Coupang multata per 409 milioni Usd per violazione dei dati di 37 milioni di clienti

La Commissione per la protezione dei dati personali della Corea del Sud (PIPC) ha comminato a Coupang, il principale operatore di commercio elettronico del paese, una sanzione da 624,7 miliardi di won, pari a circa 409 milioni di dollari. Si tratta della multa più elevata mai inflitta in Corea del Sud per una violazione della normativa sulla tutela dei dati personali. Come riporta Federprivacy, il provvedimento — notificato l'11 giugno 2026 al termine di un'indagine avviata mesi prima — riguarda la fuga di informazioni personali di circa 37,55 milioni di clienti, ovvero quasi due terzi dell'intera popolazione sudcoreana.

La sanzione si articola in due componenti distinte: una prima parte, pari a 423,6 miliardi di won, per il mancato rispetto degli obblighi di sicurezza che ha reso possibile la violazione dei dati; una seconda parte, di 201,1 miliardi di won, per la raccolta illecita — senza consenso degli utenti — delle tracce di navigazione di circa 11,17 milioni di persone su siti e applicazioni di terze parti.

Secondo il regolatore, la fuga di dati non è stata il frutto di un attacco informatico sofisticato, bensì di carenze sistemiche nella gestione della sicurezza interna. Gli investigatori hanno rilevato insufficienze nella gestione delle chiavi crittografiche, nei controlli sugli accessi, nelle procedure di notifica dell'incidente e nell'indipendenza del responsabile della protezione dei dati. Un ex dipendente informatico dell'azienda avrebbe sfruttato una chiave di firma crittografica per accedere senza autorizzazione ai dati degli utenti per diversi mesi, a partire dalla primavera del 2025. I dati sottratti comprendono nomi, indirizzi email, numeri di telefono, indirizzi di consegna e cronologie degli ordini; non risultano compromessi dati di pagamento o credenziali di accesso.

La violazione è emersa pubblicamente il 17 novembre 2025, ma Coupang ha impiegato 48 ore per segnalarla alle autorità, superando la finestra di 24 ore prevista dalla legge sudcoreana: un ritardo che ha pesato in modo significativo sulla determinazione della sanzione. Anche la controllata Coupang Fulfillment Service è stata colpita da un provvedimento separato per raccolta e trattamento illecito di dati personali e sensibili.

La presidente della PIPC, Song Kyung-hee, ha dichiarato che l'incidente è avvenuto per carenze nelle misure di sicurezza adottate da Coupang, sottolineando l'inadeguatezza dei sistemi di protezione rispetto alla crescita aggressiva dell'azienda e al volume di dati dei consumatori trattati. La multa corrisponde all'incirca all'1,4% del fatturato annuo di Coupang, che nel 2025 ha raggiunto i 45.000 miliardi di won.

Le conseguenze per l'azienda vanno ben oltre la sanzione amministrativa. Il precedente amministratore delegato Park Dae-jun si era dimesso nel dicembre 2025; le azioni di Coupang, quotata alla Borsa di New York, hanno perso circa il 32% dall'inizio dell'anno. A questo si aggiunge un piano di risarcimento per i clienti colpiti, del valore di circa 1,7 trilioni di won (oltre un miliardo di dollari), che prevede la distribuzione di buoni acquisto da 50.000 won per ciascuno degli oltre 33 milioni di utenti coinvolti. Nel primo trimestre del 2026 l'azienda ha registrato una perdita netta di 266 milioni di dollari, in parte imputabile ai costi del programma di rimborso.

Coupang ha dichiarato di non aver visto riconosciute le misure preventive adottate per limitare i danni secondari della violazione e ha annunciato l'intenzione di contestare in sede legale le conclusioni del regolatore. La sanzione supera nettamente il precedente record nazionale: la multa da 134,8 miliardi di won inflitta all'operatore telefonico SK Telecom per un analogo incidente.