La tassonomia cyber degli incidenti secondo ACN o CSIRT?

Il documento, intitolato "La Tassonomia Cyber dell’ACN" (TC-ACN), pubblicato a novembre 2025, è una guida operativa che definisce “il linguaggio comune per lo scambio di informazioni relative a eventi e minacce di cybersicurezza”. Il documento risulta fondamentale nel caso in cui si dovesse segnalare al CSIRT un incidente nel perimetro della NIS 2. In questo articolo si approfondiscono, dopo una breve introduzione al documento, l’applicazione del documento nel caso degli incidenti che impattano sulla protezione dei dati personali.

La struttura della Tassonomia Cyber di ACN - La tassonomia, che non risulta di immediata comprensione ad una prima analisi, fornisce gli strumenti per definire e descrivere in modo granulare gli eventi cyber. La struttura del documento si articola nelle seguenti sezioni principali:

• Capitolo 1 – “Introduzione” che ne illustra finalità e struttur
• Capitolo 2 – “Riferimenti” dove sono forniti i principali riferimenti a tassonomie cyber (come quelle di ENISA, Trusted Introducer, MITRE Corporation, Unione Europea e NATO) che sono state analizzate per la definizione della Tassonomia Cyber dell’ACN.
• Capitolo 3 – “La tassonomia degli eventi cyber di ACN” in questo è il capitolo centrale che definisce la Tassonomia Cyber di ACN. La TC-ACN è composta da un insieme di attributi che caratterizzano gli eventi cyber. In totale, la tassonomia include 219 “valori” organizzati in 21 “predicati”, che sono raggruppati in 4 “macrocategorie”.
• Appendice - l’Appendice riporta in forma grafica di sintesi la Tassonomia Cyber dell’ACN che comprende l’elenco completo dei 219 valori della TC-ACN.

Stando alle definizioni riportate nel documento si definisce:

• “macrocategoria”, un gruppo di predicati con caratteristiche affini;
• “predicato”, un lemma che ha lo scopo di raccogliere un sottoinsieme di valori in base alle loro proprietà e caratteristiche intrinseche;
• “valore”, ossia l’elemento granulare che specifica una determinata caratteristica di un evento cyber identificata dal predicato di riferimento.

Le macrocategorie del Capitolo 3 sono dettagliate nelle seguenti sottosezioni:

• 3.1 “Baseline Characterization” (BC) – informazioni necessarie a caratterizzare l’evento;
• 3.2 “Threat Type” (TT) – informazioni che facilitando la determinazione degli aspetti tecnici associati all’evento;
• 3.3 “Threat Actor” (TA) – informazioni per individuare l’agente (non necessariamente malevolo);
• 3.4 “Additional Context” (AC) – informazioni aggiuntive per una migliore comprensione dell’evento.

La Caratterizzazione degli Incidenti di Protezione dei Dati Personali nella Tassonomia Cyber ACN -Gli eventi privacy specificamente relativi alla compromissione e alla protezione dei dati personali sono riconducibili a quelli che minano la riservatezza, la disponibilità o l’integrità dei dati. Tra gli eventi più significativi, da questo punto di vista, si segnalano a titolo esemplificativo ma non esclusivo:

•  Data Exposure (BC:IM_DE) si riferisce alla divulgazione non autorizzata di dati sensibili o riservati, causata da vulnerabilità di sicurezza, errori di configurazione o pratiche inadeguate di gestione delle informazioni. Questo fenomeno può portare alla diffusione di informazioni personali, finanziarie o aziendali aumentando il rischio di furti di identità, frodi o danni reputazionali per individui e organizzazioni;
• Personal Data (TT:DE_PD) identifica gli eventi cyber nei quali si è verificata una violazione di sicurezza dei personali, ovvero delle informazioni che identificano o rendono identificabile, direttamente o indirettamente, una persona fisica e che possono fornire informazioni sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, ecc.
• La gravità dell’evento - All’interno della macrocategoria BC sono definiti dei predicati per individuare alcune caratteristiche dell’evento e nello specifico il predicato Severity ha lo scopo di indicare la gravità dell’impatto di un evento cyber. Questo predicato è associabile a quattro livelli, riferiti alla criticità dell’impatto subito.

Quelli associati a impatto hight e medium si riferiscono, tra le altre, rispettivamente anche alla condizione:

• hight - dati/informazioni personali o proprietarie sono stati modificati, cancellati o esfiltrati;
• medium - è stato rilevato l’accesso e l’esfiltrazione a dati/informazioni personali o proprietarie.

La differenza come evidente non è chiarissima, l’esfiltrazione di dati è associata ad un evento sia di livello alto che medio.

Vettori e Strumenti Rilevanti - Il documento specifica che gli attacchi che portano alla compromissione dei dati personali possono utilizzare diverse tecniche e vettori come, ad esempio: Ransomware (TT:MA_RA), Information Stealer (TT:MA_IN), Social Engineering (SO), Phishing (TT:SO_PH) e Spear-Phishing (TT:SO_SP).

Per proseguire la lettura di questo articolo di Monica Perego -  Membro del Comitato Scientifico di Federprivacy, docente qualificato TÜV Italia e docente del Master per Esperto Privacy e del Corso di alta formazione per Data Manager -  questo è il link