I regolatori sudcoreani hanno imposto una multa record di 624,6 miliardi di won (409 milioni di dollari) al colosso dell’e-commerce Coupang a seguito di una violazione dei dati che ha rivelato le informazioni personali di decine di milioni di clienti e di un’indagine sulla gestione dei dati degli utenti da parte dell’azienda.
La sanzione, annunciata dalla Personal Information Protection Commission (PIPC), è la più grande sanzione legata alla privacy mai inflitta in Corea del Sud. I regolatori hanno dichiarato che il caso ha coinvolto sia una grave fuga di dati di un cliente sia la raccolta illegale di dati di attività online da parte degli utenti.
Secondo il PIPC, più di 33 milioni di clienti sono stati colpiti dalla violazione. Altri rapporti indicano il numero di persone colpite a 37,6 milioni, rendendolo uno dei maggiori episodi di esposizione ai dati nella storia del paese. Gli investigatori hanno dichiarato che le informazioni sui clienti sono state accessibili per un lungo periodo prima che l’azienda rilevasse il problema.
L’ente regolatore ha concluso che l’incidente è stato il risultato di controlli interni di sicurezza inadeguati piuttosto che di un attacco esterno sofisticato. Le autorità hanno dichiarato che un ex dipendente ha mantenuto l’accesso a una chiave di sicurezza che consentiva l’accesso non autorizzato alle informazioni dei clienti anche dopo aver lasciato l’azienda. Gli investigatori hanno inoltre riscontrato che l’azienda non ha identificato tempestivamente attività insolite e non ha rilevato la violazione entro il termine di segnalazione richiesto dalla legge sudcoreana.
Oltre alla violazione stessa, la commissione ha dichiarato che Coupang ha raccolto illegalmente informazioni sulle attività online di circa 11 milioni di utenti tramite i suoi sistemi di marketing senza ottenere il dovuto consenso. Quel risultato ha contribuito in modo significativo alla penalità complessiva.
Le autorità sudcoreane hanno già rivelato che le informazioni esposte includevano dettagli dei clienti come nomi, numeri di telefono, indirizzi email, informazioni sulla consegna e altri dati relativi agli account. Un’indagine sostenuta dal governo all’inizio di quest’anno ha concluso che più di 33,6 milioni di account erano stati esposti.
Coupang si è scusata dopo l’annuncio dell’ente regolatore, ma ha criticato alcuni aspetti della decisione. La società ha affermato che i suoi sforzi per prevenire ulteriori danni dopo la violazione non sono adeguatamente riflessi nelle conclusioni della commissione e ha indicato che potrebbe contestare la sentenza.
La sanzione ammonta a circa l’1,4% dei ricavi di Coupang nel 2025, secondo i calcoli normativi. Il PIPC ha affermato che il caso dimostra che le aziende che gestiscono grandi volumi di dati dei clienti devono mantenere sistemi di sicurezza e monitoraggio che corrispondano alla scala delle loro operazioni.