Il data breach del 2023 ha rappresentato un colpo devastante per la reputazione della società di test genetici statunitense 23andMe, minando la fiducia degli utenti e accelerando il tracollo finanziario dell’azienda. Cosa è successo.
La società di test genetici 23andMe ha presentato istanza di fallimento ai sensi del Capitolo 11 della legge fallimentare statunitense, aprendo ufficialmente una fase di riorganizzazione giudiziaria che punta alla vendita della quasi totalità dei suoi asset. Contestualmente, la cofondatrice e CEO Anne Wojcicki ha annunciato le proprie dimissioni con effetto immediato, pur mantenendo un ruolo nel consiglio di amministrazione.
Fondata nel 2006 con l’ambizione di rivoluzionare il settore della genetica personale, 23andMe è diventata celebre per i suoi kit di test del DNA a base di saliva, venduti a milioni di persone interessate a conoscere la propria ascendenza. Negli anni ha poi esteso le attività alla ricerca medica e allo sviluppo di farmaci personalizzati, ma non è mai riuscita a consolidare un modello di business sostenibile, soprattutto dopo la sua quotazione in Borsa nel 2021.
23andMe: una crisi annunciata
Negli ultimi mesi, la società con sede a San Francisco ha attraversato una crisi crescente. Dopo il licenziamento del 40% del personale e la chiusura del ramo terapeutico, a gennaio il consiglio di amministrazione aveva annunciato l’esplorazione di “alternative strategiche”, tra cui la vendita.
A far precipitare la situazione finanziaria dell’azienda è stato in particolare il grave data breach del 2023, che ha esposto le informazioni personali e genealogiche di quasi 7 milioni di clienti. Le conseguenti azioni legali collettive hanno rappresentato un colpo pesantissimo, contribuendo in modo determinante all’aggravarsi delle passività e all’attuale dichiarazione di bancarotta. John Bringardner, analista di Debtwire, ha affermato che le cause legate alla violazione dei dati “hanno portato direttamente” alla procedura fallimentare in corso.
Il data breach del 2023: cosa è successo
Nell’ottobre 2023, 23andMe è stata vittima di una massiccia violazione di dati, in cui i criminal hacker sono riusciti ad accedere agli account di milioni di clienti sfruttando credenziali rubate da altri servizi online (un attacco noto come credential stuffing). Una volta entrati, gli autori dell’attacco hanno potuto scaricare informazioni genetiche, dati di ascendenza, nomi, date di nascita, e persino connessioni familiari tra gli utenti. L’incidente ha sollevato forti preoccupazioni globali sulla sicurezza dei dati genetici e sul rischio che tali informazioni sensibili possano essere usate per scopi discriminatori, di sorveglianza o ricatto.
La violazione ha portato a un’ondata di critiche da parte di clienti, media e autorità di regolamentazione, culminando in cause legali e nella richiesta, da parte di enti statali come la Procura Generale della California, che i cittadini prendessero in considerazione la rimozione dei propri dati dai server dell’azienda. Il data breach ha rappresentato un colpo devastante per la reputazione di 23andMe, minando la fiducia degli utenti e accelerando il tracollo finanziario dell’azienda.
23andMe e il nodo privacy sui dati sensibili
Alla fine del 2023, 23andMe registrava debiti per oltre 214 milioni di dollari, a fronte di attivi per circa 277 milioni. Con la richiesta di protezione secondo il Capitolo 11, l’azienda punta a ridurre costi, chiudere sedi in California (San Francisco e Sunnyvale) e risolvere cause legali in sospeso, incluse quelle derivanti dalla violazione dei dati. L’azienda ha già accettato di pagare 30 milioni di dollari per chiudere una class action intentata dai clienti colpiti.
La questione della privacy dei dati genetici rimane centrale. Sebbene 23andMe assicuri che il fallimento non influenzerà la protezione dei dati e che la loro gestione sarà un “elemento importante” in una futura cessione, gli esperti mettono in guardia: “I dati personali raccolti da 23andMe sono sempre stati a rischio”, ha scritto Bringardner, ricordando che qualsiasi nuovo acquirente dovrà ottenere specifiche autorizzazioni regolatorie.
Cosa succede ora
Nel breve termine, l’azienda continuerà le attività grazie a un finanziamento ponte da 35 milioni di dollari fornito da JMB Capital Partners. Ma il futuro resta incerto. Le azioni della società sono precipitate a meno di un dollaro e non è ancora chiaro chi possa rilevare il controllo di 23andMe, né quale sarà il destino dei suoi preziosi — e delicatissimi — dati genetici.
Nel frattempo, anche le autorità si muovono. Il procuratore generale della California, Rob Bonta, ha invitato i clienti a valutare la possibilità di eliminare i propri dati genetici detenuti dall’azienda, in virtù delle attuali difficoltà economiche e dell’ampia mole di informazioni sensibili raccolte.
English (US)