Gli attacchi informatici odierni hanno assunto forme disparate, accorciando il dwell time (ndr. letteralmente “tempo di dimora” e cioè il tempo che intercorre da quando vi è l’accesso furtivo nel sistema e il momento in cui tale accesso viene scoperto), ma aumentando numericamente e rimanendo fortemente distruttivi.

Infatti, secondo il Rapporto Clusit 2025 (che analizza solo casi gravi certi e verificati) solo in Italia sono avvenuti 507 attacchi alla cybersecurity, aumentando del 42% rispetto al 2024. Inoltre, nel nostro Paese si è verificato nel 2025 il 9,6% dei cyber-incidenti mondiali.

Secondo il Report della Polizia Postale (che analizza anche le segnalazioni e non solo i casi accertati) sono ancora maggiori: 9.200 casi di attacchi informatici e poco meno di 50.000 alert per prevenire minacce ai sistemi di interesse nazionale.

In media la durata di un attacco è di circa 200 giorni e il tempo di contenimento dello stesso è di 60 giorni.

Secondo lo studio “Report Cost of a Data Breach 2025” di IBM: Il divario di supervisione dell’AI”, gli attacchi alla supply chain (ndr. attacco che avviene grazie ai rapporti di fornitura o di rete di aziende o di rapporti commerciali e tecnologici) “sono difficili da rilevare perché approfittano della fiducia tra fornitore e cliente e delle comunicazioni tra computer e computer”.  Infatti il dwell time perdura in media 267 giorni. Lo stesso vale per gli insider malevoli (ndr. persone all’interno di un’organizzazione che utilizzano il loro accesso legittimo ai sistemi per compiere attività dannose in modo intenzionale) dove, in media, servono 260 giorni per la risoluzione dell’attacco.

Secondo il report “M-trends” di Google Security, a livello mondiale, il tempo medio di permanenza è aumentato a 11 giorni, rispetto ai 10 giorni del 2023. Era dal 2010 che tale dato non aumentava, tuttavia restando inferiore ai 16 giorni registrati nel 2022. Secondo tale studio nel territorio EMEA (Europa, Medio Oriente e Africa) il dwell time è in media di 27 giorni.

Di diverso avviso è lo studio “Post-Breach Forensic-Depth Compromise Assessment” di Cyber Stash, che afferma che la durata media degli attacchi è di 6 mesi nel territorio EMEA.

Infine secondo altri articoli come “Average Time to Detect a Cyber Attack 2025” di Total Assure, senza attuare divisioni tra tipologie di attacco, si afferma che in media il dwell time è di 181 giorni e il tempo per contenerlo è di 60 giorni.

Dello stesso avviso è il paper “A Comprehensive Survey on Advanced Persistent Threat (APT) Detection Techniques” di Singamaneni Krishnapriya e Sukhvinder Singh che sostiene la necessità di un tempo medio di 107 giorni per scoprire l’attacco. Dati impressionanti sono quelli ASPC (territorio asiatico-pacifico) dove il tempo aumenta a 498 giorni.

Advanced Persistent Threat: cosa sono e come funzionano

Gli attacchi cyber hanno, dunque, diminuito la loro durata, ma permangono attacchi lunghi e altamente specializzati che possono perdurare anni. Ad esempio, l’APT 44 (Russia’s Sandworm) è durato per ben 4 anni.

Innanzitutto, sembra opportuno spiegare cos’è un Advanced Persistent Threat (APT). Secondo il NIST (National Institute of Standards and Technology) è:

“Un avversario che possiede livelli sofisticati di competenza e risorse significative, che gli consentono di creare opportunità per raggiungere i propri obiettivi utilizzando molteplici vettori di attacco (ad esempio informatici, fisici e di inganno).

Questi obiettivi includono tipicamente: stabilire ed estendere una presenza all’interno dell’infrastruttura IT delle organizzazioni bersaglio; esfiltrare informazioni; compromettere o ostacolare aspetti critici di una missione, programma o organizzazione; oppure posizionarsi per raggiungere questi obiettivi in futuro

La minaccia persistente avanzata (APT): persegue i propri obiettivi ripetutamente nel corso di un lungo periodo di tempo; si adatta agli sforzi difensivi messi in atto per contrastarla; è determinata a mantenere il livello di accesso e interazione necessario per portare a termine i propri obiettivi.” (traduzione libera del Report “NIST Special Publication 800-39”).

Secondo lo studio “APTs Global Review 2022–2025: Trends, Regions and Forecast” di Abigail Darwish e Aryamehr Fattahi, il numero di APT è in crescente aumento e così lo è anche il numero di giorni di durata dell’attacco stesso. Tale trend, quindi, sta andando in senso opposto rispetto alla diminuzione generale della durata del dwell time.

Secondo “APT: Electronic Transactions Development Agency (ETDA)” gli attacchi di tale tipo nel 2025 sono stati 504, rispetto ai 484 del 2024.

L’APT, però, non è definito solo dalla lunghezza dell’attacco, ma anche dalle caratteristiche dello stesso. Infatti nel Provvedimento del 9 ottobre 2025 [10185435] del Garante Privacy italiano riportando gli studi della Società parte del provvedimento, viene definito come “attacchi informatici sistematici particolarmente sofisticati e contraddistinti dalla “persistenza”, intesa come capacità dell’attaccante di mantenere viva e attiva la propria presenza nell’ambiente target per il tempo necessario a concludere il suo obiettivo primario”.

Advanced Persistent Threat: il mantenimento dei log è fondamentale per ricostruire le dinamiche

Un problema sorge dunque spontaneo. Infatti, il Regolamento GDPR afferma la necessità di una valutazione di proporzionalità sulla conservazione dei log. Il log è un insieme di informazioni registrate automaticamente da un sistema informatico che documentano le attività e gli eventi che avvengono al suo interno (es. data, luogo, dati soggetto). Essi possono risultare utili per analizzare gli accessi al sistema e, di conseguenza, individuare il momento e le modalità con cui l’hacker vi è penetrato.

Tuttavia, il Provvedimento del 6 giugno 2024 del Garante Privacy (“Documento di indirizzo. Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati [10026277]”) ha chiarito i limiti di mantenimento dei log per bilanciare gli interessi dell’impresa con quelli di privacy del lavoratore o del cliente. Infatti, possono essere mantenuti per meno di 21 giorni senza necessità di autorizzazione, rispettando sempre i principi generali di proporzionalità e strumentalità nel trattamento di tali dati. Se la conservazione supera i 21 giorni è necessaria una valutazione d’impatto (Dpia) che dimostri l’esistenza di specifiche esigenze tecniche o organizzative e un accordo sindacale o un’autorizzazione dell’Ispettore del lavoro.

Tale limite temporale risulta particolarmente restrittivo ai fini dell’analisi, del contrasto e della prevenzione di futuri attacchi, in particolare degli APT, i quali possono permanere a lungo all’interno del sistema; di conseguenza, il log di accesso potrebbe risalire a un periodo antecedente ai 21 giorni.

Ponendo, invece, uno sguardo ad altri ordinamenti si sostiene che “le organizzazioni dovrebbero assicurarsi di conservare i log per un periodo sufficientemente lungo da supportare le indagini sugli incidenti di sicurezza informatica. I periodi di conservazione predefiniti dei log sono spesso insufficienti. La durata della conservazione dovrebbe essere determinata sulla base di una valutazione dei rischi relativa a un determinato sistema. Nel valutare i rischi, è importante considerare che, in alcuni casi, possono essere necessari fino a 18 mesi per individuare un incidente informatico e che alcuni malware possono rimanere all’interno della rete per 70–200 giorni prima di causare danni evidenti” (Best practices for event logging and threat detection, Australian Government).

Alla luce di quanto esposto, trovare un equilibrio tra i diritti del lavoratore e quelli dell’impresa è complesso. Tuttavia, ci si può chiedere se la protezione dell’azienda da accessi esterni non autorizzati, che potrebbero comportare la visione dei dati personali di lavoratori e clienti, anche mediante una conservazione prolungata dei log non costituisca, a sua volta, una forma di tutela anche per questi ultimi.