Eataly, il noto sito di commercio elettronico del settore enograstronomico italiano, ha subito un cyber attacco alle sue infrastrutture di eCommerce. E il settore alimentare è critico come indicato nell’allegato II della NIS2.

Secondo Dario Fadda, esperto di cyber sicurezza e collaboratore di Cybersecurity360, “dal mio punto di vista, il rischio reputazionale per l’azienda è immediato, ma quello più importante è sistemico”.

Ecco quali dati di Eataly sono nel mirino dei criminal hacker: “alla luce delle verifiche svolte con i nostri partner di cyber security, sebbene non risulta un download dei dati, è possibile che questo attacco abbia esposto i dati personali (anagrafici / di contatto) presenti nel suo account (come nome, cognome, data di nascita, codice fiscale, indirizzi e recapiti) e i dati degli acquisti effettuati”. Lo riporta una mail aziendale agli utenti colpiti.

“L’incidente che ha coinvolto Eataly evidenzia come i cyber criminali siano sempre più interessati ai dati personali dei clienti, anche in assenza di informazioni finanziarie o dati di pagamento”, commenta Pierluigi Paganini, analista di cyber security e Ceo Cybhorus. Ecco perché.

Cyber attacco a Eataly: quali i dati a rischio

Il cyber attacco a Eataly, rilevato contro l’infrastruttura dove è ospitato il suo eCommerce, non ha comportato un download dei dati. Gli utenti hanno ricevuto la comunicazione via email con le indicazioni per attivare misure extra di sicurezza.

Ma l’attacco hacker espone comunquele informazioni personali presenti negli account. Informazioni che, anche prive di dati finanziari completi, possono servire per perpetrare tentativi di phishing mirati, truffe personalizzate o comunicazioni fasulle a scopo fraudolento, realizzate attingendo agli ordini o ai dati personali dei clienti, per renderle più credibili e avere successo.

“Secondo quanto emerso finora, i dati sottratti potrebbero includere principalmente informazioni anagrafiche e di contatto, che possono comunque avere un valore significativo per attività di phishing mirato, frodi e campagne di social engineering“, conferma Paganini: “Per gli attaccanti, queste informazioni rappresentano una base preziosa per costruire comunicazioni credibili e aumentare le probabilità di successo di attacchi successivi, soprattutto dopo che la notizia dell’attacco sia di dominio pubblico”.

Non solo reputazione: il danno vero

“Quando un attacco colpisce un brand ad alta fiducia come Eataly, il danno non riguarda solo i dati esposti, ma la percezione di sicurezza dell’intero ecosistema di vendita e pagamento“, spiega Dario Fadda.

“In questi casi, contano molto la tempestività della disclosure, la chiarezza su cosa sia stato davvero esfiltrato e, soprattutto, le misure tecniche e organizzative adottate dopo l’incidente”, continua Fadda.

“Dai contenuti emersi, il punto critico non sembra tanto il ‘furto massivo’ in sé, quanto la capacità di intercettare dati tramite eventuali vulnerabilità nella piattaforma di registrazione utenti online. Casi di questo tipo non danno l’esatta misura del danno compiuto perché difficilmente si scoprirà da quanto tempo tale vulnerabilità era esposta, dettaglio che aumenta sicuramente la dimensione dell’incidente”, mette in evidenza Dario Fadda.

Come proteggersi

Per mitigare il rischio phishing e frodi mirate, occorre avere consapevolezza dei rischi. Ma non basta.

“Per Eataly, oltre alla gestione tecnica dell’incidente, la sfida sarà preservare la fiducia dei clienti e dimostrare trasparenza nella comunicazione. Anche quando non vengono compromessi dati finanziari, una violazione può generare impatti reputazionali, legali e operativi che si protraggono nel tempo. Per i clienti potenzialmente coinvolti il rischio principale non sembra essere quello di addebiti fraudolenti sulle carte di pagamento, poiché al momento non risultano compromessi dati finanziari”, avverte Paganini.

Da parte sua, Eataly invita gli utenti a prestare massima attenzione a email sospette o a eventualità inconsuete nell’utilizzo dei propri account.

Per gli utenti che avevano la pessima abitudine di replicare la stessa password su più servizi, l’invito è cambiare tutte le password, rendendole uniche, oltre a usare un password manager.

“È infatti consigliabile prestare particolare attenzione a email, SMS, messaggi WhatsApp o telefonate che utilizzino informazioni personali per apparire credibili. I criminali potrebbero sfruttare i dati sottratti per simulare comunicazioni di Eataly, corrieri, istituti bancari o altri servizi noti. È opportuno diffidare di richieste urgenti, non cliccare su link ricevuti in messaggi inattesi e verificare sempre l’autenticità delle comunicazioni attraverso i canali ufficiali. Inoltre, l’uso dell’autenticazione a più fattori e di password uniche per i servizi online contribuisce a ridurre il rischio di compromissioni successive”, conclude Paganini.