{"id":235,"date":"2026-06-19T07:00:00","date_gmt":"2026-06-19T07:00:00","guid":{"rendered":"https:\/\/shattered.io\/it\/?p=235"},"modified":"2026-06-19T08:46:41","modified_gmt":"2026-06-19T08:46:41","slug":"gdpr-sanzioni-record-europa-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/it\/2026\/06\/19\/gdpr-sanzioni-record-europa-2026\/","title":{"rendered":"GDPR 2026: \u20ac7,1 Miliardi di Sanzioni, TikTok \u20ac530M e 443 Violazioni al Giorno"},"content":{"rendered":"\n

Da quando il Regolamento Generale sulla Protezione dei Dati \u00e8 entrato in vigore nel maggio 2018, le autorit\u00e0 europee hanno inflitto sanzioni per un totale superiore a \u20ac7,1 miliardi<\/strong>, con oltre 3.194 azioni di contrasto<\/strong> documentate fino a met\u00e0 2026. Il 2025 ha chiuso con circa \u20ac1,2 miliardi<\/strong> di sanzioni in dodici mesi, confermando la portata dell’enforcement. TikTok \u00e8 stata colpita per \u20ac530 milioni<\/strong> per trasferimenti illeciti verso la Cina, Google per \u20ac325 milioni<\/strong> sulle pubblicit\u00e0 Gmail, e in Italia il Garante ha sanzionato Enel Energia per \u20ac79 milioni<\/strong> di telemarketing abusivo. Intanto le notifiche di violazione dei dati raggiungono oggi una media di 443 al giorno<\/strong>, il 22% in pi\u00f9 rispetto all’anno precedente.<\/p>\n\n\n\n

Un totale che supera i \u20ac7 miliardi: otto anni di GDPR<\/h2>\n\n\n\n

Il GDPR \u00e8 entrato in vigore il 25 maggio 2018 con l’obiettivo di trasformare in modo strutturale la gestione dei dati personali nell’Unione Europea. Otto anni dopo, i numeri mostrano un enforcement in crescita costante. Secondo i dati aggregati del rapporto DLA Piper GDPR Fines and Data Breach Survey (gennaio 2026) e del GDPR Enforcement Tracker 2026<\/a>, le sanzioni cumulative hanno superato la soglia dei \u20ac7,1 miliardi<\/strong>, distribuite su oltre 2.245 provvedimenti documentati<\/strong>. La banca dati CMS.law registra un totale di \u20ac6,31 miliardi<\/strong> su 3.194 azioni formali<\/strong>, una differenza che riflette i criteri di classificazione diversi adottati dalle singole autorit\u00e0 nazionali.<\/p>\n\n\n\n

L’Irlanda si conferma il paese con il valore cumulativo pi\u00f9 alto: \u20ac4,04 miliardi<\/strong> di sanzioni, pari al 57%<\/strong> del totale europeo. Il dato riflette la scelta di quasi tutti i grandi gruppi tecnologici americani di stabilire la sede europea a Dublino, rendendo la Irish Data Protection Commission (DPC) il loro regolatore principale. Francia, Lussemburgo e Germania seguono con valori complessivi superiori ai \u20ac200 milioni<\/strong> ciascuno.<\/p>\n\n\n\n

Pasquale Stanzione, Presidente del Garante per la protezione dei dati personali, ha pi\u00f9 volte chiarito la posizione dell’autorit\u00e0 italiana: “Il rispetto delle norme sulla privacy non \u00e8 un costo aggiuntivo ma un investimento nella fiducia dei clienti e nella reputazione aziendale. Le sanzioni che emettiamo servono a correggere comportamenti sistemici, non solo a punire singoli episodi.”<\/p>\n\n\n\n

Il numero di sanzioni nel 2026 mostra gi\u00e0 una traiettoria sostenuta: 149 nuove azioni<\/strong> nei primi mesi dell’anno, con 165 procedimenti<\/strong> negli ultimi sei mesi. Il valore medio per provvedimento si attesta su \u20ac2,36 milioni<\/strong>, cifra che nasconde per\u00f2 una distribuzione molto asimmetrica: la grande maggioranza delle multe rimane sotto i \u20ac100.000<\/strong>, mentre pochi casi di altissimo profilo trascinano il totale verso l’alto.<\/p>\n\n\n\n

Il 2025 in cifre: \u20ac1,2 miliardi in dodici mesi<\/h2>\n\n\n\n

Il 2025 ha mantenuto il ritmo sostenuto del 2024: secondo il rapporto DLA Piper, le autorit\u00e0 europee hanno emesso sanzioni per circa \u20ac1,2 miliardi<\/strong> nel corso dell’anno, in linea con l’anno precedente. Oltre il 60% del valore totale<\/strong> cumulativo dal 2018 si \u00e8 concentrato nei provvedimenti emessi dal gennaio 2023 in poi, segnale che la macchina dell’enforcement ha cambiato marcia nella seconda met\u00e0 dell’era GDPR.<\/p>\n\n\n\n

Sul fronte delle notifiche di violazione, il trend \u00e8 ancora pi\u00f9 netto. Le autorit\u00e0 europee ricevono oggi una media di 443 segnalazioni di data breach al giorno<\/strong>, un incremento del 22%<\/strong> rispetto all’anno precedente, quando la media era di 363 notifiche giornaliere. L’incremento riflette sia la maggiore capacit\u00e0 delle aziende di rilevare gli incidenti, sia la maggiore consapevolezza degli obblighi previsti dall’articolo 33 del GDPR, che impone la comunicazione all’autorit\u00e0 competente entro 72 ore<\/strong> dalla scoperta.<\/p>\n\n\n\n

Wojciech Wiewi\u00f3rowski, Garante europeo della protezione dei dati (EDPS), ha commentato la tendenza: “Il numero crescente di notifiche non indica necessariamente un aumento delle violazioni, ma riflette un sistema che funziona. Le organizzazioni stanno imparando a identificare e segnalare gli incidenti come previsto dalla legge. Il passo successivo, e il pi\u00f9 importante, \u00e8 prevenirli.”<\/p>\n\n\n\n

Le autorit\u00e0 hanno anche intensificato i controlli coordinati attraverso il meccanismo dello sportello unico (one-stop-shop), che permette alle DPA dei vari stati di collaborare su casi transfrontalieri. Secondo le analisi di Kiteworks<\/a>, i procedimenti coordinati sono aumentati del 18% nel 2025 rispetto all’anno precedente, con l’Irlanda capofila in oltre met\u00e0 dei procedimenti transfrontalieri attivi.<\/p>\n\n\n\n

TikTok colpita per \u20ac530 milioni: i trasferimenti verso la Cina<\/h2>\n\n\n\n

Il caso pi\u00f9 significativo del 2025 ha visto TikTok multata per \u20ac530 milioni<\/strong> dall’Irish Data Protection Commission nel maggio 2025<\/strong>, per aver trasferito illecitamente i dati degli utenti europei verso la Cina senza le garanzie richieste dal GDPR. La sanzione \u00e8 la terza pi\u00f9 alta nella storia del regolamento e segue una precedente multa di \u20ac345 milioni<\/strong> inflitta sempre dalla DPC nel settembre 2023 per gravi carenze nella protezione dei dati dei minori. In due anni, TikTok ha accumulato \u20ac875 milioni<\/strong> di sanzioni europee.<\/p>\n\n\n\n

Il caso ha riproposto in modo urgente il tema dei trasferimenti internazionali. L’articolo 44 del GDPR impone che i dati personali dei cittadini UE possano essere inviati verso paesi terzi solo se questi offrono un livello di protezione “adeguato” o in presenza di garanzie specifiche come le clausole contrattuali standard o le binding corporate rules. La Cina non dispone di una decisione di adeguatezza da parte della Commissione europea, il che rende qualsiasi trasferimento strutturalmente problematico.<\/p>\n\n\n\n

Max Schrems, fondatore di NOYB (None of Your Business) e architetto delle sentenze che hanno abbattuto i precedenti accordi UE-USA, ha commentato la decisione: “Il caso TikTok dimostra che il problema dei trasferimenti illeciti non riguarda solo gli Stati Uniti. Qualsiasi paese che non offra garanzie equivalenti a quelle europee deve essere trattato con lo stesso rigore. Le aziende devono smettere di usare la privacy come optional e iniziare a costruire architetture dati realmente conformi al GDPR.”<\/p>\n\n\n\n

Google e la CNIL francese: \u20ac325 milioni per Gmail e il consenso<\/h2>\n\n\n\n

Nel settembre 2025<\/strong>, la CNIL francese ha inflitto a Google una multa da \u20ac325 milioni<\/strong> per due distinte violazioni: l’uso delle email degli utenti Gmail per mostrare pubblicit\u00e0 personalizzata senza consenso valido, e irregolarit\u00e0 nel processo di registrazione. La sanzione \u00e8 la pi\u00f9 alta mai emessa dall’autorit\u00e0 francese, e porta il totale delle sanzioni CNIL contro Google a oltre \u20ac400 milioni<\/strong> negli ultimi tre anni.<\/p>\n\n\n\n

Il caso si inserisce nel filone dell’adtech in cui la CNIL \u00e8 tra i regolatori europei pi\u00f9 attivi. L’autorit\u00e0 francese aveva gi\u00e0 sanzionato Criteo per \u20ac40 milioni<\/strong> per il tracciamento pubblicitario senza consenso valido e Free Mobile per \u20ac27 milioni<\/strong> per misure di sicurezza inadeguate dopo una violazione dei dati. Il pattern ricorrente, come emerge dall’analisi di Global Law Experts<\/a>, \u00e8 che i grandi operatori dell’adtech hanno costruito modelli di business su meccanismi di consenso che non reggono a un esame rigoroso del GDPR.<\/p>\n\n\n\n

La multa Google del 2025 riapre anche la questione del real-time bidding (RTB), il sistema di asta automatica degli spazi pubblicitari che trasmette in millisecondi dati su comportamento, posizione e preferenze degli utenti a centinaia di aziende contemporaneamente. Diverse autorit\u00e0 europee, tra cui quelle belga e britannica, hanno gi\u00e0 dichiarato il sistema incompatibile con il GDPR nella sua forma attuale, ma una decisione comune che imponga una ristrutturazione del settore non \u00e8 ancora arrivata.<\/p>\n\n\n\n

Amazon: \u20ac746 milioni annullati dalla Corte d’Appello del Lussemburgo<\/h2>\n\n\n\n

Una delle notizie pi\u00f9 rilevanti del primo semestre 2026 sul fronte GDPR riguarda il caso Amazon. La Commissione Nazionale per la Protezione dei Dati del Lussemburgo (CNPD) aveva inflitto ad Amazon Europe Core una sanzione da \u20ac746 milioni<\/strong> nel luglio 2021 per pratiche di trattamento dei dati non conformi al regolamento. Nel marzo 2026<\/strong>, la Corte d’Appello del Lussemburgo ha annullato la multa e rinviato il caso alla CNPD per una nuova valutazione della proporzionalit\u00e0 e dell’elemento soggettivo.<\/p>\n\n\n\n

La corte non ha escluso la violazione: ha contestato il metodo di calcolo della sanzione. Per le aziende, l’esito lussemburghese ha un duplice effetto. Da un lato segnala che le corti sono pronte a esaminare la proporzionalit\u00e0 delle sanzioni, aprendo spazio a strategie di ricorso pi\u00f9 aggressive. Dall’altro, i procedimenti si allungano: tra l’infrazione del 2021 e la decisione di appello del 2026 sono trascorsi quasi cinque anni, durante i quali l’incertezza legale ha pesato sui bilanci aziendali.<\/p>\n\n\n\n

L’annullamento della multa Amazon \u00e8 destinato a influenzare le strategie dei team legali delle grandi aziende multinazionali. Il caso dimostra che un ricorso ben costruito, basato sulla contestazione della metodologia di calcolo piuttosto che sull’esistenza stessa della violazione, pu\u00f2 avere successo anche contro sanzioni da centinaia di milioni di euro.<\/p>\n\n\n\n

L’Italia: Enel Energia e i \u20ac79 milioni di telemarketing abusivo<\/h2>\n\n\n\n

Il caso pi\u00f9 rilevante dell’enforcement italiano nel 2025 riguarda Enel Energia<\/strong>, colpita dal Garante con una sanzione da \u20ac79 milioni<\/strong> per telemarketing aggressivo condotto senza il consenso degli utenti. La decisione rappresenta una delle sanzioni pi\u00f9 alte mai inflitte dall’autorit\u00e0 italiana e conferma che il Garante ha ampliato la propria azione ben oltre i grandi operatori tecnologici stranieri.<\/p>\n\n\n\n

La violazione riguardava l’utilizzo di dati personali per campagne commerciali telefoniche senza una base giuridica valida, in violazione degli articoli 6 e 7 del GDPR. Il Garante ha rilevato che Enel Energia aveva affidato le campagne a call center terzi senza adeguati meccanismi di controllo sulla verifica del consenso, esponendo milioni di utenti a contatti non richiesti. Il principio ribadito \u00e8 quello della responsabilit\u00e0 estesa del titolare del trattamento: chi si avvale di responsabili esterni risponde anche delle loro pratiche.<\/p>\n\n\n\n

Nel 2026 il Garante italiano<\/a> ha continuato a operare su pi\u00f9 fronti. Una societ\u00e0 di consulenza \u00e8 stata sanzionata con \u20ac85.000<\/strong> per una violazione dei dati personali, e l’autorit\u00e0 ha emesso un avvertimento formale sui servizi di generazione di deepfake che elaborano immagini e voci reali senza consenso esplicito, segnalando questa categoria come priorit\u00e0 di enforcement per il secondo semestre 2026. In precedenza, nel 2022, il Garante aveva gi\u00e0 multato Clearview AI per \u20ac20 milioni<\/strong> per l’uso non autorizzato di dati biometrici su scala massiva.<\/p>\n\n\n\n

Il quadro europeo 2026: dall’Olanda alla Spagna<\/h2>\n\n\n\n

Al di l\u00e0 dei casi contro i grandi gruppi tecnologici, il 2026 ha gi\u00e0 prodotto sanzioni significative in pi\u00f9 paesi. L’Autorit\u00e0 olandese per la protezione dei dati (AP) ha inflitto una multa da \u20ac100 milioni<\/strong> all’operatore di un’app di taxi per aver trasferito illecitamente dati personali di utenti finlandesi e norvegesi verso la Russia in assenza delle garanzie richieste dal GDPR. Il trasferimento verso la Russia, paese privo di decisione di adeguatezza e con un quadro normativo sulla sorveglianza considerato incompatibile con gli standard europei, \u00e8 ora una delle aree di rischio pi\u00f9 monitorate.<\/p>\n\n\n\n

Nel Regno Unito, l’Information Commissioner’s Office (ICO) ha sanzionato due aziende per un totale di \u00a3963.900<\/strong> dopo un attacco di phishing che aveva compromesso i dati di oltre 633.000 persone<\/strong>. L’incidente era rimasto non rilevato per quasi due anni, e alla fine 4,1 terabyte<\/strong> di dati personali, tra cui coordinate bancarie, numeri di previdenza sociale e informazioni sanitarie, erano stati pubblicati sul dark web. L’ICO ha contestato non solo la violazione ma soprattutto il ritardo nel rilevamento e nella notifica.<\/p>\n\n\n\n

In Spagna, l’AEPD ha registrato 30.931 reclami<\/strong> nel 2025, con un incremento del 64%<\/strong> rispetto all’anno precedente, e ha chiuso un procedimento transfrontaliero contro una societ\u00e0 di tecnologia per il turismo dopo un pagamento volontario di \u20ac14,4 milioni<\/strong>. Il Garante italiano ha registrato nel 2025 un numero record di segnalazioni da parte di cittadini, soprattutto nel settore delle comunicazioni commerciali indesiderate.<\/p>\n\n\n\n

Tabella 1: Le sanzioni GDPR pi\u00f9 alte nella storia<\/h2>\n\n\n\n
Azienda<\/th>Sanzione<\/th>Autorit\u00e0<\/th>Data<\/th>Motivo principale<\/th><\/tr><\/thead>
Meta Platforms Ireland<\/td>\u20ac1,2 miliardi<\/td>DPC Irlanda<\/td>Maggio 2023<\/td>Trasferimenti illeciti UE-USA (Schrems II)<\/td><\/tr>
Amazon Europe Core<\/td>\u20ac746 milioni<\/td>CNPD Lussemburgo<\/td>Luglio 2021 (annullata marzo 2026)<\/td>Trattamento non conforme; sanzione annullata in appello<\/td><\/tr>
TikTok<\/td>\u20ac530 milioni<\/td>DPC Irlanda<\/td>Maggio 2025<\/td>Trasferimenti illeciti UE-Cina senza garanzie adeguate<\/td><\/tr>
Meta (Instagram)<\/td>\u20ac405 milioni<\/td>DPC Irlanda<\/td>Settembre 2022<\/td>Gestione illecita dati dei minori<\/td><\/tr>
Meta (Facebook+Instagram)<\/td>\u20ac390 milioni<\/td>DPC Irlanda<\/td>Gennaio 2023<\/td>Base giuridica invalida per pubblicit\u00e0 comportamentale<\/td><\/tr>
TikTok<\/td>\u20ac345 milioni<\/td>DPC Irlanda<\/td>Settembre 2023<\/td>Carenze nella protezione dati dei minori<\/td><\/tr>
Google LLC+Ireland<\/td>\u20ac325 milioni<\/td>CNIL Francia<\/td>Settembre 2025<\/td>Pubblicit\u00e0 Gmail senza consenso valido e irregolarit\u00e0 di registrazione<\/td><\/tr>
Enel Energia<\/td>\u20ac79 milioni<\/td>Garante Italia<\/td>2025<\/td>Telemarketing senza consenso, controllo insufficiente su call center terzi<\/td><\/tr>
Criteo<\/td>\u20ac40 milioni<\/td>CNIL Francia<\/td>2023<\/td>Tracciamento pubblicitario senza consenso valido<\/td><\/tr>
Free Mobile<\/td>\u20ac27 milioni<\/td>CNIL Francia<\/td>2023<\/td>Misure di sicurezza inadeguate dopo una violazione dei dati<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Tabella 2: Enforcement GDPR per paese in Europa (aggiornamento 2026)<\/h2>\n\n\n\n
Paese<\/th>Autorit\u00e0<\/th>Sanzioni cumulative<\/th>Caso pi\u00f9 significativo 2025-2026<\/th><\/tr><\/thead>
Irlanda<\/td>DPC<\/td>\u20ac4,04 miliardi<\/td>TikTok \u20ac530M per trasferimenti illeciti UE-Cina (maggio 2025)<\/td><\/tr>
Lussemburgo<\/td>CNPD<\/td>\u20ac746+ milioni<\/td>Amazon \u20ac746M annullata dalla Corte d’Appello (marzo 2026)<\/td><\/tr>
Francia<\/td>CNIL<\/td>\u20ac200+ milioni<\/td>Google \u20ac325M per pubblicit\u00e0 Gmail senza consenso (settembre 2025)<\/td><\/tr>
Paesi Bassi<\/td>AP<\/td>\u20ac200+ milioni<\/td>App taxi \u20ac100M per trasferimenti dati verso Russia (2026)<\/td><\/tr>
Germania<\/td>DSK (pi\u00f9 autorit\u00e0)<\/td>\u20ac200+ milioni<\/td>Azioni settoriali su salute, finanza e pubbliche amministrazioni<\/td><\/tr>
Italia<\/td>Garante<\/td>\u20ac100+ milioni<\/td>Enel Energia \u20ac79M per telemarketing senza consenso (2025)<\/td><\/tr>
Spagna<\/td>AEPD<\/td>\u20ac50+ milioni<\/td>30.931 reclami nel 2025 (+64%); \u20ac14,4M pagamento volontario da tech company<\/td><\/tr>
UK (post-Brexit)<\/td>ICO<\/td>\u00a3200+ milioni<\/td>\u00a3963.900 contro due aziende dopo phishing su 633.000 persone (2026)<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

I settori pi\u00f9 colpiti: media, telecomunicazioni e adtech<\/h2>\n\n\n\n

La distribuzione delle sanzioni per settore rivela dove si concentrano le violazioni pi\u00f9 gravi. Il comparto media, telecomunicazioni e broadcasting assorbe circa il 70%<\/strong> del valore complessivo delle sanzioni aziendali, trainato dai grandi casi contro Meta, TikTok e Google. Seguono il settore adtech e pubblicit\u00e0 comportamentale, i servizi finanziari e i processori di pagamento, e l’assistenza sanitaria, dove le violazioni riguardano dati sensibili con conseguenze particolarmente gravi per gli interessati.<\/p>\n\n\n\n

L’adtech \u00e8 il fronte dove si concentra il maggior numero di procedimenti attivi nel 2026. Il sistema del real-time bidding, che consente l’asta automatica degli spazi pubblicitari trasmettendo in millisecondi dati su comportamento, posizione e preferenze degli utenti a centinaia di aziende contemporaneamente, \u00e8 considerato da molte autorit\u00e0 europee strutturalmente incompatibile con il GDPR. Nessuna decisione pan-europea che imponga una ristrutturazione del settore \u00e8 ancora arrivata, ma i procedimenti si moltiplicano.<\/p>\n\n\n\n

Per le aziende italiane, il rischio maggiore rimane concentrato in tre aree: telemarketing senza consenso documentabile, utilizzo di dati per finalit\u00e0 di profilazione senza base giuridica solida, e mancata supervisione dei fornitori terzi che trattano dati per conto del titolare. Il caso Enel Energia ha chiarito in modo definitivo che la catena di responsabilit\u00e0 non si interrompe all’uscita dell’azienda ma si estende a tutti i soggetti che trattano i dati per suo conto.<\/p>\n\n\n\n

Il mercato europeo della cybersecurity: \u20ac85 miliardi nel 2026<\/h2>\n\n\n\n

Il contesto in cui si muove l’enforcement GDPR \u00e8 un mercato della sicurezza informatica in espansione decisa. Il mercato europeo della cybersecurity era valutato \u20ac76,21 miliardi<\/strong> nel 2025 e raggiunger\u00e0 i \u20ac85,68 miliardi<\/strong> nel 2026, con un tasso di crescita annuo composto del 12,42%<\/strong> previsto fino al 2034, anno in cui il settore potrebbe superare i \u20ac218 miliardi<\/strong>. Le sanzioni GDPR hanno un impatto diretto su questa crescita: ogni grande multa accelera gli investimenti in compliance, legal tech e data governance.<\/p>\n\n\n\n

La convergenza tra GDPR e AI Act europeo sta creando un nuovo mercato della conformit\u00e0 che riguarda in modo particolare le aziende che sviluppano o utilizzano sistemi di intelligenza artificiale. Il Garante italiano ha gi\u00e0 indicato i sistemi di deepfake come area di enforcement prioritaria per il 2026, e diverse autorit\u00e0 europee hanno avviato indagini esplorative sull’uso di large language model per finalit\u00e0 di profilazione degli utenti.<\/p>\n\n\n\n

Nicola Bernardi, Presidente di Federprivacy, ha descritto la situazione attuale per le aziende italiane: “Il GDPR \u00e8 diventato pienamente operativo. Non bastano pi\u00f9 una policy sul sito e un DPO di facciata: le autorit\u00e0 chiedono documentazione concreta di ogni scelta di trattamento, e premiano chi ha costruito sistemi reali di governance del dato. Chi si \u00e8 adeguato in modo sostanziale ha un vantaggio competitivo misurabile in termini di riduzione del rischio sanzionatorio.”<\/p>\n\n\n\n

Cosa deve fare un’azienda italiana nel 2026<\/h2>\n\n\n\n

Per le imprese italiane, i dati 2025-2026 individuano tre aree di intervento prioritario.<\/p>\n\n\n\n

Consenso e telemarketing.<\/strong> Il caso Enel Energia \u00e8 un precedente diretto. Qualsiasi azienda che conduca campagne telefoniche, via email o attraverso canali digitali deve verificare che il consenso sia stato acquisito in modo granulare, specifico e documentabile, con prova di data e ora. Affidarsi a fornitori terzi non riduce la responsabilit\u00e0: il titolare del trattamento risponde anche delle attivit\u00e0 dei propri responsabili.<\/p>\n\n\n\n

Trasferimenti internazionali.<\/strong> Le aziende che utilizzano servizi cloud con infrastrutture fuori dall’UE devono aggiornare le proprie analisi di impatto sulla protezione dei dati (DPIA) e verificare che le clausole contrattuali standard adottate garantiscano il livello di protezione richiesto dal GDPR. Il trasferimento verso la Cina, la Russia e altri paesi privi di decisione di adeguatezza \u00e8 un’area ad altissimo rischio sanzionatorio nel 2026.<\/p>\n\n\n\n

Notifica dei breach.<\/strong> Con 443 notifiche al giorno in Europa, il rispetto della finestra delle 72 ore \u00e8 sotto monitoraggio costante. Un sistema interno di incident response strutturato, con procedure chiare per identificare, contenere e segnalare le violazioni, non \u00e8 pi\u00f9 un’opzione. Il caso ICO inglese con il phishing non rilevato per quasi due anni mostra cosa succede quando il monitoraggio \u00e8 insufficiente: responsabilit\u00e0 per la violazione pi\u00f9 responsabilit\u00e0 aggiuntiva per il ritardo nella notifica.<\/p>\n\n\n\n

5 previsioni per il secondo semestre 2026<\/h2>\n\n\n\n