Un attacco informatico ha colpito l'infrastruttura che gestisce l'app dei trasporti milanesi, mettendo a rischio le informazioni personali di migliaia di utenti. La violazione, avvenuta nella serata di sabato 5 aprile, non ha preso di mira direttamente i server di ATM Milano, ma quelli di Mooney Servizi, società responsabile del trattamento dati e della gestione dell'applicazione per l'acquisto di biglietti e abbonamenti del trasporto pubblico milanese. L'intrusione ha interessato l'archivio ospitato da WIIT SpA, contenente informazioni di varie aziende clienti di Mooney Servizi/MyCicero, tra cui appunto i dati degli utenti dell'app ATM.
Secondo le prime ricostruzioni, i cybercriminali sono riusciti a copiare numerosi dati sensibili trasferendoli su un sistema di archiviazione cloud esterno non autorizzato. Tra le informazioni potenzialmente compromesse figurano principalmente dati anagrafici, informazioni di contatto e dettagli relativi ai profili cliente. ATM ha voluto rassicurare gli utenti precisando che alcuni dati particolarmente sensibili sembrano essere rimasti al sicuro: le credenziali di accesso all'applicazione, i dati bancari e finanziari, nonché gli indirizzi di residenza o domicilio non sarebbero stati coinvolti nella violazione.
Il principale rischio per gli utenti riguarda possibili tentativi di phishing o truffe mirate che potrebbero essere orchestrate utilizzando le informazioni sottratte. Con i dati personali in loro possesso, i malintenzionati potrebbero infatti confezionare comunicazioni ingannevoli altamente personalizzate, apparentemente provenienti da ATM o da altri servizi legittimi, per carpire ulteriori informazioni sensibili o credenziali di accesso a servizi bancari.
In risposta all'incidente, ATM ha dichiarato di essersi immediatamente attivata implementando una serie di misure preventive e correttive. L'azienda di trasporti ha formalmente richiesto a Mooney Servizi una "reportistica aggiornata e dettagliata" sulle misure di sicurezza adottate in risposta all'attacco. Parallelamente, ha notificato l'accaduto alle autorità competenti, coinvolgendo sia il Garante per la Protezione dei Dati Personali che l'Agenzia per la cybersicurezza nazionale.
Come ulteriore precauzione, ATM ha anche intensificato i protocolli di sicurezza che regolano l'accesso ai propri sistemi informatici da parte di fornitori e partner esterni autorizzati. Mooney Servizi, dal canto suo, ha invitato tutti gli utenti dell'applicazione a mantenere alta la vigilanza nei confronti di comunicazioni sospette, prestando particolare attenzione a email, SMS o messaggi che richiedono informazioni personali o che contengono link a pagine web di dubbia provenienza.
Nonostante ATM sostenga che l'impatto della violazione sia relativamente contenuto, l'episodio solleva interrogativi sulla sicurezza delle infrastrutture digitali che gestiscono servizi pubblici essenziali e sulla catena di responsabilità quando il trattamento dei dati viene affidato a società terze. La crescente digitalizzazione dei servizi di trasporto pubblico, se da un lato offre innegabili vantaggi in termini di accessibilità e praticità, dall'altro espone inevitabilmente gli utenti a rischi informatici che richiedono adeguate contromisure tecniche e organizzative.
