Italie : le Garante sanctionne WINDTRE de 1,7 million d'euros pour une fuite de données via ingénierie sociale
Italie : le Garante inflige 1,7 million d'euros à WINDTRE après une fuite orchestrée par ingénierie sociale
L'autorité italienne de protection des données (Garante per la protezione dei dati personali) a sanctionné l'opérateur télécom WINDTRE à hauteur de 1 715 600 euros. En cause : des pirates se faisant passer pour du support technique ont convaincu des opérateurs en boutique de leur ouvrir l'accès aux systèmes internes, exfiltrant les données personnelles de plus de 365 000 clients. Une affaire qui rappelle qu'aucune mesure technique ne protège contre une faille humaine mal anticipée.
Ce qui s'est passé
Selon l'enquête du Garante, rendue publique le 16 juillet 2026 mais actée dès le 14 mai par une décision interne (n°348), les attaquants ont usurpé l'identité d'agents de support technique pour obtenir la coopération de salariés en boutique. Une fois l'accès obtenu, ils ont lancé environ deux millions de requêtes séquentielles dans les bases clients de l'opérateur, un volume qui aurait dû déclencher une alerte bien plus tôt.
Résultat : les coordonnées personnelles de 365 000 clients ont été exfiltrées. Pour 41 359 d'entre eux, la fuite inclut des informations de paiement : factures postales, IBAN et numéros de carte bancaire partiellement masqués avec leur date d'expiration. WINDTRE avait notifié les deux violations en février 2025 ; il aura fallu plus d'un an pour que l'enquête aboutisse et que la sanction soit rendue publique.
Le Garante pointe des carences dans la gestion des identifiants d'accès et des certificats numériques, ainsi que des contrôles de sécurité internes incapables d'identifier des vulnérabilités qu'un audit plus poussé aurait détectées.
Pourquoi c'est important
Cette sanction illustre une lecture stricte de l'article 32 du RGPD, qui impose des mesures techniques et organisationnelles adaptées au risque : chiffrement, contrôle des accès, tests réguliers de résilience. Ici, ce n'est pas un défaut de chiffrement qui est en cause mais l'absence de garde-fous face à l'ingénierie sociale — un vecteur d'attaque qui contourne la technique en ciblant directement les collaborateurs.
La CNIL avait déjà publié un scénario type de violation via un prestataire, rappelant que la chaîne de notification à 72 heures et la documentation de la gestion de crise sont désormais des attendus systématiques des autorités. Le cas WINDTRE confirme cette tendance à l'échelle européenne : dans son rapport annuel 2025, la CNIL indiquait déjà que la cybersécurité concentrerait la moitié de ses contrôles en 2026, avec un accent particulier sur l'article 32.
Le décalage entre les faits (notifiés début 2025) et la sanction (rendue publique mi-2026) montre aussi que les autorités de contrôle instruisent ces dossiers sur des mois, sans que cela dispense les organisations de traiter l'incident comme critique dès sa détection.
Ce que ça change pour les organisations
Trois chantiers concrets se dégagent de ce dossier pour les DPO et RSSI :
Former les équipes en contact client — les boutiques, centres d'appels et supports techniques sont des cibles privilégiées de l'ingénierie sociale. Une procédure de vérification d'identité stricte avant tout accès à un système doit être documentée et testée, pas seulement affichée dans une charte.
Surveiller les volumes de requêtes anormaux — deux millions de requêtes séquentielles auraient dû déclencher une alerte automatisée bien avant l'exfiltration complète. Des seuils de détection sur les accès aux bases clients, avec alerte en temps réel, sont un prérequis de sécurité désormais attendu par les régulateurs, comme le rappelle le guide Leto sur la gestion des violations de données.
Segmenter et durcir la gestion des identifiants — le Garante cible explicitement les certificats numériques et les credentials comme point de faiblesse. Authentification forte, rotation des accès, et suppression immédiate des droits en cas de doute sur une session doivent être des réflexes opérationnels, pas des options.
Ce que Leto pense de cette décision
Cette affaire est un rappel utile : la conformité RGPD ne se limite pas à des politiques de chiffrement ou des clauses contractuelles avec les sous-traitants. Elle passe aussi par la résistance humaine aux tentatives de manipulation, souvent le maillon le plus sous-investi des programmes de sécurité. Une amende de 1,7 million d'euros pour un opérateur de la taille de WINDTRE reste supportable financièrement — mais le signal envoyé aux 365 000 clients concernés, eux, est difficile à réparer. Les organisations qui traitent des volumes similaires de données sensibles ont tout intérêt à auditer dès maintenant leurs procédures de vérification d'identité interne, avant qu'un incident ne les y contraigne.
Sources : DataBreaches.net, Federprivacy, Tech Times

