L’ottava edizione del “GDPR Fines and Data Breach Survey 2026” di DLA Piper lancia un campanello d’allarme che risuona forte nel panorama della sicurezza digitale contemporanea.

Quando le notifiche di data breach in Europa passano da 363 a 443 al giorno – un aumento del 22% – non stiamo assistendo a un semplice trend statistico, ma alla materializzazione di una nuova realtà in cui le organizzazioni operano sotto costante assedio digitale.

Il contesto è inequivocabile: le autorità europee hanno inflitto sanzioni GDPR per circa 1,2 miliardi di euro negli ultimi dodici mesi.

Mentre i giganti tecnologici e dei social media restano i principali destinatari delle sanzioni più pesanti – con l‘Irlanda che guida con 4,04 miliardi di euro dal 2018 – le autorità stanno progressivamente spostando l’attenzione verso settori tradizionalmente meno esposti: servizi finanziari, telecomunicazioni, utilities e fornitori tecnologici.

Per l’Italia, i 2.465 breach segnalati nel 2025 testimoniano come il nostro Paese non sia immune dalle sfide europee. Come sottolinea Ross McKean di DLA Piper UK, il panorama delle minacce cyber ha raggiunto un livello senza precedenti.

La tempesta perfetta: AI, geopolitica e nuove vulnerabilità

Il 2025 ha visto convergere fattori che hanno creato una “tempesta perfetta” per la sicurezza dei dati.

Le tensioni geopolitiche hanno intensificato l’attività di threat actors sponsorizzati da Stati, mentre l’intelligenza artificiale ha democratizzato l’accesso a strumenti di attacco sofisticati.

L’AI generativa ha rivoluzionato le modalità di attacco: dove un tempo servivano competenze avanzate per creare phishing convincente o identificare vulnerabilità, oggi chiunque può usare modelli linguistici per generare comunicazioni fraudolente indistinguibili da quelle legittime.

Questa democratizzazione della capacità offensiva spiega l’impennata del 22% nelle notifiche, rompendo il plateau degli anni precedenti. Il report evidenzia anche l’attenzione crescente verso la sicurezza della supply chain.

Non basta proteggere i sistemi interni: la responsabilità si estende all’intera catena del valore digitale.

Processori e controller sono ugualmente passibili di sanzioni, riflettendo la comprensione che la sicurezza è forte solo quanto l’anello più debole.

Oltre le sanzioni: l’impatto che va oltre il GDPR

Le multe rappresentano solo la punta dell’iceberg. Il report cita sentenze della Corte di Giustizia Ue su richieste di risarcimento per danni non materiali – un’area in crescita esponenziale che aggiunge ulteriori rischi finanziari.

L’impatto di una violazione è multidimensionale.

Sul piano reputazionale, può tradursi in perdita di fiducia che richiede anni per essere ricostruita. Nel settore finanziario, dove la fiducia è l’asset fondamentale, un breach può causare un esodo di clienti ben più costoso di qualsiasi multa.

Sul piano operativo, l’interruzione dei servizi può paralizzare intere organizzazioni e propagarsi attraverso ecosistemi interconnessi. Strategicamente, le aziende colpite devono destinare risorse ingenti al ripristino, sottraendole a innovazione e crescita.

Il fattore umano: la prima linea di difesa sottovalutata

Qui arriviamo al cuore della questione: il fattore umano. I sistemi più avanzati servono a poco se chi li utilizza non è formato sui rischi. La ricerca è unanime: la maggioranza delle violazioni sfrutta l’errore umano come vettore d’ingresso – dal click su phishing, alla configurazione errata di servizi cloud, alla condivisione di informazioni via canali non sicuri.

Eppure, quando si allocano budget per la cyber security, la formazione riceve spesso una frazione delle risorse destinate alle tecnologie.

Questo è un paradosso fondamentale: investiamo milioni in protezioni, ma trascuriamo di equipaggiare le persone con competenze e consapevolezza per usarle in sicurezza.

La formazione, dunque, non può ridursi a un esercizio annuale di compliance con moduli eLearning standardizzati, cioè a un approccio che produce risultati minimi in termini di cambiamento comportamentale.

Una formazione efficace deve essere continua e progressiva: sessioni brevi e frequenti su minacce attuali sono più efficaci di corsi annuali onnicomprensivi.

Deve essere contestualizzata: finance, IT e marketing affrontano rischi diversi e servono esempi concreti per ciascun ruolo. Deve essere pratica: simulazioni di phishing, esercizi tabletop e wargames creano un apprendimento duraturo.

Deve essere supportata da strumenti accessibili: linee guida chiare su gestione password, uso VPN, identificazione email sospette, segnalazione incidenti. Infine, deve essere integrata nella cultura: la sicurezza non è responsabilità solo dell’IT, ma un valore condiviso dal CEO all’ultimo assunto.

Ma certo la leadership ha maggiori responsabilità, quanto meno nel dare il “giusto esempio”.

Quando dirigenti e manager dimostrano con azioni quotidiane l’importanza della sicurezza – seguendo le stesse procedure, partecipando attivamente, discutendo apertamente di rischi – il messaggio diventa credibile.

Le nuove normative introducono responsabilità personali per i membri degli organi di gestione, riflettendo che la sicurezza non è questione tecnica, ma responsabilità di governance al più alto livello.

Investire nelle persone per proteggere i dati

I dati del report DLA Piper dipingono un quadro chiaro: viviamo in un’era di rischio cyber permanente ed elevato.

Le 443 notifiche di breach al giorno in Europa non sono anomalia temporanea, ma il riflesso di un ecosistema sotto costante pressione.

Le organizzazioni hanno investito massicciamente in tecnologie di sicurezza, investimenti assolutamente necessari. Ma la tecnologia da sola non basta.

Il picco nelle violazioni e la severità delle sanzioni dimostrano che servono approcci olistici integrando protezioni tecniche, processi robusti e persone consapevoli.

La formazione del personale e la fornitura di strumenti operativi non sono opzionali, ma componenti essenziali della strategia di difesa.

Rappresentano la prima linea che può prevenire incidenti prima che le tecnologie di detection debbano intervenire.

In un panorama dove le sanzioni GDPR raggiungono cifre miliardarie, dove i costi reputazionali di un breach possono essere devastanti, e dove le responsabilità personali dei dirigenti sono sempre più marcate, investire nella consapevolezza del personale non è solo etico – è strategicamente imperativo ed economicamente razionale.

Le organizzazioni che comprenderanno questa lezione costruiranno la resilienza necessaria per prosperare nel futuro digitale e interconnesso.

Il messaggio del report è chiaro: nell’era della trasformazione digitale, la sicurezza è responsabilità di tutti, e questo “tutti” deve essere adeguatamente formato, equipaggiato e messo nelle condizioni di fare la differenza.