Inchieste · Cybersicurezza e Studio Professionale

Contenuto sponsorizzato · In collaborazione con Cyber4you

Quando il dossier di un cliente finisce sul dark web. Cosa stanno scoprendo gli studi legali italiani sulla sicurezza informatica, e perché la responsabilità non è del consulente IT

Lo scorso settembre, uno studio legale italiano specializzato in diritto tributario internazionale è stato colpito da un attacco ransomware. Negli stessi giorni, un secondo studio italiano è finito sulla stessa lista. Pochi mesi prima, un noto club calcistico aveva subito un'estorsione basata sulla violazione del GDPR. Tre vicende diverse, una sola responsabilità: l'avvocato — non il suo informatico — risponde personalmente di ciò che la sua rete espone all'esterno.

Il 2 settembre 2025, sul forum del gruppo ransomware Everest, è apparso un nuovo post. Il gruppo annunciava di aver violato i sistemi informatici di uno studio legale italiano specializzato in diritto tributario internazionale, contenzioso fiscale, IVA e dogane. Nel post, una minaccia esplicita: i dati riservati esfiltrati sarebbero stati pubblicati nel dark web in caso di mancato avvio delle trattative.

La notizia è circolata immediatamente nei portali specializzati di cybersecurity — Ransomware.live, DeXpose, HookPhish — ma con una visibilità contenuta sulla stampa generalista. Negli ambienti professionali, la reazione è stata diversa. Per gli avvocati italiani che lavorano con dossier di clientela internazionale, il fatto che uno studio strutturato, con clientela corporate e contenzioso tributario internazionale, fosse stato colpito ha rappresentato uno spartiacque: se può succedere a uno studio così, può succedere a chiunque.

E in effetti, nello stesso mese di settembre, un secondo studio legale italiano è apparso sulle liste di rivendicazione di gruppi ransomware. Il rapporto pubblicato ad ottobre 2025 dal portale Insicurezza Digitale sui dati Ransomfeed lo conferma: 5 dei 9 attacchi rivendicati in Italia nel solo mese di settembre 2025 sono stati eseguiti dal gruppo Everest, e gli studi legali figurano in modo prominente tra i bersagli, accanto a società del manifatturiero e dei servizi fiduciari.

Quello che il pubblico ha letto, nei comunicati pubblicati dagli studi colpiti, è stato un linguaggio professionale, contenuto, focalizzato sul ripristino della normalità. Quello che la categoria ha discusso, nelle conversazioni interne tra avvocati e nelle riviste professionali, è qualcosa di diverso e più scomodo: chi risponde, davanti al cliente, davanti al Garante, davanti al Consiglio dell'Ordine, dei dati riservati che finiscono sul dark web?

«L'avvocato — non il suo informatico — risponde personalmente di ciò che la sua rete espone all'esterno.»

Il segreto professionale e l'articolo 32 del GDPR: due responsabilità che non si possono delegare

Il primo equivoco da chiarire è quello sulla figura del consulente informatico esterno dello studio. Per la maggior parte degli studi italiani, la sicurezza informatica è un tema che si affronta una volta all'anno: il consulente IT fa il giro, aggiorna antivirus, controlla i backup, firma la dichiarazione di conformità GDPR. Per il professionista titolare, è un sollievo. Significa, nella percezione, che la sicurezza è "delegata" — e che se domani succedesse qualcosa, la responsabilità sarebbe del tecnico, non dell'avvocato.

È esattamente questa la convinzione che la giurisprudenza italiana ed europea sta smontando, sentenza dopo sentenza, dal 2018.

L'articolo 32 del GDPR pone in capo al titolare del trattamento l'obbligo di adottare "misure tecniche e organizzative adeguate al rischio". Il titolare, in uno studio legale, è l'avvocato. Non il consulente IT. Non lo studio in quanto persona giuridica. Il professionista, in via personale, anche penalmente in alcune fattispecie.

L'orientamento del Garante per la Protezione dei Dati Personali, in numerosi provvedimenti recenti, è chiaro: la delega tecnica al consulente esterno non solleva il professionista dalla responsabilità di vigilare sull'adeguatezza delle misure. Il principio è quello dell'accountability: l'avvocato deve essere in grado di dimostrare, in caso di incidente, di aver attivato presidi adeguati al rischio. La fattura del consulente, il rinnovo dell'antivirus, il firewall configurato cinque anni fa — non sono prove sufficienti.

A questo si aggiunge la direttiva NIS2, in vigore dal 18 ottobre 2024 con sanzioni in piena applicazione dal 2025. Ha introdotto una responsabilità diretta dell'organo amministrativo dell'ente: per gli studi in società tra professionisti la responsabilità è degli amministratori, per gli studi individuali resta al titolare. E sopra tutto, il segreto professionale: l'art. 28 del Codice Deontologico Forense impone il riserbo, e la sua violazione anche solo per negligente custodia costituisce illecito disciplinare. Il Consiglio dell'Ordine può disporre sanzioni dall'avvertimento alla sospensione, fino alla cancellazione dall'albo nei casi più gravi.

Tre livelli insieme — accountability GDPR, responsabilità NIS2, segreto deontologico — disegnano una professione in cui la sicurezza informatica non è più un capitolo del bilancio dello studio: è una componente strutturale della responsabilità professionale stessa.

"Quattordici giorni dentro la mia casella mail. Senza che nessuno se ne accorgesse."

Il caso dello studio tributario internazionale colpito a settembre 2025 è il caso noto, mediatizzato negli ambienti di cybersecurity. Ma per capire come arrivano gli attacchi negli studi italiani — e perché arrivano — è utile guardare a una vicenda meno visibile, ricostruita tramite una fonte interna a un consulente specializzato in sicurezza informatica per studi professionali del Nord Italia.

Lo studio in questione — chiamiamolo, per ovvi motivi di riservatezza, Studio L. & Partners — è un boutique milanese specializzato in diritto societario e M&A, venticinque dipendenti tra avvocati e amministrativi, fatturato di circa due milioni di euro l'anno. Il titolare, sessantadue anni, ha ereditato lo studio dal padre nei primi anni Duemila e lo ha portato attraverso la digitalizzazione con una certa cautela professionale: nel 2018, dopo l'entrata in vigore del GDPR, aveva incaricato un consulente IT esterno — fidato, presente da quindici anni — di mettere lo studio a norma. Antivirus aziendale, firewall a norma, backup automatico in cloud, autenticazione VPN per il lavoro da remoto. Una configurazione che, almeno sulla carta, copriva gli obblighi minimi.

Una mattina di fine ottobre 2024, alle nove circa, una delle praticanti dello studio ha aperto una mail apparentemente normale dell'ufficio amministrativo: la richiesta di rinnovare la password del gestionale dello studio per l'aggiornamento di sistema previsto per il fine settimana. La praticante, ventiquattro anni, aveva già visto mail simili nei mesi precedenti — la procedura di rinnovo password era effettivamente periodica. Ha cliccato sul link, ha inserito le credenziali nella schermata che le si è aperta. Una schermata identica al portale interno dello studio, ma ospitata su un dominio leggermente diverso. Non se n'è accorta nessuno.

Da quel momento, qualcuno — non si sa ancora chi — leggeva ogni mail in entrata e in uscita di una delle praticanti dello studio. Quattordici giorni, racconta il consulente IT esterno chiamato dopo l'incidente, in cui gli attaccanti hanno avuto accesso completo alla casella di posta. In quei quattordici giorni, sono passate dichiarazioni dei redditi di clienti privati ad alto patrimonio. Bozze di ricorsi tributari. Comunicazioni con un amministratore delegato di una società quotata in fase di trattativa per una fusione. Documenti riservati relativi a un contenzioso familiare in cui era coinvolto un personaggio dello spettacolo italiano. Tutta corrispondenza che — per la lentezza di trasmissione dei dossier interni dello studio — passava prevalentemente via mail.

«Quando il consulente IT mi ha chiamato, una sera a casa, e mi ha detto che secondo le sue verifiche qualcuno aveva avuto accesso alla casella di una collaboratrice per due settimane, mi sono dovuto sedere. Non per i soldi — non c'erano stati danni patrimoniali diretti, nessun bonifico deviato. Per la lista delle persone di cui qualcuno conosceva, in quel momento, dossier riservati. Clienti che mi avevano dato il loro nome con la fiducia di chi sta consegnando la propria storia, la propria famiglia, le proprie cose. E io non avevo idea, in quel momento, di chi avesse cosa.»

I venti giorni successivi, ha raccontato il titolare — chiamiamolo Avvocato L. — sono stati i più difficili della sua carriera. Notifica al Garante entro 72 ore (art. 33 GDPR), comunicazione individuale a ciascun cliente potenzialmente esposto — telefonate di persona, non per email — coordinamento con gli avvocati dei clienti più strutturati che chiedevano valutazione di danno e perizia di conformità, confronto con il Consiglio dell'Ordine territoriale per chiarire la propria posizione.

«Tre clienti hanno cambiato studio nei sei mesi successivi. Non perché mi accusassero di qualcosa. Per il fatto, semplicemente, che per loro il rapporto fiduciario si era incrinato. E avevano ragione. Il rapporto fiduciario è fatto di un milione di cose piccole e una sola cosa grande: che quando mi parli, le tue cose restano dentro lo studio. Quel patto, una volta che si rompe, non lo aggiusti più con le scuse.»

Il caso del club calcistico: quando il GDPR diventa la leva dell'estorsione

Per chi pensa che la responsabilità GDPR sia un problema teorico, vale la pena ripercorrere brevemente quanto successo nel novembre 2024 a un noto club calcistico italiano di Serie A.

Il club è stato colpito da un gruppo ransomware tra i più attivi a livello globale. Gli attaccanti hanno sottratto circa 200 gigabyte di dati, comprensivi di contratti di calciatori e dirigenti, strategie aziendali interne, comunicazioni riservate e — questo è il punto che ha fatto scuola — informazioni personali identificabili soggette al GDPR. Il club, secondo quanto riportato all'epoca dalla stampa specializzata internazionale, ha rifiutato di pagare il riscatto.

La leva esplicita dell'estorsione, in quel caso, è stata particolarmente sofisticata: il gruppo ransomware ha dichiarato pubblicamente che il club non disponeva di misure di sicurezza adeguate ai sensi del GDPR, e che la pubblicazione dei dati avrebbe esposto la società a sanzioni amministrative del Garante che potevano arrivare al 2% del fatturato globale annuo, ovvero — secondo le stime di settore — fino a circa dieci milioni di euro. In altre parole: l'estorsione non veniva fatta soltanto sulla disponibilità dei dati, veniva fatta sulla non-conformità stessa dell'organizzazione. "Pagaci, oppure paghi al Garante una cifra dieci volte più alta del nostro riscatto."

Questo modello di estorsione — reso popolare dal caso del club calcistico ma ormai diffuso — applicato a uno studio professionale ha conseguenze drammatiche. Per uno studio legale italiano colpito dallo stesso schema, le sanzioni amministrative sarebbero rapportate al fatturato dello studio. Per uno studio da due milioni, fino a quarantamila euro. Per uno studio strutturato da venti milioni, fino a quattrocentomila. A questi si aggiungerebbero — questo è il punto che spesso sfugge — le azioni di responsabilità civile dei singoli clienti i cui dati siano stati esposti. Non sanzioni amministrative: cause civili, una per cliente, ognuna con la sua perizia, ognuna con il suo costo legale, ognuna con il suo danno reputazionale.

Il SOC italiano per studi professionali. Una storia che parte da quarant'anni fa.

La domanda, a questo punto, è operativa: cosa può fare concretamente un avvocato titolare di uno studio per dimostrare l'accountability che il GDPR richiede e ridurre il rischio di un incidente che la giurisprudenza imputerà comunque a lui?

La risposta, secondo gli operatori specializzati che da anni lavorano con la categoria forense, sta in una distinzione che le grandi banche e le società quotate hanno chiara da tempo, e che gli studi legali italiani stanno scoprendo solo adesso, in genere troppo tardi.

Il consulente IT esterno dello studio fa un lavoro fondamentale: manutiene i sistemi, aggiorna i software, configura i firewall, gestisce i backup, supporta i collaboratori quando qualcosa non va. Lavora di giorno, su appuntamento, su cose che si vedono. È, diciamo così, il medico di base dello studio: chiamato quando serve, presente nei controlli di routine, importante.

Ma per esattamente la stessa ragione per cui un medico di base non sostituisce un cardiologo, un consulente IT non sostituisce un Security Operations Center — un SOC. Sono due mestieri diversi, con strumenti diversi, formazione diversa, ritmo di lavoro diverso. Il consulente IT lavora di giorno, su cose che si vedono. Un SOC lavora ventiquattr'ore su ventiquattro, in tempo reale, su cose che — appunto — sono studiate per non farsi vedere.

Quattordici giorni di lettura silenziosa della casella di posta di una praticante — il caso dello Studio L. & Partners — sono il tipo di intrusione che si rileva solo se qualcuno sta guardando il traffico di rete in tempo reale, ventiquattr'ore al giorno, con strumenti di analisi che sanno distinguere un comportamento anomalo da uno normale. Il consulente IT, per quanto bravo, per definizione del proprio ruolo non può fare questo. Lo fa un SOC.

Negli ultimi dieci anni sono nati in Italia operatori specializzati che offrono servizi SOC dimensionati per gli studi professionali, con costi accessibili e — punto altrettanto importante per la categoria forense — interlocutori italiani in Italia, soggetti alla giurisdizione italiana e quindi anch'essi vincolati al GDPR e al segreto professionale dei dati che proteggono.

Tra questi, Cyber4you — il servizio SOC della società B4Web srl — è uno di quelli che ha investito di più sul taglio "studi professionali italiani". Il gruppo opera nella sicurezza da quarant'anni, dalla vigilanza fisica alla cybersecurity. Sessantacinque persone, tre sedi operative in Italia, una centrale operativa attiva ventiquattr'ore su ventiquattro dove sorvegliano allo stesso tavolo gli ingressi di un'azienda e la sua rete informatica.

«Per uno studio legale, la differenza la fa il fatto che noi siamo tenuti agli stessi obblighi di riservatezza dei nostri clienti professionisti. Non è un dettaglio — è il presupposto perché il rapporto possa esistere. Quando un avvocato ci dà accesso al traffico di rete del proprio studio per consentirci la sorveglianza, ci sta consegnando, in chiaro, materiale coperto dal segreto professionale. Lo facciamo lavorando in Italia, sotto giurisdizione italiana, con persone vincolate ai nostri stessi codici. Non è un servizio commodity. È un'estensione operativa della responsabilità deontologica dello studio.»

L'altro punto importante è che il SOC di Cyber4you non sostituisce il consulente IT esistente dello studio. I due ruoli convivono. Il consulente IT fa quello che ha sempre fatto — manutenzione, supporto, configurazione, gestione operativa. Il SOC fa la sorveglianza ventiquattr'ore. Insieme coprono quello che separatamente lasciavano scoperto. È esattamente per questa ragione che la maggior parte degli studi che attivano un SOC non interrompe il rapporto con il proprio consulente IT — anzi, spesso il consulente stesso suggerisce l'integrazione del SOC come complemento al proprio lavoro, e come elemento di copertura delle proprie responsabilità.

Lo Studio L. & Partners, dopo l'incidente di ottobre 2024, si è rivolto a un operatore specializzato. Da diciotto mesi non ha registrato alcun nuovo evento di sicurezza. Il titolare ha riacquistato la fiducia dei clienti rimasti — tre persi sui sessanta che aveva — ed è in fase di ricostruzione del portafoglio nuovi clienti. La differenza, racconta oggi, non è solo nella protezione tecnica, ma in una postura completamente diversa nel rapporto con il cliente.

«Quando un cliente nuovo viene da me oggi e mi affida la sua pratica, posso dirgli — in modo verificabile, documentato, ispezionabile — che il suo dossier è custodito da uno studio coperto da sorveglianza informatica ventiquattr'ore su ventiquattro, gestita da analisti italiani, in Italia, soggetti agli stessi obblighi di riservatezza ai quali sono soggetto io. Non è una promessa che facevo cinque anni fa. Adesso la faccio. Ed è un argomento che alcuni clienti, sopra una certa fascia, mi chiedono esplicitamente prima di firmare la procura.»

Lo studio tributario internazionale colpito a settembre, lo Studio L. & Partners, il club calcistico italiano. Tre vicende diverse — uno studio strutturato attaccato pubblicamente, uno studio mid-market colpito senza che nessuno se ne accorgesse, un grande club che ha subito un'estorsione fondata sulla violazione del GDPR — separate da geografia, dimensione e settore. Eppure raccontano la stessa cosa: la sicurezza informatica, per chi tratta dati riservati di clienti, non è un capitolo del bilancio. È una componente strutturale della responsabilità professionale, e come tale non si delega. Si supervisiona.

E come ogni supervisione professionale seria, lavora soprattutto di notte.