{"id":109,"date":"2026-06-14T04:27:43","date_gmt":"2026-06-14T04:27:43","guid":{"rendered":"https:\/\/shattered.io\/it\/2026\/06\/14\/violazione-dati-odido-6-2-milioni\/"},"modified":"2026-06-14T04:29:14","modified_gmt":"2026-06-14T04:29:14","slug":"violazione-dati-odido-6-2-milioni","status":"publish","type":"post","link":"https:\/\/shattered.io\/it\/2026\/06\/14\/violazione-dati-odido-6-2-milioni\/","title":{"rendered":"Violazione Odido: 6,2M Clienti Colpiti [2026]"},"content":{"rendered":"\n

La pi\u00f9 grande violazione di dati nella storia delle telecomunicazioni olandesi ha un nome: Odido. Nel weekend del 7 e 8 febbraio 2026, gli aggressori hanno avuto accesso ai sistemi del primo operatore mobile dei Paesi Bassi e hanno sottratto i dati di 6,2 milioni di clienti attuali ed ex clienti<\/strong>, circa un terzo dell’intera popolazione nazionale. Quattro mesi dopo, la vicenda \u00e8 diventata il caso di studio europeo sul fallimento della governance del rischio cyber, sul ruolo dei CRM cloud come bersaglio principale e sui limiti del risarcimento dovuto agli utenti.<\/p>\n\n\n\n

La violazione dati Odido non \u00e8 un episodio isolato. Si inserisce in una campagna di estorsione che nel 2025 e 2026 ha colpito decine di grandi aziende attraverso le piattaforme Salesforce, e arriva mentre l’Europa fa i conti con la direttiva NIS2, con sanzioni GDPR fino a 20 milioni di euro e con un costo medio globale delle violazioni che IBM stima in 4,44 milioni di dollari. Ecco i fatti, i numeri e le conseguenze per chi gestisce dati di clienti in Italia e in Europa.<\/p>\n\n\n\n

Cosa \u00e8 successo nella violazione dati Odido: cronologia dell’attacco<\/h2>\n\n\n\n

Odido \u00e8 il primo operatore di telefonia mobile dei Paesi Bassi, nato dalla fusione tra T-Mobile Netherlands e Tele2 e dal successivo rebranding del 2023. Serve milioni di clienti privati e aziendali e gestisce un sistema di contatto clienti basato su una piattaforma CRM cloud. \u00c8 proprio questo sistema il punto di ingresso dell’attacco.<\/p>\n\n\n\n

Secondo la ricostruzione confermata dall’azienda e dalle analisi indipendenti, gli strumenti interni di monitoraggio hanno rilevato attivit\u00e0 anomale nel sistema di contatto clienti durante il fine settimana del 7 e 8 febbraio 2026. Gli aggressori avevano ottenuto un accesso non autorizzato all’ambiente CRM e avevano gi\u00e0 esfiltrato un volume enorme di dati personali. Odido ha dichiarato di aver interrotto l’accesso non autorizzato ai propri sistemi una volta individuata l’intrusione.<\/p>\n\n\n\n

Il 12 febbraio 2026 l’azienda ha reso pubblica la violazione. La notizia \u00e8 stata ripresa da Bloomberg, Reuters e The Record nello stesso giorno. Odido ha precisato che i servizi di rete sono rimasti operativi e che l’attacco ha riguardato i dati e non l’erogazione del servizio mobile. Nelle settimane successive gli aggressori hanno fissato un ultimatum per il pagamento di un riscatto, minacciando la pubblicazione dei dati sottratti. Alla scadenza del termine, parte dei dati \u00e8 stata diffusa, e il 12 maggio 2026 Odido ha annunciato che non avrebbe offerto un risarcimento automatico ai clienti colpiti.<\/p>\n\n\n\n

Nel commentare l’accaduto, l’azienda ha dichiarato: “Mi dispiace profondamente che questo sia accaduto e comprendo la preoccupazione e l’incertezza che questo incidente ha causato alle persone coinvolte”. Una scusa che, per molti osservatori, non ha placato il malcontento, soprattutto dopo la decisione di escludere indennizzi diretti.<\/p>\n\n\n\n

Quanti clienti coinvolti e quali dati sono stati rubati<\/h2>\n\n\n\n

La cifra ufficiale comunicata da Odido \u00e8 di 6,2 milioni di record di clienti attuali ed ex clienti. Le fonti indipendenti che tracciano le violazioni hanno riportato numeri leggermente diversi, segno della difficolt\u00e0 di quantificare con precisione l’esposizione. Have I Been Pwned ha caricato circa 6,1 milioni di indirizzi email unici provenienti dal data set. UpGuard ha parlato di oltre 6,5 milioni di clienti attuali ed ex clienti. Gli stessi aggressori hanno rivendicato fino a 8 milioni di clienti, cifra non confermata dall’azienda.<\/p>\n\n\n\n

Adottando il criterio pi\u00f9 conservativo, il dato verificato \u00e8 quello dichiarato da Odido: 6,2 milioni di record. Resta il fatto che, in un Paese di circa 18 milioni di abitanti, l’incidente ha toccato all’incirca un terzo della popolazione, un’ampiezza che spiega l’attenzione mediatica e politica nei Paesi Bassi.<\/p>\n\n\n\n

La tipologia di dati esposti \u00e8 particolarmente sensibile. Secondo la comunicazione ufficiale di Odido, le informazioni sottratte variavano da persona a persona e comprendevano nome, indirizzo, numero di cellulare, numero cliente, indirizzo email, codice IBAN e data di nascita. Alcune fonti giornalistiche hanno aggiunto note del servizio clienti e, in casi specifici, dati di documenti di identit\u00e0. La presenza dell’IBAN e della data di nascita rende il data set un punto di partenza ideale per frodi mirate, phishing personalizzato e furto d’identit\u00e0.<\/p>\n\n\n\n

Elemento<\/th>Dato verificato<\/th><\/tr><\/thead>
Azienda colpita<\/td>Odido (primo operatore mobile dei Paesi Bassi)<\/td><\/tr>
Data dell’attacco<\/td>Weekend 7-8 febbraio 2026<\/td><\/tr>
Data di divulgazione pubblica<\/td>12 febbraio 2026<\/td><\/tr>
Clienti coinvolti (dato Odido)<\/td>6,2 milioni<\/td><\/tr>
Email uniche (Have I Been Pwned)<\/td>circa 6,1 milioni<\/td><\/tr>
Stima UpGuard<\/td>oltre 6,5 milioni<\/td><\/tr>
Rivendicazione aggressori<\/td>fino a 8 milioni (non confermata)<\/td><\/tr>
Dati esposti<\/td>nome, indirizzo, cellulare, numero cliente, email, IBAN, data di nascita<\/td><\/tr>
Vettore d’attacco<\/td>ambiente CRM cloud (Salesforce)<\/td><\/tr>
Decisione sul risarcimento<\/td>nessun indennizzo automatico (12 maggio 2026)<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Chi c’\u00e8 dietro: ShinyHunters e la campagna di estorsione su Salesforce<\/h2>\n\n\n\n

La violazione dati Odido \u00e8 stata attribuita nella maggior parte delle coperture giornalistiche al collettivo ShinyHunters, un gruppo di estorsione noto da anni nel panorama del cybercrime. L’elemento chiave \u00e8 il vettore: l’accesso \u00e8 avvenuto attraverso un ambiente CRM Salesforce, lo stesso schema visto in una vasta campagna che ha colpito grandi aziende nel corso del 2025 e del 2026.<\/p>\n\n\n\n

Quella campagna ha avuto come bersaglio nomi di primo piano. Tra le vittime riportate figurano Google, Qantas, Allianz Life, LVMH, Adidas e Cisco. Il meccanismo non sfrutta una vulnerabilit\u00e0 tecnica del software, ma l’ingegneria sociale. Gli analisti di Google Threat Intelligence e Mandiant hanno classificato l’attivit\u00e0 in due cluster distinti: UNC6040, associato alla fase di voice phishing e ingegneria sociale contro gli ambienti Salesforce, e UNC6240, legato alla successiva fase di estorsione. In pratica, gli aggressori contattano telefonicamente i dipendenti spacciandosi per supporto IT, li convincono ad autorizzare un’applicazione connessa malevola e da l\u00ec esfiltrano interi database di clienti.<\/p>\n\n\n\n

Questo modus operandi sposta il baricentro del rischio. Non serve un exploit zero-day: bastano una telefonata convincente e un dipendente che concede troppi permessi. \u00c8 il motivo per cui la violazione Odido viene letta non come un fallimento del fornitore cloud, ma come un fallimento di processo, di formazione e di configurazione lato cliente.<\/p>\n\n\n\n

L’analisi degli esperti: perch\u00e9 il CRM \u00e8 diventato il bersaglio numero uno<\/h2>\n\n\n\n

Forrester ha dedicato alla vicenda un’analisi dettagliata, definendola la pi\u00f9 grande violazione nel settore telecomunicazioni nella storia dei Paesi Bassi. Il punto centrale dell’analisi riguarda il modo in cui le aziende classificano i propri sistemi CRM. Per troppo tempo questi sistemi sono stati trattati come strumenti commerciali, non come infrastruttura critica, pur contenendo i dati personali di milioni di persone.<\/p>\n\n\n\n

La raccomandazione di Forrester \u00e8 netta: “Riclassificate il vostro CRM. Se contiene pi\u00f9 di 100.000 record di clienti, trattatelo come infrastruttura di primo livello, con i controlli di accesso, il monitoraggio e gli standard di hardening che ne derivano”. Una seconda indicazione riguarda la configurazione: “Verificate la vostra configurazione rispetto alla baseline di sicurezza del fornitore stesso. Ci\u00f2 che il fornitore abilita per impostazione predefinita e ci\u00f2 che raccomanda raramente coincidono”.<\/p>\n\n\n\n

\u00c8 un messaggio che ribalta la responsabilit\u00e0 percepita. Le piattaforme cloud operano in un modello di responsabilit\u00e0 condivisa: il fornitore garantisce la sicurezza dell’infrastruttura, ma la configurazione degli accessi, la gestione delle applicazioni connesse e la formazione del personale restano a carico del cliente. Nella violazione dati Odido, come negli altri casi della stessa ondata, la falla non era nel codice di Salesforce, ma nelle impostazioni e nelle abitudini di chi lo usava.<\/p>\n\n\n\n

Il nodo legale: GDPR, NIS2 e le sanzioni che Odido rischia<\/h2>\n\n\n\n

Sul piano normativo, la violazione dati Odido apre due fronti paralleli. Lo studio legale internazionale Linklaters, in un’analisi pubblicata ad aprile 2026, ha sottolineato che l’incidente espone l’operatore a obblighi e potenziali sanzioni sia sotto il Regolamento generale sulla protezione dei dati (GDPR) sia sotto la direttiva NIS2.<\/p>\n\n\n\n

Sul versante GDPR, le sanzioni possono arrivare fino a 20 milioni di euro o al 4% del fatturato annuo globale, a seconda di quale importo sia pi\u00f9 elevato. La valutazione dipender\u00e0 dall’adeguatezza delle misure di sicurezza adottate prima dell’attacco e dalla tempestivit\u00e0 della risposta all’incidente. Sul versante NIS2, che si applica direttamente agli operatori di telecomunicazioni in quanto soggetti essenziali, le sanzioni possono raggiungere i 10 milioni di euro o il 2% del fatturato annuo globale.<\/p>\n\n\n\n

La direttiva NIS2 impone obblighi precisi: gestione del rischio, sicurezza della catena di fornitura, controllo degli accessi e notifica degli incidenti entro tempistiche stringenti. Un operatore telefonico che subisce un’esfiltrazione di massa attraverso un CRM mal configurato deve dimostrare di aver implementato controlli adeguati, pena l’aggravamento della posizione sanzionatoria. Per le aziende italiane, il recepimento della NIS2 rende questo caso un precedente da studiare con attenzione, perch\u00e9 definisce lo standard atteso anche nel nostro ordinamento.<\/p>\n\n\n\n

La decisione sul risarcimento e la rabbia dei clienti<\/h2>\n\n\n\n

Uno degli aspetti pi\u00f9 discussi della vicenda \u00e8 la posizione di Odido sul risarcimento. Dopo settimane di dibattito sulla responsabilit\u00e0 e sull’eventuale compensazione, il 12 maggio 2026 l’azienda ha comunicato che non avrebbe offerto un indennizzo automatico ai clienti colpiti dall’attacco. La motivazione si appoggia sull’idea che l’azienda sia stata vittima di un reato e che il danno concreto per i singoli utenti sia difficile da quantificare.<\/p>\n\n\n\n

La decisione ha alimentato il malcontento e ha aperto la strada a possibili azioni collettive. Sotto il GDPR, infatti, gli interessati hanno il diritto di richiedere un risarcimento per il danno materiale e immateriale subito a causa di una violazione, e questo diritto non dipende dalla volont\u00e0 dell’azienda di offrire un indennizzo spontaneo. La presenza di IBAN e date di nascita nel data set rende plausibile la dimostrazione di un danno potenziale, elemento che rafforza la posizione di eventuali ricorrenti.<\/p>\n\n\n\n

Per gli utenti coinvolti, le contromisure pratiche restano le stesse di sempre: monitorare i movimenti bancari collegati all’IBAN esposto, diffidare di telefonate e messaggi che citano dati personali corretti per costruire credibilit\u00e0, e attivare ovunque possibile l’autenticazione a due fattori. La combinazione di nome, numero di telefono e data di nascita \u00e8 esattamente ci\u00f2 che serve a un truffatore per superare i controlli di sicurezza basati su domande personali.<\/p>\n\n\n\n

Contesto storico: la violazione dati Odido nel panorama delle telco europee<\/h2>\n\n\n\n

Le telecomunicazioni sono da tempo un bersaglio privilegiato. Custodiscono dati di pagamento, documenti di identit\u00e0 e cronologie di contatto su scala nazionale, un patrimonio informativo che vale moltissimo sul mercato nero. La violazione dati Odido si distingue per due ragioni: la scala, che tocca un terzo di un Paese, e il vettore, un CRM cloud invece di un sistema legacy interno.<\/p>\n\n\n\n

Il dato pi\u00f9 rilevante \u00e8 proprio lo spostamento verso le piattaforme SaaS. Negli anni passati, le grandi violazioni nelle telco nascevano spesso da database interni esposti o da vulnerabilit\u00e0 in portali web. Oggi il punto debole si \u00e8 spostato verso gli ambienti cloud condivisi, dove un singolo set di credenziali o un’applicazione connessa malevola pu\u00f2 sbloccare l’intero archivio clienti. Questo cambiamento allinea il settore telecomunicazioni alla tendenza pi\u00f9 ampia osservata nella campagna ShinyHunters contro aziende di ogni comparto, dall’aviazione al lusso.<\/p>\n\n\n\n

Per l’Europa, il caso arriva in un momento di crescita degli investimenti in cybersecurity. I ricavi della distribuzione di soluzioni di sicurezza in Europa sono cresciuti del 10% su base annua ad aprile 2026, secondo CONTEXT, segnando un ritorno alla crescita dopo un rallentamento. L’identit\u00e0 digitale guida questo spostamento di budget, ed \u00e8 proprio l’identit\u00e0, attraverso credenziali e accessi applicativi, il punto colpito nella violazione Odido.<\/p>\n\n\n\n

Quanto costa una violazione di dati nel 2026: i numeri di mercato<\/h2>\n\n\n\n

Il costo economico delle violazioni resta elevato anche quando la media globale scende. Il rapporto IBM Cost of a Data Breach 2025 ha registrato un costo medio globale di 4,44 milioni di dollari, in calo del 9% rispetto all’anno precedente e prima diminuzione in cinque anni, attribuita a una pi\u00f9 rapida identificazione e contenimento degli incidenti. Negli Stati Uniti, per\u00f2, il costo medio \u00e8 salito del 9% fino al massimo storico di 10,22 milioni di dollari, segno che la riduzione globale non si distribuisce uniformemente.<\/p>\n\n\n\n

A questi costi diretti si sommano le valutazioni del rischio. Secondo l’Allianz Risk Barometer 2026, gli incidenti cyber sono il principale rischio globale per il quinto anno consecutivo, citati dal 42% delle risposte, il punteggio pi\u00f9 alto mai registrato dall’indagine e con un margine del 10% sul rischio strettamente collegato dell’intelligenza artificiale. Il messaggio per i consigli di amministrazione \u00e8 chiaro: il rischio cyber non \u00e8 pi\u00f9 un tema tecnico delegabile, ma una voce centrale nella gestione d’impresa.<\/p>\n\n\n\n

Indicatore<\/th>Valore<\/th>Fonte<\/th><\/tr><\/thead>
Costo medio globale violazione<\/td>4,44 milioni di dollari<\/td>IBM 2025<\/td><\/tr>
Variazione costo medio globale<\/td>-9% (prima riduzione in 5 anni)<\/td>IBM 2025<\/td><\/tr>
Costo medio negli Stati Uniti<\/td>10,22 milioni di dollari (massimo storico)<\/td>IBM 2025<\/td><\/tr>
Rischio cyber tra le aziende<\/td>1\u00b0 rischio globale, citato dal 42%<\/td>Allianz Risk Barometer 2026<\/td><\/tr>
Crescita ricavi cybersecurity in Europa<\/td>+10% su base annua (aprile 2026)<\/td>CONTEXT<\/td><\/tr>
Sanzione massima GDPR<\/td>20 milioni di euro o 4% fatturato globale<\/td>GDPR<\/td><\/tr>
Sanzione massima NIS2 (telco)<\/td>10 milioni di euro o 2% fatturato globale<\/td>NIS2<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Come si difende un’azienda da un attacco al CRM<\/h2>\n\n\n\n

La lezione tecnica della violazione dati Odido \u00e8 applicabile a qualsiasi organizzazione che gestisca dati di clienti in una piattaforma cloud. Il primo passo \u00e8 proprio quello indicato da Forrester: riclassificare il CRM come infrastruttura critica e applicare i controlli che ne conseguono. Da qui discende una serie di misure concrete.<\/p>\n\n\n\n

Controllo delle applicazioni connesse<\/h3>\n\n\n\n

Il vettore della campagna ShinyHunters sfrutta le applicazioni connesse autorizzate da un dipendente ingannato. Limitare quali applicazioni possono collegarsi al CRM, imporre un’approvazione amministrativa per ogni nuova integrazione e revocare periodicamente i token inutilizzati riduce drasticamente la superficie d’attacco. Una connected app malevola che esfiltra dati in blocco lascia tracce: i sistemi di monitoraggio devono essere configurati per intercettare esportazioni anomale di grandi volumi.<\/p>\n\n\n\n

Formazione contro il vishing e privilegio minimo<\/h3>\n\n\n\n

Poich\u00e9 l’attacco parte da una telefonata, la formazione del personale di supporto \u00e8 la prima linea di difesa. I dipendenti devono sapere che il team IT legittimo non chiede mai di autorizzare applicazioni esterne durante una chiamata non sollecitata. Sul piano tecnico, il principio del privilegio minimo garantisce che anche un account compromesso possa accedere solo ai dati strettamente necessari, evitando che un singolo profilo possa scaricare l’intero database. L’autenticazione a pi\u00f9 fattori resistente al phishing completa il quadro.<\/p>\n\n\n\n

Per approfondire i fondamenti della protezione dei dati e delle credenziali, \u00e8 utile partire dalle basi della sicurezza delle password<\/a> e dalla comprensione di come avvengono le violazioni di dati<\/a> pi\u00f9 comuni.<\/p>\n\n\n\n

Confronto: Odido e le altre grandi violazioni europee del 2025-2026<\/h2>\n\n\n\n

Per cogliere la portata della violazione dati Odido conviene collocarla accanto agli altri grandi incidenti che hanno segnato il panorama europeo recente. La caratteristica comune del 2025 e 2026 \u00e8 il passaggio dagli attacchi puramente tecnici a quelli basati sull’identit\u00e0 e sull’ingegneria sociale, con il cloud come ambiente bersaglio.<\/p>\n\n\n\n

Sul fronte europeo dello spionaggio e dell’estorsione, l’attacco da 350 GB di dati alla Commissione europea ha mostrato che neanche le istituzioni comunitarie sono al riparo. Sul fronte del ransomware, gli aeroporti europei hanno sub\u00ecto interruzioni che hanno toccato centinaia di voli, mentre in Italia il rapporto Clusit ha contato 166 casi di ransomware con un incremento del 14%. La violazione Odido si distingue per la natura: non un blocco operativo, ma un furto di dati personali su scala nazionale finalizzato all’estorsione.<\/p>\n\n\n\n

Il quadro complessivo \u00e8 confermato dai dati ENISA, che nel suo Threat Landscape ha registrato circa 4.900 incidenti cyber con una forte componente di hacktivismo. La convergenza di questi numeri racconta un continente sotto pressione costante, dove la differenza tra un’azienda resiliente e una vittima sta sempre pi\u00f9 nella governance e nella configurazione, non solo negli strumenti.<\/p>\n\n\n\n

Cinque previsioni dopo la violazione dati Odido<\/h2>\n\n\n\n

La vicenda Odido avr\u00e0 conseguenze che vanno oltre i Paesi Bassi. Ecco cinque sviluppi probabili nei prossimi mesi.<\/p>\n\n\n\n

  1. Azioni collettive GDPR.<\/strong> Il rifiuto del risarcimento automatico spinger\u00e0 associazioni di consumatori e studi legali a promuovere ricorsi collettivi, con richieste di indennizzo per il danno immateriale legato all’esposizione di IBAN e data di nascita.<\/li>
  2. Indagine formale del garante olandese.<\/strong> Vista la scala, \u00e8 probabile un’istruttoria dell’autorit\u00e0 per la protezione dei dati dei Paesi Bassi, con esito potenzialmente sanzionatorio sotto GDPR e NIS2.<\/li>
  3. Hardening dei CRM cloud.<\/strong> Le grandi aziende europee accelereranno la revisione delle configurazioni Salesforce e simili, con restrizioni sulle applicazioni connesse e monitoraggio delle esportazioni di massa.<\/li>
  4. Focus normativo sull’ingegneria sociale.<\/strong> Il successo del vishing porter\u00e0 i regolatori a chiedere prove di formazione del personale e di controlli sugli accessi privilegiati come parte degli obblighi NIS2.<\/li>
  5. Pi\u00f9 investimenti sull’identit\u00e0.<\/strong> Il budget europeo di cybersecurity, gi\u00e0 in crescita del 10%, continuer\u00e0 a spostarsi verso la gestione delle identit\u00e0 e degli accessi, riconosciuta come il nuovo perimetro da difendere.<\/li><\/ol>\n\n\n\n

    Cosa significa per le aziende italiane ed europee<\/h2>\n\n\n\n

    Per un’azienda italiana, la violazione dati Odido non \u00e8 una storia straniera. \u00c8 un manuale di ci\u00f2 che pu\u00f2 accadere a chiunque conservi dati di clienti in un CRM cloud. Con il recepimento della NIS2, gli operatori essenziali e importanti devono dimostrare misure di gestione del rischio e capacit\u00e0 di notifica degli incidenti, esattamente i punti su cui un caso come questo viene giudicato.<\/p>\n\n\n\n

    Il messaggio operativo \u00e8 duplice. Da un lato, la sicurezza tecnica del fornitore cloud non basta: la configurazione, gli accessi e la formazione restano responsabilit\u00e0 del cliente. Dall’altro, la trasparenza nella risposta conta quanto la prevenzione. La scelta di Odido di escludere un risarcimento automatico ha trasformato un problema tecnico in un problema reputazionale e legale, un esito che molte aziende vorranno evitare imparando dall’errore altrui.<\/p>\n\n\n\n

    Chi vuole prepararsi pu\u00f2 partire da una verifica concreta: classificare i sistemi che contengono dati personali, mappare le applicazioni connesse, restringere i privilegi e testare la reazione del personale di fronte a una telefonata sospetta. Sono passi a basso costo che, nella maggior parte dei casi della campagna ShinyHunters, avrebbero fatto la differenza.<\/p>\n\n\n\n

    Domande frequenti sulla violazione dati Odido<\/h2>\n\n\n\n

    Quanti clienti ha colpito la violazione dati Odido?<\/h3>\n\n\n\n

    Odido ha dichiarato 6,2 milioni di clienti attuali ed ex clienti, circa un terzo della popolazione olandese. Have I Been Pwned ha caricato circa 6,1 milioni di email uniche, UpGuard ha stimato oltre 6,5 milioni di persone e gli aggressori hanno rivendicato fino a 8 milioni, cifra non confermata dall’azienda.<\/p>\n\n\n\n

    Quali dati sono stati rubati nell’attacco a Odido?<\/h3>\n\n\n\n

    Secondo Odido, i dati esposti variavano da persona a persona e comprendevano nome, indirizzo, numero di cellulare, numero cliente, indirizzo email, codice IBAN e data di nascita. La presenza di IBAN e data di nascita rende il data set particolarmente utile per frodi e furti d’identit\u00e0.<\/p>\n\n\n\n

    Chi \u00e8 responsabile della violazione dati Odido?<\/h3>\n\n\n\n

    La maggior parte delle coperture attribuisce l’attacco al gruppo di estorsione ShinyHunters, all’interno di una campagna che ha sfruttato gli ambienti CRM Salesforce. Gli analisti di Google Threat Intelligence e Mandiant hanno classificato l’attivit\u00e0 nei cluster UNC6040 (ingegneria sociale e voice phishing) e UNC6240 (estorsione).<\/p>\n\n\n\n

    Odido pagher\u00e0 un risarcimento ai clienti?<\/h3>\n\n\n\n

    Il 12 maggio 2026 Odido ha annunciato che non offrir\u00e0 un indennizzo automatico ai clienti colpiti. Tuttavia, il GDPR riconosce agli interessati il diritto di richiedere un risarcimento per il danno materiale e immateriale, aprendo la strada a possibili azioni collettive indipendenti dalla decisione aziendale.<\/p>\n\n\n\n

    Quali sanzioni rischia Odido?<\/h3>\n\n\n\n

    Sul piano GDPR le sanzioni possono arrivare fino a 20 milioni di euro o al 4% del fatturato annuo globale. Sul piano NIS2, che si applica agli operatori di telecomunicazioni come soggetti essenziali, le sanzioni possono raggiungere i 10 milioni di euro o il 2% del fatturato globale.<\/p>\n\n\n\n

    Come posso proteggermi se ero cliente Odido?<\/h3>\n\n\n\n

    Monitora i movimenti del conto collegato all’IBAN, diffida di chiamate o messaggi che citano dati personali corretti, non autorizzare mai applicazioni o accessi su richiesta telefonica e attiva l’autenticazione a due fattori sugli account sensibili. Verifica se la tua email compare in archivi di violazioni tramite servizi come Have I Been Pwned.<\/p>\n\n\n\n

    Perch\u00e9 i CRM cloud sono diventati il bersaglio principale?<\/h3>\n\n\n\n

    I CRM concentrano i dati personali di milioni di clienti in un unico sistema. Gli aggressori non sfruttano una vulnerabilit\u00e0 del software, ma l’ingegneria sociale verso i dipendenti, che vengono convinti ad autorizzare applicazioni connesse malevole. Forrester raccomanda di trattare ogni CRM con oltre 100.000 record come infrastruttura critica di primo livello.<\/p>\n\n\n\n

    Related Coverage<\/h3>\n\n\n\n