---
url: 'https://www.corbado.com/it/blog/data-breach-francia'
title: 'I 10 più grandi data breach in Francia [2026]'
description: 'Scopri i 10 più grandi data breach in Francia. Da France Travail a Cegedim. Spiegazione delle sanzioni CNIL, delle regole di segnalazione e dei metodi di prevenzione.'
lang: 'it'
author: 'Vincent Delitz'
date: '2026-05-27T10:30:42.206Z'
lastModified: '2026-05-27T10:34:03.275Z'
keywords: 'data breach Francia, sanzioni GDPR Francia, attacco informatico Francia, notifica violazione dati Francia, data breach France Travail, più grande data breach Francia 2026, aziende francesi violate, maggiori data breach Francia 2026'
category: 'Passkeys Strategy'
---

# I 10 più grandi data breach in Francia [2026]

## Key Facts

- Il **data breach di France Travail** (marzo 2024) ha esposto i dati personali di fino a **43 milioni** di persone in cerca di occupazione, diventando il più grande data breach nella storia francese. A gennaio 2026, la CNIL ha multato France Travail per **5 milioni di euro** ai sensi dell'articolo 32 del GDPR, dove la sanzione massima per un ente pubblico è di 10 milioni di euro.
- Tra il 2024 e il 2025, più di **145 milioni di record** appartenenti a cittadini francesi sono stati esposti tra servizi pubblici, sanità, telecomunicazioni e vendita al dettaglio, equivalenti a più violazioni per ogni residente francese.
- Tre delle quattro principali società di telecomunicazioni francesi (Free, Bouygues Telecom, SFR) hanno confermato data breach nel 2024-2025, con le sole Free e Bouygues Telecom che hanno esposto gli IBAN di oltre **11 milioni di abbonati** in totale.
- La CNIL ha emesso sanzioni combinate record per **42 milioni di euro contro Free Mobile (27M) e Free (15M)** il 13 gennaio 2026, segnalando il passaggio dagli avvertimenti a un'applicazione punitiva.
- I titolari del trattamento francesi devono segnalare le violazioni dei dati personali alla **CNIL entro 72 ore** ai sensi dell'articolo 33 del GDPR. Gli operatori di importanza vitale (OIV) e dei servizi essenziali (OSE) informano inoltre l'**ANSSI**; il recepimento della NIS2 nel diritto francese era ancora in corso nel 2026.

## 1. Introduzione

La Francia è diventata una delle giurisdizioni più colpite dalle violazioni in Europa. Tra il 2024 e il 2025, più di **145 milioni di record** appartenenti a cittadini francesi sono stati esposti in servizi pubblici, [sanità](https://www.corbado.com/passkeys-for-healthcare), [telecomunicazioni](https://www.corbado.com/passkeys-for-telecom) e [vendita al dettaglio](https://www.corbado.com/passkeys-for-e-commerce), il che significa che statisticamente **ogni residente francese è stato coinvolto in più data breach**. Secondo la [CNIL](https://www.cnil.fr/en), nel 2024 sono state ricevute oltre 5.600 notifiche di violazione, un nuovo massimo storico.

Questo articolo elenca i 10 data breach più significativi nella recente storia francese, dai 43 milioni di record esposti nell'incidente di France Travail alla fuga di notizie del software sanitario Cegedim Santé, insieme alle regole di segnalazione della CNIL, alle sanzioni e ai modelli di prevenzione che si applicano a qualsiasi organizzazione che opera in Francia.

## 2. Perché la Francia è un bersaglio interessante per i data breach?

Il [settore pubblico](https://www.corbado.com/passkeys-for-public-sector) francese altamente digitalizzato, il suo denso ecosistema di [pagamenti](https://www.corbado.com/passkeys-for-payment) in ambito [sanitario](https://www.corbado.com/passkeys-for-healthcare) e i tre principali operatori di [telecomunicazioni](https://www.corbado.com/passkeys-for-telecom) che detengono ciascuno decine di milioni di record di abbonati si combinano per produrre una superficie di attacco smisurata. Aggiungiamo i sottoinvestimenti cronici in ambito di sicurezza informatica rispetto ad altri paesi e l'ingegneria sociale che prende di mira i consulenti in prima linea, e il risultato è la serie da record di violazioni che la Francia ha registrato nel 2024-2026.

### 2.1 Settore pubblico altamente digitalizzato

La Francia dispone di uno degli stack di e-[government](https://www.corbado.com/passkeys-for-public-sector) più avanzati in Europa. FranceConnect, la federazione nazionale delle identità, indirizza l'accesso alle imposte, all'[assistenza sanitaria](https://www.corbado.com/passkeys-for-healthcare), all'occupazione e agli assegni familiari. Un singolo account compromesso di un consulente può quindi esporre record che abbracciano decenni, come si è visto con France Travail, Pass'Sport e OFII. Il [settore pubblico](https://www.corbado.com/passkeys-for-public-sector) conserva i dati dei cittadini dalla culla alla tomba, creando una concentrazione di record sensibili senza eguali per dimensioni.

### 2.2 Un denso ecosistema di responsabili del trattamento di terze parti

Le [assicurazioni](https://www.corbado.com/passkeys-for-insurance) sanitarie francesi si affidano a un piccolo numero di piattaforme di "tiers payant" (Viamedis, Almerys, Cegedim) che elaborano i dati per decine di mutue. Un'intrusione si propaga quindi a decine di milioni di assicurati. Lo stesso schema è visibile nelle [telecomunicazioni](https://www.corbado.com/passkeys-for-telecom) (il data breach del 2025 di Bouygues [Telecom](https://www.corbado.com/passkeys-for-telecom) tramite un fornitore terzo) e nell'[e-commerce](https://www.corbado.com/passkeys-for-e-commerce). Anche le organizzazioni con programmi di sicurezza interna maturi rimangono esposte attraverso le loro reti di fornitori.

### 2.3 Sottoinvestimento cronico nella sicurezza informatica

Analisi indipendenti come [Edouard.ai](https://edouard.ai/blog/france-data-leaks-2025-bouygues-passsport-impots) stimano che la spesa pubblica francese per la sicurezza informatica sia pari a circa lo **0,03% del PIL** (una stima, non un dato ufficiale), notevolmente inferiore rispetto ad altri paesi europei simili. Storicamente le sanzioni medie della CNIL sono rimaste al di sotto delle controparti dell'UE, riducendo il deterrente finanziario per una sicurezza lassista, una lacuna che l'ente regolatore sta ora colmando con sanzioni record contro Free Mobile, France Travail e altri.

### 2.4 Ingegneria sociale e lacune nell'MFA

Molti dei più grandi incidenti francesi (France Travail, Viamedis, Free) sono iniziati con phishing o furti di account sui portali di consulenti o dipendenti che non applicavano l'MFA resistente al phishing. In ogni caso, gli aggressori hanno preso di mira **gli esseri umani ai margini** piuttosto che l'infrastruttura principale. La FIDO Alliance classifica le passkey come resistenti al phishing fin dalla progettazione, poiché ogni passkey è vincolata all'origine legittima e non può essere riutilizzata contro siti controllati da aggressori. I servizi pubblici e le società di telecomunicazioni francesi che non hanno ancora implementato le passkey o l'autenticazione basata su hardware rimangono esposti alla stessa classe di attacco.

## 3. I 10 più grandi data breach in Francia

Le dieci maggiori violazioni di dati francesi dal 2023 hanno esposto almeno **145 milioni di record** in totale e hanno innescato sanzioni CNIL per un totale di **47 milioni di euro** entro gennaio 2026. Coinvolgono servizi pubblici (France Travail, Pass'Sport), piattaforme sanitarie (Viamedis, Almerys, Cegedim Santé), telecomunicazioni (Free, Bouygues Telecom) e [vendita al dettaglio](https://www.corbado.com/passkeys-for-e-commerce) ai consumatori (ManoMano, Sport 2000). La tabella seguente ne riassume la portata, l'anno e l'esito normativo; seguono descrizioni dettagliate dei casi e modelli di prevenzione.

| #   | Azienda / Ente                   | Anno | Record o portata               | Esito normativo                 |
| --- | -------------------------------- | ---- | ------------------------------ | ------------------------------- |
| 1   | France Travail                   | 2024 | Fino a 43 milioni              | **Sanzione CNIL di 5M EUR (2026)**|
| 2   | ManoMano                         | 2026 | Fino a 37,8 milioni (dichiarati) | In fase di revisione            |
| 3   | Viamedis e Almerys               | 2024 | 33 milioni                     | Indagine CNIL in corso          |
| 4   | Free / Free Mobile               | 2024 | 24,6 milioni (5,11M IBAN)      | **Sanzione CNIL di 42M EUR (2026)**|
| 5   | Cegedim Santé (MLM)              | 2025 | 15 milioni                     | Indagine penale aperta          |
| 6   | France Travail (MOVEit)          | 2023 | 10 milioni                     | Nessuna sanzione CNIL separata  |
| 7   | Bouygues Telecom                 | 2025 | 6,4 milioni (con IBAN)         | CNIL e ANSSI notificate         |
| 8   | Pass'Sport                       | 2025 | 6,4 milioni di indirizzi e-mail| CNIL notificata                 |
| 9   | Sport 2000                       | 2024 | 3,2 milioni                    | Indicizzato su HIBP, CNIL notificata |
| 10  | Fédération Française de Football | 2025 | \~2,4 milioni di tesserati     | CNIL notificata                 |

### 3.1 Data breach di France Travail (2024)

![Logo France Travail](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/francetravail_d3254f1758.png)

| Dettagli                 | Informazioni                                                                                                                                                               |
| ------------------------ | -------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| Data                     | Marzo 2024                                                                                                                                                                 |
| Numero di clienti colpiti| Fino a 43 milioni                                                                                                                                                          |
| Dati violati             | - Nomi completi<br/>- Date e luoghi di nascita<br/>- Numeri di previdenza sociale (NIR)<br/>- ID France Travail<br/>- Indirizzi e-mail<br/>- Indirizzi postali<br/>- Numeri di telefono |

A marzo 2024, France Travail (precedentemente Pôle Emploi) e Cap Emploi hanno rivelato quello che oggi è considerato il più grande data breach nella storia francese. Gli aggressori hanno utilizzato l'**ingegneria sociale** per impossessarsi degli account dei consulenti di Cap Emploi (l'organizzazione che supporta le persone con disabilità) e hanno avuto accesso ai dati di tutti gli individui registrati negli ultimi 20 anni, nonché dei candidati con un profilo su francetravail.fr. Secondo la [CNIL](https://www.cnil.fr/en/data-breach-5million-fine-france-travail), potrebbero essere state colpite fino a 43 milioni di persone.

Il 22 gennaio 2026, la [CNIL](https://www.cnil.fr/en/data-breach-5million-fine-france-travail) ha multato France Travail per **5 milioni di euro** ai sensi dell'articolo 32 del GDPR, dove il massimo legale per un ente pubblico è di 10 milioni di euro. L'ente di regolamentazione ha citato l'"ignoranza dei principi essenziali di sicurezza" e ha ordinato misure correttive sotto una penale di 5.000 euro al giorno. Questa era già la seconda violazione per France Travail: nell'agosto 2023, un incidente di terze parti legato al gruppo ransomware Cl0p che sfruttava uno zero-day di MOVEit Transfer aveva già esposto i dati di 10 milioni di utenti.

Metodi di prevenzione:

- Imporre l'MFA resistente al phishing (passkey) per tutti gli account di consulenti e amministratori che accedono in blocco ai dati dei cittadini
- Applicare il rilevamento delle anomalie per le query di massa e regole rigorose per la conservazione dei dati nei database dei cittadini

### 3.2 Data breach di ManoMano (2026)

![Logo ManoMano](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/manomano_6309bda5c8.png)

| Dettagli                 | Informazioni                                                           |
| ------------------------ | ---------------------------------------------------------------------- |
| Data                     | Febbraio 2026                                                          |
| Numero di clienti colpiti| Fino a 37,8 milioni (dichiarati)                                       |
| Dati violati             | - Dati identificativi<br/>- Dettagli di contatto<br/>- Informazioni amministrative |

A febbraio 2026, il gigante francese dell'[e-commerce](https://www.corbado.com/passkeys-for-e-commerce) del fai-da-te ManoMano è stato nominato da attori di minacce in una vendita di dati citata in diversi tracker di sicurezza informatica francesi. L'attore sosteneva di aver compromesso **fino a 37,8 milioni di record di clienti**, inclusi dati identificativi, dettagli di contatto e informazioni amministrative. La portata della dichiarazione è coerente con la base cumulativa di utenti europei della piattaforma piuttosto che con i clienti attivi francesi, ma l'incidente rimane una delle vendite di dati di maggior volume legate alla Francia mai osservate.

L'esposizione sottolinea come i grandi [marketplace](https://www.corbado.com/passkeys-for-e-commerce) consumer in Francia siano diventati attraenti per gli aggressori tanto quanto banche o società di telecomunicazioni, in particolare quando i dati possono essere combinati con fughe di notizie precedenti per costruire "grafi di identità" per le frodi.

Metodi di prevenzione:

- Monitorare costantemente i forum clandestini e i [marketplace](https://www.corbado.com/passkeys-for-e-commerce) delle violazioni alla ricerca di elenchi di clienti esposti e far rispettare rigorosi limiti di velocità delle API sugli endpoint dei clienti
- Ridurre al minimo la conservazione dei profili storici e a bassa attività dei clienti

### 3.3 Data breach di Viamedis e Almerys (2024)

| Dettagli                 | Informazioni                                                                                                                                           |
| ------------------------ | ------------------------------------------------------------------------------------------------------------------------------------------------------ |
| Data                     | Gennaio-Febbraio 2024                                                                                                                                  |
| Numero di clienti colpiti| 33 milioni                                                                                                                                             |
| Dati violati             | - Nomi<br/>- Date di nascita<br/>- Dettagli dell'assicuratore<br/>- Numeri di previdenza sociale<br/>- Stato civile<br/>- Diritti ai pagamenti di terzi |

Tra gennaio e febbraio 2024, Viamedis e Almerys, due processori di [pagamento](https://www.corbado.com/passkeys-for-payment) francesi di terze parti per [assicurazioni](https://www.corbado.com/passkeys-for-insurance) sanitarie integrative, sono state violate in rapida successione. La CNIL ha confermato che, combinati, gli incidenti hanno colpito **33 milioni di persone, quasi la metà della popolazione francese**.

L'intrusione in Viamedis è stata fatta risalire a un **attacco di phishing** mirato ai professionisti della salute, consentendo agli aggressori di riutilizzare le credenziali rubate sul portale dei fornitori. Si sospetta che Almerys sia stata colpita tramite un portale analogo per i professionisti della salute.

> "È la prima volta che si verifica una violazione di questa portata." — Yann Padova, ex segretario generale della CNIL (2024)

Metodi di prevenzione:

- Distribuire l'MFA resistente al phishing (passkey) per ogni professionista sanitario che accede ai dati dei membri assicurati
- Segmentare le piattaforme di tiers-payant in modo che un portale compromesso non possa esporre l'intero database nazionale

### 3.4 Data breach di Free (2024)

![Logo Free Mobile](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/free_d166ba4dc6.png)

| Dettagli                 | Informazioni                                                                                                                            |
| ------------------------ | --------------------------------------------------------------------------------------------------------------------------------------- |
| Data                     | Ottobre 2024                                                                                                                            |
| Numero di clienti colpiti| 24,6 milioni di contratti (19,46M Free Mobile + 5,17M Free), inclusi 5,11M di IBAN                                                      |
| Dati violati             | - Nomi completi<br/>- Indirizzi e-mail<br/>- Date di nascita<br/>- Indirizzi postali<br/>- Numeri di telefono<br/>- 5,11 milioni di IBAN (solo Free) |

Nell'ottobre 2024, Free (il secondo provider ISP francese e filiale del gruppo Iliad) ha confermato che gli aggressori avevano compromesso uno strumento di gestione interno e trafugato i dati di **19,46 milioni di contratti Free Mobile e 5,17 milioni di contratti Freebox**, inclusi gli **IBAN di tutti i 5,11 milioni di clienti Freebox**. I dati sono stati rapidamente messi all'asta su BreachForums da un attore di minacce noto come "drussellx", con l'offerta finale che ha raggiunto i 175.000 euro.

Free ha sottolineato che le password, i dati delle carte di [pagamento](https://www.corbado.com/passkeys-for-payment) e i contenuti delle comunicazioni non sono stati interessati, ma la combinazione di IBAN, nome e cognome e data di nascita è sufficiente per frodi con addebito diretto e phishing di alta qualità. Il 13 gennaio 2026, la [CNIL ha sanzionato Free Mobile per 27 milioni di euro e Free per 15 milioni di euro](https://www.cnil.fr/en) (42 milioni di euro in totale) per sicurezza inadeguata dei dati degli abbonati, una delle più grandi sanzioni GDPR combinate mai emesse in Francia per un data breach.

Metodi di prevenzione:

- Proteggere gli strumenti interni privilegiati con MFA resistente al phishing e accesso just-in-time
- Tokenizzare IBAN e identificatori di pagamento in modo che i record degli abbonati non siano direttamente monetizzabili

### 3.5 Data breach di Cegedim Santé (MLM) (2025)

![Logo Cegedim](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/cegedim_920112c77d.png)

| Dettagli                 | Informazioni                                                                                             |
| ------------------------ | -------------------------------------------------------------------------------------------------------- |
| Data                     | Ottobre 2025                                                                                             |
| Numero di clienti colpiti| Circa 15 milioni di pazienti                                                                             |
| Dati violati             | - Dati amministrativi dei pazienti (cognome, nome, sesso, ecc.)<br/>- 19 milioni di record su 15 anni    |

Nell'ottobre 2025, degli aggressori hanno violato "MonLogicielMedical.com" (MLM), un software gestionale per studi medici edito da [Cegedim Santé](https://www.cegedim.com/) e utilizzato da migliaia di professionisti sanitari francesi. Secondo il Ministero della Salute francese, l'incidente ha compromesso **i dati amministrativi di circa 15 milioni di pazienti francesi**, coprendo fino a 15 anni di storia e 19 milioni di righe di record digitali.

Nel suo chiarimento del febbraio 2026, Cegedim Santé ha affermato che i dati in questione erano **esclusivamente amministrativi** (informazioni di tipo identitario come cognome, nome e sesso) e che le cartelle cliniche strutturate, i commenti medici in testo libero e diagnosi sensibili come lo stato sierologico per l'HIV **non** erano coinvolti. Un'indagine penale per "violazione di un sistema automatizzato di dati" è stata aperta il 27 ottobre 2025.

> "Potenzialmente la più grande fuga di dati nella storia della sanità francese." — Gérôme Billois, esperto di sicurezza informatica presso Wavestone (ottobre 2025)

Metodi di prevenzione:

- Applicare un'autenticazione forte (passkey) per ogni professionista che accede al software medico cloud
- Applicare una rigorosa minimizzazione dei dati e una separazione tra i dati identificativi amministrativi e le cartelle cliniche nelle piattaforme mediche SaaS

### 3.6 Data breach di France Travail MOVEit (2023)

![Logo France Travail](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/francetravail_d3254f1758.png)

| Dettagli                 | Informazioni                                                     |
| ------------------------ | ---------------------------------------------------------------- |
| Data                     | Agosto 2023                                                      |
| Numero di clienti colpiti| Circa 10 milioni                                                 |
| Dati violati             | - Nomi completi<br/>- Numeri di previdenza sociale<br/>- Dettagli di contatto |

Prima dell'incidente del 2024 che ha fatto notizia, France Travail era già stata vittima di una violazione di terze parti legata al gruppo ransomware Cl0p che sfruttava una vulnerabilità zero-day nel software Progress MOVEit Transfer. L'attacco ha esposto le informazioni personali di circa **10 milioni di persone in cerca di occupazione**, inclusi nomi, NIR e dettagli di contatto. Faceva parte dell'ondata globale della catena di approvvigionamento di MOVEit che ha colpito centinaia di organizzazioni in tutto il mondo ed è stato un precursore della violazione ancora più grave del 2024 a carico della stessa agenzia.

Metodi di prevenzione:

- Mantenere un inventario aggiornato del software di trasferimento file di terze parti esposto a Internet e applicare patch virtuali per le finestre temporali degli zero-day
- Segmentare le pipeline di trasferimento file dalle risorse umane principali e dai database dei cittadini

### 3.7 Data breach di Bouygues Telecom (2025)

![Logo Bouygues Telecom](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/bouygues_d1a6afded7.png)

| Dettagli                 | Informazioni                                                                                                 |
| ------------------------ | ------------------------------------------------------------------------------------------------------------ |
| Data                     | Agosto 2025                                                                                                  |
| Numero di clienti colpiti| 6,4 milioni                                                                                                  |
| Dati violati             | - Nomi completi<br/>- Indirizzi postali<br/>- Numeri di telefono<br/>- Date di nascita<br/>- Dati contrattuali<br/>- IBAN |

Il 4 agosto 2025, Bouygues Telecom, uno dei principali operatori di telefonia mobile in Francia con circa 14,5 milioni di abbonati mobili e una base di clienti complessiva di circa 23 milioni, ha rilevato un attacco informatico a un sistema di gestione clienti. Due giorni dopo, l'azienda ha confermato che gli aggressori avevano avuto accesso ai dati personali e contrattuali di **6,4 milioni di clienti**, inclusi gli IBAN. Password e numeri di carte di pagamento non sono stati compromessi.

Si ritiene che la violazione abbia avuto origine da un fornitore di terze parti ed è stata segnalata alla CNIL e all'ANSSI. Ai sensi dell'[articolo 323-1 del Code pénal francese](https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000030939438/), l'aggressore rischia fino a tre anni di carcere per accesso non autorizzato a un sistema di elaborazione dati automatizzato, che salgono a cinque anni se i dati vengono alterati o il sistema viene compromesso. Bouygues Telecom stessa affronta l'esame del GDPR da parte della CNIL per la gestione dei rischi di terze parti. L'incidente fa parte di uno schema più ampio che ha colpito anche SFR (settembre 2025, dettagli [bancari](https://www.corbado.com/passkeys-for-banking)) e Free nel 2024-2025.

Metodi di prevenzione:

- Considerare i fornitori di terze parti come parte della superficie di attacco principale e richiedere un'MFA resistente al phishing in tutti i sistemi connessi
- Tokenizzare IBAN e altri identificatori di pagamento per limitare il valore dei furti di dati in blocco

### 3.8 Data breach di Pass'Sport (Dicembre 2025)

![Logo Pass'Sport](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/passsport_c10a1e5abd.png)

| Dettagli                 | Informazioni                                                                               |
| ------------------------ | ------------------------------------------------------------------------------------------ |
| Data                     | Dicembre 2025                                                                              |
| Numero di clienti colpiti| 3,5 milioni di famiglie (6,4 milioni di indirizzi e-mail unici)                            |
| Dati violati             | - Identità dei beneficiari e dei genitori<br/>- Dettagli di contatto<br/>- Informazioni amministrative |

Pass'Sport è un programma del [governo](https://www.corbado.com/passkeys-for-public-sector) francese gestito dal Ministero dello Sport che fornisce un sussidio di **70 euro** (in precedenza 50 euro) ai giovani idonei per le iscrizioni alle associazioni sportive. Nella notte tra il 17 e il 18 dicembre 2025, un file di 15 GB contenente più di 22 milioni di righe di dati è apparso online. I primi resoconti dei media hanno erroneamente attribuito la fuga alla Caisse d'Allocations Familiales (CAF), che ha negato pubblicamente qualsiasi intrusione su caf.fr. Il Ministero dello Sport ha successivamente confermato che i dati provenivano dal **sistema informativo Pass'Sport**, coprendo circa **3,5 milioni di famiglie e 6,4 milioni di indirizzi e-mail unici** di beneficiari e dei loro genitori o tutori.

I record esposti coprivano il periodo da settembre 2024 a novembre 2025 e includevano identità complete, indirizzi postali, numeri di telefono e indirizzi e-mail, ma non dati [bancari](https://www.corbado.com/passkeys-for-banking) o password. Il set di dati è particolarmente prezioso per il phishing mirato alle famiglie con minori, e da allora un'ampia parte è stata indicizzata su [Have I Been Pwned](https://haveibeenpwned.com/).

Metodi di prevenzione:

- Applicare la protezione più rigorosa possibile ai sistemi che elaborano i dati dei minori, inclusa l'MFA obbligatoria resistente al phishing per gli amministratori
- Ridurre al minimo la durata per la quale i dati dei beneficiari vengono conservati dopo la scadenza del programma

### 3.9 Data breach di Sport 2000 (2024)

| Dettagli                 | Informazioni                                                                                                                        |
| ------------------------ | ----------------------------------------------------------------------------------------------------------------------------------- |
| Data                     | Aprile 2024                                                                                                                         |
| Numero di clienti colpiti| 3,2 milioni di indirizzi e-mail unici (4,4 milioni di record)                                                                       |
| Dati violati             | - Nomi completi<br/>- Indirizzi e-mail<br/>- Numeri di telefono<br/>- Indirizzi postali<br/>- Date di nascita<br/>- Cronologia degli acquisti per punto vendita |

Nell'aprile 2024, il rivenditore francese di articoli sportivi **Sport 2000** ha subito un data breach che in seguito è stato [indicizzato da Have I Been Pwned](https://haveibeenpwned.com/Breach/Sport2000). Un attore di minacce che operava con lo pseudonimo "ChatNoir7331" ha pubblicato un database di **4,4 milioni di righe con 3,2 milioni di indirizzi e-mail unici** in vendita su un forum di hacking, e il set di dati è stato poi ripubblicato gratuitamente a giugno 2024. La fuga di notizie includeva nomi, indirizzi e-mail e postali, numeri di telefono, date di nascita e cronologia dettagliata degli acquisti collegata a specifici punti vendita.

La combinazione dei dati di contatto con la cronologia degli acquisti per negozio rende la fuga di dati di Sport 2000 particolarmente utile per il phishing altamente mirato ("il tuo recente acquisto da Sport 2000 Lione...") e illustra come i rivenditori francesi di medie dimensioni possano produrre violazioni su scala di consumatori quando i database di marketing sono scarsamente segmentati.

Metodi di prevenzione:

- Segmentare i database di marketing e transazionali e ruotare i token di accesso utilizzati dagli strumenti di marketing di terze parti
- Ridurre al minimo la conservazione dei dati storici degli acquisti legati a clienti identificabili

### 3.10 Data breach della Fédération Française de Football (2025)

![Logo FFF](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/fff_small_0465e008b5.png)

| Dettagli                 | Informazioni                                                                         |
| ------------------------ | ------------------------------------------------------------------------------------ |
| Data                     | 2025                                                                                 |
| Numero di clienti colpiti| Circa 2,4 milioni di tesserati                                                       |
| Dati violati             | - Identità dei membri<br/>- Date di nascita<br/>- Dettagli di contatto<br/>- Numeri di tessera |

Nel 2025, la [Fédération Française de Football (FFF)](https://www.fff.fr/) ha rivelato una violazione che ha esposto i dati personali dei suoi tesserati. La FFF pubblica i dati di circa **2,38 milioni di membri tesserati** per la stagione 2023-2024. Secondo lo stesso avviso di "vol de données" della FFF, l'incidente riguardava i dati di identità e di contatto (nomi, date di nascita, numeri di licenza e alcuni documenti di identità) ed **escludeva esplicitamente i dati sanitari**. L'incidente della FFF ha fatto parte di un'ondata che ha colpito anche la Fédération Française de Voile, la Fédération Française de Gymnastique, la Fédération Française de Tir e altre, confermando le federazioni sportive francesi come un bersaglio attraente a causa dei loro ampi set di dati archiviati storicamente e dei budget di sicurezza informatica relativamente modesti.

Metodi di prevenzione:

- Dare priorità agli investimenti nella sicurezza informatica nelle federazioni e nelle organizzazioni senza scopo di lucro che conservano decenni di dati sui membri
- Rimuovere i record storici che non sono più necessari per gestire le licenze

## 4. Come segnalare un data breach in Francia

I titolari del trattamento francesi devono segnalare un data breach personale alla [CNIL](https://www.cnil.fr/en) entro **72 ore** dalla sua conoscenza, ai sensi dell'articolo 33 del GDPR. Se la violazione rischia di presentare un rischio elevato per le persone interessate, l'articolo 34 del GDPR richiede di avvisarle senza indebito ritardo. Gli operatori di importanza vitale (OIV) e gli operatori dei servizi essenziali (OSE) informano inoltre l'[ANSSI](https://www.ssi.gouv.fr/en/); il completo recepimento della direttiva NIS2 nel diritto francese era ancora in corso nel 2026.

### 4.1 La regola delle 72 ore del GDPR (Articolo 33)

Ai sensi dell'[Articolo 33 del GDPR](https://gdpr-info.eu/art-33-gdpr/), un titolare del trattamento deve notificare alla CNIL una violazione dei dati personali **non oltre le 72 ore** successive a quando ne è venuto a conoscenza. Se la notifica subisce ritardi, il titolare del trattamento deve fornire le motivazioni del ritardo. La notifica deve descrivere la natura della violazione, le categorie e il numero approssimativo delle persone colpite, le probabili conseguenze e le misure adottate o proposte.

### 4.2 L'autorità competente: la CNIL

A differenza delle 16 DPA statali tedesche, la Francia ha un'unica autorità di controllo nazionale: la **Commission Nationale de l'Informatique et des Libertés (CNIL)**. La CNIL fa applicare il GDPR sia per i titolari del trattamento del settore pubblico che per quello privato e ha il potere di infliggere sanzioni amministrative fino a 20 milioni di euro o il 4% del fatturato annuo globale, a seconda di quale sia maggiore. Le recenti sanzioni combinate contro Free Mobile e Free (42 milioni di euro, di cui 27 milioni contro Free Mobile) e France Travail (5 milioni di euro) dimostrano che la CNIL è passata dagli avvertimenti all'applicazione punitiva.

### 4.3 Segnalazione all'ANSSI per OIV, OSE e NIS2

Gli operatori di importanza vitale (**OIV**) e gli operatori di servizi essenziali (**OSE**) devono inoltre segnalare gli incidenti informatici significativi all'[ANSSI](https://www.ssi.gouv.fr/en/), l'agenzia nazionale francese per la sicurezza informatica. La direttiva NIS2 estende l'obbligo di segnalazione a più settori, tra cui i fornitori di servizi digitali, l'industria manifatturiera e la gestione dei rifiuti. Il suo recepimento nel diritto francese era ancora in corso nel 2026 e l'ANSSI ha dichiarato che fornirà comunicazioni durante tutto il processo; la Commissione Europea ha anche emesso un parere motivato per il recepimento incompleto. Una volta in vigore, i rapporti seguiranno tempistiche graduali: una **segnalazione precoce entro 24 ore, una notifica completa entro 72 ore** e un rapporto finale entro un mese.

### 4.4 Notifica alle persone interessate (Articolo 34)

Quando è probabile che una violazione presenti un rischio elevato per i diritti e le libertà delle persone, l'[Articolo 34 del GDPR](https://gdpr-info.eu/art-34-gdpr/) richiede una notifica diretta alle persone interessate con un linguaggio chiaro e semplice. I casi di France Travail, Viamedis, Free e Cegedim Santé hanno tutti innescato gli obblighi dell'Articolo 34. La mancata notifica è un innesco comune per ulteriori sanzioni normative in aggiunta a quelle per la violazione di base.

## 5. Le tendenze dei data breach in Francia

Quattro modelli si ripetono in tutti e dieci i casi: concentrazione dei dati dei cittadini in un [settore pubblico](https://www.corbado.com/passkeys-for-public-sector) altamente digitalizzato, compromissione di terze parti e della catena di fornitura come punto di ingresso dominante, il credential stuffing che trasforma i portali pubblici francesi in bersagli facili e una CNIL che sta rapidamente colmando il divario in materia di applicazione delle sanzioni. Comprendere questi schemi è più utile dal punto di vista operativo che memorizzare i singoli incidenti.

### 5.1 La digitalizzazione del settore pubblico crea una superficie di attacco a livello nazionale

France Travail, OFII, FICOBA e Pass'Sport mostrano quanto i dati dei cittadini siano concentrati in poche piattaforme pubbliche. Un account compromesso di un consulente di Cap Emploi è stato sufficiente per esporre 43 milioni di record; un'integrazione di un partner trapelata di Pass'Sport è stata sufficiente per esporre 3,5 milioni di famiglie. La dipendenza della Francia da **FranceConnect** e dagli accessi ai servizi pubblici condivisi amplifica questo rischio: una singola password compromessa associata a un NIR può sbloccare più servizi pubblici in una volta sola.

### 5.2 I fornitori di terze parti sono un anello debole critico

Viamedis, Almerys, Cegedim Santé, Bouygues Telecom e l'incidente MOVEit di France Travail del 2023 condividono la stessa causa di fondo: la compromissione presso una terza parte, non presso il marchio primario. Anche le organizzazioni con programmi di sicurezza interna maturi rimangono esposte attraverso le loro reti di fornitori. Il modello di [assicurazione](https://www.corbado.com/passkeys-for-insurance) sanitaria del tiers-payant, in cui una manciata di elaboratori gestisce i dati per dozzine di mutue, è particolarmente vulnerabile ai data breach dei "single point of failure".

### 5.3 Il credential stuffing trasforma i portali pubblici in bersagli facili

Il credential stuffing è diventato l'attacco di follow-up predefinito dopo ogni data breach francese. A febbraio 2024, il gruppo di hacker LulzSec ha dichiarato di aver compromesso **fino a 600.000 account CAF** unicamente attraverso il riutilizzo delle password, senza alcuna violazione tecnica di caf.fr. Una successiva fuga di dati dell'agosto 2024 ha esposto altre 60.369 combinazioni di accesso alla CAF (NIR + password) su un forum di hacker. Finché i servizi pubblici francesi accetteranno l'accesso con password, ogni nuova violazione ovunque in Europa alimenterà gli attacchi di credential stuffing contro di essi.

### 5.4 L'applicazione della CNIL sta recuperando terreno

A partire da gennaio 2026, la CNIL è passata dagli avvertimenti all'applicazione punitiva. Il 13 gennaio 2026, Free Mobile e Free sono state multate congiuntamente per **42 milioni di euro** (27 milioni a Free Mobile e 15 milioni a Free), e France Travail è stata multata per **5 milioni di euro** il 22 gennaio 2026 ai sensi dell'articolo 32 del GDPR (il massimo legale per un ente pubblico è di 10 milioni di euro). Storicamente, le sanzioni medie della CNIL sono rimaste ben al di sotto dei tetti previsti dal GDPR. Combinata con il crescente corpus di richieste di risarcimento danni in stile class action ai sensi dell'articolo 82, la Francia si è spostata nella stessa fascia sanzionatoria di Germania, Paesi Bassi e Irlanda.

## 6. Conclusione

I dieci più grandi data breach recenti della Francia raccontano una storia coerente: le credenziali e l'accesso di terze parti sono i denominatori comuni. Gli account dei consulenti con ingegneria sociale di France Travail, i professionisti sanitari vittime di phishing di Viamedis, lo strumento interno compromesso di Free, l'integrazione partner trapelata di Pass'Sport e il fornitore di terze parti di Bouygues [Telecom](https://www.corbado.com/passkeys-for-telecom) risalgono tutti alla stessa debolezza di base: esseri umani e fornitori che si autenticano con password su sistemi che conservano decenni di dati dei cittadini.

Le contromisure sono altrettanto coerenti: un'autenticazione resistente al phishing come le passkey, una rigorosa governance dell'accesso di terze parti, il monitoraggio continuo del dark web e la prontezza di notifica alla CNIL in 72 ore. Con la CNIL che ora emette sanzioni a otto e nove cifre, le organizzazioni francesi che nel 2026 le tratteranno come priorità a livello di consiglio di amministrazione eviteranno sia le penalità normative sia i danni d'immagine che hanno caratterizzato gli ultimi tre anni di violazioni in Francia.

## Domande Frequenti

### Qual è stato il data breach di France Travail nel 2024?

A marzo 2024, France Travail (ex Pôle Emploi) e Cap Emploi hanno divulgato il più grande data breach della storia francese. Gli aggressori hanno usato l'ingegneria sociale per dirottare gli account dei consulenti di Cap Emploi ed esfiltrare i dati personali di fino a 43 milioni di persone in cerca di lavoro negli ultimi 20 anni, inclusi nomi, date di nascita, numeri di previdenza sociale, ID France Travail e dettagli di contatto. Il 22 gennaio 2026, la CNIL ha multato France Travail per 5 milioni di euro ai sensi dell'articolo 32 del GDPR, dove il massimo legale per un ente pubblico è di 10 milioni di euro.

### Come si segnala un data breach in Francia?

Ai sensi dell'articolo 33 del GDPR, i titolari del trattamento francesi devono notificare alla CNIL entro 72 ore dalla conoscenza di una violazione di dati personali. Se è probabile che la violazione comporti un rischio elevato per le persone interessate, l'articolo 34 richiede di notificarle senza indebito ritardo. Gli operatori di importanza vitale (OIV) e gli operatori dei servizi essenziali (OSE) informano l'ANSSI in base all'attuale legislazione francese; l'intero recepimento della direttiva NIS2 nel diritto francese era ancora in corso nel 2026.

### Qual è la sanzione più alta mai emessa dalla CNIL dopo un data breach in Francia?

Il 13 gennaio 2026, la CNIL ha multato congiuntamente Free Mobile per 27 milioni di euro e Free per 15 milioni di euro (42 milioni di euro complessivi) per sicurezza inadeguata che ha contribuito a un data breach del 2024, esponendo i dati di 24,6 milioni di contratti, inclusi 5,11 milioni di IBAN. Questa è una delle più grandi sanzioni GDPR combinate mai emesse in Francia per una violazione di dati. France Travail è stata sanzionata per 5 milioni di euro il 22 gennaio 2026 in virtù dell'Articolo 32.

### Perché la Francia è diventata un bersaglio primario per i data breach?

La Francia unisce un settore pubblico altamente digitalizzato (France Travail, CAF, DGFiP, OFII), un denso ecosistema di pagamenti sanitari (Viamedis, Almerys, Cegedim) e tre grandi operatori di telecomunicazioni che detengono ciascuno decine di milioni di record di abbonati. Il sottoinvestimento cronico nella sicurezza informatica in rapporto al PIL, la forte dipendenza da piattaforme di terze parti e gli attacchi di ingegneria sociale contro i consulenti a contatto col pubblico spiegano perché oltre 145 milioni di record francesi sono stati esposti tra il 2024 e il 2025.

### In che modo i data breach francesi alimentano gli attacchi di credential stuffing?

Le violazioni espongono indirizzi e-mail, numeri di previdenza sociale e spesso password che vengono scambiati sui forum del dark web. Gli aggressori riutilizzano queste credenziali contro banche, servizi pubblici e commercianti, sfruttando il riutilizzo delle password. L'incidente della CAF del febbraio 2024 ha compromesso fino a 600.000 account solo attraverso il credential stuffing, senza alcuna violazione tecnica di caf.fr, dimostrando come le violazioni francesi continuino ad alimentare attacchi molto tempo dopo la divulgazione.