11 milioni di clienti Iliad nel mirino: un hacker vende i loro dati sul dark web, ma l’azienda tace

SIM card Iliad con flusso di dati IMEI e contratti che fuoriescono verso uno spazio digitale d'ombra, accanto a uno smartphone acceso.

Da una parte un operatore telco con 11 milioni di clienti che non conferma nulla, dall'altra un threat actor che mette in vendita un dataset apparentemente coerente. Tra le due posizioni si apre il vero terreno di gioco: gli obblighi di accertamento previsti dal GDPR e dalla direttiva NIS2, che non aspettano la certezza dell'attacco. Quanto può durare il silenzio quando i dati di milioni di utenti circolano già fuori dal perimetro aziendale?

Il 27 maggio 2026 un account specializzato in threat intelligence ha segnalato la comparsa, su un forum del dark web, di un annuncio di vendita relativo a un presunto dataset riconducibile a Iliad Italia, operatore mobile e fisso attivo nel nostro Paese dal 2018 con oltre 11 milioni di utenze. Il threat actor sosterrebbe di disporre di record clienti, dati di registrazione dispositivo e informazioni di abbonamento riferiti a utenti italiani. Al momento, l'operatore non ha rilasciato comunicati ufficiali sulla vicenda e nessun campione tecnico del dataset risulta pubblicamente verificabile.

📦 Cosa conterrebbe il dataset

Secondo la segnalazione pubblicata sui canali di threat intelligence, l'archivio messo in vendita includerebbe tre categorie distinte di informazioni:

  • anagrafica clienti del servizio telefonico, presumibilmente comprensiva di nome, cognome, indirizzo, contatti e identificativi del rapporto contrattuale
  • dati di registrazione dei dispositivi associati alla SIM, che in genere includono IMEI dell'apparecchio, modello, eventuale IMSI della scheda e cronologia di attivazione
  • informazioni di abbonamento, tariffe sottoscritte, opzioni attive, stato della linea ed eventuali servizi accessori

Il valore reale di un archivio simile non risiede nei singoli dati anagrafici, che in larga parte circolano già da anni in vari mercati grigi, ma nella combinazione tra anagrafica, identificativo del dispositivo e stato del contratto. È proprio questa tripletta a rendere possibili gli attacchi mirati definiti tailored: un criminale può presentarsi al call center come legittimo titolare, fornire dati di contesto credibili e ottenere operazioni dispositive critiche.

⚠️ Il rischio concreto del SIM swap

Lo scenario più pericoloso è quello del cosiddetto SIM swap: il trasferimento illegittimo di un numero telefonico su una nuova SIM controllata dall'attaccante. Una volta ottenuto il controllo del numero, il criminale può intercettare i codici di autenticazione a due fattori basati su SMS e accedere a conti bancari, profili social e servizi di posta elettronica della vittima. La pericolosità degli attacchi tailored sta proprio qui: la vittima non riceve un generico tentativo di phishing, ma comunicazioni costruite su informazioni reali, percepite come legittime perché contengono dati che solo l'operatore dovrebbe conoscere.

⚖️ Cosa prevede il GDPR

L'articolo 33 del Regolamento UE 2016/679 impone al titolare del trattamento di notificare al Garante ogni violazione dei dati personali entro 72 ore dalla conoscenza del fatto. Quando il rischio per i diritti e le libertà degli interessati è elevato, l'articolo 34 prescrive anche una comunicazione diretta agli utenti coinvolti, con linguaggio chiaro e indicazioni operative su come proteggersi.

L'assenza di un comunicato ufficiale dell'operatore non equivale automaticamente a una smentita. Può significare che le verifiche interne sono ancora in corso o che la rivendicazione non ha trovato riscontro nei log aziendali. Tuttavia, la sola pubblicizzazione di un dataset apre comunque obblighi di accertamento e tracciamento documentale in capo al titolare, che deve essere in grado di dimostrare di aver attivato controlli proporzionati alla segnalazione. Il provvedimento del Garante n. 1577499/2021 ha chiarito i contenuti minimi della comunicazione agli interessati in caso di violazione confermata.

🇪🇺 I precedenti del gruppo Iliad in Europa

Non si tratta del primo episodio che coinvolge il marchio Iliad nel panorama europeo. Nell'ottobre 2024 le controllate francesi Free SAS e Free Mobile, parte dello stesso gruppo, hanno subito un'intrusione che ha portato all'esfiltrazione di oltre 24 milioni di record cliente, comprensivi di codici IBAN. Nel 2025 la CNIL ha sanzionato il gruppo con 42 milioni di euro complessivi, distribuiti tra Free SAS (15 milioni) e Free Mobile (27 milioni), in una delle multe più rilevanti mai erogate in Francia per un singolo episodio di violazione.

Nel marzo 2026 la casa madre francese è inoltre finita nei leak board del gruppo ransomware ALP-001, che ha rivendicato un'ulteriore esfiltrazione di dati. Sul fronte italiano, il Garante per la protezione dei dati personali aveva già sanzionato Iliad Italia per 800.000 euro nel luglio 2020, individuando criticità nelle modalità di accesso dei dipendenti ai dati di traffico telefonico e nel periodo di conservazione delle informazioni.

🛡️ Il quadro normativo: GDPR e NIS2

Le sanzioni potenziali per un breach confermato dovuto a misure di sicurezza inadeguate possono arrivare fino al 4% del fatturato annuo globale del gruppo. A questo si aggiunge la direttiva NIS2, recepita in Italia, che classifica gli operatori di comunicazioni elettroniche come soggetti essenziali e introduce un secondo binario sanzionatorio per inadempimenti di security governance e di notifica degli incidenti.

Lo schema ricorrente negli incidenti del comparto telco europeo è il vendor di terza parte — sistemi CRM, billing, contact center esternalizzati — come anello debole rispetto alle infrastrutture core dell'operatore. Il Garante mantiene un'attività ispettiva costante sulle telco con maggior volume di utenti, e il recepimento della NIS2 ha alzato gli standard obbligatori di sicurezza per l'intero settore.

🔍 Come distinguere una rivendicazione vera da una truffa

Nel valutare segnalazioni di questo tipo, gli analisti di sicurezza guardano alla convergenza di tre indicatori:

  • la pubblicazione di un campione tecnico di mille o più record completi, con pattern coerenti rispetto al database originale
  • la coerenza dei metadati, dello schema delle colonne e dei formati interni dell'operatore
  • la reputazione del threat actor sul forum di pubblicazione e la sua storia di rivendicazioni verificate

In assenza di almeno due di questi tre elementi, statisticamente è alta la probabilità che si tratti di un'aggregazione da breach precedenti spacciata per attacco diretto, oppure di una truffa interna al mercato criminale.

📌 Le misure precauzionali per gli utenti

Indipendentemente dall'esito delle verifiche sull'incidente, alcune misure restano valide per qualunque cliente del servizio. La logica è quella della riduzione della superficie di attacco: agire prima che si materializzi l'eventuale danno.

  • attivare l'autenticazione a due fattori basata su app dedicate o chiavi hardware FIDO2, evitando i codici via SMS che restano vulnerabili al SIM swap
  • verificare regolarmente l'area cliente dell'operatore per controllare modifiche recenti, operazioni dispositive, cambi di contatto o servizi accessori non riconosciuti
  • diffidare di comunicazioni inattese, via SMS o chiamata, che chiedano di confermare dati personali, codici o di cliccare link promozionali
  • monitorare l'estratto conto bancario per addebiti SEPA sospetti e attivare avvisi su ogni operazione
  • segnalare attività anomale al servizio clienti dell'operatore e, in caso di sospetta sostituzione SIM, sporgere denuncia presso la Polizia Postale

#iliad #databreach #simswap #nis2 #gdpr

Articoli correlati

Torna in alto