13.000.000 Dati Personali non mappati in una Pubblica Amministrazione
Una bomba a orologeria chiamata "tutto sotto controllo"
Il nostro cliente, un grande ente pubblico locale con oltre 1.000 dipendenti e sedi distribuite sul territorio, era convinto di gestire i propri dati in modo adeguato.
File Server on-premise per i documenti operativi. Google Shared Drive per la collaborazione interna. Archivi accumulati nel corso di anni di attività amministrativa.
Sulla carta, una struttura funzionante. Nella realtà, un'esposizione sistemica invisibile.
Nessun processo strutturato di classificazione. Nessuna mappa dei dati personali trattati. E soprattutto, nessuna risposta alle domande che DPO, IT e Direzione avrebbero dovuto saper rispondere in qualsiasi momento: quanti documenti contengono dati particolari? Chi può accedervi? Esistono file condivisi con link pubblici o aperti al gruppo "Everyone"?
Il vero problema non era una minaccia esterna.
Era l'assenza totale di consapevolezza su ciò che veniva conservato, e come.
Quello che abbiamo trovato
Per fornire all'Ente una fotografia reale e documentata del proprio patrimonio informativo, abbiamo avviato un'attività di Data Discovery end-to-end con Heliaca Finder, coprendo l'intero perimetro: file server on-premise (NAS multipli), archivi storici in formato PDF e documenti scannerizzati, e l'ambiente Google Shared Drive.
Tecnologia OCR abilitata su tutto. Classificazione automatica su quattro livelli. Analisi incrociata tra contenuto, permessi effettivi ed esposizione reale.
I risultati hanno cambiato la conversazione interna
+ di 13.000.000
Dati personali mappati sull'intero perimetro. Zero visibilità prima dell'intervento.
+ di 1.500.000 file classificati
Distribuiti su quattro livelli di sensibilità, da Pubblico a Strettamente Confidenziale. Per la prima volta, ogni documento aveva una collocazione nel modello di rischio dell'Ente.
400.000 file ad alta criticità
Documenti identificati come priorità di intervento, con contenuto sensibile e configurazione di accesso non allineata al principio del least privilege.
4.400 link pubblici attivi
Condivisioni aperte verso l'esterno, senza scadenza, senza tracciabilità, senza alcuna relazione documentata con la finalità del trattamento.
+ di 13.000 mismatch di permessi
File con livello di sensibilità elevato accessibili da gruppi "Everyone", Domain Admins o utenti privi di legittima necessità operativa.
Non puoi proteggere ciò che non sai di avere.
Non puoi proteggere ciò che non sai di avere.
Mettiamo in sicurezza i dati critici delle aziende.
Prima che sia troppo tardi.
Una call di 30 minuti per capire la tua situazione e indicarti la strada migliore. Nessun impegno, nessuna vendita aggressiva.
Dalla diagnosi alla soluzione
Per ogni file ad alta criticità, l'Ente disponeva di: tipologia di dato personale o particolare rilevato, path di residenza e piattaforma di archiviazione, permessi effettivi e livello di esposizione, priorità di intervento secondo la roadmap di mitigazione.
Tutte le evidenze sono state strutturate in una Sintesi Esecutiva per la Direzione, orientata all'impatto normativo e alle responsabilità del Titolare del Trattamento e in un Report Tecnico con dettaglio granulare per IT e DPO, che ha permesso di navigare il rischio per ambiente, tipologia di dato e urgenza di remediation.
IT e DPO con gli stessi dati in mano, per la prima volta
Ogni evidenza era azionabile dal giorno zero.
Insieme ai report, abbiamo consegnato una roadmap strutturata su tre orizzonti:
1- Contenimento (0–30 giorni): revoca immediata dei link pubblici non giustificati, restrizione dei permessi aperti al gruppo "Everyone", isolamento dei file strettamente confidenziali con accesso non autorizzato.
2- Protezione Strutturale (30–90 giorni): implementazione di processi DLP, riallineamento degli ACL secondo il principio del least privilege, introduzione di procedure di classificazione by-design sui nuovi documenti.
3- Governo Continuo: monitoraggio periodico, KPI di data governance, revisione programmatica dei permessi e della classificazione in relazione all'evoluzione normativa.
Questo progetto non ha prodotto solo un report tecnico. Ha trasformato la postura dell'Ente rispetto ai propri obblighi normativi.
L'IT ha ottenuto per la prima volta una visibilità completa sull'ambiente, con evidenze concrete per giustificare interventi di remediation e impostare controlli strutturali.
Non più valutazioni basate su percezioni, ma dati incontestabili.
Il DPO ha ricevuto gli strumenti per dimostrare l'adozione di misure tecniche e organizzative adeguate ai sensi degli artt. 25 e 32 GDPR, e per costruire un registro del trattamento fondato su evidenze reali anziché su autodichiarazioni. Per la prima volta, il DPO non doveva fidarsi delle rassicurazioni interne. Aveva i dati in mano.
La Direzione ha potuto affrontare il tema della compliance NIS2 che impone agli enti pubblici di dimostrare governance tracciabile del dato con una base documentale solida, costruita in tempi certi e senza impatto sull'operatività.
Durata | 17 settimane dall'avvio alla consegna |
Impatto sull'operatività | Zero. Nessun fermo, nessun accesso alle postazioni utente |
Coinvolgimento del team IT cliente | Minimo. Coordinamento iniziale e accesso alle sorgenti dati |
Output consegnati | Sintesi Esecutiva per la Direzione + Report Tecnico per IT e DPO + Roadmap di mitigazione su tre orizzonti |
E tu, sai cosa contengono i tuoi file server e chi può accedervi?
La maggior parte degli enti e delle organizzazioni scopre queste vulnerabilità solo dopo un data breach o un'ispezione del Garante. A quel punto, i costi sanzionatori, operativi e reputazionali, sono già fuori controllo.
La nostra attività di Data Discovery ti mostra esattamente dove sono i rischi, in tempi certi, senza interrompere il lavoro di nessuno.
Nessun impegno. Ti mostriamo cosa possiamo trovare nel tuo ambiente e decidi tu se procedere.
