Attacco hacker a TUA: utenti aquilani chiedono chiarimenti e risarcimenti

A seguito del grave attacco informatico avvenuto tra il 29 e il 30 marzo 2025 ai danni di TUA S.p.A. – Trasporto Unico Abruzzese – alcuni utenti aquilani coinvolti nella vicenda, assistiti e difesi dall’Avv. Carlotta Ludovici, del Foro dell’Aquila, in qualità anche di Consigliere Nazionale e Responsabile territoriale dell’ADICU – Associazione per la Difesa dei Consumatori e Utenti, si apprestano a inoltrare atti di costituzione in mora per avanzare richieste di risarcimento dei danni non patrimoniali, subiti e subendi, ai sensi della normativa europea e nazionale in materia di protezione dei dati personali, con particolare riferimento al GDPR n. 2016/679.

Sulla vicenda risultano interessati anche il Garante per la protezione dei dati personali e l’Agenzia per la Cybersicurezza Nazionale, chiamati a vigilare sul rispetto delle procedure imposte dalla legge in caso di violazione dei dati personali.

Dati sensibili trafugati e violazione degli obblighi di notifica

Secondo quanto riferito dalla stessa TUA S.p.A., l’attacco hacker ha comportato l’esfiltrazione di dati personali sensibili degli utenti della App TUABRUZZO, tra cui:

nome e cognome
indirizzo e-mail
numero di telefono
codice fiscale
credenziali di accesso (username e password)

“Il fatto – scrive Carlotta Ludovici – costituisce una grave e illegittima violazione della privacy, aggravata dal comportamento successivo dell’Azienda. Sebbene il data breach risalga a quasi un anno fa, soltanto negli ultimi giorni TUA S.p.A. ha inviato agli utenti una comunicazione parziale, non uniforme e trasmessa tramite semplice e-mail, avvisandoli che, a causa della violazione, potrebbero essere esposti a tentativi di truffa e utilizzo improprio dei dati personali. Tale ritardo nelle notifiche rappresenta un ulteriore elemento di criticità.”

Obblighi di legge disattesi

Il GDPR – Regolamento UE 2016/679 stabilisce con chiarezza che:

il titolare del trattamento deve notificare il data breach al Garante per la Privacy entro 72 ore dalla scoperta (art. 33);
deve inoltre informare senza ingiustificato ritardo gli interessati se la violazione comporta un rischio elevato per i diritti e le libertà delle persone fisiche (art. 34).

“È evidente che l’esfiltrazione di dati altamente sensibili derivi da una mancata adozione di adeguate misure di sicurezza informatica, con un impatto significativo sulla tutela dei dati personali degli utenti coinvolti e con danni rilevanti già manifestati o potenziali.”

Si attendono risposte e chiarimenti ufficiali

Gli utenti assistiti dall’Avv. Ludovici chiedono ora risposte concrete da parte della Società e l’avvio delle procedure necessarie per definire responsabilità, misure correttive e ristori per i danni subiti.

“Il procedimento avviato punta a garantire la piena tutela dei cittadini coinvolti in una vicenda che evidenzia la necessità, per le aziende pubbliche e private, di adottare standard di cybersecurity adeguati e conformi alle normative vigenti” conclude Ludovici.

TUA