Il mondo dei trasporti pubblici italiani si trova a fare i conti con un nuovo incidente informatico, che porta alla luce tutta la fragilità delle architetture digitali affidate a una catena lunga di fornitori terzi. Questa volta, il data breach ha colpito l’app ATM, il servizio digitale dell’Azienda Trasporti Milanesi, coinvolgendo in modo indiretto anche altre realtà del settore come Tuabruzzo. Ma il cuore della vicenda si trova ancora più in profondità, precisamente nei server di WIIT SpA, provider di infrastruttura cloud utilizzato da Mooney Servizi SpA, ovvero l’azienda delegata alla gestione di diversi servizi legati alla mobilità di prossimità tra cui ATM Milano, e utilizzato da MyCicero, a cui si affida, invece, TUA.
L’intrusione, che risale a sabato 5 aprile 2025, è stata comunicata pubblicamente da ATM attraverso un comunicato ufficiale, specificando come il furto di dati ha permesso a ignoti di copiare dati personali appartenenti a migliaia di utenti e trasferirli su un cloud esterno non autorizzato. Secondo le informazioni attualmente disponibili, le informazioni sottratte includono nome, cognome, indirizzo email, numero di telefono e dettagli del profilo cliente registrato sull’app. Resta in dubbio se anche le fotografie utilizzate per le tessere digitali siano finite nel leak. Un comunicato simile è arrivato anche da parte di Tuabruzzo, dove le informazioni sono pressoché le stesse, pur essendo il provider diverso.
Nonostante l’allarme, le due aziende hanno voluto chiarire con trasparenza che nessun dato finanziario o credenziale di accesso è stato violato. Le carte di pagamento, le password e persino gli indirizzi di residenza sembrano essere rimasti al sicuro. Il danno, però, è tutto legato alla potenziale perdita di riservatezza, che potrebbe aprire la porta a campagne di phishing mirate, spam e altre attività fraudolente nei confronti degli utenti colpiti.
Una falla sistemica: quando il problema è l’intera filiera dietro ATM e TUA
La vicenda solleva interrogativi importanti sull’affidabilità dei sistemi di protezione dei dati adottati da molte aziende pubbliche e private. Mooney Servizi opera come responsabile del trattamento per numerose app di trasporto in Italia, inclusa quella dell’azienda trasporti milanese. Ma non è stata direttamente violata. Abbiamo specificato, infatti, che a essere stata presa di mira è stata la piattaforma di storage esterna di WIIT SpA, un fornitore su cui Mooney, e quindi tutte le aziende che ne utilizzano i servizi, fa affidamento.
Questo tipo di catena tecnologica espone gli utenti a rischi moltiplicati: un singolo anello debole può compromettere l’intera rete. E nel contesto attuale, in cui la digitalizzazione dei servizi è sempre più spinta ma la sicurezza informatica spesso rimane un passo indietro, simili attacchi sono destinati a diventare sempre più frequenti. Il Garante per la Protezione dei Dati Personali e l’Agenzia per la Cybersicurezza Nazionale è stato prontamente informato, come previsto dalla normativa GDPR in caso di data breach.
Le indagini proseguono per accertare responsabilità e dimensioni dell’attacco, mentre i servizi di trasporto hanno richiesto ai rispettivi responsabili, un report dettagliato su quanto accaduto e sulle contromisure adottate. Nel frattempo, l’unico consiglio implicito rimasto agli utenti è quello di prestare la massima attenzione a eventuali comunicazioni sospette: perché anche quando i dati bancari restano protetti, il nome e il numero giusto nelle mani sbagliate possono diventare un’arma.
