Quando la privacy smette di essere una questione di compliance e diventa materia di interesse per gli investitori
Per anni il tema della privacy è stato affrontato nelle imprese soprattutto come una questione di mera compliance, e specialmente con le sanzioni previste dal GDPR che possono arrivare fino a 20 milioni di euro o al 4% del fatturato annuo, la domanda ricorrente nei consigli di amministrazione è sempre la stessa: "Quanto rischiamo di pagare se sbagliamo?"

Eppure, concentrarsi esclusivamente sulla multa è come guardare il dito anziché la luna. Fa infatti riflettere il recente caso di Coupang, società di e-commerce sudcoreana quotata alla Borsa di New York (NYSE), che a seguito di un data breach che ha coinvolto 33 milioni di utenti è stato bacchettata dall’Autorità per la protezione dei dati coreana con una sanzione record di 409 milioni di dollari.
Una multa enorme che ha fatto notizia in tutto il sud est asiatico, richiamando l'attenzione di tutte le imprese digitali. Ma le conseguenze di una tale violazione della privacy si sono estese ben oltre la già salatissima sanzione in cui è incappata l’azienda, che nel 2025 aveva registrato un fatturato di circa 29,6 miliardi di dollari: se è vero che da sola l’ammenda corrisponde a circa l’1,4% del suo turnover annuale, secondo quanto riportato dal Financial Times il peggio per Coupang si è però concretizzato nel trimestre successivo con le quotazioni che a Wall Street sono sprofondate in un lungo trend negativo che ha portato a una perdita operativa di 242 milioni di dollari, generando anche un rallentamento dei ricavi a causa delle preoccupazioni per la sicurezza che hanno scoraggiato i consumatori dall'utilizzare la piattaforma.
Quando si verifica una grave violazione dei dati, il danno economico non si esaurisce infatti con il pagamento della sanzione, ma subentrano fattori ben più difficili da quantificare e da gestire, che spesso sono potenzialmente devastanti: la perdita di fiducia dei clienti, la fuga verso concorrenti percepiti come più affidabili, richieste di risarcimenti, l'aumento dei costi assicurativi, le spese straordinarie per la gestione della crisi, gli investimenti in cybersecurity per correre ai ripari, e il danno reputazionale.
Per le società quotate in borsa, il fenomeno assume una dimensione ancora più critica. I mercati finanziari sono particolarmente sensibili ai rischi reputazionali. Una violazione dei dati può essere interpretata dagli investitori come il sintomo di carenze nella governance aziendale, e vulnerabilità nella gestione del rischio o nei controlli interni. Non si tratta soltanto di un problema tecnico o giuridico: viene messa in discussione la capacità stessa del management di proteggere gli asset strategici dell'impresa.
In questo contesto, la privacy smette di essere una questione confinata negli uffici legali o IT e diventa materia di diretto interesse per azionisti e investitori.
Se i clienti perdono fiducia, se aumentano i costi di gestione della crisi e se l'immagine del marchio viene compromessa, gli investitori ne tengono inevitabilmente conto, e paradossalmente la sanzione da pagare al Garante passa addirittura in secondo piano.
Nell’economia digitale “data driven” le informazioni rappresentano uno degli asset più preziosi di cui dispongono le organizzazioni. Proteggerli significa proteggere il brand, il rapporto fiduciario con clienti, dipendenti, partner commerciali, e investitori. E come ha imparato suo malgrado Coupang, la reputazione e la fiducia si costruiscono con fatica negli anni, ma possono essere distrutte in pochi giorni.
di Nicola Bernardi (fonte: Economy)
Sei già socio Federprivacy? effettua il login e leggi online il numero integrale del mensile Economy di Luglio 2026






