Economia

Il caso Eataly: senza tutela i dati dei clienti del Made in Italy

I grandi fondi d'investimento sventolano policy di facciata sulla "sostenibilità", i dati degli italiani finiscono nel dark web

Il caso dell’attacco hacker a Eataly non è solo un incidente tecnico, ma il sintomo di un collasso sistemico. Mentre i grandi fondi d’investimento sventolano policy di facciata sulla “sostenibilità”, i dati degli italiani finiscono nel dark web. Ma oggi lo Stato ha iniziato a rispondere con sanzioni record. La festa per i giganti della finanza potrebbe essere finita.

L’attacco hacker a Eataly

Il cibo è sacro, l’eccellenza è il nostro vanto, ma i dati dei consumatori sembrano essere diventati l’ultima ruota del carro per chi gestisce i campioni del Made in Italy. L’attacco hacker che ha colpito l’infrastruttura e-commerce di Eataly è un caso paradigmatico: mette a nudo la fragilità digitale di un brand globale e, soprattutto, le contraddizioni di chi lo controlla.

Perché un fondo milionario che punta tutto sull’espansione globale non riesce a blindare i server di casa propria? La comunicazione inviata da Eataly ai clienti, un capolavoro di equilibrismo semantico. L’azienda dichiara che, dalle verifiche con i partner di cybersecurity, “non risulta un download massivo dei dati”, pur ammettendo che l’attacco ha “esposto le informazioni presenti negli account”.

La “spiegazione”

In termini informatici, questa distinzione appare un guscio vuoto. Se un database è esposto a una violazione, il rischio che i dati siano stati copiati, fotografati o acquisiti tramite tecniche di “scraping” che non lasciano tracce di download massivo è altissimo.

Dire che non c’è stato un “download” serve a rassicurare i mercati, ma per il consumatore il danno è già fatto: nomi, cognomi, codici fiscali e – dato più sensibile di tutti – lo storico degli acquisti sono fuori controllo.

Il fondo Investindustrial, che controlla il 52% di Eataly un tempo in mano ad Oscar Farinetti, sbandiera orgogliosamente la sua “Responsible Investment Policy”. In questo documento, il fondo dichiara di integrare la sicurezza dei dati e la responsabilità informatica in ogni fase dell’investimento, esigendo che le società in portafoglio abbiano controlli rigorosi sulla cybersecurity.

L’allarme per i consumatori

Tuttavia, la realtà dei fatti racconta oggi una storia allarmante per i consumatori. Mentre il fondo spinge sull’espansione negli Stati Uniti e sui nuovi format per cercare marginalità, la sicurezza IT sembra essere stata trattata come un costo da comprimere piuttosto che come un asset da proteggere. Come non indicarla una vittoria della facciata sulla sostanza? Si scrivono policy per attrarre capitali Esg, ma non si investe abbastanza per evitare che i dati di un cliente che compra un vino “premium” finiscano nelle mani di un criminale.

Si muove lo Stato

Se le aziende sembrano distratte, lo Stato italiano ha iniziato a battere i colpi che fanno male. Il 30 marzo scorso, il Garante della Privacy ha inflitto una sanzione record di 31,8 milioni di euro a Intesa Sanpaolo, uno dei più grandi istituti finanziari del Paese. Il motivo? Una “cecità” durata 26 mesi: un dipendente infedele ha effettuato 6.600 interrogazioni non autorizzate al database dei clienti senza che un solo alert interno scattasse.

Questa sanzione non è solo una multa, è un messaggio politico chiaro: lo Stato non tollera più chi dichiara di essere sicuro ma non monitora l’interno dei propri sistemi. E Eataly ora rientra nel perimetro della direttiva NIS2, che classifica la distribuzione alimentare come “settore critico”.

Significa che se le autorità accerteranno mancanze gravi – come la mancata implementazione dell’autenticazione a più fattori – le sanzioni potrebbero essere altrettanto devastanti.

Perché i dati di Eataly sono così preziosi?

Perché permettono il cosiddetto social engineering personalizzato. Sapere che un utente ha acquistato una specifica bottiglia di vino o un’acqua arricchita prodotta a Scorzé permette ai truffatori di confezionare email o messaggi WhatsApp talmente precisi da essere indistinguibili da quelli ufficiali. Una truffa che cita un tuo acquisto reale ha una probabilità di successo enormemente superiore a un phishing generico.

In questo modo, la fiducia che il consumatore ha riposto nel marchio Eataly viene usata come un grimaldello per scardinarne la sicurezza digitale. Ora, i cittadini possono non essere più inermi spettatori. Con la riforma degli articoli 840-bis e seguenti del Codice di Procedura Civile, le vittime di un data breach possono oggi unirsi in una class action.

La vera novità è la cosiddetta clausola “only-benefits”: i consumatori possono aderire all’azione legale anche dopo che la responsabilità dell’azienda è stata accertata dal tribunale. Non è più una lotta solitaria e costosa. Oggi è possibile chiedere il risarcimento del danno con un semplice click su una piattaforma ministeriale, rendendo il costo della negligenza molto più alto di qualsiasi multa del Garante.

Perché non esiste tutela del Made in Italy se non si tutelano i cittadini che lo comprano

Se un fondo d’investimento milionario non garantisce standard di sicurezza di altissimo livello, sta svendendo la reputazione del Paese per un punto di Ebitda in più. Oggi lo Stato, tramite il Garante e l’Agenzia per la Cybersicurezza Nazionale, ha iniziato a dare risposte dure. La partita tra Eataly, le autorità e i consumatori è appena iniziata, ma il verdetto dovrebbe essere chiaro.

La sicurezza dei dati non più un optional da sacrificare sull’altare del profitto. Clienti invitati alla massima allerta. Se arriva uno sconto “troppo bello per essere vero”, da ricordare che i gusti alimentari potrebbero non essere solo un segreto personale.