L’ICO (Information Commissioner’s Office) del Regno Unito, con provvedimento datato 11 dicembre 2025, ha irrogato una sanzione di 1,2 milioni di sterline (circa 1,375 milioni di euro) a una società britannica che offre servizi di gestione delle password per una grave violazione dei dati avvenuta nel 2022.

Il caso riguarda due incidenti distinti che, combinati, hanno consentito a un hacker di accedere al database di backup dell’azienda e di sottrarre informazioni personali di fino a 1,6 milioni di clienti, tra cui nomi, e-mail, numeri di telefono e URL di siti web memorizzati.

Nonostante il sistema di crittografia “zero knowledge” abbia impedito la decrittazione delle password, la mancata implementazione di misure di sicurezza adeguate ha lasciato esposti i dati personali. L’accesso non autorizzato è stato reso possibile dalla compromissione prima del laptop aziendale e poi del dispositivo personale di un dipendente, su cui era presente la chiave di decrittografia. La violazione è stata riconosciuta grave per la portata, le categorie dei dati coinvolti e la mancata adozione di controlli di sicurezza sufficientemente adeguate.