Redazione MailSniper
Autore
Parliamoci chiaro: quasi tutte le aziende italiane usano le email ogni giorno per scambiare dati personali, contratti, fatture, documenti sanitari, informazioni riservate. Eppure quasi nessuna si e' mai chiesta se il modo in cui gestisce la posta elettronica sia conforme al GDPR.
Non e' una provocazione. E' quello che emerge da ogni audit privacy che abbiamo visto negli ultimi tre anni. Le email sono il punto cieco della compliance. Tutti pensano ai cookie banner, ai consensi sul sito, alle informative privacy. Nessuno pensa al fatto che ogni singola email che invii o ricevi e' un trattamento di dati personali.
E il Regolamento Generale sulla Protezione dei Dati ha qualcosa da dire su come li tratti.
Partiamo dalle basi, perche' qui si gioca tutto. L'articolo 4 del GDPR definisce "dato personale" qualsiasi informazione che possa identificare una persona fisica, direttamente o indirettamente.
Un indirizzo email tipo mario.rossi@azienda.it? Dato personale. Il nome nel campo "Da"? Dato personale. Il contenuto dell'email con informazioni su un cliente, un dipendente, un paziente? Dato personale.
Questo significa una cosa semplice e scomoda: ogni email che la tua azienda invia, riceve, archivia o cancella e' un trattamento di dati personali. Non solo le email di marketing con la mailing list. Tutte.
Quella email che hai mandato stamattina al commercialista con la busta paga di un dipendente? Trattamento. La risposta del fornitore con i dati bancari per il bonifico? Trattamento. L'email del cliente che ti manda una copia del documento d'identita'? Trattamento.
E ogni trattamento deve rispettare le regole del GDPR. Non "dovrebbe". Deve.
Ecco dove la maggior parte delle aziende scopre di avere un problema. Il GDPR non parla esplicitamente di "email" — parla di dati personali, e le email ne sono piene. Questi sono i cinque obblighi che quasi certamente ti riguardano.
L'articolo 32 del GDPR richiede "misure tecniche e organizzative adeguate" per garantire la sicurezza dei dati. Per le email, questo si traduce in due cose concrete:
La domanda che dovresti farti: il tuo provider email garantisce crittografia TLS su tutte le comunicazioni? Puoi verificare la configurazione dei tuoi record DNS per avere un primo riscontro.
Se qualcuno accede alle email aziendali senza autorizzazione — un attacco phishing riuscito, un account compromesso, un dipendente che apre un allegato malevolo — hai 72 ore per notificare il Garante Privacy. Non giorni lavorativi. Ore. Include sabato, domenica e festivi.
E se il breach comporta un "rischio elevato" per le persone coinvolte (pensa: dati sanitari, dati finanziari, documenti d'identita'), devi notificare anche loro. Ogni singola persona i cui dati sono stati esposti.
Il problema? La maggior parte delle aziende scopre un breach email dopo settimane, non ore. E a quel punto le 72 ore sono gia' scadute, la sanzione e' gia' maturata, e il danno reputazionale e' gia' fatto.
Se usi un provider email esterno — Microsoft 365, Google Workspace, o qualsiasi servizio in cloud — quel provider e' un "responsabile del trattamento" ai sensi del GDPR. E l'articolo 28 richiede un contratto scritto (DPA, Data Processing Agreement) che specifichi:
Hai mai letto il DPA del tuo provider email? La maggior parte delle aziende non sa nemmeno che esiste. Eppure senza un DPA valido, ogni email che transita su quel servizio e' un trattamento illecito.
Dopo la sentenza Schrems II della Corte di Giustizia Europea, il trasferimento di dati personali fuori dallo Spazio Economico Europeo e' diventato un campo minato normativo. E le email sono dati personali.
Se il tuo provider email elabora i dati su server negli USA — e molti lo fanno, anche quando dicono di avere data center in Europa — devi garantire che esistano "garanzie adeguate" per quel trasferimento. Le Standard Contractual Clauses (SCC) sono il meccanismo piu' comune, ma non sono un timbro magico: richiedono una valutazione d'impatto caso per caso.
La realta'? La maggior parte delle PMI italiane usa Office 365 o Gmail senza avere la minima idea di dove finiscano i dati delle email. E il Garante Privacy italiano ha gia' dimostrato di prendere questa questione molto sul serio.
Un tuo ex cliente ti scrive e ti chiede di cancellare tutti i dati che lo riguardano. Incluse le email. Puoi farlo? Sai dove sono archiviate tutte le email che contengono i suoi dati? Nei backup? Nell'archivio del commercialista? Nel telefono del commerciale?
L'articolo 17 (diritto alla cancellazione) e l'articolo 20 (portabilita' dei dati) si applicano anche ai dati contenuti nelle email. E se non hai un sistema per tracciare, cercare e cancellare quei dati, hai un problema di compliance.
Il GDPR prevede sanzioni fino al 4% del fatturato annuo globale o 20 milioni di euro, a seconda di quale importo sia superiore. E non sono solo parole su un regolamento che nessuno applica.
Il Garante Privacy italiano ha emesso centinaia di provvedimenti tra il 2024 e il 2025. Alcuni esempi concreti:
Non servono hack clamorosi o data breach da milioni di record. Basta una email con dati sensibili inviata al destinatario sbagliato. Basta un account email compromesso da un attacco phishing banale. Basta non avere un DPA con il tuo provider.
E con la Direttiva NIS2 entrata in vigore, gli obblighi di sicurezza informatica — inclusa la protezione delle email — si sono estesi a un numero molto piu' ampio di aziende e settori.
Usiamo un provider email, quindi siamo a posto. Giusto? Non esattamente.
Microsoft offre un DPA e ha data center in Europa. Ma i dati possono comunque essere elaborati negli USA per finalita' di sicurezza, diagnostica e supporto. Post-Schrems II, questo e' un punto critico. Inoltre, la protezione antispam base (Exchange Online Protection) non e' sufficiente a bloccare le minacce avanzate che portano ai breach.
Situazione simile. Google ha aggiornato le SCC, ma il DPA e' complesso, i sub-responsabili sono decine, e la trasparenza su dove esattamente vengono elaborati i dati non e' sempre cristallina. Per una PMI italiana senza un DPO dedicato, navigare quella documentazione e' un'impresa.
Problema opposto: i dati restano in Italia, ma spesso la sicurezza e' base. Niente sandboxing, niente analisi comportamentale, niente protezione BEC. Un attacco phishing riuscito che porta a un breach, e ti ritrovi con un problema GDPR anche se i server sono a Milano.
MailSniper non e' un tool per la compliance GDPR — e' un sistema di protezione email che risolve i problemi che causano le violazioni GDPR. La differenza e' importante.
Dati elaborati esclusivamente in Europa. I server di analisi sono in data center europei. Le tue email non escono dall'UE per essere analizzate. Nessun trasferimento transatlantico, nessuna complicazione Schrems II. Punto.
Logging e audit trail completo. Ogni email analizzata, bloccata o consegnata viene tracciata. Se il Garante ti chiede di dimostrare quali misure di sicurezza avevi in atto al momento di un incidente, hai la documentazione. Non e' un dettaglio — e' la differenza tra "misure adeguate" e "negligenza".
Protezione da data breach via email. Il 90% dei breach aziendali parte da un'email. Un attacco phishing che ruba le credenziali, un ransomware che cifra i dati, un attacco BEC che svuota il conto. MailSniper blocca queste minacce prima che arrivino alla casella. Niente breach, niente notifica 72 ore, niente sanzione.
Blocco allegati sensibili in uscita. Un dipendente sta per inviare un foglio Excel con i dati personali di 500 clienti a un destinatario esterno non autorizzato? MailSniper puo' intercettare e bloccare. La protezione non e' solo in entrata.
Scopri chi siamo e perche' centinaia di aziende italiane ci hanno scelto per proteggere le loro email.
Prima di chiudere, ecco cinque verifiche che puoi fare subito. Se anche solo una risposta e' "no" o "non lo so", hai un problema di compliance.
Il GDPR non e' una burocrazia da ignorare finche' non arriva il controllo. E' un framework di protezione dei dati che, se applicato correttamente, protegge la tua azienda tanto quanto i tuoi clienti. E le email sono il punto dove la maggior parte delle aziende e' piu' esposta.
La buona notizia? Non serve stravolgere tutto. Serve capire dove sei oggi, identificare i gap, e colmarli con le misure giuste. Un provider email sicuro, un DPA in regola, un sistema di protezione avanzato, una procedura di risposta agli incidenti.
Se vuoi iniziare dalla protezione — perche' il modo migliore per non dover notificare un breach e' evitare che accada — prova MailSniper gratis per 30 giorni. Nessuna carta di credito, nessun contratto. Vedi come funziona, vedi cosa blocca, decidi con calma.
Perche' il GDPR non aspetta che tu sia pronto. E' gia' in vigore. E le tue email continuano a viaggiare.
Redazione MailSniper
Team MailSniper
Esperti di sicurezza email e protezione aziendale. Il team MailSniper analizza quotidianamente le minacce informatiche per offrire soluzioni all'avanguardia alle aziende italiane.
Scopri chi siamoIl GDPR impone obblighi specifici sulla sicurezza delle comunicazioni email. Ecco cosa devono sapere le aziende italiane per essere conformi e protette.
LeggiIl social engineering ha aggirato l'autenticazione a due fattori di Odido, esponendo milioni di clienti. Un caso che insegna alle PMI italiane quanto vale davvero il fattore umano nella sicurezza aziendale.
LeggiRimborsi falsi, cartelle esattoriali urgenti, PEC compromesse: le truffe via email che sfruttano il nome dell'Agenzia delle Entrate sono sempre piu' sofisticate. Ecco i 5 tipi piu' comuni nel 2026, i 7 segnali per riconoscerle e cosa fare per proteggerti.
LeggiRicevi i nostri articoli e consigli direttamente nella tua casella di posta.
Scopri come MailSniper puo' proteggere le tue email aziendali con tecnologia AI di livello enterprise.