Sanzione privacy a Wind Tre: il Garante porta la cyber al centro della compliance GDPR


Il Garante privacy ha sanzionato Wind Tre S.p.A. per 1.715.600 euro dopo due data breach che hanno portato all’accesso illecito ai dati personali di oltre 365mila clienti.

La vicenda nasce da tecniche di ingegneria sociale contro due punti vendita, ma l’ordinanza dell’Autorità va oltre il comportamento degli operatori coinvolti: al centro ci sono la gestione delle credenziali, la protezione dei certificati digitali e i controlli sulle API esposte.

Nel provvedimento del 14 maggio 2026, pubblicato nella newsletter del 16 luglio 2026, il Garante ha accertato la violazione del principio di integrità e riservatezza e degli obblighi di sicurezza previsti dal GDPR, richiamando l’articolo 5, paragrafo 1, lettera f), e l’articolo 32 del Regolamento.

Sanzione privacy a Wind Tre per data breach: cosa è successo

I due episodi sono stati notificati da Wind Tre al Garante il 20 e il 28 febbraio 2025. Secondo la ricostruzione dell’Autorità, ignoti hanno contattato telefonicamente addetti di due distinti punti vendita presentandosi come tecnici dell’assistenza e chiedendo l’accesso remoto ai dispositivi per presunte necessità operative.

Una volta ottenuti i fattori di autenticazione, gli attaccanti hanno avuto accesso a una web application aziendale. Nel primo evento sono state eseguite 66 interrogazioni puntuali sulla customer base, con violazione dei dati personali di circa 23 clienti. Nel secondo episodio, più esteso, sono state effettuate circa 2 milioni di richieste con una logica di enumeration, incrementando progressivamente l’identificativo del cliente, il cosiddetto customerId. In questo modo sono stati violati i dati personali di 365.048 clienti.

I dati coinvolti riguardano informazioni anagrafiche e di contatto. Per 41.359 interessati, l’accesso illecito ha riguardato anche informazioni relative al metodo di pagamento registrato nei sistemi Wind Tre: bollettino postale, iban, carta di credito con numero parzialmente oscurato e data di scadenza.

La newsletter del Garante n. 549 del 16 luglio 2026 sintetizza il caso come una sanzione per gravi carenze nella sicurezza dei sistemi aziendali.

Quanto pesa la multa e perché

La sanzione di 1.715.600 euro è stata calcolata dal Garante considerando un massimo edittale applicabile di 171.560.000 euro, sulla base dell’ultimo bilancio registrato al 31 dicembre 2024. L’importo corrisponde allo 0,04% del fatturato e all’1% della sanzione massima indicata dall’Autorità.

Tra le aggravanti figurano il numero di interessati coinvolti, i rischi derivanti dall’uso malevolo delle informazioni sottratte, il livello di diligenza professionale ritenuto non adeguato, le criticità nella gestione di certificati e chiavi private, l’assenza di strumenti idonei per la gestione sicura delle credenziali e l’inadeguatezza dei controlli su alcune api esposte.

Tra le attenuanti, l’Autorità ha considerato le misure adottate tempestivamente dalla società, l’attività di comunicazione agli interessati, l’assenza di precedenti violazioni pertinenti, il grado di cooperazione e il fatto che la violazione fosse stata notificata dalla stessa Wind Tre.

Il quadro è coerente con l’articolo 83 del Regolamento (UE) 2016/679, che richiede sanzioni effettive, proporzionate e dissuasive e impone di valutare natura, gravità, misure adottate e cooperazione con l’autorità di controllo.

La notifica come innesco dell’attività ispettiva

Uno degli elementi che meritano attenzione riguarda l’origine stessa del procedimento.

Nella percezione di molte organizzazioni il Garante continua infatti a essere identificato prevalentemente come l’autorità che interviene in materia di informative privacy, cookie, marketing o esercizio dei diritti degli interessati. È una rappresentazione ormai parziale della realtà. Una parte sempre più consistente dell’attività istruttoria dell’Autorità nasce infatti dalla gestione degli incidenti di sicurezza notificati ai sensi dell’articolo 33 del GDPR.

Il caso Wind Tre ne costituisce una dimostrazione particolarmente significativa, dal momento che l’istruttoria non prende avvio da un reclamo di un interessato né da un’ispezione programmata, bensì dall’esame delle notifiche di data breach che la stessa società ha trasmesso al Garante a pochi giorni di distanza l’una dall’altra.

Da lì, il Dipartimento Tecnologie digitali e sicurezza informatica dell’Autorità ha deciso di approfondire le modalità dell’attacco, richiedere ulteriori informazioni, valutare le misure adottate e, infine, trasmettere il fascicolo agli uffici competenti per l’avvio del procedimento sanzionatorio.

Questo conferma come la notifica del data breach può costituire il punto di partenza di una verifica molto più ampia sull’adeguatezza dell’intero sistema di sicurezza predisposto dal titolare del trattamento.

Negli ultimi anni il Garante ha avviato numerose istruttorie a seguito di notifiche di violazione dei dati personali riguardanti grandi imprese, strutture sanitarie, pubbliche amministrazioni e soggetti operanti in settori critici.

In tutti questi casi l’Autorità ha progressivamente esteso la propria analisi oltre la verifica del rispetto degli obblighi di notifica e comunicazione agli interessati, passando alla valutazione delle misure tecniche e organizzative adottate ai sensi dell’articolo 32 del GDPR.

In una fase storica nella quale il numero degli incidenti cyber continua a crescere, per i titolari del trattamento la corretta gestione del data breach non può essere considerata conclusa con l’invio della notifica entro settantadue ore. Da quel momento inizia, semmai, una diversa fase nella quale occorre essere in grado di dimostrare che l’evento, pur verificatosi, non è stato favorito da carenze organizzative o da misure di sicurezza non adeguate allo stato dell’arte e ai rischi del trattamento.

Oltre il fattore umano: la valutazione del Garante

Wind Tre ha sostenuto, nelle proprie difese, che l’attacco fosse stato reso possibile da pratiche di social engineering e da errori umani non evitabili.

La società ha inoltre indicato le misure già presenti prima degli eventi: autenticazione a tre fattori, ciclo di vita delle credenziali, tracciamento delle attività degli operatori, captcha, firewall, blocco dell’accesso notturno, monitoraggio delle consultazioni della customer base e raccomandazioni di sicurezza ai punti vendita.

Il Garante ha riconosciuto le misure correttive adottate dopo gli incidenti, tra cui la revoca dei certificati digitali, alert ai rivenditori, reset massivo delle password, abbassamento delle soglie captcha, rate limiting sulle API a rischio di uso massivo, blocco degli automation user agent tramite web application firewall, allarmi specifici nella dashboard di monitoraggio, formazione privacy e cyber security sulla rete vendita e passaggio dell’assistenza tecnica da telefono a chat integrata.

La valutazione dell’Autorità resta però severa, poiché la sicurezza, nel ragionamento del Garante, deve reggere anche davanti a tentativi prevedibili di ingegneria sociale. Credenziali e certificati digitali usati da punti vendita e partner commerciali non possono dipendere solo da istruzioni operative o raccomandazioni impartite alle persone: servono presidi tecnici e organizzativi documentati, applicabili e controllabili.

Il Garante valuta la resilienza dei sistemi

La ricostruzione dei fatti evidenzia come gli attaccanti abbiano fatto ricorso al social engineering.

Secondo la società, il successo dell’attacco sarebbe stato determinato esclusivamente dall’errore umano degli operatori coinvolti, i quali avrebbero conservato impropriamente le credenziali sfruttate dagli attaccanti o le avrebbero rese accessibili durante la sessione di assistenza remota.

L’Autorità conferma il ruolo determinante dell’errore umano ma quale presupposto dal quale partire per valutare l’adeguatezza delle misure di sicurezza messe in piedi dal titolare. Il fatto che un attacco si realizzi attraverso il comportamento di una persona non esclude infatti la responsabilità del titolare quando quel comportamento avrebbe potuto essere ragionevolmente previsto e mitigato mediante un’adeguata progettazione dei sistemi.

Anziché contrapporre fattore umano e fattore tecnologico (come se il successo di un attacco riconducibile all’ingegneria sociale dovesse essere inevitabilmente attribuito alla disattenzione dell’utente), il provvedimento si sposta così sul piano della resilienza dell’architettura di sicurezza.

E ribadisce che non è sufficiente aver formato il personale o aver adottato procedure interne, poiché è necessario dimostrare che il sistema è stato progettato assumendo che, prima o poi, qualcuno possa sbagliare.

La sicurezza deve prevedere l’errore umano

Le misure correttive imposte a Wind Tre riguardano la progettazione tecnica dei sistemi.

Il provvedimento fornisce indicazioni pratiche, come la necessità di custodire i certificati digitali mediante repository cifrati o sistemi dedicati di key management, rafforzare il ciclo di vita delle credenziali, introdurre password manager per gli operatori dei punti vendita, implementare procedure più rigorose per la gestione delle chiavi crittografiche e adottare sistemi capaci di impedire l’esportazione non autorizzata dei certificati.

Analogamente, dopo aver evidenziato le carenze nella protezione delle API, sottolinea come un vulnerability assessment realmente esteso all’intera superficie di attacco e penetration test specificamente orientati alle API avrebbero ragionevolmente consentito di individuare le vulnerabilità successivamente sfruttate dagli attaccanti.

Particolarmente interessante appare poi il rigetto della tesi difensiva con cui la società aveva sostenuto di non poter imporre l’utilizzo di password manager ai punti vendita perché gestiti da soggetti non direttamente dipendenti.

A tal proposito, l’Autorità ricorda infatti che spetta al titolare del trattamento individuare le misure di sicurezza ritenute adeguate al rischio e impartire le relative istruzioni ai soggetti che trattano dati personali per suo conto, indipendentemente dalla natura del rapporto contrattuale che li lega all’organizzazione. Né l’esternalizzazione di attività né la presenza di una rete commerciale composta da soggetti autonomi possono giustificare l’adozione di standard di sicurezza inferiori a quelli richiesti dal GDPR.

Sotto questo profilo il provvedimento rafforza ulteriormente il principio di accountability, chiarendo che la responsabilità del titolare non può essere attenuata dalla complessità della propria organizzazione o dalla presenza di operatori esterni.

La cyber security al centro delle valutazioni del Garante

Un ulteriore elemento che colpisce leggendo il provvedimento è il livello di approfondimento tecnico raggiunto dall’Autorità.

Per molti anni le decisioni del Garante hanno privilegiato la dimensione giuridica e organizzativa della protezione dei dati personali. Nei provvedimenti l’analisi tecnica era certamente presente, ma raramente raggiungeva il livello di dettaglio richiesto per valutare in modo approfondito le architetture di sicurezza e le concrete misure di protezione adottate dalle organizzazioni.

In questo caso, invece, il provvedimento affronta temi tipicamente propri della cyber security e offre soluzioni tecniche precise e dettagliate.

L’Autorità richiama infatti espressamente le migliori pratiche in materia di progettazione sicura delle API, evidenzia l’importanza del rate limiting e dei sistemi CAPTCHA, analizza il perimetro dei vulnerability assessment, valuta l’efficacia dei penetration test e richiama persino l’OWASP API Security Top 10 come parametro di riferimento per verificare l’adeguatezza delle misure adottate dalla società.

Il segnale di un’evoluzione ormai evidente del ruolo dell’Autorità, chiamata sempre più frequentemente a valutare la conformità dell’articolo 32 del GDPR alla luce delle concrete best practice della sicurezza informatica. In estrema sintesi, l’articolo 32 sta progressivamente diventando una norma tecnica, oltre che giuridica.

Questo provvedimento sembra del resto confermare quanto già emergeva dalla Relazione annuale 2025 del Garante. Se in quella sede l’Autorità aveva dato l’impressione di voler ampliare il proprio raggio d’azione verso temi tradizionalmente riconducibili alla cyber security e alla governance delle tecnologie digitali, il provvedimento Wind Tre rappresenta una concreta traduzione di tale impostazione.

Si tratta, in ogni caso, di un’evoluzione coerente con il quadro normativo europeo, in cui privacy e cyber resilience sono dimensioni sempre più integrate della medesima strategia di tutela dei diritti fondamentali e della sicurezza digitale.

AI ed errore umano: ripensare la sicurezza

Il ragionamento del Garante potrebbe avere riflessi anche sull’impiego di strumenti di AI nella cyber security. Se l’articolo 32 richiede misure adeguate allo stato dell’arte, l’evoluzione delle tecnologie di analisi comportamentale e anomaly detection potrebbe incidere progressivamente anche sul parametro con cui valutare l’adeguatezza delle misure adottate dal titolare e sugli strumenti che la tecnologia oggi mette a disposizione proprio per perseguire tale obiettivo.

Negli ultimi anni le piattaforme di cyber security basate sull’intelligenza artificiale hanno compiuto notevoli progressi nella capacità di analizzare il comportamento degli utenti, identificare anomalie, rilevare tentativi di social engineering e riconoscere pattern di attacco che difficilmente potrebbero essere intercettati mediante regole statiche.

Soluzioni di User and Entity Behavior Analytics sono oggi in grado di individuare accessi incompatibili con il profilo abituale dell’operatore; sistemi di autenticazione adattiva possono richiedere ulteriori verifiche quando rilevano comportamenti anomali; modelli di machine learning possono riconoscere attività di enumeration sulle API prima che producano un’esfiltrazione massiva di dati; strumenti di AI generativa possono persino assistere gli operatori nel riconoscimento di tentativi di phishing o vishing durante le attività quotidiane.

L’intelligenza artificiale non elimina il rischio umano né sostituisce la formazione del personale, tuttavia, la logica sottesa al provvedimento suggerisce una diversa prospettiva: la sicurezza deve costruire un sistema di controlli capace di intercettare l’errore prima che esso produca conseguenze irreversibili.

È probabilmente questa la direzione verso la quale evolverà anche l’interpretazione dell’articolo 32 del GDPR.

Lo “stato dell’arte”, richiamato dalla disposizione come parametro per valutare l’adeguatezza delle misure di sicurezza, è infatti un concetto dinamico e, con l’evoluzione delle tecnologie disponibili, anche ciò che può ragionevolmente essere richiesto ai titolari del trattamento è destinato a evolvere.

Sanzione privacy a Wind Tre: lezioni per le organizzazioni

Il Garante considera le notifiche di data breach uno strumento essenziale per verificare l’effettiva adeguatezza delle misure di sicurezza adottate dalle organizzazioni e valuta ormai tali misure facendo ampio riferimento alle best practice della cyber security.

L’Autorità afferma soprattutto che, nell’attuale scenario di minaccia (dominato dal social engineering e amplificato dall’impiego di strumenti sempre più avanzati da parte degli attaccanti), l’errore umano non può più essere considerato un evento straordinario, in quanto è piuttosto una componente fisiologica del rischio cyber.

La conformità all’articolo 32 del GDPR si misura oggi dalla capacità complessiva dell’organizzazione di costruire un’architettura resiliente, nella quale tecnologia, processi e persone concorrano insieme a prevenire, rilevare e contenere anche gli errori più prevedibili.

Le indicazioni operative per le imprese

Il provvedimento fornisce indicazioni operative per tutte le organizzazioni che affidano accessi applicativi a reti esterne, partner, dealer, fornitori o strutture territoriali.

L’autenticazione forte riduce il rischio, ma non basta se poi i certificati e credenziali possono essere conservati in modo improprio o recuperati tramite accesso remoto al dispositivo.

La gestione della sicurezza deve coprire l’intero percorso: provisioning delle credenziali, conservazione delle chiavi, revoca, rinnovo, logging, alert, formazione e verifica dei comportamenti reali. La filiera commerciale diventa parte della superficie di attacco e va trattata come tale nei modelli di rischio, nei contratti, nelle istruzioni operative e nei controlli periodici.

Sul fronte delle API, inventario, classificazione per rischio, rate limiting, controlli anti-enumeration, validazione degli identificativi, test mirati sui flussi secondari e monitoraggio delle anomalie non sono più soltanto scelte di buona progettazione. Rappresentano misure che consentono al titolare di dimostrare l’adeguatezza del proprio sistema di sicurezza rispetto agli obblighi previsti dall’articolo 32 del GDPR.

In definitiva, il provvedimento conferma che, quando un data breach coinvolge credenziali, certificati e API, la compliance privacy si misura anche nella qualità dell’architettura di sicurezza.

Per DPO e responsabili della cyber security, ciò significa progettare controlli capaci di prevenire, rilevare e contenere gli scenari di abuso ragionevolmente prevedibili.


#Adessonews seleziona nella rete articoli di particolare interesse.
Se vuoi leggere l’articolo completo clicca sul seguente link
 Tania Orrù

Source link

Di