La protezione dei dati aziendali non si risolve più con la cybersecurity perimetrale. Firewall, endpoint protection e sistemi di rilevamento delle intrusioni sono necessari ma non sufficienti: non intercettano il rischio che nasce dall’interno, dalla gestione disordinata delle informazioni, dagli accessi non governati, dalle versioni di documenti che circolano senza controllo. È un rischio operativo prima ancora che tecnologico.
I dati lo confermano con consistenza. Il Verizon Data Breach Investigations Report 2024 rileva che il 68% delle violazioni di dati coinvolge un elemento umano: errore, abuso di privilegi o social engineering. Il Cost of a Data Breach Report 2024 di IBM quantifica il costo medio globale di un data breach in 4,88 milioni di dollari, con i tempi di identificazione e contenimento come principale leva di variazione del danno. Questi numeri ridefiniscono la protezione dei dati da tema IT a tema di governance aziendale: il problema non è solo l’attacco, ma la capacità di rilevarlo, contenere il danno e dimostrare di aver adottato le misure adeguate.
Il quadro normativo 2026: GDPR, ISO 27001 e NIS2 a confronto
Tre framework normativi distinti convergono oggi sulla protezione dei dati aziendali, ciascuno con perimetro e requisiti specifici. La tabella seguente mappa le principali aree di requisito per aiutare le organizzazioni a identificare i punti di sovrapposizione e le priorità di intervento.
| Requisito | GDPR (UE 2016/679) | ISO/IEC 27001:2022 | NIS2 (UE 2022/2555) |
| Controllo accessi | Art. 25, 32 – obbligatorio | Controllo A.5 – obbligatorio | Art. 21 – obbligatorio |
| Audit trail | Art. 5(2) accountability | Log A.8 – obbligatorio | Art. 21 – sorveglianza continua |
| Notifica incidenti | Art. 33 – 72h al Garante | A.5.26 – risposta agli incidenti | Art. 23 – 24h/72h all’autorità |
| Analisi del rischio | Art. 35 – DPIA se ad alto rischio | Obbligatoria (Annex A) | Art. 21 – obbligatoria |
| Misure tecniche doc. | Art. 32 – proporzionate | Annex A – catalogo controlli | Art. 21 – proporzionate |
| Responsabilità management | Art. 5(2) titolare | Leadership (ISO 5) | Art. 20 – management liability |
| Scope applicativo | Dati personali UE | Tutto il patrimonio inform. | Settori critici + important |
Fonti: Reg. UE 2016/679 GDPR; ISO/IEC 27001:2022; Direttiva UE 2022/2555 NIS2.
Data breach aziendale: la quota interna del rischio che la cybersecurity non copre
La narrativa dominante sul data breach è quella dell’attacco esterno: ransomware, phishing, compromissione di credenziali. Questa narrativa è corretta ma parziale. Una quota consistente delle violazioni origina da dinamiche interne che nessun firewall può intercettare: un dipendente che inoltra un documento riservato al destinatario sbagliato, un file condiviso su un repository cloud personale non autorizzato, una versione di contratto non aggiornata inviata al cliente.
Il Garante per la Protezione dei Dati Personali ha pubblicato dati ricorrenti sulle notifiche di data breach ricevute: gli incidenti classificati come causati da “errore umano” o “invio erroneo” rappresentano una delle categorie più frequenti nelle notifiche ex art. 33 GDPR inviate dai titolari del trattamento. Si tratta di violazioni che non sono prevenibili attraverso strumenti di sicurezza perimetrale, ma attraverso la governance dei processi documentali interni.
La distinzione è rilevante perché determina l’approccio corretto: investire esclusivamente in cybersecurity lascia scoperto il rischio operativo interno. Investire in data governance documentale – classificazione, controllo accessi, versioning, audit trail – riduce la superficie di rischio sul lato che le soluzioni di sicurezza tradizionali non raggiungono.
Dal file system alla data governance documentale: il cambio di paradigma
La maggior parte delle organizzazioni gestisce ancora una quota significativa del proprio patrimonio documentale attraverso cartelle di rete, piattaforme collaborative non strutturate o repository cloud personali adottati informalmente. In questi ambienti, le domande fondamentali per la protezione dei dati non hanno risposta immediata: chi ha accesso a questo documento? Chi lo ha modificato e quando? Qual è la versione ufficiale? Per quanto tempo deve essere conservato prima della cancellazione?
L’assenza di un modello di data governance documentale espone a due categorie di rischio simultanee. Il primo è operativo: la difficoltà di garantire che le decisioni siano prese sulla base delle informazioni corrette e aggiornate. Il secondo è normativo: l’incapacità di dimostrare la conformità alle misure richieste dall’art. 32 del GDPR, che impone l’adozione di misure tecniche e organizzative “adeguate” al rischio. “Adeguato” non è un concetto astratto: deve essere dimostrabile, documentato e verificabile in sede di ispezione.
Il passaggio da file system a data governance documentale non è un aggiornamento tecnologico: è una ridefinizione del modello di responsabilità informativa. Significa assegnare a ogni documento un proprietario, definire chi può accedervi e con quale livello di autorizzazione, tracciare ogni operazione e garantire che il ciclo di vita del documento – creazione, uso, archiviazione, cancellazione – sia governato da regole esplicite e verificabili.
Smart working e cloud: la moltiplicazione della superficie di rischio documentale
L’adozione diffusa di modelli di lavoro ibridi ha ampliato la superficie di rischio in modo strutturale. Documenti accessibili da dispositivi mobili personali, postazioni remote non presidiate e ambienti cloud non aziendali moltiplicano i punti di accesso non controllato. Il Rapporto Clusit 2024 sulla sicurezza ICT in Italia evidenzia un incremento costante degli incidenti correlati al lavoro da remoto, con particolare concentrazione su credential theft e accessi non autorizzati a servizi cloud non gestiti dall’IT aziendale.
In questo contesto, la protezione dei dati aziendali non può essere delegata alla sicurezza del singolo dispositivo: deve essere garantita a livello di sistema documentale, indipendentemente da dove e da quale dispositivo si accede. Un DMS con regole di accesso dinamiche basate su ruolo e funzione – e non sulla posizione fisica del file – garantisce che le autorizzazioni seguano il documento ovunque si trovi, limitando automaticamente download, stampe e condivisioni non autorizzate.
L’approccio metadata-driven di M-Files è progettato esattamente per questo scenario: le regole di sicurezza sono associate al contenuto, non al contenitore. Un documento classificato come riservato rimane inaccessibile agli utenti non autorizzati anche se spostato, copiato o consultato da una postazione remota, perché è il documento stesso a portare con sé le proprie regole di accesso.
GDPR, ISO 27001 e NIS2: tre framework con requisiti documentali convergenti
GDPR: accountability e misure tecniche organizzative
Il Regolamento UE 2016/679 (GDPR) impone al titolare del trattamento di adottare misure tecniche e organizzative adeguate al rischio (art. 32) e di essere in grado di dimostrare questa conformità (art. 5, par. 2 – accountability). In caso di data breach, l’art. 33 richiede la notifica al Garante entro 72 ore dalla presa di conoscenza dell’incidente. La capacità di rispettare questo termine dipende direttamente dalla disponibilità di un audit trail che permetta di ricostruire rapidamente l’accaduto.
ISO/IEC 27001:2022: il sistema di gestione della sicurezza delle informazioni
Lo standard ISO/IEC 27001:2022 definisce i requisiti per un Information Security Management System (ISMS). La versione 2022 ha introdotto aggiornamenti significativi all’Annex A, con l’introduzione di nuovi controlli relativi alla sicurezza del cloud, all’intelligence sulle minacce e alla business continuity. I controlli documentali – A.5.9 (inventario degli asset informativi), A.8.5 (accesso privilegiato), A.8.15 (logging) – sono direttamente applicabili alla gestione documentale e trovano risposta concreta in un DMS con audit trail strutturato.
Direttiva NIS2 (UE 2022/2555): sicurezza delle reti e dei sistemi informativi
La Direttiva NIS2 (UE 2022/2555), recepita in Italia con il D.Lgs. 138/2024, amplia significativamente il perimetro dei soggetti obbligati rispetto alla precedente NIS. I settori energy, manifatturiero, trasporti, acque, infrastrutture digitali e PA rientrano tra i soggetti “essenziali” o “importanti”. L’art. 21 impone misure proporzionate di gestione del rischio che includono esplicitamente politiche di sicurezza dei sistemi informativi, gestione degli incidenti, continuità operativa e sicurezza della supply chain. L’art. 20 introduce la responsabilità personale del management: gli organi di governo devono approvare le misure di sicurezza e rispondono direttamente della loro adeguatezza.
La convergenza tra i tre framework sul piano documentale è evidente: tutti richiedono classificazione degli asset informativi, controllo degli accessi documentato, audit trail permanente e capacità di risposta agli incidenti entro termini definiti. Un DMS che soddisfa questi requisiti non è un sistema separato dai processi di compliance: è l’infrastruttura su cui la compliance si costruisce.
M-Files come piattaforma di data governance: le funzionalità chiave per la sicurezza
M-Files non è un repository documentale con funzioni di sicurezza aggiunte: è una piattaforma di Intelligent Information Management progettata per governare le informazioni in modo sicuro per impostazione predefinita. L’architettura metadata-driven è il fondamento: le regole di classificazione, accesso e tracciatura sono associate al contenuto, non alla cartella. Questo elimina una delle vulnerabilità più comuni nei file system tradizionali, dove un file copiato in una cartella sbagliata eredita automaticamente le autorizzazioni di quella cartella, spesso più permissive di quelle previste.
Le funzionalità rilevanti per la protezione dei dati si articolano su quattro livelli. Il controllo granulare degli accessi consente di definire permessi per singolo documento, tipologia, stato e unità organizzativa, con regole dinamiche che si aggiornano automaticamente al cambiamento del contesto. Il versioning automatico mantiene la cronologia completa delle modifiche, impedendo che versioni non autorizzate sostituiscano quella ufficiale. L’audit trail permanente registra ogni visualizzazione, download, modifica e approvazione con timestamp e identità dell’utente, producendo un log consultabile in qualsiasi momento. La gestione del ciclo di vita del documento attiva automaticamente le retention policy: archiviazione, accesso ristretto e cancellazione avvengono secondo regole predefinite, senza dipendere da azioni manuali.
Workflow controllati per la riduzione del rischio di data breach interno
I workflow documentali configurabili sono il secondo livello di difesa contro il data breach interno. Definire percorsi approvativi strutturati significa che un documento riservato non può essere inviato all’esterno senza passare per le fasi di verifica e autorizzazione previste dal processo. Le modifiche non autorizzate sono bloccate a monte, non rilevate a posteriori. Le notifiche automatiche alle fasi di revisione garantiscono che le attività pendenti non rimangano in sospeso, riducendo il rischio che documenti in stato di lavorazione vengano condivisi prima del completamento del ciclo approvativo.
Questo approccio trasforma la gestione documentale da attività passiva – archiviare ciò che già è stato prodotto – a controllo preventivo del flusso informativo. Il workflow non è un aggiunto: è il meccanismo che garantisce che ogni documento percorra il percorso corretto, con le autorizzazioni corrette, prima di uscire dal perimetro controllato.
Audit trail e gestione post-incidente: dalla reazione alla dimostrazione
In caso di incidente, la capacità di ricostruire con precisione la sequenza degli eventi è determinante sia per la gestione interna sia per gli obblighi normativi. L’art. 33 GDPR richiede che la notifica al Garante descriva la natura della violazione, le categorie di dati coinvolti, il numero approssimativo di persone interessate e le misure adottate per attenuare le possibili conseguenze. Rispettare il termine di 72 ore è possibile solo se l’audit trail è immediato e non richiede ricerche manuali su log distribuiti.
M-Files produce un audit trail strutturato che identifica l’utente che ha effettuato ogni accesso, la tipologia di operazione (visualizzazione, download, modifica, condivisione), il timestamp con precisione al secondo e il contesto del documento al momento dell’evento. In sede di investigazione post-incidente, questo log permette di determinare con certezza perimetro, tempistiche e responsabilità della violazione, fornendo sia le evidenze necessarie alla notifica normativa sia gli elementi per le eventuali azioni correttive interne.
La corretta tenuta dei log è anche un requisito esplicito della Direttiva NIS2 all’art. 21 e dei controlli A.8.15 e A.8.16 dell’ISO 27001:2022. Un sistema documentale che non produce log permanenti e consultabili non soddisfa questi requisiti, indipendentemente dalle altre misure di sicurezza adottate.
Data governance aziendale come strategia di resilienza organizzativa
La protezione dei dati aziendali nel 2026 non è più un tema IT delegabile al responsabile dei sistemi informativi. La NIS2 lo rende esplicito con la responsabilità personale del management. Il GDPR lo afferma con il principio di accountability. ISO 27001 lo richiede con il coinvolgimento della leadership come requisito di certificazione. In tutti e tre i framework, la governance delle informazioni è una responsabilità organizzativa che parte dall’alto.
In questo quadro, integrare M-Files nell’ecosistema aziendale significa costruire un modello di data governance che riduce la frammentazione informativa, dimostra la conformità normativa con evidenze oggettive, aumenta la trasparenza interna sui flussi documentali e protegge il patrimonio informativo aziendale come asset strategico. La sicurezza non si esaurisce nella difesa dagli attacchi esterni: si costruisce attraverso processi documentali strutturati, controllabili e dimostrabili.
Euroged progetta e implementa questi ecosistemi documentali per organizzazioni nei settori più esposti al rischio normativo – energia, manifatturiero, PA, pharma, finance – partendo dall’assessment del patrimonio informativo esistente e costruendo su M-Files una governance documentale proporzionata al profilo di rischio dell’organizzazione.
