Coinbase colpita da almeno 6 cause legali per violazioni dei dati dei clienti

Coinbase, il più grande exchange di criptovalute degli Stati Uniti, sta affrontando almeno sei cause legali intentate presso i tribunali federali tra il 13 e il 16 maggio 2025, con i querelanti che accusano l'exchange di non aver protetto i dati sensibili degli utenti e di aver violato le leggi sulla privacy biometrica.

L'attacco legale arriva pochi giorni dopo che Coinbase ha rivelato giovedì scorso che dei criminali informatici avevano avuto accesso ai sistemi interni corrompendo diversi addetti all'assistenza clienti. La violazione, avvenuta l'11 maggio, ha compromesso i dati di migliaia di utenti e gli aggressori chiedono ora un riscatto di 20 milioni di dollari.

Secondo Coinbase, i dati rubati includono nomi, indirizzi, numeri di telefono, indirizzi e-mail, le ultime quattro cifre dei numeri di previdenza sociale, dettagli di conti bancari, patenti di guida, passaporti e informazioni relative al conto, come istantanee del saldo e cronologia delle transazioni. 

L'azienda ha dichiarato che la violazione ha avuto ripercussioni su meno dell'1% dei suoi 8 milioni di utenti che effettuano transazioni mensili, il che equivale a meno di 80.000 individui.

Diverse cause legali in vista della quotazione nell'indice S&P 500

Una delle cause legali, presentata il 16 maggio dal querelante Paul Bender presso un tribunale federale di New York, sostiene che Coinbase non è riuscita a implementare e mantenere adeguati protocolli di sicurezza, esponendo gli utenti a "rischi gravi e continui" 

La denuncia accusa inoltre la borsa di aver gestito male le conseguenze della violazione, definendo la sua risposta "inadeguata, frammentaria e tardiva".

"Gli utenti non sono stati informati tempestivamente o in modo completo della violazione. Coinbase non ha adottato immediatamente misure significative per mitigare ulteriori danni, forniredento offrire indicazioni concrete alle persone colpite", si legge nella denuncia.

La causa intentata da Bender sosteneva che i dati trapelati rendevano gli utenti vulnerabili al furto didente alle frodi finanziarie e potevano causare danni irreparabili, dato che le informazioni personali non potevano essere protette una volta che erano state divulgate.

Coinbase è stata colpita da altre due cause legali, sempre a New York, basate sulle stesse denunce, mentre una quarta argomentazione si basa sulla prima, includendo l'arricchimento senza causa. Tale causa sostiene che Coinbase non ha investito "abbastanza" nell'infrastruttura di sicurezza dei dati e sta traendo profitto a scapito della sicurezza degli utenti. 

Gli utenti dell'Illinois presentano un'azione collettiva per violazione della legge sui dati biometrici

Su un fronte legale separato, Coinbase deve anche affrontare una class action intentata il 13 maggio presso un tribunale federale dell'Illinois. I querelanti Scott Bernstein, Gina Greeder e James Lonergan sostengono chedentvioli il Biometric Information Privacy Act (BIPA) dello stato. 

Secondo la causa, Coinbase richiede agli utenti di verificare la propriadentcaricando un documento d'identità rilasciato dal governo e un selfie. Queste informazioni vengono poi elaborate utilizzando un software di riconoscimento facciale pertracdentbiometrici. 

Gli attori hanno sostenuto che Coinbase non ha informato adeguatamente gli utenti di questa raccolta, né ha rivelato per quanto tempo i dati sarebbero stati conservati o come sarebbero stati distrutti.

Coinbase risponde alla violazione e al sabotaggio interno

In un post sul blog pubblicato lo stesso giorno della divulgazione della violazione, Coinbase ha affermato di essersi rifiutata di pagare il riscatto di 20 milioni di dollari e di aver invece istituito un fondo di ricompensa di 20 milioni di dollari per informazioni che portino all'identificazionedentall'arresto dei responsabili dell'attacco. 

Philip Martin, Chief Security Officer di Coinbase, ha confermato che gli agenti del servizio clienti compromessi avevano sede in India e sono stati licenziati. In una recente intervista, Martin ha insistito sul fatto che l'azienda sta collaborando con le forze dell'ordine e i partner del settore per sporgere denuncia contro i responsabili, tra cui un "piccolo gruppo di addetti ai lavori"

"È una situazione spiacevole, ma quando ci troviamo di fronte a un problema del genere, vogliamo assumerci la responsabilità e risolverlo", ha affermato.

L'azienda ha stimato che i costi per affrontare la violazione e risarcire i clienti interessati potrebbero variare da 180 a 400 milioni di dollari.

Nel frattempo, Coinbase è sotto indagine da parte della Securities and Exchange Commission (SEC) statunitense per aver "falsificato" i dati relativi agli utenti in precedenti comunicazioni.