Wind Tre, sanzione da 1,7 milioni: il social engineering apre la porta, le API la spalancano
Il Garante per la protezione dei dati personali ha sanzionato Wind Tre S.p.A. per 1.715.600 euro. Il provvedimento del 14 maggio 2026 (registro n. 348, doc. web 10263796) è stato reso pubblico con la newsletter n. 549 dell’Autorità, del 16 luglio 2026, e chiude l’istruttoria su due violazioni notificate dalla stessa società nel febbraio 2025. La ricostruzione del Garante smonta però la lettura più immediata, quella dell’errore umano isolato: il social engineering è stato il vettore d’ingresso, ma a trasformare il secondo dei due accessi abusivi in un’esfiltrazione da 365mila clienti sono state carenze tecniche precise sulle API esposte.
Da 23 record a 365.048
I due eventi, occorsi a pochi giorni di distanza presso due distinti punti vendita, seguono lo stesso schema. Gli attaccanti hanno contattato telefonicamente un addetto del negozio chiedendo l’accesso remoto al dispositivo per asserite necessità di assistenza tecnica, ottenendo così tutti i fattori di autenticazione della web application usata per interrogare la customer base.
Qui le due dinamiche divergono, ed è la parte che conta. Il primo accesso ha prodotto 66 interrogazioni puntuali, con la violazione dei dati di circa 23 clienti. Nel secondo, secondo la ricostruzione fornita dalla società e recepita dall’Autorità, dopo un primo tentativo di intrusione bloccato dai meccanismi di sicurezza gli attaccanti hanno analizzato l’applicativo e individuato alcune API prive di misure di protezione, invocate a valle della funzionalità di ricerca principale. Sfruttandole, hanno eseguito circa 2 milioni di richieste totali con logica di enumeration, incrementando progressivamente l’identificativo del codice cliente (customerId), e hanno violato i dati di 365.048 clienti.
I dati raggiunti riguardano informazioni anagrafiche e di contatto. Per 41.359 clienti l’esfiltrazione ha riguardato anche il metodo di pagamento registrato sui sistemi Wind Tre: bollettino postale, IBAN, carta di credito. Le informazioni sulla carta erano riferite esclusivamente al PAN asteriscato e alla data di scadenza; i numeri completi non risultano esposti.
Le carenze contestate: certificati, credenziali, perimetro dei test
L’atto di avvio del 6 ottobre 2025 ha contestato la violazione dell’art. 5, par. 1, lett. f) e dell’art. 32, par. 1, lett. b) del GDPR su due profili, certificati digitali e controlli sulle API. Nelle valutazioni giuridiche finali, e poi fra le circostanze aggravanti, si aggiunge un terzo profilo: la gestione delle credenziali.
Sui certificati digitali, l’Autorità ha rilevato l’assenza di procedure sicure e formalizzate per generazione, distribuzione e conservazione: certificati e chiavi private avrebbero dovuto essere custoditi in cartelle o repository cifrati, o in sistemi dedicati di gestione delle chiavi (key management system o hardware security module), oppure in dispositivi sicuri come smart card o token USB capaci di generare e conservare internamente la chiave privata impedendone l’esportazione. Il certificato, osserva il Garante, andava in ogni caso correttamente importato nello store del sistema operativo e non conservato in chiaro.
Sulle credenziali, il Garante ha rilevato l’assenza di strumenti idonei alla gestione sicura per gli operatori dei punti vendita, con conseguente rischio di password deboli, riutilizzate o mal protette, e ha indicato la combinazione password manager più OTP come misura di riferimento: strumenti a crittografia forte, spesso di tipo zero-knowledge, integrati con un fattore aggiuntivo rispetto alla password statica.
Sulle API, il rilievo è il più tecnico e il più severo. Wind Tre ha dichiarato di svolgere periodicamente vulnerability assessment e penetration test, ma il Garante osserva che tali attività non hanno incluso, o hanno incluso in modo non adeguato, le API esposte e i relativi flussi applicativi. Le vulnerabilità sfruttate, riconducibili alle categorie della OWASP API Security Top 10, sarebbero state ragionevolmente individuabili con verifiche mirate: la criticità sta in una non corretta definizione del perimetro di analisi e/o in una insufficiente profondità delle verifiche condotte. In audizione la società ha chiarito che all’epoca dei fatti venivano protette solo le API principali, perché l’uso massivo di chiamate sulle secondarie non era considerato normalmente utilizzabile e non era stato esaminato in chiave preventiva. Rate limiting su tutte le API sensibili, combinato con CAPTCHA, avrebbe consentito di controllare sia la quantità di richieste sia la natura dell’utente.
Sul punto la difesa è arrivata fino in fondo: con nota tecnica dell’11 dicembre 2025 la società ha dichiarato di aver analizzato dark web e stampa senza trovare precedenti significativi di attacchi ad API secondarie utilizzabili come benchmark per definire misure preventive. L’argomento dell’imprevedibilità non ha impedito l’accertamento della violazione.
Il punto di diritto: la rete indiretta non è un’esimente
L’elemento più rilevante del provvedimento per chiunque governi una rete di vendita capillare è lo scambio sul password manager. Wind Tre ha dichiarato di non poter imporre tale misura ai punti vendita non di proprietà o ai collaboratori privi di rapporto di lavoro subordinato, per ragioni contrattuali e giuslavoristiche.
Il Garante ha respinto l’argomento senza margini: è onere del titolare disporre le misure di sicurezza più adeguate al rischio e fornire le relative istruzioni ai propri responsabili, mentre spetta a questi ultimi rispettarle, senza che ciò incida sulla natura giuridica del rapporto instaurato fra le parti. Tradotto: la rete indiretta eredita i privilegi di accesso ai sistemi del titolare, e con essi gli obblighi dell’art. 32.
Cosa c’era prima, cosa è arrivato dopo
Il dipartimento tecnologie digitali e sicurezza informatica dell’Autorità, con parere trasmesso il 29 dicembre 2025, ha ritenuto alcune censure non superabili pur dando atto delle apprezzabili iniziative della società.
Wind Tre ha dichiarato di avere già in essere, prima degli attacchi, autenticazione a tre fattori, gestione del ciclo di vita delle credenziali, tracciamento delle attività degli operatori, CAPTCHA anti-bot, firewall, blocco dell’accesso notturno e monitoraggio settimanale delle consultazioni per punto vendita. Dopo gli eventi ha revocato i certificati dei negozi coinvolti, abbassato le soglie CAPTCHA, implementato il rate limiting sulle API a rischio di uso massivo, bloccato gli automation user agent via web application firewall, introdotto allarmi specifici nella dashboard di monitoraggio, disposto un reset password massivo, aggiunto un ulteriore fattore di autenticazione, spostato l’assistenza tecnica dal telefono alla chat integrata, adottato azioni disciplinari sui punti vendita coinvolti, avviato formazione su tutta la rete e condotto mystery call su un campione di punti vendita per saggiarne la capacità di respingere pratiche di social engineering. In audizione ha inoltre riferito di aver testato la crittografia dei parametri di input e output delle chiamate API su un’API pilota, in progressiva estensione.
Su un punto la difesa aveva provato a ribaltare il quadro: in audizione la società ha ricostruito che l’attaccante ha potuto visualizzare le credenziali perché queste erano presumibilmente conservate in chiaro sul desktop o recuperate a livello di browser, mentre se fossero state custodite correttamente negli archivi cifrati del sistema operativo non sarebbero state esfiltrabili. È la stessa argomentazione, secondo cui gli eventi sarebbero dipesi unicamente da errori umani non evitabili e non da vulnerabilità dei sistemi, che l’Autorità ha respinto: proprio l’assenza di strumenti che avrebbero reso quella conservazione in chiaro molto meno probabile rientra fra le lacune tecnico-organizzative contestate.
Il precedente che il provvedimento non cita
Fra le attenuanti, il Garante indica “l’assenza di precedenti violazioni pertinenti a carico della Società”, ai sensi dell’art. 83, par. 2, lett. e) del GDPR. L’aggettivo merita attenzione.
Il precedente più noto non farebbe testo: l’ordinanza ingiunzione del 9 luglio 2020 (registro n. 143), che costò a Wind Tre circa 17 milioni, riguardava trattamenti illeciti legati prevalentemente ad attività promozionali. Rispetto a un procedimento sulla sicurezza dei trattamenti, una lettura restrittiva di “pertinenti” sarebbe difendibile.
Il provvedimento del 12 dicembre 2024 è un’altra cosa. Adottato cinque mesi prima dei due data breach (registro n. 774, doc. web 10105764, sanzione da 347.520 euro), tratta congiuntamente tre procedimenti: due riguardano il telemarketing, il terzo no.
In quel fascicolo il Garante ha accertato la violazione degli artt. 5, par. 1, lett. f) e 32 del Regolamento per l’inadeguatezza delle misure tecniche adottate per abilitare l’accesso all’area personale degli utenti. Sono le stesse due norme violate nel caso delle API. I fatti: per semplificare il login, Wind Tre aveva rimosso il codice fiscale dalle credenziali di accesso, senza avvedersi che quel campo alimentava anche il controllo di corrispondenza fra codice cliente e anagrafica del CRM. Un utente digitò un codice errato in fase di registrazione e si trovò davanti i dati di un altro cliente. La qualificazione dell’Autorità fu netta: “la rimozione di controlli di sicurezza all’accesso senza un’adeguata verifica delle conseguenze”. Fra le aggravanti, il carattere colposo della condotta, per le modifiche apportate al sistema di registrazione “senza valutare adeguatamente i potenziali rischi”.
Il parallelo con il provvedimento del 2026 è difficile da non vedere. Nel 2024 un controllo viene rimosso perché nessuno immagina lo scenario in cui serve; nel 2026 un controllo non viene applicato alle API secondarie perché l’uso massivo di quelle chiamate “non era considerato normalmente utilizzabile e dunque non era stato esaminato in chiave preventiva”. Nel primo caso l’aggravante è il carattere colposo, nel secondo “il livello di diligenza professionale non adeguato al potenziale rischio”. Il provvedimento del 14 maggio 2026 non spiega perché quel precedente, che verte sulle medesime norme e sul medesimo difetto di valutazione preventiva, non sia stato considerato pertinente.
C’è però un dettaglio che gioca a favore della società, e va detto. Nello stesso fascicolo del 2024, il Garante aveva contestato a Wind Tre anche la violazione dell’art. 33: la società aveva scelto di non notificare quell’episodio ritenendo assente un grave pregiudizio, e l’Autorità le aveva ricordato che la gravità del pregiudizio rileva per la comunicazione all’interessato, non per la notifica al Garante. Due mesi dopo, davanti a due accessi abusivi ben più seri, Wind Tre ha notificato spontaneamente entro i termini. Nel provvedimento sulle API quella tempestività figura fra le attenuanti. Almeno una lezione era stata assimilata.
Quanto pesa davvero la sanzione
Sulla base delle informazioni rinvenibili nell’ultimo bilancio, riferito all’esercizio chiuso al 31 dicembre 2024, il massimo edittale applicabile era di 171.560.000 euro. La sanzione irrogata corrisponde all’1% del massimo edittale e allo 0,04% del fatturato.
Tra le aggravanti l’Autorità ha considerato il numero di interessati e i rischi derivanti dall’uso malevolo dei dati sottratti, il livello di diligenza professionale non adeguato al potenziale rischio, le criticità su certificati e chiavi private, l’assenza di strumenti di gestione sicura delle credenziali e l’inadeguatezza dei controlli su alcune API esposte. Tra le attenuanti, le misure adottate tempestivamente e l’estesa comunicazione agli interessati, l’assenza di precedenti violazioni pertinenti, la cooperazione con l’Autorità e il fatto che il Garante abbia appreso delle violazioni dalla notifica spontanea della società.
Oltre alla sanzione, il Garante ha ingiunto tre misure: custodire i certificati digitali con soluzioni sicure dotate di controllo degli accessi e prevenzione dell’esportazione non autorizzata; implementare sistemi di gestione delle credenziali per i punti vendita, garantendo conservazione sicura, complessità e rotazione periodica; formalizzare le procedure di emissione, distribuzione, revoca e rinnovo di certificati e credenziali tramite key management system o HSM. La società deve comunicare all’Autorità entro 30 giorni dalla notifica le iniziative attuative ai sensi dell’art. 157 del Codice, pena ulteriore sanzione ex art. 83, par. 5, lett. e). È stata inoltre applicata la sanzione accessoria della pubblicazione integrale del provvedimento sul sito del Garante, prevista dall’art. 166, comma 7, del Codice, e disposta l’annotazione delle violazioni nel registro interno dell’Autorità.
Va segnalato infine che, ai sensi dell’art. 166, comma 8, del Codice, Wind Tre può definire la controversia adempiendo alle prescrizioni e versando entro trenta giorni metà dell’importo, ossia 857.800 euro. In alternativa può proporre opposizione all’autorità giudiziaria ordinaria entro trenta giorni dalla comunicazione: la sanzione non è definitiva. La società ha inoltre sporto denuncia alla Procura della Repubblica per gli eventi.
Cronologia
- 12 dicembre 2024: il Garante sanziona Wind Tre per 347.520 euro, accertando fra l’altro la violazione degli artt. 5, par. 1, lett. f) e 32 sull’accesso all’area clienti.
- 20 e 28 febbraio 2025: i due data breach, notificati dalla società ex art. 33 GDPR.
- 25 maggio 2025: relazione finale di Wind Tre al Garante.
- 16 luglio 2025: il dipartimento tecnico trasmette i fascicoli al dipartimento giuridico.
- 6 ottobre 2025: avvio del procedimento sanzionatorio.
- 5 novembre 2025: memoria difensiva.
- 5 dicembre 2025: audizione. 11 dicembre 2025: nota tecnica integrativa.
- 29 dicembre 2025: parere tecnico finale del dipartimento tecnologie digitali e sicurezza informatica.
- 14 maggio 2026: provvedimento. 16 luglio 2026: disclosure pubblica.
Il segnale per le aziende con reti di vendita capillari è netto, ma non è quello del “solo fattore umano”. La telefonata dell’assistenza apre la porta; sono l’assenza di rate limiting sulle API secondarie e un perimetro di vulnerability assessment mal disegnato a decidere se dietro quella porta ci sono ventitré record o trecentosessantacinquemila.

