Un attacco informatico ha colpito Leroy Merlin il 4 dicembre 2025: sarebbero rimasti coinvolti i dati personali legati ai programmi fedeltà di diverse migliaia di clienti. Dalle informazioni disponibili, l’attacco sarebbe avvenuto in Francia e non riguarderebbe i clienti italiani.
Secondo le prime informazioni, non risultano compromessi dati bancari né password degli account, ma sono stati sottratti nomi, numeri di telefono, indirizzi email e indirizzi postali.
Leroy Merlin vittima di attacco informatico
Si tratta di informazioni sufficienti per alimentare campagne di phishing altamente credibili, frodi personalizzate e schemi di ingegneria sociale che sfruttano la percezione di affidabilità di uno fra i marchi più solidi e conosciuti nell’universo del fai da te e dei prodotti per la casa e il giardino.
Gli esperti ricordano infatti che un attacco non necessita di violare circuiti bancari per generare danni concreti: spesso basta il furto di dati anagrafici per consentire a cybercriminali di ricostruire profili dettagliati delle vittime ed effettuare contatti fraudolenti riservati, credibili e difficilmente riconoscibili.
Leroy Merlin ha informato la Commissione Nazionale per l’Informatica e le Libertà Civili della Francia, come previsto dalla normativa e sta collaborando con le autorità per circoscrivere la violazione. L’azienda ha inoltre avvisato direttamente gli utenti coinvolti e pubblicato linee guida per evitare truffe, raccomandando la massima prudenza nel gestire comunicazioni inattese, link sospetti e richieste di informazioni.
Altri cyberattacchi
Il caso non resta isolato. Il gruppo Mulliez era già stato bersaglio di attacchi ai danni di Auchan nei mesi precedenti, mentre la stessa Francia è stata scossa dall’annuncio, da parte di France Travail, di un rischio di divulgazione dei dati personali di circa 1,6 milioni di giovani iscritti ai servizi per l’impiego. Il rapporto annuale della Cnil pubblicato nell’aprile 2025 mostra un quadro ancora più allarmante: nel giro di dodici mesi, il numero di violazioni che hanno coinvolto più di un milione di persone è raddoppiato, passando da circa venti a un totale di quaranta attacchi riusciti.
È ormai noto che la cybersecurity non è più un tema esclusivamente tecnico, ma una questione strategica che riguarda la governance delle imprese, la tutela dei consumatori e la sicurezza pubblica.
L’attacco che ha travolto Leroy Merlin arriva, inoltre, in un momento in cui il dibattito pubblico italiano sulla protezione dei dati è più acceso che mai. Da alcune settimane la cyber-sicurezza è al centro del dibattito pubblico in Italia: il ministro della Difesa Guido Crosetto spinge per rendere le Forze Armate italiane più efficienti sotto il profilo della difesa digitale, in autunno è stato presentato il Ddl Minardo volto a permettere all’Italia di poter competere con maggiore prontezza nel campo della cybersicurezza e, da ultimo, l’ammiraglio Giuseppe Cavo Dragone ha parlato dell’ipotesi di compiere cyber-attacchi preventivi nell’ambito della guerra ibrida.
Leroy Merlin e il caso Louvre
Chi di sicurezza informatica ferisce, di sicurezza informatica perisce, per parafrasare il vecchio adagio: di recente Leroy Merlin Francia ha preso in giro, tramite una campagna marketing realizzata con l’agenzia Betc Paris, il museo Louvre per il fatto che le telecamere interne avessero una password semplicissima da indovinare (“Louvre”, appunto). Per alcuni giorni, i consumatori francesi hanno potuto ottenere uno sconto del 10% su una selezione di telecamere di sicurezza inserendo il codice “Louvre”. La campagna marketing ha ironizzato sul tema delle password deboli, ma oggi tale ironia stride con l’immagine di un’azienda costretta a fronteggiare una violazione ben più seria.
