Come tanti altri utenti, in data 08/10/2025 ho ricevuto l’email di Dolomiti Energia S.p.A. relativa all’ attacco informatico verificatosi il 13 settembre 2025.
In sintesi:
• sono stati compromessi dati sensibili e altamente identificativi: nome, cognome, indirizzo, codice fiscale, indirizzo email, telefono, codice del contatore, informazioni contrattuali, IBAN,
• non è stato fornito il nome del fornitore responsabile né la natura precisa dell’attacco, né dove/come i dati siano finiti o se siano stati pubblicati o venduti,
• c’è stato un ritardo nella comunicazione agli interessati, che è avvenuta a quasi un mese dall’evento,
• è stato presentato l’accaduto con grave sottovalutazione del rischio effettivo derivante dall’aggregazione di dati sensibili,
• non c’è stata nessuna trasparenza sul DPO o sul titolare del trattamento,
• c’è stata una violazione dei diritti degli interessati ai sensi del GDPR: nessuna indicazione sui diritti dell’interessato né sui rimedi disponibili, nessuna misura concreta di supporto, monitoraggio o risarcimento proposta ai clienti coinvolti.
Alla luce della gravità della violazione, della ritardata comunicazione, della sottovalutazione del rischio reale e del potenziale danno economico, reputazionale e personale, rimangono aperti i seguenti quesiti:
1. Qual è il nome del fornitore coinvolto nella violazione?
2. Quali dati personali sono stati compromessi, con precisione e dettaglio?
3. Qual è stata la natura dell'attacco e quali dati sono stati effettivamente esfiltrati, copiati, divulgati o pubblicati?
4. Perché la comunicazione è stata inviata solo dopo quasi un mese dall'accaduto?
5. Quali misure di sicurezza erano attive al momento della violazione?
6. Quali azioni correttive sono state implementate successivamente all’incidente?
7. Sono state effettuate analisi del rischio o valutazioni d’impatto (DPIA)?
8. Sono previsti risarcimenti per i danni materiali e morali subiti o potenziali, ai sensi dell’art. 82 GDPR?
9. Qual è il nome e contatto diretto del DPO responsabile del trattamento dei dati personali?
Vorrei sapere se, visto l’impatto collettivo, Altroconsumo possa intervenire per:
1. verificare se Dolomiti Energia stia adempiendo agli obblighi previsti dal GDPR, per avere quante più informazioni possibili in merito all’accaduto e per implementare strumenti efficaci di prevenzione;
2. predisporre un’azione legale o segnalazione al Garante per ottenere trasparenza, responsabilità e rimedi, con l’opportunità di accedere a controlli incrociati per valutare l’effettivo utilizzo illecito di dati personali (ad esempio nel dark web);
3. promuovere una class action per ottenere risarcimento danni data l’elevata esposizione al rischio concreto. I dati aggregati violati permettono l’identificazione certa della persona e, soprattutto, la possibilità concreta di simulare l'identità del cliente per stipulare contratti, accedere a utenze esistenti, ricevere pagamenti fraudolenti, attuare truffe bancarie o SEPA.
Ringraziando, cordiali saluti,
S.L.
