Viviamo nell’era delle confessioni digitali e dei viaggi genealogici fai-da-te. Con pochi clic e un campione di saliva, milioni di persone hanno affidato a internet la parte più profonda e intima della propria identità: il proprio DNA. A guidare questa rivoluzione è stata 23andMe, un’azienda della Silicon Valley fondata nel 2006 con una promessa audace: rivelarti chi sei, da dove vieni e cosa potrebbe aspettarti nel tuo futuro biologico.

La cofondatrice Anne Wojcicki, ex analista del settore biotech, ha introdotto un modello rivoluzionario di test genetici diretti al consumatore. Nessun medico, nessun laboratorio: solo curiosità, velocità e un’esperienza digitale. Per meno di 100 euro, chiunque poteva ottenere un report genetico completo, esplorare origini ancestrali, scoprire parenti lontani e persino ricevere indicazioni su rischi per la salute.

All’inizio degli anni 2020, oltre 12 milioni di persone in tutto il mondo avevano già inviato il proprio DNA alla sede di 23andMe in California. La funzione “Parenti Genetici” divenne un’attrazione centrale, mettendo in contatto persone sconosciute accomunate da tratti ereditari. Ma quella rete di collegamenti genetici — meravigliosa e insieme delicatissima — iniziava già a mostrare punti deboli invisibili.

Quella vulnerabilità esplose nel 2023.

Un attacco informatico, silenzioso ma efficace, sfruttò una tecnica nota come credential stuffing, ovvero l’uso di credenziali rubate in violazioni precedenti per accedere ad account di 23andMe. Nessun hacking sofisticato — solo vecchie password riciclate e porte che si aprivano da sole.

Ma la cosa più preoccupante era la struttura stessa del sistema. Chi aveva accesso a un singolo profilo poteva visualizzare legami genetici con centinaia di altri utenti. Il risultato fu un effetto domino biologico: un solo accesso equivaleva a migliaia di informazioni esposte.

In totale, 6,9 milioni di persone furono coinvolte a livello globale. Solo nel Regno Unito, 155.000 utenti videro i propri dati genetici — come origine etnica, predisposizione a malattie, legami familiari — finire nelle mani sbagliate. Non era semplicemente una fuga di dati. Era lo spogliamento digitale dell’identità umana.

Quando la portata della violazione dei dati di 23andMe è diventata pubblica, lo shock è stato globale. Milioni di persone hanno scoperto che la loro identità genetica — qualcosa di permanente e profondamente personale — era finita in mani sconosciute, spesso senza che ne fossero minimamente al corrente.

Le autorità britanniche per la protezione dei dati, l’Information Commissioner’s Office (ICO), hanno avviato un’indagine approfondita. I risultati sono stati severi: 23andMe non aveva adottato misure minime di sicurezza informatica. L’autenticazione a due fattori era facoltativa, le password richieste troppo deboli, e i segnali precoci di attività sospette erano stati ignorati per mesi.

Nel maggio 2025, l’ICO ha inflitto all’azienda una multa di 2,31 milioni di sterline, citando non solo la violazione, ma anche la gestione superficiale e i ritardi nella risposta all’emergenza. Ma al di là dell’aspetto economico, il danno reputazionale è stato devastante: un’azienda costruita sull’idea di aiutare le persone a “conoscere sé stesse” non aveva realmente protetto ciò che di più intimo le definisce.

E non è tutto.

Grazie alla funzione “Parenti Genetici”, accedere a un singolo account significava potenzialmente accedere ai dati familiari collegati di centinaia di altri utenti. Alcune persone che non avevano usato 23andMe da anni — o che non avevano mai autorizzato la condivisione attiva — si sono viste coinvolte loro malgrado. Intere reti genetiche sono state compromesse con un solo login.

Con il crescere delle cause legali e della pressione pubblica, 23andMe ha dichiarato fallimento. Oggi è in fase di acquisizione da parte del TTAM Research Institute, un’organizzazione senza scopo di lucro guidata dalla cofondatrice Anne Wojcicki. I nuovi vertici promettono maggiore trasparenza, standard di sicurezza rafforzati e un cambio di rotta nella gestione dei dati.

Ma resta una domanda fondamentale: si può davvero proteggere qualcosa che non può essere cambiato, come il proprio DNA?

Password e carte di credito si possono aggiornare. Il codice genetico no. Una volta divulgato, è per sempre. E in un’epoca in cui l’anonimato vacilla e i sistemi di identificazione incrociata diventano sempre più sofisticati, il controllo sulla propria eredità biologica non è più scontato.

Il caso 23andMe segna un punto di svolta. Costringe il mondo a riconsiderare il concetto di privacy biologica. Chi possiede i nostri dati genetici? Chi può analizzarli, conservarli o monetizzarli? E soprattutto: quale prezzo siamo disposti a pagare per conoscere chi siamo?

Perché proteggere l’identità oggi non significa più solo proteggere un nome o un numero — significa proteggere il nostro stesso codice di esistenza

Sources:

• Information Commissioner's Office (ICO) Official Statement – May 2025

• 23andMe Press Release on Breach and Legal Proceedings – April 2024

• TechCrunch – “23andMe’s Data Breach Exposed Genetic Links of Millions,” November 2023

• WIRED – “Why the 23andMe Breach Is Different,” October 2023

• BBC News – “UK Fines 23andMe £2.3 Million Over Data Breach,” May 2025

• The Guardian – “DNA Doesn’t Expire: The Unseen Cost of 23andMe’s Data Leak,” May 2025