Immaginate un attaccante che non usa vulnerabilità zero-day, non forza nessun sistema di autenticazione e non acquista tool sofisticati sul dark web. Immaginate, invece, qualcuno che scrive un’e-mail, fa una telefonata e poi, con la sola forza della manipolazione psicologica, apre le porte di uno dei più grandi operatori telefonici d’Europa.

È esattamente quello che è successo a Odido, la principale telco dei Paesi Bassi con oltre 6 milioni di clienti: una violazione che non solo espone dati sensibili di massa, ma riaccende in modo prepotente il dibattito su quanto il fattore umano rimanga il tallone d’Achille irrisolto della cyber security aziendale.

Come sottolinea Sandro Sana, Ethical Hacker e membro del Comitato Scientifico Cyber 4.0, “il caso Odido dimostra, ancora una volta, che la MFA (autenticazione a più fattori) non viene “bucata”: viene gentilmente consegnata. Quando il social engineering entra in gioco, firewall e controlli tecnici diventano comparse”.

Il caso Odido: cronologia di un attacco chirurgico

Il 14 febbraio 2026 Odido – nato dalla fusione tra T-Mobile Netherlands e Tele2 Netherlands nel 2022 – ha comunicato ufficialmente alla propria base clienti un grave incidente di sicurezza informatica. L’azienda ha notificato l’Autorità olandese per la protezione dei dati (AP) e avviato un processo di notifica che, secondo fonti interne, richiederebbe fino a due giorni per raggiungere tutti i destinatari.

Il vettore iniziale dell’attacco, ricostruito da fonti vicine all’indagine e riportato dalla testata olandese NOS, segue uno schema di multi-stage social engineering ormai consolidato ma ancora drammaticamente efficace:

• Fase 1, phishing: nella prima fase, gli attaccanti hanno inviato email di phishing mirate a dipendenti del call center — in particolare a operatori di call center esternalizzati — riuscendo a sottrarre le relative credenziali di accesso.
• Fase 2, vishing ed MFA Bypass: con le credenziali in mano, ma bloccati dall’autenticazione multi-fattore (MFA), gli attaccanti hanno chiamato telefonicamente le stesse vittime spacciandosi per tecnici del reparto IT interno di Odido, convincendole ad approvare il tentativo di accesso.
• Fase 3, esfiltrazione dati: una volta dentro, gli attaccanti hanno avuto accesso al sistema CRM Salesforce, da cui hanno iniziato un’estrazione sistematica dei dati dei clienti tramite scraping programmatico.

La tecnica descritta corrisponde perfettamente a quello che in gergo tecnico si chiama MFA fatigue attack o real-time phishing proxy: l’attaccante non rompe la MFA, la scavalca semplicemente convincendo l’utente legittimo ad approvare la richiesta di autenticazione.

Una distinzione sottile ma fondamentale.

Cosa è stato compromesso: l’impatto reale sui dati

Odido ha ufficialmente comunicato che il data breach ha interessato un “sistema di contatto clienti” che, secondo alcune fonti, potrebbe essere identificato con la piattaforma CRM Salesforce utilizzata dai call center.

La buona notizia, se di buona notizia si può parlare, è che password, dettagli delle chiamate e dati di fatturazione non sono stati compromessi.

La cattiva notizia è che per una parte significativa degli utenti notificati (stimati in circa 6,2 milioni tra clienti attuali ed ex-clienti) i dati potenzialmente esposti includono elementi ad alto rischio di sfruttamento secondario:

• nomi e cognomi;
• indirizzi di residenza e indirizzi e-mail;
• IBAN bancari;
• date di nascita;
• numeri di documento di identità: passaporto e/o patente di guida.

Nel data breach di Odido sarebbero interessati anche i clienti del brand sussidiario Ben, operatore low-cost che eroga servizi su base contrattuale senza piani a lungo termine.

La combinazione di questi dati (identità anagrafica, coordinate bancarie, documento d’identità) rappresenta un kit pressoché completo per attività di identity fraud e spear phishing.

Anatomia del social engineering avanzato: perché funziona sempre

Per chi lavora ogni giorno nel campo della cyber security difensiva, il data breach di Odido non è una sorpresa: è la conferma di un pattern osservabile che si ripete con cadenza sempre più frequente.

Il social engineering di nuova generazione non è il classico principe nigeriano delle e-mail spam degli anni 90. È un’operazione chirurgica, scalabile e spesso automatizzata, costruita su tre pilastri psicologici fondamentali:

1. Autorità (Authority). L’attaccante si è presentato come membro dell’IT interno, sfruttando il principio di compliance all’autorità descritto dallo psicologo statunitense Robert Cialdini nel suo libro “Le armi della persuasione”, insieme alle altre sei tendenze umane (autorevolezza, reciprocità, scarsità, coerenza, riprova sociale e simpatia). I dipendenti dei call center – spesso terzisti, poco integrati nella cultura di sicurezza dell’azienda madre – tendono a obbedire alle richieste percepite come “tecniche” provenienti dall’IT, anche se non le comprendono pienamente.
2. Urgenza (Scarcity/Urgency). La narrativa usata durante la chiamata vishing era quasi certamente costruita intorno all’urgenza: “C’è un problema di sicurezza sul tuo account, devi approvare immediatamente questa verifica”. L’urgenza inibisce il pensiero critico e accelera la decisione impulsiva.
3. Scarcity of Information. I dipendenti target non avevano modo rapido di verificare l’identità del chiamante. I sistemi di autenticazione interna per le telefonate aziendali sono ancora oggi raramente implementati, creando un gap di verifica che gli attaccanti sfruttano sistematicamente.

È utile sottolineare, inoltre, che il vettore d’attacco descritto è riconducibile alla famiglia degli attacchi di tipo MFA bypass via social engineering. In particolare, la tecnica del “vishing post-phishing” è documentata nel framework MITRE ATT&CK alla voce T1566.004 (Spearphishing Voice) combinata con T1621 (Multi-Factor Authentication Request Generation).

La particolarità di questo attacco è la fase di handoff: il phishing cattura le credenziali, mentre il vishing completa il bypass MFA in real-time. Il tutto senza alcun exploit tecnico.

Una tecnica, questa, che è stata osservata anche negli attacchi contro MGM Resorts (2023), Uber (2022) e Twilio (2022): tre casi in cui il social engineering ha preceduto o sostituito l’hacking tecnico.

Quando il CRM diventa il bottino

Uno degli elementi più rilevanti per i professionisti IT emerge dal vettore di esfiltrazione nel data breach di Odido: il sistema compromesso pare sia stato Salesforce, la piattaforma CRM dominante nel mercato Enterprise. Questo dettaglio merita un’analisi specifica.

I sistemi CRM come Salesforce aggregano per definizione i dati più sensibili di un’organizzazione lato customer. Ironia della sorte, più il CRM è ben implementato, con profili cliente completi, storico interazioni, dati anagrafici completi, più diventa appetibile come target di esfiltrazione massiva.

Nel data breach di Odido, una volta ottenute le credenziali di un account operatore legittimo, gli attaccanti hanno potuto sfruttare le API native del CRM o semplicemente la navigazione programmatica del portale per estrarre dati in modo automatizzato: una tecnica che gli analisti definiscono una “programmatic scraping session”.

MFA bypassata: il mito dell’autenticazione multi-fattore

“Abbiamo implementato la MFA, siamo al sicuro”. Questa frase, ripetuta in quasi ogni assessment aziendale, è diventata pericolosamente fuorviante: il caso Odido è l’ennesima dimostrazione che la MFA è necessaria, ma non sufficiente.

La MFA basata su notifiche push (come quelle di Microsoft Authenticator o Google Authenticator) presuppone che l’utente sappia distinguere una notifica legittima da una fraudolenta. Presuppone, cioè, un livello di consapevolezza che, soprattutto in ambienti di call center ad alto turnover e bassa formazione specifica, non può essere dato per scontato.

Gli attaccanti, nel caso Odido, hanno semplicemente chiamato il dipendente mentre la notifica push era attiva, creando un contesto narrativo convincente (“Sono dell’IT, sto configurando il tuo account, approva la notifica che ti è arrivata”) che ha portato la vittima ad approvare consapevolmente, pur non sapendo cosa stesse approvando, l’accesso non autorizzato.

Raccomandazioni tecniche: verso una MFA resistente al social engineering

Per configurare un sistema di autenticazione multifattoriale resistente ai tentativi di attacchi di tipo social engineering è utile adottare le seguenti raccomandazioni:

• Utilizzare passkey e sistemi FIDO2: eliminano il problema alla radice. L’autenticazione è device-bound ed è crittograficamente legata al sito o all’app di destinazione, per cui non c’è alcuna notifica push da approvare.
• Number matching: se si usa la push MFA, è consigliabile abilitare il “number matching” per mostrare all’utente un codice da inserire nel telefono. Ciò riduce drasticamente il rischio di false approvazioni di accesso.
• Security awareness contestuale: è molto utile anche addestrare i dipendenti specificamente sullo scenario “qualcuno vi chiama e vi chiede di approvare una notifica”, spiegando loro come comportarsi in situazioni del genere.
• MFA resistente al phishing: dovrebbe essere obbligatoria per i sistemi in cui vengono trattati dati sensibili.
• Zero-trust per i call center terzisti: violazioni di sicurezza come quella di Odido dimostrano che il modello “trust but verify” non funziona più. I call center esternalizzati devono operare in ambienti containerizzati con visibilità ridotta e monitoraggio continuo delle sessioni.

Come evidenzia ancora Sandro Sana, “il vero problema non è Salesforce né la tecnologia utilizzata, ma l’illusione che l’autenticazione multi-fattore sia una misura risolutiva senza formazione, processi e controlli sull’operato dei terzisti”.

“Questo data breach”, continua l’analista, “è l’ennesima prova che il perimetro più fragile resta quello umano e che la supply chain, soprattutto nei call center esternalizzati, continua a essere il punto cieco di molte organizzazioni. La sicurezza non si compra a licenza: si governa”.

Implicazioni normative: GDPR, NIS2 e la responsabilità di terzi

Il data breach di Odido apre scenari interessanti e preoccupanti sul piano regolatorio europeo. La violazione coinvolge dati di cittadini olandesi ed europei, gestiti attraverso una piattaforma (Salesforce) e operatori di call center esternalizzati. Una catena di responsabilità complessa che il GDPR e la direttiva NIS2 devono intercettare.

Odido ha già notificato l’Autorità olandese per la protezione dei dati (AP) nei tempi previsti dall’art. 33 del GDPR, entro 72 ore dall’individuazione della violazione, e la notifica ai soggetti interessati è in corso.

Sul fronte NIS2, Odido come operatore di telecomunicazioni rientra tra i soggetti essenziali, con obblighi rafforzati in materia di gestione del rischio e notifica agli enti competenti.

Il nodo più critico, però, riguarda i call center terzisti. Se la violazione è originata da account di dipendenti di fornitori esterni, si pone con forza la questione dell’adeguatezza dei controlli di sicurezza imposti contrattualmente ai responsabili del trattamento ai sensi dell’art. 28 GDPR.

La domanda è semplice: i contratti con i call center prevedevano obblighi specifici di formazione anti-phishing e di gestione sicura dell’MFA? In caso contrario, Odido ne risponde in solido.

Cosa devono fare ora i clienti Odido: vademecum pratico

Odido ha comunicato ai clienti di aspettarsi possibili abusi derivati dall’esposizione dei loro dati, con una specifica attenzione alle fatture false che potrebbero sembrare provenire dall’operatore stesso.

Ecco i consigliamo da seguire concretamente per proteggersi da questi tentativi di truffa, sottolineando che questi stessi consigli sono validi sempre indipendentemente dal caso specifico:

1. Verificare ogni comunicazione finanziaria ricevuta da Odido accedendo direttamente al portale Odido, senza cliccare su link nelle email o SMS.
2. Attivare alert sulle movimentazioni bancarie collegate all’IBAN potenzialmente esposto.
3. Monitorare eventuali richieste di credito o aperture di conti effettuate a proprio nome, richiedendo una verifica alla propria banca.
4. Non condividere ulteriori dati sensibili a seguito di comunicazioni non verificate che si presentano come Odido.
5. In caso di sospetto utilizzo fraudolento dei documenti esposti (passaporto, patente), contattare le autorità competenti per richiedere un alert sul proprio codice documento.

Lezioni per i CISO: il framework difensivo dal social engineering

Da questo incidente emergono almeno cinque lezioni strutturali che ogni responsabile della sicurezza dovrebbe portare al prossimo board meeting:

• Il perimetro umano è il perimetro più vulnerabile.Nessun firewall, nessun EDR, nessun SIEM protegge dall’ingegneria sociale se i dipendenti non sono adeguatamente formati. La security awareness non è un costo overhead: è un controllo di sicurezza critico con ROI misurabile (riduzione del tasso di click su phishing simulati).
• I terzisti sono estensioni del perimetro aziendale. Un call center esterno che gestisce dati dei clienti è, a tutti gli effetti, parte del perimetro di sicurezza aziendale. I loro dipendenti devono ricevere la stessa formazione che ricevono i vostri. I loro sistemi devono rispettare i vostri standard. Questo va negoziato contrattualmente, non dato per scontato.
• Il CRM è infrastruttura critica. Salesforce, HubSpot, Microsoft Dynamics: questi sistemi contengono i gioielli della corona dei dati cliente. Trattarli come applicazioni ordinarie, senza monitoraggio comportamentale dedicato e controlli di accesso granulari, è un rischio sistemico inaccettabile.
• La MFA si bypassa: usare MFA resistente al phishing. Come evidenziato, la push MFA tradizionale non è più sufficiente contro attaccanti motivati. La transizione verso Passkeys e FIDO2 non è più un nice-to-have: è una necessità operativa, specialmente per i sistemi che contengono dati personali di milioni di utenti.
• Detection veloce, prevention perfetta. Nella realtà operativa, la prevenzione assoluta è un’utopia. Il vero differenziatore è la velocità di rilevamento. Nel caso Odido, l’esfiltrazione ha richiesto potenzialmente giorni. Un sistema di rilevamento comportamentale sulle sessioni Salesforce – anomalie nel volume di record consultati, orari di accesso insoliti, geoIP anomali – avrebbe potuto bloccare l’operazione molto prima.

Il social engineering è l’attacco cyber del decennio

Il data breach di Odido non sarà l’ultimo del suo genere. Anzi: con la crescente sofisticazione degli strumenti di AI generativa – che permettono di creare e-mail di phishing grammaticalmente perfette, deepfake vocali convincenti per il vishing e profili social costruiti ad hoc per aumentare la credibilità degli attaccanti – il social engineering di nuova generazione diventerà il vettore dominante degli anni a venire.

La risposta non può essere solo tecnologica, ma richiede un cambio di paradigma culturale nelle organizzazioni: la sicurezza non è responsabilità esclusiva del team IT, è responsabilità di ogni singola persona che ha accesso a sistemi aziendali, dai manager ai call center, dai developer agli stagisti.

Dunque, il messaggio da portare sempre ai propri clienti è questo: “Il vostro attaccante più pericoloso non è nel dark web. Probabilmente ha già il vostro numero di telefono interno“.

E Odido lo ha scoperto nel modo più costoso possibile.