NEWS

Il Garante Privacy sanziona Wind Tre per 1,7 milioni di euro a seguito dell'esfiltrazione dei dati di 365mila clienti

Il Garante privacy ha inflitto una sanzione di 1.715.600 euro a Wind Tre Spa per gravi carenze nella sicurezza dei sistemi aziendali, che hanno determinato due accessi abusivi e l’esfiltrazione dei dati personali di oltre 365mila clienti. Per 41.359 di essi, l’esfiltrazione ha riguardato anche le informazioni relative ai metodi di pagamento utilizzati, come il bollettino postale, l’Iban, la carta di credito con il numero parzialmente oscurato e la data di scadenza.

L’istruttoria dell’Autorità – avviata a seguito dei due data breach notificati dalla società nel febbraio 2025 – ha accertato che gli hacker, fingendosi tecnici dell’assistenza, hanno convinto gli operatori di due punti vendita a consentire l’accesso ai sistemi aziendali, riuscendo così ad esfiltrare i dati anagrafici e di contatto dei clienti. In particolare, il Garante ha riscontrato carenze nella gestione delle credenziali di accesso e dei certificati digitali.

Inoltre, le verifiche di sicurezza effettuate dalla società non avevano individuato vulnerabilità che sarebbero state rilevabili con controlli più approfonditi. Tali criticità hanno consentito agli hacker di accedere ai sistemi della società e di sottrarre i dati personali.

L’Autorità ha, pertanto, accertato la violazione dei principi di integrità e riservatezza dei dati e degli obblighi di sicurezza previsti dal GDPR e ha ordinato a Wind Tre di rafforzare i sistemi di protezione delle credenziali e dei certificati digitali, di introdurre strumenti sicuri per la gestione delle password e di migliorare le procedure di sicurezza informatica per prevenire episodi analoghi in futuro.

Nel determinare l’importo della sanzione, il Garante ha tenuto conto della tempestiva notifica dell’incidente, delle misure correttive adottate dopo l’attacco e della collaborazione fornita dalla società nel corso dell’istruttoria.

Fonte: Garante Privacy

Note sull'Autore

Federprivacy Federprivacy

Federprivacy è la principale associazione di riferimento in Italia dei professionisti della privacy e della protezione dei dati, iscritta presso il Ministero delle Imprese e del Made in Italy (MISE) ai sensi della Legge 4/2013. Email: [email protected] 

Prev Corte di Giustizia UE: la pubblicazione delle squalifiche per doping non viola il GDPR, ma deve rispettare il principio di proporzionalità

Tavola rotonda su privacy e intelligenza artificiale nel mondo del lavoro

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy