Gentile Cliente,
su specifica richiesta dell’Autorità Garante pervenutaci il 15 ottobre u.s., siamo a meglio specificare e a fornire ulteriori informazioni rispetto a quanto già comunicatoLe con il precedente invio del 22 agosto u.s. e con quanto già pubblicato nei siti myCicero e MooneyGo relativamente all’attacco informatico avvenuto tra il 29 e il 30 marzo 2025, nonché alla conseguente esfiltrazione di alcuni dati personali.
Le chiediamo di considerare questa comunicazione, pubblicata anche sugli altri canali informativi messi a disposizione (APP, siti web myCicero e MooneyGo), così da garantire piena trasparenza, come completa descrizione dei fatti accaduti.
Le scriviamo per fornire informazioni importanti relative alla sicurezza dei Suoi dati personali, ivi incluse le credenziali di accesso all’App myCicero / MooneyGo, di proprietà di myCicero s.r.l., e per indicare le azioni necessarie che deve mettere in atto qualora Lei non le avesse già intraprese.
La presente comunicazione è stata redatta in linguaggio semplice e chiaro, evitando tecnicismi, proprio per facilitare la lettura da parte di ogni utente.
Cosa è successo:
Tra il 29 e il 30 marzo 2025 i nostri sistemi hanno subito un sofisticato attacco informatico. Abbiamo immediatamente sporto formale denuncia alla Polizia Postale e attivato tutte le necessarie procedure di sicurezza, collaborando con le Autorità competenti, inclusa l’Agenzia per la Cybersicurezza Nazionale (ACN) e il Garante per la protezione dei dati personali.
Quali informazioni sono state coinvolte:
La violazione ha comportato l’esfiltrazione dei Suoi dati personali e ha riguardato anche i dati relativi ai servizi di mobilità eventualmente fruiti.
Dalle analisi condotte, è emerso che gli autori dell’attacco hanno esfiltrato dati personali a Lei riconducibili, propri del “Profilo Utente”:
- Nome, cognome, indirizzo e-mail e numero di telefono;
- Eventuale Codice Fiscale o Partita IVA, se da Lei forniti;
- Le credenziali di autenticazione (username e password, sotto forma di stringa di testo «hashed», detta anche «digest hashed» della password).
Sono stati altresì esfiltrati, inoltre, i dati relativi ai Suoi titoli di mobilità eventualmente acquistati e i dati personali ad essi correlati. A seconda del titolo di mobilità, tali dati sono relativi al servizio:
- “Sosta”: targhe, zone tariffarie in cui sono avvenute le soste, date e orari di inizio e di fine sosta, posizione geografica delle soste. Si precisa che le posizioni geografiche delle soste sono visibili soltanto per le soste effettuate nelle 64 ore precedenti al 29 marzo 2025, perché quelle precedenti sono anonimizzate e quelle successive non sono state oggetto di esfiltrazione.
- “Sharing”: data e ora inizio e fine noleggio, importo pagato, punto di inizio e fine della corsa, compagnia utilizzata;
- “Taxi”: data e ora inizio e fine corsa, luogo di partenza e arrivo, importo pagato, compagnia utilizzata e sigla taxi;
- “Biglietti TPL”: data acquisto, importo pagato, zona tariffaria, tipologia e data validità del titolo;
- “Abbonamenti TPL”: data inizio e fine validità, zona tariffaria, importo pagato, tipologia titolo acquistato;
- “Biglietti GT:” data e ora del viaggio, luogo di partenza e arrivo, importo pagato, nomi di eventuali altri passeggeri.
Non sono stati coinvolti i dati relativi a carte di credito o altri strumenti di pagamento.
Qualora desiderasse ulteriori informazioni tecniche relative all’algoritmo utilizzato per hashare le password, nonché chiarimenti sulle risorse necessarie alla relativa decodifica, restiamo a disposizione per qualsiasi necessità di approfondimento agli indirizzi indicati in calce alla presente.
Quali sono i potenziali rischi?
La divulgazione di queste informazioni potrebbe esporla a rischi quali la ricezione di e-mail o messaggi di spam e tentativi di truffa (phishing). Inoltre, se utilizzava o utilizza tuttora la stessa password o una simile per altri servizi online, esiste il rischio che soggetti non autorizzati possano tentare di accedere anche a tali servizi e alle informazioni ivi ospitate.
Più precisamente, la seguente tabella collega ogni tipo di dato sottratto a un esempio di rischio concreto. Questo Le permetterà di comprendere meglio la Sua personale esposizione e di agire di conseguenza.
| Categoria di Dati |
Dati Specifici Sottratti |
Esempio di Rischio Concreto Associato |
| Dati del Profilo e Contatti |
Solo se registrati in APP prima del 29 marzo 2025.
Nome, cognome, indirizzo e-mail, numero di telefono, ed eventuale Codice Fiscale o Partita IVA da Lei forniti. |
Ricezione di e-mail o SMS di phishing molto credibili (truffe informatiche), tentativi di furto d’identità o di iscrizione a servizi non richiesti. |
| Credenziali di Autenticazione |
Solo se in uso prima del 29 marzo 2025.
Username e password, sotto forma di stringa di testo «hashed», detta anche «digest hashed» della password. |
Decifrazione della password e accesso non autorizzato.
In caso di uso della stessa password per altri servizi (e-mail, social media, altro), anche quegli account sono a rischio di accesso non autorizzato. |
| Dati di Sosta e Parcheggio |
Solo se utilizzato il servizio prima del 29 marzo 2025.
Targa del veicolo, date, orari, zone tariffarie delle soste e, in alcuni casi, la posizione geografica delle soste qualora attivo il GPS (e comunque visibili soltanto per le soste effettuate nelle 64 ore precedenti al 29 marzo 2025). |
Ricostruzione delle abitudini e dei luoghi frequentati (luogo di lavoro e di residenza, centri di interesse, scuole, ospedali etc.). |
| Dati di Viaggio e Mobilità |
Solo se utilizzato il servizio prima del 29 marzo 2025.
Biglietti e abbonamenti per il trasporto pubblico (bus, treni locali), viaggi a lunga percorrenza (GT) e corse in taxi, includendo date, orari, luoghi di partenza e arrivo, importi pagati ed eventuali nomi di altri passeggeri. |
Conoscenza degli spostamenti, che può rivelare informazioni sullo stile di vita. |
Cosa abbiamo fatto?
Abbiamo già implementato un articolato piano di rafforzamento di tutte le nostre infrastrutture di sicurezza per proteggere i Suoi dati. Abbiamo inoltre revisionato e rafforzato le nostre misure tecniche, compreso il miglioramento degli algoritmi di crittografia e l’implementazione di monitoraggi più avanzati per prevenire accessi non autorizzati in futuro. Inoltre, in data 01 ottobre 2025 abbiamo provveduto a cancellare definitivamente dai nostri sistemi la Sua password di accesso all’App myCicero / MooneyGo, qualora la stessa non fosse da Lei stata già modificata dal 29 marzo 2025 in poi. Tale procedura si è resa necessaria per:
- facilitare la migrazione ad algoritmo più evoluto;
- forzare l’intera utenza dell’App myCicero / MooneyGo a modificare la password.
Cosa deve fare Lei ora per la sicurezza dei Suoi dati?
In considerazione delle informazioni sopra riportate, qualora Lei utilizzasse la stessa password o una simile per altri servizi online, La invitiamo a provvedere immediatamente al suo aggiornamento su tali piattaforme qualora non avesse già provveduto.
Cosa può fare Lei in futuro per migliorare la sicurezza dei Suoi dati?
La invitiamo a scegliere sempre password più complesse possibili, caratterizzate da simboli, numeri, lettere maiuscole e minuscole, di lunghezza particolarmente elevata. Tali password non dovrebbero coincidere con parole e termini noti, e non dovrebbero contenere elementi a Lei riconducibili (si pensi a password contenenti il suo nome e cognome associati alla sua data di nascita). Le suggeriamo altresì di modificare periodicamente le password utilizzate.
In termini generali, si raccomanda di attivare l’autenticazione a più fattori sull’account di posta elettronica collegato alla sua utenza, ove possibile. In presenza di comunicazioni che richiamano la presunta violazione, occorre mantenere la massima prudenza: verificare con cura l’identità del mittente di e-mail e SMS e non fornire mai dati personali in risposta a messaggi inattesi.
Per ridurre i rischi connessi ai dati di viaggio e spostamento potenzialmente esposti, Le suggeriamo di prestare particolare attenzione a possibili tentativi di phishing o ingegneria sociale. Ad esempio, un malintenzionato potrebbe contattarla citando tratte, orari o importi reali per apparire credibile e indurla a condividere informazioni. In tali casi, mantenga la massima diffidenza, non fornisca mai password, codici o dati di pagamento via e-mail o SMS e verifichi l’autenticità di qualsiasi richiesta solo attraverso canali ufficiali reperiti autonomamente (sito o numero dell’operatore).
La informiamo, inoltre, che la nostra Società non effettua contatti telefonici per richiedere o farLe confermare questo tipo di informazioni.
A chi ti puoi rivolgere per avere maggiori informazioni?
Per ogni ulteriore informazione in merito ad ogni aspetto di questa vicenda, può contattare il nostro servizio di assistenza specifica ai seguenti indirizzi: incidentresponse@mycicero.it
Il nostro DPO può essere contattato all’indirizzo e-mail: s.vecchi@saev.biz
