In data 8 ottobre 2025 ho ricevuto comunicazione ufficiale da Dolomiti Energia S.p.A. relativa a un attacco informatico occorso a un loro fornitore il 13 settembre 2025, con perdita di confidenzialità di dati personali presenti in documenti contrattuali.
La comunicazione indica tra i dati coinvolti nome, cognome, indirizzo di fornitura, codice fiscale, email, telefono, codice contatore, informazioni contrattuali e IBAN, escludendo documenti di identità e credenziali di accesso.
Chiedo che Dolomiti Energia fornisca con urgenza maggiore trasparenza su: identità del fornitore, natura dell’attacco, effettiva esfiltrazione o eventuale pubblicazione dei dati, periodo di esposizione, numero stimato di interessati e misure tecniche/organizzative preesistenti e correttive adottate, come previsto dalle migliori prassi informative in caso di violazione. Sollecito inoltre indicazioni operative concrete di mitigazione per gli interessati, oltre ai generici avvisi sul phishing, considerato l’ampio set di dati anagrafici e contrattuali potenzialmente esposti.
Vorrei sapere se, visto l’impatto collettivo, Altroconsumo possa intervenire per: 1. verificare se Dolomiti Energia stia adempiendo agli obblighi previsti dal GDPR, per avere quante più informazioni possibili in merito all’accaduto e per implementare strumenti efficaci di prevenzione; 2. predisporre un’azione legale o segnalazione al Garante per ottenere trasparenza, responsabilità e rimedi, con l’opportunità di accedere a controlli incrociati per valutare l’effettivo utilizzo illecito di dati personali (ad esempio nel dark web); 3. promuovere una class action per ottenere risarcimento danni data l’elevata esposizione al rischio concreto. I dati aggregati violati permettono l’identificazione certa della persona e, soprattutto, la possibilità concreta di simulare l'identità del cliente per stipulare contratti, accedere a utenze esistenti, ricevere pagamenti fraudolenti, attuare truffe bancarie o SEPA.
Ringraziando, cordiali saluti,
M.B.
