Un divano comodo, un data breach scomodo: cronaca di un furto (di dati)
Tutto è iniziato con un divano. Due anni fa, ho deciso di cambiarlo e sono andata da Poltronesofà. Tra l’altro, detestando la pubblicità ossessivamente trasmessa da radio e tv, “sconto xx…ma solo fino a domenica!”, avevo giurato a me stessa che mai e poi mai avrei acquistato da loro. Ma, come si dice, nell’acqua che non si vuol bere, si finisce per affogare. Così, vi risparmio il perché e il percome, ho acquistato un divano da loro. Acquisto standard, consegna puntuale, prodotto comodo. Ho firmato i moduli, lasciato i miei dati per la garanzia e la consegna, e non ci ho più pensato. Fino a qualche settimana fa.
Improvvisamente, il mio telefono è diventato un bersaglio. Ho iniziato a ricevere chiamate a raffica, tre, quattro, cinque volte al giorno. Numeri che sembravano cellulari italiani, numeri con prefissi di paesi che non ho mai visitato, numeri fissi di Milano o Roma. La cosa strana? Truecaller, l’app che uso di solito per filtrare gli spammer, non sempre è stata utile: spesso non identificava il chiamante come spam. Ovviamente non ho mai risposto e sempre bloccato, segnalando come indesiderato, il chiamante. Però questo filtro auto-imposto è molto tranchant e potrebbe precludermi la risposta a chiamate di potenziali clienti o conoscenti che non sono in rubrica…
Poi, oggi, il pezzo mancante del puzzle, è arrivato nella mia casella di posta. Oggetto: “Gentile Cliente…”, mittente: Poltronesofà.
La mail mi informava, con un tono burocratico e distaccato, che il 27 ottobre 2025 i loro sistemi hanno subito un attacco ransomware. “Soggetti non autorizzati” (leggi: criminali) sono entrati, hanno cifrato tutto e, chiaramente, si sono portati via il database. Con i miei dati dentro. Nome, cognome, codice fiscale, indirizzo, numero di telefono e-mail. Ecco spiegato, forse, perché il mio telefono squillava: i miei dati non sono più miei, sono merce di scambio su qualche forum nel dark web, venduti al chilo a call center illegali o truffatori.
Non è provato che l’aumento di telefonate e contatti che sto ricevendo sia da addebitarsi al furto subito da questa azienda, ma da qualche parte i miei dati arriveranno…
Se anche voi avete ricevuto questa mail, o se state vivendo lo stesso incubo telefonico, ecco cosa sta succedendo davvero e, soprattutto, come dobbiamo difenderci.
Perché il telefono impazzisce (e i filtri non funzionano)
Quello che stiamo subendo non è il solito telemarketing. È qualcosa di più sofisticato. Il motivo per cui app come Truecaller o i blocchi del telefono non funzionano è che chi ci chiama sta usando una tecnica chiamata CLI spoofing.
In pratica, i truffatori (spesso operanti dall’estero) mascherano il loro vero numero sovrapponendone uno falso, generato al momento. Il tuo telefono vede un normale cellulare italiano “335…”, tu rispondi pensando sia un corriere o un collega, e invece la chiamata arriva dall’Albania o dalla Tunisia. I filtri si basano su liste nere di numeri segnalati, ma se il numero cambia ad ogni chiamata, il filtro è cieco.
Non solo: avendo i nostri dati anagrafici completi (rubati nel breach), questi operatori possono fare attacchi mirati. Sanno chi sei, dove vivi e che sei cliente di quell’azienda. Se ti chiamano dicendo “Salve, chiamo per conto di Poltronesofà, c’è un problema amministrativo”, tu tendi a crederci. Si chiama ingegneria sociale, ed è molto più pericolosa del venditore del Folletto…
I rischi reali: oltre il fastidio
Il fastidio delle chiamate è la punta dell’iceberg. Con il “pacchetto completo” dei nostri dati (soprattutto il codice fiscale abbinato al numero di telefono), i rischi sono seri:
- SIM swapping: è l’incubo peggiore. Un criminale usa i tuoi dati per fingere di essere te, chiama il tuo operatore telefonico dicendo di aver perso la SIM e ne chiede una nuova. Se ci riesce, il tuo telefono muore (nessun segnale) e il suo inizia a ricevere i tuoi SMS, compresi i codici della banca o della carta di credito.
- Furto d’identità: con nome, cognome e codice fiscale si possono tentare aperture di finanziamenti per comprare elettrodomestici o smartphone a rate a tuo nome. Spesso lo scopri solo mesi dopo, quando arrivano i recupero credii.
- Phishing di precisione: aspettatevi mail o SMS che sembrano ufficiali (di banche, poste, o della stessa Poltronesofà) che vi chiedono di cliccare su un link per “verificare i dati” o “sbloccare una spedizione”.
Guida pratica: cosa fare subito
Non possiamo rimettere il dentifricio nel tubetto (i dati sono fuori), ma possiamo limitare i danni. Ecco uno schema di azione immediata:
Cancellarsi dai loro elenchi (diritto all’oblio)
Non aspettate. Inviate subito una richiesta formale per far cancellare i vostri dati dai loro server. Non impedirà ai ladri di usare i dati che hanno già, ma eviterà che future violazioni vi colpiscano ancora.
Dovete scrivere una PEC o una mail a dpo@poltronesofa.com o infoprivacy@poltronesofa.com.
Cosa scrivere: “Io sottoscritta/o [Nome Cognome], in seguito alla notifica di data breach ricevuta, richiedo ai sensi dell’art. 17 GDPR la cancellazione immediata di tutti i miei dati personali dai vostri sistemi e revoco ogni consenso al trattamento. Richiedo conferma scritta entro 30 giorni.”
Silenzio stampa
Se potete, attivate sul cellulare l’opzione “silenzia numeri sconosciuti” (su iPhone e Android c’è). Il telefono suonerà solo per chi avete in rubrica. Gli altri andranno in segreteria. È drastico, ma è l’unico modo per far smettere il bombardamento finché l’ondata non passa.
Ps: come fare reclamo e la questione “soldi” (risarcimento)
“Posso denunciarli? Posso chiedere i danni?” è la domanda che mi è sorta spontanea. Facciamo chiarezza, perché c’è molta confusione tra punire l’azienda e ottenere un risarcimento.
Il reclamo al Garante Privacy
Se volete segnalare la violazione, potete fare un reclamo all’Autorità garante per la protezione dei dati personali ai sensi dell’art. 77 del GDPR.
- A cosa serve: serve a far aprire un’istruttoria che potrebbe portare a una sanzione (multa) per Poltronesofà se si scopre che le loro misure di sicurezza erano inadeguate.
- Cosa non fa: il Garante non vi darà soldi. Le multe vanno allo Stato, non nelle vostre tasche.
- Come si fa: è gratuito (o quasi). Potete scaricare il modulo dal sito del Garante (gpdp.it), compilarlo descrivendo l’accaduto (l’aumento dello spam, la mail ricevuta) e inviarlo via PEC a protocollo@pec.gpdp.it.
Il risarcimento danni
Per ottenere dei soldi, dovete andare in tribunale civile, non dal Garante. L’articolo 82 del GDPR prevede il diritto al risarcimento per danni materiali (soldi persi) o immateriali (stress, ansia).
- Il precedente importante: fino a poco tempo fa era difficile farsi pagare solo per lo “stress”. Ma una recente sentenza della Corte di giustizia dell’Unione europea (causa C-340/21) ha stabilito che anche la semplice “paura” che i propri dati vengano usati male può costituire un danno risarcibile, se dimostrato. Non serve per forza aver perso denaro, basta la perdita di controllo sui propri dati.
- Conviene farlo da soli? Le spese legali supererebbero di gran lunga quello che potreste ottenere (si parla spesso di cifre simboliche o poche centinaia di euro per il danno morale, a meno che non abbiate subito furti ingenti).
- Il consiglio: tenete d’occhio le associazioni dei consumatori (come Altroconsumo o Federconsumatori). In casi passati simili (come il data breach di Ho.Mobile o il disservizio Libero/Virgilio), hanno organizzato delle class action o azioni collettive. È la strada più sensata: l’unione fa la forza e riduce i costi.
Siamo nudi in una casa di vetro
Lasciatemi chiudere con una riflessione amara. I nostri dati sono diventati il petrolio del nuovo millennio, ma vengono stoccati in taniche bucate. Le aziende ci profilano in modo ossessivo – Poltronesofà, come tante altre, tracciava persino la nostra posizione mentre cercavamo i negozi – ma quando si tratta di proteggere questo tesoro, le misure si rivelano spesso un colabrodo.
Loro subiscono l’attacco, magari pagano o non pagano il riscatto, e se la cavano con una mail di scuse “standard” inviata a posteriori, quando il danno è fatto. Noi restiamo con il numero di telefono e la mail a rischio tentativo di truffa, l’ansia di controllare il conto in banca ogni mattina e la sensazione di essere esposti. Questa leggerezza nella gestione della sicurezza digitale, moltiplicata per centinaia di aziende che hanno i nostri dati, è una bomba a orologeria. Non è questione di “se” accadrà di nuovo, ma di “quando” e “a chi”. E la prossima volta potrebbe non essere solo un divano.
➡️ Cos’è Android: te lo spieghiamo noi