Attacco hacker all’app Atm: violati i dati personali degli utenti

Quello del furto di dati personali è un problema sempre più discusso negli ultimi mesi, in seguito a frequenti attacchi informatici a società di servizi. L’ultimo in ordine di tempo è quello segnalato nei giorni scorsi da Atm (la società che gestisce il trasporto pubblico di Milano) che ha pubblicato una nota per informare gli utenti della sua app di un attacco informatico che ha compromesso alcuni dati personali. L’incidente, segnalato dalla società Mooney Servizi SpA – responsabile della gestione dell’app per conto di Atm – ha riguardato un archivio esterno contenente i dati degli utenti, ospitato da Wiit SpA. Proprio questo archivio è stato oggetto di un accesso non autorizzato attraverso un sistema di archiviazione cloud non previsto, che ha permesso agli attaccanti di copiare le informazioni presenti.

Non solo Atm

A essere violati sono stati anche altre aziende di trasporti (Tuabruzzo e Unico Campania) nell’ambito di due diversi attacchi informatici (riconducibili, però, a un’unica infrastruttura tecnologica) che hanno colpito Mooney Servizi SpA che fornisce le aziende della gestione dei sistemi digitali per la mobilità urbana.

Quali dati sono stati violati

Stando alla comunicazione di Atm, il furto non ha coinvolto dati bancari, carte di pagamento o credenziali di accesso, né indirizzi di domicilio o residenza. Tuttavia, sono stati sottratti dati anagrafici, informazioni di contatto e dettagli di profilo cliente, cioè elementi sufficienti per compromettere la riservatezza dell’identità digitale degli utenti e aprire la strada a potenziali truffe mirate. Sono questi i casi che poi portano a truffe come quella del doppio Spid di cui abbiamo parlato diffusamente qui e che è particolarmente pericolosa e attuale in queste settimane in cui comincia la stagione della compilazione del 730.

Le contromisure adottate da Atm

Atm ha dichiarato di essersi attivata immediatamente per contenere le conseguenze della violazione. Ha richiesto a Mooney una relazione dettagliata sulle misure di sicurezza messe in campo, ha rafforzato i controlli sugli accessi da parte degli enti terzi autorizzati e ha notificato l’accaduto sia al Garante per la protezione dei dati personali sia all’Agenzia per la cybersicurezza nazionale. A disposizione degli utenti sono stati messi due indirizzi email per chiedere assistenza o inviare segnalazioni: infodatipersonali@atm.it e rpd@atm.it, quest’ultimo riferito al responsabile della protezione dei dati (Dpo).

I rischi concreti per gli utenti

Anche se i dati bancari e le password non sono stati compromessi, la sottrazione di dati personali come nome, cognome, email e numero di telefono rappresenta comunque un problema serio. Queste informazioni possono essere utilizzate per mettere in atto campagne di phishing particolarmente convincenti, confezionate su misura per le vittime. Messaggi che simulano comunicazioni ufficiali da parte di Atm o di altri soggetti istituzionali potrebbero convincere gli utenti a cliccare su link pericolosi o a fornire ulteriori dati riservati.

In altri casi, informazioni come quelle rubate possono essere sfruttate per creare profili falsi, attivare servizi non richiesti o tentare furti di identità, come dimostrato da altri episodi recenti.

Un contesto preoccupante: gli altri casi di attacchi e violazioni

Quello che è successo ad Atm si inserisce in una sequenza preoccupante di attacchi informatici che negli ultimi mesi hanno colpito numerose aziende italiane, molte delle quali operano in settori cruciali per la vita digitale dei cittadini.

L’attacco a InfoCert

È il caso, ad esempio, dell’attacco subito da InfoCert, il provider di identità digitale che gestisce Spid e Pec. Anche in questo caso, l’attacco hacker è stato perpetrato a un fornitore esterno e ha esposto oltre 5 milioni di dati personali, poi venduti sul dark web. Per questa ragione, Altroconsumo ha avviato un’azione collettiva e ha chiesto all’azienda un risarcimento di almeno 400 euro per tutte le persone coinvolte.

Infocert: se sei coinvolto chiedi il risarcimento

Il furto di dati da ePrice

Una violazione ha riguardato anche ePrice, piattaforma di e-commerce che ha visto finire online milioni di dati, poi messi in vendita nel dark web, tra cui email, password, numeri di telefono e lo storico degli acquisti fatti a partire dal 2008.

Come tutelarsi dopo un furto di dati

In attesa di chiarimenti ufficiali e verifiche approfondite, è fondamentale che prestare particolare attenzione a messaggi sospetti, evitando di cliccare su link non verificati e monitorando eventuali accessi o movimenti anomali nei propri profili digitali. Anche se Atm ha dichiarato che le credenziali non sono state coinvolte, è sempre consigliabile attivare l’autenticazione a due fattori per i servizi più sensibili, come email, app bancarie e Spid. Un controllo periodico su eventuali attivazioni sospette può aiutare a intercettare tentativi di furto d’identità o attacchi mirati.

Se invece hai scoperto un addebito su conto o carta che non hai autorizzato tu, sappi che puoi sempre contestare alla banca o all'ente emittente della carta di credito questa operazione. Per farlo scarica il modello di reclamo che abbiamo preparato apposta per questi casi e spediscilo alla banca o all’emittente della tua carta per contestare le operazioni di pagamento fraudolente conseguenti ad una truffa telematica. Ti indichiamo anche l’indirizzo dell’Ufficio reclami della tua banca a cui spedire il modulo tramite email, PEC o raccomandata a/r.

Addebito non autorizzato? Scarica il modello per reclamare

Altroconsumo continuerà a monitorare la vicenda e a fornire aggiornamenti utili, informando i cittadini su come difendere la propria privacy e riconoscere eventuali rischi legati a questa e ad altre violazioni.