Descrizione
D.G. 13/2026
Gentile Utente,
TUA, in qualità di Titolare del trattamento, trasmette questa comunicazione per fornirLe informazioni aggiornate sull’attacco informatico avvenuto tra il 29 e il 30 marzo 2025, che ha comportato l’esfiltrazione di alcuni dati personali, trattati in ragione dell’uso dell’App TUABRUZZO, di alcuni degli utenti della predetta App.
Questa comunicazione integra e aggiorna le precedenti informative già messe a disposizione e, in particolare, le comunicazioni dell’11 aprile 2025: l’avviso D.G. 92/2025 pubblicato sul sito aziendale e il pop-up pubblicato sull’app che rinviava al sito, in particolare al seguente link:
(https://www.tuabruzzo.it/comunicazioni/violazione-dati-personali-app-tuabruzzo/25-763.html), il pop-up pubblicato dal 01/09/2025 al 30/09/2025 con invito ad aggiornare la password entro il 30 settembre in quanto dal 1° ottobre 2025 la stessa non sarebbe stata riconosciuta.
Le chiediamo di considerare questa comunicazione come completa descrizione dei fatti accaduti.
Con questo avviso TUA fornisce informazioni importanti relative alla sicurezza dei Suoi dati personali, ivi incluse le credenziali di accesso all’App TUABRUZZO e per indicare le azioni necessarie che deve mettere in atto qualora Lei non le avesse già intraprese.
La presente comunicazione è stata redatta in linguaggio semplice e chiaro, evitando tecnicismi, proprio per facilitare la lettura da parte di ogni utente.
Per completezza Le ricordiamo:
1. Cosa è successo:
Nel marzo 2025 si è verificato un attacco informatico che ha colpito i sistemi tecnologici, gestiti da myCicero S.r.l. e dai suoi fornitori di servizi IT, sui quali risiede anche l’App TUABRUZZO.
Le precisiamo sin da ora che myCicero ha sporto formale denuncia alla Polizia Postale e sono state attivate tutte le necessarie procedure di sicurezza, collaborando con le Autorità competenti, inclusa l’Agenzia per la Cybersicurezza Nazionale (ACN) e il Garante per la protezione dei dati personali.
2. Quali informazioni sono state coinvolte:
La violazione ha comportato l’esfiltrazione dei Suoi dati personali incluse le credenziali di autenticazione all’App TUABRUZZO.
Gli autori dell’attacco hanno esfiltrato dati personali a Lei riconducibili, propri del “Profilo Utente”:
- Nome, cognome, indirizzo e-mail e numero di telefono
- Eventuale Codice Fiscale o Partita IVA, se da Lei forniti;
- Le credenziali di autenticazione (username e password).
In particolar modo, la Sua password non era salvata in chiaro, ma trasformata (“offuscata”) tramite un sistema di protezione chiamato “hash”. Una password offuscata tramite hash risulta illeggibile, ma un attaccante potrebbe tentare di ricostruirla, soprattutto se era semplice o già usata in altri servizi.
Comunichiamo con certezza che:
Non sono stati coinvolti i dati relativi a carte di credito o altri strumenti di pagamento perché gestiti da un’altra infrastruttura
Non sono stati coinvolti dati sensibili (oggi definiti "categorie particolari di dati") ai sensi dell'art. 9 del Regolamento UE 2016/679)
Qualora desiderasse ulteriori informazioni tecniche relative all’algoritmo utilizzato per hashare le password, nonché chiarimenti sulle risorse necessarie alla relativa decodifica, restiamo a disposizione per qualsiasi necessità di approfondimento agli indirizzi indicati in calce alla presente.
3. Quali sono i potenziali rischi?
La divulgazione di queste informazioni potrebbe esporla a rischi quali la ricezione di e-mail o messaggi di spam e tentativi di truffa (phishing). Inoltre, se utilizzava o utilizza tuttora la stessa password o una simile per altri servizi online, esiste il rischio che soggetti non autorizzati possano tentare di accedere anche a tali servizi e alle informazioni ivi ospitate.
Più precisamente, la seguente tabella collega ogni tipo di dato sottratto a un esempio di rischio concreto.
Questo Le permetterà di comprendere meglio la Sua personale esposizione e di agire di conseguenza.
|
Categoria di Dati |
Dati Specifici Sottratti |
Esempio di Rischio Concreto Associato |
|
Dati del Profilo e Contatti |
Solo se registrati in APP prima del 29 marzo 2025. Nome, cognome, indirizzo e-mail, numero di telefono, ed eventuale Codice Fiscale o Partita IVA da Lei forniti. |
Ricezione di e-mail o SMS di phishing molto credibili (truffe informatiche), tentativi di furto d'identità o di iscrizione a servizi non richiesti. |
|
Credenziali di Autenticazione |
Solo se in uso prima del 29 marzo 2025. Username e password, sotto forma di stringa di testo «hashed», detta anche «digest hashed» della password. |
Decifrazione della password e accesso non autorizzato. In caso di uso della stessa password per altri servizi (e-mail, social media, altro), anche quegli account sono a rischio di accesso non autorizzato. |
Cosa è stato fatto?
My Cicero ha implementato un articolato piano di rafforzamento di tutte le infrastrutture di sicurezza impiegate, anche dai subfornitori di tecnologia, per proteggere i Suoi dati. Sono state revisionate e rafforzate le misure tecniche, compreso il miglioramento degli algoritmi di crittografia e l’implementazione di sistemi di monitoraggio più avanzati per prevenire accessi non autorizzati in futuro.
Inoltre, il 1° ottobre 2025 sono state cancellate definitivamente la Sua password di accesso all’App TUABRUZZO, qualora la stessa non fosse da Lei stata già modificata dal 29 marzo 2025 in poi.
Tale procedura si è resa necessaria per:
• facilitare la migrazione ad algoritmo più evoluto;
• forzare l’intera utenza dell’App TUABRUZZO a modificare la password.
Qualora non l’avesse già fatto a seguito degli avvisi precedenti e del pop-up pubblicato sull’app, cosa deve fare Lei ora per la sicurezza dei Suoi dati?
In considerazione delle informazioni sopra riportate, qualora Lei utilizzasse la stessa password o una simile per altri servizi online, La invitiamo a provvedere immediatamente al suo aggiornamento su tali piattaforme qualora non avesse già provveduto.
Cosa può fare Lei in futuro per migliorare la sicurezza dei Suoi dati?
La invitiamo a scegliere sempre password complesse, caratterizzate da simboli, numeri, lettere maiuscole e minuscole, di lunghezza particolarmente elevata. Tali password non dovrebbero coincidere con parole e termini noti, e non dovrebbero contenere elementi a Lei riconducibili (si pensi a password contenenti il suo nome e cognome associati alla sua data di nascita). Le suggeriamo altresì di modificare periodicamente le password utilizzate. collegato alla sua utenza, ove possibile. In presenza di comunicazioni che richiamano la presunta violazione, occorre mantenere la massima prudenza: verificare con cura l’identità del mittente di e-mail e SMS e non fornire mai dati personali in risposta a messaggi inattesi.
Per ridurre i rischi connessi ai dati di viaggio potenzialmente esposti, Le suggeriamo di prestare particolare attenzione a possibili tentativi di phishing o ingegneria sociale. Ad esempio, un malintenzionato potrebbe contattarla citando tratte, orari o importi reali per apparire credibile e indurla a condividere informazioni. In tali casi, mantenga la massima diffidenza, non fornisca mai password, codici o dati di pagamento via e-mail o SMS e verifichi l’autenticità di qualsiasi richiesta solo attraverso canali ufficiali reperiti autonomamente (sito o numero dell’operatore).
Ulteriori accorgimenti volti a proteggersi da attacchi di phishing sono reperibili sul sito internet del Garante Privacy, alla seguente pagina informativa: https://www.garanteprivacy.it/temi/cybersecurity/phishing.
La informiamo, inoltre, che la nostra Società non effettua contatti telefonici per richiedere o farLe confermare questo tipo di informazioni.
Per ogni ulteriore informazione può contattare i responsabili della protezione dati (DPO) all’indirizzo: responsabileprotezionedati@tuabruzzo.it
Gli utenti i cui dati personali sono stati oggetto di esfiltrazione sono stati avvisati tramite mail, gli utenti che non hanno ricevuto l’e-mail non sono stati coinvolti nell’incidente informatico.