Abruzzo. TUA fornisce alcune precisazioni, nell’interesse di una corretta informazione dell’utenza per quanto concerne l’attacco informatico avvenuto tra il 29 e 30 marzo scorsi del 2025.
Piattaforma esterna, non sistemi TUA L’evento del marzo 2025 non ha riguardato un attacco mirato ai sistemi TUA, ma ha interessato
una piattaforma/infrastruttura di un fornitore terzo, utilizzata per servizi collegati alla gestione dei titoli di viaggio e impiegata anche da altri operatori del trasporto pubblico e diversi fornitori di
servizi terzi a livello nazionale.
Tempestività e adempimenti: TUA ha attivato subito le misure previste
Al verificarsi dell’evento, TUA ha tempestivamente notificato l’accaduto all’Autorità competente, avviando contestualmente un’attività di cooperazione con l’Autorità e con i fornitori tecnologici per gli accertamenti tecnici e l’adozione di ulteriori misure di mitigazione.
Fin dalle primissime fasi, l’utenza è stata informata tramite canali ufficiali (avvisi sul sito aziendale, pop-up sull’app, avvisi presso le biglietterie e sui mezzi aziendali, ecc.). La comunicazione inviata a parte dell’utenza nelle scorse settimane non rappresenta un nuovo incidente in corso, ma un recap informativo volto a riepilogare l’evento, spiegare le misure adottate e fornire indicazioni utili
per una maggiore consapevolezza digitale.
Nessun “dato sensibile” in senso normativo: si tratta di dati comuni
È importante chiarire che l’espressione “dati sensibili” è spesso usata in modo improprio: il
Regolamento UE 2016/679 definisce come “categorie particolari di dati” (art. 9) informazioni quali,
ad esempio, dati sanitari, biometrici o altri aspetti personali tutelati in modo rafforzato. Tali
categorie particolari non risultano coinvolte.
I dati potenzialmente interessati riguardano esclusivamente dati personali comuni (ad esempio dati anagrafici e di contatto; eventuale codice fiscale/partita IVA se forniti; credenziali di accesso). Le credenziali, inoltre, risultavano gestite con misure di protezione e non in chiaro.
Nessuna carta di credito, nessun dato di pagamento, nessuna localizzazione TUA ribadisce che non sono mai stati compromessi dati relativi a carte di credito o ad altri strumenti di pagamento, gestiti da infrastrutture distinte, e non risultano coinvolti dati di
localizzazione.
Ulteriore tutela: credenziali non aggiornate cancellate
A ulteriore garanzia, per gli utenti che non avessero provveduto autonomamente alla modifica della password dopo l’evento, dal 1° ottobre 2025 le credenziali di accesso all’app sono state definitivamente cancellate, rendendo non utilizzabili eventuali password precedenti.
Indicazioni pratiche per l’utenza (attenzione al phishing)
TUA invita i cittadini a prestare attenzione a eventuali e-mail/SMS fraudolenti: TUA non chiede mai
password, codici o pagamenti via e-mail. Si raccomanda l’utilizzo di password robuste e non
riutilizzate su altri servizi.
Assistenza
Eventuali richieste di chiarimento possono essere inviate al canale del Responsabile della
Protezione dei Dati (DPO): responsabileprotezionedati@tuabruzzo.it.
