DistribuzioneLexFoniaSicurezza MobileWindTreWindTre Fisso

WindTre data breach: sanzionata dal Garante Privacy con una multa da 1,7 milioni di euro

Con un provvedimento del 14 Maggio 2026, il Garante per la protezione dei dati personali ha irrogato a Wind Tre S.p.A. una sanzione amministrativa pecuniaria pari a 1.715.600 euro, a seguito dell’istruttoria avviata dopo due episodi di data breach notificati dalla stessa società nel corso del mese di Febbraio 2025.

Oltre alla sanzione economica, l’Autorità ha ordinato all’operatore di adottare una serie di misure organizzative e tecniche finalizzate a rafforzare la sicurezza dei propri sistemi e delle procedure utilizzate dalla rete dei punti vendita.

I due episodi di violazione dei dati

L’istruttoria del Garante prende origine da due notifiche di violazione dei dati personali presentate da WindTre il 20 Febbraio 2025 e il 28 Febbraio 2025, riguardanti due distinti episodi verificatisi presso altrettanti punti vendita.

Secondo quanto ricostruito nel provvedimento (ecco il documento completo), gli attaccanti sarebbero riusciti ad ottenere tutti i fattori di autenticazione ricorrendo a tecniche di social engineering, convincendo telefonicamente gli addetti dei negozi a concedere l’accesso remoto ai dispositivi con il pretesto di dover effettuare operazioni di assistenza tecnica.

Nel primo episodio sarebbero state effettuate 66 interrogazioni della banca dati clienti, con il coinvolgimento di circa 23 utenti.

Il secondo episodio, invece, ha avuto un impatto decisamente più rilevante: gli attaccanti avrebbero eseguito circa 2 milioni di richieste automatiche seguendo una logica di enumeration, riuscendo ad accedere ai dati personali di 365.048 clienti.

Quali dati sono stati coinvolti

Come indicato dal Garante, i dati consultati riguardavano principalmente informazioni anagrafiche e recapiti di contatto.

Per un sottoinsieme di 41.359 clienti risultavano inoltre accessibili anche alcune informazioni relative ai metodi di pagamento registrati nei sistemi WindTre, tra cui la tipologia del metodo di pagamento (ad esempio bollettino postale, IBAN o carta di credito), il numero della carta di pagamento parzialmente oscurato e la relativa data di scadenza.

Il provvedimento precisa comunque che non risultavano esposti i numeri completi delle carte di pagamento.

Le prime misure adottate da WindTre

Subito dopo gli eventi, WindTre aveva comunicato di aver adottato alcune misure immediate, tra cui il blocco delle credenziali dei punti vendita coinvolti, la revoca dei certificati digitali utilizzati sui dispositivi interessati, l’invio di avvisi di sicurezza a tutta la rete commerciale e la comunicazione dell’accaduto agli interessati, inizialmente mediante pubblici proclami e successivamente anche tramite SMS.

Successivamente l’azienda ha introdotto ulteriori interventi di sicurezza, tra cui il rafforzamento dei controlli CAPTCHA, l’implementazione del rate limiting sulle API maggiormente esposte, il blocco degli user agent automatizzati tramite Web Application Firewall, l’introduzione di un ulteriore fattore di autenticazione, il reset massivo delle password dei punti vendita, attività di formazione specifica sulla cybersecurity, simulazioni di attacchi di social engineering (mystery call) e il passaggio dell’assistenza tecnica da telefono a chat integrata.

Le contestazioni del Garante

Nel provvedimento viene evidenziato che, pur riconoscendo l’impegno della società nel rafforzare le misure di sicurezza dopo gli eventi, alcune criticità erano già presenti prima degli attacchi.

In particolare, il Garante ha ritenuto non adeguata la gestione dei certificati digitali e delle relative chiavi private, la conservazione delle credenziali di autenticazione, la protezione di alcune API utilizzate dall’applicazione e l’attività di verifica preventiva delle vulnerabilità attraverso vulnerability assessment e penetration test.

Secondo l’Autorità, tali carenze avrebbero consentito agli attaccanti di sfruttare tecniche di social engineering e vulnerabilità applicative per ottenere un accesso non autorizzato ai dati personali.

Il Garante sottolinea inoltre che una corretta gestione dei certificati, l’utilizzo di sistemi di gestione delle password (password manager), l’adozione di procedure più strutturate e controlli specifici sulle API avrebbero potuto rendere molto più difficile la riuscita dell’attacco.

La posizione di WindTre

Durante il procedimento, WindTre ha sostenuto di aver già adottato, prima degli eventi, numerose misure di sicurezza, tra cui autenticazione a tre fattori, firewall, CAPTCHA, monitoraggio degli accessi, penetration test, vulnerability assessment, blocco degli accessi notturni e controlli periodici sulle consultazioni effettuate dai punti vendita.

La società ha inoltre affermato che gli attacchi sarebbero stati resi possibili principalmente da comportamenti umani riconducibili al social engineering e non da vulnerabilità strutturali dei sistemi.

Nel corso dell’istruttoria WindTre ha anche evidenziato di aver denunciato gli episodi all’Autorità giudiziaria e di aver avviato un gruppo di lavoro dedicato all’analisi delle violazioni di sicurezza avvenute anche in altre aziende, con l’obiettivo di migliorare continuamente il livello di protezione dei propri sistemi.

Le misure imposte dal Garante

Oltre alla sanzione economica, il Garante ha ordinato a WindTre di:

  • custodire i certificati digitali mediante sistemi sicuri di gestione delle chiavi;
  • introdurre sistemi di gestione delle credenziali (password manager) per i punti vendita;
  • rafforzare le procedure di emissione, distribuzione, rinnovo e revoca dei certificati e delle credenziali attraverso processi formalizzati e strumenti dedicati.

L’operatore dovrà inoltre comunicare al Garante, entro 30 giorni dalla notifica del provvedimento, le iniziative adottate per dare esecuzione alle prescrizioni imposte.

La sanzione

Nel determinare l’importo della sanzione, il Garante ha preso in considerazione diversi elementi aggravanti, tra cui il numero elevato di clienti coinvolti, i possibili rischi derivanti dall’utilizzo illecito dei dati sottratti e le criticità riscontrate nella gestione delle credenziali, dei certificati digitali e delle API.

Sono stati invece valutati come elementi attenuanti la tempestiva notifica del data breach da parte di WindTre, la collaborazione con l’Autorità, gli interventi correttivi adottati dopo gli eventi e l’assenza di precedenti violazioni pertinenti.

Alla luce di tali valutazioni, il Garante ha stabilito una sanzione pari a 1.715.600 euro, corrispondente allo 0,04% del fatturato preso a riferimento e all’1% della sanzione massima teoricamente applicabile, disponendo inoltre la pubblicazione integrale del provvedimento sul proprio sito istituzionale.

Ti potrebbe interessare

Pulsante per tornare all'inizio