Il 29 gennaio 2025, il fornitore incaricato della gestione del data center della Società, azienda multinazionale di riconosciuto prestigio (di seguito “Fornitore IT”), ci ha informato di aver rilevato un attacco informatico da parte di un terzo non autorizzato (di seguito “Hacker”), identificato poi in un criminale informatico (o in un gruppo di criminali informatici).
L'Hacker ha forzato l’accesso ai servers di Fashion Box S.p.A. attraverso un attacco brute force. Un attacco brute force è un metodo di hacking che cerca di decifrare password, credenziali di accesso e chiavi crittografiche utilizzando la potenza di calcolo per provare tutte le soluzioni teoricamente possibili fino a trovare quella corretta.
L'Hacker sembra essere riuscito, nonostante le molteplici misure di sicurezza messe in atto, a copiare ed esfiltrare svariati documenti dai server, provocando una perdita di riservatezza di alcune informazioni contenute all'interno dei sistemi aziendali.
L'attacco informatico sembra aver interessato solo i server di Fashion Box S.p.A., mentre le infrastrutture delle consociate estere non sono state colpite. Tuttavia, in qualità di società madre di un gruppo di aziende dislocate in diversi paesi europei e non, la Società può entrare in contatto e trattare non solo informazioni relative a soggetti interessati residenti in Italia, ma anche quelle appartenenti a soggetti residenti all’estero. Tale trattamento può essere effettuato, a seconda dei casi, in qualità Titolare o di Responsabile del trattamento dei dati ai sensi del Regolamento europeo generale sulla protezione dei dati n. 2016/679 (“GDPR”).

Da quando l'incidente è stato rilevato, Fashion Box S.p.A. e il Fornitore IT stanno lavorando sinergicamente per adottare tutte le misure necessarie al fine di contenere gli effetti dell’attacco informativo, analizzarne l'origine e rafforzare i sistemi aziendali di protezione delle informazioni aziendali.
Parimenti, in ottemperanza agli obblighi imposti dal GDPR, abbiamo prontamente notificato l'incidente di sicurezza alle autorità per la protezione dei dati personali in Italia e in alcuni ulteriori paesi coinvolti (ad oggi: Austria, Francia, Germania, Olanda, Spagna, Svezia, Svizzera e Regno Unito). Inoltre, Fashion Box S.p.A. ha presentato denuncia all’autorità giudiziaria preposta.
I teams di Fashion Box S.p.A. preposti alla gestione dell’incidente sono attivamente impegnati a lavorare per risolvere l’attacco informatico il prima possibile. Inoltre, con cadenza regolare, la Società rivede i propri sistemi informatici, introducendo costantemente aggiornamenti e miglioramenti.

Per qualsiasi chiarimento o dubbio puoi contattare il responsabile della protezione dei dati di Fashion Box S.p.A. al seguente indirizzo: dpo@replay.it.