Gentile Utente,
TPER S.p.a e myCicero S.r.l., in qualità di contitolari del trattamento, Le trasmettono questa comunicazione ai sensi dell’art. 34 del Regolamento (UE) 2016/679 (“Regolamento”) per fornirLe informazioni aggiornate sull’attacco informatico avvenuto tra il 29 e il 30 marzo 2025, che ha comportato l’esfiltrazione di alcuni Suoi dati personali trattati in ragione dell’uso dell’App ROGER.
Questa comunicazione integra e aggiorna le precedenti informative già messe a Sua disposizione e, in particolare, le comunicazioni del 10 aprile 2025 (https://www.tper.it/index.php/content/comunicazione-agli-utilizzatori-della-app-roger), della nota integrativa (https://rogerapp.it/nota/) e il pop-up pubblicato nell’app ROGER di settembre 2025 per effettuare il cambio password.
La informiamo altresì che questa comunicazione è pubblicata anche sul sito TPER al seguente link: (https://www.tper.it/comunicazioneprivacyroger ) e che Le viene trasmessa tramite più canali (email e app) per garantirne la massima accessibilità.
Cosa è accaduto:
Tra il 29 e il 30 marzo 2025 si è verificato un attacco informatico che ha colpito i sistemi tecnologici, gestiti da myCicero S.r.l. e dai fornitori di servizi IT, sui quali risiede anche l’App ROGER.
Le precisiamo sin da ora che myCicero ha sporto formale denuncia alla Polizia Postale e sono state attivate tutte le necessarie procedure di sicurezza fin dall’immediatezza dei fatti, collaborando con le Autorità competenti, inclusa l’Agenzia per la Cybersicurezza Nazionale (ACN) e il Garante per la protezione dei dati personali.
Quali dati personali sono stati coinvolti nella violazione?
La violazione ha comportato l’esfiltrazione dei Suoi dati personali incluse le credenziali di autenticazione all’App ROGER.
Più in particolare, dalle analisi condotte, è emerso che gli autori dell’attacco hanno esfiltrato dati personali a Lei riconducibili, propri del “Profilo Utente”:
- Nome, cognome, indirizzo e-mail e numero di telefono;
- Codice Fiscale o Partita IVA, se da Lei forniti;
- Le credenziali di autenticazione (username e password) all’app; in particolar modo, la Sua password non era salvata in chiaro, ma trasformata (“offuscata”) tramite un sistema di protezione chiamato “hash”. Una password offuscata tramite hash risulta illeggibile, ma un attaccante potrebbe tentare di ricostruirla, soprattutto se era semplice o già usata in altri servizi. Qualora desiderasse ulteriori informazioni tecniche relative all’algoritmo utilizzato per hashare le password, nonché chiarimenti sulle risorse necessarie alla relativa decodifica, restiamo a disposizione per qualsiasi necessità di approfondimento agli indirizzi indicati in calce.
Sono stati altresì esfiltrati i dati relativi ai Suoi titoli di mobilità eventualmente acquistati e le informazioni e dati personali ad essi correlati. A seconda del titolo di mobilità, tali dati sono relativi al servizio:
· Soste: targhe, zone tariffarie in cui sono avvenute le soste, date e orari di inizio e di fine sosta, posizione geografica delle soste. Si precisa che le posizioni geografiche delle soste sono visibili soltanto per le soste effettuate nelle 64 ore precedenti al 29 marzo 2025 poiché quelle precedenti sono anonimizzate e quelle successive non sono oggetto di esfiltrazione;
· Titoli di viaggio TPL: data acquisto, importo pagato, zona tariffaria, tipologia e data validità del titolo;
· Abbonamenti TPL: data inizio e fine validità, zona tariffaria, importo pagato, tipologia titolo acquistato;
· Tessere TPL: nome, cognome, email, telefono, data nascita, codice fiscale, indirizzo, domicilio, codice categoria tariffaria.
Non sono stati coinvolti i dati relativi a carte di credito o altri strumenti di pagamento.
Quali sono i potenziali rischi?
La divulgazione di queste informazioni può esporla a rischi quali la ricezione di e-mail o messaggi di spam e tentativi di truffa (phishing).
Inoltre, se utilizzava o utilizza tuttora la stessa password o una simile per altri servizi online, esiste il concreto rischio che soggetti non autorizzati possano tentare di accedere anche a tali servizi e alle informazioni ivi ospitate. Qualora non vi abbia già provveduto, La invitiamo quindi a modificare immediatamente la password di accesso anche ad altre piattaforme qualora coincida con quella utilizzata per l’app ROGER fino ad agosto 2025.
La invitiamo inoltre a non utilizzare più la precedente password impiegata per accedere all’App ROGER per l’accesso e l’uso di altri servizi, come pure a cambiare periodicamente le password nel tempo.
| Categoria di Dati | Dati Specifici Sottratti | Esempio di Rischio Concreto Associato |
| Dati del Profilo e Contatti | Solo se registrati in App prima del 29 marzo 2025 Nome, cognome, indirizzo e-mail, numero di telefono, ed eventuale Codice Fiscale o Partita IVA da Lei forniti. |
Ricezione di e-mail o SMS di phishing molto credibili (truffe informatiche), tentativi di furto d'identità o di iscrizione a servizi non richiesti. |
| Credenziali di Autenticazione | Solo per quelle impiegate prima del 29 marzo 2025 e fino al cambio imposto a settembre 2025 Username e password, sotto forma di stringa di testo «hashed», detta anche «digest hashed» della password. |
Decifrazione della password e accesso non autorizzato. In caso di uso della stessa password per altri servizi (e-mail, social media, altro), anche quegli account sono a rischio di accesso non autorizzato. |
| Dati di Sosta |
Solo se utilizzato i relativi servizi prima del 29 marzo 2025 Targhe, zone tariffarie in cui sono avvenute le soste, date e orari di inizio e di fine sosta, posizione geografica delle soste. Si precisa che le posizioni geografiche delle soste sono visibili soltanto per le soste effettuate nelle 64 ore precedenti al 29 marzo 2025 poiché quelle precedenti sono anonimizzate e quelle successive non sono state oggetto di esfiltrazione. |
Ricostruzione delle abitudini e dei luoghi frequentati (luogo di lavoro e di residenza, centri di interesse, scuole, ospedali ecc.). |
| Dati di Viaggio e Mobilità | Solo se il servizio è stato utilizzato prima del 29 marzo 2025 Biglietti per il trasporto pubblico locale (data di acquisto, importo pagato, zona tariffaria, tipologia e data di validità del titolo), abbonamenti per il trasporto pubblico locale (data inizio e fine validità, zona tariffaria, importo pagato, tipologia di titolo acquistato); tessere per il trasporto pubblico locale (nome, cognome, email, telefono, data di nascita, codice fiscale, indirizzo, domicilio, codice categoria tariffaria) |
Conoscenza degli spostamenti, ricostruzioni delle abitudini e di informazioni sul suo stile di vita; tentativi di furto d'identità o di iscrizione a servizi non richiesti per i dati anagrafici delle tessere TPL. |
Cosa è stato fatto?
È stato implementato un articolato piano di rafforzamento di tutte le infrastrutture di sicurezza impiegate, anche dai subfornitori di tecnologia, per proteggere i Suoi dati. Sono state revisionate e rafforzate le misure tecniche, compreso il miglioramento degli algoritmi di crittografia e l’implementazione di sistemi di monitoraggio più avanzati per prevenire accessi non autorizzati in futuro. Inoltre, in data 01 ottobre 2025 sono state cancellate definitivamente la Sua password di accesso all’App ROGER, qualora la stessa non fosse da Lei stata già modificata dal 29 marzo 2025 in poi. Tale procedura si è resa necessaria per:
- facilitare la migrazione ad algoritmo più evoluto;
- forzare l’intera utenza dell’App ROGER a modificare la password.
Cosa deve fare Lei ora per la sicurezza dei Suoi dati?
In considerazione delle informazioni sopra riportate, qualora Lei utilizzasse la stessa password o una simile per altri servizi online, La invitiamo a provvedere immediatamente al suo aggiornamento su tali piattaforme qualora non avesse già provveduto. Come precisato sopra, ribadiamo altresì che i contitolari hanno già provveduto a forzare il cambio password sull’App ROGER ove Lei non avesse proceduto in autonomia.
Cosa può fare Lei in futuro per migliorare la sicurezza dei Suoi dati?
La invitiamo a scegliere sempre password più complesse, caratterizzate da simboli, numeri, lettere maiuscole e minuscole, di lunghezza particolarmente elevata. Tali password non dovrebbero coincidere con parole e termini noti, e non dovrebbero contenere elementi a Lei riconducibili (si pensi a password contenenti il suo nome e cognome, associate alla sua data di nascita, all’azienda per cui lavora). Le suggeriamo altresì di modificare periodicamente le password utilizzate e di utilizzare password diverse per accedere a servizi online e sistemi informatici diversi o comunque a non utilizzare password simili tra loro cambiando solo alcuni caratteri. Si raccomanda, inoltre, di attivare l’autenticazione a più fattori sull’account di posta elettronica collegato alla sua utenza, ove possibile. La invitiamo inoltre a non rilasciare le sue password a terzi e a mantenerle sempre riservate e protette.
Per ridurre i rischi connessi ai dati di viaggio e spostamento potenzialmente esposti, Le suggeriamo di prestare particolare attenzione a possibili tentativi di phishing o ingegneria sociale. Ad esempio, un malintenzionato potrebbe contattarla citando tratte, orari o importi reali per apparire credibile e indurla a condividere informazioni. In tali casi, mantenga la massima diffidenza, non fornisca mai password, codici o dati di pagamento via e-mail o SMS e verifichi l’autenticità di qualsiasi richiesta solo attraverso canali ufficiali reperiti autonomamente (sito o numero dell’operatore).
La informiamo, inoltre, che TPER e myCicero non effettuano contatti telefonici per richiedere o farLe confermare questo tipo di informazioni.
Ulteriori accorgimenti volti a proteggersi da attacchi di phishing sono reperibili sul sito internet del Garante Privacy, alla seguente pagina informativa:
https://www.garanteprivacy.it/temi/cybersecurity/phishing.
Quali sono i miei diritti?
Resta ferma la possibilità di esercitare i diritti previsti dalla normativa applicabile in materia di protezione dei dati personali, tra cui accesso, rettifica, cancellazione, limitazione, opposizione e portabilità, nonché il diritto di proporre reclamo all’Autorità Garante per la protezione dei dati personali. Potrà esercitare i Suoi diritti contattandoci ai recapiti in calce
Come contattare TPER e myCicero?
Per ogni ulteriore informazione in merito ad ogni aspetto della violazione occorsa, può contattare le società all’indirizzo contattoprivacy@mycicero.it
Il DPO di myCicero S.r.l. può essere contattato all’indirizzo e-mail: dpo@mycicero.it
Il DPO di TPER S.p.a. può essere contattato all’indirizzo e-mail: dpo@tper.it