Il Garante per la protezione dei dati personali ha inflitto una sanzione di circa 1,7 milioni di euro a Wind Tre per la violazione della privacy di oltre 365.000 clienti. Sono state rilevate gravi carenze nella sicurezza dei sistemi aziendali che hanno facilitato due accessi non autorizzati nel mese di febbraio 2025. L’autorità ha inoltre ordinato alla società di rafforzare le protezioni.
Due data breach tramite ingegneria sociale
Il Garante ha avviato il procedimento il 6 ottobre 2025, dopo aver ricevuto da Wind Tre due notifiche relative ad altrettanti data breach avvenuti il 20 e 28 febbraio 2025. Ignoti cybercriminali hanno sfruttato l’ingegneria sociale per accedere ai sistemi aziendali. In dettaglio hanno contattato telefonicamente gli addetti di due punti vendita fingendosi tecnici dell’assistenza e ottenuto l’accesso remoto al software usato per la gestione dei clienti.
Durante le due intrusioni sono stati esfiltrati i dati anagrafici e di contatto di oltre 365.000 clienti. Per circa 41.300 di essi sono stati sottratti anche i dati di pagamento. Wind Tre ha successivamente bloccato le credenziali e revocato i certificati digitali per i dispositivi usati nei punti vendita.
L’autorità ha rilevato gravi carenze nella sicurezza, tra cui l’inadeguata protezione per credenziali e certificati digitali. La società non ha inoltre rilevato e corretto le vulnerabilità sfruttate dai cybercriminali per accedere ai sistemi interni e rubare i dati dei clienti.
Wind Tre ha comunicato che, all’epoca dei fatti, erano state implementate misure di sicurezza adeguate, quindi gli accessi abusivi sono avvenuti unicamente a causa di errori umani, non a causa di vulnerabilità dei sistemi. Altre misure sono state adottate dopo le intrusioni. La società ha successivamente aggiunto che gli addetti dei punti vendita avevano conservato in chiaro le credenziali.
Il Garante non ha ritenuto sufficienti tali misure, quindi ha inflitto una sanzione di 1.715.600 euro e ordinato a Wind Tre di implementare soluzioni di sicurezza più efficaci (cifratura e password manager) per la gestione di certificati digitali e credenziali.