La California ha citato in giudizio l'ex società di facciata dell'azienda di test del DNA 23andMe per presunte carenze nella sicurezza e dichiarazioni fuorvianti relative alla violazione dei dati avvenuta nel 2023.
Il 27 maggio 2026, il procuratore generale Rob Bonta ha intentato una causa presso la Corte Superiore di San Francisco contro Chrome Co., la società che attualmente gestisce i beni residui di 23andMe a seguito del suo fallimento.
Nella denuncia presentata dalla California, 23andMe viene accusata di non aver adottato misure di sicurezza adeguate per proteggere i dati sensibili e di aver violato diverse leggi statali in materia di privacy e tutela dei consumatori. L'azienda è inoltre accusata di aver rilasciato dichiarazioni fuorvianti riguardo alle proprie pratiche di sicurezza.
La violazione del 2023 ha sfruttato tecniche tradizionali di "credential stuffing" contro la pagina di accesso di 23andMe. Gli hacker hanno operato all'interno dei sistemi per circa cinque mesi senza che nessuno se ne accorgesse. Il danno diretto è stato limitato, interessando circa 14.000 account, ma è stato sufficiente agli hacker per sottrarre i dati di poco meno di sette milioni di clienti.
Gli hacker hanno avuto accesso a tali account tramite "Parenti genetici", la funzione principale della piattaforma, che permetteva agli utenti di scoprire con chi erano imparentati in base alla somiglianza del DNA. La causa sostiene che un grave errore di programmazione in tale funzione abbia consentito agli autori dell'attacco di estrarre i dati di milioni di altri utenti legati da un legame di parentela biologica.
La difesa basata sull'attribuzione della colpa alla vittima è diventata una prova
Dopo che la violazione è stata resa pubblica, 23andMe ha inviato ai rappresentanti legali delle vittime una lettera in cui attribuiva la colpa agli utenti per aver riutilizzato password già utilizzate su siti che erano stati compromessi in precedenza. Secondo l'azienda, i dati compromessi erano stati condivisi dagli utenti di loro spontanea volontà e non avrebbero causato «danni economici».
I danni derivanti dal furto di dati genetici vanno tuttavia ben oltre le perdite economiche. Le informazioni genetiche sottratte hanno permesso ai ladri di determinare le origini genetiche di una persona.
Secondo quanto riferito, i dati sarebbero stati messi in vendita sul dark web proprio sfruttando queste informazioni come argomento di vendita, consentendo ai venditori di offrire, ad esempio, dati relativi a clienti di origine asiatica, americana o delle isole del Pacifico (AAPI) o di origine ebraica. L'ufficio di Bonta ha sottolineato che, all'epoca, gli episodi di violenza antisemita erano in aumento.
Nonostante la lettera cercasse di attribuire la colpa agli utenti, solo circa 14.000 account sono stati compromessi direttamente a causa del riutilizzo delle password. Il resto dei dati sarebbe stato reso pubblico attraverso lo stesso prodotto di 23andMe. Secondo la denuncia, l'errore di programmazione in DNA Relatives ha reso pubblici i dati di chiunque avesse aderito al servizio, non solo quelli collegati ai 14.000 account compromessi.
Lo Stato può ottenere il risarcimento dei danni?
La California prevede sanzioni pecuniarie comprese tra 1.000 e 7.500 dollari per ogni violazione. Considerando che tra gli utenti coinvolti figurano 855.541 californiani, i costi potrebbero lievitare rapidamente.
La domanda è: quale parte di tale somma lo Stato riuscirà a recuperare se vincerà la causa? Nel marzo 2025, 23andMe ha presentato istanza di fallimento ai sensi del Capitolo 11, per poi vendere la maggior parte dei propri beni, compresi i dati genomici di oltre 15 milioni di clienti, al TTAM Research Institute, un'organizzazione senza scopo di lucro fondata dall'ex amministratrice delegata di 23andMe, Anne Wojcicki. La California e diversi altri Stati si sono opposti alla vendita in base al Genetic Information Privacy , ma un giudice fallimentare federale l'ha approvata. Gli Stati stanno ora presentando ricorso contro tale decisione.
Chrome Co., la società di facciata rimasta di 23andMe, ha ricavato 305 milioni di dollari da quella vendita. Ma altri si sono già accaparrati ciò che ne è rimasto.
Altre autorità di regolamentazione sono già intervenute. Lo scorso giugno, l’Information Commissioner’s Office del Regno Unitoha inflitto a 23andMe una sanzione di 2,31 milioni di sterline a seguito di un’indagine condotta in collaborazione con il Privacy del Canada. Un tribunale federale aveva inizialmente approvato un accordo transattivo nell’ambito di un’azione collettiva del valore di 30 milioni di dollari, che copriva la maggior parte delle richieste di risarcimento dei clienti statunitensi. Tale accordo è stato successivamente portato a 50 milioni di dollari e ha ricevuto l’approvazione definitiva nel gennaio 2026.
Cosa possono fare i clienti
Se avete effettuato il test con 23andMe, valgono comunque le normali misure di sicurezza da adottare in caso di violazione dei dati. Reimpostate tutte le password che avete riutilizzato su altri siti e attivate l'autenticazione a più fattori ovunque sia disponibile. Il credential stuffing funziona solo con nomi utente e password già trapelati altrove. Prestate inoltre attenzione agli attacchi di phishing che fanno riferimento a 23andMe o alla violazione stessa. E magari valutate i vantaggi dell'utilizzo dei servizi di analisi del DNA rispetto ai rischi per la sicurezza.
Perché c'è un aspetto della questione che nessuna multa e nessun accordo possono risolvere: i dati genetici rubati e venduti sul dark web non possono essere recuperati. Le password si possono cambiare. Il DNA no.
Naviga come se nessuno ti guardasse.
Malwarebytes Privacy VPN la tua connessione e non registra mai le tue attività, così la prossima notizia che leggerai non ti sembrerà una questione personale.Provalo gratis →
