Due intrusioni informatiche e la sottrazione – definita tecnicamente come “trasferimento intenzionale, non autorizzato e occulto” – di informazioni personali riguardanti più di 365mila utenti. È questa la ragione alla base della sanzione da 1.715.600 euro comminata dal Garante per la protezione dei dati personali a WindTre S.p.A., colpevole di lacune significative nella sicurezza delle proprie infrastrutture informatiche che hanno permesso una dispersione incontrollata di dati sensibili.
Per più di 40mila utenti, la fuga di notizie ha coinvolto anche dettagli sensibili legati ai sistemi di pagamento, comprendendo bollettini postali, codici Iban, numeri di carte di credito parzialmente coperti e relative scadenze.
L’inchiesta condotta dal Garante ha preso avvio in seguito alla comunicazione, da parte di WindTre, di due episodi di violazione dei dati risalenti al febbraio 2025. Dalle verifiche effettuate dall’Autorità è emerso che i criminali informatici sono penetrati nei sistemi aziendali sfruttando tecniche di ingegneria sociale: spacciandosi per personale tecnico dell’assistenza, sono riusciti a convincere il personale di due punti vendita a concedere l’accesso alle piattaforme interne, ottenendo così la possibilità di sottrarre le informazioni della clientela.
L’istruttoria ha portato alla luce diverse problematiche nella gestione della sicurezza aziendale. In particolare, l’Autorità garante ha individuato debolezze nella tutela delle credenziali di accesso e dei certificati digitali. A ciò si aggiunge il fatto che i controlli di sicurezza messi in atto dall’azienda non erano stati condotti con la profondità necessaria, mancando di identificare vulnerabilità che sarebbero state riscontrabili con verifiche più rigorose. È stata proprio questa combinazione di fattori a rendere possibile l’intrusione non autorizzata nei sistemi e il successivo furto dei dati.
Sulla base di queste evidenze, il Garante ha stabilito che siano stati violati i principi di integrità e riservatezza dei dati, così come gli obblighi di sicurezza sanciti dal Regolamento generale sulla protezione dei dati (GDPR). Oltre al pagamento della sanzione pecuniaria, WindTre sarà tenuta a potenziare la tutela delle credenziali e dei certificati digitali, implementare soluzioni più sicure per la gestione delle password e perfezionare i protocolli di sicurezza informatica al fine di limitare la possibilità di futuri attacchi.
Come riportato nel comunicato ufficiale, nella determinazione dell’importo della multa l’Autorità ha comunque preso in considerazione alcuni fattori favorevoli all’azienda, tra i quali la prontezza nella segnalazione delle violazioni, gli interventi correttivi messi in campo successivamente agli attacchi e la piena collaborazione dimostrata durante tutto il procedimento istruttorio.
Questo episodio rappresenta un monito importante sull’importanza di vigilare sui propri dati personali. Anche se la responsabilità primaria della loro salvaguardia spetta alle organizzazioni che li raccolgono e li custodiscono, casi come questo dimostrano come una singola vulnerabilità nei sistemi di protezione possa avere ripercussioni su centinaia di migliaia di individui, esponendoli a rischi concreti come truffe, tentativi di phishing e furti d’identità.
Fonte: GPDP
