Il 5 maggio 2025, a seguito di approfondite analisi tecniche, è stato accertato che un incidente di sicurezza ha comportato una violazione di dati personali presenti nei sistemi informativi del Gruppo doValue, ai sensi del Regolamento (UE) 2016/679.

In particolare, nonostante le misure di sicurezza organizzative e tecniche da noi implementate, le evidenze raccolte indicano che soggetti non autorizzati hanno ottenuto un accesso illecito ad alcuni sistemi informatici della nostra organizzazione e hanno esfiltrato dati presenti nei sistemi da noi usati per lo svolgimento delle attività di gestione e recupero crediti e d’informazioni commerciali. Tale accesso, in ogni caso, è a oggi cessato. 

Pertanto, con riguardo ai debitori intestatari di una pratica di recupero crediti gestita da doValue o ai soggetti censiti nelle nostre banche dati d’informazioni commerciali (nonché relativamente ai soggetti con cui doValue intrattiene rapporti contrattuali connessi all’erogazione di servizi di gestione del credito), è possibile che dei soggetti terzi non autorizzati abbiano avuto accesso a dati personali relativi a tali categorie d’interessati. 

Stante quanto sopra, ci siamo prontamente attivati per rimediare alla violazione e attenuarne gli effetti negativi, implementando le seguenti misure:

• Notifica della violazione al Garante Privacy.
• Proposizione di denuncia/querela all’autorità giudiziaria.
• Attivazione dei nostri protocolli di gestione degli incidenti.
• Messa in sicurezza degli account con privilegi amministrativi.
• Creazione di nuovi account amministrativi sicuri, gestiti attraverso strumenti specializzati per il controllo degli accessi riservati.
• Blocco dell’utilizzo di applicazioni di gestione remota non essenziali e rafforzamento delle restrizioni geografiche per l'accesso ai sistemi aziendali.
• Potenziamento dei sistemi di rilevamento e difesa informatica, con l’installazione di strumenti di monitoraggio avanzati sui dispositivi aziendali.
• Messa in sicurezza degli elementi tecnici coinvolti nell’attacco, mediante interventi di configurazione e protezione dedicati.
• Invio di apposita comunicazione ai soggetti per conto dei quali vengono trattati i dati personali oggetto di violazione.

Precisiamo che l’evento sopra descritto e le misure di mitigazione e rimedio da noi implementate non hanno inficiato la capacità aziendale di continuare a svolgere le proprie attività di gestione del credito in conformità agli impegni presi con le proprie mandanti.

Dall’evento di cui sopra, come anticipato, è derivata una perdita di confidenzialità dei dati esfiltrati, che potrebbero essere usati da soggetti non autorizzati per finalità difformi da quelle per cui tali dati sono stati originariamente raccolti. In particolare, è possibile che terzi non autorizzati tentino di adoperare tali dati per compiere azioni di c.d. ‘ingegneria sociale’ e realizzare frodi. Nell’ambito del nostro monitoraggio, il 3.7.2025 è stata rilevata la pubblicazione nel ‘dark web’ di annunci di messa in vendita dei dati esfiltrati.

In questa sede, pertanto, richiamiamo l’attenzione dei soggetti rientranti nelle sopra menzionate categorie sulla necessità di prestare la massima cautela con riguardo a eventuali comunicazioni ricevute e con le quali dovesse venire richiesto di effettuare transazioni finanziarie e/o fornire informazioni personali, in quanto potrebbero derivare da un tentativo di frode. Pertanto, in caso di ricezione di tale tipo di comunicazioni e qualora l’interlocutore faccia riferimento a pratiche di gestione del credito gestite da doValue, raccomandiamo di accertare sempre l’effettiva autenticità e la provenienza delle stesse e la coerenza degli estremi di pagamento forniti (per esempio verificando l’attendibilità del mittente e contattando gli uffici di doValue ai recapiti ufficiali presenti nel nostro sito Internet e/o nelle comunicazioni scritte da noi ricevute nel contesto delle attività di recupero crediti, nonché, in caso di procedure giudiziali, anche prendendo contatti con il legale incaricato).

Altre raccomandazioni a tutela dei dati personali includono:
diffidare da telefonate, e-mail e/o messaggi connessi al rilascio d’informazioni riservate: potrebbe infatti trattarsi di strategie per spingere il destinatario a fornire informazioni e dati personali senza rifletterci troppo;
tenere a mente che PIN password, dati bancari e della carta di credito non dovrebbero mai essere comunicati a sconosciuti. È importante tenere presente che amministrazioni pubbliche, banche e aziende fornitrici di carte di credito conoscono già determinate informazioni (numero di conto o numero della carta, ecc.) e non dovrebbero chiedere quelle informazioni che, di solito, esse stesse invitano a mantenere riservate (PIN, password, codici di autorizzazione, ecc.).

Ulteriori accorgimenti volti a proteggersi da tentativi di frode sono reperibili sul sito Internet del Garante Privacy, alla seguente pagina informativa: https://www.garanteprivacy.it/temi/cybersecurity.

Nel rammaricarci per la vicenda sopra descritta, restiamo a disposizione per ogni necessità; a tale fine, il nostro team dedicato è reperibile ai seguenti contatti:

   Posta ordinaria:
   Viale dell'Agricoltura 7, 37135 - Verona;

     E-mail: dbinfo@dovalue.it

Sottolineiamo che la cybersecurity e la protezione dei dati è una priorità per doValue, che investe costantemente in soluzioni avanzate, al fine di garantire strategie di protezione aggiornate e un approccio preventivo alla sicurezza dei dati.

La presente comunicazione attiene esclusivamente alle attività e ai trattamenti svolti dal gruppo doValue in Italia e viene pubblicata anche per conto e nell’interesse delle controllate doNext SpA con sede in Roma Lungotevere Flaminio 18 e doData S.r.l. con sede in Roma Via del Ghirlandaio, 5 (entrambe raggiungibili al contatto dbinfo@dovalue.it), nonché dei seguenti committenti del gruppo doValue Italia per i quali quest’ultimo svolge attività di gestione e recupero del credito :