Il merchant online Coupang è stato vittima di un violazione che ha compromesso le informazioni personali di oltre 33 milioni di account di utenti sudcoreani (la popolazione locale supera di poco i 51 milioni di individui). Una breccia scoperta a novembre del 2025 che si protraeva però dal mese di giugno, un data leak che lascerà strascichi.
L’episodio ha indotto reazioni decise da parte del legislatore che, oltre a chiedere al fondatore di Coupang Kim Bom-suk di riferire al parlamento in qualità di testimone, ha preteso le sue scuse pubbliche.
Il manager, tuttavia, ha declinato l’invito fissato per il 17 dicembre, causando ulteriori critiche e facendo indispettire tutta l’Assemblea nazionale (la camera) che ha minacciato ulteriori ripercussioni normative.
Giorni prima, il 10 dicembre, il primo ministro sudcoreano Kim Min-seok ha dichiarato l’intenzione del governo di avviare indagini approfondite e di volere adottare misure severe a fronte di eventuali inadeguatezze difensive dell’azienda. Immediatamente dopo il Ceo operativo Park Dae-jun si è dimesso.
In patria Coupang è un attore di rilievo che, alla fine del 2024, dava lavoro a 95 mila persone e ha ha conseguito una cifra d’affari di 30,3 miliardi di dollari americani (25,8 miliardi di euro).
Come ha sottolineato il Financial Times, il parlamento ha alzato la voce invocando l’insufficienza delle norme sudcoreane in rapporto a quelle statunitensi, criticando anche la lentezza con cui Coupang ha reagito alla fuga di dati.
La cyber security mostra così il suo lato politico e questo aspetto merita una contestualizzazione sulla quale ci soffermeremo più avanti, avvalendoci del supporto di Domenico Campeglia, esperto di cyber security e fautore della piattaforma CyberAware per la diffusione di una cultura cyber accessibile a tutti.
Indice degli argomenti
Il caso Coupang e i 33 milioni di account violati
L’estrazione di dati non è conseguenza di un attacco esterno ma è stata fatta da un ex sviluppatore che aveva lavorato per Coupang, così come ricostruito dalla Seoul Metropolitan Police Agency.
Volendo guardare gli eventi in modo distaccato ci si rende conto che l’impatto di un data breach interno o esterno è molto simile, quello che cambia sono le procedure e le tecnologie deputate a evitarli.
Secondo le informazioni raccolte dagli inquirenti che hanno potuto accedere ai log dei server, l’esfiltrazione sarebbe iniziata il 24 giugno del 2025 e si sarebbe protratta senza interferenze fino al 18 novembre. L’ex dipendente ha fatto ciò che ha desiderato per quasi cinque mesi.
Le conseguenze finaziarie e legali per Coupang
La posizione di Coupang è al vaglio della Personal Information Protection Commission (PIPC), l’autorità nazionale responsabile dell’applicazione della Personal Information Protection Act (PIPA), la legge coreana sulla privacy.
Il PIPC può imporre sanzioni fino al 3% del fatturato annuo totale se dalle indagini emerge che un’azienda vittima di un attacco non ha implementato controlli interni adeguati. In numeri spicci, Coupang rischia un’ammenda di circa 775 milioni di euro.
Parallelamente, al di là del Pacifico, lo studio SJKP Law Firm di New York – succursale dello studio legale Daeryun di Seul – intende avviare una class action contro Coupang, sostenendo che la governance carente ha violato le norme imposte dalle leggi che regolamentano la borsa americana.
Coupang è quotata al New York Stock Exchange e, in seguito alla fuga di dati, il prezzo delle azioni dal 10 al 16 dicembre è sceso del 10,08%.
In aggiunta a ciò, nel giro di una manciata di ore, Coupang ha perso 1,8 milioni di utenti attivi giornalieri.
Ciò significa che le conseguenze finanziarie della fuga di dati si sono fatte sentire ancora prima di quelle legali e normative ma, ancora prima, significa che avere infrastrutture e governance adeguate è meno costoso e laborioso che non averne.
Inoltre, alla fine del 2025, il gruppo ha annunciato un pacchetto di compensazione in favore degli utenti: 50.000 won ognuno (30 euro) per un totale di una cifra vicina al miliardo di euro.
Tutto ciò mentre in patria le critiche provenienti da cittadini e autorità politiche non si placano.
Il contesto sudcoreano
Nel corso degli ultimi sei anni il cyber crimine ha preso di mira oltre 7.000 organizzazioni sudcoreane di ogni ordine e grandezza.
Tra gli episodi che più hanno creato scalpore va citata la data breach annunciata ad aprile del 2025 da SK Telecom, uno dei maggiori operatori del Paese, al centro di una violazione che ha compromesso, tra gli altri, chiavi di autenticazione USIM e numeri di telefono.
Inoltre, l’intrusione sarebbe iniziata nel corso del 2021 ed è rimasta non rilevata per 4 anni circa.
Altre vittime illustri sono state LG Uplus, ancora una volta nel comparto delle telecomunicazioni, vittima di una data breach nel corso del 2025.
Fa ancora più rumore quanto accaduto alla piattaforma ecommerce Yes24, vittima di due attacchi ransomware perpetrati a due mesi di distanza l’uno dall’altro, rispettivamente a giugno e ad agosto del 2025.
L’elenco è lungo ed è stato ripreso da TechCrunch.
Questo, in parte, spiega la reazione esacerbata del governo e del parlamento sudcoreani nei confronti del gruppo Coupang.
Un confronto tra l’impianto normativo sudcoreano e quello europeo
La Repubblica di Corea ha un quadro normativo evoluto e costantemente aggiornato ma tanto frammentario da diventare di difficile interpretazione.
La riprova di ciò è il Personal Information Protection Act (PIPA), varato nel 2011 e più volte rimaneggiato per adeguarlo agli standard internazionali.
Il PIPA copre la raccolta, l’uso e la conservazione dei dati, oltre a stabilire obblighi relativi alla gestione dei rischi e ai requisiti tecnici e organizzativi minimi, sorvegliati dalla Personal Information Protection Commission (PIPC), l’autorità indipendente che supervisiona l’applicazione della PIPA e che è in grado di comminare ammende di una certa rilevanza.
In caso di violazione, le imprese sono chiamate a dimostrare di avere adottato misure adeguate, pena l’essere ritenute negligenti e quindi passibili di sanzioni, multe e obblighi di risarcimento agli utenti, tutte voci proporzionate al fatturato.
L’Ue riconosce la Corea del Sud come Paese dotato di un livello di protezione dei dati adeguato al GDPR, consentendo il trasferimento di dati dal Vecchio continente a Seul senza garanzie speciali, riconoscendo però alcune lacune e aree migliorabili.
Un confronto tra il quadro normativo della Corea del Sud con il GDPR e la NIS2 restituisce uno squilibrio: la PIPA – che dal 2021 al 2024 è stata aggiornata in tre diverse occasioni – è per lo più incentrata sulla protezione dei dati e non mette particolare enfasi sulla governance della cyber security.
Non esiste, a Seul, qualcosa di simile al framework NIS2, esistono invece molte leggi separate che sono lungi dal formare un sistema integrato.
C’è il Network Act che regola la sicurezza delle reti del settore ICT e ci sono altri compendi di norme per la protezione delle infrastrutture critiche che, però, al contrario di quanto fa la NIS2, non creano obblighi orizzontali.
Ci sono molte leggi settoriali, ognuna delle quali con requisiti di sicurezza e di notifica degli incidenti diversi tra loro. Una frammentazione totale che risulta meno leggibile e meno efficace rispetto alla sinergia tra GDPR e NIS2.
Non da ultimo, la strategia auspicata da Seul è di tipo offensivo, mentre la NIS2 è prettamente difensiva.
Gli aspetti emergenti del caso Coupang
L’ipotesi in cui in insider riesce a esfiltrare dati per un periodo prolungato di tempo non è avulsa dalla realtà, e il caso Coupang lo dimostra. Ci sono però rimedi di governance e di Identity e Access Management che sono deputati a scongiurare il peggio: “Il caso Coupang è emblematico perché dimostra che molte violazioni non avvengono per attacchi sofisticati dall’esterno – dice Domenico Campeglia – ma attraverso accessi legittimi che restano attivi troppo a lungo e senza sufficiente controllo.
Quando un’esfiltrazione dura mesi, il problema raramente è un singolo errore tecnico, è quasi sempre una debolezza strutturale nella governance delle identità.
Nelle aziende italiane, ciò che manca più spesso è una gestione realmente rigorosa del ciclo di vita degli accessi. L’onboarding è generalmente curato, ma l’offboarding lo è molto meno. Quando una persona cambia ruolo o lascia l’organizzazione, gli accessi non vengono sempre revocati in modo completo e sistematico.
Restano account tecnici, chiavi API, token cloud, permessi su repository o ambienti dati che nessuno rivede più. È proprio in questi ‘residui’ che si annida il rischio insider.
Un altro elemento critico è la gestione dei privilegi. In molte realtà l’accesso ai dati sensibili è costruito per comodità operativa e poi non viene più rivisto.
I privilegi diventano permanenti, stratificati nel tempo, raramente messi in discussione. Questo significa che una singola identità può accedere a più informazioni di quante ne servano davvero, e farlo senza attirare attenzione”.
Domenico Campeglia porta alla luce un altro rischio procedurale: “C’è poi un tema di autenticazione e di protezione degli accessi che spesso viene affrontato in modo parziale. L’MFA è presente, ma non ovunque. Protegge la VPN, ma non sempre le console cloud, gli strumenti di sviluppo o le piattaforme che gestiscono grandi moli di dati. Gli incidenti più gravi nascono quasi sempre da queste ‘aree grigie’, considerate secondarie fino a quando non diventano il punto di ingresso principale. Infine, ciò che più colpisce nei casi come Coupang è la durata dell’attività illecita.
Questo rimanda direttamente alla mancanza di osservabilità. Molte aziende raccolgono log, ma non li trasformano in reale capacità di rilevazione. Senza correlazione, senza allarmi sui comportamenti anomali, senza qualcuno che abbia la responsabilità di guardare davvero quei segnali, un abuso di credenziali può andare avanti a lungo senza essere notato”.
Il rischio di un caso Coupang è lenito soprattutto dalla corretta applicazione della NIS2. Infatti, come sottolinea Domenico Campeglia”: “La NIS2 non va letta come un insieme di obblighi burocratici, ma come una spinta molto chiara verso una sicurezza più matura e meno reattiva.
In un caso come quello di Coupang, avrebbe inciso sia sulla probabilità che l’incidente avvenisse, sia, soprattutto, sulla sua durata. Dal punto di vista della prevenzione, la NIS2 impone alle organizzazioni di dimostrare di avere misure strutturate di gestione del rischio, che includono esplicitamente il controllo degli accessi, la sicurezza delle risorse umane e la gestione degli asset.
Tradotto operativamente, significa che l’azienda deve sapere chi ha accesso a cosa, perché lo ha e per quanto tempo. Processi di offboarding incompleti o accessi non giustificati diventano difficili da sostenere in un contesto di compliance reale. La direttiva spinge inoltre in modo molto chiaro sull’uso di meccanismi di autenticazione robusti, come la multi-factor authentication.
Questo non elimina il rischio insider, ma alza sensibilmente la soglia di abuso e riduce la possibilità che credenziali residue o sottratte vengano utilizzate indisturbate nel tempo. Dove però la NIS2 farebbe davvero la differenza è sulla durata dell’incidente”.
La direttiva NIS2 ha quindi una sua precisa ragione di esistere e poggia su fondamenta solide: “La direttiva richiede capacità di monitoraggio, gestione degli incidenti e risposta strutturata. Non è un dettaglio: significa che l’organizzazione deve essere in grado di accorgersi di comportamenti anomali, di attivare rapidamente un processo di analisi e di prendere decisioni tempestive.
Un’esfiltrazione che dura mesi è, di fatto, il segnale di un sistema che non osserva sé stesso. A questo si aggiunge l’obbligo di notifica degli incidenti significativi entro tempistiche molto strette. Questo meccanismo crea una pressione positiva sull’organizzazione: costringe a riconoscere l’incidente per quello che è, ad attivare escalation interne e a ridurre il rischio che un evento venga minimizzato o ignorato nelle fasi iniziali.
Infine, la NIS2 introduce un principio fondamentale: la responsabilità del management. La sicurezza non è più solo un problema tecnico o del reparto IT, ma un tema di governance aziendale. Questo, nel medio periodo, è ciò che fa davvero la differenza, perché porta le aziende a investire in processi solidi e non solo in soluzioni tecnologiche.
Se dovessi riassumere il tutto in una frase: la NIS2 non garantisce che un incidente non accada, ma rende molto meno probabile che un abuso resti invisibile per mesi. Ed è proprio questa invisibilità prolungata che, nel caso Coupang, ha trasformato un problema di accesso in una violazione di grande impatto”, conclude l’esperto.
