[doc. web n. 10237309]

Provvedimento del 12 marzo 2026

Registro dei provvedimenti
n. 166 del 12 marzo 2026

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia, componenti, e il dott. Claudio Filippi, Vice Segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito “Regolamento”);

VISTO il d.lgs. del 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”) come novellato dal d.lgs. del 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679”;

VISTO il procedimento avviato a seguito della notifica di violazione dei dati personali, pervenuta, ai sensi dell’art. 33 del Regolamento, il 25 settembre 2024, da Parmaitaly-Shop S.r.l.;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. L’attività istruttoria.

In data 25 settembre 2024, Parmaitaly-Shop S.r.l. ha trasmesso all’Autorità, ai sensi dell’art. 33 del Regolamento, una notifica di violazione dei dati personali dei propri clienti, determinata da un attacco informatico sul sito web www.parmashop.com, sito di e-commerce gestito dalla predetta Società.

L’attacco è consistito nella “sostituzione del link alla pagina di pagamento (..) con altro codice che riproduceva esattamente la grafica della pagina originale ove inserire i dati della Carta di Credito”, mediante “il caricamento di un file JavaScript esterno ospitato su un dominio creato ad hoc” che ha riguardato, in particolare, i dati delle carte di credito di circa 221 clienti (v. notifica del 25 settembre 2024, sez. F).

Al riguardo, la scrivente Autorità, tenuto conto della peculiare natura dei dati personali oggetto di violazione, ha avviato un’istruttoria al fine di verificare l’osservanza delle disposizioni rilevanti in materia, con particolare riferimento al rispetto degli obblighi di sicurezza del trattamento (art. 32 del Regolamento) in relazione alle misure tecniche e organizzative in essere al momento in cui si è verificata la violazione in questione, nonché a quelle adottate per porvi rimedio e per attenuare i possibili effetti negativi nei confronti degli interessati.

In particolare, sono stati acquisiti elementi istruttori mediante due richieste di informazioni (con note del 31 ottobre 2024 e del 21 novembre 2024) a cui la Società ha fornito riscontro con le comunicazioni dell’8 novembre 2024 e del 29 novembre 2024, rappresentando quanto di seguito riportato.

L’attacco, verificatosi dal 20 agosto al 23 settembre 2024, “si è concretizzato con la sostituzione del file checkout.tpl nel tema child, aggiungendo il caricamento di un file JavaScript esterno ospitato su un dominio creato ad hoc: https://parmashop.pics/assets/parmashop/jquery.min.js. Questo file è stato modificato il 20 agosto (utente parmashop:website). (..) Il file probabilmente è stato caricato tramite altri file di upload presenti nella cartella di admin, di cui tre con la funzione di caricamento singolo e uno con funzionalità avanzate di file manager. I primi tre file sono stati caricati il 31 luglio, mentre il più avanzato file manager è stato caricato il 19 agosto. (..) Nella stessa data e ora del caricamento dei primi tre file di upload, è stato caricato il modulo ps_metrics” (v. notifica del 25 settembre 2024, sez. F) e nota della Società dell’8 novembre 2024, All. B).

La violazione ha avuto inizio a seguito “dell’installazione del modulo PrestaShop Metrics “nel giugno 2024 dall’app store ufficiale di PrestaShop”. Il modulo, “una volta installato, ha cominciato a creare nella cartella di adminps dei file in grado di eseguire l’upload di altri file malevoli. Probabilmente, questa backdoor è stata utilizzata il 19 agosto per caricare un sistema di gestione dei file più avanzato, che ha permesso all’hacker di modificare con precisione il file checkout.tpl del tema child. Il 20 agosto, il file malevolo è stato caricato. Da quella data, a tutti gli utenti che hanno tentato di effettuare acquisti con carta di credito potrebbero essere stati rubati i dati delle [relative] carte [di credito]” (v. nota della Società dell’8 novembre 2024, All. B e nota della Società del 29 novembre 2024, pag. 1).

Le informazioni personali oggetto di violazione, riferite a circa 221 clienti, hanno riguardato “numero, data di scadenza, codice di verifica CVC [della carta di credito, nonché] nome, cognome ed e-mail del [corrispondente] intestatario” (v. notifica del 25 settembre 2024, sez. F).

Il sito www.parmashop.com, al momento dell’attacco, utilizzava il CMS PrestaShop nella versione non aggiornata n. 1.7.8.5. (v. nota della Società dell’8 novembre 2024, All. A e nota del Garante del 21 novembre 2024).

A seguito della violazione di dati (data breach), la Società ha adottato alcune prime misure volte a rafforzare la sicurezza dei trattamenti dei dati degli utenti del sito web www.parmashop.com, provvedendo ad installare “l’antivirus Imunify360 sul Server Linux”; attivare “il WAF (Web Application Firewall) del fornitore iSmartFrame”; valutare l’opportunità di “modificare la piattaforma (CMS PrestaShop) utilizzata per la gestione del predetto sito web (…). Nel contempo, in attesa della sostituzione della piattaforma, [è stato chiesto al fornitore] di provvedere alla messa in sicurezza del [sito di] e-commerce” (v. nota della Società del 29 novembre 2024, pag. 1 e relativo allegato).

Rispetto alla gestione del data breach, la Società ha notificato la violazione subita, nei termini di cui all’art. 33 del Regolamento, ed è tempestivamente intervenuta suoi propri sistemi, provvedendo a disabilitare “il canale di pagamento tramite Carta di Credito (risultato oggetto di phishing)” e affidando “l'attività di analisi, correzione e messa in sicurezza del Server ad una webagency di elevata competenze (i file malevoli sono stati neutralizzati entro 6 ore dalla scoperta del data breach)” (v. notifica del 25 settembre 2024, sez. H).

La violazione dei dati personali è stata comunicata agli interessati coinvolti, in conformità con l’art. 34 del Regolamento, il 24 settembre 2024 (v. notifica del 25 settembre 2024, sez. L). Tale prima comunicazione è stata poi integrata mediante l’indicazione dettagliata delle tipologie di dati oggetto di data breach e delle specifiche misure da adottare per prevenire eventuali conseguenze negative (v. nota della Società dell’8 novembre 2024, All. C).

2. La notifica delle violazioni.

A seguito della notifica delle violazioni di cui all’art. 5, par. 1, lett. f) e all’art. 32 del Regolamento, trasmessa con comunicazione del 12 febbraio 2025, la Società, con nota del 12 marzo 2025, ha fatto pervenire i propri scritti difensivi, anticipati da una comunicazione del 17 febbraio 2025.

Nell’ambito delle sopra menzionate memorie, Parmaitaly-Shop S.r.l. ha rappresentato di essere venuta a conoscenza delle criticità riscontrate sui propri sistemi, solo a seguito del data breach, evidenziando di avere, nel giugno 2024, incaricato una società specializzata nell’ideazione e nella realizzazione di applicativi digitali per l’e-commerce, di effettuare un’attività di analisi del CMS PrestaShop e del Server, finalizzata a un miglioramento della piattaforma inerente al proprio sito www.parmashop.com (v. nota del 12 marzo 2025, pag. 1 e All. 6).

Più nello specifico, ha precisato, al riguardo, che il predetto fornitore, a conclusione dell’attività sopra menzionata, non aveva evidenziato alcuna criticità nei sistemi adoperati da Parmaitaly-Shop S.r.l., inducendo, pertanto, quest’ultima “a ritenere che il CMS -certamente aggiornabile- non esponesse tuttavia i dati ad alcun rischio” (v. nota del 12 marzo 2025, pag. 1 e All. n. 7).

A seguito del data breach, la Società ha altresì incaricato un ulteriore professionista, il quale ha adottato “alcune misure specifiche (..) al fine di porre rimedio alle criticità riscontrate”; ciò mediante: l’attivazione “di sistemi di pagamento con carte di credito alternativi al sistema "Nexi" compromesso dall'hacker; l’analisi dei Log del Web Server al fine di individuare scansioni tese ad individuare vulnerabilità; l’inserimento di regole personalizzate nel WAF (Web Application Firewall di iSmartFrame) per fermare scansioni tese ad individuare vulnerabilità; la messa in opera di un costante monitoraggio del corretto funzionamento dell'e-commerce e dei sistemi di pagamento” (v. nota del 12 marzo 2025, pag. 2 e All. 10).

Al fine di prevenire il ripetersi in futuro di fatti analoghi a quello accaduto nel caso di specie, inoltre, Parmaitaly-Shop S.r.l., ha altresì introdotto, successivamente all’atto di contestazione delle violazioni trasmesso dal Garante ai sensi dell’art. 166, comma 5 del Codice, una serie di ulteriori misure tecniche e organizzative, volte a conformare l’attività di trattamento al Regolamento (v. nota del 12 marzo 2025).

Più nello specifico, provvedendo, in una prima fase, all’aggiornamento del CMS PrestaShop alla versione 1.7.8.11 e, successivamente, avviando un’attività di migrazione del proprio sito verso la piattaforma integrata per la gestione di siti e-commerce Shopify (v. Allegati nn. 12, 13 e 14 della nota del 12 marzo 2025).

3. L’esito dell’istruttoria.

In primo luogo si rappresenta che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”.

Tanto doverosamente premesso, alla luce degli elementi acquisiti nel corso dell’attività istruttoria sopra descritta, nonché delle successive valutazioni svolte dall’Ufficio, emergono, a carico di codesta Parmaitaly-Shop S.r.l., i profili di violazione di seguito esplicitati.

È stato constatato che la Società, al momento dell’attacco informatico, utilizzava per la gestione dei contenuti del sito www.parmashop.com, la piattaforma denominata CSM PrestaShop in una versione obsoleta (la n. 1.7.8.5.), in quanto risalente al 18 marzo 2022 e, per tale ragione, soggetta a numerose vulnerabilità.

Sul punto, merita evidenziare che, alla predetta versione, sono associate ben 20 vulnerabilità, 15 delle quali di gravità elevata, con un punteggio complessivo, ai sensi del Common Vulnerability Scoring System – CVSS, maggiore di 8 su 10 (cfr. a tal fine quanto reperibile al seguente indirizzo: https://www.cvedetails.com/vulnerability-list/vendor_id-8950/product_id-15797/version_id-1357214/PrestaShop-PrestaShop-1.7.8.6.html).

Tra le predette vulnerabilità, appare particolarmente rilevante, per il caso di specie, la numero CVE-2023-39526, nota già all’epoca dei fatti oggetto di contestazione. Alla stessa è, invero, associato un CVSS score di 9.8 su 10, indice di alto rischio, in termini sia di perdita della riservatezza, integrità e disponibilità dei dati ivi trattati, sia di facilità di un attacco e possibilità di realizzazione dello stesso senza necessità di disporre di particolari privilegi utente.

La vulnerabilità CVE-2023-39526 sopra citata ha verosimilmente consentito, per il tramite di un attacco di tipo SQL-injection o l’upload di un file arbitrario nel backoffice, l’esecuzione del codice malevolo responsabile della violazione verificatasi sul sito web di Parmaitaly-Shop S.r.l. (cfr. quanto riferito in merito nell’elenco delle vulnerabilità CVE ove si precisa, in ordine al sistema CSM PrestaShop, che “versions prior to 1.7.8.10, 8.0.5, and 8.1.1 are vulnerable to remote code execution through SQL injection and arbitrary file write in the back office”; v. https://www.cvedetails.com/cve/CVE-2023-39526/).

Il mancato aggiornamento del CMS PrestaShop utilizzato dalla Società, protrattosi per un lasso di tempo così significativo -circa due anni dal rilascio degli aggiornamenti- ha pertanto esposto il portale di e-commerce, gestito da Parmaitaly-Shop S.r.l., a numerose tipologie di attacco; tra queste quella oggetto di esame, idonea a compromettere la riservatezza, l’integrità e la disponibilità dei dati personali dei clienti trattati dal titolare.

Tutto ciò determinando, rispetto alla violazione oggetto di notifica al Garante, l’esfiltrazione dei dati personali inerenti a circa 221 interessati (clienti), tra cui i relativi recapiti di contatto e le informazioni contenute nelle carte di credito utilizzate dagli stessi.

In merito, si rammenta che il principio di integrità e riservatezza (art. 5, par. 1, lett. f) e art. 32 del Regolamento) impone al titolare di implementare misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato ai rischi presentati dal trattamento; ciò tenuto conto delle caratteristiche, della natura, dell’oggetto e del contesto di quest’ultimo.

Tali misure includono la predisposizione di procedure atte ad assicurare una periodica attività di manutenzione e di aggiornamento dei sistemi utilizzati dal titolare con l’obiettivo di prevenire eventuali vulnerabilità degli stessi.

Ne consegue quindi che, in tutti i casi in cui siano disponibili aggiornamenti di sicurezza per i sistemi operativi e delle applicazioni utilizzate dal titolare, l’osservanza del principio di integrità e riservatezza del trattamento implichi la necessità, da parte di quest’ultimo, di procedere alla tempestiva istallazione degli stessi.

Sul punto, non può pertanto essere accolto quanto sostenuto dal titolare, in ordine alla circostanza che la Società, avendo delegato a Magilla Guerrilla S.r.l. le attività di messa in sicurezza del CMS PrestaShop e del proprio Server, fosse venuta a conoscenza delle vulnerabilità dei propri sistemi, soltanto successivamente al data breach (v. supra par. 2, lett. a) della presente decisione).

Merita, infatti, evidenziare al riguardo che l’incarico affidato al predetto fornitore riguardava un’attività di “Analisi & Assessment commercio elettronico” del sito www.parmashop.com avente quale principale obiettivo il miglioramento dello stesso, non tanto in termini di sicurezza informatica, ma piuttosto in un’ottica di marketing e advertising; ciò per il tramite di operazioni volte a migliorare la user experience degli utenti, la visibilità del sito web, sui motori di ricerca (c.d. posizionamento SEO -Search Engine Optimization per migliorare) e la gestione avanzata delle analytics (v. l’All. 6 – “Contratto Magilla”, pag. 2 della nota del 12 febbraio 2025).

Va in merito rimarcato che la vulnerabilità sfruttata dagli attaccanti si è verificata per un mancato aggiornamento del CMS; aggiornamento che rientra tra le ordinarie attività connesse alla gestione tecnica di un sito web, necessarie per garantirne il corretto funzionamento, la sicurezza e la compatibilità con le evoluzioni tecnologiche.

Si tratta, ovvero, di operazioni ricorrenti e routinarie, normalmente previste dai fornitori dei sistemi di gestione dei contenuti e non riconducibili, per loro natura, all’incarico di “Analisi & Assessment commercio elettronico” del sito affidato, nel caso di specie, a Magilla Guerrilla S.r.l.

Le attività richiamate dalla Società, pur includendo interventi di miglioramento della piattaforma, risultano prevalentemente orientate alla gestione delle performance del sito, senza ricondurre necessariamente quindi all’obbligo di aggiornamento, in modo tempestivo e adeguato, del sistema di gestione dei contenuti, riconducibile invece all’ordinaria gestione tecnica del sito web.

Si rileva, da ultimo, che idonee misure correttive volte a rimuovere la causa della vulnerabilità riscontrata nell’ipotesi in esame, sono state adottate da Parmaitaly-Shop S.r.l., solo a partire dal 7 marzo 2025, mediante l’aggiornamento del CMS e la successiva migrazione verso una piattaforma e-commerce dotata di più elevati standard di sicurezza.

Tanto complessivamente considerato, le misure tecniche in essere alla data del data breach che ha riguardato il sito www.parmashop.com ‒tenuto conto in particolare dello specifico contesto del trattamento (l’esercizio di un’attività di e-commerce) e della peculiare tipologia di informazioni personali ivi trattate (dati inerenti alle carte di credito utilizzate dai clienti)‒ non sono risultate idonee a garantire un livello di sicurezza adeguato al rischio del predetto trattamento.

Si rileva pertanto la violazione, a carico di Parmaitaly-Shop S.r.l., dell’art. 5, par. 1, lett. f) e dell’art. 32 del Regolamento; violazione che si è protratta per circa 5 mesi (nella specie dal 25 settembre 2024, data della notifica al Garante, al 7 marzo 2025, data dell’aggiornamento del CMS) e ha riguardato 221 interessati.

Preso atto della circostanza che la Società, a partire dal 7 marzo 2025, ha provveduto ad adottare misure idonee a superare le criticità riscontrate dalla scrivente Autorità nell’atto di contestazione, si ritiene che non ricorrano, allo stato degli atti, i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2 del Regolamento. A tal fine, si tiene conto anche di quanto implementato dalla Società nel corso del procedimento, come illustrato ai paragrafi 1 e 2 della presente decisione.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

[OMISSIS]

TUTTO CIÒ PREMESSO, IL GARANTE

dichiara, ai sensi degli artt. 57, par. 1, lett. a) del Regolamento, l’illiceità del trattamento effettuato da Parmaitaly-Shop S.r.l., con sede in Parma, p. iva n. 02445370345, nei termini di cui in motivazione, per la violazione dell’art. 5, par. 1, lett. f) e dell’art. 32 del Regolamento;

[OMISSIS]

DISPONE

ai sensi dell’art. 154-bis, comma 3, del Codice e dell’art. 37 del Regolamento del Garante n. 1/20129, la pubblicazione del presente provvedimento sul sito internet del Garante;

ai sensi dell’art. 17 del Regolamento n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 12 marzo 2026

IL PRESIDENTE
Stanzione

IL RELATORE
Cerina Feroni

IL VICE SEGRETARIO GENERALE
Filippi