Il DLP tradizionale non ti renderà compliant. Ecco perché serve un approccio file-centric alla protezione dei dati. 

Se sei un CISO o un responsabile della sicurezza, probabilmente hai già vissuto questa situazione: hai investito in soluzioni DLP, hai definito policy, formato gli utenti, eppure i dati sensibili continuano a sfuggire. Non perché il tuo team non sia competente, ma perché il modello su cui si basa il DLP tradizionale è semplicemente inadeguato al mondo in cui operiamo oggi. 

In questo articolo voglio condividere una riflessione che porto avanti da anni e che mi ha portato a ripensare completamente l'approccio alla protezione dei dati. La chiamo DLP 2.0: non un'evoluzione incrementale, ma un cambio di paradigma. 

Il problema strutturale del DLP tradizionale 

Le soluzioni DLP che conosciamo nascono tutte da un presupposto comune: i dati sono vulnerabili e vanno protetti "in uscita". È un modello perimetrale, figlio di un'epoca in cui i dati risiedevano su server aziendali e i canali di fuoriuscita erano pochi e controllabili. 

Questo approccio si basa su tre pilastri: classificazione manuale dei documenti da parte degli utenti, policy per bloccare i canali di uscita (email, USB, cloud, web) e monitoraggio continuo del traffico dati. In teoria funziona. In pratica, no. 

Il Verizon Data Breach Investigations Report 2024 ci dice che il 68% delle violazioni nasce da errori umani, permessi errati o esposizioni involontarie. Non da attacchi sofisticati, ma da attività quotidiane: una condivisione sbagliata, un file caricato sullo strumento sbagliato, un link inviato al destinatario errato. 

Il DLP tradizionale non può intercettare questi scenari perché non sono "attacchi", sono operazioni legittime eseguite in modo errato. E quando provi a bloccare tutto, ottieni migliaia di falsi positivi, utenti frustrati, admin che devono aggirare i controlli, e un costo operativo che supera i benefici reali. 

Un contesto che il DLP non era progettato per gestire 

Oggi i file sensibili viaggiano continuamente tra cloud e ambienti ibridi, email e chat aziendali, strumenti di collaborazione come Teams, Slack, Notion, e sempre più spesso piattaforme di AI generativa. È in questi passaggi che il controllo si perde. 

E poi c'è la Shadow IT - e ora la Shadow AI. Gli utenti utilizzano strumenti non governati non per malafede, ma perché sono più comodi, più veloci, più efficaci di quelli aziendali. Bloccarli significa rallentare il business. Non bloccarli significa perdere il controllo. 

Il costo medio globale di un data breach ha raggiunto 4,88 milioni di dollari nel 2024. In Italia, gli attacchi gravi sono cresciuti del 27% in un solo anno. Questi numeri ci dicono una cosa chiara: il modello attuale non funziona. 

La mia proposta: DLP 2.0 

Da questa analisi nasce quella che chiamo la visione del DLP 2.0. L'idea di fondo è semplice ma radicale: e se i dati non fossero mai vulnerabili? 

Il nuovo paradigma ribalta completamente la logica tradizionale. Non si protegge l'uscita, si protegge il file alla nascita. Non si insegue ogni possibile canale, si rende il dato intrinsecamente sicuro. Non si chiede agli utenti di "fare sicurezza", si toglie loro questo peso. 

Nel modello DLP 2.0, il dato diventa il vero perimetro di sicurezza. L'approccio che propongo si basa su quattro pilastri fondamentali. 

1. Crittografia immediata all'origine 

Il file è cifrato dal momento stesso della sua creazione. Non esiste un "momento vulnerabile". Questo elimina alla radice il problema della finestra temporale in cui i dati sono esposti. 

2. Classificazione automatica basata su AI Privata 

L'intelligenza artificiale privata analizza il contenuto e applica automaticamente tag e policy operative di sicurezza. Tutto senza input umano, eliminando l'errore di classificazione che affligge il DLP tradizionale. 

3. Cifratura persistente e trasparente 

I file possono essere sincronizzati sui dispositivi degli utenti e utilizzati normalmente con le applicazioni che già conoscono. Ma restano cifrati e inutilizzabili fuori dal contesto autorizzato. L'esperienza utente non cambia; la sicurezza sì. 

4. Shadow IT resa irrilevante 

Anche se un file viene copiato, inviato via chat personale o caricato su strumenti non governati, il contenuto resta illeggibile. Non serve più bloccare strumenti di lavoro legittimi: è il dato stesso a portare con sé la protezione, ovunque vada. 

Cosa cambia concretamente per un CISO 

Questo cambio di paradigma produce effetti concreti e misurabili. La dipendenza dalla formazione degli utenti si riduce drasticamente: i dati sono protetti all'origine, senza richiedere comportamenti perfetti. Gli errori umani critici diminuiscono perché l'errore non ha più conseguenze catastrofiche. 

La compliance diventa più semplice: cifratura nativa, tracciabilità completa e controllo continuo dei file facilitano l'allineamento a GDPR, NIS2 e normative di settore. Gli audit diventano più gestibili perché hai sempre evidenza di chi ha accesso a cosa e quando. 

I costi operativi calano: meno policy da gestire, meno falsi positivi da investigare, meno interventi manuali per IT e security team. E le persone lavorano con strumenti familiari, senza blocchi invasivi o rallentamenti. 

DLP 2.0 in pratica 

Questa visione non è solo teoria. Con CyberGrant abbiamo tradotto questi principi in una soluzione concreta, pensata per chi deve proteggere dati sensibili senza sacrificare la produttività. 

La tecnologia implementa nativamente l'approccio file-centric: crittografia automatica all'origine, classificazione AI-driven, cifratura persistente su ogni dispositivo, e neutralizzazione della Shadow IT. I file restano utilizzabili solo nel contesto autorizzato. 

Se stai valutando come rispondere ai requisiti di compliance, che si tratti di GDPR, NIS2 o normative settoriali, ti invito a esplorare questo approccio. Non si tratta di aggiungere un altro layer di controllo, ma di ripensare il problema dalla base. 

Il DLP come lo conosciamo ha fatto il suo tempo. Non perché l'idea di proteggere i dati sia sbagliata, ma perché il modello su cui si basa è inseguire i canali di uscita, e ciò non scala più in un mondo cloud-first, AI-driven e distribuito. 

Il DLP 2.0 propone un'alternativa: proteggere il dato alla nascita, renderlo intrinsecamente sicuro, eliminare la dipendenza dal comportamento umano. È un cambio di mentalità prima che di tecnologia. E credo sia l'unica strada percorribile per chi vuole davvero proteggere i propri dati nel contesto attuale.