Bacheca dei reclami

Spett.le Dolomiti Energia S.p.A., sono titolare del conto contrattuale n. 60492696. In data 8 ottobre 2025 ho ricevuto la vostra comunicazione relativa all’attacco informatico del 13 settembre 2025, che ha comportato la compromissione di dati personali contenuti nei documenti contrattuali con la vostra Società. Dalla comunicazione emergono criticità significative: • risultano compromessi dati identificativi e sensibili (nome, cognome, indirizzo di fornitura, codice fiscale, e-mail, numero di telefono, codice contatore, informazioni contrattuali e IBAN); • non è stato indicato il nome del fornitore coinvolto, la natura dell’attacco né la destinazione dei dati sottratti; • la notifica agli interessati è avvenuta con un ritardo di quasi un mese rispetto alla data dell’attacco; • non sono state fornite indicazioni sui diritti dell’interessato, sui rimedi previsti dal GDPR né alcuna proposta di risarcimento. Desidero richiamare l’attenzione sul fatto che, come riportato da l’Adige in data 10 ottobre 2025 (“Dolomiti Energia, clienti informati tardi sull’attacco hacker: sì al risarcimento”), l’Adoc del Trentino ha pubblicamente evidenziato la fragilità del sistema di protezione dei dati aziendali e il ritardo ingiustificato nella comunicazione ai clienti, ritenendo tale condotta meritevole di risarcimento ai sensi del Regolamento UE 2016/679 (GDPR). Alla luce di quanto sopra, chiedo formalmente di ricevere: 1. Il nome del fornitore o soggetto terzo coinvolto nella violazione; 2. L’elenco preciso dei dati personali compromessi; 3. La natura e la modalità dell’attacco informatico; 4. Le ragioni del ritardo nella comunicazione agli interessati; 5. Le misure di sicurezza in essere al momento della violazione; 6. Le azioni correttive adottate successivamente all’incidente; 7. Copia o sintesi della valutazione d’impatto (DPIA) o analisi del rischio successiva; 8. Indicazioni sull’eventuale previsione di risarcimenti ai sensi dell’art. 82 GDPR; 9. Il nome e il contatto diretto del vostro Responsabile della protezione dei dati (DPO). Richiesta di risarcimento Considerata la violazione della mia privacy, l’esposizione al rischio concreto di utilizzo illecito dei miei dati personali e il ritardo nella comunicazione, sono con la presente a richiedere il formale risarcimento dei danni subiti, titolo di danno morale, di tempo perso e di potenziale pregiudizio economico, che allo stato mi limito a quantificare in € 1.000,00, in linea con quanto sostenuto dalle associazioni dei consumatori; resta chiaramente salva ogni integrazione successiva. Resto in attesa di un vostro riscontro entro 15 giorni dal ricevimento della presente, trascorsi i quali mi riservo di: • presentare formale reclamo al Garante per la protezione dei dati personali ai sensi dell’art. 77 GDPR; • segnalare l’accaduto alle associazioni dei consumatori (in particolare Adoc) per valutare azioni collettive o legali a tutela dei miei diritti. Distinti saluti, MATTIA BOTTEON All.to: mail Dolomiti del 8/10/2025

Buongiorno, volevo segnalare la poca tempestività di notifica da parte di Dolomiti energia riguardo al furto dei dati personali. Nel tempo trascorso dal furto al avviso effettivo ho ricevuto svariate telefonate dove l'operatore fingendo di essere un dipendente di Dolomiti energia cercava di farmi apportare modifiche alla fornitura, conoscendo molti dettagli sulla mia fornitura e dati personali.

Buongiorno, io e mio marito abbiamo ricevuto una comunicazione mail in data 8 ottobre u.s. da Dolomiti energia riguardo ad un attacco informatico subito da un loro fornitore il 13 settembre che he ha interessato dati personali contenuti in documenti relativi al rapporto contrattuale fra Dolomiti Energia e i suoi clienti. Viene specificato nella mail che " Dalle prime indagini svolte, è emerso che l’evento ha comportato una perdita di confidenzialità di alcuni tuoi dati personali (es. nome, cognome, indirizzo di fornitura, codice fiscale, mail, telefono, codice del contatore, informazioni relative al contratto, iban etc.) presenti all’interno dei predetti documenti contrattuali. I dati relativi ai documenti di identità (es. numero carta identità o passaporto) o a credenziali di accesso non sono stati interessati dall’evento. Abbiamo immediatamente messo in atto, anche attraverso il fornitore, le misure necessarie per contenere l’attacco, mitigare i potenziali impatti e impedire l’ulteriore accesso ai dati e abbiamo notificato l’evento all’Autorità Garante per la Protezione dei Dati Personali." Facciamo presente che il ritardo della comunicazione della violazione dei dati personali dei clienti è significativo e ingiustificato. chiedo come mi debba attivare per la richiesta di risarcimento per i danni subiti ai sensi dell’art. 77 e 34 del Regolamento UE 2016/679 (GDPR) che impone al titolare del trattamento dei dati di informare tempestivamente gli interessati qualora sia presente un rischio elevato per i loro diritti e le loro libertà. Altroconsumo si attiverà per qualche azione a difesa dei consumatori? cordiali saluti

Come molti altri utenti, in data 08/10/2025 ho ricevuto una email da parte di Dolomiti Energia S.p.A. relativa all’ attacco informatico verificatosi il 13 settembre 2025. Con la mail sono stata informata della compromissione di alcuni dei miei dati personali: nome, cognome, indirizzo, codice fiscale, indirizzo email, telefono, codice del contatore, informazioni contrattuali, IBAN; MA -non è stato specificato QUALI dati siano stati effettivamente violati; -non è stata spiegata la natura dell’attacco; -non è stata fornita indicazione su dove siano finiti i dati; -non è stato spiegato il motivo dell'eccessivo RITARDO nella comunicazione, che è avvenuta a quasi un mese dall’evento, -non sono state fornite informazioni sui diritti dell’interessato. Vista la gravità della violazione, della ritardata comunicazione, della sottovalutazione del rischio reale e del potenziale danno economico, reputazionale e personale, vorrei sapere -Quali dati personali sono stati effettivamente compromessi? - Perché la comunicazione è stata inviata dopo quasi un mese dall'accaduto? - Quali azioni correttive sono state prese? - Sono previsti risarcimenti per i danni materiali e morali, effettivi o potenziali, ai sensi dell’art. 82 GDPR? Visto che i dati violati permettono l’identificazione certa della mia persona, c'è il concreto rischio che qualcuno li possa usare per stipulare contratti, attivare utenze, attuare truffe bancarie. Per questo motivo chiedo l'interessamento di Altroconsumo per tutelare i miei diritti di cliente consumatore ed eventualmente promuovere una class action per richiedere il risarcimento dei danni derivanti dall’elevata esposizione al rischio di utilizzo illecito dei dati personali. Resto in attesa di un vostro riscontro. D.F.

In quanto nuovo cliente di Dolomiti Energia, sono profondamente preoccupato dalla comunicazione riguardante la "perdita di confidenzialità" dei dati personali dei vostri clienti, in quanto abbiamo affidato i nostri dati a voi e al vostro fornitore da voi scelto. Tale fatto, la modalità in cui verrà gestita la problematica ed il supporto ai clienti colpiti costuitirà sicuramente elemento sulla scelta del fornitore futuro. Vi chiedo dunque di chiarire in maniera celere e dettagliata i seguenti aspetti. Comunicarmi quali dei miei dati elencati (nome, cognome, indirizzo, CF, mail, telefono, IBAN, ecc.) sono stati effettivamente compromessi nel mio caso specifico. Se questi dati sono potenzialmente sufficienti, se usati da malintenzionati, per poter aprire nuove forniture a mio nome. Nel caso questo avvenisse, quale supporto e tutela offrite alla vostra clientela.

Spett.le Dolomiti Energia S.p.A., sono titolare del conto contrattuale n. 61421901. In data 8 ottobre 2025 ho ricevuto la vostra comunicazione relativa all’attacco informatico del 13 settembre 2025, che ha comportato la compromissione di dati personali contenuti nei documenti contrattuali con la vostra Società. Dalla comunicazione emergono criticità significative: • risultano compromessi dati identificativi e sensibili (nome, cognome, indirizzo di fornitura, codice fiscale, e-mail, numero di telefono, codice contatore, informazioni contrattuali e IBAN); • non è stato indicato il nome del fornitore coinvolto, la natura dell’attacco né la destinazione dei dati sottratti; • la notifica agli interessati è avvenuta con un ritardo di quasi un mese rispetto alla data dell’attacco; • non sono state fornite indicazioni sui diritti dell’interessato, sui rimedi previsti dal GDPR né alcuna proposta di risarcimento. Desidero richiamare l’attenzione sul fatto che, come riportato da l’Adige in data 10 ottobre 2025 (“Dolomiti Energia, clienti informati tardi sull’attacco hacker: sì al risarcimento”), l’Adoc del Trentino ha pubblicamente evidenziato la fragilità del sistema di protezione dei dati aziendali e il ritardo ingiustificato nella comunicazione ai clienti, ritenendo tale condotta meritevole di risarcimento ai sensi del Regolamento UE 2016/679 (GDPR). Alla luce di quanto sopra, chiedo formalmente di ricevere: 1. Il nome del fornitore o soggetto terzo coinvolto nella violazione; 2. L’elenco preciso dei dati personali compromessi; 3. La natura e la modalità dell’attacco informatico; 4. Le ragioni del ritardo nella comunicazione agli interessati; 5. Le misure di sicurezza in essere al momento della violazione; 6. Le azioni correttive adottate successivamente all’incidente; 7. Copia o sintesi della valutazione d’impatto (DPIA) o analisi del rischio successiva; 8. Indicazioni sull’eventuale previsione di risarcimenti ai sensi dell’art. 82 GDPR; 9. Il nome e il contatto diretto del vostro Responsabile della protezione dei dati (DPO). Richiesta di risarcimento Considerata la violazione della mia privacy, l’esposizione al rischio concreto di utilizzo illecito dei miei dati personali e il ritardo nella comunicazione, richiedo un risarcimento forfettario di € 1.000,00 a titolo di danno morale, di tempo perso e di potenziale pregiudizio economico, in linea con quanto sostenuto dalle associazioni dei consumatori. Resto in attesa di un vostro riscontro entro 15 giorni dal ricevimento della presente, trascorsi i quali mi riservo di: • presentare formale reclamo al Garante per la protezione dei dati personali ai sensi dell’art. 77 GDPR; • segnalare l’accaduto alle associazioni dei consumatori (in particolare Adoc) per valutare azioni collettive o legali a tutela dei miei diritti. Distinti saluti, CLARA A. LOBINA All.to: mail Dolomiti del 8/10/2025

A: DOLOMITI ENERGIA 14/10/2025 Spett. Dolomiti Energia Sono titolare del contratto FAMILY ENERGIA WEB MONORARIA Conto contrattuale: 61637132 Oggetto: Segnalazione violazione dati personali Dolomiti Energia – richiesta di intervento come molti altri clienti, in data 8 ottobre 2025 ho ricevuto da Dolomiti Energia S.p.A. la comunicazione relativa all’attacco informatico del 13 settembre 2025. Dalla stessa emergono alcune criticità rilevanti: • sono stati compromessi dati sensibili e altamente identificativi (nome, cognome, indirizzo, codice fiscale, e-mail, numero di telefono, codice contatore, informazioni contrattuali e IBAN); • non è stato indicato il nome del fornitore coinvolto, la natura dell’attacco né la destinazione dei dati sottratti; • la comunicazione è avvenuta con un ritardo di quasi un mese rispetto all’evento; • non sono state fornite informazioni sui diritti dell’interessato, sui rimedi disponibili né proposte di risarcimento per i clienti coinvolti. Alla luce della gravità della violazione, del ritardo nella comunicazione, della sottovalutazione del rischio reale e del potenziale danno economico, reputazionale e personale, desidero sottoporre i seguenti quesiti: 1. Qual è il nome del fornitore o soggetto terzo coinvolto nella violazione? 2. Quali dati personali, in modo preciso e dettagliato, sono stati compromessi? 3. Qual è stata la natura e la modalità dell’attacco informatico? 4. Per quale motivo la comunicazione agli interessati è stata inviata solo dopo quasi un mese? 5. Quali misure di sicurezza erano in essere al momento della violazione? 6. Quali azioni correttive sono state adottate successivamente all’incidente? 7. È stata effettuata una valutazione d’impatto (DPIA) o analisi del rischio successiva? 8. Sono previsti risarcimenti per i danni materiali e morali, effettivi o potenziali, ai sensi dell’art. 82 GDPR? 9. Qual è il nome e il contatto diretto del DPO responsabile della protezione dei dati personali? Considerato l’impatto collettivo di questa violazione, chiedo cortesemente se Altroconsumo possa: 1. verificare se Dolomiti Energia stia adempiendo agli obblighi previsti dal GDPR, richiedendo tutte le informazioni utili e promuovendo una maggiore trasparenza; 2. valutare un’azione legale o una segnalazione al Garante Privacy, volta a ottenere chiarimenti, responsabilità e rimedi concreti, anche mediante controlli sull’eventuale diffusione dei dati (ad esempio nel dark web); 3. promuovere una class action per richiedere il risarcimento dei danni derivanti dall’elevata esposizione al rischio di utilizzo illecito dei dati personali. I dati violati consentono infatti una identificazione certa delle persone coinvolte e possono essere utilizzati per falsificare identità, stipulare contratti fraudolenti, accedere a utenze, o realizzare truffe bancarie e SEPA. Resto in attesa di un vostro riscontro e di eventuali indicazioni operative. In mancanza di un riscontro entro 15 giorni dal ricevimento della presente, non esiterò ad adire le vie legali a tutela dei miei diritti.

Come molti altri il giorno 08/10/2025 ho ricevuto comunicazione relativa al furto di dati subito dall'azienda. Considero il ritardo della comunicazione della violazione dei dati personali significativo e ingiustificato. Un ritardo che merita un risarcimento per i danni subiti ai sensi dell’art. 77 e 34 del Regolamento UE 2016/679 (GDPR) che impone al titolare del trattamento dei dati di informare tempestivamente gli interessati qualora sia presente un rischio elevato per i loro diritti e le loro libertà. Pertanto immagino di avere diritto ad un risarcimento.

Come molti altri utenti, in data 08/10/2025 ho ricevuto l’email di Dolomiti Energia S.p.A. relativa all’ attacco informatico verificatosi il 13 settembre 2025. In sintesi: • sono stati compromessi dati sensibili e altamente identificativi: nome, cognome, indirizzo, codice fiscale, indirizzo email, telefono, codice del contatore, informazioni contrattuali, IBAN, • non è stato fornito il nome del fornitore responsabile, la natura dell’attacco e dove sono finiti questi dati; • c’è stato un ritardo nella comunicazione agli interessati, che è avvenuta a quasi un mese dall’evento, • non c'è stata nessuna indicazione sui diritti dell’interessato né sui rimedi disponibili, nessun risarcimento proposto ai clienti coinvolti. Alla luce della gravità della violazione, della ritardata comunicazione, della sottovalutazione del rischio reale e del potenziale danno economico, reputazionale e personale, rimangono aperti i seguenti quesiti: 1. Qual è il nome del fornitore coinvolto nella violazione? 2. Quali dati personali sono stati compromessi, con precisione e dettaglio? 3. Qual è stata la natura dell'attacco e quali dati sono stati effettivamente violati e con quali modalità? 4. Perché la comunicazione è stata inviata solo dopo quasi un mese dall'accaduto? 5. Quali misure di sicurezza erano attive al momento della violazione? 6. Quali azioni correttive sono state implementate successivamente all’incidente? 7. Sono state effettuate analisi del rischio o valutazioni d’impatto (DPIA)? 8. Sono previsti risarcimenti per i danni materiali e morali subiti o potenziali, ai sensi dell’art. 82 GDPR? 9. Qual è il nome e contatto diretto del DPO responsabile del trattamento dei dati personali? Vorrei sapere se, visto l’impatto collettivo, Altroconsumo possa intervenire per: 1. verificare se Dolomiti Energia stia adempiendo agli obblighi previsti dal GDPR, per avere quante più informazioni possibili in merito all’accaduto e per implementare strumenti efficaci di prevenzione; 2. predisporre un’azione legale o segnalazione al Garante per ottenere trasparenza, responsabilità e rimedi, con l’opportunità di accedere a controlli incrociati per valutare l’effettivo utilizzo illecito di dati personali (ad esempio nel dark web); 3. promuovere una class action per ottenere risarcimento danni data l’elevata esposizione al rischio concreto. I dati aggregati violati permettono l’identificazione certa della persona e, soprattutto, la possibilità concreta di simulare l'identità del cliente per stipulare contratti, accedere a utenze esistenti, ricevere pagamenti fraudolenti, attuare truffe bancarie o SEPA. Ringrazio e porgo cordiali saluti. M.C.

: DOLOMITI ENERGIA Il giorno 08.10.2025 ho ricevuto una mail da Dolomiti Energia con oggetto " Comunicazione importante riguardo la sicurezza dei tuoi dati personali ". Ho stipulato un contratto " mitica 24 energia bioraria" La mail mi informava del furto di dati personali compreso l'IBAN, presenti nel contratto avvenuto il 13/09/2025 a causa di un attacco informatico ad un loro fornitore. Chiedo come intenda agire concretamente Dolomiti Energia oltre all'invio della comunicazione. Vista la gravità della situazione e vista l'informazione pervenuta con notevole ritardo,vorrei sapere se è previsto un risarcimento danni . Ad oggi la situazione è realmente risolta ? Spero che Dolomiti Energia tuteli al meglio i diritti dei propri clienti. Cordiali saluti M.E. II