Diverse aziende di trasporto pubblico hanno segnalato l’accesso ai dati degli utenti. Nel suo comunicato stampa, ATM aveva citato WIIT SpA (il riferimento è stato successivamente eliminato). La società che fornisce l’infrastruttura cloud ha escluso qualsiasi responsabilità, quindi la colpa è esclusivamente di MyCicero.
Pluservice è responsabile della sicurezza
Fino al 12 aprile, il comunicato di ATM faceva riferimento ad un attacco contro l’archivio ospitato da WIIT SpA che contiene i dati dei clienti di Mooney Servizi/MyCicero, tra cui quelli degli utenti di ATM, Busitalia, Trasporto Unico Abruzzese e consorzio Unicocampania. Ora non è più presente la frase “ospitato da WIIT SpA“, in quanto la società non è responsabile dell’accaduto.
WIIT SpA ha spiegato che la piattaforma MyCicero è gestita da Pluservice Srl (parte di Mooney Servizi). Quest’ultima si occupa anche delle attività di cybersecurity (direttamente o mediante terzi). L’attacco informatico ha interessato solo MyCicero. Nessun altro cliente di WIIT, né i suoi servizi cloud sono stati oggetto dell’attacco.
WIIT ha pertanto sottolineato che fornisce solo l’infrastruttura cloud e non gestisce la sicurezza della piattaforma MyCicero. Ha tuttavia rilevato le attività anomale e suggerito a Pluservice di disattivare il servizio (come effettivamente avvenuto). WIIT ha inoltre aggiunto che non è il responsabile del trattamento dei dati degli utenti contenuti nell’archivio di MyCicero.
Le indagini sono ancora in corso. Il Garante per la protezione dei dati personali, che ha ricevuto la notifica del data breach, dovrà stabilire se c’è stata una violazione della privacy.
Ti potrebbe interessare
16 apr 2025