California fa causa a 23andMe per breach genetico mentre cresce l’emergenza dati degli anziani

La California porta 23andMe davanti alla giustizia per il breach genetico del 2023 che ha esposto dati sensibili di quasi 7 milioni di clienti, mentre un tribunale federale condanna Troy Murray a oltre 10 anni di carcere per aver venduto informazioni personali di più di 7 milioni di anziani americani a truffatori internazionali. Le due vicende colpiscono settori diversi, ma raccontano la stessa crisi: i dati personali, sanitari e genetici sono diventati asset ad altissimo valore, bersagliati da attacchi informatici, monetizzati da broker criminali e sempre più centrali nelle azioni legali delle autorità statunitensi. L’Attorney General Rob Bonta accusa 23andMe, ora nota come Chrome Holding Co., di non aver implementato misure ragionevoli contro il credential stuffing, di aver gestito in modo inadeguato la funzione DNA Relatives e di aver rilasciato dichiarazioni fuorvianti prima e dopo l’incidente. Il caso Murray mostra invece il lato criminale della filiera: liste di contatti con nomi, telefoni, indirizzi fisici ed email di anziani vendute per anni a scammer specializzati in frodi alle lotterie. In entrambi i casi, il danno non è reversibile: un profilo genetico non può essere cambiato come una password, e i dati degli anziani, una volta entrati nel circuito delle truffe, possono alimentare campagne fraudolente per anni.

La California accusa 23andMe per il breach genetico del 2023

La causa della California contro 23andMe entra nel cuore di una delle violazioni più delicate degli ultimi anni perché riguarda dati genetici, sanitari e familiari. Il breach del 2023 ha coinvolto quasi 7 milioni di clienti in tutto il mondo, inclusi 855.541 residenti californiani, e secondo l’azione dell’Attorney General Rob Bonta è stato reso possibile da un attacco di credential stuffing contro account protetti da credenziali deboli o già compromesse altrove. Gli attaccanti hanno prima colpito utenti che avevano attivato la funzione DNA Relatives, poi hanno sfruttato un errore di codice per accedere a un insieme più ampio di informazioni collegate ad altri profili. I dati esposti includono informazioni genetiche, predisposizioni sanitarie, dati di ascendenza, etnia, parenti biologici e match del DNA, cioè categorie informative che toccano identità personale, salute, relazioni familiari e appartenenza biologica. La violazione è emersa nell’ottobre 2023, quando i criminali hanno offerto i record in vendita su forum underground e hanno pubblicato campioni per dimostrarne l’autenticità. La procura californiana sostiene che 23andMe non abbia adottato salvaguardie ragionevoli contro un vettore noto come il credential stuffing, non abbia rilevato tempestivamente l’intrusione nonostante diverse opportunità mancate e abbia mantenuto una postura difensiva pubblica ritenuta insufficiente rispetto alla gravità della perdita. Il punto più rilevante è che la responsabilità non viene scaricata soltanto sugli utenti che hanno riutilizzato password deboli: secondo la causa, una società che conserva dati genetici deve prevedere attacchi di questo tipo, implementare controlli robusti, monitorare anomalie di accesso e limitare l’impatto di funzioni sociali come DNA Relatives quando queste possono amplificare la superficie di esposizione.

Le violazioni contestate includono privacy genetica e pubblicità fuorviante

Le violazioni contestate a 23andMe dalla procura californiana coprono un perimetro ampio e includono il California Genetic Information Privacy Act, la California Reasonable Data Security Law, il California Consumer Privacy Act, la False Advertising Law e l’Unfair Competition Law. La causa non si limita quindi a descrivere un incidente tecnico, ma costruisce un quadro di responsabilità che riguarda sicurezza, privacy genetica, comunicazione al pubblico e correttezza commerciale. Secondo l’accusa, prima del breach l’azienda avrebbe sostenuto di rispettare standard elevati di sicurezza, mentre dopo l’incidente avrebbe minimizzato l’impatto dichiarando che gran parte delle informazioni esposte era già pubblica e attribuendo la responsabilità principale al riutilizzo di password da parte degli utenti. La procura contesta anche l’affermazione secondo cui i sistemi non sarebbero stati violati, perché l’esfiltrazione di dati sensibili e l’errore nel modulo DNA Relatives mostrerebbero comunque un fallimento concreto nella protezione delle informazioni. L’azione chiede un’ingiunzione per impedire violazioni future e pene pecuniarie comprese tra 1.000 e 7.500 dollari per ogni violazione accertata. Il caso assume un peso ancora maggiore perché arriva mentre 23andMe affronta la bancarotta e una controversia sulla possibile vendita dei dati genetici dei californiani. Questo contesto rende il tema della fiducia ancora più critico: chi ha consegnato il proprio DNA a una piattaforma consumer non ha fornito soltanto un dato personale, ma una chiave biologica permanente che riguarda anche parenti, discendenti e legami familiari. La causa californiana manda quindi un segnale netto all’intero settore dei test genetici direct-to-consumer: dichiarazioni rassicuranti sulla sicurezza non bastano se non sono accompagnate da controlli tecnici, rilevamento tempestivo, trasparenza e responsabilità reale.

Troy Murray condannato per la vendita dei dati di oltre 7 milioni di anziani

La condanna di Troy Murray, noto anche come Steve Dixon, chiude un’attività criminale durata dal 2016 al 2023 e fondata sulla vendita sistematica di dati personali di anziani americani. Il tribunale federale ha inflitto al 57enne una pena di 121 mesi di carcere, equivalenti a oltre 10 anni, tre anni di libertà vigilata e la confisca di 5,2 milioni di dollari. Murray si è dichiarato colpevole di cospirazione per frode telematica dopo aver venduto lead list contenenti nomi, numeri di telefono, indirizzi fisici e indirizzi email di oltre 7 milioni di persone anziane. I compratori erano truffatori in Giamaica e in altri paesi, che usavano quelle informazioni per alimentare frodi legate a false lotterie e schemi di raggiro. Il modello economico era semplice e scalabile: Murray chiedeva circa 500 dollari per ogni lista composta da 100-300 nomi, ha inviato almeno 22.000 liste nel corso degli anni e ha generato oltre 5,2 milioni di dollari per sé stesso. Le vittime hanno subito perdite superiori a 9,5 milioni di dollari, mentre l’imputato usava i proventi per acquistare attrezzature agricole, veicoli, oggetti da collezione in metalli preziosi e per trasferire fondi al figlio. Quando i servizi tradizionali di trasferimento di denaro hanno iniziato a bloccarlo, Murray ha spostato i pagamenti su carte regalo prepagate, mostrando una capacità di adattamento tipica delle reti fraudolente persistenti. Il caso dimostra che il commercio di dati personali non è un reato astratto o marginale: ogni lista venduta può diventare l’innesco di chiamate mirate, manipolazione psicologica, pressione finanziaria e furto dei risparmi di persone vulnerabili.

Il ruolo di Cutter Murray e l’aumento delle frodi contro gli over 60

L’indagine su Troy Murray coinvolge anche il figlio Cutter Murray, che ha accettato di dichiararsi colpevole di riciclaggio di denaro per aver ricevuto e ripulito 1,6 milioni di dollari provenienti dallo schema illecito. Il Dipartimento di Giustizia aveva reso nota la collaborazione del figlio già nel giugno 2025, ricostruendo un meccanismo nel quale il padre vendeva liste di contatti a scammer internazionali e parte dei profitti veniva poi movimentata per spese personali e aziendali. La frode funzionava perché i dati venduti erano sufficientemente dettagliati da rendere credibile il contatto con la vittima: nome, telefono, indirizzo fisico ed email permettevano ai truffatori di costruire messaggi personalizzati, simulare familiarità e aumentare la pressione psicologica. L’aumento delle frodi contro gli anziani rende il caso ancora più rilevante. Secondo i dati FBI, nel 2025 gli americani con 60 anni o più hanno presentato oltre 200.000 denunce di frode, con un incremento del 37 per cento rispetto al 2024. Le perdite totali hanno raggiunto quasi 7,8 miliardi di dollari, con una media di 38.500 dollari per vittima. Questi numeri spiegano perché il brokeraggio illegale di lead list sia diventato un’infrastruttura criminale vera e propria. Gli anziani non vengono colpiti casualmente, ma selezionati perché più esposti a raggiri costruiti su isolamento, urgenza, fiducia e paura. La condanna di Murray non punisce soltanto un venditore di dati, ma colpisce uno snodo della catena che rende scalabili le truffe transnazionali contro una delle fasce più vulnerabili della popolazione.

Privacy genetica e dati degli anziani producono danni duraturi

Le conseguenze dei due casi sono profonde perché riguardano dati che, una volta esposti, non possono essere realmente recuperati. Nel caso 23andMe, i clienti coinvolti rischiano l’abuso di informazioni su predisposizioni sanitarie, ascendenza, etnia, parentela biologica e corrispondenze genetiche. Un dato genetico non può essere ruotato, revocato o sostituito come una password. Anche se un account viene protetto dopo l’incidente, le informazioni già sottratte possono continuare a circolare, essere correlate con altri dataset, alimentare discriminazioni, ricatti, profilazioni o ulteriori abusi. La situazione è resa più delicata dalla bancarotta della società e dal dibattito sulla vendita dei dati genetici, che spinge molti esperti a consigliare agli utenti di cancellare i propri dati DNA dove possibile. Nel caso Murray, invece, il danno riguarda anziani che hanno subito perdite economiche e conseguenze emotive pesanti. Le lead list vendute permettevano frodi mirate, ripetute e personalizzate, trasformando semplici informazioni di contatto in strumenti di pressione finanziaria. Le due vicende mostrano che i dati sensibili sono pericolosi non solo quando vengono rubati da hacker, ma anche quando vengono gestiti male, venduti, monetizzati o usati per selezionare vittime. La protezione della privacy non può più essere trattata come un adempimento formale: diventa una questione di sicurezza personale, stabilità economica e responsabilità sociale.

Il contesto statunitense spinge verso maggiore accountability

Il contesto più ampio delle violazioni di dati sensibili negli Stati Uniti mostra una crescita della pressione su aziende e criminali. Il breach di 23andMe del 2023 ha già generato indagini, controversie e richieste di risarcimento, mentre la causa della California aggiunge un livello di accountability statale particolarmente significativo perché riguarda la privacy genetica. La condanna di Troy Murray si inserisce invece nella risposta federale all’aumento delle frodi contro gli anziani, un fenomeno ormai misurato in miliardi di dollari di perdite annuali. Le due vicende colpiscono soggetti diversi, una società tecnologica e un broker criminale, ma condividono lo stesso punto di fondo: la mancata protezione dei dati personali produce conseguenze concrete, economiche, legali e umane. Le informazioni genetiche e i contatti degli over 60 sono target ad alto valore perché consentono azioni successive: frodi, ricatti, profilazione, discriminazione, phishing, scam telefonici e furti finanziari. Le autorità rispondono con strumenti diversi, dalla causa civile alla confisca patrimoniale, dalla richiesta di ingiunzioni alle pene detentive. Per le aziende, il messaggio è che la sicurezza ragionevole non può essere interpretata al minimo. Per i criminali, il messaggio è che la vendita di dati personali destinati a frodi non resta impunita. Per gli utenti, il segnale è più duro: la difesa dei propri dati richiede attenzione continua anche quando ci si affida a piattaforme note o servizi apparentemente affidabili.

Le difese richiedono password uniche, MFA e sicurezza anti-credential stuffing

Le raccomandazioni operative dopo questi casi partono da misure semplici ma essenziali. Gli utenti di servizi come 23andMe devono usare password forti e uniche, attivare autenticazione multifattore, controllare le impostazioni di condivisione genetica e valutare la cancellazione dei dati DNA se non desiderano più conservarli sulla piattaforma. Chi è stato coinvolto nel breach del 2023 dovrebbe monitorare comunicazioni sospette, tentativi di phishing e possibili abusi collegati a informazioni familiari o sanitarie. Le famiglie degli anziani devono prestare attenzione a chiamate, email o messaggi che citano dati personali reali per costruire credibilità, segnalando immediatamente tentativi di frode alle autorità competenti. Le aziende che raccolgono dati sensibili devono implementare difese specifiche contro il credential stuffing, monitorare login anomali, bloccare tentativi automatizzati, imporre MFA, limitare l’esposizione di funzioni sociali come matching e condivisione, correggere tempestivamente errori di codice e comunicare con trasparenza quando avvengono incidenti. Il punto decisivo è che la combinazione di causa civile e condanna penale dimostra una nuova fase di responsabilità. Le società possono affrontare multe, ingiunzioni e danni reputazionali; i broker criminali possono perdere denaro, beni e libertà personale. La protezione dei dati genetici e dei dati degli anziani richiede quindi una cultura di sicurezza più severa, perché il costo dell’inerzia viene pagato prima dalle vittime e poi, sempre più spesso, dai responsabili.