Fung, B. C. (2020). Machine learning for authorship attribution and cyber
forensics (Vol. 37). Heidelberg: Springer.

97
In tale contesto, il cybercrime non rappresenta soltanto una minaccia tecnica, ma un
fattore di rischio sistemico che incide sulla continuità operativa, sulla fiducia nei servizi
digitali e sulla tutela dei dati personali. L’analisi di casi concreti consente di
comprendere in modo più puntuale le implicazioni organizzative e giuridiche di tali
eventi, evidenziando come la gestione del rischio informatico non possa essere affidata
a interventi episodici. In questa prospettiva, l’adozione di un Sistema di Gestione della
Sicurezza delle Informazioni assume una valenza che va oltre l’aspetto meramente
tecnico, incidendo sulla struttura organizzativa dell’impresa e sulla sua capacità di
dimostrare, anche in sede contrattuale o giudiziale, di aver affrontato il rischio in modo
consapevole e strutturato.

5.2 Il caso British Airways (2018)

Il data breach che ha coinvolto British Airways nel 2018 viene analizzato nel presente
capitolo come caso di studio, al fine di esaminare le criticità emerse sia rispetto ai
requisiti di un Sistema di Gestione della Sicurezza delle Informazioni sia in relazione
agli obblighi previsti dal GDPR.
British Airways è stata vittima di una grave violazione dei dati personali che ha
interessato circa 380.000 transazioni effettuate tramite il proprio sito web. L’attacco è
stato realizzato attraverso uno script malevolo nella piattaforma di prenotazione online,
attraverso il quale sono stati intercettati i dati personali e finanziari dei clienti durante il
processo di acquisto dei biglietti141.

Secondo le disposizioni del GDPR, British Airways aveva l'obbligo di notificare la

violazione all’autorità di controllo competente, ossia l'Information Commissioner’s
Office (ICO), entro 72 ore dalla scoperta della stessa.
L'indagine condotta dall'ICO ha evidenziato carenze significative nelle misure tecniche
e organizzative adottate, in particolare riguardo alla crittografia e alla gestione delle
vulnerabilità.

141
Georgiadis, G., & Poels, G. (2021). Enterprise architecture management as a solution for addressing
general data protection regulation requirements in a big data context: a systematic mapping
study. Information Systems and e-Business Management, 19(1), 313-362.

98
In ragione della gravità della violazione e dell’insufficiente livello di sicurezza
riscontrato, l’ICO ha inizialmente annunciato l’intenzione di irrogare una sanzione pari
a 183 milioni di sterline, successivamente ridotta a 20 milioni di sterline anche in
considerazione dell’impatto economico derivante dalla pandemia e della cooperazione
prestata dalla società. Questo provvedimento è stato annunciato alla Borsa di Londra,
dove è stata comunicata l'intenzione dell'ICO di sanzionare la compagnia per violazioni
della normativa sulla protezione dei dati. L'autorità indipendente britannica ha
confermato che, a seguito di un’indagine approfondita, è stata emessa una sanzione
record per le infrazioni al GDPR142.

Il caso evidenzia come la mancata adozione di misure adeguate possa comportare

conseguenze economiche rilevanti, oltre a significativi impatti reputazionali 143.
L’incidente ha inoltre posto l’attenzione sulla gestione dei rapporti con fornitori e
soggetti terzi coinvolti nei trattamenti di dati personali. Pur restando in capo al titolare
del trattamento la responsabilità primaria, il caso ha confermato la necessità di estendere
i presidi di sicurezza anche lungo la catena dei fornitori, attraverso una valutazione
strutturata dei rischi e l’inserimento di specifiche salvaguardie contrattuali, quali diritti
di audit, clausole di flusso verso subfornitori e meccanismi di indennizzo in caso di
violazione.

5.3 Analisi dell’incidente alla luce dei controlli ISO/IEC 27001:2024

Come illustrato nei capitoli precedenti, la ISO/IEC 27001:2024 fornisce un modello

strutturato per l’implementazione, il mantenimento e il miglioramento continuo di un
SGSI fondato sull’analisi e sul trattamento del rischio. L’analisi dell’incidente che ha
coinvolto British Airways nel 2018 consente di valutare, in chiave applicativa, come
l’assenza o l’inadeguata attuazione di specifici controlli possa compromettere l’efficacia
complessiva del sistema di sicurezza.

142
Rhahla, M., Allegue, S., & Abdellatif, T. (2021). Guidelines for GDPR compliance in Big Data
systems. Journal of Information Security and Applications, 61, 102896.
143
Merrick, R., & Ryan, S. (2019). Data privacy governance in the age of GDPR. Risk
Management, 66(3), 38-43.

99
Una prima area critica riguarda la sicurezza delle applicazioni e la gestione delle
vulnerabilità. L’inserimento di codice malevolo all’interno del sito di prenotazione
evidenzia possibili carenze nei controlli relativi allo sviluppo sicuro, al monitoraggio
delle modifiche applicative e alla protezione degli ambienti esposti su Internet. In un
SGSI conforme alla ISO/IEC 27001:2024, tali aspetti dovrebbero essere presidiati
attraverso controlli volti a garantire la sicurezza del ciclo di vita dei sistemi informativi,
la segregazione degli ambienti e la verifica continua dell’integrità del codice.
Ulteriori profili di debolezza emergono in relazione al monitoraggio degli eventi e alla
capacità di rilevazione tempestiva degli incidenti. La persistenza dell’attacco per un
periodo prolungato suggerisce che i meccanismi di logging, analisi e correlazione degli
eventi non fossero adeguatamente configurati o efficaci. I controlli previsti dallo
standard richiedono invece che le organizzazioni siano in grado di individuare
comportamenti anomali e segnali di compromissione in tempi compatibili con la
riduzione dell’impatto sugli asset informativi e sugli interessati.

Dal punto di vista della gestione del rischio, l’incidente suggerisce possibili carenze
nell’identificazione e nella classificazione degli asset critici. Le piattaforme di
pagamento e di prenotazione online costituiscono sistemi ad alta esposizione, poiché
sono direttamente accessibili da Internet e trattano dati personali e finanziari di
particolare sensibilità. In un SGSI conforme alla ISO/IEC 27001, tali sistemi
dovrebbero essere formalmente individuati come asset ad elevato valore e sottoposti a
un’analisi di rischio specifica, che consideri sia la probabilità di attacchi mirati sia
l’impatto potenziale in termini economici, operativi e reputazionali.
Una corretta valutazione del rischio avrebbe dovuto tradursi nell’adozione di controlli
rafforzati, quali monitoraggio continuo delle applicazioni web, verifica dell’integrità del
codice, test di sicurezza periodici e gestione strutturata delle vulnerabilità. La
compromissione del sito mediante l’inserimento di uno script malevolo lascia ipotizzare
che il livello di rischio associato a tali piattaforme non fosse stato pienamente valutato o
che le misure individuate non fossero proporzionate alla criticità dell’asset.
In questo senso, la mancata prevenzione dell’incidente può essere letta come indice di
una valutazione del rischio non adeguatamente aggiornata rispetto all’evoluzione delle
minacce, in particolare rispetto agli attacchi lato client e alla manipolazione del codice

100
applicativo. Un SGSI maturo richiede infatti un riesame periodico dei rischi, basato su
informazioni aggiornate sulle vulnerabilità emergenti e sui nuovi vettori di attacco,
affinché le misure di trattamento restino coerenti con il contesto operativo.

L’analisi dell’incidente consente inoltre di evidenziare il ruolo centrale dei processi di

gestione degli incidenti e di miglioramento continuo. In un sistema conforme alla
ISO/IEC 27001, un evento di questa natura dovrebbe attivare non solo misure di
contenimento e ripristino, ma anche un’analisi strutturata delle cause e delle carenze
emerse, al fine di aggiornare il trattamento del rischio, rivedere l’adeguatezza dei
controlli e rafforzare strutturalmente il sistema di sicurezza, prevenendo il ripetersi di
eventi analoghi.

5.4 Analisi secondo il GDPR

L’episodio che ha coinvolto British Airways assume particolare rilievo se analizzato

alla luce del GDPR. La disciplina europea non si limita a sanzionare la violazione, ma
impone di interrogarsi sulla coerenza tra i rischi connessi al trattamento e le misure
effettivamente adottate dall’organizzazione. Come analizzato nel capitolo III, il GDPR
si fonda su un modello di responsabilizzazione che impone al titolare del trattamento
non solo di rispettare le prescrizioni normative, ma di valutare preventivamente i rischi
connessi ai trattamenti effettuati, individuare misure adeguate per mitigarli e
documentare le scelte organizzative adottate. La conformità, in questa prospettiva, non
si esaurisce nell’adempimento formale degli obblighi previsti dal Regolamento, ma
richiede la capacità di dimostrare, anche a posteriori, che le decisioni in materia di
sicurezza e protezione dei dati siano state assunte in modo consapevole, proporzionato e
coerente con il livello di rischio.

Oltre al principio di integrità e riservatezza sancito dall’art. 5, par. 1, lett. f), assume
particolare rilievo l’articolo 24 del GDPR, il quale richiede che il titolare non si limiti ad
adottare misure di sicurezza in modo frammentario, ma predisponga un sistema coerente
di controlli, procedure e verifiche, proporzionato alla natura dei trattamenti svolti e ai
rischi ad essi connessi. Inoltre, l’art. 24 impone che tali misure siano documentate e

101
verificabili, così da poter dimostrare, in caso di controllo, la loro effettiva
implementazione ed efficacia.
Nel caso in esame, l’inserimento di uno script malevolo nella piattaforma di pagamento
non rappresenta soltanto una violazione tecnica dei dati, ma solleva interrogativi sulla
solidità del sistema di supervisione dei trattamenti e sulla capacità dell’organizzazione
di prevenire o intercettare tempestivamente modifiche non autorizzate al codice
applicativo. L’evento, pertanto, non rileva esclusivamente per il danno prodotto, ma per
ciò che suggerisce in termini di assetto preventivo: se il sistema di controllo fosse stato
adeguatamente strutturato e monitorato, l’alterazione del sito avrebbe dovuto essere
rilevata prima o comunque contenuta in tempi più rapidi.

Particolare rilevanza assume l’articolo 32 del GDPR, che impone al titolare del
trattamento di adottare misure tecniche e organizzative adeguate al rischio.
L’adeguatezza non è definita in termini astratti, ma deve essere valutata tenendo conto
di diversi fattori: lo stato dell’arte delle soluzioni disponibili, i costi di attuazione, la
natura dei dati trattati, le finalità del trattamento e, soprattutto, il livello di rischio per i
diritti e le libertà delle persone fisiche. Ciò significa che maggiore è la sensibilità dei
dati e l’esposizione del sistema, più elevato deve essere il livello di protezione richiesto.
Nel caso in esame, la piattaforma di prenotazione online trattava dati identificativi e
finanziari su larga scala ed era direttamente accessibile via Internet, risultando quindi
esposta a un’elevata probabilità di attacchi. L’autorità di controllo ha ritenuto che le
misure implementate non fossero proporzionate alla criticità del sistema coinvolto, in
quanto non avevano impedito né rilevato tempestivamente l’inserimento di codice
malevolo. La valutazione di non conformità, dunque, non si fonda sull’esistenza
dell’attacco in sé, ma sulla constatazione che il livello di protezione predisposto non
risultava coerente con il grado di rischio connesso al trattamento.

Il caso assume rilievo anche con riferimento agli obblighi di notifica previsti dagli
articoli 33 e 34 del GDPR. La comunicazione della violazione all’autorità entro 72 ore
costituisce un adempimento necessario, ma interviene quando il rischio si è già
concretizzato. Il rispetto di tale obbligo dimostra la corretta gestione formale
dell’emergenza, ma non esaurisce la valutazione di conformità. Il GDPR si basa su una

102
logica preventiva, poichè è importante non solo la tempestività della reazione, ma anche
l’adeguatezza del sistema di misure predisposto prima dell’incidente.

Dal punto di vista sanzionatorio, l’art. 83 del Regolamento prevede sanzioni

amministrative pecuniarie fino al 4% del fatturato annuo mondiale totale dell’esercizio
precedente. La sanzione inizialmente proposta dall’ICO, pari a 183 milioni di sterline,
ha rappresentato uno dei primi casi di applicazione su larga scala del nuovo regime
sanzionatorio europeo, segnando un passaggio significativo verso una maggiore
effettività della tutela.

Il caso British Airways evidenzia, in definitiva, come il GDPR abbia trasformato la

protezione dei dati da adempimento formale a elemento strutturale della governance
aziendale. La responsabilità del titolare del trattamento non si esaurisce nell’adozione di
misure minime, ma richiede la dimostrazione di un sistema organizzativo capace di
prevenire, rilevare e gestire le violazioni in modo proporzionato al rischio.

5.5 Profili contrattuali e assicurativi nella gestione del rischio cyber

Accanto agli aspetti tecnici, organizzativi e normativi emersi dall’analisi del caso
British Airways, la gestione del rischio cyber assume una rilevante dimensione
contrattuale e assicurativa. Gli incidenti informatici non producono soltanto effetti sul
piano tecnico, ma incidono sulla ripartizione delle responsabilità tra le parti coinvolte,
sulla continuità delle relazioni commerciali e sulla copertura delle perdite economiche
conseguenti all’evento.
Sotto il profilo contrattuale, il rischio cyber viene progressivamente incorporato nelle
clausole relative ai livelli di servizio, agli obblighi di sicurezza e ai meccanismi di
indennizzo. Nei rapporti di outsourcing ICT, nei contratti cloud e negli accordi con
fornitori di servizi digitali, la definizione puntuale delle responsabilità assume un ruolo
centrale. La presenza di subfornitori e catene di trattamento complesse rende infatti
necessario disciplinare diritti di audit, obblighi di cooperazione in caso di incidente e
regimi di responsabilità proporzionata. In assenza di una chiara allocazione contrattuale,
il rischio di contenzioso aumenta sensibilmente, soprattutto quando l’incidente genera

103
sanzioni regolatorie o richieste risarcitorie da parte degli interessati.

Accanto alla dimensione contrattuale, si è sviluppato il ricorso alle polizze di

assicurazione cyber quale strumento di trasferimento parziale del rischio. Tali polizze
possono coprire costi di risposta all’incidente, interruzione dell’attività, responsabilità
verso terzi, sanzioni amministrative nei limiti consentiti dall’ordinamento e richieste
estorsive legate a ransomware. Tuttavia, il mercato assicurativo cyber è caratterizzato da
una significativa eterogeneità delle condizioni contrattuali, con frequenti controversie in
merito all’ambito di copertura, alle esclusioni (in particolare per atti di guerra o attacchi
sponsorizzati da Stati) e ai limiti massimi indennizzabili144.

Un caso emblematico in ambito statunitense è rappresentato dalla decisione relativa

all’attacco NotPetya nei confronti di Merck & Co., nella quale è stato escluso che la
clausola di “war exclusion” potesse automaticamente estendersi a un attacco
informatico attribuito a uno Stato. Tale pronuncia ha avuto rilevanti implicazioni per
l’interpretazione delle esclusioni nelle polizze cyber e ha evidenziato la necessità di una
redazione contrattuale più precisa.

Ulteriori complessità emergono in relazione alla sovrapposizione tra diverse coperture

assicurative (responsabilità civile generale, polizze E&O tecnologiche e polizze cyber
dedicate), nonché ai meccanismi di surrogazione, attraverso i quali l’assicuratore può
agire nei confronti di fornitori ritenuti responsabili dell’evento145.

Nonostante la crescente diffusione delle polizze cyber, il relativo mercato presenta

ancora elementi di instabilità strutturale. La valutazione del rischio digitale è resa
complessa dalla presenza di asimmetrie informative tra assicuratore e assicurato, dal
fenomeno della selezione avversa e dalla difficoltà di elaborare modelli attuariali
pienamente affidabili in un contesto caratterizzato da minacce in continua evoluzione.

144
Bechara, F. R., & Schuch, S. B. (2021). Cybersecurity and global regulatory challenges. Journal of
Financial Crime, 28(2), 359-374.
145
Akhgar, B., Choraś, M., Brewster, B., Bosco, F., Vermeersch, E., Luda, V., ... & Wells, D. (2016).
Consolidated taxonomy and research roadmap for cybercrime and cyberterrorism. In Combatting
Cybercrime and Cyberterrorism: Challenges, Trends and Priorities (pp. 295-321). Cham: Springer
International Publishing.

104
In questo scenario, anche le autorità di vigilanza hanno iniziato a prestare maggiore
attenzione al contenuto delle polizze e ai criteri di valutazione del rischio adottati dagli
operatori. Un esempio significativo è rappresentato dal Cyber Insurance Risk
Framework del Dipartimento dei Servizi Finanziari di New York (NYDFS), che
individua aspettative minime in termini di trasparenza della copertura e coerenza tra
valutazione del rischio e condizioni contrattuali. Sebbene l’assicurazione cyber
costituisca uno strumento utile di mitigazione delle perdite, essa introduce ulteriori
profili di complessità giuridica che richiedono una redazione accurata delle clausole,
una chiara delimitazione delle esclusioni e procedure di risposta agli incidenti ben
definite146.

Parallelamente, l’intensificazione delle attività di enforcement in materia di

cybersecurity ha rafforzato l’interconnessione tra responsabilità amministrativa e
responsabilità contrattuale. Il GDPR dell'Unione Europea e atti successivi quali il
Digital Services Act impongono severi obblighi contrattuali a enti che gestiscono dati
personali, con la possibilità di rivendicazioni per violazione del contratto da parte dei
soggetti interessati o dei partner commerciali 147. In modo analogo, negli Stati Uniti,
normative quali il California Consumer Privacy Act e il New York SHIELD Act hanno
introdotto standard di sicurezza che influenzano la definizione delle clausole in materia
di protezione dei dati e responsabilità.

Le sanzioni amministrative irrogate dalle autorità di controllo non esauriscono le

conseguenze di un incidente informatico. Accanto al procedimento regolatorio possono
infatti instaurarsi azioni civili nelle quali il contratto assume rilievo quale parametro per
valutare l’eventuale inadempimento degli obblighi assunti in materia di sicurezza e
protezione dei dati. Ciò si verifica in particolare nei rapporti tra titolare del trattamento,
responsabili e subappaltatori, quando si discute della corretta attuazione delle misure
pattuite. In tale prospettiva, la gestione del rischio cyber richiede una chiara definizione
preventiva delle responsabilità tra le parti e una verifica della coerenza tra obblighi
contrattuali e coperture assicurative disponibili.
146
Patil, J. (2022). cyber laws in India: an overview. Issue 1 Indian JL & Legal Rsch., 4, 1.
147
Ibidem

105
 Conclusioni

La sicurezza delle informazioni è diventata un argomento di cruciale importanza per le

organizzazioni di ogni settore e dimensione. In un contesto caratterizzato da una
digitalizzazione sempre più pervasiva, le informazioni non sono solo un semplice
supporto alle operazioni aziendali, ma rappresentano un asset strategico che può
influenzare profondamente la competitività e la reputazione di un'impresa. Le aziende
devono affrontare una varietà di minacce, dalle violazioni dei dati alle cyberattività
malevole, e per questo motivo è fondamentale sviluppare un approccio proattivo e
sistemico alla sicurezza delle informazioni.
Le organizzazioni devono riconoscere che il loro patrimonio informativo è vulnerabile
e, pertanto, è essenziale implementare misure di sicurezza adeguate. Questo implica non
solo l'adozione di tecnologie avanzate, ma anche la creazione di una cultura della
sicurezza che coinvolga tutti i dipendenti. Ogni membro dell'organizzazione deve essere
consapevole dei rischi associati alla gestione delle informazioni e delle proprie
responsabilità nella protezione di tali dati. Le aziende devono stabilire programmi di
formazione e sensibilizzazione per garantire che il personale sia equipaggiato per
riconoscere e affrontare le minacce alla sicurezza.
Un aspetto fondamentale della sicurezza delle informazioni è l'implementazione di un
Sistema di Gestione della Sicurezza delle Informazioni (SGSI) conforme agli standard
ISO/IEC 27001. Questo framework fornisce un approccio strutturato per identificare,
valutare e gestire i rischi associati alla sicurezza delle informazioni. Attraverso
l'adozione di un SGSI, le organizzazioni possono monitorare e migliorare
continuamente le proprie pratiche di sicurezza, garantendo che siano sempre allineate
agli obiettivi strategici e alle normative vigenti. La norma ISO/IEC 27001 non solo
stabilisce linee guida per la gestione della sicurezza, ma promuove anche un processo di
miglioramento continuo, essenziale per adattarsi alle nuove sfide e opportunità.
Inoltre, la compliance con il Regolamento Generale sulla Protezione dei Dati (GDPR) è
diventata un imperativo per tutte le organizzazioni che trattano dati personali. Il GDPR
stabilisce requisiti rigorosi per la protezione dei dati, imponendo alle aziende di adottare
misure tecniche e organizzative adeguate. Ciò richiede un impegno costante da parte
delle organizzazioni per garantire che i dati siano gestiti in modo sicuro e che i diritti

106
degli interessati siano rispettati. Le aziende devono sviluppare politiche e procedure
interne che garantiscano la protezione dei dati, promuovendo una cultura della sicurezza
che coinvolga tutti i dipendenti.
La gestione delle violazioni dei dati è un altro aspetto cruciale della sicurezza delle
informazioni. Le organizzazioni devono essere pronte a rispondere rapidamente a
qualsiasi incidente di sicurezza, sviluppando piani di risposta ben definiti. Questi piani
devono prevedere azioni tempestive per contenere e mitigare l'impatto delle violazioni,
oltre a garantire la comunicazione con le autorità competenti e gli interessati, in
conformità con le disposizioni del GDPR. La trasparenza nella gestione delle violazioni
contribuisce a mantenere la fiducia dei clienti e a dimostrare l'impegno
dell'organizzazione nella protezione dei dati.
Un ulteriore elemento chiave è l'integrazione della sicurezza delle informazioni nella
governance aziendale. Le decisioni strategiche devono essere allineate con le pratiche di
sicurezza, e la leadership deve sostenere attivamente gli sforzi per proteggere il
patrimonio informativo. La cultura della sicurezza deve permeare ogni livello
dell'organizzazione, trasformando la protezione delle informazioni in una responsabilità
condivisa. La collaborazione tra diverse funzioni aziendali, come IT, risorse umane e
legale, è essenziale per garantire un approccio integrato alla sicurezza.
La tecnologia gioca un ruolo fondamentale nella protezione delle informazioni.
Soluzioni come sistemi di monitoraggio delle minacce, crittografia e gestione delle
identità sono strumenti indispensabili per la sicurezza dei dati. Tuttavia, è fondamentale
che queste tecnologie siano implementate in modo strategico e integrate nei processi
aziendali esistenti. L'adozione di tecnologie senza una pianificazione adeguata può
portare a vulnerabilità e inefficienze. Pertanto, le organizzazioni devono valutare
attentamente le proprie esigenze e scegliere le soluzioni tecnologiche più adatte al
proprio contesto operativo.
In un panorama in continua evoluzione, le organizzazioni devono essere pronte a
identificare e rispondere a nuove minacce. Gli attacchi informatici stanno diventando
sempre più sofisticati e mirati, richiedendo misure di sicurezza proattive e reattive. La
gestione delle identità e degli accessi deve essere rigorosa, garantendo che solo le
persone autorizzate possano accedere alle informazioni sensibili. Ciò include l'uso di
autenticazione multifattore, gestione delle password e monitoraggio degli accessi.

107
La gestione del rischio deve essere vista come un processo ciclico, non come un'attività
episodica. Le organizzazioni devono condurre valutazioni regolari dei rischi per
identificare vulnerabilità e minacce potenziali. Questo processo deve essere integrato
nella pianificazione strategica dell'organizzazione, garantendo che le misure di
sicurezza siano sempre aggiornate e adeguate alle circostanze. La compliance normativa
è altrettanto importante. Le organizzazioni devono essere consapevoli delle leggi e delle
normative in continua evoluzione che riguardano la sicurezza delle informazioni e la
protezione dei dati. La non conformità può comportare sanzioni significative e danni
reputazionali.
Inoltre, l'emergere di tendenze come l'intelligenza artificiale e l'uso dei big data presenta
sfide significative per la protezione dei dati. Le organizzazioni devono sviluppare
strategie per affrontare i rischi associati all'uso di queste tecnologie, garantendo al
contempo la protezione dei dati personali e la conformità alle normative. L'adozione di
un approccio etico alla gestione delle informazioni è fondamentale per costruire fiducia
e garantire una protezione adeguata dei diritti degli individui.
La sicurezza delle informazioni non può essere considerata un'attività isolata, ma deve
essere integrata in tutti gli aspetti dell'operatività aziendale. La leadership deve
impegnarsi a promuovere una cultura della sicurezza che incoraggi la responsabilità
individuale e collettiva. Le organizzazioni devono sviluppare politiche e procedure
chiare che definiscano i ruoli e le responsabilità in materia di sicurezza delle
informazioni, assicurando che tutti i dipendenti comprendano l'importanza della
protezione dei dati e siano in grado di contribuire attivamente a tale obiettivo.
La sicurezza delle informazioni, dunque, è una questione complessa che richiede un
approccio proattivo e olistico. Le organizzazioni devono investire nella protezione del
loro patrimonio informativo, adottando un Sistema di Gestione della Sicurezza delle
Informazioni conforme agli standard internazionali e rispettando le normative vigenti.
Solo attraverso un impegno costante e una cultura della sicurezza ben radicata sarà
possibile affrontare le sfide del panorama digitale e proteggere efficacemente i dati e le
informazioni aziendali. La continua evoluzione delle minacce informatiche richiede un
monitoraggio attivo e un adattamento delle strategie di sicurezza affinché le
organizzazioni possano mantenere la fiducia dei propri clienti e garantire la loro
sostenibilità nel lungo termine.

108
In questo contesto, è fondamentale che le organizzazioni non solo implementino misure
di sicurezza, ma anche che sviluppino una mentalità orientata alla resilienza. Ciò
significa prepararsi a rispondere non solo agli attacchi informatici, ma anche a eventi
imprevisti che potrebbero influenzare la sicurezza delle informazioni. La capacità di
recupero è altrettanto importante quanto la prevenzione; le aziende devono essere pronte
a riprendersi da incidenti di sicurezza, minimizzando i danni e ripristinando le
operazioni nel più breve tempo possibile. Investire in piani di continuità aziendale e in
strategie di disaster recovery diventa quindi un elemento chiave nella gestione della
sicurezza delle informazioni.
Un altro aspetto da considerare è l’importanza della collaborazione e della condivisione
delle informazioni tra le organizzazioni. Le minacce informatiche non conoscono
confini e spesso colpiscono più aziende contemporaneamente. Creare reti di
collaborazione tra diverse imprese e settori può aiutare a migliorare la capacità di
rilevamento e risposta alle minacce. Le organizzazioni dovrebbero partecipare a
iniziative di condivisione delle informazioni sulla sicurezza, dove è possibile scambiare
esperienze, best practices e dati sulle minacce emergenti.
Inoltre, le aziende devono prestare particolare attenzione alla gestione dei fornitori e dei
partner commerciali. La sicurezza delle informazioni non può essere garantita solo
all'interno dei confini aziendali; le organizzazioni devono assicurarsi che anche i loro
fornitori adottino misure di sicurezza adeguate. Ciò implica la necessità di condurre
audit di sicurezza sui fornitori, stabilire requisiti di sicurezza nei contratti e monitorare
costantemente le pratiche di sicurezza dei partner. Le violazioni dei dati possono spesso
derivare da terze parti, quindi è essenziale garantire che l'intera catena di fornitura sia
sicura.
E' importante riconoscere che la sicurezza delle informazioni è un campo in continua
evoluzione. Le tecnologie emergenti, come l'intelligenza artificiale e l'Internet delle
Cose (IoT), stanno cambiando il modo in cui le informazioni vengono gestite e protette.
Le organizzazioni devono rimanere aggiornate sulle ultime tendenze e sviluppi nel
campo della sicurezza informatica, investendo in ricerca e sviluppo per integrare nuove
tecnologie nei loro sistemi di sicurezza. La formazione continua e l'aggiornamento delle
competenze del personale sono fondamentali per garantire che le organizzazioni siano
pronte ad affrontare le sfide future.

109
Il tema della sicurezza delle informazioni che abbiamo affrontato in questa tesi deve
essere considerato un elemento centrale della strategia aziendale. Le organizzazioni che
adottano un approccio proattivo e integrato alla sicurezza delle informazioni non solo
proteggono i loro dati e la loro reputazione, ma si pongono anche in una posizione di
vantaggio competitivo nel mercato. Investire nella sicurezza delle informazioni è quindi
un investimento nel futuro dell'organizzazione, che garantirà la sua sostenibilità e il suo
successo in un mondo sempre più digitalizzato e interconnesso.

110
Bibliografia

111