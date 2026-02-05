Il 5 febbraio 2026, TechCrunch ha rivelato che la violazione informatica subita da Conduent, gigante del govtech, potrebbe aver colpito molte più persone del previsto. Le stime aggiornate indicano fino a 15,4 milioni di individui in Texas e altri 10,5 milioni in Oregon, senza escludere centinaia di migliaia di notifiche in altri Stati americani.

Una breach di dimensioni inedite

La vicenda risale a gennaio 2025, quando un attacco ransomware del gruppo Safepay causò interruzioni operative e il furto di oltre 8 terabyte di dati sensibili. La stima originale, diffusa in ottobre, parlava di circa 10,5 milioni di persone colpite; oggi, tuttavia, quella cifra appare drasticamente sottostimata.

Conduent ha scoperto l'intrusione il 13 gennaio 2025, ma il cyberattacco era iniziato già il 21 ottobre 2024. Le prime stime, basate su comunicazioni a regolatori statali e alla SEC, indicavano almeno 10,5 milioni di individui coinvolti, con esposizione di dati quali nomi, date di nascita, numeri di Social Security, informazioni mediche e assicurative. Questa stima si rifà a fonti come PR Newswire, che indica 10.515.849 persone impattate, e a conferme giunte da uffici dei procuratori generali di Oregon e Texas.

Numeri che crescono: il caso del Texas

Nuovi sviluppi, segnalati da fonti legali e giornalistiche, portano il numero solo per il Texas a circa 14,7 milioni, quasi quanto la popolazione statale intera.

Questo aggiornamento spinge il totale stimato oltre i 20-25 milioni di vittime potenziali.

All’indomani della violazione, Conduent ha attivato servizi di monitoraggio crediti gratuiti fino al 31 marzo 2026 e affronta numerose class action in corso.

Impatto operativo e legale

L’attacco ha generato costi diretti stimati in 25 milioni di dollari entro il 2025, con altri 16 milioni attesi nel 2026. Nonostante la compagnia affermi di non aver trovato prove di utilizzo improprio dei dati, la violazione è già la più grande del 2025 e tra le prime otto più estese mai registrate negli Stati Uniti. Le ripercussioni legali comprendono accuse di violazione del HIPAA, della FTC Act, di negligenza, arricchimento ingiustificato e mancata notifica tempestiva, con indagini in vari stati e potenziali sanzioni milionarie.

Confronto con altri data breach

Se inizialmente si collocava come l’ottava più ampia violazione della storia degli Stati Uniti, la rivisitazione con i quasi 15 milioni di Texans coinvolti potrebbe proiettare Conduent tra i casi più gravi mai registrati. Per contesto: il breach di Change Healthcare del 2024 ha coinvolto circa 193 milioni di individui, e Aflac nel 2025 oltre 22 milioni. Rimane tuttavia che questo episodio segna un forte campanello d’allarme: un contractor governativo che gestisce dati sanitari rappresenta, sfortunatamente, un obiettivo ad altissima priorità per i criminali informatici. La breach di Conduent evidenzia l’urgenza di rafforzare le politiche di protezione nei servizi pubblici digitali, a difesa non solo della privacy individuale ma della resilienza dell’intero ecosistema pubblico.