Le violazioni privacy non sono più episodi isolati ma segnali sistemici che attraversano tecnologia, educazione e piattaforme globali. Il 2026 si apre con tre casi emblematici: Microsoft sanzionata in Austria per tracciamento illecito di minori tramite Microsoft 365 Education, Nike alle prese con un presunto breach da 1,4 terabyte rivendicato dal gruppo estorsivo World Leaks e SoundCloud che conferma l’esposizione di 29,8 milioni di account dopo un accesso non autorizzato attribuito a ShinyHunters. Tre vicende diverse, ma unite da un filo comune: governance dei dati fragile, trasparenza insufficiente e impatto diretto su utenti e organizzazioni.
Cosa leggere
Microsoft e il tracciamento illecito dei minori nelle scuole austriache
Microsoft è finita al centro di una decisione senza precedenti dell’Autorità austriaca per la protezione dei dati, che ha stabilito l’illegalità dell’uso di cookie di tracciamento su dispositivi scolastici utilizzati da minori tramite Microsoft 365 Education. Il caso nasce da una denuncia presentata nel 2024 dall’organizzazione noyb, che ha contestato la raccolta di dati comportamentali senza consenso valido e senza un livello di trasparenza conforme al GDPR.
Secondo la sentenza, la piattaforma installava cookie destinati all’analisi del comportamento degli utenti, con finalità che andavano oltre la semplice erogazione del servizio educativo. Le informazioni fornite da Microsoft sono state giudicate vaghe, con riferimenti generici a “reportistica interna” incapaci di chiarire quali dati venissero raccolti, per quanto tempo e con quali destinatari. Un punto centrale riguarda la protezione rafforzata dei minori, che il GDPR considera soggetti particolarmente vulnerabili.
L’Autorità ha ordinato la cessazione immediata del tracciamento entro quattro settimane, senza imporre al momento una sanzione economica, ma lasciando aperta la strada a conseguenze future in caso di mancata conformità. Microsoft ha tentato di spostare la responsabilità sulle scuole locali, sostenendo che la gestione dei cookie rientrasse nelle configurazioni degli istituti. Una linea difensiva che noyb ha definito inaccettabile, sottolineando come la responsabilità primaria del trattamento resti in capo al fornitore della piattaforma.
Questa decisione rafforza un principio chiave: le piattaforme educative non sono zone franche del GDPR. L’uso massivo di soluzioni digitali durante e dopo la pandemia ha accelerato l’adozione tecnologica, ma ha anche esposto lacune strutturali nella tutela dei dati dei minori, con implicazioni che potrebbero estendersi ad altri Paesi europei.
🔴 OSSERVATORIO INTELLIGENCE: APT & GEOPOLITICA LIVE
Nike e il sospetto breach da 1,4 terabyte rivendicato da World Leaks
Sul fronte corporate, Nike ha avviato un’indagine interna dopo che il gruppo estorsivo World Leaks ha dichiarato di aver sottratto 1,4 terabyte di dati aziendali, pubblicando inizialmente un elenco di circa 190.000 file sul proprio sito nel dark web. Poco dopo, l’ingresso relativo a Nike è stato rimosso, un segnale che secondo gli analisti può indicare negoziazioni in corso o un possibile pagamento per evitare la diffusione completa dei dati.
Nike ha dichiarato di prendere seriamente la privacy e la sicurezza, ma non ha confermato l’autenticità dei file né fornito dettagli tecnici sull’incidente. World Leaks, emerso come rebranding di Hunters International, rappresenta una nuova generazione di gruppi che ha abbandonato la crittografia dei sistemi per concentrarsi esclusivamente su furto dati ed estorsione. Questa strategia riduce i rischi operativi per gli attaccanti e aumenta la pressione reputazionale sulle vittime.
Il gruppo è stato collegato allo sfruttamento di vulnerabilità note e all’uso di rootkit come OVERSTEP in contesti enterprise, con vittime precedenti che includono agenzie governative e grandi aziende industriali. Nel caso Nike, le implicazioni riguardano soprattutto dati interni e di supply chain, con potenziali ricadute su partner, fornitori e fiducia degli investitori.
Questo episodio conferma un trend ormai chiaro: l’estorsione “data-only” è diventata il modello dominante. Anche in assenza di conferme ufficiali, il solo annuncio di un leak di queste dimensioni è sufficiente a generare pressione economica e reputazionale, costringendo le aziende a valutare scenari complessi tra comunicazione, compliance e risposta tecnica.
SoundCloud e l’esposizione di 29,8 milioni di account utente
Il terzo caso riguarda SoundCloud, che ha confermato un accesso non autorizzato avvenuto nel dicembre 2025 e attribuito al gruppo ShinyHunters. L’incidente ha portato all’esposizione di 29,8 milioni di account, pari a circa 30 milioni di indirizzi email unici, come rivelato da Have I Been Pwned il 27 gennaio 2026.
I dati coinvolti includono email, username, nomi pubblici, avatar, conteggi di follower e, in alcuni casi, il Paese dell’utente. SoundCloud ha chiarito che password e dati finanziari non sono stati compromessi, ma l’associazione tra email e profili pubblici ha aperto la strada a campagne di spam, phishing e harassment, con ShinyHunters che avrebbe deliberatamente floodato le caselle di posta di utenti e dipendenti.
Il breach è stato individuato inizialmente su una dashboard ancillare, evidenziando ancora una volta come componenti secondari possano diventare il punto di ingresso per attacchi su larga scala. SoundCloud ha dichiarato di aver completato le procedure di risposta e di aver rafforzato i controlli di accesso, ma l’impatto sulla fiducia degli utenti resta significativo, soprattutto per una piattaforma che ospita centinaia di milioni di tracce e decine di milioni di artisti.
Un quadro comune: privacy sotto stress e governance insufficiente
Messi insieme, i casi Microsoft, Nike e SoundCloud delineano uno scenario chiaro. Da un lato, le autorità europee mostrano una crescente determinazione nel far rispettare il GDPR, soprattutto quando sono coinvolti minori. Dall’altro, le aziende globali continuano a essere bersagli di estorsioni e breach su scala industriale, con impatti che vanno ben oltre la perdita tecnica dei dati.
Per gli utenti, le conseguenze sono concrete: profilazione indebita, esposizione di email, aumento di phishing e molestie. Per le organizzazioni, il costo è duplice: economico e reputazionale, aggravato da obblighi di notifica e potenziali sanzioni. Il messaggio che emerge è netto: la privacy non è più un tema accessorio, ma un elemento centrale della sicurezza e della fiducia digitale.
Domande frequenti sulle violazioni privacy Microsoft, Nike e SoundCloud
Perché la sentenza austriaca contro Microsoft è rilevante a livello europeo?
Perché riafferma che i fornitori di piattaforme educative restano responsabili del trattamento dei dati, anche quando i servizi sono gestiti da scuole o ministeri, e rafforza la tutela GDPR per i minori.
Il presunto breach Nike ha coinvolto dati dei consumatori?
Al momento non ci sono conferme ufficiali. Le informazioni pubblicate da World Leaks sembrano riguardare file aziendali interni, ma l’indagine è ancora in corso.
I dati SoundCloud esposti includono password o carte di pagamento?
No. SoundCloud ha confermato che password e informazioni finanziarie non sono state compromesse, ma l’esposizione di email e profili pubblici aumenta il rischio di phishing.
Cosa possono fare utenti e aziende per ridurre l’impatto di questi incidenti?
Gli utenti dovrebbero verificare le esposizioni, attivare 2FA e diffidare di comunicazioni sospette. Le aziende devono investire in governance dei dati, segmentazione dei sistemi e monitoraggio continuo, trattando la privacy come parte integrante della sicurezza.
Iscriviti a Matrice Digitale
Ricevi le notizie principali direttamente nella tua casella di posta.
Niente spam, disiscriviti quando vuoi.
