PayPal ha subito per mesi una violazione dati che ha preso di mira il servizio di prestiti PayPal Working Capital. Non si tratta di allarmismo gratuito: alcuni clienti hanno visto comparire transazioni non autorizzate e hanno ricevuto la notifica che la password del loro account era stata reimpostata. La vicenda, come spesso accade, è fatta di tempi lunghi, comunicazioni formali e dettagli tecnici lasciati a mezzavia.
Cosa è successo a PayPal e quali info sono andate esposte
La società ha spiegato che un attore esterno ha ottenuto accesso ai sistemi legati a PayPal Working Capital a partire dal 1° luglio 2025, con l’intrusione che è proseguita fino al 12 dicembre 2025 quando PayPal ha individuato l’incidente e ha interrotto l’esposizione. La notifica ai clienti è datata 10 febbraio 2026, quindi la conferma ufficiale è arrivata quando l’emergenza era ormai chiusa da tempo. Nel comunicato PayPal parla di un errore nel processo di richiesta dei prestiti, citando una generica modifica al codice senza entrare nei dettagli tecnici. Risulta comunque chiaro che la finestra di sei mesi in cui l’attaccante ha potuto muoversi indisturbato è un elemento preoccupante per chi si occupa di sicurezza informatica.
Secondo la società, le informazioni potenzialmente esposte includono nome, indirizzo e mail, numero di telefono, indirizzo dell’attività, numero di previdenza sociale Social Security number e data di nascita. PayPal ha confermato che circa 100 clienti sono stati potenzialmente coinvolti e che per un numero molto ridotto di essi si sono effettivamente verificate transazioni non autorizzate, poi rimborsate.
Le contromisure di PayPal, la storia recente e cosa fare
PayPal ha riattivato le password degli account interessati e richiede ai clienti coinvolti di scegliere una nuova password al primo accesso successivo. Per limitare i danni è stato offerto a chi è stato colpito un servizio di monitoraggio del credito per due anni e supporto per il ripristino dell’identità tramite Equifax. Strumenti utili, che però non annullano il fatto che dati sensibili siano rimasti esposti per mesi. La comunicazione ufficiale segnala anche l’avvio di un’indagine interna e l’adozione di misure per impedire ulteriori accessi. Resta aperta però una discrepanza: un portavoce ha detto a Forbes che i sistemi principali dell’azienda non sono stati compromessi, mentre nello stesso avviso si parla di accesso non autorizzato ai sistemi. La lettura di questo punto richiede chiarimenti più precisi.
Questo incidente non è isolato. Nel 2023 un attacco di tipo credential stuffing aveva portato all’accesso non autorizzato a 34.942 account sfruttando credenziali riutilizzate. Le campagne di phishing contro PayPal non si contano: messaggi che imitano comunicazioni ufficiali, fatture false inviate da indirizzi legittimi e trappole telefoniche che chiedono di chiamare numeri controllati dagli attaccanti sono pratiche ricorrenti.
Le raccomandazioni fornite da PayPal valgono per tutti: usare credenziali uniche per ogni servizio, cambiare password e domande di sicurezza alla minima anomalia, non seguire link sospetti nelle e mail ma accedere direttamente al conto tramite browser e ricordare che PayPal non chiede mai nome utente password o codici monouso tramite telefono SMS o e mail. Meglio non sottovalutare segnali di allerta anche quando il numero di account compromessi sembra limitato. Un piccolo episodio oggi può trasformarsi in un problema molto più grande domani se le informazioni rimangono sul mercato nero.
