WindTre, 1,7 milioni di euro di multa dal Garante Privacy: esposti agli hacker i dati di oltre 365mila clienti

Due accessi abusivi e l’esfiltrazione – ossia il “trasferimento intenzionale, non autorizzato e occulto” – di dati personali di oltre 365mila clienti. Questi i motivi per cui il Garante privacy ha inflitto una sanzione di 1.715.600 euro a WindTre S.p.A. per le gravi carenze nella sicurezza dei sistemi aziendali che hanno determinato un flusso incontrollato di dati.
Per oltre 40mila clienti l’esfiltrazione ha riguardato anche le informazioni relative ai metodi di pagamento utilizzati, come il bollettino postale, l’Iban, la carta di credito con il numero parzialmente oscurato e la data di scadenza.
Leggi anche: Vodafone, Tim, Fastweb, WindTre o Iliad? La rete mobile più veloce in Italia è solo una
L’indagine del Garante è partita dopo che WindTre aveva notificato due violazioni dei dati personali avvenute nel febbraio 2025. Secondo quanto accertato dall’Autorità, gli hacker sono riusciti a introdursi nei sistemi aziendali ricorrendo a una tecnica di ingegneria sociale: fingendosi tecnici dell’assistenza, hanno convinto gli operatori di due punti vendita ad autorizzare l’accesso ai sistemi interni, riuscendo così a sottrarre le informazioni dei clienti.
Nel corso dell’istruttoria sono emerse diverse criticità nella gestione della sicurezza: in particolare, il Garante ha rilevato carenze nella protezione delle credenziali di accesso e dei certificati digitali. Inoltre, i controlli di sicurezza effettuati dall’azienda non erano stati sufficientemente approfonditi e non avevano individuato vulnerabilità che avrebbero potuto essere rilevate con verifiche più accurate. Proprio queste falle hanno reso possibile l’accesso abusivo ai sistemi e il conseguente furto dei dati.
Per questi motivi il Garante ha accertato la violazione dei principi di integrità e riservatezza dei dati, nonché degli obblighi di sicurezza previsti dal GDPR. Oltre alla sanzione economica, Wind Tre dovrà rafforzare la protezione delle credenziali e dei certificati digitali, adottare strumenti più sicuri per la gestione delle password e migliorare le procedure di cybersicurezza per ridurre il rischio di nuovi attacchi.
Secondo quanto si legge nel comunicato, infine, nel definire l’importo della multa, l’Autorità ha comunque tenuto conto di alcuni elementi a favore della società, tra cui la tempestiva segnalazione delle violazioni, le misure correttive adottate dopo gli attacchi informatici e la collaborazione fornita durante l’intera istruttoria.
Una vicenda che ricorda quanto sia importante prestare attenzione ai propri dati personali. Sebbene la responsabilità della loro protezione ricada innanzitutto sulle aziende che li raccolgono e li conservano, episodi come questo evidenziano come una singola falla nei sistemi di sicurezza possa avere conseguenze per centinaia di migliaia di persone, esponendole al rischio di truffe, phishing e furti d’identità.
Fonte: GPDP
