NEWS

 

Quando un click sbagliato può costare milioni di euro all’azienda

Quando un’azienda subisce un incidente informatico e si cerca di comprenderne le cause, di solito il primo pensiero va a qualche attacco sferrato dagli hacker, eppure il “2025 Data Breach Investigations Report” evidenzia che nel 60% dei casi la causa scatenante non sono i cybercriminali, bensì il cosiddetto “fattore umano”.

Che si tratti di un atto intenzionale a scopo vendicativo, o di un vero e proprio errore umano causato da negligenza o incompetenza, nella maggior parte dei casi l’innesco della violazione informatica deriva quindi dal cattivo operato dei dipendenti.

Basti pensare a una vicenda di qualche tempo fa, in cui un ingenuo impiegato abboccò alla classica mail di phishing ricevuta da un sedicente fornitore che sollecitava il pagamento di una fattura scaduta con tanto di file allegato, che però non conteneva alcun documento amministrativo, ma un ransomware in grado di crittografare tutti i dati presenti nei server aziendali.

Senza porsi troppe domande, quell’addetto girò quel messaggio all’impiegato dell’amministrazione sollecitandolo pure a pagare quanto dovuto, e a sua volta quest’ultimo vedendo che la mail proveniva da un collega cadde ancora più facilmente nel tranello cliccando sul file ZIP allegato, ma così facendo attivò involontariamente il malefico virus che vi era celato provocando il patatrac, e rendendo inaccessibili in pochi minuti tutti i dati dell’azienda, compresi quelli di 113.000 sventurati dipendenti.

In quell’episodio, oltre ai danni subìti a causa della paralisi produttiva, il maldestro operato dell’impiegato costò all’azienda anche una maxi sanzione da 5,1 milioni di euro. Ma peggio ancora è andata ad un’altra società che a ottobre 2025 per motivi simili ha ricevuto una sonora sberla dall’autorità per la protezione dei dati inglese (Information Commissioner’s Office) con una multa da ben 14 milioni di sterline, corrispondenti a circa 16,1 milioni di euro.

(Nella foto: Nicola Bernardi, Presidente di Federprivacy)

Infatti, secondo quanto accertato dall’authority britannica, un dipendente di Capita, un gruppo societario leader nel Regno Unito nella consulenza ed amministrazione di fondi pensionistici, ha incautamente scaricato un file maligno su un dispositivo aziendale, e anche se i sistemi di sicurezza aziendale avevano fatto il proprio dovere rilevando l’anomalia e facendo scattare gli alert in pochi minuti, d’altra parte inspiegabilmente l’allarme non è poi stato gestito nei tempi previsti: l’azienda ha infatti impiegato la bellezza di 58 ore per isolare il dispositivo compromesso e mettere in sicurezza i dati.

In quelle due lunghe giornate di inerzia, l’hacker ha così avuto tutto il tempo per infiltrarsi nei server di Capita e muoversi liberamente nella rete aziendale, ottenendo privilegi amministrativi, esfiltrando quasi un terabyte di dati e installando un ransomware che ha bloccato i sistemi e resettato le password interne, compromettendo informazioni finanziarie e dati sensibili di oltre 6,6 milioni di clienti e dipendenti.

Quel semplice click del dipendente di Capita è così diventato il micidiale innesco di uno degli incidenti informatici più gravi mai avvenuti nel Regno Unito, evidenziando quanto si possa pagare a caro prezzo sottovalutare la formazione e la consapevolezza dei propri dipendenti in tema di privacy e cybersecurity, e che l’anello più debole della catena resta quasi sempre il fattore umano, ovvero quel fenomeno che nel gergo tecnico è chiamato insider threat, termine che indica una minaccia interna proveniente da dipendenti e collaboratori che, spesso non dovutamente istruiti e formati, sono essi stessi la principale causa dei data breach per la loro incompetenza o per superficialità nel gestire i dati aziendali.

E per quanto possa essere pesante la batosta di una multa da 14 milioni di sterline, il danno economico reale subìto dalla società di consulenza finanziare e previdenziali inglese è comunque ancora più elevato, perché al provvedimento amministrativo dell’Information Commissioner’s Office vanno aggiunte le spese per consulenze legali e tecniche, le indagini forensi, la gestione degli adempimenti richiesti dalla normativa in materia di protezione dei dati, e i costi bel blocco delle attività, senza contare poi il danno reputazionale che ha minato la fiducia dei clienti. E triste a dirsi a posteriori, tutti questi devastanti effetti a catena avrebbero potuto essere evitati, o comunque attenuati, se solo il management avesse investito le risorse necessarie per proteggere il patrimonio aziendale basato sui dati.

di Nicola Bernardi (fonte: Economy, novembre 2025)

Sei socio Federprivacy? effettua il login e leggi online il numero integrale del mensile Economy di novembre 2025

Note sull'Autore

Nicola Bernardi Nicola Bernardi

Presidente di Federprivacy. Consulente del Lavoro. Consulente in materia di protezione dati personali e Privacy Officer certificato TÜV Italia, Of Counsel Ict Legal Consulting, Lead Auditor ISO/IEC 27001:2013 per i Sistemi di Gestione per la Sicurezza delle Informazioni. Twitter: @Nicola_Bernardi

Articoli correlati

Prev La ritrosia delle imprese italiane verso una compliance effettiva, tra carenze culturali, e imperativi normativi ed economici
Next Diminuisce la fiducia nei confronti dell’intelligenza artificiale: sempre più necessarie trasparenza e privacy

Galleria Video

Ansa: presentato alla Camera il libro 'Smetti di farti spiare difendi la tua privacy'

Cerca Delegato

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Newsletter

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy

Federprivacy sui social

Argomenti in evidenza