PayPal si trova al centro di un caso di violazione della privacy. Questa volta la causa non è un attacco esterno ma qualcosa di più difficile da giustificare: un errore interno nel codice. La società ha formalmente notificato i propri clienti che un bug nell’applicazione PayPal Working Capital (PPWC) ha esposto per quasi sei mesi informazioni personali altamente sensibili. PPWC è lo strumento di prestito rapido pensato per le piccole imprese.
Tra i dati coinvolti figurano nomi completi, indirizzi email, numeri di telefono, indirizzi aziendali, numeri di previdenza sociale (SSN) e date di nascita. La finestra temporale della violazione va dal 1° luglio 2025 al 13 dicembre 2025. Una volta individuato il problema l’azienda ha rapidamente bloccato l’accesso non autorizzato ripristinando il codice precedente. Le notifiche ufficiali sono state inviate il 10 febbraio 2026.
PayPal: cosa è andato storto
La violazione non è il risultato di un’intrusione esterna orchestrata da hacker, ma di un difetto introdotto direttamente nel codice dell’applicazione PPWC. Questo difetto ha involontariamente aperto una finestra di accesso ai dati dei clienti per soggetti non autorizzati.
Avere accesso contemporaneamente a un numero di previdenza sociale, una data di nascita e un indirizzo aziendale crea un profilo ideale per il furto d’identità, le frodi finanziarie e gli attacchi di ingegneria sociale. PayPal ha confermato che un numero limitato di clienti ha già subito transazioni non autorizzate sui propri conti, e che questi sono stati rimborsati.
Come misura di contenimento, la società ha forzato il reset delle password per tutti gli account coinvolti. Chi non lo ha fatto autonomamente si troverà a dover impostare nuove credenziali al prossimo accesso.
Le misure offerte da PayPal
Come rimedio, PayPal mette a disposizione dei clienti interessati due anni di monitoraggio gratuito del credito su tre agenzie di credito e servizi di ripristino dell’identità attraverso Equifax Complete Premier, con una copertura assicurativa contro il furto d’identità fino a un milione di dollari.
Per beneficiarne è necessario procedere all’iscrizione tramite il codice di attivazione ricevuto entro la scadenza indicata nella comunicazione ufficiale, il 30 giugno 2026. Si ricorda che PayPal non chiede mai password, codici di verifica o altre credenziali tramite telefono, SMS o email. Un avviso tutt’altro che formale, considerando che le violazioni di dati sono spesso seguite da ondate di phishing che sfruttano il clima di allarme per ingannare le persone meno attente.
Un campanello d’allarme per chi usa PPWC
Questa vicenda lascia un segno che va oltre il singolo episodio. Per le piccole imprese che utilizzano PPWC come strumento di accesso rapido alla liquidità, la notizia è doppiamente scomoda. Oltre al rischio immediato legato all’esposizione dei propri dati, emerge una questione di fiducia nei confronti di un partner finanziario che gestisce informazioni critiche.
PayPal ha agito tempestivamente una volta scoperto il bug e ha comunicato la violazione in modo trasparente. Tuttavia, il fatto che un errore di codice possa rimanere attivo per quasi sei mesi prima di essere individuato solleva domande legittime sui processi di auditing interno e sui meccanismi di rilevamento delle anomalie.
