Provvedimento del 14 maggio 2026 [10263796]
Provvedimento del 14 maggio 2026 [10263796]
VEDI ANCHE Newsletter del 16 luglio 2026
[doc. web n. 10263796]
Provvedimento del 14 maggio 2026
Registro dei provvedimenti
n. 348 del 14 maggio 2026
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e il dott. Luigi Montuori, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);
VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018 n. 101, recante disposizioni per l'adeguamento dell’ordinamento nazionale al citato Regolamento (di seguito “Codice”);
VISTA la documentazione in atti;
VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
RELATORE il prof. Pasquale Stanzione;
PREMESSO
1. L’ATTIVITÀ ISTRUTTORIA SVOLTA
Con atto prot. n. 131121 del 6 ottobre 2025, che qui deve intendersi integralmente richiamato, è stato notificato a Wind Tre S.p.A. (di seguito, Wind Tre o la Società) l’avvio del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori ai sensi dell’art.166, comma 5, del Codice, in relazione alle violazioni rilevate dall’Ufficio a seguito dell’esame di due notifiche di data breach presentate dalla stessa Wind Tre, ai sensi dell’art. 33 del Regolamento, in data 20 febbraio 2025 (fasc. DB008078) e in data 28 febbraio 2025 (fasc. DB008140).
Le due notifiche, in particolare, erano riferite a due eventi dal carattere analogo, occorsi presso due distinti punti vendita a distanza di pochi giorni, relativi ad accessi abusivi alla Web Application XX da parte di ignoti che erano riusciti ad ottenere tutti i fattori di autenticazione attraverso tecniche di social engineering; in particolare, gli attaccanti avevano contattato telefonicamente un addetto del punto vendita chiedendo l’accesso remoto al dispositivo per asserite necessità di assistenza tecnica. A seguito del primo evento, gli attaccanti sono riusciti ad eseguire 66 interrogazioni puntuali della Customer Base di Wind Tre, violando i dati personali di circa 23 clienti; a seguito del secondo evento gli attaccanti sono riusciti ad eseguire circa 2 milioni di richieste totali seguendo una logica di enumeration, ovvero andando ad aumentare progressivamente l'identificativo del codice cliente (c.d. "customerId") violando i dati personali di 365.048 clienti.
I dati cui gli ignoti attaccanti hanno avuto accesso riguardano informazioni anagrafiche e di contatto. Inoltre, per un sottoinsieme degli interessati (41.359 soggetti) risultano coinvolti anche i dati relativi al metodo di pagamento registrato sui sistemi Wind Tre (Bollettino Postale, IBAN, Carta di Credito asteriscata). Le informazioni sulla carta di credito erano riferite esclusivamente al PAN asteriscato ed alla data di scadenza.
In sede di notifica dei data breach, la Società, oltre a descrivere le misure di sicurezza già in essere, ha illustrato gli interventi adottati a seguito delle violazioni:
a) blocco delle credenziali e revoca del certificato digitale per i dispositivi dei punti vendita coinvolti nella violazione;
b) avvisi di sicurezza a tutti i rivenditori finalizzati a ribadire le raccomandazioni, già veicolate, in merito ai rischi di atti illeciti e tentativi di phishing.
Il Dipartimento Tecnologie digitali e sicurezza informatica del Garante (di seguito DiTDSI) ha avviato delle interlocuzioni con la Società, mediante diverse richieste di informazioni, al fine di circoscrivere meglio le caratteristiche degli eventi e i possibili effetti pregiudizievoli sugli interessati.
Con riguardo all’informazione agli interessati, considerando che tra le utenze coinvolte figuravano anche quelle di ex clienti, la Società ha inizialmente provveduto ad effettuare la notifica a mezzo pubblici proclami. In particolare, è stato pubblicato un avviso su due testate giornalistiche nazionali e sul sito web aziendale, rendendo, inoltre, disponibile un numero verde agli utenti per avere maggiori informazioni. A seguito di diverse interlocuzioni con il DiTDSI, la Società ha progressivamente integrato le notifiche agli interessati attraverso comunicazioni via sms alle utenze oggetto di accesso.
Infine, con nota del 25 maggio 2025, la Società ha inviato al Garante una relazione finale sull’evento nella quale, oltre a dare atto delle comunicazioni agli interessati, ha descritto le ulteriori misure adottate:
[OMISSIS];
[OMISSIS]
Ultimate le valutazioni tecniche, il DiTDSI, con note prot. 99873/25 e prot. 99879/25 del 16 luglio 2025, ha trasmesso i fascicoli al competente dipartimento giuridico - Dipartimento reti telematiche e marketing (di seguito, DRTM) – per i seguiti istruttori di competenza.
2. LA CONTESTAZIONE DELLE VIOLAZIONI
Con nota del 6 ottobre 2025 (prot. n. 131121/25) è stato comunicato alla Società l’avvio del procedimento, ai sensi dell’art. 166, comma 5, del Codice, per l’adozione di eventuali provvedimenti di cui all’art. 58, par. 2, del Regolamento.
È stata rilevata, in via preliminare, una significativa carenza nella gestione dei certificati digitali. Nello specifico, la loro adeguata protezione, unitamente a quelle delle relative chiavi private, costituisce un presidio fondamentale per garantire l’autenticità delle parti e la riservatezza delle informazioni. In particolare, l’Ufficio ha evidenziato che tali certificati, nonché le relative chiavi private, avrebbero dovuto essere custoditi mediante soluzioni sicure, quali cartelle cifrate o sistemi dedicati di gestione delle chiavi (key management system o hardware security module), dotati di funzionalità avanzate di sicurezza e di controllo degli accessi. Tali misure risultano necessarie al fine di prevenire, o quantomeno rendere significativamente più difficoltosa, l’esportazione, l’accesso o l’utilizzo non autorizzato del materiale crittografico.
In secondo luogo, è stata rimarcata l’importanza di implementare le migliori pratiche per garantire la sicurezza dei trattamenti effettuati mediante un’applicazione informatica, comprendendo una corretta progettazione e realizzazione delle API attraverso un approccio multilivello che includa il rilevamento e la gestione delle vulnerabilità mediante l’esecuzione di periodiche attività di vulnerability assessment. In tale contesto, i controlli relativi alla gestione delle API costituiscono una delle principali misure di sicurezza tali da garantire degli opportuni limiti in caso di chiamate sospette. In particolare, tutte le API sensibili avrebbero dovuto essere soggette a regole di rate limiting che combinate con l’utilizzo di sistemi CAPCHTA avrebbe potuto garantire un elevato livello di protezione, permettendo di effettuare un controllo sia sulla quantità di richieste client, sia sulla natura dell’utente (es. bot).
L’inadeguata gestione e conservazione dei certificati digitali a la mancata gestione dei controlli relativi alle API sono state quindi ritenute in contrasto con l’art. 5, par. 1, lett. f), e con l’art. 32 del Regolamento che, al suo par. 1, lett. b), individua espressamente la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento come una delle possibili misure di sicurezza idonee a garantire un livello di sicurezza adeguato al rischio.
3. LA DIFESA DELLA SOCIETÀ
Con PEC del 5 novembre 2025, Wind Tre ha fatto pervenire una memoria difensiva precisando di aver provveduto anche a sporgere denuncia presso la Procura della Repubblica per gli eventi occorsi. In sede difensiva la Società ha illustrato nel dettaglio le misure correttive adottate prima, durante e dopo gli eventi.
In particolare, la Società ha ricordato che alcune misure di sicurezza erano già presenti prima del verificarsi degli attacchi:
a) autenticazione a tre fattori;
b) gestione del ciclo di vita delle credenziali;
c) tracciamento delle attività degli operatori per analisi in caso di incidenti di sicurezza;
d) protezione anti-bot mediante strumento CAPTCHA per contrastare eventuali consultazioni massive;
e) protezione dei sistemi con firewall;
f) blocco dell’accesso notturno al sistema;
g) monitoraggio settimanale delle consultazioni della customer base effettuate da ciascun punto vendita;
h) raccomandazioni di sicurezza già inserite nei manuali forniti ai punti vendita per l’installazione dei certificati.
All’accertamento dei due eventi la Società ha provveduto, nell’immediatezza, a revocare i certificati digitali dei punti vendita coinvolti e a mandare a tutti i rivenditori degli alert di sicurezza.
Successivamente, la Società ha adottato ulteriori misure di sicurezza quali:
a) abbassamento delle soglie per l’attivazione della verifica tramite captcha;
b) implementazione di un rate limiting sulle API a rischio di uso massivo;
c) blocco degli automation user agent tramite web application firewall;
d) implementazione di allarmi specifici nella dashboard di monitoraggio;
e) reset password massivo su tutti i punti vendita;
f) predisposizione di un ulteriore fattore di autenticazione per l’accesso al sistema XX;
g) attività di mistery call su un campione di punti vendita per saggiare la capacità di respingere pratiche di social engineering;
h) transizione del modello di assistenza tecnica da telefonica a chat integrata;
i) azioni disciplinari sui punti vendita coinvolti;
j) formazione specifica in materia di privacy e cybersecurity su tutta la rete di vendita.
Con riguardo alle specifiche contestazioni mosse dall’Ufficio, Wind Tre ha rappresentato quanto segue.
In merito alla corretta gestione dei certificati digitali, Wind Tre ha ricordato che la procedura di assegnazione dei certificati e delle correlate istruzioni fornite ai punti vendita, già prima degli eventi descritti, era strutturata nell’ottica della massima sicurezza. In tale processo, infatti, era già prevista la trasmissione del certificato e della relativa password con canali separati con raccomandazione di conservare le credenziali in luoghi sicuri. Inoltre, essa ha rappresentato che il certificato digitale, una volta installato, viene custodito all’interno dell’archivio cifrato del sistema operativo del dispositivo; pertanto un’eventuale esfiltrazione sarebbe possibile solo in caso di dispositivo compromesso e attraverso tecniche di hacking altamente sofisticate. In più, anche qualora un certificato venisse acquisito da un attaccante, ciò non sarebbe sufficiente per accedere al sistema, essendo necessari due ulteriori fattori di autenticazione.
In merito alla configurazione delle API, la Società ha dichiarato di aver da sempre adottato un “approccio security by design & by default” tramite il quale è stato rafforzato il sistema XX con le seguenti misure:
a) autenticazione su tre livelli di verifica;
b) verifica CAPTCHA;
c) firewall;
d) attività periodiche di vulnerability assessment e penetration test.
Inoltre, la Società ha rappresentato di aver progettato le API secondo le best practices riconosciute (ad esempio TOP 10 OWASP) pur avendo provveduto, dopo gli eventi, a rafforzare ulteriormente le misure di sicurezza nei modi sopra descritti.
In conclusione, Wind Tre ha ritenuto di aver adottato, all’epoca dei fatti, delle misure di sicurezza adeguate allo stato dell’arte e al livello di rischio percepito; pertanto gli eventi si sarebbero verificati unicamente a causa di errori umani non evitabili e non a causa di vulnerabilità dei sistemi.
Infine, la Società ha rappresentato di aver attivato un gruppo di lavoro dedicato all’esame delle violazioni di sicurezza avvenute in altre realtà aziendali anche di altri Paesi e settori merceologici, da utilizzare come benchmark per testare costantemente il livello di sicurezza dei sistemi.
Il 5 dicembre 2025, su richiesta di Wind Tre, si è tenuta un’audizione durante la quale la Società ha precisato le misure correttive intraprese fornendo ulteriori dettagli tecnici con particolare riguardo alla protezione delle chiamate API mediante crittografia (funzionalità testata su una API pilota e in via di progressiva estensione). Inoltre la Società, nel ribadire che l’attacco è stato possibile solo a seguito di pratiche di social engineering, ha chiarito che l’attaccante è riuscito a ottenere l’accesso remoto al dispositivo e ha potuto visualizzare le credenziali perché, nonostante la formazione già erogata al personale, tali credenziali erano presumibilmente conservate in chiaro sul desktop o erano state recuperate a livello di browser; se invece le chiavi fossero state conservate correttamente, non sarebbero state esfiltrabili perché conservate negli archivi cifrati del sistema operativo. Sempre nel corso dell’audizione, la società ha chiarito che, all’epoca degli eventi malevoli, venivano protette solo le API principali poiché l’utilizzo massivo di chiamate sulle API secondarie non era considerato normalmente utilizzabile e dunque non era stato esaminato in chiave preventiva.
Infine, dietro specifica richiesta, la Società ha dichiarato di non poter utilizzare un sistema di password manager per le difficoltà di imporre tale misura ai punti vendita che non sono direttamente di proprietà di Wind Tre o ai collaboratori che non operano con un rapporto di lavoro subordinato.
Ad integrazione di quanto dichiarato in sede di audizione, Wind Tre, l’11 dicembre 2025, ha fatto pervenire una nota tecnica integrativa nella quale ha dichiarato di aver effettuato un’analisi approfondita delle fonti disponibili (dark web e stampa) senza rilevare precedenti significativi di attacco a API secondarie che potesse essere assunto come benchmark per la definizione di misure preventive.
4. VALUTAZIONI DI ORDINE GIURIDICO
In base ai profili fattuali sopra evidenziati e alle affermazioni rese in sede di riscontro, di cui il dichiarante risponde ai sensi dell’art. 168 Codice, si osserva quanto segue.
Esaminati gli elementi di dettaglio forniti durante la fase difensiva il competente dipartimento DiTDSI ha fornito un ultimo parere tecnico, trasmesso al DRTM il 29 dicembre 2025 rilevando che alcune censure non fossero superabili pur dando atto delle apprezzabili iniziative intraprese dalla Società per elevare il livello di sicurezza.
Al riguardo, va evidenziato come una corretta gestione dei certificati digitali e delle credenziali di autenticazione debba costituire una misura organizzativa essenziale ai sensi dell’art. 32 del Regolamento, dovendo il titolare del trattamento (o il responsabile) adottare misure tecniche e organizzative adeguate a garantire un livello di sicurezza commisurato al rischio, incluse procedure di conservazione sicura delle credenziali, al fine di prevenire accessi non autorizzati, compromissioni dei sistemi e trattamenti illeciti dei dati personali, anche in presenza di tentativi di social engineering. La Società avrebbe dovuto garantire che il certificato digitale fosse correttamente importato nello store dei certificati del sistema operativo in uso e non conservato in chiaro. In alternativa, sarebbe stato possibile utilizzare un dispositivo sicuro, quale una smart card o un token USB, idoneo a generare e conservare internamente la chiave privata, evitandone l’esportazione.
La medesima considerazione vale per la gestione delle credenziali: è fondamentale garantirne un’archiviazione sicura, per esempio mediante l’uso di password manager. Questi strumenti impiegano crittografia forte, spesso di tipo Zero-Knowledge, per creare casseforti virtuali in cui i dati sono protetti da una password principale (master password). Tali tecniche devono essere integrate con sistemi OTP (One-Time Password), password utilizzabili una sola volta, come ulteriore fattore di autenticazione rispetto alla password statica. In questo modo, anche in caso di compromissione delle credenziali principali, l’accesso all’applicazione XX da parte di malintenzionati sarebbe stato molto più difficoltoso. Al riguardo, dunque, non si possono condividere le argomentazioni di Wind Tre circa l’impossibilità di imporre un sistema di password manager ai punti vendita o ai collaboratori per ragioni contrattuali o giuslavoristiche. È infatti onere del titolare disporre le misure di sicurezza che ritenga più adeguate al rischio correlato al trattamento fornendo le relative istruzioni ai propri responsabili; spetta invece a questi ultimi rispettare le istruzioni impartite dal titolare senza che ciò incida sulla natura giuridica del rapporto instaurato fra le parti.
Vanno apprezzate, comunque, le iniziative intraprese dalla Società per l’introduzione di un ulteriore fattore di autenticazione tramite OTP, utilizzando canali quali e-mail, sms o app authenticator. Tale sistema, se adottato in precedenza, avrebbe certamente limitato l’attività degli attaccanti.
La Società ha inoltre rappresentato che gli attaccanti, a seguito di un primo tentativo di intrusione bloccato dai meccanismi di sicurezza, hanno proceduto ad analizzare l’applicativo, individuando alcune API prive di misure di protezione poiché invocate a seguito della funzionalità di ricerca principale. Sfruttando tali vulnerabilità, gli stessi hanno esfiltrato dati anagrafici e di contatto dei clienti e, in alcuni casi — per circa 41.000 interessati — anche dati relativi ai metodi di pagamento (PAN parzialmente oscurato), esponendo così i clienti della Società a un elevato rischio di attacchi di ingegneria sociale.
Sebbene la società abbia dichiarato di svolgere periodicamente attività di vulnerability assessment e penetration test, gli esiti dell’evento in esame evidenziano come tali attività non abbiano incluso, o abbiano incluso in modo non adeguato, le API esposte e i relativi flussi applicativi. In particolare, le vulnerabilità sfruttate risultano riconducibili a carenze che, se oggetto di verifiche mirate sulle API, sarebbero state ragionevolmente individuabili. Tali elementi denotano criticità nei processi di valutazione preventiva della sicurezza, con particolare riferimento a una non corretta definizione del perimetro di analisi e/o a una insufficiente profondità delle verifiche condotte. Un vulnerability assessment condotto in modo sistematico e continuativo avrebbe consentito di individuare tempestivamente le carenze di sicurezza riconducibili a erronee configurazioni e assenza o insufficienza dei controlli di protezione (quali, a titolo esemplificativo, meccanismi di rate limiting e sistemi CAPTCHA), riconducibili alle categorie individuate dall’OWASP API Security Top 10, principale framework di riferimento del settore. Tali attività avrebbero inoltre permesso di ottenere una visione completa della superficie di attacco delle API e di intervenire preventivamente con adeguate misure di mitigazione. Parallelamente, l’esecuzione di penetration test specificamente mirati alle API avrebbe consentito di simulare attacchi realistici, analoghi a quelli effettivamente posti in essere dagli attaccanti. L’assenza di un approccio integrato, che preveda vulnerability assessment periodici e penetration test mirati alle API, ha pertanto contribuito al permanere di vulnerabilità che sono state successivamente sfruttate nell’attacco. In un contesto di sviluppo e gestione sicura delle API, l’adozione di tali pratiche costituisce una misura essenziale per la riduzione del rischio di compromissione e per l’allineamento alle best practice di settore.
Va in ogni caso evidenziato l’impegno della Società che, come emerge sia dalle memorie difensive sia dal verbale di audizione, ha avviato un processo strutturato di hardeneding delle API. In particolare, l’implementazione di soglie di rate limiting più efficaci sulle interfacce di programmazione a rischio di attacchi di enumeration, di soluzioni di crittografia sui parametri di input e output e l’abbassamento delle soglie relative al controllo del CAPTCHA, appaiono coerenti con un percorso di rafforzamento legato alla sicurezza delle API.
In virtù di quanto esposto, si ritiene che Wind Tre abbia mostrato, in relazione alla violazione dei dati personali occorsa, significative lacune tecnico-organizzative che, se riconosciute in tempo, avrebbero consentito di intervenire sia sulla gestione più accurata dei certificati e delle credenziali di autenticazione, sia sull’approccio integrato di vulnerability assessment e penetration test, rendendo possibilmente inefficace l’attacco e l’esfiltrazione massiva di dati personali dei clienti subiti dalla Società. Tuttavia, va evidenziato l’impegno della Società che, dopo l’evento, ha compiuto una serie di azioni utili ad attenuare il rischio di possibili analoghi attacchi e ha provveduto a informare, anche mediante pubblici proclami, gli interessati coinvolti.
Si ritiene, in ogni caso, necessario un potenziamento dei processi organizzativi legati alla gestione dei certificati e delle credenziali di autenticazione inerenti ai punti vendita che accedono al sistema XX.
Confermando pertanto le violazioni rilevate con l’atto di avvio del procedimento, di cui all’art. 5, par. 1, lett. f), e all’art. 32, par, 1, lett. b) del Regolamento, si ritiene necessario, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, ingiungere a Wind Tre di:
a) assicurare che i certificati digitali siano custoditi mediante soluzioni sicure (quali, a titolo meramente esemplificativo, repository cifrati o sistemi dedicati di gestione delle chiavi), dotate di adeguati meccanismi di controllo degli accessi e di prevenzione dell’esportazione non autorizzata;
b) implementare l’utilizzo di sistemi di gestione delle credenziali (password manager) per i punti vendita, al fine di garantire la conservazione sicura, la complessità e la rotazione periodica delle password;
c) prevedere procedure più accurate di gestione del ciclo di vita dei certificati e delle credenziali (emissione, distribuzione, revoca e rinnovo), attraverso processi formalizzati e tramite l’uso di key management system o hardware security module.
Le suddette misure dovranno essere attuate in coerenza con le best practices di sicurezza applicabili e adeguatamente documentate.
Inoltre, tenuto conto del fatto che gli accessi illeciti al sistema, che hanno riguardato due distinti punti vendita, sono stati consentiti da un livello di protezione inadeguato, si ritengono sussistenti i presupposti per l’applicazione di una sanzione amministrativa pecuniaria ai sensi dell’art. 58, par. 2, lett. i) del Regolamento.
In ragione di quanto disposto dall’art. 154-bis, comma 3 del Codice, si procede alla pubblicazione del presente provvedimento sul sito internet dell’Autorità (cfr. anche art. 37 del regolamento interno del Garante n. 1/2019).
Si rileva inoltre che ricorrono i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante, per l’annotazione delle violazioni qui rilevate nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento.
5. ORDINANZA INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA
In base a quanto sopra rappresentato, risultano violate varie disposizioni del Regolamento in relazione a trattamenti collegati effettuati da Wind Tre, per cui occorre applicare l’art. 83, par. 3, del Regolamento, in base al quale, se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento viola, con dolo o colpa, varie disposizioni del Regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave con conseguente applicazione della sola sanzione prevista dall’art. 83, par. 5, del Regolamento.
Ai fini della quantificazione della sanzione amministrativa il citato art. 83, par. 5, nel fissare il massimo edittale nella somma di 20 milioni di euro ovvero, per le imprese, nel 4% del fatturato mondiale annuo dell’esercizio precedente ove superiore, specifica le modalità di quantificazione della predetta sanzione che deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1, del Regolamento), individuando, a tal fine, una serie di elementi, elencati al par. 2, da valutare all’atto di quantificarne il relativo importo.
In adempimento di tale previsione, sulla base delle informazioni rinvenibili nell'ultimo bilancio (registrato al 31 dicembre 2024), si quantifica 171.560.000 euro il massimo edittale applicabile; al riguardo, devono essere considerate le seguenti circostanze aggravanti:
1. il numero di interessati coinvolti e i possibili rischi ad essi derivanti dall’utilizzo malevolo delle informazioni sottratte dai sistemi di Wind Tre (art. 83, par. 2, lett. a), del Regolamento);
2. il livello di diligenza professionale non adeguato al potenziale rischio (art. 83, par. 2, lett. d), del Regolamento);
3. le criticità rilevate nella gestione dei certificati digitali e delle chiavi private, consistente nell’assenza di procedure sicure e formalizzate per la loro generazione, distribuzione e conservazione (art. 83, par. 2, lett. d);
4. l’assenza di strumenti idonei alla gestione sicura delle credenziali degli operatori dei punti vendita, quali password manager, con conseguente aumento del rischio di utilizzo di password deboli, riutilizzate o non adeguatamente protette (art. 83, par. 2, lett. d);
5. l’inadeguatezza dei controlli di sicurezza su alcune API esposte rispetto agli standard di settore (art. 83, par. 2, lett. d).
Quali elementi attenuanti, si tiene conto:
1. delle elevate misure adottate tempestivamente dalla Società per proteggere adeguatamente i sistemi ed evitare eventi analoghi nonché della estesa attività di comunicazione agli interessati per informarli dei rischi e delle possibili precauzioni da adottare (art. 83, par. 2, lett. c) del Regolamento);
2. dell’assenza di precedenti violazioni pertinenti a carico della Società (art. 83, par. 2, lett. e) del Regolamento);
3. del grado di cooperazione con l'Autorità di controllo (art. 83, par. 2, lett. f) del Regolamento);
4. della maniera con cui l’Autorità è venuta a conoscenza delle violazioni, essendo stata la stessa Wind Tre a provvedere tempestivamente alla notifica (art. 83, par. 2, lett. h).
In una complessiva ottica di necessario bilanciamento fra diritti degli interessati e libertà di impresa, occorre valutare prudentemente i suindicati criteri, anche al fine di limitare l’impatto economico della sanzione.
Pertanto si ritiene che - in base al complesso degli elementi sopra indicati - debba applicarsi a Wind Tre la sanzione amministrativa del pagamento di una somma di euro 1.715.600,00 (unmilionesettecentoquindicimilaseicento/00) pari allo 0,04% del fatturato e all’1% della sanzione edittale massima di 171.560.000 euro.
Nel caso in argomento si ritiene che debba applicarsi, altresì, la sanzione accessoria della pubblicazione nel sito del Garante dell’ordinanza ingiunzione, prevista dall’art. 166, comma 7, del Codice e art. 16 del Regolamento del Garante n. 1/2019.
In attuazione dei principi di cui all’art. 83 del Regolamento, l’irrogazione di tale sanzione accessoria appare proporzionata in relazione alla gravità e alla portata dell’evento di cui anche la Società ha dato notizia agli interessati anche a mezzo pubblici proclami.
TUTTO CIÒ PREMESSO IL GARANTE
ai sensi dell’art. 57, par. 1, lett. a), del Regolamento, accertate le violazioni descritte in motivazione, nei confronti di Wind Tre S.p.A., con sede in via Monte Rosa 91, Milano, codice fiscale n. 02517580920:
a) ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, ingiunge di:
1) assicurare che i certificati digitali siano custoditi mediante soluzioni sicure (quali, a titolo esemplificativo, repository cifrati o sistemi dedicati di gestione delle chiavi), dotate di adeguati meccanismi di controllo degli accessi e di prevenzione dell’esportazione non autorizzata;
2) implementare l’utilizzo di sistemi di gestione delle credenziali (password manager) per i punti vendita, al fine di garantire la conservazione sicura, la complessità e la rotazione periodica delle password;
3) prevedere procedure più accurate di gestione del ciclo di vita dei certificati e delle credenziali (emissione, distribuzione, revoca e rinnovo), attraverso processi formalizzati e tramite l’uso di key management system o hardware security module;
b) ai sensi dell’art. dell’art. 157 del Codice, ingiunge al titolare di comunicare all’Autorità, nel termine di 30 giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione alle misure imposte; l’eventuale mancato adempimento a quanto disposto nella presente lettera può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 5 lett. e) del Regolamento;
ORDINA
ai sensi dell’art. 58, par. 2, lett. i), del Regolamento, a Wind Tre S.p.A. in persona del suo legale rappresentante, di pagare la somma di euro 1.715.600,00 (unmilionesettecentoquindicimilaseicento/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia con l’adempimento alle prescrizioni impartite e il pagamento, entro il termine di trenta giorni, di un importo pari alla metà della sanzione irrogata.
INGIUNGE
alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di 1.715.600,00 (unmilionesettecentoquindicimilaseicento/00) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981;
DISPONE
a) ai sensi degli artt. 154-bis e 166, comma 7, del Codice nonché dell’art. 37 del Regolamento n. 1/2019, la pubblicazione per intero del presente provvedimento sul sito web del Garante;
b) ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, dispone l’annotazione nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento, delle violazioni e delle misure adottate.
Ai sensi dell’art. 78 del Regolamento (UE) 2016/679, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.
Roma, 14 maggio 2026
IL PRESIDENTE
Stanzione
IL RELATORE
Stanzione
IL SEGRETARIO GENERALE
Montuori
Condividi