Il colosso spagnolo della moda MANGO si trova a fare i conti con una violazione dei dati che ha coinvolto le informazioni personali di numerosi clienti. L'incidente è avvenuto attraverso un fornitore esterno specializzato in servizi di marketing, compromettendo la sicurezza di dati sensibili degli acquirenti del brand barcellonese. Il 14 ottobre 2025, l'azienda ha avviato le notifiche ufficiali ai consumatori interessati dall'accaduto, illustrando la portata del problema e le misure adottate.
L'azienda ha subito specificato quali informazioni sono state effettivamente esposte durante l'attacco informatico: i dati compromessi comprendono nome, paese di residenza, codice postale, indirizzo email e numero di telefono. Si tratta esclusivamente di informazioni utilizzate nelle campagne di marketing e comunicazione commerciale del brand.
Nella comunicazione ufficiale inviata ai clienti, MANGO ha dichiarato: "In linea con il nostro impegno per la sicurezza e la privacy dei nostri clienti, desideriamo informarvi che uno dei nostri servizi di marketing esterni ha subito un accesso non autorizzato a determinati dati personali dei clienti. Le informazioni esposte si limitano ai dati di contatto personale utilizzati nelle campagne di marketing".
Un elemento particolarmente significativo riguarda ciò che non è stato compromesso durante l'attacco. L'azienda ha tenuto a sottolineare che dati critici come coordinate bancarie, documenti d'identità, credenziali di accesso e password sono rimasti al sicuro. L'infrastruttura interna di MANGO non è stata intaccata dall'incidente, che ha colpito esclusivamente i sistemi del fornitore terzo.
Il retailer spagnolo ha adempiuto agli obblighi previsti dalla normativa europea sulla protezione dei dati personali, notificando tempestivamente l'accaduto all'Autorità spagnola per la protezione dei dati (AEPD). Questo passaggio formale è obbligatorio per le aziende che operano nell'Unione Europea quando si verificano violazioni che possono comportare rischi per i diritti e le libertà delle persone fisiche.
Al momento della divulgazione della notizia, nessun gruppo ransomware o organizzazione criminale informatica ha rivendicato la responsabilità dell'attacco ai sistemi del partner marketing di MANGO. L'assenza di rivendicazioni pubbliche potrebbe suggerire diverse ipotesi: dall'attacco opportunistico alla raccolta silenziosa di dati per utilizzi futuri, fino alla possibilità che i cybercriminali stiano ancora valutando come monetizzare le informazioni sottratte.