La pubblicazione online dei dati di oltre sei milioni di clienti Odido segna uno dei casi più rilevanti di esposizione informatica registrati negli ultimi anni nei Paesi Bassi. Dopo aver rifiutato la richiesta di riscatto avanzata dal gruppo ShinyHunters, la società di telecomunicazioni ha visto comparire sul dark web parte degli archivi sottratti durante l’attacco. Nei dataset figurano nomi, numeri di telefono, indirizzi email, date di nascita, coordinate bancarie e, per una quota di utenti, anche estremi di documenti di identità.
Il passaggio dalla sottrazione dei dati alla loro diffusione pubblica cambia la natura del danno. Finché un archivio resta confinato all’interno di un circuito criminale ristretto, il rischio resta legato alla minaccia. Quando invece il database viene pubblicato, entra in un ecosistema aperto fatto di copie, rivendite e incroci con altre violazioni. Questo rende l’impatto potenzialmente duraturo e difficile da circoscrivere. La combinazione tra IBAN e documento di identità, per esempio, può facilitare operazioni di frode o episodi di furto di identità che emergono anche a distanza di tempo.
Come funziona la doppia estorsione nel ransomware
Negli ultimi anni il ransomware ha assunto una forma più articolata. I gruppi criminali prima penetrano nei sistemi, poi esfiltrano i dati e infine chiedono un pagamento per evitare la pubblicazione. Nel caso Odido la trattativa non è andata a buon fine e la diffusione è iniziata. Le autorità europee ribadiscono da tempo che il pagamento di un riscatto non garantisce la cancellazione delle copie in possesso degli attaccanti e contribuisce a finanziare ulteriori attività illecite. La scelta di non negoziare si inserisce in questo orientamento, ma comporta un impegno prolungato sul piano operativo e reputazionale.
L’azienda dovrà infatti gestire la comunicazione verso milioni di utenti, monitorare la circolazione dei dati pubblicati e valutare eventuali richieste di risarcimento. In parallelo si apre il fronte regolatorio. Un incidente di queste dimensioni attiva obblighi di notifica alle autorità competenti e possibili verifiche sull’adeguatezza delle misure tecniche e organizzative adottate per proteggere i database clienti.
Quali obblighi scattano in caso di data breach secondo il GDPR
Quando una violazione coinvolge dati personali su larga scala, il regolamento europeo impone di informare l’autorità di controllo entro termini stringenti e, nei casi più gravi, anche gli interessati. Le verifiche non si concentrano soltanto sull’evento in sé, ma sull’intero sistema di prevenzione e risposta: gestione degli accessi, controlli sui fornitori, sistemi di rilevazione delle anomalie, procedure interne. Per un operatore di telecomunicazioni, che gestisce infrastrutture essenziali e grandi volumi di informazioni sensibili, questi aspetti assumono un rilievo particolare.
Il caso Odido mostra come la protezione dei dati sia ormai una questione di governance aziendale. La sicurezza informatica incide sulla continuità operativa, sulla fiducia degli utenti e sulla posizione competitiva nel mercato europeo. Nelle prossime settimane emergerà con maggiore chiarezza l’estensione effettiva degli archivi diffusi e l’eventuale comparsa di ulteriori tranche di dati. Intanto il passaggio dal furto alla pubblicazione lascia una traccia difficile da cancellare e impone alle imprese digitali una riflessione concreta sulla gestione del rischio nel medio periodo.
