Skip to content
Risorse

Sicurezza dei dati

Fughe di dati e DAC8

Perché DAC8 aggiunge un database cripto sensibile a un contesto già segnato da fughe di massa, configurazioni errate e corruzione interna.

Aggiornato il

Risposta breve

Il dibattito su DAC8 non può presumere che i database pubblici o semi-pubblici restino perfettamente protetti. Nessun grande database dovrebbe essere considerato permanentemente sicuro: enti pubblici, appaltatori, fornitori di software e insider creano tutti punti di accesso. La storia recente mostra l’opposto della promessa di sicurezza: fughe di massa, fornitori compromessi, accessi interni deviati.

DAC8 è particolarmente sensibile perché combina identità civile, attività cripto e valore economico. Una singola fuga può trasformare un database di comunicazione fiscale in uno strumento di targeting criminale. In 18 mesi, più di 100 milioni di record di cittadini francesi sono stati compromessi da database gestiti dallo Stato o dai suoi appaltatori, e il legame tra fughe di dati e violenza è ormai affermato dalle autorità: la violazione di Waltio ha servito direttamente almeno tre sequestri di persona.

Fatti chiave

8.613

notifiche di violazione alla CNIL in 12 mesi (+45%)

24 / giorno

circa una fuga di dati all'ora

12,2M

persone colpite (+53%)

Forum Incyber / Hexatrust / CNIL, Barometro 2026 delle violazioni dei dati personali (sett. 2024 - sett. 2025).

Un database di altissimo valore

Un database DAC8 contiene dati identitari e dati cripto. Questa combinazione è più sensibile di un semplice elenco fiscale: incrocia identità civile, attività cripto e valore economico.

Per un aggressore, può aiutare a stabilire le priorità tra le vittime, preparare la coercizione o arricchire dati già disponibili altrove.

Fughe di massa dello Stato in Francia (2024-2026)

DataEnteVittimeDati esposti
Gen. 2024Viamedis + Almerys33MNIR (numero di previdenza sociale) + identità
Mar. 2024France Travail43MNIR, indirizzo, telefono, email
Fine 2025Cegedim Santé15MIdentità + 169.000 cartelle mediche
Gen. 2026FICOBA (DGFiP)1,2MDati bancari (RIB, IBAN), identità del titolare del conto
Apr. 2026Mega-fuga governativa19MIndirizzi, email, numeri di telefono
Mag. 2026Almerys (nuova)15,4MNIR, contratti, assicuratori
Mag. 2026DGSE (furto fisico)n/dPlanimetrie di commissariati + accesso alle videocamere di sorveglianza di Parigi

Il problema dell’anello più debole

DAC8 si basa su amministrazioni, sistemi, appaltatori e agenti diversi. La sicurezza dell’insieme dipende dalla resistenza dell’anello più debole. La vera domanda non è se le amministrazioni intendano proteggere i dati, ma se ogni sistema connesso, ogni fornitore e ogni punto di accesso umano reggerà nel tempo.

Una singola fuga può bastare a trasformare un obbligo di comunicazione in uno strumento di identificazione criminale.

L’accesso interno conta quanto l’hacking

Il rischio non si limita a un hacker esterno. Un database amministrativo può essere esposto tramite accesso interno abusivo, configurazione errata, un appaltatore compromesso o un’estrazione illegittima.

Più un database è condiviso, più punti di accesso umani e tecnici crea. DAC8 e CARF moltiplicano i luoghi in cui i dati sensibili possono circolare, e quindi aumentano questa superficie di esposizione.

Quando la fuga di dati crea l’attacco: lo schema documentato

Caso FFTir (ottobre 2025). 250.000 tiratori sportivi e 750.000 ex titolari di licenza esposti sul dark web. La Procura di Parigi ha confermato che “questi dati sono stati usati per commettere furti con effrazione o tramite usurpazione di identità (uso di falsa qualità)”: tra 20 e 30 furti con scasso / home-jacking nel giro di poche settimane.

Caso Waltio (gennaio 2026). Piattaforma francese di calcolo fiscale cripto: circa 50.000 utenti esposti (email, guadagni/perdite, indicatori di valore, identità). Gli hacker hanno dichiarato che questi dati hanno servito almeno 3 sequestri di persona, per un totale di oltre 17 milioni di dollari estorti. La Procura di Parigi ha aperto un’indagine.

Corruzione interna e precedenti statali

  • Ghalia C. (DGFiP, gen. 2026): un agente della DIRCOFI di Bobigny è stato incarcerato per aver consultato e trasmesso a dei criminali indirizzi e profili fiscali, prendendo di mira specificamente gli investitori in criptovalute. Lo schema DAC8 riproduce esattamente le condizioni sfruttate, ma a livello europeo.
  • Equalize (Italia, 2024-2026): agenti di polizia corrotti hanno avuto accesso a database fiscali, di polizia e bancari per esfiltrare oltre un milione di record, rivenduti o usati per ricatti. DAC8 moltiplica questi punti di ingresso per 27.
  • NRA Bulgaria (2019): i dati fiscali di 5-7 milioni di cittadini, quasi l’intera popolazione adulta, esfiltrati con tecniche “di base”. Basta che una sola delle 27 amministrazioni sia l’anello debole.

Le Parisien, 26 nov. 2025 (FFTir) e gen. 2026 (Ghalia C.) · Cybernews, 9 feb. 2026 e Forbes, 14 feb. 2026 (Waltio) · Reuters / Euronews (Equalize) · Wikipedia & Reuters, 16 luglio 2019 (NRA Bulgaria).

La specificità cripto

I dati cripto trapelati possono restare utili a lungo. Un indirizzo pubblico può continuare a rivelare movimenti futuri se l’utente non riesce a compartimentare o migrare in modo pulito i propri fondi.

La fuga di dati non si limita quindi al passato: può creare una sorveglianza permanente. Per i dati cripto, la conseguenza può andare oltre il furto di identità: può consentire un targeting fisico.

Pagine correlate