Lo scorso 27 ottobre 2025, il noto gruppo di arredamento italiano Poltronesofà è stato colpito da un grave attacco informatico di tipo ransomware, un evento che ha costretto l’azienda a notificare la violazione ai propri clienti in ottemperanza al Regolamento Europeo sulla Privacy (GDPR).
Secondo la comunicazione ufficiale inviata agli interessati, “soggetti non autorizzati” hanno violato i server del Gruppo, cifrando i file in essi conservati e rendendo di fatto inaccessibili le macchine virtuali ospitate. L’azienda assicura che, allo stato attuale, “non si registrano ulteriori situazioni di criticità connesse all’incidente occorso”, grazie all’implementazione di presidi di sicurezza aggiuntivi e alle azioni di rimedio messe in atto.
I dati potenzialmente esposti
Sulla base delle indagini tecniche finora condotte, Poltronesofà ha identificato due categorie di dati potenzialmente coinvolte:
- dati anagrafici, come nome, cognome e codice Fiscale;
- dati di contatto, come indirizzo postale, indirizzo e-mail e numero di telefono cellulare.
Fortunatamente, l’azienda esclude al momento che siano stati compromessi dati bancari o finanziari direttamente utilizzabili per transazioni economiche.
I rischi per la sicurezza degli utenti
Sebbene l’assenza di dati di pagamento diretto possa sembrare rassicurante, la combinazione di nome, cognome, codice fiscale e recapiti costituisce un “identikit digitale” estremamente prezioso per i criminali informatici. Queste informazioni, infatti, sono la base perfetta per orchestrare sofisticate campagne di phishing e social engineering altamente personalizzate.
Poltronesofà stessa, nella sua mail, ammette che l’incidente
potrebbe comportare dei rischi quali uso improprio o divulgazione dei Suoi dati di contatto, tentativi di phishing o truffe, tentativi di accessi non autorizzati.
È fondamentale sottolineare che, al momento, l’azienda “non ha evidenza di un utilizzo illecito dei Suoi dati”, ma il monitoraggio prosegue.
Le contromisure da adottare
Di fronte a una violazione di questa portata, la trasparenza e la rapidità d’azione sono importanti. Se nella Poltronesofà in una nota ha affermato che ha già isolato i sistemi compromessi e condotto un’analisi per ricostruire l’incidente, ecco cosa possono fare gli utenti:
- prestare massima attenzione e diffidenza verso comunicazioni inattese, come email, Sms o chiamate che richiedano informazioni personali, pagamenti o azioni urgenti;
- verificare sempre il mittente ufficiale e, in caso di dubbio, non cliccare su link o allegati;
- creare oassword robuste e uniche, cambiandola anche di tanto in tanto;
- segnalare attività sospette, scrivendo all’e-mail dedicata incidentresponse@poltronesofa.com.
Quadro normativo e diritti degli interessati
Questo caso si inserisce nel solco tracciato dal GDPR, che impone obblighi stringenti in caso di “violazione dei dati personali”. L’articolo 34 del Regolamento specifica l’obbligo di informare gli interessati quando la violazione è suscettibile di presentare un rischio elevato per i loro diritti e libertà. La tempestiva comunicazione di Poltronesofà non è quindi solo un atto di trasparenza, ma un preciso obbligo di legge.
La mail ricorda inoltre ai clienti la possibilità di esercitare i propri diritti in materia di privacy: accesso, rettifica, cancellazione, limitazione del trattamento, opposizione e portabilità dei dati. È anche possibile inoltrare un reclamo formale all’Autorità Garante per la protezione dei dati personali.
