Spett. Dolomiti Energia,
Sono titolare del contratto MITICA GAS 24 WEB sopra specificato.
come molti altri clienti, in data 8 ottobre 2025 ho ricevuto da Dolomiti Energia S.p.A. la comunicazione relativa all’attacco informatico del 13 settembre 2025.
Dalla stessa emergono alcune criticità rilevanti:
• sono stati compromessi dati sensibili e altamente identificativi (nome, cognome, indirizzo, codice fiscale, e-mail, numero di telefono, codice contatore, informazioni contrattuali e IBAN);
• non è stato indicato il nome del fornitore coinvolto, la natura dell’attacco né la destinazione dei dati sottratti;
• la comunicazione è avvenuta con un ritardo di quasi un mese rispetto all’evento;
• non sono state fornite informazioni sui diritti dell’interessato, sui rimedi disponibili né proposte di risarcimento per i clienti coinvolti.
Alla luce della gravità della violazione, del ritardo nella comunicazione, della sottovalutazione del rischio reale e del potenziale danno economico, reputazionale e personale, desidero sottoporre i seguenti quesiti:
1. Qual è il nome del fornitore o soggetto terzo coinvolto nella violazione?
2. Quali dati personali, in modo preciso e dettagliato, sono stati compromessi?
3. Qual è stata la natura e la modalità dell’attacco informatico?
4. Per quale motivo la comunicazione agli interessati è stata inviata solo dopo quasi un mese?
5. Quali misure di sicurezza erano in essere al momento della violazione?
6. Quali azioni correttive sono state adottate successivamente all’incidente?
7. È stata effettuata una valutazione d’impatto (DPIA) o analisi del rischio successiva?
8. Sono previsti risarcimenti per i danni materiali e morali, effettivi o potenziali, ai sensi dell’art. 82 GDPR?
9. Qual è il nome e il contatto diretto del DPO responsabile della protezione dei dati personali?
Considerato l’impatto collettivo di questa violazione, chiedo cortesemente se Altroconsumo possa:
1. verificare se Dolomiti Energia stia adempiendo agli obblighi previsti dal GDPR, richiedendo tutte le informazioni utili e promuovendo una maggiore trasparenza;
2. valutare un’azione legale o una segnalazione al Garante Privacy, volta a ottenere chiarimenti, responsabilità e rimedi concreti, anche mediante controlli sull’eventuale diffusione dei dati (ad esempio nel dark web);
3. promuovere una class action per richiedere il risarcimento dei danni derivanti dall’elevata esposizione al rischio di utilizzo illecito dei dati personali.
I dati violati consentono infatti una identificazione certa delle persone coinvolte e possono essere utilizzati per falsificare identità, stipulare contratti fraudolenti, accedere a utenze, o realizzare truffe bancarie e SEPA.
Resto in attesa di un vostro riscontro e di eventuali indicazioni operative.
In mancanza di un riscontro entro 15 giorni dal ricevimento della presente, non esiterò ad adire le vie legali a tutela dei miei diritti.
In mancanza di un riscontro entro 15 giorni dal ricevimento della presente, non esiterò ad adire le vie legali a tutela dei miei diritti.
