🛡️ Executive Summary
- Due accessi abusivi ai sistemi Wind Tre espongono i dati di oltre 365.000 clienti, compresi dati di pagamento relativi a 41.359 persone.
- Il Garante rileva carenze nella protezione di credenziali e certificati digitali e impone una sanzione di 1.715.600 euro.
- La newsletter affronta anche recupero crediti, accesso alle registrazioni audio e linee guida europee su anonimizzazione, scraping e blockchain.
Il Garante per la protezione dei dati personali ha inflitto a Wind Tre una sanzione di 1.715.600 euro per le carenze di sicurezza che hanno consentito due accessi abusivi ai sistemi dell’operatore e l’esfiltrazione dei dati personali di oltre 365.000 clienti. Per 41.359 persone, la compromissione ha interessato anche informazioni relative ai metodi di pagamento, compresi IBAN, bollettini postali e dati parzialmente oscurati delle carte di credito. L’Autorità ha contestato la violazione dei principi di integrità e riservatezza previsti dal GDPR e ha imposto il rafforzamento delle misure dedicate a credenziali, password, certificati digitali e procedure di autenticazione.
Cosa leggere
Gli attaccanti hanno sfruttato il social engineering nei punti vendita
I due accessi abusivi non sono derivati esclusivamente dallo sfruttamento di una vulnerabilità software. Gli attaccanti si sono presentati come tecnici dell’assistenza e hanno convinto operatori dei punti vendita a entrare nei sistemi aziendali, ottenendo così l’accesso alle informazioni dei clienti. La dinamica mostra come una struttura tecnologica possa essere compromessa anche quando il punto iniziale dell’attacco è umano. Credenziali correttamente funzionanti, ma utilizzate sotto manipolazione, possono diventare uno strumento di intrusione se l’organizzazione non dispone di verifiche aggiuntive, procedure di conferma e limiti sufficienti sui privilegi. Il Garante ha rilevato carenze nella gestione delle credenziali e dei certificati digitali, insieme a controlli incapaci di impedire o contenere l’uso abusivo degli accessi. La vicenda conferma quanto approfondito nella guida a data breach e data leak, dove il valore del dato compromesso dipende non soltanto dalla quantità delle informazioni, ma dalla possibilità di utilizzarle per frodi, phishing e impersonificazione.
Oltre 41.000 clienti esposti anche sul fronte dei pagamenti
La parte più sensibile dell’incidente riguarda i 41.359 clienti per i quali sono stati sottratti anche dati collegati alle modalità di pagamento. Le informazioni comprendevano riferimenti a bollettini postali, IBAN e carte di credito con numero parzialmente oscurato e data di scadenza. Anche quando il numero completo della carta non viene esposto, la combinazione tra dati anagrafici, recapiti, informazioni contrattuali e dettagli finanziari può aumentare la credibilità di campagne di phishing mirato. Un criminale può presentarsi come operatore telefonico, banca o servizio di assistenza e utilizzare elementi reali per convincere la vittima a comunicare codici, password o numeri completi. Il rischio non termina quindi con la chiusura dell’incidente tecnico. Gli utenti coinvolti devono prestare attenzione a messaggi che richiamano fatture, rimborsi, portabilità, rinnovi o anomalie di pagamento. Il problema è analogo a quello emerso nel caso Trenitalia, dove Matrice Digitale ha evidenziato come i dati di viaggio e di contatto possano alimentare il social engineering di nuova generazione.
La collaborazione di Wind Tre non elimina la responsabilità sulla sicurezza
Nel determinare l’importo della sanzione, il Garante ha considerato la tempestività della notifica, la collaborazione dell’azienda durante l’istruttoria e le misure correttive adottate dopo gli accessi. Questi elementi hanno inciso sulla valutazione, ma non hanno eliminato la responsabilità per le carenze precedenti. Il GDPR impone al titolare del trattamento di adottare misure tecniche e organizzative adeguate al rischio, verificandone periodicamente l’efficacia. Nel caso di una grande azienda di telecomunicazioni, la protezione deve riguardare non soltanto i sistemi centrali, ma anche i punti vendita, le utenze degli operatori, i certificati, le procedure di assistenza e i meccanismi con cui viene verificata l’identità di chi richiede supporto. Il Garante ha ordinato a Wind Tre di rafforzare questi elementi, intervenendo sulle password, sulla gestione delle credenziali e sulle procedure di sicurezza informatica. L’Autorità aveva già sanzionato l’operatore in altri procedimenti, come ricostruito nell’articolo dedicato a Wind Tre e alle ulteriori decisioni del Garante su privacy e trattamento dei dati.
Recupero crediti: il titolare deve controllare realmente il responsabile
La newsletter del 16 luglio affronta anche un procedimento nel settore del recupero crediti, concluso con una sanzione da 50.000 euro per il titolare del trattamento e da 30.000 euro per la società responsabile. Il caso nasce dalla segnalazione di un debitore contattato attraverso un numero di cellulare che non era più nella sua disponibilità. Il Garante ha rilevato che il titolare non aveva esercitato una vigilanza adeguata sulle attività affidate all’esterno e non aveva fornito istruzioni sufficientemente chiare e documentate. Il responsabile, a sua volta, non aveva aggiornato le informazioni e non aveva spiegato all’interessato da quale fonte provenisse il numero utilizzato. La decisione ribadisce che la nomina di un responsabile esterno non trasferisce automaticamente ogni responsabilità. Il titolare deve effettuare controlli periodici, documentare le verifiche e accertarsi che i dati siano esatti, aggiornati e utilizzati secondo istruzioni definite. Il responsabile deve invece garantire tracciabilità, trasparenza e capacità di rispondere alle richieste degli interessati. Questi obblighi rientrano nel quadro generale descritto nella guida completa al GDPR, alle responsabilità e alle sanzioni.
Enel Energia deve consentire l’accesso alle registrazioni audio
Un’altra decisione riguarda il diritto di un cliente di Enel Energia ad accedere ai dati personali contenuti nelle registrazioni delle proprie conversazioni con l’azienda. Enel aveva opposto un diniego richiamando la privacy dell’operatore, ma il Garante ha ritenuto possibile bilanciare i diritti attraverso soluzioni meno restrittive. L’azienda può fornire una trascrizione, oscurare gli elementi identificativi del dipendente o modificare la voce prima della consegna. La natura professionale della conversazione, legata a un contratto di fornitura del gas, riduce inoltre l’aspettativa di riservatezza personale dell’operatore rispetto a una comunicazione privata. Il principio stabilito è che la presenza di dati riferibili a terzi non può giustificare automaticamente il rifiuto dell’accesso. Il titolare deve valutare il caso concreto e individuare una modalità che consenta all’interessato di conoscere i propri dati senza esporre inutilmente quelli altrui. Enel era già stata coinvolta in precedenti decisioni del Garante, comprese quelle ricostruite nell’approfondimento sulle sanzioni privacy a Enel, Bakeca e Sagitter.
EDPB definisce criteri per anonimizzazione, scraping e blockchain
La newsletter richiama infine le linee guida adottate dal Comitato europeo per la protezione dei dati su anonimizzazione, web scraping e blockchain. Il documento sull’anonimizzazione, sottoposto a consultazione pubblica fino al 30 ottobre 2026, chiarisce che eliminare nomi o identificativi diretti non basta a rendere un dataset anonimo. Occorre verificare che le persone non possano essere isolate, collegate ad altri dati o individuate attraverso inferenze ragionevolmente disponibili. Le indicazioni sul web scraping affrontano invece le basi giuridiche, il trattamento di categorie particolari di dati e gli obblighi delle aziende che raccolgono contenuti online per addestrare sistemi di intelligenza artificiale generativa. Il tema era già stato affrontato dal Garante italiano con le indicazioni per proteggere i dati personali dal web scraping. Le linee guida sulla blockchain analizzano infine la difficoltà di conciliare immutabilità dei registri, minimizzazione, rettifica e cancellazione dei dati. Il messaggio comune è che innovazione tecnica e conformità non possono essere gestite in momenti separati: privacy, sicurezza e governance devono essere integrate nella progettazione iniziale dei sistemi.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.









