Spett. Dolomiti Energia Sono titolare del contratto per Mitica gas 24 e mitica energia 36 web sopra specificato in data 8 ottobre 2025 ho ricevuto da Dolomiti Energia S.p.A. la comunicazione relativa all’attacco informatico del 13 settembre 2025. Dalla stessa emergono alcune criticità rilevanti: • sono stati compromessi dati sensibili e altamente identificativi (nome, cognome, indirizzo, codice fiscale, e-mail, numero di telefono, codice contatore, informazioni contrattuali e IBAN); • non è stato indicato il nome del fornitore coinvolto, la natura dell’attacco né la destinazione dei dati sottratti; • la comunicazione è avvenuta con un ritardo di quasi un mese rispetto all’evento; • non sono state fornite informazioni sui diritti dell’interessato, sui rimedi disponibili né proposte di risarcimento per i clienti coinvolti. Alla luce della gravità della violazione, del ritardo nella comunicazione, della sottovalutazione del rischio reale e del potenziale danno economico, reputazionale e personale, desidero sottoporre i seguenti quesiti: 1. Qual è il nome del fornitore o soggetto terzo coinvolto nella violazione? 2. Quali dati personali, in modo preciso e dettagliato, sono stati compromessi? 3. Qual è stata la natura e la modalità dell’attacco informatico? 4. Per quale motivo la comunicazione agli interessati è stata inviata solo dopo quasi un mese? 5. Quali misure di sicurezza erano in essere al momento della violazione? 6. Quali azioni correttive sono state adottate successivamente all’incidente? 7. È stata effettuata una valutazione d’impatto (DPIA) o analisi del rischio successiva? 8. Sono previsti risarcimenti per i danni materiali e morali, effettivi o potenziali, ai sensi dell’art. 82 GDPR? 9. Qual è il nome e il contatto diretto del DPO responsabile della protezione dei dati personali? Considerato l’impatto collettivo di questa violazione, chiedo cortesemente se Altroconsumo possa: 1. verificare se Dolomiti Energia stia adempiendo agli obblighi previsti dal GDPR, richiedendo tutte le informazioni utili e promuovendo una maggiore trasparenza; 2. valutare un’azione legale o una segnalazione al Garante Privacy, volta a ottenere chiarimenti, responsabilità e rimedi concreti, anche mediante controlli sull’eventuale diffusione dei dati (ad esempio nel dark web); 3. promuovere una class action per richiedere il risarcimento dei danni derivanti dall’elevata esposizione al rischio di utilizzo illecito dei dati personali. I dati violati consentono infatti una identificazione certa delle persone coinvolte e possono essere utilizzati per falsificare identità, stipulare contratti fraudolenti, accedere a utenze, o realizzare truffe bancarie e SEPA. Resto in attesa di un vostro riscontro e di eventuali indicazioni operative. In mancanza di un riscontro entro 15 giorni dal ricevimento della presente, non esiterò ad adire le vie legali a tutela dei miei diritti.
