Tua: "Nessun attacco in corso, nessun dato di pagamento coinvolto"

In relazione a quanto riportato da alcuni organi di stampa e alle iniziative annunciate da singoli utenti in merito all’episodio informatico verificatosi tra il 29 e il 30 marzo 2025, TUA S.p.A. ritiene opportuno fornire alcune precisazioni, nell’interesse di una corretta informazione dell’utenza.

Piattaforma esterna, non sistemi TUA

L’evento del marzo 2025 non ha riguardato un attacco mirato ai sistemi TUA, ma ha interessato una piattaforma/infrastruttura di un fornitore terzo, utilizzata per servizi collegati alla gestione dei titoli di viaggio e impiegata anche da altri operatori del trasporto pubblico e diversi fornitori di servizi terzi a livello nazionale.

Tempestività e adempimenti: TUA ha attivato subito le misure previste

Al verificarsi dell’evento, TUA ha tempestivamente notificato l’accaduto all’Autorità competente, avviando contestualmente un’attività di cooperazione con l’Autorità e con i fornitori tecnologici per gli accertamenti tecnici e l’adozione di ulteriori misure di mitigazione.

Fin dalle primissime fasi, l’utenza è stata informata tramite canali ufficiali (avvisi sul sito aziendale, pop-up sull’app, avvisi presso le biglietterie e sui mezzi aziendali, ecc.). La comunicazione inviata a parte dell’utenza nelle scorse settimane non rappresenta un nuovo incidente in corso, ma un recap informativo volto a riepilogare l’evento, spiegare le misure adottate e fornire indicazioni utili per una maggiore consapevolezza digitale.

Nessun “dato sensibile” in senso normativo: si tratta di dati comuni

È importante chiarire che l’espressione “dati sensibili” è spesso usata in modo improprio: il Regolamento UE 2016/679 definisce come “categorie particolari di dati” (art. 9) informazioni quali, ad esempio, dati sanitari, biometrici o altri aspetti personali tutelati in modo rafforzato. Tali categorie particolari non risultano coinvolte.

I dati potenzialmente interessati riguardano esclusivamente dati personali comuni (ad esempio dati anagrafici e di contatto; eventuale codice fiscale/partita IVA se forniti; credenziali di accesso). Le credenziali, inoltre, risultavano gestite con misure di protezione e non in chiaro.

Nessuna carta di credito, nessun dato di pagamento, nessuna localizzazione TUA ribadisce che non sono mai stati compromessi dati relativi a carte di credito o ad altri strumenti di pagamento, gestiti da infrastrutture distinte, e non risultano coinvolti dati di localizzazione.Ulteriore tutela: credenziali non aggiornate cancellate

A ulteriore garanzia, per gli utenti che non avessero provveduto autonomamente alla modifica della password dopo l’evento, dal 1° ottobre 2025 le credenziali di accesso all’app sono state definitivamente cancellate, rendendo non utilizzabili eventuali password precedenti.

Indicazioni pratiche per l’utenza (attenzione al phishing)

TUA invita i cittadini a prestare attenzione a eventuali e-mail/SMS fraudolenti: TUA non chiede mai password, codici o pagamenti via e-mail. Si raccomanda l’utilizzo di password robuste e non riutilizzate su altri servizi.

Assistenza

Eventuali richieste di chiarimento possono essere inviate al canale del Responsabile