Leroy Merlin, attacco hacker: dati dei clienti compromessi

Leroy Merlin è stata colpita da un significativo attacco informatico confermato il 4 dicembre 2025, che ha compromesso i dati personali di moltissimi clienti della rinomata catena di bricolage. La violazione rappresenta un momento critico nel panorama della sicurezza informatica italiana, mettendo in evidenza come le grandi aziende rimangono vulnerabili alle minacce cibernetiche più sofisticate. I dati sottratti includono informazioni sensibili quali nomi, numeri di telefono, indirizzi email e domicili dei clienti, che ora circolano nelle mani di malintenzionati desiderosi di sfruttarli per scopi illeciti.

Sebbene l’azienda del gruppo Mulliez abbia rassicurato i consumatori sulla mancata sottrazione di credenziali bancarie e password, gli esperti di cybersecurity mantengono un atteggiamento di estrema cautela. Le informazioni di contatto, infatti, rappresentano il punto di partenza ideale per campagne di ingegneria sociale e phishing su larga scala. I malintenzionati possono utilizzare questi dati per costruire messaggi convincenti e personalizzati, ingannando gli utenti e convincendoli a rivelare informazioni ancora più delicate. Il rischio concreto per i consumatori non diminuisce, malgrado l’apparente buona notizia relativa alla preservazione dei dati finanziari.

L’incidente di Leroy Merlin non costituisce un episodio isolato nel contesto aziendale italiano. Il gruppo Mulliez ha già registrato altri episodi simili coinvolgenti Auchan, dimostrando come alcune strutture organizzative presentino vulnerabilità ricorrenti. Parallelamente, l’agenzia France Travail ha ammesso il rischio di divulgazione riguardante i dati di 1,6 milioni di giovani, allargando ulteriormente lo spettro della crisi della sicurezza dei dati personali. Secondo l’ultimo rapporto della CNIL di aprile 2025, il numero di violazioni che coinvolgono oltre un milione di persone ha subito un’accelerazione preoccupante: da circa venti casi annui a quaranta, segnalando un’escalation che trasforma le grandi violazioni di dati in un rischio sistemico per l’intero paese.

Leroy Merlin ha prontamente notificato la Commissione nazionale per l’informatica e le libertà civili, demonstrando una certa responsabilità nel comunicare tempestivamente l’accaduto. L’azienda ha informato i clienti colpiti e ha avviato verifiche interne approfondite sulla causa dell’accesso non autorizzato. In parallelo, ha messo a disposizione una pagina informativa contenente guide dettagliate per riconoscere tentativi di frode e ha rafforzato i propri sistemi di sicurezza implementando misure più robuste. Queste azioni rappresentano un primo passo verso il ripristino della fiducia, anche se rimane il dubbio sulla loro effettiva efficacia nel prevenire future incursioni.

Gli specialisti raccomandano ai consumatori interessati di osservare attentamente ogni comunicazione ricevuta, rifiutare categoricamente di condividere informazioni ulteriori con mittenti sospetti, e aggiornare le impostazioni di privacy online. L’implementazione dell’autenticazione a più fattori dove possibile rappresenta un ulteriore strato di protezione indispensabile. Le segnalazioni alle autorità competenti rimangono essenziali anche in assenza di compromissione finanziaria diretta, poiché contribuiscono a mappare il fenomeno e a sviluppare strategie difensive più efficaci.

La vicenda riaccende il dibattito sulla responsabilità aziendale nella custodia dei dati personali e sui tempi di notifica. La CNIL intensifica i controlli e inasprisce le sanzioni per violazioni del GDPR, mentre cresce il pressing affinché le imprese investano massicciamente in difese informatiche, monitoraggio continuo e trasparenza verso gli utenti. Con le indagini ancora in corso e dettagli tecnici ancora oscuri, il focus rimane su una domanda crescente e sempre più urgente: come proteggere efficacemente i dati personali in un contesto dove gli attacchi su scala massiccia sono diventati la norma?