La sanzione deriva dalle gravi lacune nella sicurezza informatica dell’azienda

Wind Tre

Il Garante per la protezione dei dati personali ha comminato a Wind Tre Spa una multa di 1.715.600 euro a seguito di gravi lacune nella sicurezza informatica dell’azienda, che hanno reso possibile un duplice attacco informatico con conseguente sottrazione dei dati personali di più di 365.000 clienti. Per un sottoinsieme di 41.359 persone, i criminali sono riusciti a impossessarsi anche di informazioni relative agli strumenti di pagamento, inclusi bollettini postali, coordinate bancarie IBAN e dati delle carte di credito (numero parzialmente mascherato e scadenza).

L’indagine è partita dopo che l’azienda aveva segnalato all’Autorità due distinti episodi di violazione dei dati nel febbraio 2025. Le indagini hanno rivelato che gli attaccanti si sono spacciati per personale tecnico dell’assistenza, riuscendo con questo stratagemma a convincere il personale di due negozi a fornire loro l’accesso ai sistemi informatici interni. Da lì, gli hacker hanno potuto prelevare informazioni anagrafiche e recapiti dei clienti. Il Garante ha individuato problemi specifici nella gestione delle chiavi di accesso e dei certificati digitali dell’azienda.

È emerso inoltre che i controlli di sicurezza svolti internamente da Wind Tre non erano stati sufficientemente approfonditi da far emergere le falle poi sfruttate dagli aggressori: proprio queste lacune hanno aperto la strada all’intrusione e al furto dei dati.

Sulla base di questi elementi, l’Autorità ha stabilito che l’azienda ha violato sia i principi di riservatezza e integrità dei dati sia gli obblighi di sicurezza sanciti dal Regolamento europeo sulla protezione dei dati (GDPR). Di conseguenza, ha imposto a Wind Tre una serie di correttivi obbligatori: potenziare la protezione di credenziali e certificati digitali, adottare sistemi più sicuri per la gestione delle password e affinare complessivamente le procedure di cybersicurezza per scongiurare il ripetersi di episodi simili.

Nel calcolare l’ammontare della sanzione, il Garante ha considerato in senso favorevole all’azienda alcuni fattori: la rapidità con cui Wind Tre ha comunicato l’accaduto, le azioni correttive messe in campo dopo l’attacco e la disponibilità dimostrata durante l’istruttoria.