Un attacco informatico ha colpito l’infrastruttura che ospita l’e-commerce di Eataly, costringendo l’azienda a mettere in campo una serie di misure straordinarie nel giro di poche ore. La notizia è arrivata direttamente ai clienti attraverso una comunicazione ufficiale, nella quale il gruppo specializzato nei prodotti enogastronomici italiani spiega cosa è successo e quali precauzioni sono state adottate per limitare i danni.
Cosa è successo all’e-commerce di Eataly
Dalle verifiche svolte insieme ai partner di cybersecurity, non risulta che ci sia stato un download dei dati. Resta però la possibilità, e questo Eataly lo mette nero su bianco, che l’attacco abbia esposto alcune informazioni personali contenute negli account dei clienti. Si parla di dati anagrafici e di contatto: nome, cognome, data di nascita, codice fiscale, indirizzi e recapiti, oltre allo storico degli acquisti effettuati sulla piattaforma.
C’è però un punto che l’azienda tiene a chiarire fin da subito. Per policy di sicurezza, Eataly non conserva i dati completi delle carte di credito dei clienti. Significa, in parole povere, che gli attaccanti non possono in alcun modo aver avuto accesso a quei numeri, semplicemente perché non sono presenti nei sistemi colpiti.
Anche sul fronte delle credenziali la situazione sembra sotto controllo. La password di accesso al sito viene memorizzata con tecniche di cifratura avanzata, in linea con le best practice del settore. I tecnici hanno confermato che non è possibile risalire alla password in chiaro, nemmeno partendo dall’infrastruttura compromessa. Detto questo, il consiglio resta quello di buon senso: meglio cambiarla, e farlo anche su tutti gli altri siti dove eventualmente si fosse usata la stessa.
I rischi per i clienti e le misure adottate
Le possibili conseguenze di un episodio del genere riguardano soprattutto i tentativi di phishing e l’utilizzo non autorizzato dei dati. Per questo Eataly invita i propri clienti a tenere alta l’attenzione, come del resto andrebbe sempre fatto, davanti a email sospette o a situazioni insolite nell’uso dei propri account. Un messaggio strano, un link che non torna, una richiesta inaspettata: sono tutti campanelli d’allarme da non sottovalutare.
Sul piano operativo, l’azienda è intervenuta in fretta. È stato effettuato il log out forzato da tutti gli account connessi, e si è agito su ogni elemento che, a partire dall’infrastruttura colpita, avrebbe potuto consentire l’accesso ai dati dell’e-commerce. In più, l’incidente è stato segnalato alle autorità competenti, nel rispetto della normativa NIS2 e del GDPR.
La comunicazione inviata ai clienti vale, a tutti gli effetti, come notifica agli interessati ai sensi dell’articolo 34 del GDPR. Una formalità che però ha un peso preciso: vuol dire che l’azienda riconosce un potenziale rischio per i diritti e le libertà delle persone coinvolte e sceglie di informarle direttamente, senza giri di parole.
Le attività di verifica tecnica, fa sapere Eataly, sono ancora in corso. Il gruppo si è impegnato a tenere aggiornati i clienti sugli sviluppi, mano a mano che il quadro si farà più chiaro. Per dubbi o richieste di informazioni, l’azienda ha messo a disposizione due indirizzi: legal@eataly.it per le questioni generali e dpo@eataly.it per scrivere direttamente al Data Protection Officer.