L’attacco hacker subito da Conduent, fornitore statunitense di servizi per enti governativi e sanitari, ha registrato un considerevole ampliamento del numero di persone colpite. Secondo l’ultimo aggiornamento, almeno 25 milioni di persone risultano essere state coinvolte, un dato molto più alto rispetto alle stime iniziali di circa 10 milioni di cittadini. L’incidente si configura come una delle violazioni di dati personali di enorme entità nel panorama statunitense.
Una breach da decine di milioni: natura e dinamiche dell’attacco
L’incidente è riconducibile a un attacco ransomware rilevato nel gennaio 2025, condotto da un gruppo noto come SafePay.
Secondo le ultime comunicazioni ufficiali e fonti investigative, il totale delle persone coinvolte ha superato abbondantemente i 25 milioni. Dati sensibili violati come nomi, numeri di Social Security, dati sanitari e di assicurazione sono chiaramente a rischio identità e privacy. Si tratta di un’esfiltrazione massiva che impone una riflessione sulle responsabilità di sicurezza delle terze parti contrattualizzate dagli enti pubblici.
Stime iniziali sottostimate: da 10,5 a oltre 25 milioni
All’inizio, nel corso del 2025, Conduent aveva stimato un impatto limitato a circa 10,5 milioni di individui, in base alle prime notifiche inviate agli Stati interessati, tra cui Oregon e Texas. Tuttavia, con approfondimenti recenti, il dato è stato rivisto al rialzo.
Il Texas, ad esempio, è passato da 4 milioni a 15,4 milioni di cittadini compromessi. A questi si aggiungono i 10,5 milioni dell’Oregon e alcune centinaia di migliaia in altri stati quali Massachusetts, New Hampshire e Washington. Il totale accertato supera così nettamente la soglia dei 25 milioni di vittime.
Impatto sulla gestione della privacy e implicazioni sanitarie
L’entità del danno è aggravata dal tipo di dati trafugati. Numeri di sicurezza sociale, informazioni sanitarie e assicurative possono alimentare frodi di identità complesse e durature. A differenza delle carte di credito, questi dati sono permanenti: non possono essere sostituiti e possono rimanere sfruttabili per anni. La violazione solleva questioni cruciali sulla salvaguardia dei dati delle categorie più vulnerabili: beneficiari governativi, pazienti, famiglie con accesso limitato alla trasparenza sui fornitori di servizi.
Ritardi di notifica e criticità nell’organizzazione delle comunicazioni
La gestione delle notifiche agli interessati ha mostrato gravi ritardi. Pur trattandosi di dati altamente sensibili, Conduent ha iniziato a inviare le prime comunicazioni solo nell’autunno del 2025, con l’obiettivo di completarle entro la prima parte del 2026. Inoltre, la presenza di un tag “noindex” nella pagina dedicata all’incidente sul sito aziendale ha ostacolato la reperibilità pubblica e la trasparenza. Tali ritardi e scelte tecniche finiscono per aumentare il rischio reputazionale e normativo, nonché il disorientamento per le persone coinvolte.
Conseguenze economiche e strategiche per Conduent
Sul piano finanziario, il breach ha già comportato costi diretti non trascurabili: circa 25 milioni di dollari in risposta all’incidente fino ai primi mesi del 2025, con ulteriori spese previste.
Si stima un’ulteriore uscita di circa 16 milioni di dollari entro il primo trimestre del 2026. A tali costi si aggiunge il rischio di sanzioni legali e regole normative più stringenti, oltre all’eventuale impatto su accordi futuri con enti pubblici obbligati a rivedere i criteri di affidamento dei servizi.
L’episodio Conduent si colloca ormai tra le violazioni più rilevanti del 2025 negli Stati Uniti, soprattutto per la portata e la complessità, anche se è dietro casi quali Change Healthcare, che ha coinvolto oltre 190 milioni di individui. In un contesto di crescente digitalizzazione dei servizi pubblici, l’evento evidenzia con chiarezza la necessità di vincoli più solidi per i vendor esterni: sia a livello tecnico — come segmentazione della rete, sicurezza zero-trust, monitoraggio attivo — sia a livello normativo, accelerando le trail di notifica e imponendo standard di sicurezza obbligatori.
Questo caso è emblematico: una singola intrusione informatica ha raggiunto decine di milioni di cittadini, rivelando le fragilità strutturali della filiera dei servizi digitali pubblici. È urgente che istituzioni, regolatori e imprese riflettano su modelli di protezione, vigilanza e responsabilità condivisa, per evitare che la prossima catastrofe sia solo rinviata.
