The Premise News
Tecnologia

iFood espone dati di 1,2 milioni di utenti ma non li avvisa: il caso solleva dubbi sulla LGPD

Victória dos Santos de Sá
iFood espone dati di 1,2 milioni di utenti ma non li avvisa: il caso solleva dubbi sulla LGPD Direitos autorais: Rafael Henrique | Dreamstime.com

Il colosso brasiliano del delivery iFood ha ufficialmente riconosciuto un data breach che ha esposto i dati personali di 1,2 milioni di utenti, ma ha deciso di non informare direttamente i clienti coinvolti. L’incidente, avvenuto nel dicembre 2025, è stato descritto dall’azienda come isolato e prontamente contenuto dai suoi protocolli di sicurezza. Secondo quanto comunicato, il problema ha interessato circa il 2% della base totale degli utenti della piattaforma. La rivelazione è arrivata solo mercoledì 3 giugno 2026, attraverso una nota ufficiale diffusa dall’impresa.

I dettagli dell’incidente di sicurezza

I dati esposti comprendono nomi completi e CPF, il codice fiscale brasiliano, degli utenti coinvolti. L’azienda ha però tenuto a precisare che non sono state compromesse le credenziali di accesso, come le password, né i dati relativi ai mezzi di pagamento, ai registri finanziari o alle informazioni bancarie. iFood ha inoltre dichiarato che non vi sono prove di transazioni effettuate sulla piattaforma in modo indebito. La società ha ribadito che l’accaduto è stato circoscritto e che la sicurezza dei conti non è stata violata.

Nomi e CPF: quali sono i rischi concreti

Nonostante l’assenza di fughe di dati sensibili legati alle finanze, gli esperti di sicurezza digitale mettono in guardia: la combinazione di nome e CPF può essere sfruttata per campagne di ingegneria sociale. Il CPF è considerato un’informazione particolarmente sensibile nel contesto brasiliano, spesso utilizzato per verifiche di identità. I criminali informatici potrebbero tentare di contattare le vittime spacciandosi per l’azienda o per altri enti, usando proprio quei dati come esca. iFood, tuttavia, sostiene che non vi sia stato un danno rilevante per gli utenti e che il rischio è stato valutato come basso.

La decisione di non avvisare i clienti

La scelta di iFood di non comunicare direttamente con i 1,2 milioni di utenti colpiti si basa su una valutazione interna dell’incidente. L’azienda ha dichiarato che il caso è stato trattato in conformità con la Legge Generale di Protezione dei Dati (LGPD) brasiliana. Secondo la nota, la normativa dispensa dalla notifica quando l’evento non comporta un rischio o un danno rilevante per i titolari dei dati. iFood ha citato i criteri regolatori definiti dall’Autorità Nazionale di Protezione dei Dati (ANPD) per sostenere la propria posizione.

La società ha inoltre ribadito che tutte le comunicazioni ufficiali avvengono esclusivamente attraverso i suoi canali ufficiali, invitando i clienti a diffidare di messaggi non ufficiali che potrebbero circolare in merito all’accaduto. Tuttavia, la nota non ha specificato se l’Autorità Nazionale di Protezione dei Dati sia stata informata dell’episodio, né se vi siano state segnalazioni alle autorità competenti. Per ora, non sono state fornite informazioni sull’origine del vazamento né sull’identità dei responsabili dell’attacco. iFood non ha nemmeno chiarito se intenda notificare singolarmente gli utenti interessati.

Il dibattito sui criteri di rischio sotto la LGPD

La decisione di iFood potrebbe riaccendere il dibattito sull’interpretazione della LGPD in casi analoghi. Molti esperti ritengono che l’esposizione di dati come nome e CPF, sebbene non accompagnata da credenziali finanziarie, rappresenti comunque un rischio concreto per la privacy. La posizione dell’azienda — che esclude un danno rilevante — viene contestata da chi sottolinea come il CPF sia un elemento chiave per frodi di identità. Resta da vedere se l’ANPD riterrà sufficienti le valutazioni interne dell’impresa o se avvierà verifiche proprie.

Le raccomandazioni per gli utenti

Nel frattempo, iFood ha invitato gli utenti a prestare attenzione a eventuali comunicazioni sospette che potrebbero fare leva sui dati esposti. La società ha ricordato che le uniche comunicazioni legittime provengono dai suoi canali ufficiali e che è opportuno non rispondere a messaggi non richiesti. Per chi è stato colpito dal vazamento, la prudenza rimane la migliore difesa, anche in assenza di una notifica formale. Gli specialisti consigliano di monitorare eventuali tentativi di contatto e di non fornire ulteriori informazioni personali a fonti non verificate.

Il punto di vista di The Premise News: Il caso iFood mette in luce una fragilità nell’interpretazione della Legge Generale di Protezione dei Dati da parte delle imprese. L’azienda ha scelto di non informare i clienti, invocando l’assenza di un rischio rilevante, ma l’esposizione di CPF e nomi completi rappresenta di per sé un dato sensibile, potenzialmente sfruttabile in frodi. Ciò che è concretamente in gioco è la fiducia dei consumatori nelle piattaforme digitali e l’efficacia del meccanismo di autoregolamentazione previsto dalla normativa. La tensione tra la trasparenza dovuta agli utenti e il rispetto formale della legge rivela un vuoto nella protezione pratica dei dati personali. Nei prossimi giorni, i 1,2 milioni di utenti colpiti dovranno prestare particolare attenzione a tentativi di contatto sospetti, specialmente se basati su nome e CPF come esca. L’assenza di una comunicazione formale da parte di iFood potrebbe rendere più difficile una reazione tempestiva. In definitiva, questo episodio ricorda che, anche in assenza di danni finanziari immediati, la privacy è un bene che richiede maggiore responsabilità da parte delle aziende.

Cosa ne pensi?