Avete appena ricevuto un avviso: i dati della vostra azienda sono sul dark web. Le credenziali dei vostri dipendenti vengono vendute in un dump di violazione. Questo momento definisce se questo diventa un incidente gestibile o una violazione catastrofica. Le prossime 72 ore sono tutto. Ecco esattamente cosa fare.

Primi 15 minuti — Triage immediata

Il panico è naturale. Resistetevi.

Le vostre prime azioni sono puramente meccaniche: raccogliete i fatti, documentate tutto e attivate il meccanismo di risposta agli incidenti.

Fate questo ora:

• Catturate tutto. Fate screenshot dell'avviso, della fonte, del timestamp, dell'URL. Vi servirà per l'analisi forense e i depositi normativi.
• Identificate l'ambito. Quanti record sono esposti? Quali tipi di dati? Password dei dipendenti? Dati personali dei clienti? Dati delle carte di pagamento? Proprietà intellettuale? Questo determina se state facendo una notificazione GDPR o un'emergenza multi-paese.
• Determinate l'antigüità. Si tratta di una violazione completamente nuova di una settimana fa, o di dati vecchi di un incidente che avete già risolto tre anni fa? La cronologia importa per la priorità di indagine.
• Chiedete: Siamo attualmente compromessi? Un listato sul dark web potrebbe essere dati obsoleti. O potrebbe segnalare che un intruso è ancora nella vostra rete. Questa è la domanda che il vostro CISO deve rispondere immediatamente.
• Escalate. Chiamate il vostro CISO, direttore IT, consulente legale e DPO (se ne avete uno). Se avete un piano documentato di risposta agli incidenti, attivatelo ora. Se non lo avete, annotate come elemento d'azione per dopo la crisi.

Ore 1–4 — Contenimento e valutazione

La velocità importa qui, ma la precisione importa di più. Il vostro obiettivo è fermare l'emorragia prima di comprendere completamente la ferita.

Contenimento immediato:

• Forzate il reset delle password per tutti gli account interessati. Sì, tutti. Sì, immediatamente. Questa è l'unica azione che istantaneamente svaluta le credenziali compromesse sul dark web. Gli attaccanti stanno probabilmente eseguendo attacchi di credential stuffing contro la vostra rete adesso, cercando di usare le password esposte prima che i dipendenti le cambino.
• Revocate le sessioni attive. Disconnettete tutti. Forzate la re-autenticazione. Se un attaccante ha già sessioni valide aperte, questo le termina.
• Controllate il vostro SIEM e i registri di sicurezza. Cercate segni di compromissione attiva:
  • Modelli di accesso inusuali (fuori orario, geografie inusuali, tentativi falliti)
  • Movimento laterale (un account compromesso che si muove attraverso la rete)
  • Esfiltrazione di dati (grandi trasferimenti di file, regole di inoltro della posta, caricamenti di storage cloud)
  • Meccanismi di persistenza (nuove attività pianificate, nuovi account amministratore, regole VPN)

Domande di valutazione:

• La violazione è in corso o storica? (Influenza urgenza e ambito)
• Quali sistemi sono stati effettivamente interessati? (Le regole di notificazione differiscono in base ai dati)
• Sono inclusi i dati dei clienti? (Attiva la notificazione normativa in quasi tutte le giurisdizioni)
• Sono inclusi dati di partner o terze parti? (Responsabilità aggiuntiva e requisiti di notificazione)

Se non avete competenza forense in casa, ingaggiate una ditta esterna di risposta agli incidenti ora. Possono preservare correttamente le prove, condurre l'attribuzione e guidarvi attraverso la notificazione normativa. Questo non è un costo da evitare.

L'orologio normativo di 72 ore GDPR/NIS2

Questo non è facoltativo.

In base all'Articolo 33 del GDPR, dovete notificare la vostra autorità di controllo entro 72 ore da quando siete venuti a conoscenza di una violazione di dati personali. Mancare questo termine non è perdonabile—attiva sanzioni aggiuntive oltre alla multa principale per violazione.

In base a NIS2 (per gli operatori di servizi essenziali), il termine è ancora più stretto: avviso anticipato entro 24 ore, notificazione completa entro 72 ore.

In base a DORA (per le istituzioni finanziarie), notificazione immediata ai regolatori.

Le sanzioni sono reali:

• GDPR: fino a 10 milioni di euro o il 2% del fatturato annuale globale, a seconda di quale sia superiore, solo per notificazione tardiva
• NIS2: sanzioni significative
• DORA: sanzioni + restrizioni operative

Approfondimento critico: Non dovete avere l'indagine completa per presentare una notificazione conforme. La legge si aspetta che notifichiate in base a ciò che sapete al segno di 72 ore. Potete presentare una notificazione di follow-up con dettagli aggiuntivi mentre l'indagine procede.

Ore 4–24 — Notificate e documentate

Legale e conformità:

• Notificate immediatamente il vostro DPO e consulente legale. Devono essere coinvolti in ogni decisione.
• Notificate la vostra autorità di controllo. Per le aziende italiane, questa è l'Autorità Garante per la protezione dei dati personali.
  • La vostra notificazione deve includere:
    • Data e ora della scoperta
    • Descrizione della violazione (quali dati, quanti record, categorie di individui interessati)
    • Conseguenze probabili
    • Misure che state adottando (correzione, indagine, contenimento)
    • Dettagli di contatto per follow-up
    • Nota che l'indagine è in corso e fornirete aggiornamenti
• Valutate il rischio di notificazione degli interessati. Se la violazione presenta alto rischio per gli individui (dati sensibili, nessuna crittografia, già utilizzato in truffe), dovete notificare direttamente gli individui interessati. Questo è separato dalla notificazione all'autorità e avviene in parallelo.
• Notificate immediatamente il vostro assicuratore cyber. Molte polizze hanno severi requisiti di notificazione. Ritardare questo vi costa la copertura.
• Preservate tutte le prove in formato forense. Non lasciate che il vostro team IT sempicemente cancelli i registri o "pulisca". Tutto è ora prova. La catena di custodia importa sia per l'indagine che per il possibile contenzioso.
• Create una cronologia dettagliata dell'incidente. Quando sono stati effettivamente rubati i dati rispetto a quando siete venuti a conoscenza? Questa distinzione importa per i calcoli normativi e la responsabilità.

Giorni 1–14 — Correggete e recuperate

Ora che sono in atto azioni immediate, passate al contenimento completo e al recupero.

Credenziali e accesso:

• Forzate il reset delle password in tutta l'azienda se non è già stato fatto. Non resettate solo gli account interessati—assumete che il vostro vault di password sia compromesso.
• Implementate o rafforzate l'MFA su tutti i sistemi critici. Qualsiasi credenziale che un attaccante ha comprato sul dark web diventa praticamente inutile se l'MFA è abilitato.
• Corriggete la vulnerabilità di causa principale che ha permesso la violazione. Questo è il vostro elemento di correzione principale. Vulnerabilità + credenziali rubate = compromissione attiva. Patch + credenziali rubate = incidente storico.

Indagine e attribuzione:

• Ingaggiate analisi forense esterna per analisi di causa principale. Dovete sapere: Come sono entrati? Quando? Attraverso quale sistema? Hanno esfiltrare solo dati o li hanno visti? Hanno installato persistenza? Questo informa sia la vostra correzione che il vostro reclamo assicurativo.
• Cercate il movimento laterale nella vostra rete. Se gli attaccanti avevano credenziali valide, probabilmente non hanno solo rubato dati—si sono mossi attraverso la vostra rete. Trovate cosa hanno toccato.

Indurimento operativo:

• Controllate l'accesso di tutti i terzi. Le violazioni di dati sono spesso risalite a fornitori terzi compromessi. Chi ha accesso ai vostri sistemi? Ne hanno ancora bisogno? Lo stanno usando?
• Esaminate e migliorate la copertura MFA. Se l'MFA fosse stata in atto, questa violazione avrebbe causato danni di ordini di grandezza inferiore. Rendetela obbligatoria per tutti gli accessi remoti, tutti gli account privilegiati e tutti i servizi cloud.
• Esaminate e aggiornate il vostro piano di risposta agli incidenti. Ora che lo avete vissuto, scrivete cosa ha funzionato, cosa no e cosa mancava. Aggiornate il vostro elenco di contatti, le vostre procedure di escalation e le vostre relazioni con i fornitori forensi.

Comunicazione e monitoraggio:

• Preparate le comunicazioni ai clienti se necessario. Se i dati dei clienti sono stati compromessi, avrete bisogno di comunicazioni trasparenti e fattuali. Cominciate a redigere ora, ma non inviate fino a consultazione legale.
• Monitorate il dark web per l'esposizione continua dei vostri dati. Gli attaccanti a volte rivendono gli stessi dati più volte. Configurate avvisi per il vostro nome di dominio aziendale, indirizzi email dei dirigenti e nomi dei dipendenti. DarkVault fornisce monitoraggio automatizzato per rilevare esposizioni di follow-up.

Configurazione del monitoraggio continuo dopo una violazione

Una violazione segnala vulnerabilità. E gli attaccanti sono efficienti—rivendono accesso, credenziali e dati più volte su diversi forum criminali.

Se i dati della vostra azienda hanno raggiunto il dark web una volta, avete bisogno del monitoraggio continuo per rilevare se vengono rivenduti, sfruttati per attacchi di follow-up o raggruppati con altre violazioni.

Configurate avvisi del dark web per:

• Il vostro nome di dominio aziendale (per credenziali aziendali, strumenti interni, email commerciale)
• Nomi dei dirigenti e indirizzi email personali (per spear-phishing mirato)
• Nomi di prodotti chiave o segreti commerciali (per furto di PI o intelligence competitiva)
• Il vostro settore verticale + dimensione azienda (gli attaccanti profilano obiettivi per settore)

Non aspettate la prossima violazione per iniziare il monitoraggio. Ogni azienda della vostra dimensione è target. Iniziate a monitorare il dark web ora per rilevare l'esposizione prima che sia sfruttata. DarkVault fornisce scansioni continue del dark web e avvisi in tempo reale così sapete immediatamente quando i vostri dati compaiono.

Revisione post-incidente e rapporto al consiglio

Una volta contenuta la crisi immediata, il vostro consiglio e le parti interessate vorranno risposte.

Analisi di causa principale:

• Cosa è effettivamente accaduto? Quale vulnerabilità è stata sfruttata? Era una vulnerabilità nota e corretta che non era stata distribuita in produzione? Era uno zero-day? Era ingegneria sociale o compromissione di credenziali?
• Avrebbe potuto essere prevenuto? (Determina responsabilità azionista e copertura assicurativa cyber)

Riconstruzione cronologica:

• Quando sono stati effettivamente rubati i dati?
• Quando siete venuti a conoscenza?
• Come siete venuti a conoscenza? (Rilevamento interno, avviso esterno, monitoraggio dark web?)
• Questa cronologia è critica per la conformità normativa e i reclami assicurativi.

Lezioni normative e finanziarie:

• Quanto è costata la notificazione? (Ore di avvocati, PR, analisi forense)
• Avete rispettato tutti i termini normativi?
• Quale copertura ha fornito la vostra assicurazione cyber?
• Cosa non sarà coperto a causa di clausole di negligenza?

Template di presentazione al consiglio:

Il vostro consiglio farà tre domande: Cosa è accaduto? Quanto è costato? Come lo preveniamo la prossima volta? Strutturate la vostra presentazione intorno a queste tre domande.

• Cosa è accaduto: Un paragrafo. Nessun gergo. Solo fatti.
• Impatto: Dati compromessi (tipi, volume), sistemi interessati, clienti colpiti, notifiche normative richieste.
• Risposta: Cronologia delle azioni intraprese, costo della risposta all'incidente, sanzioni/penalità normative, stima del danno reputazionale.
• Prevenzione: Quali cambiamenti state facendo per prevenire la ricorrenza. Budget richiesto.

FAQ

Quanto tempo rimangono i dati aziendali sul dark web?

Indefinitamente. Una volta che i dati sono sul dark web, assumete che siano permanentemente disponibili. Vengono rivenduti, raggruppati in nuovi set di dati e condivisi su forum. Il dark web è essenzialmente un archivio permanente. La vostra strategia di correzione deve assumere che i vostri dati siano compromessi per sempre—concentratevi sulla minimizzazione dei danni attraverso la rotazione delle credenziali, l'MFA e il monitoraggio.

Posso far rimuovere i miei dati dal dark web?

Praticamente parlando, no. Alcuni venditori claim che possono, ma stanno essenzialmente pagando un operatore di forum per delist i vostri dati—e non c'è garanzia che un'altra copia non stia già circolando. La vostra energia è meglio spesa in difesa (MFA, monitoraggio, controlli di accesso) che in rimozione.

Trovare i miei dati sul dark web significa definitivamente che sono stato hackerato?

Trovare credenziali di dipendenti sul dark web significa che quelle credenziali sono compromesse. Se questo rappresenta una violazione attiva dei vostri sistemi dipende da come le credenziali sono state esposte. Potrebbero essere dati vecchi da un incidente non correlato, o potrebbero segnalare un intruso attivo adesso. Ecco perché l'indagine forense è critica—determina se state affrontando esposizione storica o pericolo presente.