Coupang, sanzione record da 409 milioni di dollari: la più grande multa privacy della storia coreana

Coupang, sanzione record da 409 milioni di dollari: la più grande multa privacy della storia coreana nasce da una chiave non revocata

A cura di:Redazione Ore

La Personal Information Protection Commission (PIPC) della Corea del Sud ha imposto a Coupang, il colosso dell’e-commerce spesso definito “l’Amazon dell’Asia”, una sanzione complessiva di 624,68 miliardi di won, pari a circa 409 milioni di dollari. È la più alta multa mai comminata nel Paese per una violazione di dati personali, e supera nettamente il precedente primato di SK Telecom, fermo a 134,8 miliardi di won (imposto ad agosto 2025). La decisione, approvata in seduta plenaria e annunciata l’11 giugno 2026, non sanziona un attacco sofisticato: punisce il fallimento dei controlli di base, ed è segnata da ciò che è venuto dopo.

I numeri della violazione

Secondo la ricostruzione del regolatore, il data breach ha esposto i dati personali di circa 37,55 milioni di utenti: 33.222.472 iscritti e almeno 4.338.368 non iscritti i cui dati comparivano come destinatari di consegna. Le informazioni sottratte comprendono nomi, indirizzi e-mail, numeri di telefono, indirizzi di spedizione e cronologia degli ordini, un perimetro che, secondo la stessa azienda, coinvolge circa due terzi della popolazione sudcoreana. L’accesso non autorizzato si è protratto fino all’8 novembre 2025; la violazione è stata scoperta a metà novembre 2025.

La sanzione si articola in due voci distinte: 423,6 miliardi di won per la violazione degli obblighi di sicurezza (la fuga di dati) e 201,1 miliardi di won per una condotta separata, ossia la raccolta illecita dei registri di attività online di circa 11,17 milioni di utenti su siti e app di terze parti, senza consenso.

La causa: un insider, una chiave dimenticata e sette mesi di silenzio

Il punto che dovrebbe interessare ogni CISO non è la portata, ma il vettore. L’autore della violazione è un ex dipendente che aveva personalmente costruito il sistema di autenticazione di backup. Uscito dall’azienda a fine 2024, avrebbe conservato una signing key di autenticazione mai revocata e l’avrebbe usata per generare token falsificati, accedendo per circa sette mesi ai sistemi che custodivano i dati dei clienti ed esfiltrandoli; secondo la ricostruzione avrebbe poi inviato all’azienda e-mail a sfondo estorsivo.

La presidente della PIPC, Song Kyung-hee, è stata netta: l’incidente non è nato da un metodo di hacking sofisticato, ma da un sistema di gestione della sicurezza inadeguato e da una gestione negligente. La prova più eloquente è il fallimento della detection. I segnali c’erano, e sono passati inosservati per sette mesi: circa 148 milioni di richieste di autenticazione anomale e 44 milioni di token falsificati emessi anche per numeri di iscritto inesistenti, senza che scattasse un solo allarme. Non è mancata la tecnologia avanzata; sono mancati i controlli e il monitoraggio di base.

Da negligenza a sospetta ostruzione

Qui la storia cambia peso. Oltre alla sanzione amministrativa, la PIPC ha segnalato Coupang per azione penale per distruzione di prove: a fronte di un ordine di conservazione dei log del 21 novembre, sei giorni dopo l’azienda avrebbe cancellato manualmente circa sei mesi di log di accesso web. L’AD ad interim Harold Rogers sarebbe stato interrogato dalla polizia a gennaio come indagato in un’inchiesta per intralcio; il regolatore ha inoltre contestato l’esclusione del proprio responsabile privacy dall’indagine interna come violazione dell’indipendenza del CPO. Sono addebiti su un caso ancora aperto, da tenere al condizionale fino a una pronuncia, ma spostano la lezione dal solo deprovisioning mancato alla incident response, alla conservazione dei log e all’indipendenza della funzione privacy.

Perché conta: precedente normativo e attrito geopolitico

La vicenda è rilevante su piani che vanno oltre il singolo incidente. Sul piano regolatorio fissa un precedente: una authority asiatica colpisce con la sanzione massima una multinazionale con quartier generale negli Stati Uniti, un Paese dove le aziende raramente affrontano penali finanziarie o azioni penali per data breach. E avrebbe potuto andare molto peggio: la riforma della PIPA approvata a febbraio 2026 alza il massimale dal 3% al 10% del fatturato per violazioni gravi, e con il nuovo quadro la sanzione avrebbe potuto superare 4,5 trilioni di won, oltre sette volte quella effettiva. Per i responsabili compliance europei la lettura è immediata: il modello di enforcement aggressivo che conosciamo con il GDPR sta diventando uno standard globale.

Sul piano geopolitico, il caso è diventato una fonte inattesa di frizione tra Seoul e Washington: alcuni parlamentari coreani hanno denunciato pressioni politiche statunitensi, con report secondo cui rappresentanti USA avrebbero collegato la vicenda ai rapporti bilaterali. L’esposizione finanziaria complessiva di Coupang va peraltro oltre la multa: a essa si aggiunge un piano di indennizzo da circa 1,7 trilioni di won (1,2 miliardi di dollari) e una sanzione alla controllata logistica, con la penale non deducibile e non sospesa in pendenza di ricorso. Per equilibrio: Coupang contesta i numeri del regolatore e su questo fonda parte dell’impugnazione annunciata.

Il messaggio per il settore è chiaro e impone un’azione, non un commento: la spesa in tecnologie difensive avanzate vale poco se la gestione di chiavi, token e accessi degli ex dipendenti resta affidata a processi manuali e a revoche che non avvengono, e se al breach segue una incident response che distrugge anziché conservare le prove. La identity and access governance torna al centro, e ora ha un prezzo da 409 milioni di dollari.

Condividi sui Social Network:

Ultimi Articoli