La più grande violazione di dati nella storia delle telecomunicazioni olandesi ha un nome: Odido. Nel weekend del 7 e 8 febbraio 2026, gli aggressori hanno avuto accesso ai sistemi del primo operatore mobile dei Paesi Bassi e hanno sottratto i dati di 6,2 milioni di clienti attuali ed ex clienti, circa un terzo dell’intera popolazione nazionale. Quattro mesi dopo, la vicenda è diventata il caso di studio europeo sul fallimento della governance del rischio cyber, sul ruolo dei CRM cloud come bersaglio principale e sui limiti del risarcimento dovuto agli utenti.
La violazione dati Odido non è un episodio isolato. Si inserisce in una campagna di estorsione che nel 2025 e 2026 ha colpito decine di grandi aziende attraverso le piattaforme Salesforce, e arriva mentre l’Europa fa i conti con la direttiva NIS2, con sanzioni GDPR fino a 20 milioni di euro e con un costo medio globale delle violazioni che IBM stima in 4,44 milioni di dollari. Ecco i fatti, i numeri e le conseguenze per chi gestisce dati di clienti in Italia e in Europa.
Cosa è successo nella violazione dati Odido: cronologia dell’attacco
Odido è il primo operatore di telefonia mobile dei Paesi Bassi, nato dalla fusione tra T-Mobile Netherlands e Tele2 e dal successivo rebranding del 2023. Serve milioni di clienti privati e aziendali e gestisce un sistema di contatto clienti basato su una piattaforma CRM cloud. È proprio questo sistema il punto di ingresso dell’attacco.
Secondo la ricostruzione confermata dall’azienda e dalle analisi indipendenti, gli strumenti interni di monitoraggio hanno rilevato attività anomale nel sistema di contatto clienti durante il fine settimana del 7 e 8 febbraio 2026. Gli aggressori avevano ottenuto un accesso non autorizzato all’ambiente CRM e avevano già esfiltrato un volume enorme di dati personali. Odido ha dichiarato di aver interrotto l’accesso non autorizzato ai propri sistemi una volta individuata l’intrusione.
Il 12 febbraio 2026 l’azienda ha reso pubblica la violazione. La notizia è stata ripresa da Bloomberg, Reuters e The Record nello stesso giorno. Odido ha precisato che i servizi di rete sono rimasti operativi e che l’attacco ha riguardato i dati e non l’erogazione del servizio mobile. Nelle settimane successive gli aggressori hanno fissato un ultimatum per il pagamento di un riscatto, minacciando la pubblicazione dei dati sottratti. Alla scadenza del termine, parte dei dati è stata diffusa, e il 12 maggio 2026 Odido ha annunciato che non avrebbe offerto un risarcimento automatico ai clienti colpiti.
Nel commentare l’accaduto, l’azienda ha dichiarato: “Mi dispiace profondamente che questo sia accaduto e comprendo la preoccupazione e l’incertezza che questo incidente ha causato alle persone coinvolte”. Una scusa che, per molti osservatori, non ha placato il malcontento, soprattutto dopo la decisione di escludere indennizzi diretti.
Quanti clienti coinvolti e quali dati sono stati rubati
La cifra ufficiale comunicata da Odido è di 6,2 milioni di record di clienti attuali ed ex clienti. Le fonti indipendenti che tracciano le violazioni hanno riportato numeri leggermente diversi, segno della difficoltà di quantificare con precisione l’esposizione. Have I Been Pwned ha caricato circa 6,1 milioni di indirizzi email unici provenienti dal data set. UpGuard ha parlato di oltre 6,5 milioni di clienti attuali ed ex clienti. Gli stessi aggressori hanno rivendicato fino a 8 milioni di clienti, cifra non confermata dall’azienda.
Adottando il criterio più conservativo, il dato verificato è quello dichiarato da Odido: 6,2 milioni di record. Resta il fatto che, in un Paese di circa 18 milioni di abitanti, l’incidente ha toccato all’incirca un terzo della popolazione, un’ampiezza che spiega l’attenzione mediatica e politica nei Paesi Bassi.
La tipologia di dati esposti è particolarmente sensibile. Secondo la comunicazione ufficiale di Odido, le informazioni sottratte variavano da persona a persona e comprendevano nome, indirizzo, numero di cellulare, numero cliente, indirizzo email, codice IBAN e data di nascita. Alcune fonti giornalistiche hanno aggiunto note del servizio clienti e, in casi specifici, dati di documenti di identità. La presenza dell’IBAN e della data di nascita rende il data set un punto di partenza ideale per frodi mirate, phishing personalizzato e furto d’identità.
| Elemento | Dato verificato |
|---|---|
| Azienda colpita | Odido (primo operatore mobile dei Paesi Bassi) |
| Data dell’attacco | Weekend 7-8 febbraio 2026 |
| Data di divulgazione pubblica | 12 febbraio 2026 |
| Clienti coinvolti (dato Odido) | 6,2 milioni |
| Email uniche (Have I Been Pwned) | circa 6,1 milioni |
| Stima UpGuard | oltre 6,5 milioni |
| Rivendicazione aggressori | fino a 8 milioni (non confermata) |
| Dati esposti | nome, indirizzo, cellulare, numero cliente, email, IBAN, data di nascita |
| Vettore d’attacco | ambiente CRM cloud (Salesforce) |
| Decisione sul risarcimento | nessun indennizzo automatico (12 maggio 2026) |
Chi c’è dietro: ShinyHunters e la campagna di estorsione su Salesforce
La violazione dati Odido è stata attribuita nella maggior parte delle coperture giornalistiche al collettivo ShinyHunters, un gruppo di estorsione noto da anni nel panorama del cybercrime. L’elemento chiave è il vettore: l’accesso è avvenuto attraverso un ambiente CRM Salesforce, lo stesso schema visto in una vasta campagna che ha colpito grandi aziende nel corso del 2025 e del 2026.
Quella campagna ha avuto come bersaglio nomi di primo piano. Tra le vittime riportate figurano Google, Qantas, Allianz Life, LVMH, Adidas e Cisco. Il meccanismo non sfrutta una vulnerabilità tecnica del software, ma l’ingegneria sociale. Gli analisti di Google Threat Intelligence e Mandiant hanno classificato l’attività in due cluster distinti: UNC6040, associato alla fase di voice phishing e ingegneria sociale contro gli ambienti Salesforce, e UNC6240, legato alla successiva fase di estorsione. In pratica, gli aggressori contattano telefonicamente i dipendenti spacciandosi per supporto IT, li convincono ad autorizzare un’applicazione connessa malevola e da lì esfiltrano interi database di clienti.
Questo modus operandi sposta il baricentro del rischio. Non serve un exploit zero-day: bastano una telefonata convincente e un dipendente che concede troppi permessi. È il motivo per cui la violazione Odido viene letta non come un fallimento del fornitore cloud, ma come un fallimento di processo, di formazione e di configurazione lato cliente.
L’analisi degli esperti: perché il CRM è diventato il bersaglio numero uno
Forrester ha dedicato alla vicenda un’analisi dettagliata, definendola la più grande violazione nel settore telecomunicazioni nella storia dei Paesi Bassi. Il punto centrale dell’analisi riguarda il modo in cui le aziende classificano i propri sistemi CRM. Per troppo tempo questi sistemi sono stati trattati come strumenti commerciali, non come infrastruttura critica, pur contenendo i dati personali di milioni di persone.
La raccomandazione di Forrester è netta: “Riclassificate il vostro CRM. Se contiene più di 100.000 record di clienti, trattatelo come infrastruttura di primo livello, con i controlli di accesso, il monitoraggio e gli standard di hardening che ne derivano”. Una seconda indicazione riguarda la configurazione: “Verificate la vostra configurazione rispetto alla baseline di sicurezza del fornitore stesso. Ciò che il fornitore abilita per impostazione predefinita e ciò che raccomanda raramente coincidono”.
È un messaggio che ribalta la responsabilità percepita. Le piattaforme cloud operano in un modello di responsabilità condivisa: il fornitore garantisce la sicurezza dell’infrastruttura, ma la configurazione degli accessi, la gestione delle applicazioni connesse e la formazione del personale restano a carico del cliente. Nella violazione dati Odido, come negli altri casi della stessa ondata, la falla non era nel codice di Salesforce, ma nelle impostazioni e nelle abitudini di chi lo usava.
Il nodo legale: GDPR, NIS2 e le sanzioni che Odido rischia
Sul piano normativo, la violazione dati Odido apre due fronti paralleli. Lo studio legale internazionale Linklaters, in un’analisi pubblicata ad aprile 2026, ha sottolineato che l’incidente espone l’operatore a obblighi e potenziali sanzioni sia sotto il Regolamento generale sulla protezione dei dati (GDPR) sia sotto la direttiva NIS2.
Sul versante GDPR, le sanzioni possono arrivare fino a 20 milioni di euro o al 4% del fatturato annuo globale, a seconda di quale importo sia più elevato. La valutazione dipenderà dall’adeguatezza delle misure di sicurezza adottate prima dell’attacco e dalla tempestività della risposta all’incidente. Sul versante NIS2, che si applica direttamente agli operatori di telecomunicazioni in quanto soggetti essenziali, le sanzioni possono raggiungere i 10 milioni di euro o il 2% del fatturato annuo globale.
La direttiva NIS2 impone obblighi precisi: gestione del rischio, sicurezza della catena di fornitura, controllo degli accessi e notifica degli incidenti entro tempistiche stringenti. Un operatore telefonico che subisce un’esfiltrazione di massa attraverso un CRM mal configurato deve dimostrare di aver implementato controlli adeguati, pena l’aggravamento della posizione sanzionatoria. Per le aziende italiane, il recepimento della NIS2 rende questo caso un precedente da studiare con attenzione, perché definisce lo standard atteso anche nel nostro ordinamento.
La decisione sul risarcimento e la rabbia dei clienti
Uno degli aspetti più discussi della vicenda è la posizione di Odido sul risarcimento. Dopo settimane di dibattito sulla responsabilità e sull’eventuale compensazione, il 12 maggio 2026 l’azienda ha comunicato che non avrebbe offerto un indennizzo automatico ai clienti colpiti dall’attacco. La motivazione si appoggia sull’idea che l’azienda sia stata vittima di un reato e che il danno concreto per i singoli utenti sia difficile da quantificare.
La decisione ha alimentato il malcontento e ha aperto la strada a possibili azioni collettive. Sotto il GDPR, infatti, gli interessati hanno il diritto di richiedere un risarcimento per il danno materiale e immateriale subito a causa di una violazione, e questo diritto non dipende dalla volontà dell’azienda di offrire un indennizzo spontaneo. La presenza di IBAN e date di nascita nel data set rende plausibile la dimostrazione di un danno potenziale, elemento che rafforza la posizione di eventuali ricorrenti.
Per gli utenti coinvolti, le contromisure pratiche restano le stesse di sempre: monitorare i movimenti bancari collegati all’IBAN esposto, diffidare di telefonate e messaggi che citano dati personali corretti per costruire credibilità, e attivare ovunque possibile l’autenticazione a due fattori. La combinazione di nome, numero di telefono e data di nascita è esattamente ciò che serve a un truffatore per superare i controlli di sicurezza basati su domande personali.
Contesto storico: la violazione dati Odido nel panorama delle telco europee
Le telecomunicazioni sono da tempo un bersaglio privilegiato. Custodiscono dati di pagamento, documenti di identità e cronologie di contatto su scala nazionale, un patrimonio informativo che vale moltissimo sul mercato nero. La violazione dati Odido si distingue per due ragioni: la scala, che tocca un terzo di un Paese, e il vettore, un CRM cloud invece di un sistema legacy interno.
Il dato più rilevante è proprio lo spostamento verso le piattaforme SaaS. Negli anni passati, le grandi violazioni nelle telco nascevano spesso da database interni esposti o da vulnerabilità in portali web. Oggi il punto debole si è spostato verso gli ambienti cloud condivisi, dove un singolo set di credenziali o un’applicazione connessa malevola può sbloccare l’intero archivio clienti. Questo cambiamento allinea il settore telecomunicazioni alla tendenza più ampia osservata nella campagna ShinyHunters contro aziende di ogni comparto, dall’aviazione al lusso.
Per l’Europa, il caso arriva in un momento di crescita degli investimenti in cybersecurity. I ricavi della distribuzione di soluzioni di sicurezza in Europa sono cresciuti del 10% su base annua ad aprile 2026, secondo CONTEXT, segnando un ritorno alla crescita dopo un rallentamento. L’identità digitale guida questo spostamento di budget, ed è proprio l’identità, attraverso credenziali e accessi applicativi, il punto colpito nella violazione Odido.
Quanto costa una violazione di dati nel 2026: i numeri di mercato
Il costo economico delle violazioni resta elevato anche quando la media globale scende. Il rapporto IBM Cost of a Data Breach 2025 ha registrato un costo medio globale di 4,44 milioni di dollari, in calo del 9% rispetto all’anno precedente e prima diminuzione in cinque anni, attribuita a una più rapida identificazione e contenimento degli incidenti. Negli Stati Uniti, però, il costo medio è salito del 9% fino al massimo storico di 10,22 milioni di dollari, segno che la riduzione globale non si distribuisce uniformemente.
A questi costi diretti si sommano le valutazioni del rischio. Secondo l’Allianz Risk Barometer 2026, gli incidenti cyber sono il principale rischio globale per il quinto anno consecutivo, citati dal 42% delle risposte, il punteggio più alto mai registrato dall’indagine e con un margine del 10% sul rischio strettamente collegato dell’intelligenza artificiale. Il messaggio per i consigli di amministrazione è chiaro: il rischio cyber non è più un tema tecnico delegabile, ma una voce centrale nella gestione d’impresa.
| Indicatore | Valore | Fonte |
|---|---|---|
| Costo medio globale violazione | 4,44 milioni di dollari | IBM 2025 |
| Variazione costo medio globale | -9% (prima riduzione in 5 anni) | IBM 2025 |
| Costo medio negli Stati Uniti | 10,22 milioni di dollari (massimo storico) | IBM 2025 |
| Rischio cyber tra le aziende | 1° rischio globale, citato dal 42% | Allianz Risk Barometer 2026 |
| Crescita ricavi cybersecurity in Europa | +10% su base annua (aprile 2026) | CONTEXT |
| Sanzione massima GDPR | 20 milioni di euro o 4% fatturato globale | GDPR |
| Sanzione massima NIS2 (telco) | 10 milioni di euro o 2% fatturato globale | NIS2 |
Come si difende un’azienda da un attacco al CRM
La lezione tecnica della violazione dati Odido è applicabile a qualsiasi organizzazione che gestisca dati di clienti in una piattaforma cloud. Il primo passo è proprio quello indicato da Forrester: riclassificare il CRM come infrastruttura critica e applicare i controlli che ne conseguono. Da qui discende una serie di misure concrete.
Controllo delle applicazioni connesse
Il vettore della campagna ShinyHunters sfrutta le applicazioni connesse autorizzate da un dipendente ingannato. Limitare quali applicazioni possono collegarsi al CRM, imporre un’approvazione amministrativa per ogni nuova integrazione e revocare periodicamente i token inutilizzati riduce drasticamente la superficie d’attacco. Una connected app malevola che esfiltra dati in blocco lascia tracce: i sistemi di monitoraggio devono essere configurati per intercettare esportazioni anomale di grandi volumi.
Formazione contro il vishing e privilegio minimo
Poiché l’attacco parte da una telefonata, la formazione del personale di supporto è la prima linea di difesa. I dipendenti devono sapere che il team IT legittimo non chiede mai di autorizzare applicazioni esterne durante una chiamata non sollecitata. Sul piano tecnico, il principio del privilegio minimo garantisce che anche un account compromesso possa accedere solo ai dati strettamente necessari, evitando che un singolo profilo possa scaricare l’intero database. L’autenticazione a più fattori resistente al phishing completa il quadro.
Per approfondire i fondamenti della protezione dei dati e delle credenziali, è utile partire dalle basi della sicurezza delle password e dalla comprensione di come avvengono le violazioni di dati più comuni.
Confronto: Odido e le altre grandi violazioni europee del 2025-2026
Per cogliere la portata della violazione dati Odido conviene collocarla accanto agli altri grandi incidenti che hanno segnato il panorama europeo recente. La caratteristica comune del 2025 e 2026 è il passaggio dagli attacchi puramente tecnici a quelli basati sull’identità e sull’ingegneria sociale, con il cloud come ambiente bersaglio.
Sul fronte europeo dello spionaggio e dell’estorsione, l’attacco da 350 GB di dati alla Commissione europea ha mostrato che neanche le istituzioni comunitarie sono al riparo. Sul fronte del ransomware, gli aeroporti europei hanno subìto interruzioni che hanno toccato centinaia di voli, mentre in Italia il rapporto Clusit ha contato 166 casi di ransomware con un incremento del 14%. La violazione Odido si distingue per la natura: non un blocco operativo, ma un furto di dati personali su scala nazionale finalizzato all’estorsione.
Il quadro complessivo è confermato dai dati ENISA, che nel suo Threat Landscape ha registrato circa 4.900 incidenti cyber con una forte componente di hacktivismo. La convergenza di questi numeri racconta un continente sotto pressione costante, dove la differenza tra un’azienda resiliente e una vittima sta sempre più nella governance e nella configurazione, non solo negli strumenti.
Cinque previsioni dopo la violazione dati Odido
La vicenda Odido avrà conseguenze che vanno oltre i Paesi Bassi. Ecco cinque sviluppi probabili nei prossimi mesi.
- Azioni collettive GDPR. Il rifiuto del risarcimento automatico spingerà associazioni di consumatori e studi legali a promuovere ricorsi collettivi, con richieste di indennizzo per il danno immateriale legato all’esposizione di IBAN e data di nascita.
- Indagine formale del garante olandese. Vista la scala, è probabile un’istruttoria dell’autorità per la protezione dei dati dei Paesi Bassi, con esito potenzialmente sanzionatorio sotto GDPR e NIS2.
- Hardening dei CRM cloud. Le grandi aziende europee accelereranno la revisione delle configurazioni Salesforce e simili, con restrizioni sulle applicazioni connesse e monitoraggio delle esportazioni di massa.
- Focus normativo sull’ingegneria sociale. Il successo del vishing porterà i regolatori a chiedere prove di formazione del personale e di controlli sugli accessi privilegiati come parte degli obblighi NIS2.
- Più investimenti sull’identità. Il budget europeo di cybersecurity, già in crescita del 10%, continuerà a spostarsi verso la gestione delle identità e degli accessi, riconosciuta come il nuovo perimetro da difendere.
Cosa significa per le aziende italiane ed europee
Per un’azienda italiana, la violazione dati Odido non è una storia straniera. È un manuale di ciò che può accadere a chiunque conservi dati di clienti in un CRM cloud. Con il recepimento della NIS2, gli operatori essenziali e importanti devono dimostrare misure di gestione del rischio e capacità di notifica degli incidenti, esattamente i punti su cui un caso come questo viene giudicato.
Il messaggio operativo è duplice. Da un lato, la sicurezza tecnica del fornitore cloud non basta: la configurazione, gli accessi e la formazione restano responsabilità del cliente. Dall’altro, la trasparenza nella risposta conta quanto la prevenzione. La scelta di Odido di escludere un risarcimento automatico ha trasformato un problema tecnico in un problema reputazionale e legale, un esito che molte aziende vorranno evitare imparando dall’errore altrui.
Chi vuole prepararsi può partire da una verifica concreta: classificare i sistemi che contengono dati personali, mappare le applicazioni connesse, restringere i privilegi e testare la reazione del personale di fronte a una telefonata sospetta. Sono passi a basso costo che, nella maggior parte dei casi della campagna ShinyHunters, avrebbero fatto la differenza.
Domande frequenti sulla violazione dati Odido
Quanti clienti ha colpito la violazione dati Odido?
Odido ha dichiarato 6,2 milioni di clienti attuali ed ex clienti, circa un terzo della popolazione olandese. Have I Been Pwned ha caricato circa 6,1 milioni di email uniche, UpGuard ha stimato oltre 6,5 milioni di persone e gli aggressori hanno rivendicato fino a 8 milioni, cifra non confermata dall’azienda.
Quali dati sono stati rubati nell’attacco a Odido?
Secondo Odido, i dati esposti variavano da persona a persona e comprendevano nome, indirizzo, numero di cellulare, numero cliente, indirizzo email, codice IBAN e data di nascita. La presenza di IBAN e data di nascita rende il data set particolarmente utile per frodi e furti d’identità.
Chi è responsabile della violazione dati Odido?
La maggior parte delle coperture attribuisce l’attacco al gruppo di estorsione ShinyHunters, all’interno di una campagna che ha sfruttato gli ambienti CRM Salesforce. Gli analisti di Google Threat Intelligence e Mandiant hanno classificato l’attività nei cluster UNC6040 (ingegneria sociale e voice phishing) e UNC6240 (estorsione).
Odido pagherà un risarcimento ai clienti?
Il 12 maggio 2026 Odido ha annunciato che non offrirà un indennizzo automatico ai clienti colpiti. Tuttavia, il GDPR riconosce agli interessati il diritto di richiedere un risarcimento per il danno materiale e immateriale, aprendo la strada a possibili azioni collettive indipendenti dalla decisione aziendale.
Quali sanzioni rischia Odido?
Sul piano GDPR le sanzioni possono arrivare fino a 20 milioni di euro o al 4% del fatturato annuo globale. Sul piano NIS2, che si applica agli operatori di telecomunicazioni come soggetti essenziali, le sanzioni possono raggiungere i 10 milioni di euro o il 2% del fatturato globale.
Come posso proteggermi se ero cliente Odido?
Monitora i movimenti del conto collegato all’IBAN, diffida di chiamate o messaggi che citano dati personali corretti, non autorizzare mai applicazioni o accessi su richiesta telefonica e attiva l’autenticazione a due fattori sugli account sensibili. Verifica se la tua email compare in archivi di violazioni tramite servizi come Have I Been Pwned.
Perché i CRM cloud sono diventati il bersaglio principale?
I CRM concentrano i dati personali di milioni di clienti in un unico sistema. Gli aggressori non sfruttano una vulnerabilità del software, ma l’ingegneria sociale verso i dipendenti, che vengono convinti ad autorizzare applicazioni connesse malevole. Forrester raccomanda di trattare ogni CRM con oltre 100.000 record come infrastruttura critica di primo livello.
Related Coverage
- NIS2 Italia: Multe €10M e Solo 3,9% Pronto [2026]
- ENISA 2025: 4.900 Incidenti Cyber, 80% Hacktivismo [2026]
- Ransomware Italia: 166 Casi, +14% e 507 Attacchi [2026]
- Attacco alla Commissione UE: 350 GB Rubati [2026]
- Violazioni di dati: come avvengono e come proteggersi
- Sicurezza delle password: lunghezza, hashing e secondo fattore
Fonti e approfondimenti
- Have I Been Pwned: scheda della violazione Odido
- Forrester: Inside The Odido Breach
- IBM Cost of a Data Breach Report 2025
- ENISA, Agenzia dell’Unione europea per la cybersicurezza
- UpGuard: panoramica della violazione Odido e Ben
- The Record: Dutch mobile phone giant Odido announces data breach
Articolo pubblicato il 14 giugno 2026. I dati citati provengono da fonti del 2025-2026. Le cifre sulla violazione sono basate sulle comunicazioni ufficiali di Odido e su tracker indipendenti, che riportano stime leggermente diverse.
