Una sintesi essenziale del principio che si può estrarre dal provv. n. 271 del 29 aprile 2025 dell’Autorità Garante per la protezione dei dati personali potrebbe essere: no budget? non parti! Ovviamente con il trattamento, perché per andare in vacanza o in altri luoghi (che è bene non precisare) c’è sempre tempo.

Per capire meglio questo principio di carattere generale e la sua applicazione pratica, bisogna unzippare il provvedimento che inizia con un data breach e (spoiler!) si conclude con una sanzione di 30 mila euro “per la molteplice violazione degli artt. 5, par. 1, lett. f), e 32, par. 1, del Regolamento”.

Ovverosia, rispettivamente, il principio di integrità e riservatezza:

dati sono: (…) trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali.

e l’obbligo generale in capo a titolari e responsabili di predisporre misure di sicurezza adeguate al rischio:

Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio (…).

Come detto, il fatto che ha portato all’apertura dell’istruttoria è stato un evento di violazione dei dati personali, o data breach, che è stato notificato al Garante Privacy come prescritto dall’art. 33 GDPR e che è consistito in un attacco ransomware con esfiltrazione e pubblicazione dei dati.

In seguito alla richiesta di informazioni, contrariamente a quanto affermato all’interno delle difese, è stato però accertata la mancata adozione di misure adeguate a rilevare le violazioni dei dati personali nonostante l’adozione delle misure indicate come “standard” all’interno della Circolare AgID. Nello specifico, non era stata implementata un’attività di monitoraggio delle anomalie su accessi e operazioni, né un sistema di alert. Il tutto, motivato dalla carenza di personale e budget limitato.

Motivazioni che però non hanno superato le contestazioni del Garante Privacy.

L’unica certezza è che se c’è un data breach, qualcosa non ha funzionato.

Quando c’è una violazione di sicurezza, qualcosa non ha funzionato. Contrariamente a quanto prospettato all’interno delle difese, l’attacco “particolarmente sofisticato ed elusivo” in quanto l’esfiltrazione di dati è avvenuta progressivamente nel tempo in orario notturno e giorni festivi senza superare la soglia media di traffico, il Garante ha ritenuto invece che un sistema di alert avrebbe ben potuto consentire di rilevare questi eventi di sicurezza:

Tali meccanismi automatici, ove opportunamente configurati e presidiati, consentono, infatti, di rilevare eventi che, proprio per le particolari accortezze impiegate dagli attaccanti, possono sfuggire al controllo umano, mettendo in rilevo determinati eventi (es. traffico in orario notturno o in giorni festivi, in giorni in cui non sono previsti interventi di manutenzione programmati) ancorché non significativi sul piano statistico (es. traffico in linea con la soglia di traffico medio giornaliero).

Per quanto infatti in un’istruttoria ci possa essere il terribile pericolo di un post hoc ergo propter hoc, ovverosia assumere che un evento successivo (data breach) sia stato causato dal precedente (inadeguatezza delle misure di sicurezza), ciò che è al centro della scena sono gli aspetti di gestione. Partendo dal fatto innegabile che se c’è stata una violazione di sicurezza qualcosa non ha funzionato, l’istruttoria ricostruisce le responsabilità in concreto del titolare. Che in questi casi riguardano, ad esempio, l’analisi dei rischi e la predisposizione di misure di mitigazione. E no, nella maggior parte dei casi non si può parlare di eventi che siano assolutamente imprevedibili né inevitabili. Quei rari cigni neri della cybersecurity sono talmente autoevidenti da non richiedere alcuna spiegazione a riguardo. Semmai sono eventi indesiderati, soprattutto per gli interessati.

Fra i requisiti del GDPR c’è infatti la corretta gestione della sicurezza, per cui si deve tenere conto dello stato dell’arte e dei costi di attuazione. Attenzione, però: questo non significa poter diminuire in alcun modo il livello di sicurezza, ma al contrario impone un ragionamento continuo che comporti anche il verificare che le misure adottate siano efficaci nel mitigare i rischi derivanti dai trattamenti. Anzi: il parametro del costo rappresenta un fattore di cui tenere conto per selezionare misure alternative e di pari efficacia, in un’ottica di semplificazione e ottimizzazione. In alcun modo può essere una scusa o giustificare l’inazione, perché è responsabilità del titolare mettere a budget la sicurezza nella gestione complessiva dei costi.

Lo stato dell’arte, in quanto concetto intrinsecamente dinamico, segue i progressi tecnologici, richiamando così l’attenzione sull’essere informati su opportunità e rischi nonché sull’aggiornare le misure in modo tale che siano in grado di fronteggiare le minacce emergenti. Ovviamente, secondo le conoscenze e i mezzi disponibili sul mercato.

Questo significa che adottare alcune misure minime, come quelle AgID, può non essere sufficiente.

Come è accaduto in questo caso. Sia dal punto di vista della realtà dei fatti, che per quanto riguarda gli aspetti sanzionatori.

Le misure “a catalogo” non bastano.

In realtà le misure minime non sono mai bastate, neanche in vigenza del Codice Privacy e dell’art. 33 che contemplava delle misure minime, dal momento che comunque l’art. 31 prevedeva:

I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta

Ciononostante, il catalogo delle misure indicate da AgID come di livello “standard” (Circolare n. 2/2017 del 18 aprile 2017, “misure minime di sicurezza ICT per le pubbliche amministrazioni”), pur adottate, rappresentano solo una soglia minima di adempimento a cui devono essere aggiunte, se del caso, misure ulteriori.

Insomma: sono misure necessarie ma non sufficienti a dimostrare una gestione adeguata della sicurezza. Quindi, da sole non garantiscono il rispetto degli obblighi di sicurezza dal momento che sono state scritte per fornire indicazioni di carattere generale e diffuso per assicurare un minimo livello di protezione nella maggior parte delle situazioni (con l’indicazione di individuarne di più specifiche e adatte a raggiungere gli obiettivi di sicurezza di ciascuna PA), peraltro risalenti allo stato dell’arte vigente al momento della loro emanazione: fanno infatti riferimento a criteri di controllo del 2015, non sono state aggiornate e hanno skippato alla grande quel piccolo cambio di scenario dovuto a pandemia e guerra ibrida.

Il Garante Privacy conferma così l’esigenza di svolgere un’analisi dei rischi ed aggiornarla, potendo ben prendere come riferimento delle misure “a catalogo” senza però indulgere troppo nella convinzione che possano essere scollegate dal contesto o realizzino un “sempre e per sempre”.

Altrimenti, sarà una favola senza lieto fine.

E non c’è scusa di budget che tenga.

L'articolo Garante Privacy: non si scherza sul budget per la sicurezza dei dati personali. proviene da il blog della sicurezza informatica.

Modern multi-material printers certainly have their advantages, but all that purging has a way to add up to oodles of waste. Tool-changing printers offer a way to do multi-material prints without the purge waste, but at the cost of complexity. Plastic’s cheap, though, so the logic has been that you could never save enough on materials cost to make up for the added capital cost of a tool-changer — that is, until now.

Currently active on Kickstarter, the Snapmaker U1 promises to change that equation. [Albert] got his hands on a pre-production prototype for a review on 247Printing, and what we see looks promising.

The printer features the ubiquitous 235 mm x 235 mm bed size — pretty much the standard for a printer these days, but quite a lot smaller than the bed of what’s arguably the machine’s closest competition, the tool-changing Prusa XL. On the other hand, at under one thousand US dollars, it’s one quarter the price of Prusa’s top of the line offering. Compared to the XL, it’s faster in every operation, from heating the bed and nozzle to actual printing and even head swapping. That said, as you’d expect from Prusa, the XL comes dialed-in for perfect prints in a way that Snapmaker doesn’t manage — particularly for TPU. You’re also limited to four tool heads, compared to the five supported by the Prusa XL.

The U1 is also faster in multi-material than its price-equivalent competitors from Bambu Lab, up to two to three times shorter print times, depending on the print. It’s worth noting that the actual print speed is comparable, but the Snapmaker takes the lead when you factor in all the time wasted purging and changing filaments.

The assisted spool loading on the sides of the machine uses RFID tags to automatically track the colour and material of Snapmaker filament. That feature seems to take a certain inspiration from the Bambu Labs Mini-AMS, but it is an area [Albert] identifies as needing particular attention from Snapmaker. In the beta configuration he got his hands on, it only loads filament about 50% of the time. One can only imagine the final production models will do better than that!

In spite of that, [Albert] says he’s backing the Kickstarter. Given Snapmaker is an established company — we featured an earlier Snapmaker CNC/Printer/Laser combo machine back in 2021— that’s less of a risk than it could be.

youtube.com/embed/oWUTe1TjjKA?…

hackaday.com/2025/08/27/a-tool…