Egidio
Dossier · 2026

Violazioni di dati in Italia: i casi reali

Non è un problema astratto o riservato alle grandi multinazionali. Nel 2025 il Garante Privacy ha ricevuto oltre 2.400 notifiche di data breach in Italia — e dietro ogni numero c'è un'azienda, dei clienti, e dati che finiscono spesso per alimentare le truffe telefoniche.

Il legame diretto con le chiamate e gli SMS fraudolenti

Una violazione di dati raramente resta confinata all'azienda colpita. Una volta in circolazione, le informazioni che contiene — nome, telefono, email, talvolta dati bancari o legati all'identità digitale — diventano la materia prima di un truffatore che personalizza il proprio approccio invece di chiamare a caso. In Italia, il fenomeno è documentato direttamente dal Garante per la protezione dei dati personali, l'autorità che riceve le notifiche obbligatorie di violazione ai sensi del GDPR.

Italia: numeri in crescita

2.415
Notifiche di violazione dei dati personali ricevute dal Garante Privacy nel 2025, in aumento del 10% rispetto alle 2.204 del 2024 (a loro volta in crescita del 22% sull'anno precedente).
Garante per la protezione dei dati personali, dati 2025.
37,7 milioni €
Totale delle sanzioni irrogate dal Garante Privacy nel 2025, in crescita del 54,5% rispetto ai 24,4 milioni del 2024 — segno di un controllo sempre più severo sulla sicurezza dei dati.
Garante per la protezione dei dati personali, bilancio 2025.

Tre casi individuali illustrano concretamente la portata di queste violazioni:

Dicembre 2024
InfoCert — uno dei principali fornitori italiani di identità digitale SPID ha subito un attacco informatico, scoperto il 27 dicembre e collegato a un fornitore terzo. Dati rivendicati su un forum del dark web (BreachForums): circa 5,5 milioni di registrazioni, 1,1 milioni di numeri di telefono e 2,5 milioni di indirizzi email. Il Garante Privacy ha aperto un'istruttoria formale il 3 gennaio 2025.
2022-2024, sanzione 2026
Intesa Sanpaolo — un dipendente ha effettuato oltre 6.600 accessi abusivi ai dossier bancari di 3.573 clienti tra il 21 febbraio 2022 e il 24 aprile 2024. Il Garante Privacy ha sanzionato la banca con una multa record di 31,8 milioni di euro, la più alta mai comminata in Italia per un caso di data breach.
2024-2025
myCicero / MooneyGo — violazione dei sistemi dell'app di mobilità e pagamenti myCicero, che ha esposto le password di utenti dell'app MooneyGo: circa 620.000 con hashing debole (MD5) e circa 2,2 milioni con hashing bcrypt2a, secondo il prospetto fornito dalla società al Garante.

Il vocabolario da conoscere

Credential stuffing

Un attaccante prova in massa, su altri siti, delle credenziali rubate in una violazione precedente — scommettendo che riutilizzate la stessa password altrove.

Password spraying

Il contrario del classico attacco a forza bruta: un attaccante prova una password molto comune su un gran numero di account diversi, per restare sotto il radar dei sistemi di rilevamento.

Fatica MFA

Un attaccante che possiede già la vostra password scatena una raffica di richieste di conferma via notifica, sperando che finiate per accettare per stanchezza o errore.

SIM swap

Un truffatore, munito di dati personali rubati, convince un operatore telefonico a trasferire il vostro numero su una SIM sotto il suo controllo — per intercettare le vostre chiamate e i codici di verifica via SMS.

🔒 I vostri dati possono essere finiti in una violazione senza alcuna vostra responsabilità — ma la protezione resta possibile a valle: Egidio riconosce gli schemi di chiamate e SMS costruiti a partire da dati rubati, anche quando sono personalizzati. Vedi come funziona Medusa.

Domande frequenti

Quante violazioni di dati sono state notificate in Italia nel 2025?

Il Garante per la protezione dei dati personali ha ricevuto 2.415 notifiche di data breach nel 2025, in aumento del 10% rispetto alle 2.204 del 2024 — a loro volta già in crescita del 22% sull'anno precedente.

Quali sono state le violazioni di dati più gravi in Italia di recente?

Tra i casi più documentati: l'attacco a InfoCert (dicembre 2024), fornitore di identità digitale SPID, con dati di milioni di utenti rivendicati su un forum del dark web; gli accessi abusivi ai dossier bancari di Intesa Sanpaolo, sanzionati dal Garante con una multa record di 31,8 milioni di euro nel 2026; e la violazione dell'app myCicero/MooneyGo, che ha esposto milioni di password con hashing debole.

Perché una violazione di dati porta a più chiamate o SMS di truffatori?

Perché una violazione contiene spesso nome, telefono, email e talvolta informazioni bancarie o sull'identità digitale — abbastanza per costruire una chiamata o un SMS credibile e personalizzato, molto più efficace di un messaggio generico inviato a caso.

Per approfondire