Il Garante per la protezione dei dati personali ha sanzionato The European House – Ambrosetti spa con una multa da 85.000 euro per gravi carenze di sicurezza emerse dopo un data breach che ha coinvolto 61.670 persone. L’Autorità ha contestato alla società di consulenza strategica violazioni del GDPR legate alla gestione delle password, alla conservazione eccessiva dei dati e al ritardo nella comunicazione agli interessati. Il provvedimento pubblicato nella newsletter del 21 maggio 2026 evidenzia come le misure tecniche adottate dalla società non fossero adeguate a proteggere i dati personali trattati. L’incidente ha esposto nomi, cognomi, indirizzi email, username e password di dipendenti di aziende clienti e di personale interno che utilizzavano i servizi online di Ambrosetti. Il Garante ha rilevato che una parte delle password veniva conservata in chiaro mentre un’altra utilizzava tecniche crittografiche considerate non conformi agli standard di sicurezza attuali. Inoltre la società manteneva credenziali relative a sistemi non più attivi, violando il principio di limitazione della conservazione previsto dal regolamento europeo. La notifica all’Autorità è avvenuta entro le 72 ore previste dalla normativa ma la comunicazione diretta agli utenti coinvolti è arrivata soltanto circa due mesi dopo e solo in seguito a un intervento correttivo del Garante.
Cosa leggere
Il Garante contesta ad Ambrosetti violazioni nella sicurezza delle password
Il Garante privacy ha irrogato la sanzione amministrativa dopo avere ricostruito le modalità dell’accesso non autorizzato ai sistemi di The European House – Ambrosetti. La violazione è stata causata da una vulnerabilità tecnica che ha consentito l’esfiltrazione di dati personali relativi a decine di migliaia di utenti. Secondo quanto emerso dall’istruttoria, le misure di sicurezza implementate dalla società non risultavano adeguate rispetto alla natura dei dati trattati e al livello di rischio. Il punto più critico riguarda la gestione delle credenziali di accesso. Una parte delle password risultava infatti conservata in chiaro mentre altre utilizzavano algoritmi crittografici considerati deboli o superati. Il GDPR, attraverso l’articolo 32, impone invece l’adozione di misure tecniche e organizzative adeguate a garantire la sicurezza dei dati personali, soprattutto quando si trattano informazioni sensibili o credenziali di autenticazione. Per l’Autorità, la società avrebbe dovuto adottare sistemi di hashing avanzato, segmentazione dei dati e policy di sicurezza più rigorose per ridurre il rischio di compromissione.
Il data breach ha coinvolto oltre 61mila persone tra clienti e dipendenti
L’incidente ha coinvolto 61.670 soggetti, tra dipendenti di aziende clienti e personale interno della stessa Ambrosetti. I dati compromessi includevano informazioni identificative dirette come nomi, cognomi e indirizzi email ma soprattutto username e password potenzialmente riutilizzabili su altre piattaforme online. Questo aspetto ha aumentato significativamente il rischio per gli interessati, poiché credenziali sottratte possono essere utilizzate in campagne di credential stuffing, accessi non autorizzati e ulteriori attività fraudolente. Il Garante ha sottolineato come il rischio elevato per i diritti e le libertà delle persone coinvolte imponesse una comunicazione rapida e trasparente agli utenti colpiti. La società ha notificato l’incidente entro i termini previsti di 72 ore ma non ha informato immediatamente gli interessati. La comunicazione diretta è arrivata infatti soltanto circa due mesi dopo, in seguito a un provvedimento specifico dell’Autorità. Questo ritardo costituisce uno degli elementi centrali della contestazione perché ha impedito agli utenti di adottare tempestivamente misure di protezione come il cambio password o il monitoraggio delle attività sospette.
Credenziali obsolete e conservazione eccessiva aggravano la posizione della società
Tra le violazioni contestate compare anche la gestione non corretta della conservazione dei dati. Il Garante privacy ha rilevato che Ambrosetti manteneva credenziali relative a sistemi e servizi non più attivi, in contrasto con il principio di limitazione della conservazione previsto dal GDPR. Secondo la normativa europea, i dati personali devono essere conservati soltanto per il tempo strettamente necessario rispetto alle finalità per cui vengono trattati. La presenza di credenziali obsolete ha invece ampliato inutilmente la superficie di rischio esposta all’attacco informatico. Questo aspetto rappresenta uno dei problemi più frequenti nelle violazioni di sicurezza moderne: database legacy, archivi dimenticati e vecchie infrastrutture continuano spesso a contenere dati sensibili senza adeguati controlli di sicurezza. Nel caso di The European House – Ambrosetti, il Garante ha evidenziato come una gestione più rigorosa del ciclo di vita dei dati avrebbe potuto ridurre l’impatto dell’incidente. L’Autorità richiama quindi tutte le aziende che trattano grandi volumi di dati personali a verificare periodicamente sistemi, archivi e credenziali non più necessari.
Il Garante richiama le aziende sull’obbligo di trasparenza nei data breach
Con questo provvedimento il Garante per la protezione dei dati personali ribadisce che le esigenze reputazionali delle aziende non possono prevalere sui diritti degli utenti coinvolti in una violazione di dati personali. La tempestività nella comunicazione agli interessati rappresenta infatti uno degli elementi fondamentali del sistema introdotto dal GDPR. Informare rapidamente le persone colpite permette di ridurre i danni derivanti da possibili furti di identità, accessi abusivi e compromissioni di account personali o aziendali. Nel caso di Ambrosetti, l’Autorità ha ritenuto che il ritardo nella comunicazione abbia limitato la possibilità per gli utenti di proteggersi in modo efficace. Il provvedimento assume quindi un valore che va oltre la singola sanzione economica e diventa un messaggio rivolto a tutte le imprese che gestiscono piattaforme digitali, database clienti e servizi online. Le aziende devono predisporre procedure interne chiare per la gestione degli incidenti di sicurezza, prevedendo monitoraggio continuo, risposta rapida e comunicazioni immediate verso utenti e autorità competenti.
Il caso Ambrosetti mostra i rischi della gestione debole delle credenziali
La sanzione contro The European House – Ambrosetti evidenzia ancora una volta quanto la gestione delle credenziali resti uno degli aspetti più critici nella sicurezza informatica aziendale. Password conservate in chiaro, algoritmi obsoleti e archivi legacy rappresentano vulnerabilità che continuano a comparire anche in organizzazioni strutturate e ad alta esposizione pubblica. Il caso dimostra inoltre come il rispetto formale dei tempi di notifica al Garante non sia sufficiente se manca una comunicazione tempestiva e completa verso gli utenti coinvolti. Il GDPR non impone soltanto obblighi burocratici ma richiede un approccio sostanziale alla protezione dei dati personali, fondato su prevenzione, minimizzazione del rischio e trasparenza. In un contesto in cui i data breach aumentano costantemente e le credenziali rubate alimentano mercati criminali online, le aziende devono considerare la sicurezza non come un costo accessorio ma come una componente essenziale della governance digitale. Il provvedimento del Garante contro Ambrosetti diventa così un segnale importante per tutto il settore della consulenza, dei servizi professionali e delle imprese che trattano grandi quantità di dati personali.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
