Cos'è una violazione dei dati?

I termini "violazione dei dati" e "violazione" sono spesso usati in modo intercambiabile con "attacco informatico". Tuttavia, non tutti gli attacchi informatici sono delle violazioni dei dati. Le violazioni dei dati includono solo le violazioni di sicurezza in cui qualcuno accede illegalmente ai dati.

Ad esempio, un attacco DDoS (Distributed Denial-of-Service) che colpisce un sito web non è una violazione dei dati. Un attacco ransomware che blocca i dati dei clienti di un'azienda e minaccia di divulgare i dati rubati a meno che l'azienda non paghi un riscatto è una violazione dei dati. Anche il furto fisico di dischi rigidi, unità flash USB o persino file cartacei contenenti informazioni sensibili è una violazione dei dati.

Secondo il report IBM Cost of a Data Breach 2025, il costo medio globale di una violazione dei dati è di 4,44 milioni di USD. Sebbene queste violazioni possano colpire organizzazioni di ogni tipo e dimensione, la gravità e i costi per porvi rimedio possono variare.

Ad esempio, il costo medio di una violazione dei dati negli Stati Uniti è di 10,22 milioni di dollari, circa 4 volte il costo di una violazione in India (2,51 milioni di dollari).

Le conseguenze delle violazioni tendono a essere particolarmente gravi per le organizzazioni in settori altamente regolamentati come quello sanitario, finanziario e pubblico, dove multe e sanzioni elevate possono far lievitare i costi. Ad esempio, secondo il report IBM, il costo medio di una violazione dei dati sanitari nel 2025 è di 7,42 milioni di dollari, il costo medio di violazione più alto tra i settori per il 14° anno consecutivo.

I costi delle violazioni dei dati derivano da diversi fattori. Il report di IBM ne evidenzia i quattro più importanti: perdita di opportunità commerciali, rilevamento ed escalation, risposta post-violazione e notifica.

La perdita di opportunità commerciali, ricavi e clienti derivante da una violazione costa alle organizzazioni in media 1,38 milioni di dollari. Il prezzo per rilevare ed effettuare l'escalation di una violazione è ancora più alto, pari a 1,47 milioni di dollari. Le spese a seguito della violazione, tra cui sanzioni, accordi, spese legali, monitoraggio gratuito del credito ai clienti interessati e spese simili, costano alla vittima media della violazione 1,20 milioni di dollari.

I costi di notifica, che includono la segnalazione delle violazioni a clienti, autorità di regolamentazione e altre terze parti, sono i più bassi: 390.000 dollari. Tuttavia, gli obblighi di rendicontazione possono essere comunque onerosi e richiedere molto tempo.

• Il Cyber Incident Reporting for Critical Infrastructure Act del 2022 (CIRCIA) degli Stati Uniti impone alle organizzazioni operanti nel settore della sicurezza nazionale, della finanza e di altri settori designati di segnalare entro 72 ore al Department of Homeland Security gli incidenti di cybersecurity che interessano dati personali o operazioni di business.
  
  

• Le organizzazioni statunitensi soggette all'Health Insurance Portability and Accountability Act (HIPAA) devono informare il US Department of Health and Human Services, le persone interessate e talvolta i media in caso di violazione delle informazioni sanitarie protette.
  
  

• Ogni stato degli Stati Uniti ha le proprie leggi in materia di notifica delle violazioni dei dati.
  
  

• Il Regolamento generale sulla protezione dei dati (GDPR) impone alle aziende che intrattengono rapporti commerciali con i cittadini dell’UE di notificare alle autorità le violazioni entro 72 ore.
  

Le violazioni dei dati sono causate da:

• Errori innocenti, ad esempio un dipendente che invia tramite e-mail informazioni riservate alla persona sbagliata.
   

• Insider malevoli, tra cui dipendenti arrabbiati o licenziati che vogliono danneggiare l'azienda o causare danni reputazionali, e dipendenti avidi che vogliono trarre profitto dai dati dell'azienda. 
   

• Hacker, ovvero persone malintenzionate esterne che commettono crimini informatici intenzionali per rubare dati. Gli hacker possono agire da soli o all'interno di un gruppo organizzato.

Il profitto economico è la motivazione principale dietro la maggior parte delle violazioni di dati dannose. Gli hacker rubano numeri di carte di credito, conti bancari o altre informazioni finanziarie per sottrarre direttamente fondi a persone e aziende.

Alcuni aggressori rubano informazioni di identificazione personale (PII),come numeri di previdenza sociale e numeri di telefono, per il furto di identità, la stipula di prestiti e l'apertura di carte di credito a nome delle loro vittime. I criminali informatici possono anche vendere le informazioni di identificazione personale e le informazioni sui conti rubate sul dark web, dove possono ottenere fino a 500 USD per le credenziali di accesso alle banche.

Una violazione dei dati può anche rappresentare la prima fase di un attacco più ampio. Ad esempio, gli hacker potrebbero rubare le credenziali di accesso alla posta elettronica dei dirigenti aziendali e utilizzarle per commettere truffe di compromissione delle e-mail aziendali.

Una violazione dei dati potrebbe avere un obiettivo diverso dall'arricchimento personale. Organizzazioni senza scrupoli potrebbero rubare segreti commerciali ai concorrenti, mentre gli attori che operano a livello di stato/nazione potrebbero violare i sistemi governativi per rubare informazioni su delicati rapporti politici, operazioni militari o infrastrutture nazionali.

Le violazioni intenzionali dei dati causate da criminali informatici interni o esterni seguono lo stesso schema di base:

1.  Ricerca: il criminale informatico identifica un obiettivo e cerca i punti deboli che può utilizzare per introdursi nel sistema della vittima. Questi punti deboli possono essere di natura tecnica, come controlli di sicurezza inadeguati, o umana, come dipendenti esposti all'ingegneria sociale.
   
   
2. Attacco: il criminale informatico avvia un attacco utilizzando il metodo prescelto. L'autore dell'attacco potrebbe inviare un'e-mail di spear phishing, approfittare direttamente delle vulnerabilità del sistema, utilizzare credenziali di accesso rubate per assumere il controllo di un account o utilizzare altri vettori comuni di attacco nelle violazioni dei dati.
   
3. Compromissione dei dati: all'interno del sistema, l'aggressore individua i dati desiderati e fa ciò che è venuto a fare. Le tattiche più comuni includono la sottrazione dei dati per la vendita o l'utilizzo, la distruzione dei dati o il blocco dei dati per chiedere un riscatto.

Gli attori malintenzionati possono utilizzare diversi vettori o metodi di attacco per effettuare violazioni dei dati. Alcuni dei servizi più comuni comprendono:

La violazione avvenuta nel 2007 ai danni di TJX Corporation, la casa madre dei rivenditori TJ Maxx e Marshalls, è stata all'epoca la più grande e costosa violazione dei dati dei consumatori nella storia degli Stati Uniti. La privacy dei dati di circa 94 milioni di clienti è stata compromessa e l'azienda ha subito perdite finanziarie per oltre 256 milioni di dollari.

Gli hacker hanno avuto accesso ai dati installando degli sniffer di traffico sulle reti wireless di due negozi. Gli sniffer hanno permesso agli hacker di acquisire informazioni mentre venivano trasmesse dai registratori di cassa del negozio ai sistemi di back-end.

Nel 2013, Yahoo ha subito quella che potrebbe essere considerata la più grande violazione di dati della storia. Gli hacker hanno approfittato di una debolezza nel sistema di cookie dell'azienda per accedere a nomi, date di nascita, indirizzi e-mail e password di tutti i 3 miliardi di utenti Yahoo.

L'intera portata della violazione è venuta alla luce nel 2016, mentre Verizon era in trattativa per l'acquisto della società. Di conseguenza, Verizon ha ridotto l'offerta di acquisizione di 350 milioni di dollari.

Nel 2017, gli hacker hanno violato l'agenzia di controllo del credito Equifax e hanno potuto accedere ai dati personali di oltre 143 milioni di americani.

Gli hacker hanno sfruttato una debolezza non protetta nel sito web di Equifax per accedere alla rete. Gli hacker si sono poi spostati lateralmente su altri server per trovare numeri di previdenza sociale, numeri di patente e numeri di carte di credito. L'attacco è costato a Equifax 1,4 miliardi di dollari tra risarcimenti, multe e altri costi associati alla risoluzione della violazione.

Nel 2020, degli attori di minacce russi hanno eseguito un attacco a una supply chain hackerando il fornitore di software SolarWinds. Gli hacker hanno utilizzato la piattaforma di monitoraggio della rete dell'organizzazione, Orion, per distribuire malware ai clienti di SolarWinds.

Le spie russe hanno avuto accesso alle informazioni riservate di varie agenzie governative statunitensi, tra cui i dipartimenti del Tesoro, della Giustizia e di Stato, che utilizzano i servizi di SolarWinds.

Nel 2021, gli hacker hanno infettato i sistemi di Colonial Pipeline con un ransomware, costringendo l'azienda a chiudere temporaneamente l'oleodotto che riforniva il 45% del carburante della costa orientale degli Stati Uniti.

Gli hacker hanno violato la rete utilizzando la password di un dipendente, trovata sul dark web. La Colonial Pipeline Company ha pagato un riscatto di 4,4 milioni di dollari in criptovalute, ma le forze dell'ordine federali hanno potuto recuperare circa 2,3 milioni di dollari di tale pagamento.

Nell'autunno del 2023, gli hacker hanno rubato i dati di 6,9 milioni di utenti 23andMe. La violazione è stata grave per un alcuni di motivi. In primo luogo, poiché 23andMe effettua test genetici, gli aggressori hanno ottenuto informazioni non convenzionali e altamente personali, tra cui alberi genealogici e dati sul DNA.

In secondo luogo, gli hacker hanno violato gli account degli utenti attraverso una tecnica chiamata "credential stuffing". In questo tipo di attacco, gli hacker utilizzano credenziali precedentemente trapelate provenienti da altre fonti per entrare negli account non correlati degli utenti su piattaforme diverse. Questi attacchi funzionano perché molte persone riutilizzano le stesse combinazioni di nome utente e password su diversi siti.

Secondo il report Cost of a Data Breach 2025, in media ci vogliono 272 giorni per individuare e contenere una violazione attiva in tutti i settori. L'implementazione delle giuste soluzioni di sicurezza può aiutare le organizzazioni a rilevare e rispondere più rapidamente a queste violazioni.

Le misure standard di gestione del rischio, come valutazioni periodiche delle vulnerabilità, backup programmati, patch tempestive e configurazioni corrette del database, possono aiutare a prevenire alcune violazioni e ad attenuare il colpo quando queste si verificano.

Tuttavia, molte organizzazioni oggi implementano controlli e best practice più avanzati per bloccare un maggior numero di violazioni e mitigare in modo significativo i danni che causano.

Le organizzazioni possono implementare soluzioni specializzate per la sicurezza dei dati per rilevare e classificare automaticamente i dati sensibili, applicare la crittografia e altre protezioni e ottenere insight in tempo reale sull'utilizzo dei dati.

Le organizzazioni possono mitigare i danni derivanti dalle violazioni adottando piani formali di risposta agli incidenti per rilevare, contenere ed eliminare le minacce informatiche. Secondo il report Cost of a Data Breach 2025, la terza area di investimento nella sicurezza più popolare del 2025 è stata la pianificazione e il test IR, per il 35% di tutti gli intervistati.

Le organizzazioni che integrano ampiamente l'intelligenza artificiale (AI) e l'automazione nelle operazioni di sicurezza risolvono le violazioni 80 giorni più rapidamente rispetto a quelle che non lo fanno, secondo il report Cost of a data breach 2025. Il report ha inoltre rilevato che l'AI e l'automazione della sicurezza riducono il costo di una violazione media di 1,9 milioni di dollari, ovvero un risparmio di oltre il 34% (rispetto alle organizzazioni che non le utilizzano).

Molti strumenti per la sicurezza dei dati, la prevenzione della perdita di dati e la gestione delle identità e degli accessi ora incorporano l'AI e l'automazione.

Poiché gli attacchi di ingegneria sociale e phishing sono le principali cause delle violazioni, la formazione dei dipendenti per riconoscere ed evitare questi attacchi può ridurre il rischio di violazione dei dati di un'azienda. Inoltre, la formazione dei dipendenti in merito alla corretta gestione dei dati può aiutare a prevenire violazioni accidentali e perdite di dati.

Password manager, autenticazione a due fattori (2FA) o autenticazione a più fattori (MFA), single sign-on (SSO) e altri strumenti di gestione delle identità e degli accessi (IAM) possono proteggere account, VPN e credenziali dei dipendenti dal furto.

Le organizzazioni possono anche applicare controlli degli accessi basati sui ruoli e il principio del privilegio minimo per limitare l'accesso dei dipendenti solo ai dati di cui hanno bisogno per i loro ruoli. Queste politiche possono aiutare a bloccare le minacce interne e gli hacker che violano gli account legittimi.