Il legame diretto con le chiamate e gli SMS fraudolenti
Una violazione di dati raramente resta confinata all'azienda colpita. Una volta in circolazione, le informazioni che contiene — nome, telefono, email, talvolta dati bancari o legati all'identità digitale — diventano la materia prima di un truffatore che personalizza il proprio approccio invece di chiamare a caso. In Italia, il fenomeno è documentato direttamente dal Garante per la protezione dei dati personali, l'autorità che riceve le notifiche obbligatorie di violazione ai sensi del GDPR.
Italia: numeri in crescita
Tre casi individuali illustrano concretamente la portata di queste violazioni:
Il vocabolario da conoscere
Credential stuffing
Un attaccante prova in massa, su altri siti, delle credenziali rubate in una violazione precedente — scommettendo che riutilizzate la stessa password altrove.
Password spraying
Il contrario del classico attacco a forza bruta: un attaccante prova una password molto comune su un gran numero di account diversi, per restare sotto il radar dei sistemi di rilevamento.
Fatica MFA
Un attaccante che possiede già la vostra password scatena una raffica di richieste di conferma via notifica, sperando che finiate per accettare per stanchezza o errore.
SIM swap
Un truffatore, munito di dati personali rubati, convince un operatore telefonico a trasferire il vostro numero su una SIM sotto il suo controllo — per intercettare le vostre chiamate e i codici di verifica via SMS.
Domande frequenti
Quante violazioni di dati sono state notificate in Italia nel 2025?
Il Garante per la protezione dei dati personali ha ricevuto 2.415 notifiche di data breach nel 2025, in aumento del 10% rispetto alle 2.204 del 2024 — a loro volta già in crescita del 22% sull'anno precedente.
Quali sono state le violazioni di dati più gravi in Italia di recente?
Tra i casi più documentati: l'attacco a InfoCert (dicembre 2024), fornitore di identità digitale SPID, con dati di milioni di utenti rivendicati su un forum del dark web; gli accessi abusivi ai dossier bancari di Intesa Sanpaolo, sanzionati dal Garante con una multa record di 31,8 milioni di euro nel 2026; e la violazione dell'app myCicero/MooneyGo, che ha esposto milioni di password con hashing debole.
Perché una violazione di dati porta a più chiamate o SMS di truffatori?
Perché una violazione contiene spesso nome, telefono, email e talvolta informazioni bancarie o sull'identità digitale — abbastanza per costruire una chiamata o un SMS credibile e personalizzato, molto più efficace di un messaggio generico inviato a caso.