GDPR per piccole imprese: 3 errori sulle password da evitare

GDPR per piccole imprese: schermata di login di uno studio professionale con focus sulla sicurezza delle password

Quando si parla di GDPR per piccole imprese, l’attenzione finisce quasi sempre su moduli di consenso e informative. Ma una parte enorme delle sanzioni e dei danni reali nasce molto più in basso, da qualcosa che diamo per scontato ogni giorno: le password e la gestione degli accessi. Sono tre gli errori che ritroviamo regolarmente negli studi professionali — e si correggono in mezza giornata di lavoro.

Il tema è tutt’altro che teorico. Secondo il piano ispettivo reso noto per il primo semestre del 2026, il Garante per la protezione dei dati personali ha programmato un numero consistente di verifiche in collaborazione con la Guardia di Finanza, con un’attenzione dichiarata proprio ai data breach (Federprivacy). In parallelo, la cronaca degli ultimi mesi conferma che gli attacchi non colpiscono solo le grandi organizzazioni: nella sola primavera 2026 diverse imprese italiane di piccola e media dimensione — tra cui realtà del territorio pugliese — sono finite sui siti dei gruppi ransomware. Il messaggio è chiaro: anche una struttura piccola e ben avviata può essere colpita e, se non era in regola, sanzionata.


Errore 1: password salvate “in chiaro” o protette con metodi superati

È l’errore più grave e, purtroppo, ancora diffuso. Significa che le credenziali degli utenti — o quelle che lo studio usa per i propri gestionali — sono conservate in un modo che, in caso di furto del database, le rende immediatamente leggibili.

GDPR per piccole imprese: audit di sicurezza in uno studio professionale; verifica degli accessi e delle credenziali

Nel linguaggio tecnico si parla di “hashing”: un buon sistema non salva mai la password così com’è, ma una sua versione trasformata e non reversibile, con algoritmi aggiornati. Molti software datati, o configurati male, usano ancora metodi obsoleti facilmente “decifrabili”.

Come si verifica e si corregge: si controlla con quali sistemi vengono gestite le credenziali dei gestionali e dei portali dello studio, si dismettono i software che non rispettano gli standard attuali e si adotta un gestore di password aziendale, in modo che nessuno debba più annotare credenziali su file di testo, post-it o rubriche.


Errore 2: credenziali di sistemi dismessi mai rimosse

Ogni studio accumula, negli anni, account che non servono più: l’email di un ex collaboratore, l’accesso a un software che non si usa da tempo, il portale di un fornitore cambiato. Finché restano attivi, sono porte aperte. E spesso nessuno se ne ricorda finché non vengono usate da qualcuno che non dovrebbe.

Il rischio è doppio: da un lato un accesso non più presidiato è il bersaglio ideale per chi vuole entrare senza farsi notare; dall’altro, sul piano del GDPR, mantenere attivi account e dati non più necessari viola direttamente il principio di minimizzazione.

La procedura corretta: alla cessazione di ogni collaborazione o servizio, prevedere una checklist di dismissione che disattivi gli accessi, revochi le autorizzazioni e archivi o cancelli i dati non più necessari. Una verifica periodica degli account attivi — almeno due volte l’anno — chiude le porte rimaste aperte.


Errore 3: notifica del data breach in ritardo

Quando si verifica una violazione dei dati, il GDPR impone tempi stretti: la notifica al Garante va fatta, nei casi previsti, entro 72 ore dal momento in cui si viene a conoscenza dell’incidente. Sembra ampio, ma senza un piano già pronto quelle ore evaporano nel panico — tra il capire cosa è successo, chi è stato coinvolto e come comunicarlo.

Il problema non è quasi mai la cattiva volontà: è l’assenza di una procedura predisposta prima dell’incidente. Chi non sa in anticipo chi chiamare, quali informazioni raccogliere e con quale modello notificare, arriva quasi sempre fuori tempo massimo — e il ritardo è esso stesso una violazione sanzionabile.

Cosa serve avere pronto: un piano di risposta agli incidenti con ruoli definiti, un modello di notifica precompilato nelle parti fisse, e un registro dove annotare l’evento. Materiale che si prepara una volta e si tiene aggiornato, ma che il giorno dell’incidente fa la differenza tra una gestione ordinata e un disastro.


Perché gli studi professionali finiscono nel mirino

A proposito del GDPR per piccole imprese, commercialisti, avvocati, consulenti del lavoro custodiscono una concentrazione di dati molto appetibile: bilanci, dichiarazioni fiscali, dati personali e spesso particolari dei clienti, documenti riservati. A questa ricchezza di informazioni si accompagna, frequentemente, una struttura informatica interna leggera e nessuna figura dedicata alla sicurezza. È la combinazione che rende uno studio un bersaglio più conveniente di una grande azienda dotata di difese robuste.

A questo si aggiunge un fattore di stagionalità che chi lavora nel settore conosce bene: perdere l’accesso ai dati a ridosso delle scadenze fiscali non è solo un problema tecnico, è un danno operativo e reputazionale immediato.


La checklist di autovalutazione in 5 punti

In circa 30 minuti puoi capire se il tuo studio è esposto agli stessi tre errori:

  • Le password dei gestionali sono gestite con un sistema dedicato, o annotate su file e fogli?
  • Esiste un elenco aggiornato degli account attivi, con un responsabile che lo verifica?
  • Gli accessi di ex collaboratori e fornitori passati sono stati tutti disattivati?
  • È prevista l’autenticazione a due fattori sui sistemi che contengono dati dei clienti?
  • Esiste un piano scritto su cosa fare nelle prime 72 ore dopo una violazione?

Se a una sola di queste domande la risposta è “no” o “non lo so”, lo studio è esposto.


Come interveniamo con un audit mirato

Il nostro servizio di audit e analisi delle vulnerabilità mappa i punti deboli dello studio — dalla gestione delle credenziali agli accessi dimenticati, fino alla preparazione in caso di incidente — e definisce le contromisure in ordine di priorità. Non un documento da archiviare, ma un piano d’azione concreto e proporzionato alla dimensione reale dello studio.

La domanda giusta non è “mi capiterà mai?”, ma “cosa farò il giorno che mi capita?”. Il nostro referente è disponibile per un’analisi gratuita dello stato di sicurezza del tuo studio, senza impegno.

Richiedi un’analisi gratuita — daveastudio.it/sicurezza-informatica-per-pmi/


Fonti: