L’Autorità Spagnola per la Protezione dei Dati (AEPD) ha inflitto una multa di 110.000 euro alla Real Sociedad a causa di un attacco informatico avvenuto nell’ottobre del 2023, che ha messo a rischio i dati personali e sensibili di circa 60.000 individui, tra cui abbonati, dipendenti, atleti e staff tecnico.
Questo attacco, individuato il 16 ottobre, ha criptato tutti i server virtuali del club utilizzando l’estensione “.akira”. Riconoscendo la propria responsabilità e beneficiando di uno sconto per pagamento immediato, la società ha versato 66.000 euro, ma dovrà dimostrare entro tre mesi di aver adottato appropriati sistemi di sicurezza.
L’incidente è stato notato quando i sistemi informatici sono stati paralizzati da un malware che ha danneggiato i server e compromesso le copie di sicurezza. I dati a rischio comprendevano nomi, indirizzi, numeri identificativi, informazioni finanziarie e sanitarie dei dipendenti, oltre a documenti sensibili utilizzati nella gestione ordinaria del club. Sebbene non siano state trovate evidenze di pubblicazione o vendita dei dati, l’AEPD ha messo in evidenza la gravità della violazione e la mancanza di misure come la segmentazione della rete o l’uso di cifratura. L’impatto dell’attacco è stato notevole per la varietà e la sensibilità delle informazioni compromesse. Sono stati coinvolti documenti relativi all’attività sportiva, come le cartelle cliniche e i fisici dei giocatori, certificazioni ufficiali, dati lavorativi, numeri della sicurezza sociale, informazioni patrimoniali e registrazioni di eventi e campus. La decisione dell’AEPD sottolinea come questi dati non fossero cifrati, aumentando così il rischio e dimostrando l’urgenza di rafforzare la protezione. Inoltre, il numero di persone interessate e l’importanza strategica delle informazioni trattate sono stati considerati aggravanti nel procedimento sanzionatorio.
In questo scenario, il club ha recentemente comunicato un’intesa con NordVPN, che diventa il nuovo partner ufficiale per la sicurezza informatica nella stagione 2025/2026. Questa alleanza ha l’obiettivo di potenziare le difese tecnologiche e di evitare episodi analoghi. Tuttavia, la Real Sociedad dovrà anche dimostrare all’AEPD, entro un limite massimo di tre mesi, di aver adottato misure di sicurezza adeguate ai rischi associati alla gestione dei dati personali.
