23andMe ha ottenuto un risarcimento di 46,8 milioni di dollari per i dati genetici rubati

I profili genealogici e i dati familiari di quasi sette milioni di persone, rubati nel 2023 e dispersi sul dark web, hanno ora un valore di 46,8 milioni di dollari, stabilito da un tribunale. Un amministratore fallimentare del Missouri ha approvato il fondo mercoledì, definendo così le principali pretese nei confronti della società un tempo nota come 23andMe e ora operante con il nome di Chrome Holding Co. Lo riporta Reclaim The Note.

Ciò che gli hacker hanno rubato non può essere ripristinato. Una password viene cambiata dopo una violazione e una carta di credito rubata viene bloccata nel giro di poche ore. La tua ascendenza e il tuo background etnico non cambiano, così come la rete di parenti a cui sei collegato, che espone persone che non si sono mai iscritte a nulla.

Le stime di ascendenza, le relazioni familiari previste, gli anni di nascita e i luoghi autodichiarati che hanno raccolto sono sufficienti per identificare una persona e le persone a lei imparentate, e queste informazioni rimangono valide per tutta la vita.

Questi sono i dati che 23andMe non è riuscita a proteggere, a partire da aprile 2023 e per circa cinque mesi, prima che l’azienda rivelasse l’intrusione in un post sul blog di ottobre.

Gli hacker hanno riutilizzato le credenziali di accesso ottenute da precedenti violazioni su altri siti, infiltrandosi in una piccola parte di account i cui proprietari avevano riciclato le proprie password. Da lì, il danno si è esteso a DNA Relatives, una funzionalità opzionale creata per consentire agli utenti di trovare parenti genetici. L’hacker ha raggiunto 5,5 milioni di profili DNA Relatives e ha estratto informazioni su altri 1,4 milioni di persone che utilizzavano uno strumento chiamato Family Tree, trasformando una funzionalità pensata per favorire la connessione in una mappa di chi è imparentato con chi.

Le vittime che hanno presentato denuncia si divideranno 32,5 milioni di dollari del fondo, con risarcimenti individuali che vanno dai 50 ai 10.000 dollari per danni straordinari come furto d’identità e cure per problemi di salute mentale.

L’amministratore ha finora risolto oltre 255.860 richieste di risarcimento e migliaia sono ancora in sospeso. I restanti 14,29 milioni di dollari vanno a Kroll, la società che gestisce le richieste, e circa 13 milioni di dollari di questa somma sono stati coperti da polizze di cyberassicurazione di Allied World, Houston Casualty di Tokio Marine, Landmark American di Berkshire Hathaway e assicuratori di Lloyd’s. Le persone i cui dati sono stati esposti si assumono il rischio permanente e le compagnie assicurative si fanno carico della maggior parte del costo.

I ricorrenti avevano chiesto 48 miliardi di dollari. L’amministratore ha optato per una cifra di diversi ordini di grandezza inferiore, citando la sentenza di un tribunale federale secondo cui un precedente accordo da 30 milioni di dollari era «ragionevole alla luce della grave situazione finanziaria della società».

L’amministratore ha definito il risultato un «esito equo» che evita ulteriori contenziosi e rispecchia quanto l’azienda può effettivamente pagare. La cifra finale è inferiore di 3,25 milioni di dollari al limite massimo di 50 milioni di dollari autorizzato dal giudice Brian Walsh lo scorso gennaio.

Il danno non è mai stato distribuito in modo uniforme. Dopo la violazione, raccolte di profili rubati sono emerse e sono state messe in vendita sul dark web. I dati genealogici, suddivisi per etnia e offerti agli acquirenti, rappresentano un tipo di esposizione che nessun risarcimento può annullare.

Come riportato da Renovatio 21, i dati rubati dalla società di test genetici 23andMe sono stati resi disponibili per essere venduti online prenderebbero di mira specificamente gli utenti con origini ebraiche ashkenazite.

La società che ha raccolto tutti questi dati è in gran parte scomparsa. 23andMe ha presentato istanza di fallimento ai sensi del Chapter 11 nel marzo 2025, ha venduto la maggior parte delle sue attività per oltre 300 milioni di dollari ed è stata riacquistata dalla co-fondatrice Anne Wojcicki, nonostante le obiezioni delle autorità di regolamentazione.

La California ha tentato di bloccare la vendita, sostenendo che il suo Genetic Information Privacy Act richiedeva il consenso esplicito prima che i dati genetici potessero essere trasferiti, ma ha perso la causa. Alla fine di maggio, lo stato ha citato in giudizio Chrome Holding Co. per non aver protetto i dati dei clienti fin dall’inizio. La società di comodo continua a cambiare nome.

Come riportato da Renovatio 21, nel 2018, 23andMe ha annunciato una partnership con GlaxoSmithKline, consentendo al colosso farmaceutico di utilizzare i risultati dei test di cinque milioni di clienti per sviluppare nuovi farmaci in cambio di un investimento di 300 milioni di dollari. L’accordo è stato prorogato fino a luglio 2023 per ulteriori 50 milioni di dollari.

La CEO di 23andMe Anne E. Wojcicki, è l’ex moglie del cofondatore di Google Sergej Brin. Nel 2007, Google ha investito 3,9 milioni di dollari nella società, insieme a Genentech, che è considerata la prima società biotecnologica al mondo grazie allo sfruttamento del DNA ricombinante e la creazione dell’insulina sintetica nel 1978.

Nel febbraio 2021, 23andMe ha annunciato di aver stipulato un accordo definitivo per la fusione con la società di acquisizione speciale di Richard Branson, VG Acquisition Corp, in una transazione da 3,5 miliardi di dollari. La società risultante dalla fusione è stata rinominata 23andMe Holding Co. e ha iniziato ad essere quotata alla borsa NASDAQ il 17 giugno 2021 con il simbolo «ME»

La sorella Susan Wojcicki , ora defunta, è stata fino a poco fa CEO di YouTube, che è di proprietà di Google.

I dati genetici raccolti privatamente sulla popolazione hanno reso in grado le autorità americane di catturare autori di assassini anche di quaranta e passa anni fa. Il caso più noto è quello del Golden State Killer, preso grazie al fatto che, con la cosiddetta genomica di consumo (servizi di analisi genetica al consumatore come 23andMe, che è solo uno degli attori del settore) molti americani hanno uploadato su un server il loro profilo genetico, rendendo rintracciabili anche i loro parenti.

Come riportato da Renovatio 21, la Commisione di Intelligence USA ha dichiarato che i test DNA commerciali potrebbero essere utilizzati nella produzione di bioarmi personalizzate, cioè la creazione di sistemi di offesa in grado di colpire una singola persona o un particolare gruppo famigliare, etnico etc.

SOSTIENI RENOVATIO 21