Tra la fine di marzo e l’inizio di aprile 2025, diverse aziende di trasporto pubblico locale in Italia hanno segnalato una violazione di dati personali avvenuta a discapito degli utilizzatori delle loro rispettive app per biglietti e abbonamenti. A una prima analisi, tutti gli episodi risultano riconducibili a una singola vulnerabilità infrastrutturale legata a un fornitore cloud esterno, coinvolto nella filiera tecnologica condivisa da più operatori del settore.
Cerchiamo qui di offrire una sintesi aggiornata dei fatti e di chiarire – per quanto desumibile dai comunicati ufficiali – quali soggetti abbiano operato come Titolari, Responsabili e Sub-responsabili del trattamento, secondo quanto previsto dal Regolamento generale sulla protezione dei dati (GDPR)[1].
Nel dettaglio, analizzeremo chi ha agito come Titolare[2] del trattamento[3], chi come Responsabile[4] esterno, e chi come Sub-responsabile nell’ambito delle app messe a disposizione dagli operatori del trasporto pubblico.
Ma soprattutto, vogliamo proporre una riflessione più ampia: quali strumenti e approcci alternativi potrebbero essere adottati per mitigare gli effetti di data breach futuri in contesti simili?
In particolare, ci concentreremo su due fronti promettenti:
- l’impiego dell’EUDI Wallet[5], il Portafoglio di Identità Digitale europeo previsto dal Regolamento eIDAS2[6];
- l’adozione di infrastrutture cloud decentralizzate, basate su tecnologie a registro distribuito (Distributed Ledger Technologies, DLT).
Ecco una panoramica su ciascuna di queste soluzioni, con il potenziale in termini di resilienza, trasparenza e sicurezza per l’intero ecosistema digitale del trasporto pubblico.
Indice degli argomenti
Le società di trasporto pubblico coinvolte
Tra il 29 marzo e l’11 aprile 2025, diverse aziende italiane di trasporto pubblico locale hanno segnalato violazioni dei dati personali a discapito degli utilizzatori delle proprie rispettive app per l’acquisto di biglietti e abbonamenti. Tutti gli incidenti appaiono riconducibili a un’unica compromissione dell’infrastruttura cloud gestita dal fornitore WIIT S.p.A., outsourcer di Mooney Servizi (già MyCicero), quest’ultimo operatore di una piattaforma, tale MoneyGo, molto diffusa tra le aziende di trasporto pubblico. Il fornitore presso cui alcuni servizi d MoneyGo sono esternalizzati, ha subito un attacco informatico con esfiltrazione di dati verso un cloud esterno non autorizzato.
Le categorie di dati personali coinvolti sono simili in tutti i casi: nome, cognome, e-mail, numero di telefono, e in alcuni casi anche dati di geolocalizzazione o relativi ai titoli di viaggio. Nessun caso ha comportato la compromissione di dati bancari o credenziali d’accesso. I titolari del trattamento sono le singole aziende di trasporto, mentre il responsabile esterno comune è MyCicero S.r.l. (Gruppo Mooney), con Pluservice S.r.l. e WIIT S.p.A. nel ruolo di sub-responsabili.
Il ruolo del sub-responsabile
Il termine “sub-responsabile“ non è espressamente definito nel testo del GDPR. Tuttavia, l’articolo 28, paragrafo 2 del Regolamento (UE) 2016/679 disciplina la possibilità per un responsabile del trattamento di avvalersi di un altro responsabile per svolgere specifiche attività di trattamento per conto del titolare. In questo contesto, la figura comunemente denominata “sub-responsabile” si riferisce a quel soggetto incaricato dal responsabile del trattamento per eseguire determinate operazioni, sempre sotto l’autorità e le istruzioni del titolare.
Secondo il GDPR, il responsabile del trattamento non può ricorrere a un altro responsabile (ossia, un sub-responsabile) senza la previa autorizzazione scritta del titolare del trattamento. Tale autorizzazione può essere specifica o generale. In caso di autorizzazione generale, il responsabile è tenuto a informare il titolare di eventuali modifiche previste riguardanti l’aggiunta o la sostituzione di altri responsabili del trattamento, dando così al titolare l’opportunità di opporsi a tali modifiche.
Inoltre, l’articolo 28, paragrafo 4 del GDPR stabilisce che, qualora il sub-responsabile ometta di adempiere ai propri obblighi in materia di protezione dei dati, il responsabile iniziale conserva nei confronti del titolare del trattamento l’intera responsabilità dell’adempimento degli obblighi dell’altro responsabile.
In sintesi, sebbene il termine “sub-responsabile” non sia formalmente definito nel GDPR, la sua figura è riconosciuta e regolamentata attraverso le disposizioni relative al ricorso da parte del responsabile del trattamento ad altri responsabili.
Le società di trasporto pubblico coinvolte
Le società di trasporto coinvolte nel data breach, in qualità di Titolari del trattamento dei dati, hanno correttamente dato comunicazione agli interessati, ottemperando all’articolo 34 comma 3 lettera c) del GDPR. L’elenco che riportiamo al seguito, aggiornato alla data di redazione dell’articolo (13/04/2025), riporta il nome delle aziende, avendo cura di indicare il link al comunicato, la data di pubblicazione, l’individuazione dei responsabili e sub-responsabili del trattamento.
ATM Milano
- Link al comunicato: ATM – Avviso agli utenti
- Data del comunicato: 6 aprile 2025
- Titolare del trattamento: ATM S.p.A.
- Responsabile del trattamento: Mooney Servizi S.p.A. (già MyCicero S.r.l.)
- Sub-responsabili: Pluservice S.r.l., WIIT S.p.A.
ATV Verona
- Link al comunicato: ATV – Comunicazione agli utenti
- Data del comunicato: 9 aprile 2025
- Titolare del trattamento: ATV S.p.A.
- Responsabile del trattamento: MyCicero S.r.l.
- Sub-responsabili: Pluservice S.r.l., WIIT S.p.A.
Busitalia Veneto
- Link al comunicato: Busitalia Veneto – Comunicazione Data Breach
- Data del comunicato: 5 aprile 2025
- Titolare del trattamento: Busitalia Veneto S.p.A.
- Responsabile del trattamento: Fornitore IT esterno (non nominato, ma riconducibile a MyCicero)
- Sub-responsabili: Pluservice S.r.l., WIIT S.p.A.
TUA Abruzzo
- Link al comunicato: TUA – Avviso agli utenti
- Data del comunicato: 11 aprile 2025
- Titolare del trattamento: TUA S.p.A.
- Responsabile del trattamento: MyCicero S.r.l.
- Sub-responsabili: Pluservice S.r.l., WIIT S.p.A.
AIR Campania
- Link al comunicato: AIR Campania – Avviso Data Breach
- Data del comunicato: 7 aprile 2025
- Titolare del trattamento: AIR Campania S.p.A.
- Responsabile del trattamento: MyCicero S.r.l./Mooney Servizi
- Sub-responsabili: Pluservice S.r.l., WIIT S.p.A.
Adriabus (Marche)
- Link al comunicato: Adriabus – Comunicazione Data Breach
- Data del comunicato: 11 aprile 2025
- Titolare del trattamento: Adriabus Consorzio
- Responsabile del trattamento: MyCicero S.r.l.
- Sub-responsabili: Pluservice S.r.l., WIIT S.p.A.
MyCicero – MooneyGo
Per correttezza, riportiamo i comunicati diffusi da MyCicero – MooneyGo, nel ruolo di Responsabili del trattamento, che compaiono alla data in cui scriviamo (13 aprile 2024) sui rispettivi siti web. Tali comunicazioni non sono accessibili tramite URL, ma compaiono in sovrimpressione all’apertura delle rispettive pagine. Pertanto, abbiamo effettuato degli screenshot che riportiamo nelle Figg. 1, 2, 3, 4 sottostanti.
Gli obblighi di comunicazione dei sub-responsabili
I sub-responsabili non hanno obblighi diretti verso l’autorità o verso gli interessati[7]. Tuttavia, devono notificare tempestivamente il responsabile, che a sua volta informa il titolare. Ciò è fondamentale per garantire la tempestività della risposta.
Data breach: analisi delle criticità
L’analisi degli eventi occorsi evidenzia un’importante vulnerabilità strutturale: la concentrazione delle responsabilità operative e infrastrutturali lungo una filiera di trattamento dati fortemente centralizzata. Tutte le aziende di trasporto pubblico coinvolte, pur agendo come titolari autonomi del trattamento, hanno adottato lo stesso fornitore di piattaforma – Mooney Servizi/MyCicero – come responsabile esterno. Quest’ultimo, a sua volta, ha delegato le attività infrastrutturali a un sub-responsabile: WIIT S.p.A.
Tale modello di accentramento, se da un lato garantisce una certa omogeneità nella gestione tecnologica dei servizi offerti ai cittadini, dall’altro espone l’intero sistema a rischi sistemici. Un attacco informatico riuscito contro il sub-responsabile ha comportato un’esfiltrazione di dati che ha coinvolto, in cascata, i dati personali trattati da tutte le aziende servite. In altre parole, la vulnerabilità di un singolo nodo della filiera ha avuto impatto diretto e simultaneo su molteplici titolari del trattamento.
Questa dinamica sollecita una riflessione sull’effettiva capacità dei titolari di assicurare un presidio costante e puntuale sulle attività dei propri responsabili e sub-responsabili del trattamento, in particolare laddove siano presenti strutture multilivello e soluzioni condivise. In tale contesto, può risultare opportuno valutare un aggiornamento dei criteri di selezione e monitoraggio dei fornitori IT, prestando particolare attenzione agli effetti che la concentrazione infrastrutturale e la dipendenza da operatori comuni possono generare sul piano della resilienza e della sicurezza complessiva del sistema.
Data breach: EUDI Wallet e DLT come possibili soluzioni per mitigare i rischi
Alla luce delle vulnerabilità emerse, è opportuno considerare soluzioni tecnologiche e regolatorie in grado di rafforzare la resilienza dei sistemi di gestione dei dati personali.
All’avviso di chi scrive, due direttrici strategiche emergono con particolare rilevanza: l’impiego del Portafoglio di Identità Digitale europeo (EUDI Wallet) e l’adozione di infrastrutture basate su registri distribuiti (Distributed Ledger Technologies – DLT).
Il primo rappresenta uno degli strumenti chiave introdotti dal Regolamento eIDAS2[8], che punta a garantire un’identità digitale sicura, interoperabile e controllata direttamente dai cittadini. Il secondo, invece, offre un paradigma architetturale alternativo a quello centralizzato, basato su condivisione distribuita delle informazioni e immutabilità dei registri.
Entrambe le soluzioni verranno approfondite nei capitoli successivi, evidenziandone le potenzialità in termini di tutela dei dati personali, trasparenza dei trattamenti e robustezza contro attacchi informatici.
Impiego dell’EUDI Wallet
L’adozione dell’EUDI Wallet, obbligatoria per società di trasporti come quelle che hanno subito l’attacco in questione — non prima del 21 novembre 2027[9] — come previsto dal Regolamento eIDAS2, avrebbe potuto mitigare in parte i rischi di violazioni massicce dei dati personali? Proviamo a rispondere.
In uno scenario di utilizzo maturo del Portafoglio di Identità Digitale europeo, i dati personali non verrebbero più archiviati su server di fornitori esterni, ma conservati localmente nel wallet dell’utente. Questo approccio, basato sul controllo diretto da parte del cittadino, comporterebbe accessi selettivi, condivisi solo dietro consenso esplicito, e tracciabili in ogni fase. Ne deriverebbe un sistema potenzialmente privo di archivi centralizzati vulnerabili e dunque meno esposto a esfiltrazioni massive di dati anagrafici, come quelle registrate nel caso in oggetto.
Inoltre, l’adozione del principio di minimizzazione dei dati fin dalla progettazione (data minimization by design), insito nel modello dell’EUDI Wallet, aumenterebbe la resilienza dell’intero ecosistema informativo.
Tutto chiaro? Sì, ma è doveroso introdurre alcune avvertenze:
- L’efficacia del Wallet dipenderà dalla qualità dell’implementazione tecnica, dalla governance nazionale e dal grado di interoperabilità effettiva tra sistemi europei.
- Le società di trasporto dovranno comunque adeguare le proprie infrastrutture digitali, ridefinendo i ruoli e le responsabilità lungo la catena del trattamento.
- I dati personali non spariscono: cambiano luogo e modalità di gestione, passando dal cloud centralizzato all’archiviazione e condivisione gestita dagli utenti.
Impiego della DLT per il cloud
L’impiego di tecnologie basate su registri distribuiti (DLT), come la blockchain, rappresenta una prospettiva promettente per il superamento delle vulnerabilità legata all’eccessiva centralizzazione delle infrastrutture cloud tradizionali. Sebbene al momento queste soluzioni siano ancora in fase sperimentale e non pienamente mature per un’adozione su larga scala in ambito pubblico, il concetto di “cloud decentralizzato” merita attenzione.
Per “cloud decentralizzato” si intende un’infrastruttura in cui i dati e i servizi non risiedono in un unico data center controllato da un singolo soggetto, ma vengono distribuiti e replicati su una rete di nodi indipendenti, ciascuno dei quali partecipa alla conservazione, alla verifica e alla gestione delle informazioni. Questo approccio può garantire maggiore resilienza agli attacchi informatici, poiché l’interruzione o la compromissione di un nodo non implica l’indisponibilità o la perdita dell’intero sistema.
Esempi concreti di sperimentazione in questo ambito includono:
- Gaia-X: iniziativa europea per la creazione di un ecosistema federato di cloud e edge computing basato su standard aperti, dove anche i registri distribuiti trovano applicazione in scenari di tracciabilità e interscambio sicuro dei dati. Secondo la documentazione ufficiale del progetto e i white paper pubblicati dal consorzio Gaia-X (si vedano i documenti riportati in nota[10]), l’integrazione della tecnologia DLT è prevista in ambiti come la gestione dei consensi, la certificazione delle transazioni e la verifica della provenienza e integrità dei dati.
- Filecoin e IPFS (InterPlanetary File System): reti peer-to-peer che offrono storage decentralizzato, con meccanismi di incentivazione e garanzie crittografiche sulla disponibilità dei dati.
- Progetti pilota nazionali in ambito sanitario e logistico, come quelli promossi nell’ambito del programma Horizon Europe, che testano la blockchain per garantire integrità e auditabilità delle informazioni su architetture distribuite.
Sebbene l’adozione generalizzata in ambito TPL (Trasporto Pubblico Locale) richiederà ancora tempo e solide garanzie normative e operative, queste soluzioni offrono un’alternativa architetturale che può affiancare (e in alcuni casi sostituire) il modello attuale di cloud centralizzato, contribuendo a una gestione dei dati più robusta, trasparente e controllabile.
Conclusioni
Il caso di data breach che ha coinvolto numerose aziende di trasporto pubblico tra fine marzo e inizio aprile 2025 rappresenta un esempio concreto delle criticità legate alla centralizzazione delle infrastrutture digitali, soprattutto in presenza di filiere complesse di trattamento dei dati personali. In questo articolo abbiamo ricostruito i principali eventi, individuato i soggetti coinvolti e i loro ruoli secondo il GDPR, e segnalato i punti più delicati della catena di responsabilità.
Abbiamo inoltre analizzato due possibili soluzioni future per ridurre i rischi e gli impatti di incidenti simili: l’adozione dell’EUDI Wallet, che decentralizza il controllo dei dati in favore degli utenti, e l’impiego di architetture cloud basate su registri distribuiti, che offrono maggiore resilienza e trasparenza rispetto ai modelli attuali.
Sebbene queste tecnologie non siano tutte immediatamente adottabili, rappresentano direzioni di sviluppo promettenti per rafforzare la sicurezza dei dati e la fiducia nei servizi digitali pubblici. Una riflessione strategica su questi strumenti, accompagnata da investimenti mirati e aggiornamenti normativi, potrebbe contribuire a costruire un ecosistema più solido e sostenibile nel tempo.
Note
[1] Regolamento (UE) 2016/679 del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati).
[2] Titolare del trattamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri.
[3] Trattamento: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.
[4] Responsabile del trattamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.
[5] European Digital Identity Wallet, o Portafoglio di Identità Digitale europeo.
[6] Regolamento (UE) 2024/1183 dell’11 aprile 2024 che modifica il regolamento (UE) n. 910/2014 per quanto riguarda l’istituzione del quadro europeo relativo a un’identità digitale.
[7] Art. 28(4) GDPR – Obblighi dei sub-responsabili: I sub-responsabili agiscono “in base a un contratto vincolante” e sotto la responsabilità del responsabile, il quale risponde verso il titolare.
[8] Vedere nota n° 6.
[9] Per un approfondimento si può vedere “eIDAS2: il quadro normativo per l’identità digitale e per l’EUDI Wallet”, report a firma di Roberto Garavaglia per l’Osservatorio Digital Identity di POLIMI School of Management del 30 ottobre 2024.
[10] https://gaia-x.eu/wp-content/uploads/2022/05/The-role-and-the-importance-of-Interconnection-in-Gaia-X_13042022.pdf (u.a. 13/04/2025); https://gaia-x.eu/wp-content/uploads/2022/08/Gaia-X-Hackathon-4-Report.pdf (u.a. 13/04/2025); https://www.sitra.fi/app/uploads/2022/06/how-to-build-a-trustworthy-digital-ecosystem-through-gaia-x-federation-services.pdf (u.a. 13/04/2025).
