Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Un avviso è comparso sul sito ufficiale di Busitalia, la società del gruppo Ferrovie dello Stato che gestisce il trasporto pubblico nelle province di Padova e Rovigo. In mezzo agli aggiornamenti sulle nuove corse e alle modifiche delle linee, è stato pubblicato un comunicato dal titolo inequivocabile: “Comunicazione di una violazione dei dati personali”.
Nei giorni scorsi Busitalia è stata vittima di un attacco informatico che ha compromesso i dati personali dei passeggeri registrati. L’incidente riguarda in particolare i canali digitali come l’App Busitalia Veneto e il portale abbonamenti, che vengono utilizzati quotidianamente da migliaia di utenti per gestire spostamenti e titoli di viaggio.
Si informano i clienti dei servizi di trasporto di Busitalia Veneto S.p.A. che i canali App Busitalia Veneto e il portale abbonamenti on line gestiti da un fornitore esterno quale Responsabile del trattamento, hanno subito una violazione dei dati personali.
Nello specifico, il fornitore ha comunicato che è stata riscontrata a livello di un data center esterno, una violazione dei dati personali (esfiltrazione non autorizzata verso un cloud esterno) causata da attività malevole di attori esterni non identificati, avvenuta tra il 29 e il 30 marzo 2025.
Di tali fatti, è stata trasmessa comunicazione a Busitalia Veneto S.p.A. in data 4 aprile u.s., quale Titolare del trattamento dei dati personali in argomento. Nel dettaglio, il fornitore ha comunicato che:
· le categorie di interessati coinvolte sono: Utenti/Contraenti/Abbonati/Clienti attuali o potenziali;
· le categorie di dati personali oggetto della violazione sono: dati anagrafici, dati di contatto, dati di profilazione, dati relativi all’ubicazione. Non sono stati invece coinvolti i dati relativi alle carte di credito, in quanto conservati presso i sistemi di Payment Service Provider;
· le probabili conseguenze della violazione per gli interessati riguardano la potenziale perdita di riservatezza (possibilità che i dati siano divulgati al di fuori di quanto previsto dall’informativa ovvero dalla disciplina di riferimento) e perdita di disponibilità (mancato accesso a servizi, malfunzionamento e difficoltà nell’utilizzo di servizi);
· non appena rilevata la violazione, il sistema è stato reso inaccessibile per un periodo di tempo limitato al fine di consentire le opportune verifiche ed azioni di sicurezza;
· sono state adottate e sono in corso di adozione misure per contenere la violazione e attenuarne gli effetti, nonché volte a prevenire il ripetersi di violazioni analoghe.
Si consiglia comunque, in via del tutto precauzionale, di modificare la password dell’account e di prestare particolare attenzione a e-mail di phishing, messaggi e chiamate sospetti o altre richieste di informazioni personali.
L’Azienda si è immediatamente attivata per analizzare quanto accaduto e per mettere in atto tutte le misure possibili per scongiurare le conseguenze negative di tale attacco verso i propri Clienti. In particolare, Busitalia Veneto S.p.A., oltre al presente comunicato, ha ritenuto di effettuare:
• la notifica preliminare all’Autorità Garante per la protezione dei dati personali;
• la richiesta di informazioni al Responsabile del trattamento, ai sensi dell’art. 28, par. 3, lettere f) e g), del GDPR affinché assista Busitalia Veneto S.p.A. nel garantire il rispetto degli artt. da 32 a 36, con particolare riferimento alla gestione della violazione dei dati personali e alle misure di sicurezza implementate a seguito della stessa.
Per ulteriori informazioni in ordine alla violazione in argomento, le richieste possono essere presentanti direttamente ai contatti istituzionali della società. di seguito indicati:
• [email protected]
• [email protected]
Infine, si desidera rassicurare i Clienti che Busitalia Veneto S.p.A. è impegnata a proteggere e a salvaguardare qualsiasi dato personale e, anche in questa circostanza, agirà nell’interesse e per la tutela dei diritti dei propri Clienti.
Rimarremo costantemente in contatto con il fornitore per monitorare l’esito degli accertamenti e per assumere ogni altra iniziativa volta a mitigare i possibili effettivi di quanto verificatosi.La società ha prontamente informato i clienti, specificando che l’attacco ha potenzialmente esposto informazioni sensibili. Tuttavia, non sono ancora stati resi noti i dettagli tecnici sull’entità dell’intrusione, né quali dati siano stati effettivamente compromessi. Busitalia ha dichiarato di aver immediatamente avviato le procedure di sicurezza previste dal GDPR e di essere al lavoro per limitare gli impatti dell’incidente.
Secondo le prime ricostruzioni, l’accesso non autorizzato ai sistemi avrebbe potuto permettere la visualizzazione di dati personali come “dati anagrafici, dati di contatto, dati di profilazione, dati relativi all’ubicazione. Non sono stati invece coinvolti i dati relativi alle carte di credito, in quanto conservati presso i sistemi di Payment Service Provider”
L’accaduto sottolinea ancora una volta la crescente vulnerabilità dei sistemi informatici nel settore dei trasporti pubblici. In un contesto in cui la digitalizzazione dei servizi è sempre più centrale, episodi come questo richiamano l’urgenza di investire in soluzioni di cybersecurity più robuste e in una maggiore sensibilizzazione degli utenti.
