Risposta breve: sì, molto spesso lo è — o quantomeno va trattato come tale finché non si dimostra il contrario. Quando su un sito WordPress compare del codice malevolo, la tentazione è quella di considerarlo un semplice problema tecnico: “il sito è stato bucato, lo ripuliamo e via”. In realtà, se quel sito raccoglie o gestisce dati personali (e quasi tutti i siti lo fanno), l'infezione può configurare una violazione di dati personali ai sensi del GDPR, con obblighi precisi e tempi molto stretti da rispettare.

In questo articolo spieghiamo, con parole semplici, perché un malware è quasi sempre una questione di privacy oltre che di sicurezza, quando scatta l'obbligo di notifica al Garante, e cosa dovrebbe fare concretamente una PMI che si trova in questa situazione.

Cosa intendiamo per “malware” su WordPress

WordPress è il sistema più usato al mondo per costruire siti web, e proprio la sua diffusione lo rende un bersaglio privilegiato. Nella stragrande maggioranza dei casi le infezioni non nascono da WordPress in sé, ma da plugin o temi vulnerabili, password deboli o installazioni non aggiornate.

I tipi di malware più comuni includono:

  • Web shell e backdoor: file nascosti che permettono all'attaccante di rientrare nel sito quando vuole, anche dopo un primo intervento di pulizia.
  • Skimmer e furto di dati dai form: codice inserito nelle pagine (spesso in checkout o form di contatto) che intercetta ciò che gli utenti digitano — email, dati anagrafici, in casi gravi anche dati di pagamento.
  • Redirect e spam injection: reindirizzamenti verso siti truffa o inserimento di contenuti indesiderati che danneggiano reputazione e posizionamento.
  • Creazione di utenti amministratori fittizi: l'attaccante si crea un accesso privilegiato per controllare il sito dall'interno.

Un caso reale ed emblematico, ormai un classico della sicurezza WordPress, è quello del plugin “WP GDPR Compliance” (la vulnerabilità risale al 2018): un difetto critico permetteva ad attaccanti non autenticati di creare nuovi account amministratore e installare plugin malevoli contenenti web shell. Paradossalmente, uno strumento nato per aiutare la conformità al GDPR è diventato la porta d'ingresso per compromettere oltre centomila siti. È un promemoria utile: la sicurezza non è mai un adempimento fatto “una volta per tutte”.

Perché un malware diventa spesso un data breach

Il GDPR definisce la “violazione di dati personali” (in inglese data breach) in modo molto ampio. Non si tratta solo del furto di dati: è una violazione anche la perdita di riservatezza (qualcuno accede a dati che non dovrebbe vedere), la perdita di integrità (i dati vengono alterati) e la perdita di disponibilità (i dati diventano inaccessibili, ad esempio dopo un attacco ransomware).

Ora colleghiamo i due mondi. Un sito WordPress compromesso significa quasi sempre che un soggetto non autorizzato ha ottenuto accesso al sistema che ospita dati personali. E quali dati contiene tipicamente un sito? Molti più di quanto si immagini:

  • gli indirizzi email e i nomi degli utenti registrati e degli account amministratori;
  • i dati inviati tramite i moduli di contatto o di iscrizione alla newsletter;
  • gli ordini, gli indirizzi di spedizione e i dati dei clienti se c'è un e-commerce (WooCommerce);
  • i commenti, i profili utente, eventuali aree riservate;
  • in alcuni casi, dati particolarmente sensibili a seconda del settore.

Il punto chiave è questo: quando entra un malware, tu spesso non sai con certezza cosa l'attaccante abbia visto, copiato o modificato. Una web shell dà accesso all'intero filesystem e, molto spesso, anche al database. Ecco perché, dal punto di vista della privacy, non si può liquidare l'evento come “solo un virus”: bisogna partire dal presupposto che i dati personali possano essere stati esposti, e poi verificare.

Questo non significa che ogni infezione sia automaticamente un data breach da notificare. Un defacement puramente estetico su un sito vetrina senza alcun dato personale potrebbe non comportare rischi per le persone. Ma la valutazione va fatta caso per caso, con metodo, e non liquidata d'istinto.

Cosa dice il GDPR: obblighi e tempistiche

Qui arriva la parte che spaventa di più le PMI, ma che in realtà è gestibile se la si conosce in anticipo.

La notifica al Garante (Articolo 33). Se la violazione comporta un rischio per i diritti e le libertà delle persone, il titolare del trattamento deve notificarla all'autorità di controllo — in Italia il Garante per la protezione dei dati personali — senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza. Se si notifica oltre le 72 ore, bisogna spiegare le ragioni del ritardo. È possibile inviare una prima notifica anche con informazioni incomplete e integrarla in seguito: meglio una notifica tempestiva e parziale che una tardiva e “perfetta”.

La comunicazione agli interessati (Articolo 34). Se il rischio per le persone è valutato come elevato, non basta avvisare il Garante: bisogna informare anche gli utenti coinvolti, senza ingiustificato ritardo, così che possano proteggersi (ad esempio cambiando le password o vigilando su usi impropri dei loro dati).

Quando NON è obbligatorio notificare. La notifica è dovuta solo se ricorrono due condizioni: l'incidente ha riguardato dati personali e la violazione comporta un rischio per i diritti e le libertà delle persone. Se il rischio è improbabile, l'obbligo di notifica al Garante può non sussistere — ma questa valutazione va comunque documentata.

Le 72 ore decorrono dalla “consapevolezza”. Non dal momento dell'attacco, ma da quando si ha un ragionevole grado di certezza che una violazione sia avvenuta. La finestra per questa valutazione iniziale dovrebbe però essere breve: non ci si può nascondere dietro il “non ne eravamo sicuri” per settimane.

Le sanzioni. Il mancato rispetto degli obblighi di notifica può esporre a sanzioni amministrative fino a 10 milioni di euro o, per le imprese, fino al 2% del fatturato annuo mondiale. A questo si aggiungono i danni reputazionali e le eventuali richieste di risarcimento da parte degli interessati.

Un aspetto spesso trascurato: anche se ti affidi a un'agenzia o a un hosting per gestire il sito, il titolare del trattamento resti tu. Il fornitore è di norma “responsabile del trattamento” e ha l'obbligo di avvisarti tempestivamente, ma la responsabilità della notifica al Garante ricade su chi decide finalità e mezzi del trattamento — cioè, quasi sempre, l'azienda proprietaria del sito. Per questo è fondamentale avere contratti chiari (i cosiddetti accordi ex art. 28) che definiscano chi fa cosa in caso di incidente.

Cosa fare (in ordine) se scopri un malware

Avere una procedura decisa a mente fredda vale più di qualsiasi reazione affrettata. Ecco i passi essenziali.

  1. > Non cancellare tutto d'impulso. L'istinto è ripulire subito, ma distruggere le prove rende impossibile capire cosa è successo e se dei dati sono stati esposti. Prima di intervenire, conserva copie e log.
  2. > Isola e contieni. Metti il sito in manutenzione o offline se necessario, cambia le password degli account amministratori, del database e dell'accesso FTP/hosting, e revoca eventuali utenti sospetti.
  3. > Preserva i log. I log del server web, dell'hosting e dei plugin di sicurezza permettono di ricostruire quando è avvenuto l'accesso, da dove e cosa è stato toccato. Sono decisivi per valutare se c'è stato un rischio per i dati.
  4. > Valuta l'esposizione dei dati. Con l'aiuto di un tecnico, rispondi alle domande chiave: quali dati personali erano presenti sul sito? Ci sono prove che siano stati letti, copiati o modificati? Quante persone sono potenzialmente coinvolte? Questa analisi è il cuore della decisione sulla notifica.
  5. > Coinvolgi subito chi si occupa di privacy. Il Data Protection Officer (se nominato) o il consulente privacy deve essere allertato immediatamente, perché il conto alla rovescia delle 72 ore è già iniziato.
  6. > Documenta tutto. Il GDPR richiede di tenere un registro delle violazioni anche quando si decide di non notificare. Scrivere nero su bianco cosa è successo e perché si è deciso in un certo modo è una tutela fondamentale in caso di controlli.
  7. > Bonifica e ripristina in sicurezza. Rimuovi il malware, ripristina da un backup pulito e verificato, aggiorna WordPress, plugin e temi, e solo dopo rimetti online il sito.

Prevenire è molto più economico che rimediare

La gran parte delle infezioni WordPress si evita con misure ordinarie e poco costose: aggiornare sempre core, plugin e temi; eliminare plugin inutilizzati; usare password robuste e autenticazione a due fattori; limitare i tentativi di login; installare un web application firewall e un plugin di sicurezza affidabile; effettuare backup regolari e conservarli in un luogo separato dal sito; scegliere un hosting che offra monitoraggio e isolamento.

Sul piano organizzativo, vale la pena preparare in anticipo una semplice procedura di risposta agli incidenti — chi chiamare, dove sono i log, chi decide sulla notifica — così da non improvvisare quando il tempo stringe.

In sintesi

Un malware su un sito WordPress non è “solo” un problema informatico: nella maggior parte dei casi mette in gioco dati personali e va quindi valutato come potenziale data breach ai sensi del GDPR. Questo non vuol dire che ogni infezione debba essere notificata al Garante, ma che ogni infezione va analizzata con quella lente, entro tempi rapidi e con la documentazione adeguata. La regola pratica per una PMI è semplice: tratta ogni compromissione come se avesse toccato dati personali, finché non hai le prove che non sia così — e prepara prima gli strumenti (backup, log, procedure, contatti) che ti permetteranno di rispondere con lucidità nelle 72 ore che contano.

Vale la pena ricordarlo: un sito senza database e senza pannello di login esposto — come quelli costruiti con approcci più moderni — offre molte meno porte da forzare. Se stai pensando a un nuovo progetto, ne parliamo nell'articolo dedicato, “Come fare un sito nel 2026”.

Come possiamo aiutarti

Ti affianchiamo prima, con manutenzione e sicurezza gestite (aggiornamenti, backup, monitoraggio e hardening del sito), e dopo, con la risposta all'incidente e la valutazione del breach quando qualcosa va storto. E se vuoi ridurre il rischio alla radice, valutiamo insieme un sito con meno superficie d'attacco. Parliamone: siamo qui per aiutarti a dormire sonni più tranquilli.

Fonti