Quando la manipolazione psicologica apre le porte della sicurezza
Immaginate un attaccante che non usa vulnerabilità zero-day, non forza nessun sistema di autenticazione e non acquista tool sofisticati sul dark web. Immaginate, invece, qualcuno che scrive un’e-mail, fa una telefonata e poi, con la sola forza della manipolazione psicologica, apre le porte di uno dei più grandi operatori telefonici d’Europa.
È esattamente quello che è successo a Odido, la principale telco dei Paesi Bassi con oltre 6 milioni di clienti: una violazione che non solo espone dati sensibili di massa, ma riaccende in modo prepotente il dibattito su quanto il fattore umano rimanga il tallone d’Achille irrisolto della cyber security aziendale.
Cosa è successo: i fatti essenziali
Il 14 febbraio 2026 Odido ha comunicato ufficialmente un grave incidente di sicurezza informatica. L’azienda ha notificato l’Autorità olandese per la protezione dei dati e avviato un processo di notifica che avrebbe richiesto fino a due giorni per raggiungere tutti i destinatari.
L’attacco ha seguito uno schema di multi-stage social engineering:
- Fase 1 – Phishing: gli attaccanti hanno inviato email di phishing mirate a dipendenti del call center, sottraendo le loro credenziali di accesso
- Fase 2 – Vishing ed MFA Bypass: con le credenziali in mano, gli attaccanti hanno chiamato telefonicamente le stesse vittime spacciandosi per tecnici del reparto IT interno, convincendole ad approvare il tentativo di accesso
- Fase 3 – Esfiltrazione dati: una volta dentro il sistema CRM Salesforce, gli attaccanti hanno iniziato un’estrazione sistematica dei dati tramite scraping programmatico
Quali dati sono stati compromessi
La buona notizia, se di buona notizia si può parlare, è che password, dettagli delle chiamate e dati di fatturazione non sono stati compromessi.
La cattiva notizia è che per una parte significativa degli utenti notificati (stimati in circa 6,2 milioni tra clienti attuali ed ex-clienti) i dati potenzialmente esposti includono elementi ad alto rischio:
- Nomi e cognomi
- Indirizzi di residenza e indirizzi e-mail
- IBAN bancari
- Date di nascita
- Numeri di documento di identità (passaporto e/o patente di guida)
La combinazione di questi dati rappresenta un kit pressoché completo per attività di identity fraud e spear phishing. Con IBAN + nome + indirizzo + numero del documento d’identità gli attaccanti possono:
- Aprire conti bancari o linee di credito fraudolente
- Effettuare SIM swap per aggirare l’autenticazione bancaria
- Costruire spear phishing altamente personalizzati verso i 6,2 milioni di vittime
- Impersonare Odido in fatture false o comunicazioni urgenti
Come proteggersi: consigli pratici per i clienti Odido
Ecco i consigli concreti da seguire per proteggersi da questi tentativi di truffa:
- Verificare ogni comunicazione finanziaria: accedete direttamente al portale Odido senza cliccare su link nelle email o SMS
- Attivare alert bancari: monitorate le movimentazioni collegate all’IBAN potenzialmente esposto
- Controllare richieste di credito: monitorate eventuali richieste di credito o aperture di conti effettuate a vostro nome
- Non condividere dati sensibili: non rispondete a comunicazioni non verificate che si presentano come Odido
- Contattare le autorità: in caso di sospetto utilizzo fraudolento dei documenti esposti, contattate le autorità competenti
Il mito della MFA come soluzione definitiva
“Abbiamo implementato la MFA, siamo al sicuro”. Questa frase, ripetuta in quasi ogni assessment aziendale, è diventata pericolosamente fuorviante: il caso Odido è l’ennesima dimostrazione che la MFA è necessaria, ma non sufficiente.
La MFA basata su notifiche push presuppone che l’utente sappia distinguere una notifica legittima da una fraudolenta. Nel caso Odido, gli attaccanti hanno semplicemente chiamato il dipendente mentre la notifica push era attiva, creando un contesto narrativo convincente (“Sono dell’IT, sto configurando il tuo account, approva la notifica”) che ha portato la vittima ad approvare consapevolmente l’accesso non autorizzato.
Implicazioni normative: GDPR e NIS2
Il data breach di Odido apre scenari interessanti sul piano regolatorio europeo. La violazione coinvolge dati di cittadini olandesi ed europei, gestiti attraverso una piattaforma e operatori di call center esternalizzati.
Odido ha notificato l’Autorità olandese per la protezione dei dati nei tempi previsti dal GDPR (entro 72 ore dall’individuazione della violazione). Sul fronte NIS2, Odido come operatore di telecomunicazioni rientra tra i soggetti essenziali, con obblighi rafforzati in materia di gestione del rischio.
Il nodo più critico riguarda i call center terzisti: se la violazione è originata da account di dipendenti di fornitori esterni, si pone con forza la questione dell’adeguatezza dei controlli di sicurezza imposti contrattualmente.
Lezioni per i responsabili della sicurezza
Da questo incidente emergono almeno cinque lezioni strutturali:
Il perimetro umano è il perimetro più vulnerabile: nessun firewall protegge dall’ingegneria sociale se i dipendenti non sono adeguatamente formati
I terzisti sono estensioni del perimetro aziendale: un call center esterno che gestisce dati dei clienti è parte del perimetro di sicurezza aziendale
Il CRM è infrastruttura critica: Salesforce e piattaforme simili contengono i dati più sensibili e devono avere monitoraggio comportamentale dedicato
La MFA si bypassa: è necessaria una transizione verso Passkeys e FIDO2, specialmente per sistemi con dati personali di milioni di utenti
La velocità di rilevamento è cruciale: la prevenzione assoluta è un’utopia, il vero differenziatore è la velocità di rilevamento
Technical Deep Dive
Anatomia dell’attacco: MFA fatigue e real-time phishing proxy
La tecnica utilizzata nel data breach di Odido corrisponde a quello che in gergo tecnico si chiama MFA fatigue attack o real-time phishing proxy. L’attaccante non rompe la MFA, la scavalca semplicemente convincendo l’utente legittimo ad approvare la richiesta di autenticazione.
Secondo il framework MITRE ATT&CK, questo vettore d’attacco è riconducibile a:
- T1566.004 (Spearphishing Voice)
- T1621 (Multi-Factor Authentication Request Generation)
La particolarità è la fase di handoff: il phishing cattura le credenziali, mentre il vishing completa il bypass MFA in real-time, il tutto senza alcun exploit tecnico. Questa tecnica è stata osservata anche negli attacchi contro MGM Resorts (2023), Uber (2022) e Twilio (2022).
Salesforce come vettore di esfiltrazione
Uno degli elementi più rilevanti emerge dal vettore di esfiltrazione: il sistema compromesso era Salesforce, la piattaforma CRM dominante nel mercato Enterprise. I sistemi CRM aggregano per definizione i dati più sensibili di un’organizzazione lato customer.
Una volta ottenute le credenziali di un account operatore legittimo, gli attaccanti hanno potuto sfruttare le API native del CRM o la navigazione programmatica del portale per estrarre dati in modo automatizzato. Questa tecnica è definita “programmatic scraping session”.
Secondo fonti vicine all’indagine, non è ancora possibile escludere che gli attaccanti abbiano scaricato l’intero database clienti. Un dump completo avrebbe richiesto diversi giorni di attività non rilevata, uno scenario tecnicamente plausibile.
Raccomandazioni tecniche per MFA resistente al social engineering
Per configurare un sistema di autenticazione multifattoriale resistente ai tentativi di attacchi di tipo social engineering:
Passkey e sistemi FIDO2: eliminano il problema alla radice. L’autenticazione è device-bound ed è crittograficamente legata al sito o all’app di destinazione
Number matching: se si usa la push MFA, abilitare il “number matching” per mostrare all’utente un codice da inserire nel telefono
Security awareness contestuale: addestrare i dipendenti specificamente sullo scenario “qualcuno vi chiama e vi chiede di approvare una notifica”
Zero-trust per i call center terzisti: violazioni come quella di Odido dimostrano che il modello “trust but verify” non funziona più. I call center esternalizzati devono operare in ambienti containerizzati con visibilità ridotta e monitoraggio continuo delle sessioni
Monitoraggio comportamentale su Salesforce
Un sistema di rilevamento comportamentale sulle sessioni Salesforce avrebbe potuto bloccare l’operazione molto prima. Gli indicatori anomali da monitorare includono:
- Volume anomalo di record consultati
- Orari di accesso insoliti
- GeoIP anomali
- Pattern di navigazione coerenti con scraping programmatico
Il ruolo della supply chain nella sicurezza
Il vero problema non è Salesforce né la tecnologia utilizzata, ma l’illusione che l’autenticazione multi-fattore sia una misura risolutiva senza formazione, processi e controlli sull’operato dei terzisti. La sicurezza non si compra a licenza: si governa.
I contratti con i call center devono prevedere obblighi specifici di formazione anti-phishing, gestione sicura dell’MFA, e controlli di sicurezza equivalenti a quelli dell’azienda madre. In caso contrario, l’azienda cliente ne risponde in solido secondo l’articolo 28 del GDPR.
Il social engineering come vettore dominante
Con la crescente sofisticazione degli strumenti di AI generativa – che permettono di creare email di phishing grammaticalmente perfette, deepfake vocali convincenti per il vishing e profili social costruiti ad hoc – il social engineering di nuova generazione diventerà il vettore dominante degli anni a venire.
La risposta non può essere solo tecnologica, ma richiede un cambio di paradigma culturale: la sicurezza non è responsabilità esclusiva del team IT, è responsabilità di ogni singola persona che ha accesso a sistemi aziendali.
