Tra il 28 gennaio 2025 e il 27 gennaio 2026, le notifiche di data breach sono salite da una media di 363 a 443 al giorno. Un incremento che, pur non essendo direttamente causale, si inserisce in un contesto segnato da tensioni geopolitiche, dall’evoluzione delle minacce abilitate dall’intelligenza artificiale e da una serie di attacchi informatici di grande impatto mediatico che hanno causato gravi interruzioni operative a livello globale. Secondo il report GDPR Fines and Data Breach Survey di DLA Piper, questo aumento conferma l’emergere di un livello di rischio cyber senza precedenti, rafforzando la necessità per le organizzazioni di investire in sicurezza e resilienza operativa. Paesi Bassi, Germania e Polonia si confermano i Paesi con il maggior numero di violazioni notificate nel periodo analizzato.
Sanzioni stabili, controlli elevati
Le sanzioni GDPR per 1,2 miliardi di euro inflitte nel 2025 risultano sostanzialmente in linea con l’anno precedente. L’assenza di una crescita ulteriore non segnala un rallentamento, ma piuttosto la stabilità di un enforcement particolarmente rigoroso, a conferma della determinazione delle autorità europee ad applicare sanzioni significative, nonostante le critiche provenienti da fuori UE.
Come negli anni passati, l’azione di enforcement si è concentrata soprattutto sulle grandi aziende tecnologiche e dei social media, che rappresentano nove delle dieci sanzioni GDPR più elevate mai irrogate.
Uno sguardo oltre la big tech
Pur restando al centro dell’attenzione regolatoria, la big tech non è più l’unico obiettivo. Le autorità stanno ampliando il raggio d’azione a settori come servizi finanziari, telecomunicazioni, utilities e fornitori di servizi tecnologici.
Il 2025 segna inoltre un passaggio rilevante: per la prima volta è stata inflitta una sanzione di rilievo per il trasferimento di dati personali verso un Paese terzo non statunitense. La multa da 530 milioni di euro riguarda il trasferimento di dati verso la Cina, senza garanzie di un livello di protezione sostanzialmente equivalente a quello europeo. Un segnale che le restrizioni GDPR sui trasferimenti internazionali rappresentano una sfida globale, non limitata ai flussi di dati verso gli Stati Uniti.
Le autorità continuano infine a focalizzarsi su liceità, correttezza e trasparenza del trattamento, oltre che sulla sicurezza dei dati personali, sanzionando carenze nelle misure tecniche e organizzative.
Il commento
Giulio Coraggio, partner responsabile del dipartimento Intellectual Property and Technology di DLA Piper in Italia, commenta:
«Il dato più evidente di questo report è la conferma che il panorama delle minacce cyber ha raggiunto un livello senza precedenti. In Italia questo fenomeno è particolarmente rilevante: l’elevato numero di data breach notificati dimostra come le organizzazioni siano sempre più esposte a incidenti che producono effetti immediati non solo sul piano tecnologico, ma anche su quello legale e reputazionale.
Se guardiamo specificatamente all’Italia, negli ultimi anni il Garante per la protezione dei dati personali ha mostrato un approccio molto attivo e articolato. Da un lato, ha intensificato i controlli sulla sicurezza dei trattamenti e sulla gestione degli incidenti, intervenendo anche con provvedimenti correttivi e prescrittivi; dall’altro, ha utilizzato in modo crescente misure come limitazioni o blocchi dei trattamenti, soprattutto nei casi di carenze strutturali in termini di liceità, trasparenza e governance.
Questo approccio emerge con forza anche sul fronte dell’innovazione tecnologica. Il Garante italiano è stato tra i primi in Europa a intervenire su sistemi di AI generativa, richiamando l’attenzione su basi giuridiche del trattamento, obblighi informativi e tutela dei minori, ben prima dell’entrata in applicazione del nuovo quadro normativo europeo sull’AI. È un segnale chiaro che, anche in Italia, l’uso dei dati in contesti innovativi è già oggi oggetto di scrutinio regolatorio stringente.
Il fatto che le sanzioni complessive a livello europeo siano rimaste stabili intorno a 1,2 miliardi di euro non indica un allentamento dell’enforcement. Al contrario, nel contesto italiano l’azione dell’autorità dimostra che il rischio per le imprese non si esaurisce nella multa, ma comprende l’impatto operativo di ordini di adeguamento, sospensioni dei trattamenti e possibili effetti sul business».
