[doc. web n. 10193088]

Provvedimento del 4 agosto 2025

Registro dei provvedimenti
n. 473 del 4 agosto 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti, e il cons. Angelo Fanizza, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il decreto legislativo 30 giugno 2003, n. 196, recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE”, così come modificato dal decreto legislativo 10 agosto 2018, n. 101 (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Pasquale Stanzione;

PREMESSO

1. La violazione dei dati personali notificata all’Autorità

In data 4 aprile 2025 myCicero S.r.l. (di seguito “Società” o “myCicero”) ha notificato all’Autorità, ai sensi dell’art. 33 del Regolamento, una violazione dei dati personali che ha comportato la perdita di riservatezza dei dati personali trattati e la temporanea indisponibilità di alcuni sistemi di trattamento.

In particolare, è stata trasmessa all’Autorità una relazione tecnica dell’incidente di sicurezza che ha determinato la violazione dei dati personali, predisposta da PluService S.r.l. (di seguito “PluService”) in qualità di responsabile del trattamento per conto di myCicero, nella quale viene evidenziato che:

“dal 23 al 28 marzo sono stati rilevati alcuni tentativi di accesso nei server di Pluservice srl, tempestivamente gestiti e bloccati dai sistemi di sicurezza aziendali”;

“nei giorni 29 e 30 marzo il responsabile IT Pluservice ha rilevato ulteriori attività sospette anche sui Server del nostro fornitore Wiit, per cui ha elevato i sistemi di sicurezza, attivando prima il SOC di Wiit, poi il SOC di Cybertech”;

“alle ore 11:50 [del 31 marzo] è stato contattato il DPO […] informandolo dell’indisponibilità dei sistemi avvenuta il giorno precedente e contestualmente è stato convocato telefonicamente il Gruppo di Risposta alle Violazioni dei Dati; nel corso della riunione Il DPO ha dato disposizione di effettuare la annotazione sul registro interno delle Data Breach e l’avvio immediato delle indagini necessarie per verificare se ci fosse stata una intrusione reale da parte di terzi con compromissione dei dati personali all’interno dei vari DB al fine di verificare la necessità di effettuare la comunicazione al Garante per la protezione dei dati personali nonché ogni eventuale comunicazione ai clienti titolari dei trattamenti, e definire se fossero stati o meno compromessi i dati personali, con un impatto sui diritti fondamentali degli interessati stessi al fine di una comunicazione diretta agli interessati stessi”;

“intorno alle ore 15:00 [del 1° aprile] il Responsabile IT è stato contattato da Cybertech, la quale ha dato evidenza dell’avvenuto Data Breach sui database server di produzione del Data Center Wiit, relativi ai servizi myCicero e ambiente ATM. Cybertech ha rilevato il cloud remoto usato per copiare i dati”;

“alle ore 15:30 [del 1° aprile] è stata organizzata prontamente una riunione del Gruppo di Risposta alle Violazioni dei Dati coadiuvato dai consulenti esterni per portare tutti a conoscenza delle novità e definire le azioni da compiere. Durante la riunione il DPO ha immediatamente comunicato di effettuare una comunicazione ai titolari del trattamento per consentire loro di notificare la breccia all’Autorità Garante. richiedendo altresì una indagine più approfondita con particolare riferimento alle categorie di dati personali”;

“alle ore 18:47 [del 1° aprile] Cybertech procede al download dei dati dal cloud remoto usato dall’attaccante per l’esfiltrazione dei dati per attività forensi e successiva cancellazione”;

“l’area interessata ha riguardato un insieme di DB ospitati nei Server di Pluservice dislocati presso la propria sede di Senigallia (sui server di Senigallia non vi è evidenza di una esfiltrazione di dati personali) e presso il Cloud WIIT dove sono presenti dati di cui Pluservice si configura sia come titolare del trattamento che come responsabile. A tal riguardo si specifica che i dati di cui Pluservice si configura come titolare sono presumibilmente quelli dei propri dipendenti […] contenuti nei server di Senigallia, ed è responsabile del trattamento dei dati delle società myCicero e Mooney Servizi sui dati contenuti nei server WIIT”.

Con le successive notifiche integrative del 6 aprile e del 10 maggio 2025, myCicero ha fornito ulteriori informazioni sulla violazione dei dati personali rappresentando, fra l’altro, che:

la violazione ha coinvolto, complessivamente, i dati personali di circa 7,6 milioni di interessati, trattati da myCicero in qualità di titolare o di responsabile del trattamento (come meglio specificato nel paragrafo 3 del presente provvedimento);

“la maggior parte dei dati oggetto di data breach hanno un impatto trascurabile per gli interessati. La parte restante dei dati (che comunque sono di gravità bassa) non è visibile in modo chiaro, quindi gli interessati non sono facilmente identificabili”;

“dopo un'approfondita indagine interna, in collaborazione con il fornitore tecnologico Cybertech e con la collaborazione del Reparto IT interno, si è giunti alla conclusione che non sono presenti rischi elevati per la libertà delle persone fisiche”;

myCicero ha effettuato una “comunicazione pubblica sul sito web”; in detta comunicazione è stato evidenziato che “sulla base delle informazioni raccolte i dati potenzialmente esposti potrebbero includere nome, cognome, indirizzo e-mail, numeri di telefono ed eventuali titoli di mobilità, ove acquistati. Non sono invece stati compromessi i dati di accesso e i dati finanziari e relativi alle modalità di pagamento, nonché le tue password”.

A partire dai primi giorni del mese di aprile 2025, sono inoltre pervenute all’Autorità le notifiche di violazione dei dati personali di numerosi soggetti operanti nel settore dei servizi di mobilità e di sosta (es. aziende e consorzi regionali che gestiscono il trasporto pubblico locale, enti locali che gestiscono aree di sosta a pagamento) che si sono qualificati come titolari del trattamento in relazione al medesimo incidente di sicurezza che ha riguardato i sistemi informatici gestiti da PluService (che agisce come sub-responsabile del trattamento) per conto di myCicero (che agisce come responsabile o sub-responsabile del trattamento).

2. L’attività istruttoria condotta dall’Ufficio

In data 11 aprile 2025 l’Ufficio ha rivolto a PluService una richiesta di informazioni, ai sensi dell’art. 157 del Codice, al fine di acquisire ulteriori elementi sulla natura e la portata della violazione dei dati personali, con particolare riferimento a:

a) i titolari del trattamento coinvolti nella violazione dei dati personali, con l’indicazione, per ciascuno di essi, del numero di interessati coinvolti nella violazione dei dati personali e degli strumenti tramite i quali sono resi i servizi;

b) i responsabili del trattamento coinvolti nella violazione dei dati personali;

c) le tipologie di dati personali trattati nell’ambito di ciascuna tipologia di servizio gestito per conto dei titolari, specificando l’eventuale coinvolgimento di copie per immagine di documenti d’identità e di credenziali di autenticazione (username e password) e, se del caso, le misure tecniche utilizzate per proteggere le password degli utenti;

d) le iniziative adottate per informare, ai sensi dell’art. 33, par. 2, del Regolamento, i titolari del trattamento coinvolti.

Con nota del 18 aprile 2025, PluService ha fornito riscontro alla citata richiesta di informazioni, rappresentando, in particolare, che:

“Pluservice nasce nel 1988 come software house per lo sviluppo di software per l’automazione dei processi di un’azienda di trasporto passeggeri. […] Nel 2011, anticipando le esigenze poi evidenziate dal paradigma MaaS (mobility as a service) Pluservice varava un progetto, myCicero, con la missione di integrare in un’unica piattaforma l’offerta di tutti i fornitori di servizi di trasporto, per renderli fruibili all’utente con un’esperienza di acquisto digitale che prescindesse dal servizio di mobilità offerto: il successo dell’iniziativa portava nel 2017 alla costituzione di una newco, myCicero srl, come spin-off delle attività che avevano realizzato l’omonima app che integra operatori di mobilità differenti e che accompagna l’utente in tutte le fasi del suo viaggio, dalla ricerca e comparazione delle migliori soluzioni multimodali per raggiungere la destinazione desiderata, alla prenotazione e acquisto dei servizi con un unico strumento”;

con riferimento ai prodotti di PluService, “le principali soluzioni sviluppate da Pluservice [includono] Soluzioni di ticketing [… ,] Gestione della manutenzione e asset aziendali [… ,] Sistemi di pianificazione del trasporto e ottimizzazione [… ,] Soluzioni per la contabilità e la gestione del personale [… e] Soluzioni di Mobility as a Service (MaaS)”;

con riferimento, invece, ai prodotti di myCicero, “MyCicero, nata come piattaforma di Pluservice e divenuta nel 2017 spin-off della stessa Pluservice, ha acquisito un ruolo di primo piano nel settore della mobilità, consolidando il suo ruolo di piattaforma integrata di servizi. […] Nella piattaforma myCicero sono contrattualizzati e integrati più 600 operatori di sosta, trasporto pubblico locale, lunghe percorrenze, sharing, taxi e telepedaggio, attivi in oltre 5.000 comuni italiani, i cui servizi sono prenotati e acquistati da circa 6 milioni di utenti finali attraverso i canali commerciali collegati alla piattaforma. Tali canali commerciali sono i seguenti:

App MooneyGo, di proprietà di MyCicero;

App white label, ovvero app realizzate da MyCicero, basate sull’omonima piattaforma, brandizzate per il committente per cui l’app viene realizzata. Tale App può vendere i servizi offerti direttamente dal committente o servizi erogati da altri operatori, contrattualizzati direttamente da myCicero per la rivendita del servizio stesso;

App terze di grandi aggregatori, ovvero app che sono realizzate e di proprietà di altri soggetti, connesse alla piattaforma myCicero tramite API, per la rivendita di alcuni servizi contrattualizzati direttamente con myCicero”;

“per quanto riguarda la fattispecie in esame, dal punto di vista tecnico organizzativo, la società MyCicero si avvale di Pluservice come fornitore di alcuni moduli software integrati all’interno della Piattaforma MyCicero oltre dei che servizi di hosting. Con il contratto stipulato da MyCicero con (a titolo esemplificativo e non esaustivo) le Aziende di Trasporto o i Gestori della Sosta (c.d. “Operatori di Mobilità”), queste ultime fanno ingresso nella “Piattaforma MyCicero”, e cioè nell’insieme di applicazioni informatiche in grado di rendere disponibili ai sistemi di vendita ad essa connessi, i servizi evoluti sopra descritti per la ricerca di informazioni sui servizi di mobilità e l’acquisto di c.d. “Titoli di Mobilità” (biglietti dell’autobus o permessi di sosta), interfacciandosi direttamente con i vari operatori di mobilità ad essa aderenti. In particolare, le funzionalità rese disponibili dal “sistema di vendita myCicero” sono:

informazioni sugli orari, sulle corse e sui servizi di mobilità degli “operatori di mobilità” aderenti,

calcolo delle migliori soluzioni di viaggio mediante algoritmo di pianificazione,

vendita dei “Titoli di Mobilità” degli “Operatori di mobilità” aderenti,

servizio di incasso delle sanzioni amministrative,

applicazione (App Mobile) per il controllo dei “Titoli di Mobilità” da parte del personale degli “Operatori di mobilità”,

un servizio di Contact Center (telefono, mail, web) dedicato per il supporto sull’utilizzo del “sistema di vendita myCicero” […],

piattaforma di rendicontazione (titoli emessi, validati, abbonamenti rinnovati, ecc.).

L’Operatore di Mobilità concede a MyCicero la rivendita dei suoi “Titoli di mobilità” tramite l’app MooneyGo, autorizzando inoltre la rivendita dei propri “Titoli di mobilità” su ogni ulteriore sistema di vendita connesso alla “piattaforma”, fermo restando la possibilità di decidere discrezionalmente sui quali non autorizzare la vendita. Parallelamente, l’Operatore di Mobilità può optare per l’acquisto di un c.d. “sistema di vendita myCicero white label” (portale web e app) con i loghi e la grafica dell’Azienda, disponendo la rivendita dei propri “titoli di Mobilità” su tale sistema, con il quale potrà autorizzare la rivendita di titoli di mobilità anche di altri operatori”;

“il rapporto di fornitura di servizi è definito in un accordo intercompany tra le due società. Tale accordo definisce Pluservice come responsabile del trattamento”;

“le evidenze tecniche sino ad ora acquisite nel corso delle analisi forensi, sia attraverso i log di telemetria EDR che tramite la ricostruzione della kill-chain MITRE ATT&CK, hanno consentito di ricondurre l’attacco oggetto di indagine alle TTP (Tactics, Techniques and Procedures) del gruppo ransomware PLAY, come confermato anche dai sistemi di rilevamento automatico […]. Sebbene non sia possibile attribuire con assoluta certezza l’identità dell’attore responsabile, la natura strutturata dell’attacco, la sua persistenza, l’utilizzo di strumenti di esfiltrazione cifrata […], e la finalizzazione del movimento laterale su asset contenenti dati personali, suggeriscono un'origine riconducibile ad attori APT (Advanced Persistent Threat) con capacità operative evolute”;

“l’architettura dei database che sottende il funzionamento della piattaforma è caratterizzata da una forte eterogeneità strutturale e logica, dovuta a una stratificazione evolutiva di componenti applicative sviluppate in momenti diversi e per finalità distinte separate. Il sistema si articola su oltre sette database […] logicamente autonomi, ciascuno dei quali conserva insiemi di dati eterogenei, spesso correlati a una specifica funzionalità o modulo applicativo. In tale contesto, non esiste una chiave primaria univoca o un sistema di normalizzazione globale in grado di identificare in modo diretto e immediato un record utente trasversalmente a tutti i database. L’unica possibilità concreta di effettuare una correlazione tra record distribuiti sui diversi database risiede nella costruzione di un meccanismo di matching euristico, basato su attributi comuni minimi – nello specifico nome, cognome, indirizzo e-mail e numero di telefono – che risultano essere contenuti in un’unica tabella aggregata, l’unica caratterizzata da alta densità informativa. Tuttavia, ulteriori informazioni personali eventualmente raccolte e trattate (es. dati di viaggio, identificativi tecnici o informazioni geolocalizzate) non sono centralizzate, ma frammentate e dislocate all’interno degli altri database, in tabelle che non sempre seguono sistemi logico convenzionali che possono essere intuiti con facilità. […] Ne consegue che, per ottenere una panoramica coerente e completa dei dati riferibili a un singolo utente, sarebbe necessario procedere a una re-ingegnerizzazione dell’intero sistema, attraverso attività di reverse engineering strutturale, mappatura delle entità e costruzione di un data model federato capace di astrarre, confrontare ed unire i contenuti informativi provenienti dalle diverse basi dati. […] Tale misura può essere qualificata come misura di sicurezza ad effetto pseudonimizzante”;

“nel corso delle attività di analisi tecnica successive all’incidente, è emersa la presenza di copie di database oggetto di trattamento temporaneamente non cifrati, circostanza motivata dalla necessità di consentire all’amministratore di sistema una verifica sistemica a seguito di un aggiornamento strutturale e funzionale, finalizzato alla normalizzazione di alcune tabelle e all’ottimizzazione della compatibilità con nuovi ambienti applicativi, intervento altresì dettato dalla nuova ricollocazione dei sistemi”;

i clienti committenti delle app white label coinvolte nella violazione dei dati personali sono: Adriabus S.c. a r.l. (C.F./P.I. 02108480415), ATC Esercizio S.p.a. (C.F./P.I. 01222260117), Azienda Trasporti Campana S.r.l. (C.F./P.I. 07333040637), ATMA Azienda Trasporti e Mobilità di Ancona e provincia S.c.p.a. (C.F./P.I. 02336900424), Di Fonzo Donato & Fratelli S.p.a. (C.F./P.I. 00119550697), Società Unica Abruzzese di Trasporto S.p.a. unipersonale (C.F./P.I. 00288240690), Ente Autonomo Volturno S.r.l. (C.F./P.I. 00292210630), TPER S.p.a. (C.F./P.I. 03182161202), Ancona Servizi S.p.a. (C.F./P.I. 02150990428), Arriva Italia S.r.l. (C.F./P.I. 05950660968), Gestopark S.r.l. (C.F./P.I. 00507860096), AMAT Palermo S.p.a. (C.F./P.I. 04797180827), P.Stop S.r.l. (C.F./P.I. 13575031003), GPS Global Parking Solutions S.p.a. (C.F./P.I. 02341640353), ACI Infomobility S.p.a. (C.F./P.I. 08420060017), SARA Assicurazioni S.p.a. (C.F. 00408780583 / P.I. 00885091009), Azienda Trasporti Milanesi S.p.a. (C.F. 97230720159 / P.I. 12883390150), Azienda Trasporti Veronesi S.r.l. (C.F./P.I. 03644010237), Autoguidovie S.p.a. (C.F. 00103400339 / P.I. 11907120155), Busitalia - Sita Nord S.r.l. (C.F./P.I. 06473721006), Civita.S S.r.l. unipersonale (C.F./P.I. 01569200437), Dolomiti Bus S.p.a. (C.F./P.I. 00057190258), Comer Sud S.p.a. (C.F./P.I. 01119900874), Ferrovie Nord Milano Autoservizi S.p.a. (C.F./P.I. 08162460151), Toyota Financial Services Italia S.p.a. (C.F./P.I. 15162191009), Kinto Italia S.p.a. (C.F./P.I. 15354911008), Mobilità di Marca S.p.a. (C.F./P.I. 04498000266), SUN S.p.a. (C.F. 00123660037 / P.I. 01651850032), Società Trasporti Novaresi S.r.l. (C.F./P.I. 01629110030), Società Vicentina Trasporti a r.l. (C.F./P.I. 03419220243), Arriva Udine S.p.a. (C.F. 00500670310 / P.I. 02172710309), Consorzio UnicoCampania (C.F./P.I. 06848110638), XX, AIR Campania S.p.a. (C.F./P.I. 02977850649), Hitachi Rail STS S.p.a. (C.F./P.I. 01371160662), Azienda Servizi Pubblici Olbia S.p.a. (C.F. 82004950901 / P.I. 01086610902), Busitalia Veneto S.p.a. (C.F./P.I. 04874020284), KYMA Mobilità S.p.a. (C.F./P.I. 00146330733), Consorzio del Bacino Imbrifero del Fiume Tronto (C.F. 92009260446), Consorzio Granda Bus (C.F./P.I. 02995120041), Moeves S.r.l. (C.F./P.I. 03783090123), Azienda Mobilità e Trasporti Bari S.p.a. (C.F./P.I. 06010490727), Ferrovie della Calabria S.r.l. (C.F./P.I. 02355890795), Trasfer S.c. a r.l. (C.F./P.I. 01933270447), Romano Autolinee Regionali S.p.a. (C.F./P.I. 02289760791) e Azienda Trasporti Messina S.p.a. (C.F./P.I. 03573940834);

myCicero è titolare del trattamento dei dati personali raccolti mediante l’app MooneyGo, mentre PluService agisce come responsabile;

Mooney Servizi S.p.a. è titolare del trattamento dei dati personali raccolti nell’ambito del servizio di telepedaggio disponibile nell’app MooneyGo, mentre myCicero agisce come responsabile e PluService come sub-responsabile;

myCicero è titolare del trattamento dei dati personali raccolti mediante le app white label ADRIABUS, ATC - La Spezia, ATCGO, ATMA, DiFonzo Bus, TUAbruzzo e Go Eav, mentre PluService agisce come responsabile;

myCicero e TPER S.p.a. sono contitolari del trattamento dei dati personali raccolti mediante l’app white label ROGER - Emilia-Romagna, mentre PluService agisce come responsabile;

Azienda Trasporti Milanesi S.p.a. è titolare del trattamento dei dati personali raccolti mediante l’app white label ATM Milano Official App, mentre Mooney Servizi S.p.a. agisce come responsabile, myCicero come sub-responsabile e PluService come sub-sub-responsabile;

gli altri clienti committenti sono titolari del trattamento dei dati personali raccolti mediante le relative app white label, mentre myCicero agisce come responsabile e PluService come sub responsabile;

la violazione dei dati personali ha riguardato le seguenti tipologie di dati:

nell’ambito del “Profilo Utente”: “dati relativi ai profili degli utenti” che comprendono: “nome, cognome, mail, telefono (obbligatori)” e “P.IVA, codice fiscale (facoltativi a seconda del servizio attivo)” e, solo in relazione al Consorzio UnicoCampania, dati relativi a “Biglietti TPL” (“data acquisto, importo pagato, zona tariffaria, tipologia e data validità titolo”), ad “Abbonamenti TPL” (“data inizio e fine validità, zona tariffaria, importo pagato, tipologia titolo acquistato”) ed a “Tessere TPL” (“dati dei tesserati: nome, cognome, email, telefono, data nascita, codice fiscale, indirizzo, domicilio, codice categoria tariffaria”);

servizio “Sosta”: “targhe, zone tariffarie in cui sono avvenute le soste, date e orari di inizio e fine sosta, posizione GPS delle soste (anonimizzata entro 64 ore dall’evento)”;

servizio “Sharing”: “data e ora inizio e fine noleggio, importo pagato, punto di inizio e fine della corsa, compagnia utilizzata”;

servizio “Taxi”: “data e ora inizio e fine corsa, luogo di partenza e arrivo, importo pagato, compagnia utilizzata e sigla taxi”;

servizio “Autisti Taxi”: “nome, cognome, mail, telefono (obbligatori)”;

servizio “Biglietti TPL”: “data acquisto, importo pagato, zona tariffaria, tipologia e data validità del titolo”;

servizio “Abbonamenti TPL”: “data inizio e fine validità, zona tariffaria, importo pagato, tipologia titolo acquistato”;

servizio “Biglietti GT”: “data e ora del viaggio, luogo di partenza e arrivo, importo pagato, nomi di eventuali altri passeggeri”;

servizio “Dati Validazione”: “ora e data di validazione”;

servizio “Car Pooling”: “data e ora del viaggio, percorso, importo pagato”;

servizio “Telepedaggio”: “targhe, data e ora dei transiti ai caselli, importo pagato”;

servizio “Rimborsi Credito”: “nome, cognome, ragione sociale, indirizzo, email, telefono, partita iva, codice fiscale, IBAN”;

servizio “Tessere TPL”: “dati dei tesserati: mome, cognome, email, telefono, data nascita, codice fiscale, indirizzo, domicilio, codice categoria tariffaria”;

“a seguito dell’attivazione del servizio di analisi forense e risposta all’incidente, affidato […] alla società Cybertech, si è conclusa una prima fase dell’attività investigativa tecnica relativamente a quanto accorso. Tale attività ha permesso di definire un piano volto ad una prima implementazione di misure di sicurezza, finalizzate ad elevare il livello di security. […] Le attività di risposta e contenimento hanno permesso di stabilizzare l’infrastruttura e circoscrivere l’ambito della compromissione. Pluservice ha avviato un processo di rafforzamento strutturale della propria postura di sicurezza, in coerenza con il principio di accountability previsto dalla normativa vigente”;

“Pluservice ha informato immediatamente tutti i titolari del trattamento coinvolti, ivi compresa la società MyCicero di quanto [… occorso], rendendosi disponibile al supporto operativo. MyCicero, entro due ore dal ricevimento della comunicazione, ha attivato un proprio Gruppo di Risposta alle Violazioni dei Dati […], il quale ha richiesto a Pluservice maggiori dettagli in merito a quanto accaduto. […] È stata dunque la società MyCicero, responsabile del trattamento per conto di diversi titolari e titolare autonomo di alcuni servizi ad informare tempestivamente, nei termini di legge, tutte le società coinvolte mediante l’invio di una specifica PEC contenente una breve relazione tecnica nonché tutte le informazioni necessarie al fine di consentire ad ogni singola società coinvolta di valutare se fosse o meno necessario procedere con la notifica presso l’Autorità Garante, nonché, nei termini di legge, informare direttamente gli interessati. MyCicero, inoltre, al fine della massima trasparenza, ha proceduto altresì alla pubblicazione di uno specifico comunicato […]. All’interno dell’informativa data ai propri clienti, la società MyCicero dava contezza di aver allestito un punto di contatto specifico per i titolari, mediante l’istituzione di una specifica e-mail e di un numero di telefono riservato alla richiesta di ulteriori informazioni. Nei giorni successivi, numerosi titolari del trattamento prendevano contatto con la società MyCicero richiedendo informazioni sia in forma orale che in forma scritta, e richiedendo in taluni casi degli approfondimenti mediante specifiche riunioni a distanza. Molto spesso veniva richiesto alla società MyCicero contezza in merito alle misure di sicurezza adottate […]. A tali riunioni presenziavano gli avvocati (con significative esperienze in privacy) di MyCicero, nonché il DPO della società. In taluni casi, gli avvocati si rendevano disponibili anche a supportare i titolari nella procedura di notifica presso l’Autorità Garante. All’interno di questo processo Pluservice offriva il proprio supporto operativo, in conformità agli accordi intercompany in essere”;

“i dati personali esfiltrati erano custoditi sui server di WIIT [S.p.a.]”.

In seguito, con nota del 23 aprile 2025, PluService ha fornito ulteriori informazioni all’Autorità evidenziando che “con specifico riferimento ai dati personali trattati nell’ambito del “Profilo Utente” della piattaforma Unico Campania, […] oltre ai dati già indicati, risultano oggetto di breccia anche i dati relativi all’indicatore della situazione economica equivalente nonché copie digitali delle carte di identità degli utenti. Quest’ultimi vengono memorizzati all’interno del database in modalità binaria, mediante l’impiego di campi di tipo “varbinary(max)”, che consentono l’archiviazione in formato BLOB. In tale configurazione, i dati appaiono conservati in forma esadecimale, e non risultano immediatamente accessibili in modalità leggibile. A titolo esemplificativo, un documento viene archiviato mediante una stringa del tipo “0x255044462D312E350A25E2E3CFD30A”, priva di ogni diretto riferimento visivo al contenuto del file originario. La visualizzazione del documento in forma comprensibile e leggibile risulta subordinata all’esecuzione di una procedura tecnica specifica, che prevede più fasi di estrazione e conversione, non attivabili in modo diretto da soggetti privi di competenze specialistiche. Per quanto riguarda, invece, i dati relativi all’indicatore della situazione economica equivalente l’architettura dei database a supporto del funzionamento della piattaforma presenta una marcata eterogeneità strutturale e logica, attribuibile a una progressiva stratificazione evolutiva di componenti applicative, sviluppate in epoche differenti e per finalità distinte e autonome. La configurazione descritta- per quanto concerne in particolare i dati relativi all’indicatore - determina, in concreto, un effetto di disaccoppiamento informativo, suscettibile di essere qualificato come misura di sicurezza ad effetto pseudonimizzante, in quanto ostacola in misura significativa l’associazione diretta tra i dati compromessi e i singoli interessati. In relazione ai dati di carte di identità, invece, le modalità di conversione e archiviazione in stringa binaria rendono non intuitivo il processo che potrebbe portare l’agente malevolo ad acquisire copia delle stesse in un formato comprensibile all’essere umano”;

Infine, con note del 7 e 15 maggio 2025, PluService, su sollecitazione dell’Ufficio, ha fornito i seguenti ulteriori elementi:

tra i dati oggetto di violazione sono presenti anche 613.778 codici fiscali e 55.957 partite IVA;

“a seguito delle ulteriori verifiche condotte, […] risultano oggetto di esfiltrazione, limitatamente ai dati riferiti agli utenti, i numeri di documenti identificativi, le scansioni di documenti identificativi, le dichiarazioni ISEE”; in particolare, la violazione dei dati personali ha riguardato anche 1.134 estremi di documenti d’identità, 195.764 copie per immagine di documenti d’identità oggetto di violazione e 187.646 attestazioni ISEE trattati da myCicero per conto del Consorzio UnicoCampania;

“tra i dati oggetto di esfiltrazione, rientrano anche le credenziali di autenticazione, costituite da username e password cifrata”; in particolare, le password oggetto di violazione erano conservate sotto forma di digest calcolato con la funzione di hashing MD5 (con l’utilizzo di un salt di 64 bit, uguale per tutte le password) oppure con la funzione di password hashing bcrypt2a (con l’utilizzo di un salt di 128 bit, uguale per tutte le password, e di un parametro di costo computazione pari a 11, ossia 2.048 iterazioni);

“il sistema informativo oggetto dell’incidente è strutturato su un’architettura modulare che prevede una logica di separazione funzionale e applicativa tra:

la componente di anagrafica centrale unificata (PU - Profilo Utente), contenente i dati identificativi principali degli utenti (es. nome, cognome, email, password, eventualmente CF o PI);

le componenti applicative dei singoli servizi brandizzati (es. MooneyGo, […]), che si interfacciano all’anagrafica centrale attraverso API sicure e tokenizzate, memorizzando solo i dati strettamente necessari alla fruizione dei servizi stessi”;

“in relazione al rischio che attori malevoli dotati di avanzate competenze tecniche possano tentare di correlare i dati tra i moduli PU e Servizi, la valutazione condotta evidenzia quanto segue:

non vi è una chiave esterna direttamente condivisa tra i due sistemi che consenta un match automatico su larga scala;

nei dump ottenuti durante l’incidente, le eventuali corrispondenze tra i dataset sono parziali e non deterministiche, in quanto: non tutti i record contengono dati identificativi diretti (es. CF, PI, email); parte dei dati è stata soggetta a misure di offuscamento (es codifica su base 64), tra i quali i documenti di identità - ISEE - Altri documenti, etc.

l’effettuazione di un matching tra le basi dati richiederebbe un elevato grado di sofisticazione tecnica, l’utilizzo di strumenti di data enrichment, reingegnerizzazione, e comunque non garantirebbe l’identificazione univoca degli interessati;

conseguentemente, la probabilità che un attore terzo possa correlare con successo e su larga scala i dati delle varie fonti risulta estremamente bassa, anche in presenza di competenze avanzate”.

3. Gli accertamenti ispettivi svolti nei confronti di myCicero e di PluService

Tenuto conto dell’elevato numero di interessati e di titolari coinvolti e delle categorie di dati oggetto di violazione, l’Autorità ha ritenuto necessario effettuare ulteriori approfondimenti al fine di verificare l’osservanza delle disposizioni in materia di protezione dei dati personali, mediante l’esecuzione di accertamenti ispettivi, ai sensi dell’art. 58, par. 1, lett. a), e) e f), del Regolamento e degli artt. 157 e 158 del Codice, nei confronti di myCicero e di PluService. In particolare, nel corso degli accertamenti ispettivi svolti nei confronti di myCicero nelle giornate del 3, 4 e 5 giugno 2025 è emerso che:

“myCicero si occupa della progettazione, sviluppo e gestione di mobile app relative a servizi di mobilità (es. sosta su strisce blu, biglietti TPL) offerte a utenti finali attraverso diversi canali commerciali, tra i quali: l’app MooneyGo (di proprietà di myCicero) e altre app realizzate da myCicero e brandizzate per il cliente committente (cc.dd. app white label)” (v. verbale del 3 giugno 2025, pagg. 2-3);

i clienti committenti delle app white label ADRIABUS (Adriabus S.c. a r.l.), ATC - La Spezia (ATC Esercizio S.p.a.), ATCGO (Azienda Trasporti Campana S.r.l.), ATMA (ATMA Azienda Trasporti e Mobilità di Ancona e provincia S.c.p.a.), DiFonzo Bus (Di Fonzo Donato & Fratelli S.p.a.), TUAbruzzo (Società Unica Abruzzese di Trasporto S.p.a. unipersonale) e Go Eav (Ente Autonomo Volturno S.r.l.) “hanno ritenuto di impostare i propri rapporti con myCicero […] individuando quest’ultima come autonomo titolare del trattamento” (v. verbale del 3 giugno 2025, pag. 3);

il cliente committente dell’app white label ROGER - Emilia-Romagna (TPER S.p.a.), invece, “ha ritenuto di impostare i propri rapporti con myCicero in termini di contitolarità” (v. verbale del 3 giugno 2025, pag. 3);

“myCicero, già prima della violazione dei dati personali, aveva avviato un confronto con i propri consulenti per rivedere tale impostazione” (v. verbale del 3 giugno 2025, pag. 3);

“la violazione dei dati personali non ha riguardato le password precedenti (c.d. password history) degli utenti registrati presso le app gestite da myCicero, in quanto tali password non sono oggetto di conservazione” (v. verbale del 3 giugno 2025, pag. 4);

le copie per immagine di documenti d’identità e le attestazioni ISEE oggetto di violazione sono state raccolte e conservate “da myCicero esclusivamente per conto del Consorzio UnicoCampania, ai fini della gestione di alcune particolari tipologie di abbonamenti agevolati agli utenti finali”, fornendo “copia della PEC con la quale myCicero ha informato il Consorzio UnicoCampania della violazione dei dati personali contenuti nei predetti documenti”; (v. verbale del 3 giugno 2025, pagg. 4-5);

nella comunicazione inviata al Consorzio UnicoCampania in data 24 aprile 2025, myCicero ha, fra l’altro, evidenziato che “i dati personali (es. email, numero di telefono, ID transazioni) non sono memorizzati in forma cifrata nel data base. Mentre le password sono memorizzate in forma cifrata. I documenti caricati dagli utenti (ove previsti) sono nel data base con cifratura XX. Le chiavi sono gestite tramite sistema centralizzato con rotazione periodica automatizzata” (v. verbale del 3 giugno 2025, all. 11);

myCicero ha fornito “copia dei contratti o altri atti giuridici che disciplinano i rapporti tra myCicero e i seguenti clienti: Adriabus S.c. a r.l. […], ATC Esercizio S.p.a. […], Azienda Trasporti Campana S.r.l. […], ATMA Azienda Trasporti e Mobilità di Ancona e provincia S.c.p.a […], Di Fonzo Donato & Fratelli S.p.a. […], Società Unica Abruzzese di Trasporto (TUA) S.p.a. unipersonale […], Ente Autonomo Volturno S.r.l.” (v. verbale del 3 giugno 2025, pag. 3); in particolare, in alcuni dei predetti contratti – relativi alla fornitura di servizi connessi alla vendita di titoli di viaggio nell’ambito del “sistema di vendita myCicero” anche in modalità white label, ossia con la personalizzazione grafica con i colori, i loghi e i contenuti del cliente committente – viene previsto che “nell’ambito dei trattamenti dei dati degli Utenti Finali, il Titolare del Trattamento è MYCICERO. I dati che MYCICERO trasmetterà al COMMITTENTE per permettere allo stesso di effettuare i controlli ed espletare regolarmente tutte le attività necessarie all’erogazione dei servizi scelti dall’Utente, saranno trattati dal COMMITTENTE quale Titolare Autonomo e, come tale, determinerà in autonomia, fermo il rispetto delle norme applicabili, le finalità e i mezzi del trattamento nell’ambito delle attività di propria competenza” (v. verbale del 3 giugno 2025, all. 2-8)

myCicero ha fornito “copia dei contratti o altri atti giuridici che disciplinano i rapporti tra myCicero […] e TPER S.p.a.” (v. verbale del 3 giugno 2025, pag. 3), nonché “copia dell’accordo stipulato ai sensi dell’art. 26 del Regolamento tra myCicero e TPER S.p.a. in relazione ai trattamenti dei dati personali effettuati nell’ambito dell’app “ROGER - Emilia-Romagna”” (v. verbale del 4 giugno 2025, pag. 2 e all. 5);

myCicero ha fornito un prospetto recante il numero di password degli utenti dell’app MooneyGo e delle altre app white label coinvolte nella violazione dei dati personali, che erano conservate nei sistemi oggetto di violazione sotto forma di digest calcolato con la funzione di hashing MD5 (circa 1,1 milioni, di cui circa 620 mila riferite a utenti dell’app MooneyGo) oppure con la funzione di password hashing bcrypt2a (circa 5,6 milioni, di cui circa 2,2 milioni riferite a utenti dell’app MooneyGo) (v. verbale del 4 giugno 2025, all. 1);

fermo restando il numero complessivo di copie per immagine di documenti d’identità e di attestazioni ISEE, “a seguito di ulteriori analisi effettuate da myCicero per fornire riscontro alle richieste [… dell’Autorità], è emerso che tale documentazione si riferisce, oltre che al Consorzio UnicoCampania, anche a Busitalia Veneto S.p.a.” (v. verbale del 4 giugno 2025, pag. 2);

myCicero ha fornito un prospetto recante il numero di documenti degli utenti delle app white label UNICO Campania app (circa 187 mila documenti d’identità e circa 187 mila attestazioni ISEE) e Busitalia Veneto (circa 8 mila documenti d’identità) (v. verbale del 4 giugno 2025, all. 2);

nella comunicazione inviata a Busitalia Veneto S.p.a. in data 4 aprile 2025, myCicero ha, fra l’altro, evidenziato che la violazione dei dati personali ha riguardato “dati anagrafici (nome, cognome, sesso, data di nascita, luogo di nascita, codice fiscale); dati di contatto (indirizzo postale o di posta elettronica, numero di telefono fisso o mobile); dati di profilazione; dati relativi all’ubicazione” (v. verbale del 4 giugno 2025, all. 3);

myCicero ha fornito copia dell’informativa sul trattamento dei dati personali resa, ai sensi dell’art. 13 del Regolamento, agli utenti finali dell’app MooneyGo, nella quale myCicero è qualificata come titolare del trattamento, mentre gli “operatori di parcheggio, vettori del trasporto e società che erogano i servizi disponibili in app” sono qualificati come destinatari dei dati e “il relativo trattamento dei dati personali è […] necessario da parte dei diversi operatori di mobilità per effettuare i controlli ed espletare regolarmente tutte le attività necessarie all’erogazione dei servizi scelti dall’utente” (v. verbale del 4 giugno 2025, all. 6);

myCicero ha fornito copia delle informative sul trattamento dei dati personali rese, ai sensi degli artt. 13 e 14 del Regolamento, agli utenti finali delle app white label ADRIABUS, ATC - La Spezia, ATCGO, ATMA, DiFonzo Bus, TUAbruzzo e Go Eav, nelle quali myCicero e il relativo cliente committente sono entrambi qualificati come titolari del trattamento (v. verbale del 4 giugno 2025, all. 6);

myCicero ha fornito copia dell’informativa sul trattamento dei dati personali resa, ai sensi degli artt. 13 e 14 del Regolamento, agli utenti finali dell’app white label ROGER - Emilia-Romagna, nella quale myCicero e TPER S.p.a. sono qualificati come contitolari del trattamento (v. verbale del 4 giugno 2025, all. 6);

“myCicero ha comunicato la violazione dei dati personali agli utenti finali dell’app MooneyGo mediante un apposito avviso pubblicato nella homepage del proprio sito web nel periodo che va dal 9 aprile al 21 maggio 2025” (v. verbale del 4 giugno 2025, pag. 3 e all. 7);

“myCicero sta valutando di adottare talune iniziative al fine di informare gli utenti finali coinvolti nella violazione dei dati personali (contenuto e modalità della comunicazione in corso di definizione), nonché di obbligare gli stessi utenti a modificare la propria password (modalità e tempistiche in corso di definizione). Tale ultima iniziativa consentirà a myCicero di memorizzare la nuova password degli utenti finali sotto forma di digest calcolato con un algoritmo di password hashing allo stato dell’arte” (v. verbale del 4 giugno 2025, pag. 3);

“myCicero sta valutando di adottare talune iniziative al fine di informare i titolari del trattamento coinvolti nella violazione dei dati personali (contenuto e modalità della comunicazione in corso di definizione), nonché di offrire supporto agli stessi titolari per obbligare gli utenti finali delle app white label a modificare la propria password. Tale ultima iniziativa consentirà a myCicero di memorizzare la nuova password degli utenti finali sotto forma di digest calcolato con un algoritmo di password hashing allo stato dell’arte” (v. verbale del 4 giugno 2025, pag. 3);

“myCicero ha comunicato la violazione dei dati personali agli utenti finali dell’app MooneyGo anche mediante un apposito avviso pubblicato nel sito web MooneyGo nel periodo che va dal 9 aprile al 21 maggio 2025” (v. verbale del 5 giugno 2025, pag. 2 e all. 3);

“myCicero non tratta le credenziali di autenticazione (username e password) degli utenti finali dell’app white label “ATM Milano Official App” che sono gestite direttamente dall’Azienda Trasporti Milanesi S.p.a.”; analogamente, myCicero non tratta le credenziali di autenticazione delle app white label Arriva myPay, KINTO Go e TPLFVG che sono gestite tramite sistemi di autenticazione informatica esterni (v. verbale del 5 giugno 2025, pag. 2 e all. 2).

In seguito, con note del 30 giugno e 4 luglio 2025, myCicero ha trasmesso all’Autorità documentazione e informazioni oggetto di riserva nel corso degli accertamenti ispettivi svolti nelle giornate del 3, 4 e 5 giugno 2025, rappresentando, in particolare, che:

“tra maggio e giugno 2025, sono state predisposte delle bozze di atti di nomina a responsabile del trattamento, con l’obiettivo di avviare un percorso di riallineamento contrattuale, chiarire i rispettivi ruoli in ambito privacy e rafforzare la consapevolezza sulle relative responsabilità. Con particolare riferimento ai clienti white label, sono stati avviati colloqui mirati con i singoli committenti, finalizzati a un confronto puntuale sull’impostazione dei rapporti in materia di trattamento dei dati personali, anche in funzione della successiva trasmissione delle bozze di nomina riviste, in coerenza con gli esiti dell’analisi svolta” (v. nota del 30 giugno 2025 a scioglimento della riserva n. 1 del verbale del 3 giugno 2025, pag. 2);

myCicero ha fornito copia dell’atto giuridico stipulato in data 31 maggio 2025 per regolare i rapporti, ai sensi dell’art. 28 del Regolamento, con il cliente committente dell’app white label ATC - La Spezia (ATC Esercizio S.p.a.) (v. nota del 30 giugno 2025 a scioglimento della riserva n. 1 del verbale del 3 giugno 2025, all. d));

“la comunicazione effettuata nei siti web myCicero e MooneyGo, il cui testo è già stato trasmesso all’Autorità, come anticipato per le vie brevi, è da ritenersi una misura volontaria adottata dal titolare, esclusivamente in un’ottica di massima trasparenza, e non in esecuzione di uno specifico obbligo normativo. La decisione di non procedere a una comunicazione individuale a ciascun interessato, ma di optare per una comunicazione pubblica sul sito web del titolare, è frutto di una valutazione del rischio accurata, documentata e conforme alla normativa vigente e alle linee guida europee. La valutazione ha concluso, con ragionevole certezza, che la violazione non fosse tale da comportare un «rischio elevato» per i diritti e le libertà delle persone fisiche, condizione necessaria prevista dall'art. 34, par. 1 del GDPR per l'obbligo di comunicazione individuale. Come noto, il concetto di «rischio elevato», non è astratto, ma funzionale; il considerando 86 del GDPR chiarisce che lo scopo della comunicazione è quello di consentire all'interessato di «prendere le precauzioni necessarie» per «attenuare i potenziali effetti negativi». I rischi potenziali identificati nel caso di specie, quali la ricezione di messaggi di spam, sono certamente fastidiosi e richiedono attenzione, ma sono mitigabili attraverso l'adozione di una generale prudenza che ogni interessato dovrebbe già mantenere. La comunicazione pubblica effettuata da myCicero, come potrete notare, forniva esattamente questo tipo di raccomandazioni. Ricordiamo, infatti, che i dati esfiltrati da myCicero in qualità di titolare del trattamento sono dati personali comuni, non certamente «dati di natura finanziaria o creditizia, di conto corrente, dettagli della carta di credito, posizione debitoria» ovvero, dati per i quali l’Autorità Garante ha riconosciuto in passato un obbligo di notifica. Il Considerando 75, inoltre, richiede una «valutazione oggettiva» per determinare se un trattamento presenti un rischio, basata sulla probabilità e sulla gravità. La valutazione di myCicero si è fondata proprio su un modello oggettivo e riconosciuto a livello europeo. […] la Società ha applicato la metodologia proposta dall'Agenzia dell'Unione Europea per la Cybersicurezza nelle sue «Recommendations for a methodology of the assessment of severity of personal data breaches». […] Tale valutazione, come dettagliata nei verbali, ha evidenziato come non ci fosse neppure un obbligo di informare gli interessati stessi, essendo già più che sufficiente la segnalazione all’autorità Garante. La società, tuttavia, in una ottica di trasparenza, ha deciso di procedere fornendo agli interessati informazioni chiare e semplici su quanto avvenuto, coordinandosi anche con gli altri titolari coinvolti. Analoghe considerazioni sono state effettuate dagli altri titolari del trattamento, i quali hanno deciso di non notificare agli interessati, ovvero hanno proceduto ad una comunicazione analoga a quella effettuata da myCicero. La pubblicazione dell'avviso, pertanto, è stata una misura volontaria e ulteriore, adottata in un'ottica di massima trasparenza nei confronti degli interessati. Nonostante myCicero abbia valutato come un obbligo di comunicazione individuale non sia mai sorto per assenza del presupposto del «rischio elevato», è opportuno svolgere una riflessione, in via subordinata, sull'Art. 34, par. 3, lett. c) del GDPR. Questa norma prevede che la comunicazione individuale non sia richiesta se «richiederebbe sforzi sproporzionati», potendo in tal caso procedere a «una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia». Nel caso di specie, la comunicazione individuale a milioni di interessati, per i quali i dati di contatto disponibili sono indirizzi email e numeri di telefono, avrebbe comportato uno sforzo organizzativo e tecnico notevole, con un'efficacia peraltro quantomeno dubbi. […] Al fine di dare un parametro all’Autorità, si rileva in questa sede come 116.593 interessati al trattamento, senza che neppure fosse stato indicato nella comunicazione, hanno proceduto al cambio delle loro credenziali subito dopo la pubblicazione dell’annuncio (più precisamente, nelle 72 h successive alla comunicazione), riprova ed effettività della comunicazione” (v. nota del 30 giugno 2025 a scioglimento della riserva n. 2 del verbale del 4 giugno 2025, pagg. 2, 3 e 4);

“è indiscutibile e pacificamente ammesso che l’utilizzo dell’algoritmo di hashing MD5 per la conservazione delle password non sia conforme allo «stato dell’arte». Anche se l’algoritmo MD5 non è più considerato un algoritmo astrattamente sicuro a, quando si valuta la non conformità di questa misura, è importante prendere in considerazione anche altri fattori rilevanti. Questo permette di avere un quadro più completo della situazione, considerando tutte le variabili coinvolte. […] L’algoritmo MD5, pur non figurando tra quelli espressamente raccomandati dalle più recenti Linee Guida congiunte emanate da ACN e Garante nel dicembre 2023, non è oggetto di un divieto formale o espresso da parte di norme primarie o secondarie. Le stesse Linee Guida, infatti, non includono un elenco tassativo di algoritmi vietati, né menzionano direttamente MD5, limitandosi a segnalare in positivo gli algoritmi preferibili per la conservazione sicura delle credenziali. Nel caso di specie, l’uso di MD5 non avveniva in forma isolata, ma si inseriva in un più ampio contesto di misure tecniche e organizzative” (v. nota del 30 giugno 2025 a scioglimento delle riserve nn. 3 e 4 del verbale del 4 giugno 2025, pagg. 4 e 5);

“myCicero dopo il confronto con l’Autorità Garante, ha avviato un processo di verifica formale in merito alla possibilità che i soggetti attaccanti abbiano effettivamente, deciso di violare i sistemi di hashing MD5 al fine di conoscere le password degli interessati. La società ha pertanto proceduto ad analizzare tutti i log file relativi al periodo compreso tra la data di sottrazione dei database e la data di comunicazione al pubblico della breccia di sicurezza accaduta. Qualora gli attaccanti avessero avuto contezza delle password, ragionevolmente, avrebbero dovuto testarle provando dei login sui sistemi della società, provando tra l’altro più accessi. Tali login sarebbero avvenuti, con larga probabilità, da indirizzi IP esterni al territorio italiano ovvero sospetti, probabilmente mediante l’utilizzo di dispositivi non convenzionali (si pensi a sistemi operativi ed emulati all’interno di computer) e/o l’immissione massiva su più account. Analisi tecniche condotte da myCicero hanno dimostrato come non siano avvenuti accessi sospetti aventi le caratteristiche sopra riportate. Ciò porta a ritenere, in assenza di indicatori di compromissione reali di violazione dell’algoritmo MD5, tenuto altresì conto delle caratteristiche dell’attacco, che non vi sia stata alcun tipo di compromissione delle password degli interessati. In assenza di qualsiasi indicatore di compromissione concreto, e tenuto conto del contesto strategico dell’attacco si deve concludere che il rischio per i diritti e le libertà degli interessati, derivante dalla debolezza dell’algoritmo di hashing, è rimasto puramente potenziale e teorico” (v. nota del 30 giugno 2025 a scioglimento delle riserve nn. 3 e 4 del verbale del 4 giugno 2025, pag. 3);

“in merito alla conservazione delle password in formato MD5, […] è stata presa la decisione di procedere con la comunicazione ai Titolari del trattamento coinvolti e la comunicazione è stata già effettuata. Attualmente, siamo in attesa di riscontro da parte dei Titolari in merito al contenuto della comunicazione da inviare agli utenti finali, in particolare per quanto riguarda la definizione del soggetto incaricato dell’invio (myCicero S.r.l. o il Titolare stesso). Nella comunicazione, myCicero ha espresso piena disponibilità a supportare i Titolari, anche assumendosi l’onere dell’invio diretto agli utenti, qualora richiesto” (v. nota del 4 luglio 2025, pag. 2);

“si conferma l’intenzione di procedere con una comunicazione rivolta agli utenti finali che avevano password hashate con MD5. Tale comunicazione sarà finalizzata a richiamare l’attenzione degli utenti sull’importanza di aggiornare la propria password periodicamente, anche come misura precauzionale, e a informarli in modo chiaro e diretto circa le azioni intraprese dalla Società per rafforzare la sicurezza degli accessi. Sul punto, si ricorda che è ad oggi presente un meccanismo che obbliga gli utenti al primo accesso utile, alla modifica della password precedentemente utilizzata” (v. nota del 30 giugno 2025 a scioglimento delle riserve nn. 3 e 4 del verbale del 4 giugno 2025, pag. 7).

Inoltre, nel corso degli accertamenti ispettivi svolti nei confronti di PluService nelle giornate del 3, 4 e 5 giugno 2025 è emerso che:

“PluService si occupa della progettazione, sviluppo e rivendita di sistemi gestionali per la bigliettazione elettronica, nonché della fornitura di servizi di pagamento e delle infrastrutture tecnologiche nell’ambito dei servizi offerti da myCicero o da clienti di quest’ultima; in particolare, per la fornitura dei servizi infrastrutturali PluService si avvale del fornitore esterno WIIT S.p.a.” (v. verbale del 3 giugno 2025, pag. 3);

PluService “ha affidato a Cybertech S.r.l. (di seguito “Cybertech”) l’esecuzione di attività di analisi dell’incidente che ha coinvolto le infrastrutture tecnologiche della Società ospitate presso la sede legale […di PluService] e il data center di WIIT”, fornendo “copia dell’incident report datato 13 maggio 2025 […], in cui sono elencati i sistemi informatici (macchine fisiche/virtuali) coinvolti e sono descritte le modalità, il punto di origine e le tempistiche con le quali è avvenuto l’attacco informatico” (v. verbale del 3 giugno 2025, pag. 3 e all. 2);

“l’accesso iniziale degli autori dell’attacco informatico è avvenuto sfruttando una vulnerabilità del server con hostname “XX” ospitato presso la sede legale di PluService; successivamente, attraverso una serie di movimenti laterali, gli autori dell’attacco sono riusciti ad esfiltrare una parte dei dati presenti nei server con hostname “XX”, “XX” e “XX” appartenenti al data center di WIIT (interconnesso con la sede legale di PluService con una VPN site-to-site). In particolare, al momento dell’attacco informatico, erano in corso alcune attività di tuning dei predetti sistemi informatici utilizzati per erogare servizi ad alcuni clienti […], nell’ambito delle quali erano state effettuate copie di backup (non protette da crittografia) dei dati presenti nei database da utilizzare in caso di eventuali malfunzionamenti. Nel corso delle attività di analisi svolte a seguito dell’attacco informatico, Cybertech ha individuato un bucket esterno (XX) nel quale erano memorizzati i dati esfiltrati, direttamente dal cloud di WIIT. […] nessuna esfiltrazione è avvenuta direttamente dai dispositivi della sede legale di PluService. Cybertech, su richiesta di PluService, ha acquisito l’elenco dei file presenti nel citato bucket e, successivamente, ha provveduto a cancellare tali dati” (v. verbale del 3 giugno 2025, pagg. 3 e 4);

PluService ha fornito “copia delle comunicazioni che […] ha inviato a Mooney Servizi S.p.a. (in qualità di titolare del servizio di telepedaggio e di responsabile per conto dell’Azienda Trasporti Milanesi S.p.a.) e a myCicero (in qualità di titolare dei trattamenti effettuati nell’ambito dell’app MooneyGo e di responsabile per conto di altri titolari nell’ambito di app white label)” (v. verbale del 3 giugno 2025, pag. 4 e all. 6);

PluService ha fornito “tre elenchi di file presenti nel bucket esterno nel quale erano memorizzati i dati esfiltrati nel corso dell’attacco informatico”, rappresentando che tali file si riferiscono a copie di backup – effettuate negli anni 2024 e 2025 – di diversi database, tra i quali:

““XX” e “XX”, relativi alla piattaforma di bigliettazione di TPL FVG S.c. a r.l. (es. dati dei titoli di viaggio acquistati mediante tecnologia EMV Contactless, inclusi codici identificativi delle carte di pagamento utilizzate, acquisiti mediante due fornitori esterni Worldline e N&TS Group);

“XX”, “XX”, “XX”, “XX” e “XX”, relativi al servizio di telepedaggio di Mooney Servizi S.p.a. (es. dati relativi a utenti finali che hanno aderito al servizio e richiesto l’on board unit, inclusi dati identificativi, dati anagrafici, dati di contatto, dati per il ritiro dell’on board unit e dati di fatturazione). […]

“XX” e “XX”, relativi al servizio di bigliettazione di Consorzio UnicoCampania (es. dati relativi a titoli di viaggio e abbonamenti TPL; dati relativi a tessere TPL; dati relativi a studenti, anche minorenni, ivi inclusi documenti d’identità e attestazioni ISEE, e relativi esercenti della responsabilità genitoriale); […]

“XX”, relativo al servizio di bigliettazione di Busitalia Veneto S.p.a. (es. dati relativi a titoli di viaggio e abbonamenti TPL; dati relativi a tessere TPL; dati relativi a studenti, anche minorenni, ivi inclusi documenti d’identità e attestazioni di frequenza scolastica, e relativi esercenti della responsabilità genitoriale; dati relativi a lavoratori, ivi inclusi documenti d’identità e attestazioni del datore di lavoro);

“XX”, relativo al servizio di bigliettazione di TPL FVG S.c. a r.l. (es. dati relativi alle vendite di titoli di viaggio e abbonamenti TPL effettuate tramite l’app TPLFVG o l’app MooneyGo);

“XX”, relativo al servizio di borsellino elettronico offerto agli utenti finali nell’ambito dell’app MooneyGo o di app federate (es. codice identificativo della tessera; dati relativi a ricariche e addebiti effettuati);

“XX”, relativo al servizio di sosta offerto agli utenti finali nell’ambito dell’app MooneyGo e di tutte le app white label (es. codice identificativo della tessera, dati relativi alle soste effettuate, inclusa la targa del veicolo, il gestore del servizio, la zona tariffaria, la data e l’ora di inizio/fine della sosta, le coordinate geografiche del luogo di sosta per un periodo limitato di tempo);

“XX” e “XX”, relativi al servizio di bigliettazione TPL e GT offerto a più clienti committenti;

“XX”, relativo al profilo utente degli utenti finali dell’app MooneyGo e di tutte le app white label (es. nome e cognome, e-mail, cellulare, dati di fatturazione, password sotto forma di digest MD5 o BCRYPT2A, consensi relativi a trattamenti per finalità commerciali); […]

“XX”, relativo al servizio di sharing (es. bici o monopattino) offerto agli utenti finali nell’ambito dell’app MooneyGo e di altre app white label;

“XX”, relativo al servizio di bigliettazione dell’Azienda Trasporti Milanesi S.p.a. (es. dati relativi a titoli di viaggio TPL acquistati tramite l’app MooneyGo);

“XX”, relativo al servizio di bigliettazione di TPER S.p.a. (es. dati relativi a titoli di viaggio TPL acquistati tramite l’app MooneyGo o l’app ROGER); […]

database relativi a sistemi di bigliettazione dell’Azienda Trasporti Milanesi S.p.a.” (v. verbale del 4 giugno 2025, pagg. 2, 3 e 4);

in particolare, accedendo ad alcuni dei predetti database, è stato constatato che:

“la tabella “XX” del database “XX” (copia di backup effettuata in data 15 aprile 2025), ospitato nel server “XX, contiene dati personali (es. dati anagrafici e di contatto, password sotto forma di digest MD5 o BCRYPT2, codice identificativo GUID) relativi agli utenti finali dell’app MooneyGo e di tutte le app white label;

la tabella “XX” del citato database “XX” contiene dati personali (es. codice identificativo della tessera) relativi agli utenti finali dell’app MooneyGo e di tutte le app white label; […]

la tabella “XX” del database “XX” (attuale ambiente di produzione), ospitato nel server “XX”, contiene copie di documenti d’identità e di attestazioni ISEE (allo stato, entrambi in forma cifrata) relativi a studenti, anche minorenni, che hanno acquistato un abbonamento TPL del Consorzio UnicoCampania;

le tabelle “XX”, “XX”, “XX” e “XX” del database “XX” (attuale ambiente di produzione), ospitato nel server “XX”, contiene informazioni sulle soste effettuate dagli utenti finali dell’app MooneyGo e di tutte le app white label (es. codice identificativo della tessera, targa del veicolo, gestore del servizio, zona tariffaria, data e ora di inizio/fine della sosta, coordinate geografiche del luogo di sosta per un periodo limitato di tempo)” (v. verbale del 4 giugno 2025, pagg. 4 e 5).

4. Gli ulteriori approfondimenti svolti dall’Ufficio

In data 21 luglio 2025 l’Ufficio ha rivolto a myCicero un’ulteriore richiesta di informazioni, ai sensi dell’art. 157 del Codice, al fine di acquisire chiarimenti e precisazioni in merito a quanto emerso nel corso degli accertamenti ispettivi e all’adempimento degli obblighi in materia di violazione dei dati personali.

Con nota del 28 luglio 2025, myCicero ha fornito riscontro alla citata richiesta di informazioni, rappresentando, in particolare, che:

myCicero “ha provveduto a trasmettere a tutti i soggetti titolari del trattamento indicati (Adriabus S.c. a r.l., Azienda Trasporti Campana S.r.l., ATMA S.c.p.a., Di Fonzo Donato & Fratelli S.p.a., Società Unica Abruzzese di Trasporto S.p.a., Ente Autonomo Volturno S.r.l., TPER S.p.a.) una versione aggiornata della nomina ex art. 28 GDPR. Alcuni di tali titolari hanno manifestato la necessità di un periodo di approfondimento interno, al fine di condividere la documentazione con i rispettivi uffici legali e/o referenti privacy. Tra i titolari in oggetto, ADRIABUS ha avanzato una controproposta, condividendo un proprio template di nomina. Attualmente, è in corso un confronto tecnico-giuridico tra le due versioni, con l’obiettivo di giungere in tempi brevi alla validazione definitiva del nuovo accordo” (pagg. 1 e 2);

“con riferimento alla richiesta di copia delle comunicazioni eventualmente inviate agli utenti finali dell’app «MooneyGo» coinvolti nella violazione, si segnala che [… myCicero] ha già provveduto a fornire copia delle comunicazioni intercorse all’Autorità, inclusa l’indicazione dei canali utilizzati per l’invio (in-app, e-mail o altri mezzi, ove applicabili)” (pag. 3);

nella comunicazione inviata a Busitalia Veneto S.p.a. in data 5 maggio 2025, myCicero ha, fra l’altro, evidenziato che tra i dati oggetto di violazione ci sono quelli riferibili al “Profilo Utente” (“nome, cognome, email, numero di telefono”), ai “Biglietti TPL” (“data acquisto, importo pagato, zona tariffaria, tipologia e data di validità del titolo”), agli “Abbonamenti TPL” (“data inizio e fine validità, zona tariffaria, importo pagato, tipologia titolo acquistato”) e alle “Tessere TPL” (“nome, cognome, email, telefono, data di nascita, codice fiscale, indirizzo domicilio, codice categoria tariffaria”) (all. c));

nella comunicazione inviata ai clienti committenti coinvolti in data 4 luglio 2025, myCicero ha, fra l’altro, evidenziato che “a seguito delle ulteriori verifiche condotte in merito al recente data breach, è emerso che un numero limitato di utilizzatori della […] App White Label […] da oltre due anni non ha aggiornato la propria password o non ha più effettuato l’accesso alla piattaforma. Di conseguenza, le relative credenziali risultano ancora protette tramite algoritmo di hashing MD5, oggi non più conforme agli attuali standard di sicurezza. Infatti, il nostro sistema da tempo utilizza standard più sicuri – in particolare BCRYPT2A. Riteniamo opportuno, anche in virtù del confronto con l’Autorità Garante, di procedere con una comunicazione agli utenti coinvolti, per invitarli ad aggiornare le proprie credenziali” (all. c)).

OSSERVA

Nelle more dello svolgimento dell’istruttoria tuttora in corso, finalizzata ad approfondire quanto sopra illustrato e a definire le responsabilità in merito all’accaduto, risulta necessario valutare la conformità delle iniziative fin qui intraprese dalla Società a tutela dei diritti e delle libertà delle persone fisiche, con riferimento agli obblighi informativi nei confronti degli interessati (art. 34 del Regolamento) e dei titolari del trattamento coinvolti nella violazione dei dati personali (art. 33, par. 2, del Regolamento), nonché agli obblighi di sicurezza in relazione alle misure adottate per attenuare i possibili effetti negativi della violazione (art. 32 del Regolamento).

Occorre, tuttavia, svolgere preliminarmente alcune considerazioni in merito al ruolo assunto dalla Società nei trattamenti dei dati personali oggetto di violazione.

5. Il ruolo assunto da myCicero nei trattamenti di dati personali oggetto di violazione

Ai sensi dell’art. 4 del Regolamento il titolare del trattamento è “la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali” (punto 7), mentre il responsabile del trattamento è “la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento” (punto 8).

Le “Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR”, adottate dal Comitato europeo per la protezione dei dati il 7 luglio 2021, ricordano che “quando un soggetto determina chiaramente le finalità e i mezzi, affidando a un diverso soggetto attività di trattamento che consistono nell’esecuzione delle sue istruzioni dettagliate, la situazione è chiara e non vi sono dubbi che tale diverso soggetto debba essere considerato responsabile del trattamento, mentre il primo è il titolare del trattamento” (punto 38) e che la titolarità non è esclusa anche nel caso in cui vi siano ”[…] decisioni […] che possono essere lasciate a discrezione del responsabile del trattamento [… quali] i mezzi non essenziali [che] possono essere determinati anche dal responsabile del trattamento [… e che] riguardano aspetti più pratici legati all’esecuzione del trattamento, quali la scelta di un particolare tipo di hardware o di software o le misure di sicurezza specifiche in merito alle quali può decidere il responsabile del trattamento” (punti 39 e 40).

Nel corso dell’istruttoria, myCicero ha dichiarato di assumere il ruolo di titolare del trattamento in relazione ai dati personali degli utenti finali raccolti nell’ambito dell’app MooneyGo e del relativo portale web (di seguito congiuntamente e indistintamente indicati come “app MooneyGo”), oppure il ruolo di responsabile (o sub-responsabile) del trattamento in relazione ai dati personali degli utenti finali raccolti nell’ambito delle app white label e degli eventuali relativi portali web (di seguito congiuntamente e indistintamente indicati come “app white label”) gestiti per conto di clienti committenti (es. aziende e consorzi regionali che gestiscono il trasporto pubblico locale, enti locali che gestiscono aree di sosta a pagamento), ad eccezione di otto casi.

In particolare, in un primo momento, myCicero ha rappresentato di assumere il ruolo di titolare del trattamento anche in relazione ai dati personali raccolti nell’ambito delle app white label ADRIABUS, ATC - La Spezia, ATCGO, ATMA, DiFonzo Bus, TUAbruzzo e Go Eav, oppure il ruolo di contitolare del trattamento in relazione ai dati raccolti nell’ambito dell’app white label ROGER - Emilia-Romagna. In un secondo momento, la Società ha evidenziato di aver avviato interlocuzioni con i clienti committenti delle predette app white label al fine di regolare i rapporti tra le parti ai sensi dell’art. 28 del Regolamento, trasmettendo loro uno schema di atto giuridico nel quale il cliente committente viene qualificato come titolare del trattamento e myCicero come responsabile del trattamento. Al riguardo, myCicero ha poi trasmesso all’Autorità copia dell’atto giuridico ai sensi dell’art. 28 del Regolamento, stipulato in data 31 maggio 2025 con la società ATC Esercizio S.p.a. (committente dell’app white label ATC - La Spezia). Nel corso dell’istruttoria sono, inoltre, pervenute all’Autorità le notifiche di violazione dei dati personali dei clienti committenti delle citate app white label ADRIABUS e TUAbruzzo (rispettivamente, Adriabus S.c. a r.l. e Società Unica Abruzzese di Trasporto S.p.a. unipersonale), nelle quali myCicero viene qualificata come responsabile del trattamento.

Inoltre, considerato che le app white label sono caratterizzate, in particolare, da elementi grafici (es. loghi e colori) che le rendono direttamente riconducibili ai clienti committenti, occorre considerare la legittima aspettativa degli utenti finali delle stesse in merito alla titolarità dei trattamenti di dati personali effettuati nell’ambito dei servizi ivi disponibili.

Sotto diverso ma connesso profilo, l’Autorità ha ricevuto le notifiche di violazione dei dati personali di alcuni soggetti operanti nel settore dei servizi di mobilità e di sosta, nelle quali il cliente committente delle app white label è qualificato come responsabile del trattamento e myCicero come sub-responsabile del trattamento.

Alla luce di quanto sopra esposto, fatta salva qualsiasi ulteriore e diversa valutazione dell’Autorità in merito ai ruoli assunti dai diversi soggetti coinvolti nel trattamento, anche sulla base di ulteriori elementi che verranno acquisiti nell’istruttoria ancora in corso, si ritiene, in questa fase caratterizzata dalla necessità e dall’urgenza di adottare misure correttive a tutela dei diritti e delle libertà delle persone fisiche, di considerare myCicero quale:

a) titolare in relazione ai trattamenti dei dati personali raccolti nell’ambito dell’app MooneyGo;

b) responsabile (o sub responsabile) per conto dei clienti committenti in relazione ai trattamenti di dati personali di utenti finali raccolti nell’ambito delle app white label; ciò, nonostante al momento della violazione dei dati personali i rapporti tra myCicero e alcuni clienti committenti non fossero regolati con un contratto o un atto giuridico stipulato ai sensi dell’art. 28 del Regolamento.

6. La comunicazione della violazione dei dati personali agli utenti dell’app MooneyGo

L’art. 34 del Regolamento stabilisce che “quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo” (par. 1) e che detta comunicazione non è richiesta, in particolare, se “il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura” (par. 3, lett. a)).

Il Regolamento prevede, inoltre, che “nel caso in cui il titolare del trattamento non abbia ancora comunicato all'interessato la violazione dei dati personali, l'autorità di controllo può richiedere, dopo aver valutato la probabilità che la violazione dei dati personali presenti un rischio elevato, che vi provveda o può decidere che una delle condizioni di cui al paragrafo 3 è soddisfatta” (art. 34, par. 4) e che l’autorità di controllo ha il potere di “ingiungere al titolare del trattamento di comunicare all’interessato una violazione dei dati personali” (art. 58, par. 2, lett. e)).

Il Regolamento indica, poi, che nella valutazione del rischio si dovrebbero prendere in considerazione tanto la probabilità quanto la gravità dei rischi per i diritti e le libertà degli interessati e che tali rischi dovrebbero essere determinati in base a una valutazione oggettiva (cfr. cons. nn. 75 e 76). Al riguardo, le “Linee guida 9/2022 sulla notifica delle violazioni dei dati personali ai sensi del regolamento generale sulla protezione dei dati (GDPR)”, adottate dal Comitato europeo per la protezione dei dati il 28 marzo 2023, individuano i seguenti fattori da considerare – a fronte di una violazione dei dati personali – nella valutazione del rischio per i diritti e le libertà degli interessati: il tipo di violazione, la natura, il carattere sensibile e il volume dei dati personali, la facilità di identificazione degli interessati, la gravità delle conseguenze per gli interessati, le caratteristiche particolari dell’interessato e del titolare del trattamento, nonché il numero di interessati coinvolti.

Nel caso in esame, la valutazione dei rischi per i diritti e le libertà degli interessati derivanti dalla violazione dei dati personali deve tener conto, in particolare, dei seguenti fattori:

la natura della violazione dei dati personali, che si è verificata nell’ambito di un attacco informatico finalizzato ad acquisire dati personali, tra i quali dati anagrafici e di contatto (nome, cognome, indirizzo di posta elettronica e/o numero di cellulare), credenziali di autenticazione (username e password, sotto forma di stringa di testo, detta anche digest) e altri dati personali (tra i quali, biglietti o abbonamenti TPL, soste a pagamento);

la gravità e la persistenza delle possibili conseguenze per le persone fisiche che potrebbero derivare dall’utilizzo delle credenziali di autenticazione oggetto di esfiltrazione per accedere illecitamente a sistemi informatici o servizi online e consultare, o acquisire, dati personali degli interessati a cui sono riferite o di altre categorie di interessati; ciò, anche in considerazione delle modalità di impostazione delle password (che – in assenza di elementi idonei a comprovare il contrario – debbono essere considerate, in via prudenziale, come se fossero state scelte da ciascun utente) e dell’abitudine degli utenti di utilizzare la medesima password, anche a distanza di tempo, per lo stesso o per altri sistemi informatici o servizi online o, comunque, di utilizzare password simili tra loro cambiando solo alcuni caratteri;

l’elevato numero di interessati cui sono riferite le credenziali di autenticazione oggetto di violazione e la facilità di identificazione, diretta o indiretta, di specifiche persone fisiche sulla base dei dati personali coinvolti;

il basso livello di sicurezza garantito dalle funzioni di hashing (o dai loro parametri di utilizzo) adottate per proteggere le password degli utenti dell’app “MooneyGo” conservate nei sistemi della Società, in termini di resistenza ai più comuni attacchi informatici (es. a forza bruta o a dizionario) volti a individuare la password che ha generato un determinato digest.

In particolare, in relazione a quest’ultimo fattore – da valutarsi anche alla luce delle indicazioni e raccomandazioni fornite dal Garante con le linee guida in materia di conservazione delle password (provvedimento n. 594 del 7 dicembre 2023, doc. web n. 9962283), predisposte in collaborazione con l’Agenzia per la cybersicurezza nazionale – si osserva che le password degli utenti dell’app MooneyGo erano conservate con modalità non in grado di assicurare un adeguato livello di sicurezza e, in particolare:

circa 620 mila di password erano conservate sotto forma di digest calcolato con la funzione di hashing MD5 (peraltro con l’utilizzo di un salt uguale per tutte le password) della quale, da anni, sono note molteplici vulnerabilità;

circa 2,2 milioni di password erano conservate sotto forma di digest calcolato con la funzione di password hashing bcrypt2a; tuttavia, l’utilizzo di un salt comune per tutte le password riduce il livello di sicurezza offerto dalla funzione di password hashing, rendendo possibile individuare più utenti che utilizzano la medesima password o calcolare rainbow table, ossia tabelle precompilate contenenti i digest di un numero elevato di password comuni, che possono così essere agevolmente confrontati con i digest esfiltrati.

Peraltro, le “Linee guida 01/2021 su esempi riguardanti la notifica di una violazione dei dati personali” (adottate dal Comitato europeo per la protezione dei dati il 14 dicembre 2021), in relazione a una violazione dei dati personali avente ad oggetto le password di utenti (cfr. caso n. 06), ricordano che, anche in caso di conservazione delle password con tecniche crittografiche allo stato dell’arte, la comunicazione, sebbene non obbligatoria, può essere considerata una buona pratica.

Per tali ragioni, si ritiene che la violazione dei dati personali sia suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, circostanza per cui è richiesta la comunicazione agli interessati ai sensi dell’art. 34, par. 1, del Regolamento.

Ciò, diversamente da quanto sostenuto dalla Società che, nel corso dell’istruttoria, ha aggiunto che “nonostante […] un obbligo di comunicazione individuale non sia mai sorto per assenza del presupposto del «rischio elevato», è opportuno svolgere una riflessione, in via subordinata, sull'Art. 34, par. 3, lett. c) del GDPR. Questa norma prevede che la comunicazione individuale non sia richiesta se «richiederebbe sforzi sproporzionati», potendo in tal caso procedere a «una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia». Nel caso di specie, la comunicazione individuale a milioni di interessati, per i quali i dati di contatto disponibili sono indirizzi email e numeri di telefono, avrebbe comportato uno sforzo organizzativo e tecnico notevole, con un'efficacia peraltro quantomeno dubbi” e ha evidenziato che “al fine di dare un parametro all’Autorità, si rileva in questa sede come 116.593 interessati al trattamento, senza che neppure fosse stato indicato nella comunicazione, hanno proceduto al cambio delle loro credenziali subito dopo la pubblicazione dell’annuncio (più precisamente, nelle 72 h successive alla comunicazione), riprova ed effettività della comunicazione”.

In proposito, le citate “Linee guida 9/2022 sulla notifica delle violazioni dei dati personali ai sensi del regolamento generale sulla protezione dei dati (GDPR)” precisano che “in linea di principio, la violazione dovrebbe essere comunicata direttamente agli interessati coinvolti, a meno che ciò richieda uno sforzo sproporzionato. In tal caso, si procede a una comunicazione pubblica o a una misura simile che permetta di informare gli interessati con analoga efficacia (articolo 34, paragrafo 3, lettera c), GDPR)” (punto 88) e raccomandano “al titolare del trattamento di scegliere un mezzo che massimizzi la possibilità di comunicare correttamente le informazioni a tutte le persone interessate. A seconda delle circostanze, ciò potrebbe significare che il titolare del trattamento dovrebbe utilizzare diversi metodi di comunicazione, anziché un singolo canale di contatto. Inoltre il titolare del trattamento potrebbe dover garantire che la comunicazione sia accessibile in formati alternativi appropriati e lingue pertinenti al fine di assicurarsi che le persone fisiche siano in grado di comprendere le informazioni fornite loro” (punti 90 e 91). In particolare, le citate Linee guida ricordano che la condizione di cui all’art. 34, par. 3, lett. c), del Regolamento ricorre, ad esempio, “nel caso in cui i dati di contatto siano stati persi a causa della violazione o non siano mai stati noti” (punto 97) e che, in ogni caso, “conformemente al principio di responsabilizzazione, il titolare del trattamento dovrebbe essere in grado di dimostrare all’autorità di controllo di soddisfare una o più di queste condizioni” (punto 98).

Tutto ciò premesso, si osserva che la comunicazione pubblica effettuata mediante un avviso sui siti web MooneyGo e myCicero non soddisfa i requisiti di efficacia e trasparenza previsti dalla normativa in materia di protezione dei dati personali. In particolare, con detta comunicazione, la Società:

non ha raggiunto efficacemente gli utenti finali dell’app MooneyGo che, anche in caso di frequente utilizzo dei servizi offerti dalla Società, non sono abituati a consultare tali siti web;

ha fornito informazioni fuorvianti in merito ai dati personali oggetto di violazione, evidenziando, in modo errato e ingiustificato, che “non sono […] stati compromessi i dati di accesso […] nonché le tue password”;

non ha fornito indicazioni specifiche sulle misure di mitigazione che gli stessi interessati possono adottare per proteggersi da eventuali conseguenze negative della violazione, quale quella di non utilizzare più la password compromessa né una simile nonché di modificare la password utilizzata per l'accesso ad altri sistemi informatici o servizi online qualora coincidente o simile a quella oggetto di violazione;

ha fornito informazioni inesatte in ordine ai rischi per i diritti e le libertà delle persone fisiche interessate derivanti dalla violazione dei dati personali.

Alla luce di quanto sopra esposto, si ritiene che la comunicazione pubblica effettuata dalla Società non costituisca uno strumento idoneo all’assolvimento degli obblighi informativi nei confronti degli interessati, in quanto, avendo raggiunto un numero limitato degli stessi e non contenendo tutte le informazioni previste dall’art. 34, par. 2, del Regolamento, non consente di rendere questi ultimi consapevoli dei rischi derivanti dalla violazione e di permettere loro di adottare le necessarie precauzioni. Per tali ragioni, la condotta sopra descritta pone in essere una violazione dell’art. 34 del Regolamento.

7. La comunicazione della violazione dei dati personali ai clienti committenti

Il Regolamento stabilisce che “il responsabile del trattamento informa il titolare del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza della violazione” (art. 33, par. 2) e che il contratto o altro atto giuridico che disciplina il trattamento da parte del responsabile del trattamento preveda che quest’ultimo “assista il titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile trattamento” (art. 28, par. 3, lett. f)).

Le citate “Linee guida 9/2022 sulla notifica delle violazioni dei dati personali ai sensi del regolamento generale sulla protezione dei dati (GDPR)” chiariscono che “se il titolare del trattamento ricorre a un responsabile del trattamento e quest’ultimo viene a conoscenza di una violazione dei dati personali che sta trattando per conto del titolare del trattamento, il responsabile del trattamento deve notificarla al titolare del trattamento “senza ingiustificato ritardo” [… senza] valutare la probabilità di rischio derivante dalla violazione prima di notificarla al titolare del trattamento […]. Il responsabile del trattamento deve soltanto stabilire se si è verificata una violazione e quindi notificarla al titolare del trattamento [… per consentire a quest’ultimo] di far fronte alla violazione e di stabilire se deve notificarla all’autorità di controllo ai sensi dell’articolo 33, paragrafo 1, e alle persone fisiche interessate ai sensi dell’articolo 34, paragrafo 1”. Anche se “il regolamento non fissa un termine esplicito entro il quale il responsabile del trattamento deve avvertire il titolare del trattamento, salvo specificare che deve farlo “senza ingiustificato ritardo”” le predette Linee guida raccomandano al responsabile del trattamento di “effettuare la notifica al titolare del trattamento tempestivamente, fornendo successivamente le eventuali ulteriori informazioni sulla violazione di cui venga a conoscenza. Ciò è importante al fine di aiutare il titolare del trattamento a soddisfare l’obbligo di notifica all’autorità di controllo entro 72 ore” e specificano che “qualora fornisca servizi a più titolari del trattamento tutti interessati dal medesimo incidente, il responsabile del trattamento dovrà segnalare i dettagli dell’incidente a ciascun titolare del trattamento” (punti da 43 a 48);

Il Regolamento prevede, inoltre, che l’autorità di controllo ha il potere di “ingiungere al titolare del trattamento o al responsabile del trattamento di conformare i trattamenti alle disposizioni del […] regolamento, se del caso, in una determinata maniera ed entro un determinato termine” (art. 58, par. 2, lett. d)).

Nel caso in esame, la Società è venuta inizialmente a conoscenza della violazione dei dati personali in data 1° aprile 2025 nel momento in cui, nel corso delle attività di analisi dell’incidente di sicurezza svolte da Cybertech S.r.l., quest’ultima l’ha informata di aver trovato evidenze dell’avvenuta esfiltrazione di dati personali trattati nell’ambito di sistemi informatici gestiti da PluService. Le successive attività di analisi forense dei dati esfiltrati, svolte anche per fornire riscontro alle richieste formulate dall’Autorità, hanno consentito alla Società di avere, progressivamente, un quadro più chiaro e completo della natura e portata della violazione dei dati personali; in particolare:

in data 18 aprile 2025, la Società era a conoscenza dei singoli clienti committenti coinvolti nella violazione, con il dettaglio del numero di interessati e delle principali tipologie di dati personali oggetto di violazione (incluse le credenziali di autenticazione degli utenti finali presenti tra i dati trattati nell’ambito del “Profilo Utente”);

in data 23 aprile 2025, la Società era a conoscenza del fatto che la violazione dei dati personali avesse riguardato anche le copie per immagine dei documenti d’identità e le attestazioni ISEE trattate per conto di un cliente committente (Consorzio UnicoCampania) e che tali documenti fossero conservati in chiaro all’interno dei sistemi oggetto dell’attacco informatico;

in data 7 maggio 2025, la Società era pienamente a conoscenza delle modalità di conservazione delle password degli utenti finali dell’app MooneyGo e delle altre app white label coinvolte nella violazione dei dati personali;

in data 4 giugno 2025, nel corso degli accertamenti ispettivi dell’Autorità, la Società è venuta a conoscenza del fatto che la violazione dei dati personali avesse riguardato anche le copie per immagine dei documenti d’identità trattate per conto di un altro cliente committente (Busitalia Veneto S.p.a.).

In data 4 aprile 2025, la Società ha trasmesso ai clienti committenti coinvolti nella violazione una prima comunicazione con la quale è stato rappresentato, fra l’altro, che:

“il fornitore di MyCicero per i servizi di data center, Pluservice s.r.l., ha rilevato in data 1 aprile 2025 una violazione di dati personali originatasi da attività malevole condotte da attori esterni non identificati tra il 29 e il 30 marzo 2025”;

“l’evento è stato identificato a seguito di una serie di alert generati dal sistema di Endpoint Detection and Response (EDR) XX. L’effettiva compromissione è stata confermata nel pomeriggio del 1 aprile, a seguito di un’analisi forense che ha evidenziato l’esfiltrazione non autorizzata di dati da database ubicati presso il data center del fornitore WIIT, quest’ultimo sub-responsabile di Pluservice s.r.l., tramite l’utilizzo di un cloud remoto di destinazione esterna”;

“il 3 aprile 2025, alle ore 17:30 circa MyCicero è stata formalmente edotta dell’incidente mediante trasmissione di un report tecnico contenente la ricostruzione degli eventi e le prime evidenze oggettive acquisite. Alcuni dei sistemi compromessi trattavano dati personali di vostra titolarità in relazione a servizi erogati da Pluservice s.r.l. in qualità di sub-responsabile del trattamento”.

Nella citata comunicazione sono state, inoltre, fornite informazioni sulle tipologie di dati personali oggetto di violazione (omettendo, tuttavia, di indicare anche le credenziali di autenticazione) e sul numero di interessati coinvolti.

Nelle successive comunicazioni inviate ai clienti committenti nei mesi di aprile e maggio 2025 – in alcuni casi in riscontro a specifiche richieste di chiarimenti di questi ultimi – la Società, in alcuni casi, ha omesso di indicare, tra i dati oggetto di violazione, le password degli utenti finali delle app white label, mentre, in altri casi, ha evidenziato che “le password sono memorizzate in forma cifrata” (v. comunicazione al Consorzio UnicoCampania del 24 aprile 2025), anche se tecnicamente le password non erano protette con funzioni di cifratura, ma solo con funzioni di hashing.

Inoltre, nella comunicazione inviata in data 24 aprile 2025 al Consorzio UnicoCampania per informarlo del fatto che la violazione dei dati personali ha riguardato anche i documenti d’identità e le attestazioni ISEE di alcuni utenti finali dell’app white label UNICO Campania app, la Società ha rappresentato che “i documenti caricati dagli utenti (ove previsti) sono nel data base con cifratura”, omettendo di specificare che tali documenti erano conservati in chiaro nella copia di backup oggetto di violazione. La Società, poi, non ha fornito elementi sulla comunicazione eventualmente inviata a Busitalia Veneto S.p.a. per informare quest’ultima della violazione dei documenti d’identità di alcuni utenti finali dell’app white label Busitalia Veneto.

Al riguardo, si osserva che, nelle diverse comunicazioni inviate ai clienti committenti, la Società:

non ha indicato, tra i dati personali oggetto di violazione, le credenziali di autenticazione (username, coincidente con l’indirizzo di posta elettronica e/o con il numero di cellulare, e password sotto forma di digest) degli utenti finali delle app white label (ad esclusione delle quattro app che utilizzano un sistema di autenticazione informatica esterno);

non ha fornito informazioni sulle misure tecniche (che risultano deboli e, pertanto, inefficaci) che erano adottate per proteggere le password degli utenti finali delle app white label (ad esclusione delle quattro app che utilizzano un sistema di autenticazione informatica esterno);

ha fornito informazioni non corrette sulle modalità con le quali erano conservati i documenti d’identità e le attestazioni ISEE di alcuni utenti finali dell’app white label UNICO Campania app;

non ha indicato, tra i dati personali oggetto di violazione, i documenti d’identità di alcuni utenti finali dell’app white label Busitalia Veneto;

ha fornito indicazioni fuorvianti in merito ai rischi per i diritti e le libertà delle persone fisiche presentati dalla violazione dei dati personali – la cui valutazione spetta peraltro unicamente al titolare del trattamento sulla base degli elementi complessivamente acquisiti – che non tengono conto degli orientamenti dell’Autorità che, in casi analoghi, ha evidenziato la sussistenza di un rischio elevato per i diritti e le libertà delle persone fisiche in ragione della gravità e della persistenza delle possibili conseguenze che potrebbero derivare dall’utilizzo illecito delle credenziali di autenticazione oggetto di esfiltrazione per accedere illecitamente a sistemi informatici o servizi online e consultare, o acquisire, dati personali degli interessati a cui sono riferite o di altre categorie di interessati (v. provvedimenti n. 594 del 7 dicembre 2023, doc. web. n. 9962283, n. 198 dell’11 aprile 2024, doc. web n. 10013321, n. 293 del 9 maggio 2024, doc. web n. 10070917, e n. 759 del 13 novembre 2024, doc. web n. 10109352). Ciò, anche in considerazione dell’abitudine degli utenti di utilizzare la medesima password, anche a distanza di tempo, per lo stesso o per altri sistemi informatici o servizi online o, comunque, di utilizzare password simili tra loro cambiando solo alcuni caratteri.

Alla luce di quanto sopra esposto, si ritiene che le comunicazioni finora inviate dalla Società ai clienti committenti coinvolti nella violazione dei dati personali non costituiscano uno strumento idoneo all’assolvimento degli obblighi informativi nei confronti dei titolari, in quanto, non contenendo informazioni chiare e dettagliate sulla violazione, non consentono a questi ultimi di valutare compiutamente i rischi per i diritti e le libertà delle persone fisiche derivanti dalla violazione e di adempiere gli obblighi di cui agli artt. 33 e 34 del Regolamento. Per tali ragioni, la condotta sopra descritta pone in essere una violazione dell’art. 33, par. 2, del Regolamento.

8. Le misure di sicurezza adottate per attenuare i possibili effetti negativi della violazione dei dati personali

L’art. 32 del Regolamento stabilisce che “tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: […] b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento […]” (par. 1) e che “nel valutare l'adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati” (par. 2).

Le citate “Linee guida 9/2022 sulla notifica delle violazioni dei dati personali ai sensi del regolamento generale sulla protezione dei dati (GDPR)” ricordano che “l'articolo 32 GDPR chiarisce che il titolare del trattamento e il responsabile del trattamento devono mettere in atto misure tecniche e organizzative adeguate per garantire un livello adeguato di sicurezza dei dati personali: la capacità di individuare, trattare e segnalare tempestivamente una violazione deve essere considerata un aspetto essenziale di queste misure” (punto 41) e tra le misure da adottare a seguito di una violazione dei dati personali che ha coinvolto anche credenziali di autenticazione (username e password) indica anche quella di “forzare il ripristino delle password degli account interessati”.

Il Regolamento prevede, inoltre, che l’autorità di controllo ha il potere di “ingiungere al titolare del trattamento o al responsabile del trattamento di conformare i trattamenti alle disposizioni del […] regolamento, se del caso, in una determinata maniera ed entro un determinato termine” (art. 58, par. 2, lett. d)).

Nel caso in esame, è emerso che la Società, dopo essere venuta a conoscenza della violazione, si è limitata, da un lato, ad assumere l’impegno di “richiamare l’attenzione degli utenti [dell’app MooneyGO] sull’importanza di aggiornare la propria password periodicamente, anche come misura precauzionale, e a informarli in modo chiaro e diretto circa le azioni intraprese dalla Società per rafforzare la sicurezza degli accessi” e, dall’altro, a suggerire ai clienti committenti di “procedere con una comunicazione agli utenti coinvolti, per invitarli ad aggiornare le proprie credenziali”, senza tuttavia metterli a conoscenza della violazione delle credenziali di autenticazione (username e password) degli utenti finali delle app white label. La Società ha inoltre dichiarato di aver attivato “un meccanismo che obbliga gli utenti al primo accesso utile, alla modifica della password precedentemente utilizzata”, senza prevedere ulteriori misure in caso di inerzia degli utenti finali.

Al riguardo, si osserva che tali misure non consentono di attenuare efficacemente le possibili conseguenze per le persone fisiche che potrebbero derivare dall’utilizzo delle credenziali di autenticazione oggetto di esfiltrazione. Tali credenziali, infatti, potrebbero essere utilizzate per accedere illecitamente all’app MooneyGo e alle app white label gestite dalla Società, con la conseguente possibilità di consultare o acquisire dati personali degli interessati.

Alla luce di quanto sopra esposto, si ritiene che le misure adottate dalla Società a seguito della violazione dei dati personali, in qualità sia di titolare che di responsabile (o sub responsabile) del trattamento, non siano adeguate in quanto non consentono di attenuare i possibili effetti negativi della violazione. Per tali ragioni, la condotta sopra descritta pone in essere una violazione dell’art. 32 del Regolamento.

RITENUTO

Alla luce dell’esame delle circostanze portate all’attenzione dell’Autorità e delle considerazioni svolte, si ravvisano la necessità e l’urgenza di ingiungere alla Società, ai sensi degli artt. 34, par. 4, e 58, par. 2, lett. e), nonché dell’art. 58, par. 2, lett. d), del Regolamento, di adempiere:

a) gli obblighi informativi di cui all’art. 34 del Regolamento, comunicando la violazione dei dati personali in esame agli utenti finali dell’app MooneyGo in modo adeguato:

1) nel contenuto, descrivendo con un linguaggio semplice e chiaro la natura e le possibili conseguenze della violazione, nonché fornendo indicazioni specifiche sulle misure che gli stessi interessati possono adottare per proteggersi da eventuali conseguenze negative della violazione, quale quella di non utilizzare più la password compromessa né una simile nonché di modificare la password utilizzata per l'accesso ad altri sistemi informatici o servizi online qualora coincidente o simile a quella oggetto di violazione;

2) nelle modalità, utilizzando più canali di comunicazione al fine di massimizzare la possibilità di informare tutti gli interessati coinvolti, quali, ad esempio, l'invio di un messaggio all’indirizzo di posta elettronica, l’invio di una notifica push e la pubblicazione di un avviso all’interno dell’app MooneyGo;

b) gli obblighi informativi di cui all’art. 33, par. 2, del Regolamento, comunicando adeguatamente la violazione dei dati personali in esame ai clienti committenti coinvolti, fornendo informazioni di dettaglio sulla violazione dei dati personali, con l’indicazione esatta e puntuale delle tipologie di dati personali oggetto di violazione, delle misure tecniche di protezione adottate al momento della violazione, del numero degli interessati coinvolti, nonché di ulteriori informazioni necessarie per l’adempimento, da parte dei titolari del trattamento, degli obblighi di cui agli artt. 33 e 34 del Regolamento;

c) gli obblighi di sicurezza di cui all’art. 32 del Regolamento, adottando adeguate misure per attenuare i possibili effetti negativi della violazione dei dati personali in esame, imponendo la modifica delle password oggetto di violazione e, in caso di inerzia degli utenti finali, inibendone l’utilizzo per l’accesso all’app MooneyGo e alle app white label coinvolte nella violazione.

Si ritiene, pertanto, necessario disporre – senza la previa notifica di cui all’art. 166, comma 5, del Codice, in relazione alla violazione degli artt. 32, 33, par. 2, e 34 del Regolamento, essendo tale notifica incompatibile con la natura e le finalità del presente provvedimento, tenuto conto che l’assenza di un’adeguata comunicazione della violazione dei dati personali agli interessati e ai titolari del trattamento e la mancata adozione delle predette misure di sicurezza arrecano un effettivo, concreto, attuale e rilevante pregiudizio agli interessati coinvolti, in quanto le credenziali di autenticazione oggetto di violazione potrebbero essere sfruttate da soggetti non autorizzati per accedere illecitamente a sistemi informatici o servizi online – che:

a) la comunicazione della violazione dei dati personali agli utenti finali dell’app MooneyGo coinvolti sia effettuata senza ritardo e comunque entro dieci giorni dalla data di ricezione del presente provvedimento;

b) la comunicazione della violazione dei dati personali ai clienti committenti coinvolti sia effettuata senza ritardo e comunque entro sette giorni dalla data di ricezione del presente provvedimento;

c) le misure di sicurezza per attenuare i possibili effetti negativi della violazione dei dati personali siano adottate senza ritardo e comunque entro venti giorni dalla data di ricezione del presente provvedimento.

Tutto ciò, con riserva di ogni altra determinazione, anche sanzionatoria, all’esito della definizione dell’istruttoria avviata sul caso.

Si ricorda che, ai sensi dell’art. 83, par. 6, del Regolamento, “l'inosservanza di un ordine da parte dell’autorità di controllo ai sensi dell'articolo 58, paragrafo 2, è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore”.

Si rammenta, inoltre, che la Società, in qualità di responsabile (o sub responsabile) del trattamento, è chiamata ad assistere i titolari coinvolti nella violazione dei dati personali nell’adempimento degli obblighi di cui agli artt. 33 e 34 del Regolamento, e, in particolare, a:

fornire ai titolari elementi utili e completi ai fini dell’effettiva e corretta valutazione, da parte degli stessi, del rischio per i diritti e le libertà delle persone fisiche derivante dalla violazione dei dati personali (ad esempio, evidenziando che, nel contesto in esame, sussiste un rischio elevato in ragione, in particolare, della gravità e della persistenza delle possibili conseguenze che potrebbero derivare dall’utilizzo illecito dei dati oggetto di violazione, che includono password non adeguatamente protette e, in alcuni casi, copie per immagine di documenti di identità o attestazioni ISEE);

prestare collaborazione ai titolari ai fini della comunicazione della violazione dei dati personali agli utenti finali delle app white label (ad esempio, mettendo a disposizione dei titolari l’elenco degli interessati coinvolti e dei relativi dati di contatto, nonché effettuando, ove richiesto dai titolari, l’invio delle comunicazioni agli interessati mediante gli strumenti tecnologici nella disponibilità della Società).

Si ritiene, altresì, necessario ingiungere alla Società, ai sensi degli artt. 58, par. 1, lett. a), del Regolamento e 157 del Codice, di fornire all’Autorità, senza ritardo e comunque entro trenta giorni dalla data di ricezione del presente provvedimento, un riscontro adeguatamente documentato in merito alle iniziative intraprese al fine di comunicare la violazione dei dati personali agli interessati e ai titolari del trattamento coinvolti e di attenuarne i possibili effetti negativi.

Si ricorda che, ai sensi dell’art. 166, comma 2, del Codice, la violazione dell’art. 157 del medesimo Codice è soggetta all’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

Si ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO, IL GARANTE

1) ai sensi degli artt. 34, par. 4, e 58, par. 2, lett. e), del Regolamento, ingiunge a myCicero S.r.l. (C.F./P.I. 02770200422) di comunicare, senza ritardo e comunque entro dieci giorni dalla data di ricezione del presente provvedimento, la violazione dei dati personali in esame agli utenti finali dell’app MooneyGo, nei termini di cui in premessa;

2) ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, ingiunge a myCicero S.r.l. di adempiere gli obblighi informativi di cui all’art. 33, par. 2, del medesimo Regolamento, comunicando, senza ritardo e comunque entro sette giorni dalla data di ricezione del presente provvedimento, la violazione dei dati personali in esame ai clienti committenti coinvolti, nei termini di cui in premessa;

3) ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, ingiunge a myCicero S.r.l. di adempiere gli obblighi di sicurezza di cui all’art. 32 del medesimo Regolamento, adottando, senza ritardo e comunque entro venti giorni dalla data di ricezione del presente provvedimento, adeguate misure per attenuare i possibili effetti negativi della violazione dei dati personali in esame, nei termini di cui in premessa;

4) ai sensi degli artt. 58, par. 1, lett. a), del Regolamento e 157 del Codice, ingiunge a myCicero S.r.l. di fornire all’Autorità, senza ritardo e comunque entro trenta giorni dalla data di ricezione del presente provvedimento, un riscontro adeguatamente documentato in merito alle iniziative intraprese al fine di dare attuazione a quanto disposto ai punti 1), 2) e 3);

5) dispone l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento, delle violazioni e delle misure adottate in conformità all'art. 58, par. 2, del Regolamento.

Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso.

Roma, 4 agosto 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Fanizza