In sintesi
Il Garante per la Protezione dei Dati Personali ha sanzionato Wind Tre S.p.A. a seguito di due data breach avvenuti nel febbraio 2025. Gli attaccanti, tramite tecniche di social engineering, hanno ottenuto credenziali per accedere alla customer base, violando i dati personali di oltre 365.000 clienti. È stata rilevata una carenza significativa nella gestione dei certificati digitali.
Contesto
Il Garante per la Protezione dei Dati Personali ha emesso un provvedimento in data 14 maggio 2026, avviando un procedimento sanzionatorio nei confronti di Wind Tre S.p.A. L'azione è scaturita dall'esame di due notifiche di data breach presentate dalla stessa società in data 20 febbraio 2025 (fasc. DB008078) e 28 febbraio 2025 (fasc. DB008140) ai sensi dell'art. 33 del Regolamento (UE) 2016/679.
Gli eventi, dal carattere analogo e occorsi presso due distinti punti vendita a distanza di pochi giorni, hanno visto accessi abusivi alla Web Application XX da parte di ignoti. Gli attaccanti avevano ottenuto tutti i fattori di autenticazione attraverso tecniche di social engineering, in particolare contattando telefonicamente un addetto del punto vendita e chiedendo l'accesso remoto al dispositivo per asserite necessità di assistenza tecnica.
A seguito del primo evento, gli attaccanti sono riusciti a eseguire 66 interrogazioni puntuali della Customer Base di Wind Tre, violando i dati personali di circa 23 clienti. Il secondo e più esteso attacco ha portato all'esecuzione di circa 2 milioni di richieste totali seguendo una logica di enumeration, ovvero aumentando progressivamente l'identificativo del codice cliente (c.d. "customerId"), compromettendo i dati personali di 365.048 clienti. I dati coinvolti includono informazioni anagrafiche e di contatto. Inoltre, per un sottoinsieme di 41.359 soggetti, risultano coinvolti anche i dati relativi al metodo di pagamento registrato sui sistemi Wind Tre (Bollettino Postale, IBAN, Carta di Credito con PAN asteriscato e data di scadenza). In sede di notifica, la Società ha illustrato interventi come il blocco delle credenziali e la revoca del certificato digitale, oltre ad avvisi di sicurezza ai rivenditori. Il Garante ha rilevato una significativa carenza nella gestione dei certificati digitali.
Perché conta
Questo provvedimento sottolinea l'importanza cruciale di una robusta gestione della sicurezza dei dati personali, in particolare contro attacchi di ingegneria sociale, come richiesto dal GDPR. La compromissione di credenziali e l'accesso non autorizzato a dati sensibili, inclusi metodi di pagamento, evidenzia la necessità di implementare misure tecniche e organizzative adeguate per proteggere le informazioni trattate. La carenza nella gestione dei certificati digitali, rilevata dal Garante, è un esempio di vulnerabilità che può essere sfruttata e che rientra negli obblighi di sicurezza dell'articolo 32 del GDPR.
Per un DPO o un responsabile IT, questo caso evidenzia come le politiche di sicurezza debbano estendersi anche alla formazione del personale (per riconoscere e contrastare il social engineering) e alla gestione rigorosa degli accessi e dei certificati digitali. Le implicazioni sulla compliance includono non solo la protezione dei dati, ma anche la corretta e tempestiva notifica agli interessati, come inizialmente avvenuto con difficoltà, e la gestione efficace delle comunicazioni a utenti anche non più attivi.
Cosa fare
- Rafforzare la formazione del personale, in particolare degli addetti ai punti vendita o a contatto con il pubblico, sui rischi di social engineering e phishing per prevenire la divulgazione di credenziali e informazioni sensibili.
- Implementare e rivedere periodicamente le procedure di gestione degli accessi e delle credenziali, inclusa la revoca immediata in caso di compromissione o sospetto di abuso.
- Migliorare la gestione dei certificati digitali, assicurandosi che siano utilizzati correttamente, che le loro vulnerabilità siano monitorate e corrette tempestivamente, e che vengano revocati prontamente se coinvolti in incidenti.
- Valutare e rafforzare le misure di sicurezza per le applicazioni web che accedono a dati della customer base, monitorando accessi anomali come tentativi di enumeration (scansione sequenziale di identificativi).
- Assicurarsi che le procedure di notifica del data breach agli interessati siano efficaci e conformi al GDPR, prevedendo anche modalità alternative per ex-clienti o contatti non attivi, come SMS o avvisi mirati.
Cosa evitare
- Non sottovalutare i rischi derivanti da attacchi di social engineering, considerandoli una minaccia minore rispetto agli attacchi tecnici diretti.
- Mantenere credenziali di accesso o certificati digitali compromessi attivi sui sistemi o ritardarne la revoca.
- Trascurare la formazione del personale sulla sicurezza informatica, in particolare riguardo all'ingegneria sociale e alle tecniche di phishing.
- Avere carenze significative nella gestione dei certificati digitali, rendendoli un punto debole nella catena di sicurezza dell'organizzazione.
Implicazioni pratiche
Questo caso dimostra che un singolo punto debole nella formazione del personale o nella gestione tecnica (es. certificati digitali) può portare a una violazione di vasta portata, con impatti significativi sulla privacy di centinaia di migliaia di individui. Le organizzazioni devono adottare un approccio olistico alla sicurezza, integrando la formazione umana con rigorose misure tecniche e processi di gestione delle vulnerabilità. L'incapacità di proteggere adeguatamente i dati può comportare sanzioni del Garante e un grave danno reputazionale, sottolineando la necessità di vigilanza costante e aggiornamento delle difese.
Azioni da fare
- Condurre una valutazione dei rischi specifica per il social engineering e le vulnerabilità nella gestione dei certificati digitali e delle credenziali di accesso.
- Aggiornare le politiche e le procedure interne per la gestione degli accessi e la sicurezza dei punti vendita, dei partner esterni o delle interfacce con il pubblico.
- Investire in soluzioni di monitoraggio per rilevare pattern di accesso anomali, come tentativi di enumeration o accessi da località insolite.
- Testare regolarmente i piani di risposta agli incidenti e le procedure di notifica data breach, inclusa la comunicazione agli interessati, verificandone l'efficacia e la completezza.
Errori da evitare
- Non aggiornare i protocolli di sicurezza per riflettere le nuove minacce, come l'evoluzione delle tecniche di social engineering.
- Limitarsi a misure di sicurezza puramente tecniche senza considerare il fattore umano e la necessità di formazione e sensibilizzazione.
- Ritardare la revoca di credenziali o certificati digitali compromessi, anche a fronte di un minimo sospetto.
- Affidarsi unicamente a comunicazioni generiche per gli interessati in caso di data breach, senza tentare notifiche dirette e mirate.
Domande di self-assessment
- Il nostro personale è adeguatamente formato per riconoscere e rispondere agli attacchi di social engineering e phishing?
- Le nostre procedure di gestione dei certificati digitali e delle credenziali di accesso sono robuste, vengono revisionate regolarmente e applicate con rigore?
- Siamo in grado di rilevare e bloccare tempestivamente accessi anomali o tentativi di enumeration ai nostri database clienti o applicazioni critiche?
- I nostri piani di risposta ai data breach sono efficaci, e la comunicazione agli interessati è rapida e completa, anche per ex-clienti o utenti con dati di contatto obsoleti?
Riferimenti
Normativa nazionale: Regolamento (UE) 2016/679 (GDPR) art. 33 · Regolamento (UE) 2016/679 (GDPR) art. 58 par. 2 · d.lgs. 196/2003 (Codice Privacy) art. 166 comma 5
Leggi l'articolo originale su garanteprivacy.it ↗
