Come molti altri utenti, in data 08/10/2025 ho ricevuto l’email di Dolomiti Energia S.p.A. relativa all’ attacco informatico verificatosi il 13 settembre 2025.
In sintesi:
• sono stati compromessi dati sensibili e altamente identificativi: nome, cognome, indirizzo, codice fiscale, indirizzo email, telefono, codice del contatore, informazioni contrattuali, IBAN,
• non è stato fornito il nome del fornitore responsabile, la natura dell’attacco e dove sono finiti questi dati;
• c’è stato un ritardo nella comunicazione agli interessati, che è avvenuta a quasi un mese dall’evento,
• non c'è stata nessuna indicazione sui diritti dell’interessato né sui rimedi disponibili, nessun risarcimento proposto ai clienti coinvolti.
Alla luce della gravità della violazione, della ritardata comunicazione, della sottovalutazione del rischio reale e del potenziale danno economico, reputazionale e personale, rimangono aperti i seguenti quesiti:
1. Qual è il nome del fornitore coinvolto nella violazione?
2. Quali dati personali sono stati compromessi, con precisione e dettaglio?
3. Qual è stata la natura dell'attacco e quali dati sono stati effettivamente violati e con quali modalità?
4. Perché la comunicazione è stata inviata solo dopo quasi un mese dall'accaduto?
5. Quali misure di sicurezza erano attive al momento della violazione?
6. Quali azioni correttive sono state implementate successivamente all’incidente?
7. Sono state effettuate analisi del rischio o valutazioni d’impatto (DPIA)?
8. Sono previsti risarcimenti per i danni materiali e morali subiti o potenziali, ai sensi dell’art. 82 GDPR?
9. Qual è il nome e contatto diretto del DPO responsabile del trattamento dei dati personali?
Vorrei sapere se, visto l’impatto collettivo, Altroconsumo possa intervenire per:
1. verificare se Dolomiti Energia stia adempiendo agli obblighi previsti dal GDPR, per avere quante più informazioni possibili in merito all’accaduto e per implementare strumenti efficaci di prevenzione;
2. predisporre un’azione legale o segnalazione al Garante per ottenere trasparenza, responsabilità e rimedi, con l’opportunità di accedere a controlli incrociati per valutare l’effettivo utilizzo illecito di dati personali (ad esempio nel dark web);
3. promuovere una class action per ottenere risarcimento danni data l’elevata esposizione al rischio concreto. I dati aggregati violati permettono l’identificazione certa della persona e, soprattutto, la possibilità concreta di simulare l'identità del cliente per stipulare contratti, accedere a utenze esistenti, ricevere pagamenti fraudolenti, attuare truffe bancarie o SEPA.
Ringrazio e porgo cordiali saluti.
M.C.
