Una vista generale mostra il logo del servizio di consegna online sudcoreano Coupang, su un edificio che ospita la sede di Coupang a Seul il 9 dicembre 2025. La polizia sudcoreana ha perquisito la sede di Seul del gigante dell'e-commerce Coupang il 9 dicembre, in seguito a una recente fuga di dati che si ritiene abbia colpito quasi i due terzi della popolazione del paese. (Foto di Jung Yeon-je / AFP) | Crediti immagine: Jung Yeon-je / AFP / Getty Images La massiccia violazione dei dati di Coupang in Corea del Sud è ora diventata un punto focale geopolitico, poiché un numero crescente di investitori statunitensi della società sta intraprendendo azioni legali contro il governo sudcoreano.
Quella che era iniziata come un'indagine regolatoria sulle carenze nella sicurezza dei dati si è ampliata in una controversia più ampia su presunti trattamenti ingiusti nei confronti della società con sede centrale negli Stati Uniti.
Sebbene Coupang — che opera in Corea del Sud, Taiwan e Giappone — sia spesso definita come “l’Amazon della Corea del Sud”, la sua sede centrale mondiale si trova in realtà a Seattle, Washington.
Gli investitori della società stanno ora cercando un arbitrato internazionale ai sensi dell’Accordo di libero scambio Corea–USA (FTA). Il 23 gennaio 2026, le società di investimento statunitensi Greenoaks e Altimeter hanno presentato una notifica al Ministero della Giustizia sudcoreano, affermando di aver subito perdite a causa di quella che hanno definito un'indagine discriminatoria da parte del governo sulla violazione dei dati. Hanno dichiarato di voler perseguire un arbitrato ISDS (investitore–stato) secondo il FTA Corea–USA.
Il Ministero della Giustizia sudcoreano ha dichiarato giovedì che altri tre investitori, tra cui Abrams Capital, Durable Capital Partners e Foxhaven Asset Management, si sono uniti alla causa. Essi sostengono che il governo abbia agito illegalmente nei confronti della società di e-commerce.
Per ricapitolare l’incidente: a dicembre, Coupang ha rivelato che le informazioni personali di quasi 34 milioni di clienti coreani erano state violate in un attacco informatico che era durato oltre cinque mesi. La violazione ha coinvolto nomi dei clienti, indirizzi e-mail, numeri di telefono, indirizzi di spedizione e alcune cronologie degli ordini, secondo quanto dichiarato dall’azienda.
Mentre altre violazioni tecnologiche in Corea hanno portato a sanzioni meno severe, Coupang ha dovuto affrontare una pressione governativa straordinaria. Il governo avrebbe minacciato multe ingenti, sospensione delle operazioni e divieti di viaggio per i dirigenti mentre, secondo gli investitori di Coupang, cercava di bloccare la comunicazione pubblica e di rappresentare in modo errato la violazione.
La Personal Information Protection Commission (PIPC) della Corea ha dichiarato che oltre 30 milioni di account Coupang sono stati esposti — ma secondo gli investitori di Coupang, i fatti indicano solo 3.000 account effettivamente colpiti.
A dicembre, il governo sudcoreano e la PIPC hanno dichiarato che la violazione di Coupang era abbastanza grave da giustificare multe più elevate. Secondo gli investitori statunitensi, secondo la legge attuale, le sanzioni sono limitate al 3% del fatturato, più di 800 milioni di dollari per Coupang, ma alcuni legislatori hanno proposto di aumentare il limite al 10% e di applicarlo retroattivamente.
Anche se la nuova legge fosse approvata, non si applicherebbe a Coupang, poiché la violazione è avvenuta prima delle modifiche normative. Tuttavia, un legislatore del Partito Democratico del paese ha suggerito di imporre multe punitive, tramite una nuova legislazione o un atto parlamentare speciale, e la PIPC ha sostenuto l’idea, secondo quanto riportato dai media. Il presidente sudcoreano Lee Jae Myung ha anche pubblicamente chiesto sanzioni pesanti, suggerendo che l'azienda non avesse affrontato conseguenze sufficienti.
Sulla base della notifica di intenzione di presentare ricorso pubblicata dal consulente legale degli investitori, questi sostengono che le azioni del governo sudcoreano costituiscano un “attacco senza precedenti” a Coupang. Nel documento, si afferma:
“L’attacco senza precedenti del Governo contro una società statunitense a beneficio dei suoi concorrenti coreani e cinesi rappresenta una flagrante violazione del Trattato, dei principi del diritto internazionale e della storica partnership tra Corea e Stati Uniti... il comportamento scioccante del Governo ha lasciato agli investitori statunitensi nessuna alternativa. Se il Governo non cessa immediatamente i suoi attacchi contro Coupang, non ripristina completamente la capacità della società di operare e non pone fine in modo permanente alla sua lunga campagna di discriminazione contro l’azienda, allora gli investitori statunitensi saranno costretti a chiedere miliardi di dollari di risarcimento alla Corea per proteggere i loro investimenti in Coupang e rimediare alle continue violazioni del Trattato da parte del Governo, inclusi tentativi di espropriazione.”
Il documento costituisce una fase preliminare, prima del contenzioso. Il Ministero della Giustizia sudcoreano sta ora esaminando la notifica di intenzione, che dà il via a un periodo di consultazione obbligatorio di 90 giorni prima che possa iniziare l'arbitrato formale.
Coupang, Abrams Capital e Foxhaven Asset Management non hanno risposto alla richiesta di commento di TechCrunch. Durable Capital Partners non è stata raggiunta.
Secondo la documentazione degli investitori, la gestione delle violazioni dei dati da parte della Corea del Sud è stata incoerente, citando in particolare altre recenti violazioni dei dati nel paese, tra cui KakaoPay, SK Telecom, Upbit e AliExpress di Alibaba.
KakaoPay avrebbe trasferito 54 miliardi di registrazioni di clienti a Alipay Singapore, ma ha ricevuto solo una multa di 10 milioni di dollari e un avvertimento al CEO, mentre SK Telecom è stata multata di 91 milioni di dollari dopo una massiccia violazione delle SIM card. Upbit e AliExpress hanno anch'essi visto azioni governative minime. Gli investitori affermano che questi esempi evidenziano il netto contrasto con la risposta del governo a Coupang.
Il Ministero della Scienza e ICT della Corea del Sud ha dichiarato mercoledì che la violazione dei dati di Coupang è stata perpetrata da un ex dipendente che aveva lavorato sui sistemi di autenticazione dell'azienda ed era a conoscenza delle vulnerabilità sia nel framework di autenticazione sia nel sistema di gestione delle chiavi.
Il Ministero afferma che Coupang non ha segnalato la violazione alla Korea Internet & Security Agency (KISA) entro 24 ore e non ha implementato completamente un ordine di conservazione dei dati emesso a novembre 2025, portando alla cancellazione di registri chiave di accesso web e app. Il Ministero ha deferito la questione agli investigatori e ha ordinato a Coupang di presentare un piano di prevenzione entro febbraio 2026, con la conformità monitorata fino a luglio.
Coupang ha rilasciato una dichiarazione affermando che il dipendente, un cittadino cinese, ha avuto accesso ai dati di oltre 33 milioni di account ma ne ha trattenuti solo circa 3.000 prima di eliminarli, e che non sono stati consultati dati sensibili come informazioni di pagamento, password o documenti di identità governativi.
Coupang ha inoltre sostituito il suo CEO, Dae-jun Park, con Harold Rogers, principale avvocato della casa madre statunitense, a dicembre.
Adam Farrar, senior associate presso CSIS e senior geoeconomics analyst per APAC a Bloomberg, ha dichiarato nel podcast Impossible State di martedì che ciò che era iniziato come una grave violazione dei dati che coinvolgeva Coupang si è trasformato in una questione più ampia tra Stati Uniti e Corea del Sud.
Farrar ha affermato che il caso sta amplificando le più ampie rivendicazioni statunitensi di trattamento ingiusto nei confronti delle aziende tecnologiche americane, aumentando i rischi commerciali e tariffari per la Corea del Sud man mano che il Congresso degli Stati Uniti si fa sempre più coinvolto.
“La massiccia violazione dei dati [da parte di Coupang] ha portato a una serie di indagini nell'Assemblea Nazionale e a scambi molto combattivi tra Coupang e una serie di dirigenti negli ultimi mesi”, ha detto Farrar nel podcast. “L’ulteriore dinamica qui è che Coupang, pur generando quasi tutti i suoi guadagni in Corea, è ora una società statunitense, il che aggiunge dinamicità su entrambi i fronti, influenzando il modo in cui viene percepita.”
La questione si estende oltre Coupang, sollevando interrogativi più ampi sul fatto che la Corea del Sud stia prendendo di mira ingiustamente le aziende statunitensi, ha proseguito Farrar.
I critici sottolineano politiche digitali che, a loro dire, favoriscono le aziende domestiche, incluse le tariffe di utilizzo della rete per fornitori di contenuti come Netflix, le regole di pagamento di Apple’s App Store e Google Play e i requisiti di localizzazione dei dati che limitano servizi come Google Maps per motivi di sicurezza nazionale.
