TUA chiarisce sull’episodio informatico del marzo 2025: nessun dato di pagamento coinvolto

A distanza di quasi un anno dall’episodio informatico verificatosi tra il 29 e il 30 marzo 2025, TUA S.p.A. interviene per fornire precisazioni puntuali, dopo la diffusione di notizie che hanno riacceso l’attenzione pubblica e generato interrogativi tra gli utenti del trasporto regionale.

L’azienda sottolinea anzitutto che non esiste alcun attacco attualmente in corso e che la comunicazione inviata nelle scorse settimane ad alcuni utenti non segnala un nuovo evento, bensì rappresenta un riepilogo informativo dell’accaduto, corredato dalle misure adottate e da indicazioni utili per una maggiore tutela digitale.

Coinvolta una piattaforma esterna, non i sistemi aziendali

L’evento registrato nel marzo 2025 non ha interessato direttamente l’infrastruttura informatica interna di TUA, ma una piattaforma tecnologica fornita da un operatore terzo, utilizzata per servizi collegati alla gestione dei titoli di viaggio. La stessa infrastruttura risultava impiegata anche da altri operatori del trasporto pubblico e da diversi fornitori di servizi su scala nazionale.

Si tratta, dunque, di un episodio che ha avuto origine al di fuori dei sistemi aziendali, pur avendo potenzialmente riguardato dati trattati nell’ambito dei servizi digitali collegati all’utenza.

Al verificarsi dell’evento, TUA ha attivato le procedure previste dalla normativa vigente, notificando tempestivamente l’accaduto all’Autorità competente e avviando un’attività di cooperazione tecnica con i soggetti coinvolti per approfondire la natura dell’incidente e rafforzare le misure di mitigazione.

Quali dati sono stati coinvolti

Uno dei punti su cui l’azienda insiste riguarda la natura delle informazioni interessate. Non risultano coinvolte le cosiddette “categorie particolari di dati” definite dall’articolo 9 del Regolamento UE 2016/679, che comprendono, ad esempio, dati sanitari o biometrici. Le informazioni potenzialmente interessate rientrano tra i dati personali comuni: dati anagrafici e di contatto, eventuale codice fiscale o partita IVA se forniti dall’utente, credenziali di accesso.

Le credenziali, precisa TUA, erano gestite con sistemi di protezione e non risultavano memorizzate in chiaro. L’azienda ribadisce inoltre un aspetto che interessa in modo diretto gli utenti: nessun dato relativo a carte di credito o ad altri strumenti di pagamento è stato compromesso. I sistemi di pagamento sono infatti gestiti da infrastrutture separate. Non risultano coinvolti neppure dati di localizzazione.

A ulteriore tutela, dal 1° ottobre 2025 le credenziali di accesso all’app sono state definitivamente cancellate per gli utenti che non avevano provveduto autonomamente alla modifica della password dopo l’evento, rendendo inutilizzabili eventuali combinazioni precedenti.

L’attenzione resta alta: come proteggersi

Pur in assenza di criticità attuali, TUA invita i cittadini a mantenere un atteggiamento prudente rispetto a possibili tentativi di phishing. L’azienda ricorda di non richiedere mai password, codici o pagamenti tramite e-mail o SMS e raccomanda l’utilizzo di password complesse, diverse per ciascun servizio e aggiornate periodicamente.

La vicenda, chiarita nei suoi contorni tecnici e normativi, conferma quanto la gestione della sicurezza informatica richieda trasparenza, tempestività nelle comunicazioni e collaborazione tra operatori pubblici e fornitori tecnologici. In un contesto in cui i servizi digitali sono parte integrante dell’esperienza di viaggio, la fiducia degli utenti si fonda anche sulla capacità di fornire informazioni puntuali e verificabili.