Twee ongeoorloofde toegangen en de exfiltratie – dat wil zeggen de “opzettelijke, ongeoorloofde en geheime overdracht“- van persoonlijke gegevens van ruim 365 duizend klanten. Dit zijn de redenen waarom de Privacy Guarantor een boete van 1.715.600 euro heeft opgelegd aan WindTre SpA vanwege de ernstige tekortkomingen in de beveiliging van bedrijfssystemen die hebben geleid tot een ongecontroleerde gegevensstroom.

Bij ruim 40 duizend klanten ging het bij de exfiltratie ook om informatie over de gebruikte betaalmiddelen, zoals het poststrookje, het IBAN, de creditcard waarvan het nummer deels verborgen is en de vervaldatum.

Het onderzoek van de Garant begon nadat WindTre twee inbreuken op persoonsgegevens had gemeld die zich in februari 2025 hadden voorgedaan. Volgens wat door de Autoriteit was vastgesteld, slaagden de hackers erin in te breken in de bedrijfssystemen met behulp van een social engineering-techniek: ze deden zich voor als ondersteunende technici en overtuigden de exploitanten van twee winkels om toegang tot de interne systemen te autoriseren, waardoor ze klantinformatie konden stelen.

Tijdens het onderzoek kwamen verschillende kritieke problemen op het gebied van het beveiligingsbeheer aan het licht: de Garant ontdekte met name tekortkomingen in de bescherming van toegangsgegevens en digitale certificaten. Bovendien waren de veiligheidscontroles van het bedrijf niet grondig genoeg en werden geen kwetsbaarheden geïdentificeerd die met grondiger controles hadden kunnen worden ontdekt. Juist deze gebreken maakten het mogelijk om illegaal toegang te krijgen tot de systemen en de daaruit voortvloeiende diefstal van gegevens.

Om deze redenen heeft de Garant de schending van de principes van gegevensintegriteit en vertrouwelijkheid vastgesteld, evenals van de veiligheidsverplichtingen vastgelegd door de AVG. Naast de financiële boete zal Wind Tre de bescherming van inloggegevens en digitale certificaten moeten versterken, veiligere tools voor wachtwoordbeheer moeten invoeren en de cyberbeveiligingsprocedures moeten verbeteren om het risico op nieuwe aanvallen te verminderen.

Ten slotte heeft de Autoriteit, volgens wat in het persbericht staat, bij het bepalen van het bedrag van de boete rekening gehouden met enkele elementen in het voordeel van het bedrijf, waaronder de tijdige melding van overtredingen, de corrigerende maatregelen die na de cyberaanvallen zijn genomen en de medewerking die tijdens het gehele onderzoek is verleend.

Een verhaal dat ons eraan herinnert hoe belangrijk het is om aandacht te besteden aan uw persoonlijke gegevens. Hoewel de verantwoordelijkheid voor de bescherming ervan primair ligt bij de bedrijven die ze verzamelen en opslaan, benadrukken incidenten als deze hoe een enkele fout in beveiligingssystemen gevolgen kan hebben voor honderdduizenden mensen, waardoor ze worden blootgesteld aan het risico van oplichting, phishing en identiteitsdiefstal.