L'Autorità Garante per la protezione dei dati personali ha annunciato l'apertura di un fascicolo ispettivo riguardante la nuova piattaforma di geolocalizzazione predittiva Testo Dimmi Dove e Quando a seguito di segnalazioni su potenziali vulnerabilità nei protocolli di crittografia. L'indagine si concentra sulle modalità di raccolta dei metadati relativi agli spostamenti in tempo reale di circa 1,2 milioni di utenti attivi sul territorio nazionale. Il provvedimento è stato notificato alla società madre con sede a Dublino dopo che un gruppo di ricercatori indipendenti ha rilevato l'accesso non autorizzato a database contenenti cronologie di posizione non anonimizzate.
Pasquale Stanzione, Presidente del Garante, ha confermato in una nota ufficiale che l'istruttoria mira a verificare la conformità dell'applicativo con il Regolamento Generale sulla Protezione dei Dati (GDPR). I tecnici dell'autorità intendono esaminare se il consenso fornito dagli utenti sia stato acquisito in modo trasparente e se le finalità del trattamento siano limitate a quanto dichiarato nelle informative. La società ha ora 20 giorni di tempo per presentare memorie difensive e documenti tecnici atti a dimostrare la robustezza dei propri sistemi di sicurezza informatica.
Origine delle vulnerabilità tecniche in Testo Dimmi Dove e Quando
Le criticità strutturali sono emerse lo scorso 14 aprile quando il Cyber Security Report 2026 ha evidenziato una falla nel sistema di autenticazione a due fattori del servizio. Secondo lo studio condotto dall'Agenzia per la Cybersicurezza Nazionale (ACN), il difetto permetteva a soggetti esterni di intercettare i pacchetti dati inviati dai dispositivi mobili verso i server centrali. La falla riguardava specificamente l'interfaccia di programmazione delle applicazioni (API) utilizzata per sincronizzare le mappe con i sensori biometrici degli smartphone di ultima generazione.
Roberto Baldoni, ex direttore dell'ACN, ha spiegato che la gestione dei dati di posizione richiede standard di protezione superiori alla media per prevenire il monitoraggio occulto degli individui. I ricercatori hanno documentato come l'ID univoco di ogni utente fosse collegabile a profili social pubblici attraverso una semplice correlazione di stringhe di testo non protette. Questa esposizione ha interessato non solo i civili, ma anche funzionari pubblici e personale delle forze dell'ordine che utilizzavano l'applicazione per scopi logistici personali.
Impatto economico e reazioni dei mercati finanziari
La notizia dell'indagine ha provocato una flessione del 4,8% del titolo della società presso la borsa di Londra nelle prime ore di contrattazione. Gli analisti di Goldman Sachs hanno declassato il rating dell'azienda citando l'incertezza normativa e il rischio di sanzioni pecuniarie che potrebbero raggiungere il 4% del fatturato globale annuo. La capitalizzazione di mercato ha subito una contrazione stimata in circa 450 milioni di euro in una singola sessione di trading.
Il direttore finanziario del gruppo ha dichiarato durante una conferenza stampa a Milano che l'azienda ha già stanziato un fondo di riserva per far fronte a eventuali contenziosi legali. Nonostante la volatilità attuale, i volumi di scambio rimangono elevati a causa delle speculazioni su una possibile acquisizione da parte di un consorzio tecnologico statunitense. Gli investitori istituzionali attendono ora i risultati dell'audit interno commissionato a una società di consulenza esterna per valutare l'entità del danno reputazionale.
Critiche dalle associazioni dei consumatori e dei diritti civili
Altroconsumo ha presentato una denuncia formale presso la Procura della Repubblica di Roma chiedendo il sequestro preventivo dei server situati in Italia. L'associazione sostiene che gli utenti siano stati indotti a condividere informazioni sensibili senza ricevere una spiegazione chiara sulle dinamiche di profilazione commerciale. I legali dell'organizzazione hanno sottolineato che Testo Dimmi Dove e Quando raccoglieva informazioni anche quando l'opzione di tracciamento in background era esplicitamente disattivata nelle impostazioni di sistema.
Federprivacy ha aggiunto che la conservazione dei dati per un periodo superiore ai 24 mesi costituisce una violazione diretta delle linee guida europee sulla conservazione dei file log. L'avvocato Nicola Bernardi ha affermato che la mancanza di un responsabile della protezione dei dati (DPO) facilmente raggiungibile ha complicato l'esercizio dei diritti di accesso da parte degli interessati. Molti utenti hanno riferito di aver ricevuto comunicazioni di marketing mirate basate su luoghi visitati solo poche ore prima, alimentando i sospetti di una rivendita di dati a terze parti senza autorizzazione.
Quadro normativo europeo e precedenti giurisprudenziali
Il caso si inserisce in un contesto di crescente vigilanza da parte delle autorità europee verso le aziende che gestiscono grandi volumi di informazioni geografiche. Secondo il portale ufficiale del Garante Privacy, le sanzioni per la gestione negligente dei dati biometrici e di posizione sono aumentate del 15% nell'ultimo biennio. La Corte di Giustizia dell'Unione Europea ha stabilito in precedenti sentenze che la protezione della vita privata prevale sugli interessi economici delle aziende tecnologiche in caso di rischio per la sicurezza nazionale.
Il Comitato Europeo per la Protezione dei Dati (EDPB) sta valutando se estendere l'indagine a livello comunitario per coprire le attività dell'azienda in tutti i 27 Stati membri. Questa cooperazione transfrontaliera è prevista dall'articolo 56 del GDPR, che disciplina il meccanismo dello sportello unico per le imprese che operano in più paesi. I regolatori francesi della CNIL hanno già richiesto l'accesso ai rapporti tecnici prodotti dall'autorità italiana per avviare una procedura parallela a Parigi.
Sviluppi tecnici e implementazione delle patch di sicurezza
Il dipartimento di ingegneria dell'azienda ha rilasciato un aggiornamento firmware d'urgenza nel tentativo di chiudere i punti di accesso vulnerabili individuati dai ricercatori. Le nuove specifiche tecniche prevedono l'adozione della crittografia end-to-end per tutti i flussi di dati in uscita e l'eliminazione automatica dei dati di percorso dopo 30 giorni. Tuttavia, alcuni esperti del Politecnico di Milano dubitano che queste misure siano sufficienti a proteggere le informazioni già archiviate nei data center legacy.
I test di penetrazione condotti da laboratori indipendenti mostrano che circa il 20% delle vecchie installazioni su sistemi operativi obsoleti rimane esposto a rischi di infiltrazione. L'azienda ha invitato formalmente tutti i propri iscritti a procedere al cambio immediato delle password e alla revoca dei permessi di localizzazione per le versioni precedenti al rilascio di maggio. La trasparenza sull'efficacia di questi interventi sarà uno dei punti cardine del prossimo rapporto che la società dovrà consegnare alle autorità competenti.
Prospettive future e monitoraggio dei protocolli
Il governo italiano sta valutando l'introduzione di norme più stringenti per le applicazioni che utilizzano algoritmi di intelligenza artificiale per prevedere i movimenti delle masse. Una bozza di decreto legge presentata al Ministero delle Imprese e del Made in Italy propone l'obbligo di certificazione statale per ogni software di navigazione che superi i 500.000 utenti. Questo intervento legislativo potrebbe ridefinire le modalità operative di molti attori del settore digitale presenti sul territorio nazionale.
La risoluzione del contenzioso dipenderà dall'esito dei controlli tecnici previsti per l'inizio del prossimo mese presso la sede operativa della società. Gli osservatori internazionali seguono con attenzione l'evoluzione del caso poiché potrebbe costituire un precedente legale per la regolamentazione della geolocalizzazione avanzata in ambito civile. Rimane da chiarire se l'azienda sarà in grado di recuperare la fiducia della base utenti o se il calo degli abbonamenti porterà a una chiusura definitiva del servizio entro la fine dell'anno solare.
Nelle prossime settimane il Garante Privacy pubblicherà una relazione preliminare che dettaglierà le eventuali violazioni specifiche riscontrate durante le ispezioni fisiche sui server. Il Ministero dell'Interno monitorerà l'impatto della falla sulla sicurezza dei dipendenti pubblici, mentre le associazioni di categoria hanno già annunciato la preparazione di una class action per il risarcimento dei danni morali e materiali. L'attenzione si sposta ora sulla risposta ufficiale della Commissione Europea, attesa dopo la consultazione dei dati forniti dal Digital Services Act in merito alla responsabilità delle piattaforme online.
