Sempre più investitori americani intraprendono azioni legali contro il governo sudcoreano riguardo alla sua risposta alla fuga di dati di Coupang

Violazione dei dati di Coupang scatena una disputa internazionale

Una significativa violazione dei dati presso Coupang in Corea del Sud si è trasformata in una controversia internazionale, con diversi investitori americani che ora intraprendono azioni legali contro il governo sudcoreano.

Inizialmente, la situazione era incentrata sul controllo normativo delle pratiche di protezione dei dati di Coupang. Tuttavia, si è poi evoluta in un conflitto più ampio, con accuse di trattamento discriminatorio nei confronti della società con sede negli Stati Uniti.

Sebbene Coupang sia spesso definita la “Amazon della Corea del Sud” e operi in Corea del Sud, Taiwan e Giappone, la sua sede globale si trova a Seattle, Washington.

Gli investitori stanno invocando il Free Trade Agreement (FTA) USA-Corea per cercare un arbitrato internazionale. Il 23 gennaio 2026, i gruppi di investimento statunitensi Greenoaks e Altimeter hanno presentato una notifica formale al Ministero della Giustizia sudcoreano, affermando di aver subito danni finanziari a causa di quella che definiscono un’indagine governativa di parte sulla violazione. Intendono perseguire una risoluzione delle controversie investitore-Stato (ISDS) in base al FTA.

Secondo il Ministero della Giustizia, altri tre investitori—Abrams Capital, Durable Capital Partners e Foxhaven Asset Management—si sono uniti al caso, sostenendo che il governo abbia agito illegalmente nei confronti di Coupang.

Dettagli della violazione dei dati

A dicembre, Coupang ha rivelato che i dati personali di quasi 34 milioni di utenti coreani erano stati compromessi per un periodo superiore a cinque mesi. Le informazioni esposte includevano nomi, indirizzi email, numeri di telefono, dettagli di spedizione e alcune cronologie di ordini.

A differenza di altre società tecnologiche in Corea che hanno affrontato conseguenze relativamente lievi per incidenti simili, Coupang ha subito una forte pressione normativa. Le autorità avrebbero minacciato la società con multe sostanziose, possibile sospensione delle attività e restrizioni di viaggio per i dirigenti. Gli investitori sostengono che i funzionari abbiano anche tentato di limitare la comunicazione pubblica e di travisare la natura della violazione.

Disputa sulla portata e sulla risposta

Mentre la Personal Information Protection Commission (PIPC) coreana ha dichiarato che oltre 30 milioni di account sono stati colpiti, gli investitori di Coupang sostengono che solo circa 3.000 account siano stati effettivamente compromessi.

A dicembre, i funzionari governativi e la PIPC hanno concluso che la violazione giustificava sanzioni più elevate. Le leggi attuali limitano le multe al 3% del fatturato—potenzialmente oltre 800 milioni di dollari per Coupang—ma alcuni legislatori hanno proposto di aumentare questo limite al 10% e di applicarlo retroattivamente. Anche se tali modifiche dovessero essere approvate, non si applicherebbero a questo incidente, poiché si è verificato prima delle nuove regole. Tuttavia, sono state avanzate richieste di misure punitive speciali, con il sostegno sia dei legislatori che del presidente Lee Jae Myung, che ha promosso sanzioni più severe.

Argomentazioni legali degli investitori

Secondo una notifica di intenti depositata dal team legale degli investitori, essi affermano che le azioni del governo sudcoreano rappresentano un "attacco senza precedenti" a Coupang, violando il diritto internazionale e la partnership USA-Corea. Il deposito avverte che, a meno che il governo non cessi le sue azioni e non ripristini la piena operatività di Coupang, gli investitori chiederanno miliardi di danni per quelle che descrivono come violazioni continue del trattato e tentata espropriazione.

"L'attacco senza precedenti del Governo a una società statunitense per favorire i suoi concorrenti coreani e cinesi è una flagrante violazione del Trattato, dei principi del diritto internazionale e della storica partnership tra Corea e Stati Uniti... la condotta scioccante del Governo non ha lasciato altra scelta agli investitori statunitensi. Se il Governo non cessa immediatamente i suoi attacchi contro Coupang, non ripristina completamente la capacità dell'azienda di gestire il proprio business e non pone fine in modo permanente alla sua campagna di discriminazione nei confronti della società, allora gli investitori statunitensi saranno costretti a richiedere miliardi di dollari di risarcimento alla Corea per proteggere i loro investimenti in Coupang e porre rimedio alle continue violazioni del Trattato da parte del Governo, compresa la tentata espropriazione."

Questo deposito segna l'inizio di un processo pre-arbitrato. Il Ministero della Giustizia sta attualmente esaminando la notifica, che avvia un periodo obbligatorio di consultazione di 90 giorni prima che possa procedere l'arbitrato formale.

Coupang, Abrams Capital e Foxhaven Asset Management non hanno fornito commenti, mentre Durable Capital Partners non è stata reperibile.

Confronti con altre violazioni dei dati

Il deposito degli investitori evidenzia quella che considerano un'applicazione incoerente da parte delle autorità sudcoreane. Vengono citate altre recenti violazioni, come quelle che hanno coinvolto KakaoPay, SK Telecom, Upbit e AliExpress, dove le sanzioni sono state meno severe. Ad esempio, KakaoPay ha trasferito 54 miliardi di record utente ad Alipay Singapore ma ha ricevuto solo una multa di 10 milioni di dollari e un avvertimento per il suo CEO. SK Telecom è stata multata per 91 milioni di dollari a causa di una grave violazione delle SIM card, mentre Upbit e AliExpress hanno affrontato conseguenze minime. Gli investitori sostengono che questi casi dimostrino la risposta sproporzionata nei confronti di Coupang.

Risultati del governo e risposta di Coupang

Il Ministero della Scienza e ICT della Corea del Sud ha riferito che la violazione è stata compiuta da un ex dipendente a conoscenza delle vulnerabilità nei sistemi di autenticazione e gestione delle chiavi di Coupang. Il ministero sostiene che Coupang non abbia notificato la Korea Internet & Security Agency (KISA) entro le 24 ore richieste e non abbia rispettato pienamente un ordine di conservazione dei dati, con conseguente cancellazione di log di accesso critici. Le autorità hanno deferito il caso per ulteriori indagini e ordinato a Coupang di presentare un piano di prevenzione, con monitoraggio del rispetto fissato fino a luglio.

Coupang ha risposto dichiarando che l'ex dipendente, di nazionalità cinese, ha avuto accesso ai dati di oltre 33 milioni di account, ma ha trattenuto informazioni solo da circa 3.000 account prima di cancellarle. L'azienda ha sottolineato che nessun dato sensibile come dettagli di pagamento, password o numeri di identificazione governativa è stato compromesso.

A seguito della violazione, Coupang ha sostituito il suo CEO, Dae-jun Park, con Harold Rogers, già chief legal officer della società madre statunitense.

Implicazioni più ampie e preoccupazioni degli Stati Uniti

Adam Farrar, senior associate presso CSIS e analista geo-economico di Bloomberg, ha commentato in un recente podcast che l'incidente di Coupang si è evoluto in una disputa più ampia tra Stati Uniti e Corea del Sud. Ha osservato che il caso sta alimentando preoccupazioni più ampie sul trattamento delle società tecnologiche americane in Corea, potenzialmente aumentando le tensioni commerciali e tariffarie man mano che il Congresso degli Stati Uniti si coinvolge maggiormente.

Farrar ha spiegato che la violazione ha portato a un intenso controllo nell'Assemblea Nazionale e a scambi controversi tra i dirigenti di Coupang e i legislatori. Ha anche sottolineato che, sebbene Coupang generi la maggior parte dei suoi ricavi in Corea, la sua sede negli Stati Uniti aggiunge complessità alla situazione e influenza la percezione da entrambe le parti.

La controversia ha sollevato interrogativi sul fatto che la Corea del Sud stia prendendo di mira ingiustamente le aziende americane. I critici sottolineano politiche digitali che sembrano favorire le società nazionali, come le tariffe di utilizzo della rete per i fornitori di contenuti come Netflix, le normative sui pagamenti che influenzano l’App Store di Apple e Google Play, e le regole di localizzazione dei dati che limitano servizi come Google Maps per motivi di sicurezza nazionale.

Prossimo evento TechCrunch