PESCARA. «Rispetto all’articolo pubblicato dal Centro sui “dati sensibili rubati dall’app Tua”, si ritiene opportuno fare alcune precisazioni». Inizia così la nota dell’azienda del Trasporto unico abruzzese sulla denuncia del Pd, riportata ieri da questo giornale, relativa ai presunti ritardi di notifica alle vittime. «Tua è un’azienda da sempre attenta alla tutela dei dati personali e alla sicurezza dei propri sistemi informativi», si legge nella nota «a tal fine si è dotata di un Data protection officer certificato e adotta procedure di prevenzione, gestione e comunicazione degli eventi rilevanti in materia di privacy, come avvenuto anche nel caso in esame. L’azienda comprende le preoccupazioni di utenti e cittadini e conferma che la protezione dei dati personali rappresenta una priorità assoluta. Proprio per questo», sottolinea ancora Tua, «si rende necessario chiarire alcuni elementi: l’evento informatico richiamato nell’articolo, verificatosi nel marzo 2025, non ha riguardato un attacco mirato ai sistemi Tua, bensì a un’azienda terza che vende titoli di viaggio per conto di Tua e numerosi altri servizi a livello nazionale, coinvolgendo circa quaranta aziende di trasporto pubblico. L’episodio ha infatti assunto rilievo nazionale nell’aprile 2025, coinvolgendo anche operatori di grandi dimensioni».

Quindi Tua precisa la natura dei dati rubati: «Non sono stati in alcun modo violati i dati relativi a carte di credito o ad altri strumenti di pagamento, in quanto – come previsto dalla normativa – tali informazioni sono gestite da un’infrastruttura distinta, così come non sono stati coinvolti dati di localizzazione, bensì solamente dati comuni. Non sono stati inoltre coinvolti dati sensibili – oggi definiti “categorie particolari di dati” dal Regolamento Ue 2016/679 – quali, ad esempio, quelli relativi alla salute o ad altri aspetti personali tutelati in modo rafforzato». «La comunicazione e-mail ricevuta nelle scorse ore», aggiungono il dirigente commerciale Carola Di Paolo e Maria D’Angelo, Dpo dell’azienda, «da una parte dell’utenza non rappresenta una nuova segnalazione di incidente, bensì un recap informativo di quanto già accaduto, volto a riepilogare l’evento, spiegare nel dettaglio le misure adottate e fornire indicazioni utili per una maggiore consapevolezza digitale. Si tratta, quindi, di un’ulteriore azione, proattiva, di trasparenza e tutela dell’utenza». Nella nota viene anche specificato che gli utenti «i cui dati personali sono stati oggetto di esfiltrazione sono stati puntualmente informati tramite comunicazione diretta. Gli utenti che non hanno ricevuto alcuna e-mail non risultano coinvolti nell’incidente informatico. È utile ricordare che, al verificarsi dell’evento nel marzo 2025, Tua ha tempestivamente notificato l’accaduto al Garante per la protezione dei dati personali, nel pieno rispetto della normativa vigente, avviando contestualmente un’attività di cooperazione con l’Autorità e con i fornitori tecnologici per gli accertamenti tecnici e l’adozione di ulteriori misure di mitigazione. Peraltro, a oggi Tua si trova in una fase meramente interlocutoria con l’Autorità e, diversamente da quanto riportato dalla stampa, non era tra i destinatari del provvedimento prescrittivo del 9 ottobre 2025. Fin dalle primissime fasi», spiega ancora l’azienda, «l’utenza è stata informata tramite avvisi sul sito aziendale, pop-up sull’app Tuabruzzo nonché mediante affissioni nelle stazioni e a bordo dei mezzi. Inoltre, come già indicato nelle informative trasmesse, per gli utenti che non avessero provveduto autonomamente alla modifica della password dopo il 29 marzo 2025, dal 1° ottobre 2025 le credenziali di accesso all’app Tuabruzzo sono state definitivamente cancellate. Ne consegue che nessun accesso all’app è oggi possibile mediante password esfiltrate, anche nell’ipotesi – puramente teorica – che tali credenziali fossero state decrittografate. In un contesto di rischio settoriale crescente, Tua ha ulteriormente innalzato i propri livelli di protezione, sia sotto il profilo tecnologico sia organizzativo. Oltre alle attività di comunicazione e prevenzione, l’azienda ha sottoscritto un protocollo d’intesa con la Polizia postale e aveva già avviato un ambizioso programma di trasformazione digitale, che prevede anche l’internalizzazione delle tecnologie legate ai servizi di vendita su app. È infatti già operativa la nuova applicazione TuaGo, attualmente utilizzata per le sole linee extraregionali (Roma) e per i servizi ferroviari; nei prossimi mesi la piattaforma sarà progressivamente estesa a tutti i servizi di trasporto regionale», conclude.