Il Garante Privacy sanziona Wind Tre per 1,7 milioni di euro a seguito dell'esfiltrazione dei dati di 365mila clienti
Il Garante privacy ha inflitto una sanzione di 1.715.600 euro a Wind Tre Spa per gravi carenze nella sicurezza dei sistemi aziendali, che hanno determinato due accessi abusivi e l’esfiltrazione dei dati personali di oltre 365mila clienti. Per 41.359 di essi, l’esfiltrazione ha riguardato anche le informazioni relative ai metodi di pagamento utilizzati, come il bollettino postale, l’Iban, la carta di credito con il numero parzialmente oscurato e la data di scadenza.

L’istruttoria dell’Autorità – avviata a seguito dei due data breach notificati dalla società nel febbraio 2025 – ha accertato che gli hacker, fingendosi tecnici dell’assistenza, hanno convinto gli operatori di due punti vendita a consentire l’accesso ai sistemi aziendali, riuscendo così ad esfiltrare i dati anagrafici e di contatto dei clienti. In particolare, il Garante ha riscontrato carenze nella gestione delle credenziali di accesso e dei certificati digitali.
Inoltre, le verifiche di sicurezza effettuate dalla società non avevano individuato vulnerabilità che sarebbero state rilevabili con controlli più approfonditi. Tali criticità hanno consentito agli hacker di accedere ai sistemi della società e di sottrarre i dati personali.
L’Autorità ha, pertanto, accertato la violazione dei principi di integrità e riservatezza dei dati e degli obblighi di sicurezza previsti dal GDPR e ha ordinato a Wind Tre di rafforzare i sistemi di protezione delle credenziali e dei certificati digitali, di introdurre strumenti sicuri per la gestione delle password e di migliorare le procedure di sicurezza informatica per prevenire episodi analoghi in futuro.
Nel determinare l’importo della sanzione, il Garante ha tenuto conto della tempestiva notifica dell’incidente, delle misure correttive adottate dopo l’attacco e della collaborazione fornita dalla società nel corso dell’istruttoria.
Fonte: Garante Privacy






