Postel Spa è stata sanzionata dal Garante Privacy per un caso di violazione dei dati personali riconducibile alla nota e già segnalata vulnerabilità dei propri database.

Ad agosto 2023 la società ha subìto un attacco informatico di tipo ransomware, in seguito al quale il server e alcune postazioni di lavoro sono andate in tilt, con successiva fuga dei dati personali di circa 25mila utenti. La vulnerabilità del sistema era stata segnalata dal produttore del software e dall´Agenzia per la cybersicurezza nazionale ma L´Authority ha riscontrato l´assenza di interventi e aggiornamenti da parte dell´azienda, che quindi non ha assolto a quanto previsto dalla normativa vigente in materia di protezione dei dati personali. La società, inoltre, ha sì trasmesso, come dovuto, la segnalazione di data breach all´Autorità ma senza fornire informazioni esaustive né in merito a quanto accaduto né sui provvedimenti adottati per mitigare o eliminare la condizione di vulnerabilità, provocando così un prolungamento delle tempistiche necessarie allo svolgimento delle opportune verifiche da parte del Garante. In seguito a quanto accertato, l´Authority ha quindi comminato a Postel una sanzione di 900mila euro, disponendo altresì l´obbligo per l´azienda stessa di svolgere verifiche straordinarie sulla sicurezza dei database con conseguente predisposizione di un piano di gestione e correzione delle criticità.