L'attacco a Eataly e la NIS2: cosa cambia per le aziende italiane
A giugno Eataly ha subito un attacco al proprio e-commerce, con dati anagrafici, codici fiscali e storico acquisti tutti potenzialmente esposti: quello che vale la pena leggere però è come Eataly ha risposto, con notifica alle autorità entro i termini NIS2 e GDPR, comunicazione diretta ai clienti, logout forzato da tutti gli account e partner di cybersecurity attivati nelle ore successive. È esattamente il processo che la norma richiede, e vederlo applicato da un'azienda italiana concreta vale più di qualsiasi guida teorica. E se ti succedesse domani?
Tempo di lettura: 6 minuti · Cosa è successo · Il processo applicato · Scadenze NIS2 · Come possiamo aiutarti · Cosa impariamo · FAQ
Cosa è successo
Eataly ha subito un attacco informatico alla propria piattaforma e-commerce e ha prontamente notificato l'incidente alle autorità competenti e ai clienti, in conformità con il GDPR e la direttiva NIS2, che classifica la distribuzione alimentare come settore critico e impone standard rigorosi nella gestione della sicurezza. Tra i dati potenzialmente a rischio figurano dati anagrafici, codici fiscali, recapiti e storico degli acquisti, mentre le password sono risultate cifrate correttamente e non vi è alcuna evidenza di download dei dati sensibili. Gli utenti registrati sono stati avvisati via email riguardo al potenziale rischio di phishing.
Dati a rischio e dati al sicuro, in sintesi
| Cosa | Stato |
|---|---|
| Dati anagrafici, codici fiscali, recapiti | Potenzialmente esposti |
| Storico degli acquisti | Potenzialmente esposto |
| Password | Cifrate correttamente |
| Dati delle carte di pagamento | Non memorizzati da Eataly, quindi non coinvolti |
| Download effettivo dei dati | Nessuna evidenza al momento della comunicazione |
Il processo che la norma richiede, applicato
Quello che rende questo caso un riferimento concreto, più che un ennesimo allarme, è la sequenza delle azioni messe in campo nelle ore successive alla scoperta dell'attacco.
È lo stesso schema che molte aziende hanno sulla carta, in un piano di risposta agli incidenti che nessuno ha mai davvero testato: vederlo eseguito da un'azienda italiana riconoscibile, con tempi e passaggi verificabili, vale più di qualsiasi guida teorica sull'argomento.
Le scadenze NIS2 2026 da tenere d'occhio
Il caso Eataly arriva in un momento in cui il calendario NIS2 per i soggetti italiani è già scandito da adempimenti precisi e non prorogabili verso l'ACN, come raccontiamo nell'articolo NIS2 2026: cosa cambia davvero con i nuovi adempimenti ACN e nell'approfondimento sulla categorizzazione ACN del 30 giugno 2026.
| Scadenza | Adempimento |
|---|---|
| 31 maggio 2026 | Designazione del sostituto punto di contatto e aggiornamento dati sul Portale ACN |
| 30 giugno 2026 | Categorizzazione di attività e servizi nelle 10 macro-aree ACN, finestra non prorogabile |
| 31 ottobre 2026 | Completamento adozione delle misure di sicurezza di base |
| 31 dicembre 2026 | Designazione del referente CSIRT |
| 1 gennaio 2027 | Obbligo di notifica incidenti pienamente operativo |
Perché riguarda anche te
La distribuzione alimentare rientra tra i settori indicati come critici dall'allegato II della direttiva NIS2, quindi soggetti a obblighi rafforzati di gestione del rischio e di notifica degli incidenti, ma la logica della norma non si ferma a un elenco di settori: chiunque gestisca dati di clienti, un e-commerce o un'infrastruttura digitale minimamente esposta dovrebbe interrogarsi sulla propria capacità di reagire con la stessa rapidità e trasparenza dimostrata in questo caso.
Cosa può fare Alchimie Digitali per te
La conformità alla NIS2 non si costruisce nei giorni immediatamente successivi a un incidente, ma nella preparazione che li precede, e per questo affianchiamo le aziende con strumenti concreti e non solo documentali. Un buon punto di partenza è il nostro Self-Assessment NIS2 gratuito, che restituisce un report preliminare con score di conformità e priorità di intervento senza salvare alcun dato sul server. Per chi ha bisogno di una valutazione più approfondita c'è l'Audit NIS2 Preliminare, che unisce analisi delle vulnerabilità, revisione dei processi di sicurezza, monitoraggio OSINT e Dark Web e un report finale con azioni correttive puntuali.
Se ti stai chiedendo cosa succederebbe alla tua azienda in un caso simile, o se il tuo piano di risposta agli incidenti esiste solo su carta, è probabilmente il momento giusto per verificarlo prima che sia un attacco a farlo per te.
Cosa impariamo da Eataly
Al di là del singolo incidente, ci sono almeno tre lezioni che restano valide per qualunque azienda gestisca un e-commerce o dati di clienti online. La prima è che il tempo di reazione conta quanto la reazione stessa: Eataly ha bloccato gli accessi con il logout forzato nelle ore immediatamente successive alla scoperta, non giorni dopo, ed è proprio quella rapidità a limitare i danni quando un incidente è ancora in corso. La seconda è che la trasparenza verso i clienti non è un rischio reputazionale ma il contrario: comunicare cosa è successo, cosa è a rischio e cosa è al sicuro, come nel caso delle password rimaste cifrate, costruisce fiducia molto più di un silenzio che poi qualcun altro romperebbe al posto tuo. La terza è che avere già un partner di cybersecurity attivabile in poche ore fa la differenza tra una gestione ordinata e una improvvisata, perché le verifiche tecniche approfondite non si possono organizzare da zero nel momento stesso in cui si scopre l'attacco.
Il punto in comune tra queste tre lezioni è che nessuna si costruisce durante l'emergenza: il logout forzato presuppone un'infrastruttura pronta a farlo, la comunicazione trasparente presuppone un protocollo già scritto e approvato, e il partner di cybersecurity presuppone un rapporto già attivo prima che serva. È esattamente il motivo per cui la NIS2 chiede di prepararsi prima, e non di improvvisare dopo.
Domande frequenti
La NIS2 riguarda solo le grandi aziende?
No: la direttiva individua settori critici e importanti in base all'attività svolta, non solo alla dimensione dell'impresa, e diverse PMI che operano in filiere critiche o come fornitori di aziende soggette a NIS2 si trovano comunque a doverne rispettare i requisiti, anche indirettamente.
Cosa impone concretamente la NIS2 in caso di incidente?
Richiede tempi di notifica precisi alle autorità competenti, una gestione strutturata del rischio informatico e misure di sicurezza proporzionate alla criticità dei processi coinvolti, oltre a una comunicazione trasparente verso gli interessati quando il rischio per i loro diritti è elevato.
Da dove si comincia se non si ha ancora un piano di risposta agli incidenti?
Dalla mappatura di ciò che l'azienda gestisce digitalmente e dalla classificazione del rischio associato, per poi costruire un piano che sia realistico e testato e non un documento pensato solo per un audit, partendo magari da un self-assessment iniziale.
Quanto tempo hanno le aziende per notificare un incidente secondo la NIS2?
Il decreto prevede una pre-notifica entro 24 ore da quando si ha evidenza dell'incidente significativo, una notifica completa entro 72 ore con una prima valutazione di gravità e impatto, e una relazione finale entro un mese dalla notifica, salvo aggiornamenti mensili se la gestione resta aperta più a lungo.
NIS2 e GDPR impongono la stessa notifica?
No, sono obblighi distinti che spesso corrono in parallelo: la NIS2 riguarda la notifica al CSIRT Italia degli incidenti che impattano la continuità dei servizi, mentre il GDPR impone la notifica al Garante Privacy quando c'è una violazione di dati personali, e le due comunicazioni vanno tenute coerenti tra loro pur seguendo canali e finalità diverse.
Cosa rischia un'azienda che non rispetta gli obblighi NIS2?
Oltre alle sanzioni amministrative previste dal decreto, la mancata adozione di un piano di gestione degli incidenti espone l'azienda a un danno reputazionale immediato e a una gestione disordinata proprio nelle ore in cui servirebbe la massima lucidità, come dimostra la differenza tra chi ha un processo già rodato e chi lo improvvisa durante la crisi.
Approfondisci su Alchimie Digitali
Fonte ufficiale della notizia: Cybersecurity360.
