Il 5 maggio 2025, a seguito di approfondite analisi tecniche, è stato accertato che un incidente di sicurezza ha comportato una violazione di dati personali ai sensi del Regolamento (UE) 2016/679.

In particolare, nonostante le misure di sicurezza organizzative e tecniche da noi implementate, le evidenze raccolte indicano che soggetti non autorizzati hanno ottenuto un accesso illecito ad alcuni sistemi informatici della nostra organizzazione e hanno esfiltrato dati presenti nei sistemi da noi usati per lo svolgimento delle attività di gestione e recupero crediti e d’informazioni commerciali. Tale accesso, in ogni caso, è a oggi cessato.

Pertanto, ove Lei sia intestatario di una pratica di recupero crediti gestita da doValue o Lei sia comunque censito nelle nostre banche dati d’informazioni commerciali (nonché un soggetto con cui doValue intrattiene rapporti contrattuali connessi all’erogazione di servizi di gestione del credito), è possibile che dei soggetti terzi non autorizzati abbiano avuto accesso a dati personali relativi alla Sua posizione.

Stante quanto sopra, ci siamo prontamente attivati per rimediare alla violazione e attenuarne gli effetti negativi, implementando le seguenti misure:

• Notifica della violazione al Garante Privacy.
• Proposizione di denuncia/querela all’autorità giudiziaria.
• Attivazione dei nostri protocolli di gestione degli incidenti.
• Messa in sicurezza degli account con privilegi amministrativi.
• Creazione di nuovi account amministrativi sicuri, gestiti attraverso strumenti specializzati per il controllo degli accessi riservati.
• Blocco dell’utilizzo di applicazioni di gestione remota non essenziali e rafforzamento delle restrizioni geografiche per l’accesso ai sistemi aziendali.
• Potenziamento dei sistemi di rilevamento e difesa informatica, con l’installazione di strumenti di monitoraggio avanzati sui dispositivi aziendali.
• Messa in sicurezza degli elementi tecnici coinvolti nell’attacco, mediante interventi di configurazione e protezione dedicati.
• Invio di apposita comunicazione ai soggetti per conto dei quali vengono trattati i dati personali oggetto di violazione.

Precisiamo che l’evento sopra descritto e le misure di mitigazione e rimedio da noi implementate non hanno inficiato la capacità aziendale di continuare a svolgere le proprie attività di gestione del credito in conformità agli impegni presi con le proprie mandanti.

Dall’evento di cui sopra, come anticipato, è derivata una perdita di confidenzialità dei dati esfiltrati, che potrebbero essere usati da soggetti non autorizzati per finalità difformi da quelle per cui tali dati sono stati originariamente raccolti. In particolare, è possibile che terzi non autorizzati tentino di adoperare tali dati per compiere azioni di c.d. ‘ingegneria sociale’ e realizzare frodi. In ogni caso, a oggi non abbiamo evidenza di fenomeni di diffusione e/o pubblicazione dei dati esfiltrati.

In questa sede, pertanto, richiamiamo la Sua attenzione sulla necessità di prestare la massima cautela con riguardo a eventuali comunicazioni che dovesse ricevere e con le quali Le dovesse venire richiesto di effettuare transazioni finanziarie e/o fornire informazioni personali, in quanto potrebbero derivare da un tentativo di frode. Pertanto, in caso di ricezione di tale tipo di comunicazioni e qualora l’interlocutore faccia riferimento a pratiche di gestione del credito gestite da doValue, Le raccomandiamo di accertare sempre l’effettiva autenticità e la provenienza delle stesse e la coerenza degli estremi di pagamento forniti (per esempio verificando l’attendibilità del mittente e contattando gli uffici di doValue ai recapiti ufficiali presenti nel nostro sito Internet e/o nelle comunicazioni scritte da noi ricevute nel contesto delle attività di recupero crediti, nonché, in caso di procedure giudiziali, anche prendendo contatti con il legale incaricato). 

Altre raccomandazioni a Sua tutela includono:
diffidare da telefonate, e-mail e/o messaggi connessi al rilascio d’informazioni riservate: potrebbe infatti trattarsi di strategie per spingere il destinatario a fornire informazioni e dati personali senza rifletterci troppo;
tenere a mente che PIN password, dati bancari e della carta di credito non dovrebbero mai essere comunicati a sconosciuti. È importante tenere presente che amministrazioni pubbliche, banche e aziende fornitrici di carte di credito conoscono già determinate informazioni (numero di conto o numero della carta, ecc.) e non dovrebbero chiedere quelle informazioni che, di solito, esse stesse invitano a mantenere riservate (PIN, password, codici di autorizzazione, ecc.).

Ulteriori accorgimenti volti a proteggersi da tentativi di frode  sono reperibili sul sito Internet del Garante Privacy, alla seguente pagina informativa: https://www.garanteprivacy.it/temi/cybersecurity.

Nel rammaricarci per la vicenda, restiamo a Sua disposizione per ogni necessità; a tale fine, può contattarci ai seguenti contatti: 

   Posta ordinaria:
   Viale dell'Agricoltura 7, 37135 - Verona;

     E-mail: dbinfo@dovalue.it

Sottolineiamo che la cybersecurity e la protezione dei dati è una priorità per doValue che investe costantemente in soluzioni avanzate, al fine di garantire strategie di protezione aggiornate e un approccio preventivo alla sicurezza dei dati.

Si precisa che la presente comunicazione attiene esclusivamente alle attività e ai trattamenti svolti dal gruppo doValue in Italia.