na mattina di settembre 2025. Sul forum di un gruppo ransomware appare un nuovo post: annunciano la violazione dei sistemi di uno studio legale italiano specializzato in diritto tributario internazionale. Nei giorni successivi, un secondo studio italiano finisce sulle stesse liste. La categoria ha discusso il fatto nelle riviste di settore, sotto la formula sobria con cui questi episodi vengono riportati.

Ma quello che la categoria sta scoprendo, caso dopo caso, è una domanda scomoda: chi risponde, davanti al cliente e davanti al Garante, dei dati riservati che finiscono sul dark web?

Quattordici giorni di accesso, tre clienti persi

Il caso che documenta meglio la dinamica è quello di uno studio legale di Milano, 25 dipendenti, fatturato 2 milioni di euro. La ricostruzione tecnica, condotta dalla polizia giudiziaria, ha messo in fila i passaggi.

Tutto parte da una mail di phishing, ricevuta da un praticante junior. Oggetto: «Aggiornamento credenziali Office 365». Aspetto in tutto identico a una comunicazione legittima. Credenziali inserite, accesso compromesso. Da quel momento, quattordici giorni di intrusione silenziosa nella casella mail del praticante. Nessun alert. Nessun software che segnala anomalie.

In quei quattordici giorni, gli attaccanti hanno letto integralmente i thread con tre clienti corporate di alto profilo. Dossier fiscali, strategie processuali, comunicazioni privilegiate avvocato-cliente. Una volta completata l'esfiltrazione, lo studio è stato contattato direttamente: pagamento del riscatto in cambio della non-pubblicazione. Per pressione, un primo sample di documenti viene pubblicato sul dark web come leva ricattatoria.

Lo studio decide di non pagare. Notifica al Garante entro le 72 ore previste dall'articolo 33 del GDPR. Comunicazione formale ai tre clienti coinvolti. L'esposizione mediatica viene contenuta. Ma il danno strutturale arriva dopo.

«Tre clienti hanno cambiato studio nei sei mesi successivi. Non perché ci accusassero. Per il fatto che il rapporto fiduciario, una volta incrinato, non lo aggiusti più con le scuse.» — il Managing Partner