Informativa ai sensi dell’art. 34 del Regolamento (UE) 2016/679

Sofinter S.p.A. pubblica il presente avviso per informare tutti i propri stakeholders — dipendenti, ex dipendenti, collaboratori, clienti, fornitori e partner — di un incidente di sicurezza informatica verificatosi tra il 20 e il 24 gennaio 2026, che ha comportato una violazione dei dati personali ai sensi del Regolamento (UE) 2016/679 (“RGPD”).

Cosa è successo

Tra il 20 e il 24 gennaio 2026, soggetti esterni malintenzionati hanno condotto un attacco informatico mirato contro l’infrastruttura tecnologica di Sofinter. L’attacco ha sfruttato credenziali di accesso compromesse per penetrare nei sistemi e ha determinato: (a) la cifratura temporanea dell’infrastruttura di virtualizzazione VMware ESXi/vSphere presso la sede di Gallarate; (b) l’esfiltrazione (copia illecita) di una quantità significativa di dati conservati sui server aziendali.

In data 6 febbraio 2026, Sofinter ha appreso che il gruppo criminale responsabile (PayoutsKing) ha pubblicato sul dark web un annuncio di rivendita dei dati sottratti.

L’incidente è stato notificato al Garante per la protezione dei dati personali ai sensi dell’art. 33 RGPD.

Quali dati sono stati coinvolti

L’analisi forense condotta da una società specializzata ha stabilito che i dati potenzialmente coinvolti comprendono: dati anagrafici e di contatto; copie di documenti di identità (carte d’identità, passaporti, codici fiscali); dati relativi al rapporto di lavoro e alla retribuzione, inclusi i dati bancari (IBAN); dati di pagamento; dati relativi alla salute; dati relativi all’appartenenza sindacale e alle opinioni politiche. Non tutti i soggetti risultano coinvolti per tutte le categorie di dati; la natura e l’ampiezza dell’esfiltrazione dipende dai dati specificamente conservati nei sistemi per ciascun individuo.

Cosa abbiamo fatto

Sofinter ha adottato un piano di risposta all’incidente articolato nelle seguenti misure: ripristino completo dell’infrastruttura tecnologica (completato il 28 gennaio 2026); blocco immediato delle credenziali compromesse e reset delle password di tutti gli utenti del dominio; potenziamento dei sistemi di sicurezza informatica (autenticazione a più fattori, gestione degli accessi privilegiati, hardening dei sistemi, soluzioni di backup immutabile, replica in cloud); monitoraggio continuativo del dark web; segnalazione obbligatoria all’ACN/CSIRT-Italia ai sensi della normativa NIS2 (20

febbraio 2026); denuncia-querela ai Carabinieri (9 febbraio 2026); comunicazione diretta agli interessati identificati tramite posta elettronica; nomina di una società specializzata (FTI Consulting) per l’analisi forense dell’incidente.

Cosa puoi fare se ritieni di essere interessato

Ti raccomandiamo di prestare attenzione a eventuali comunicazioni inattese — via email, SMS o telefono — che ti richiedano dati personali, credenziali o pagamenti, e di monitorare i tuoi account online e bancari per rilevare eventuali operazioni anomale. Se ritieni di aver subito un danno o hai dubbi sulla tua situazione specifica, puoi contattarci all’indirizzo indicato di seguito.

I tuoi diritti

Puoi esercitare i diritti previsti dagli artt. 15-22 RGPD (tra cui accesso, rettifica e cancellazione dei dati) scrivendo a Sofinter S.p.A. agli indirizzi indicati di seguito o consultando la sezione dedicata alla privacy sul sito www.sofinter.it. Hai inoltre il diritto di proporre reclamo al Garante per la protezione dei dati personali (www.gpdp.it).Contatti

Per qualsiasi domanda relativa alla presente informativa o all’esercizio dei tuoi diritti:

● Sofinter S.p.A. — Via Conservatorio 17, 20122 Milano (MI) ● PEC: sofinter@legalmail.it ● Email: cybersecurity@sofinter.it

● Sito web: www.sofinter.it

Ci scusiamo per il disagio e per qualsiasi preoccupazione che questo incidente possa aver causato. Siamo impegnati a garantire la massima trasparenza e a proteggere i dati personali di tutti i nostri interlocutori.

Sofinter S.p.A