Wind Tre multata dal Garante privacy: 1,7 milioni per due data breach
Il Garante per la protezione dei dati personali ha inflitto a Wind Tre una sanzione di 1.715.600 euro per gravi carenze nella sicurezza dei propri sistemi informatici. Le lacune riscontrate hanno reso possibili due accessi abusivi e la sottrazione dei dati personali di oltre 365.000 clienti. Lo riporta il Garante Privacy nella newsletter del 16 luglio 2026.
L'istruttoria è stata avviata dopo che Wind Tre aveva notificato all'Autorità due distinte violazioni dei dati, avvenute il 20 e il 28 febbraio 2025. Dalle verifiche è emerso che i criminali informatici hanno fatto ricorso all'ingegneria sociale: si sono spacciati per tecnici dell'assistenza e hanno convinto il personale di due punti vendita ad autorizzare l'accesso da remoto ai sistemi interni dell'azienda, riuscendo così a sottrarre dati anagrafici e di contatto degli utenti.
Per 41.359 dei clienti coinvolti, la violazione ha avuto conseguenze ancora più gravi: i dati esfiltrati comprendevano anche informazioni sui metodi di pagamento, tra cui il tipo di pagamento scelto (bollettino postale, IBAN, carta di credito), il numero della carta parzialmente oscurato e la relativa data di scadenza.
Nel corso dell'istruttoria il Garante ha rilevato carenze specifiche nella gestione delle credenziali di accesso e dei certificati digitali. I controlli di sicurezza effettuati dall'azienda, inoltre, non erano stati abbastanza approfonditi da individuare alcune vulnerabilità che verifiche più accurate avrebbero potuto far emergere. L'Autorità ha dunque accertato la violazione dei principi di integrità e riservatezza dei dati e degli obblighi di sicurezza sanciti dal GDPR.
Oltre alla sanzione pecuniaria, il Garante ha ordinato a Wind Tre di rafforzare la protezione delle credenziali e dei certificati digitali, di adottare strumenti più sicuri per la gestione delle password e di migliorare le procedure di sicurezza informatica per prevenire il ripetersi di episodi analoghi.
Nel determinare l'importo della multa, l'Autorità ha comunque tenuto conto di alcuni elementi favorevoli all'operatore: la tempestiva notifica delle due violazioni, la collaborazione fornita durante l'istruttoria e le misure correttive adottate dall'azienda subito dopo gli attacchi.