Abruzzo. A seguito del grave attacco informatico avvenuto tra il 29 ed il 30 marzo 2025 che ha coinvolto l’azienda del trasporto unico abruzzese TUA S.p.a., alcuni utenti aquilani coinvolti nella sgradevole vicenda, assistiti e difesi dall’avvocato e prof. Carlotta Ludovici del Foro di L’Aquila, anche in qualità di Consigliere Nazionale e Responsabile dell’Associazione dei Consumatori ADICU – aps di L’Aquila, si apprestano ad inoltrare atti di costituzione in mora al fine di avanzare richieste di risarcimento dei danni non patrimoniali, subiti e subendi,
in virtù della normativa europea, in particolare del GDPR n. 2016/679 (Regolamento generale sulla
protezione dei dati personali) e nazionale di riferimento.
Interessati della grave vicenda anche il Garante per la protezione dei dati personali, nonché l’Agenzia per la Cybersicurezza Nazionale.
L’attacco hacker ha comportato l’esfiltrazione di dati sensibili quali nome, cognome, indirizzo e-mail, numero di telefono, codice fiscale e credenziali di autenticazione (username e password) dei passeggeri in ragione dell’utilizzo della App TUABRUZZO (per quanto riferito in una nota dalla stessa Società), in palese e illegittima violazione della privacy.
Nonostante il gravissimo fatto si sia verificato quasi un anno fa, soltanto in questi giorni la Società TUA, sta inoltrando, oltretutto a mezzo di semplice email, la comunicazione a contenuto parziale e non uniforme, con la quale si notizia l’utente che, a cagione del trafugamento di dati sensibili, potrebbe essere esposto a tentativi di truffe ed utilizzo improprio degli stessi. Dunque, il fatto già di per sé preoccupante, è ulteriormente aggravato dal notevole ritardo nell’avviso agli utenti interessati.
Si ricorda che in materia di protezione dati sensibili in virtù del GDPR, ossia del Regolamento UE 2016/679, il titolare del trattamento dei dati personali è tenuto a notificare il data breach al Garante per la privacy entro 72 ore dalla scoperta (art. 33) e ad informare gli interessati, senza ingiustificato ritardo, se il rischio per i diritti e le libertà delle persone fisiche è elevato (art.34).
E’ di tutta evidenza che il trafugamento di dati altamente sensibili degli utenti derivi dalla mancata adozione di misure di protezione di sistemi informatici adeguate a standard elevati, con evidente e grave violazione della privacy, e che lo stesso abbia arrecato danni di notevole entità ai soggetti coinvolti. Si attendono, dunque, risposte concrete da parte dell’Azienda.
