[doc. web n. 10193065]

Provvedimento del 4 agosto 2025

Registro dei provvedimenti
n. 472 del 4 agosto 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti, e il cons. Angelo Fanizza, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il decreto legislativo 30 giugno 2003, n. 196, recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE”, così come modificato dal decreto legislativo 10 agosto 2018, n. 101 (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Pasquale Stanzione;

PREMESSO

1. La violazione dei dati personali notificata all’Autorità

In data 3 aprile 2025 PluService S.r.l. (di seguito “Società” o “PluService”) ha notificato all’Autorità, ai sensi dell’art. 33 del Regolamento, una violazione dei dati personali che ha comportato la perdita di riservatezza dei dati personali trattati e la temporanea indisponibilità di alcuni sistemi di trattamento.

In particolare, è stata trasmessa all’Autorità una relazione tecnica dell’incidente di sicurezza che ha determinato la violazione dei dati personali, nella quale viene evidenziato che:

“dal 23 al 28 marzo sono stati rilevati alcuni tentativi di accesso nei server di Pluservice srl, tempestivamente gestiti e bloccati dai sistemi di sicurezza aziendali”;

“nei giorni 29 e 30 marzo il responsabile IT Pluservice ha rilevato ulteriori attività sospette anche sui Server del nostro fornitore Wiit, per cui ha elevato i sistemi di sicurezza, attivando prima il SOC di Wiit, poi il SOC di Cybertech”;

“alle ore 11:50 [del 31 marzo] è stato contattato il DPO […] informandolo dell’indisponibilità dei sistemi avvenuta il giorno precedente e contestualmente è stato convocato telefonicamente il Gruppo di Risposta alle Violazioni dei Dati; nel corso della riunione Il DPO ha dato disposizione di effettuare la annotazione sul registro interno delle Data Breach e l’avvio immediato delle indagini necessarie per verificare se ci fosse stata una intrusione reale da parte di terzi con compromissione dei dati personali all’interno dei vari DB al fine di verificare la necessità di effettuare la comunicazione al Garante per la protezione dei dati personali nonché ogni eventuale comunicazione ai clienti titolari dei trattamenti, e definire se fossero stati o meno compromessi i dati personali, con un impatto sui diritti fondamentali degli interessati stessi al fine di una comunicazione diretta agli interessati stessi”;

“intorno alle ore 15:00 [del 1° aprile] il Responsabile IT è stato contattato da Cybertech, la quale ha dato evidenza dell’avvenuto Data Breach sui database server di produzione del Data Center Wiit, relativi ai servizi myCicero e ambiente ATM. Cybertech ha rilevato il cloud remoto usato per copiare i dati”;

“alle ore 15:30 [del 1° aprile] è stata organizzata prontamente una riunione del Gruppo di Risposta alle Violazioni dei Dati coadiuvato dai consulenti esterni per portare tutti a conoscenza delle novità e definire le azioni da compiere. Durante la riunione il DPO ha immediatamente comunicato di effettuare una comunicazione ai titolari del trattamento per consentire loro di notificare la breccia all’Autorità Garante. richiedendo altresì una indagine più approfondita con particolare riferimento alle categorie di dati personali”;

“alle ore 18:47 [del 1° aprile] Cybertech procede al download dei dati dal cloud remoto usato dall’attaccante per l’esfiltrazione dei dati per attività forensi e successiva cancellazione”;

“l’area interessata ha riguardato un insieme di DB ospitati nei Server di Pluservice dislocati presso la propria sede di Senigallia (sui server di Senigallia non vi è evidenza di una esfiltrazione di dati personali) e presso il Cloud WIIT dove sono presenti dati di cui Pluservice si configura sia come titolare del trattamento che come responsabile. A tal riguardo si specifica che i dati di cui Pluservice si configura come titolare sono presumibilmente quelli dei propri dipendenti […] contenuti nei server di Senigallia, ed è responsabile del trattamento dei dati delle società myCicero e Mooney Servizi sui dati contenuti nei server WIIT”.

Con le successive notifiche integrative del 4 aprile e del 9 maggio 2025, PluService ha fornito ulteriori informazioni sulla violazione dei dati personali rappresentando, fra l’altro, che:

la violazione ha coinvolto i dati personali di circa 160 interessati, trattati da PluService in qualità di titolare del trattamento;

“a seguito dell’attivazione del servizio di analisi forense e risposta all’incidente, affidato alla società Cybertech, si è conclusa una prima fase dell’attività investigativa tecnica sull’incidente informatico rilevato nel corso di fine marzo 2025”;

“l’attività investigativa ha consentito di identificare alcuni asset oggetto di esfiltrazione malevola e non autorizzata. Tali asset si riferiscono a copie di backup temporanee (non cifrate) attivate al fine di analisi relative ad attività di aggiornamento dei servizi a supporto dell’APP. L’analisi tecnica ha confermato che su tali sistemi risiedevano archivi contenenti dati personali di soggetti terzi, tra cui, a seconda dei clienti, dati identificativi univoci, anagrafiche, recapiti, cronologie di accesso ai servizi digitali e metadata di attività. In particolare, si evidenzia che i database di produzione non sono stati oggetto di compromissione”.

2. L’attività istruttoria condotta dall’Ufficio

In data 11 aprile 2025 l’Ufficio ha rivolto a PluService una richiesta di informazioni, ai sensi dell’art. 157 del Codice, al fine di acquisire ulteriori elementi sulla natura e la portata della violazione dei dati personali, con particolare riferimento a:

a) i titolari del trattamento coinvolti nella violazione dei dati personali, con l’indicazione, per ciascuno di essi, del numero di interessati coinvolti nella violazione dei dati personali e degli strumenti tramite i quali sono resi i servizi;

b) i responsabili del trattamento coinvolti nella violazione dei dati personali;

c) le tipologie di dati personali trattati nell’ambito di ciascuna tipologia di servizio gestito per conto dei titolari, specificando l’eventuale coinvolgimento di copie per immagine di documenti d’identità e di credenziali di autenticazione (username e password) e, se del caso, le misure tecniche utilizzate per proteggere le password degli utenti;

d) le iniziative adottate per informare, ai sensi dell’art. 33, par. 2, del Regolamento, i titolari del trattamento coinvolti.

Con nota del 18 aprile 2025, PluService ha fornito riscontro alla citata richiesta di informazioni, rappresentando, in particolare, che:

“Pluservice nasce nel 1988 come software house per lo sviluppo di software per l’automazione dei processi di un’azienda di trasporto passeggeri. […] Nel 2011, anticipando le esigenze poi evidenziate dal paradigma MaaS (mobility as a service) Pluservice varava un progetto, myCicero, con la missione di integrare in un’unica piattaforma l’offerta di tutti i fornitori di servizi di trasporto, per renderli fruibili all’utente con un’esperienza di acquisto digitale che prescindesse dal servizio di mobilità offerto: il successo dell’iniziativa portava nel 2017 alla costituzione di una newco, myCicero srl, come spin-off delle attività che avevano realizzato l’omonima app che integra operatori di mobilità differenti e che accompagna l’utente in tutte le fasi del suo viaggio, dalla ricerca e comparazione delle migliori soluzioni multimodali per raggiungere la destinazione desiderata, alla prenotazione e acquisto dei servizi con un unico strumento”;

con riferimento ai prodotti di PluService, “le principali soluzioni sviluppate da Pluservice [includono] Soluzioni di ticketing [… ,] Gestione della manutenzione e asset aziendali [… ,] Sistemi di pianificazione del trasporto e ottimizzazione [… ,] Soluzioni per la contabilità e la gestione del personale [… e] Soluzioni di Mobility as a Service (MaaS)”;

con riferimento, invece, ai prodotti di myCicero S.r.l. (di seguito “myCicero”), “MyCicero, nata come piattaforma di Pluservice e divenuta nel 2017 spin-off della stessa Pluservice, ha acquisito un ruolo di primo piano nel settore della mobilità, consolidando il suo ruolo di piattaforma integrata di servizi. […]”;

“per quanto riguarda la fattispecie in esame, dal punto di vista tecnico organizzativo, la società MyCicero si avvale di Pluservice come fornitore di alcuni moduli software integrati all’interno della Piattaforma MyCicero oltre dei che servizi di hosting. Con il contratto stipulato da MyCicero con (a titolo esemplificativo e non esaustivo) le Aziende di Trasporto o i Gestori della Sosta (c.d. “Operatori di Mobilità”), queste ultime fanno ingresso nella “Piattaforma MyCicero”, e cioè nell’insieme di applicazioni informatiche in grado di rendere disponibili ai sistemi di vendita ad essa connessi, i servizi evoluti sopra descritti per la ricerca di informazioni sui servizi di mobilità e l’acquisto di c.d. “Titoli di Mobilità” (biglietti dell’autobus o permessi di sosta), interfacciandosi direttamente con i vari operatori di mobilità ad essa aderenti”;

“le evidenze tecniche sino ad ora acquisite nel corso delle analisi forensi, sia attraverso i log di telemetria EDR che tramite la ricostruzione della kill-chain MITRE ATT&CK, hanno consentito di ricondurre l’attacco oggetto di indagine alle TTP (Tactics, Techniques and Procedures) del gruppo ransomware PLAY, come confermato anche dai sistemi di rilevamento automatico […]. Sebbene non sia possibile attribuire con assoluta certezza l’identità dell’attore responsabile, la natura strutturata dell’attacco, la sua persistenza, l’utilizzo di strumenti di esfiltrazione cifrata […], e la finalizzazione del movimento laterale su asset contenenti dati personali, suggeriscono un'origine riconducibile ad attori APT (Advanced Persistent Threat) con capacità operative evolute”;

“l’architettura dei database che sottende il funzionamento della piattaforma è caratterizzata da una forte eterogeneità strutturale e logica, dovuta a una stratificazione evolutiva di componenti applicative sviluppate in momenti diversi e per finalità distinte separate. Il sistema si articola su oltre sette database […] logicamente autonomi, ciascuno dei quali conserva insiemi di dati eterogenei, spesso correlati a una specifica funzionalità o modulo applicativo. In tale contesto, non esiste una chiave primaria univoca o un sistema di normalizzazione globale in grado di identificare in modo diretto e immediato un record utente trasversalmente a tutti i database. L’unica possibilità concreta di effettuare una correlazione tra record distribuiti sui diversi database risiede nella costruzione di un meccanismo di matching euristico, basato su attributi comuni minimi – nello specifico nome, cognome, indirizzo e-mail e numero di telefono – che risultano essere contenuti in un’unica tabella aggregata, l’unica caratterizzata da alta densità informativa. Tuttavia, ulteriori informazioni personali eventualmente raccolte e trattate (es. dati di viaggio, identificativi tecnici o informazioni geolocalizzate) non sono centralizzate, ma frammentate e dislocate all’interno degli altri database, in tabelle che non sempre seguono sistemi logico convenzionali che possono essere intuiti con facilità. […] Ne consegue che, per ottenere una panoramica coerente e completa dei dati riferibili a un singolo utente, sarebbe necessario procedere a una re-ingegnerizzazione dell’intero sistema, attraverso attività di reverse engineering strutturale, mappatura delle entità e costruzione di un data model federato capace di astrarre, confrontare ed unire i contenuti informativi provenienti dalle diverse basi dati. […] Tale misura può essere qualificata come misura di sicurezza ad effetto pseudonimizzante”;

“nel corso delle attività di analisi tecnica successive all’incidente, è emersa la presenza di copie di database oggetto di trattamento temporaneamente non cifrati, circostanza motivata dalla necessità di consentire all’amministratore di sistema una verifica sistemica a seguito di un aggiornamento strutturale e funzionale, finalizzato alla normalizzazione di alcune tabelle e all’ottimizzazione della compatibilità con nuovi ambienti applicativi, intervento altresì dettato dalla nuova ricollocazione dei sistemi”;

“a seguito dell’attivazione del servizio di analisi forense e risposta all’incidente, affidato […] alla società Cybertech, si è conclusa una prima fase dell’attività investigativa tecnica relativamente a quanto accorso. Tale attività ha permesso di definire un piano volto ad una prima implementazione di misure di sicurezza, finalizzate ad elevare il livello di security. […] Le attività di risposta e contenimento hanno permesso di stabilizzare l’infrastruttura e circoscrivere l’ambito della compromissione. Pluservice ha avviato un processo di rafforzamento strutturale della propria postura di sicurezza, in coerenza con il principio di accountability previsto dalla normativa vigente”;

“Pluservice ha informato immediatamente tutti i titolari del trattamento coinvolti, ivi compresa la società MyCicero di quanto [… occorso], rendendosi disponibile al supporto operativo. MyCicero, entro due ore dal ricevimento della comunicazione, ha attivato un proprio Gruppo di Risposta alle Violazioni dei Dati […], il quale ha richiesto a Pluservice maggiori dettagli in merito a quanto accaduto. […] È stata dunque la società MyCicero, responsabile del trattamento per conto di diversi titolari e titolare autonomo di alcuni servizi ad informare tempestivamente, nei termini di legge, tutte le società coinvolte mediante l’invio di una specifica PEC contenente una breve relazione tecnica nonché tutte le informazioni necessarie al fine di consentire ad ogni singola società coinvolta di valutare se fosse o meno necessario procedere con la notifica presso l’Autorità Garante, nonché, nei termini di legge, informare direttamente gli interessati. MyCicero, inoltre, al fine della massima trasparenza, ha proceduto altresì alla pubblicazione di uno specifico comunicato […]. All’interno dell’informativa data ai propri clienti, la società MyCicero dava contezza di aver allestito un punto di contatto specifico per i titolari, mediante l’istituzione di una specifica e-mail e di un numero di telefono riservato alla richiesta di ulteriori informazioni. Nei giorni successivi, numerosi titolari del trattamento prendevano contatto con la società MyCicero richiedendo informazioni sia in forma orale che in forma scritta, e richiedendo in taluni casi degli approfondimenti mediante specifiche riunioni a distanza. Molto spesso veniva richiesto alla società MyCicero contezza in merito alle misure di sicurezza adottate […]. A tali riunioni presenziavano gli avvocati (con significative esperienze in privacy) di MyCicero, nonché il DPO della società. In taluni casi, gli avvocati si rendevano disponibili anche a supportare i titolari nella procedura di notifica presso l’Autorità Garante. All’interno di questo processo Pluservice offriva il proprio supporto operativo, in conformità agli accordi intercompany in essere”;

“i dati personali esfiltrati erano custoditi sui server di WIIT [S.p.a.]”.

3. Gli accertamenti ispettivi svolti nei confronti di PluService

Tenuto conto dell’elevato numero di interessati e di titolari coinvolti e delle categorie di dati oggetto di violazione, l’Autorità ha ritenuto necessario effettuare ulteriori approfondimenti al fine di verificare l’osservanza delle disposizioni in materia di protezione dei dati personali, mediante l’esecuzione di accertamenti ispettivi, ai sensi dell’art. 58, par. 1, lett. a), e) e f), del Regolamento e degli artt. 157 e 158 del Codice, nei confronti di PluService e di myCicero. In particolare, nel corso degli accertamenti ispettivi svolti nei confronti di PluService nelle giornate del 3, 4 e 5 giugno 2025 è emerso che:

“PluService si occupa della progettazione, sviluppo e rivendita di sistemi gestionali per la bigliettazione elettronica, nonché della fornitura di servizi di pagamento e delle infrastrutture tecnologiche nell’ambito dei servizi offerti da myCicero o da clienti di quest’ultima; in particolare, per la fornitura dei servizi infrastrutturali PluService si avvale del fornitore esterno WIIT S.p.a.” (v. verbale del 3 giugno 2025, pag. 3);

PluService “ha affidato a Cybertech S.r.l. (di seguito “Cybertech”) l’esecuzione di attività di analisi dell’incidente che ha coinvolto le infrastrutture tecnologiche della Società ospitate presso la sede legale […di PluService] e il data center di WIIT”, fornendo “copia dell’incident report datato 13 maggio 2025 […], in cui sono elencati i sistemi informatici (macchine fisiche/virtuali) coinvolti e sono descritte le modalità, il punto di origine e le tempistiche con le quali è avvenuto l’attacco informatico” (v. verbale del 3 giugno 2025, pag. 3 e all. 2);

“l’accesso iniziale degli autori dell’attacco informatico è avvenuto sfruttando una vulnerabilità del server con hostname “XX” ospitato presso la sede legale di PluService; successivamente, attraverso una serie di movimenti laterali, gli autori dell’attacco sono riusciti ad esfiltrare una parte dei dati presenti nei server con hostname “XX”, “XX” e “XX” appartenenti al data center di WIIT (interconnesso con la sede legale di PluService con una VPN site-to-site). In particolare, al momento dell’attacco informatico, erano in corso alcune attività di tuning dei predetti sistemi informatici utilizzati per erogare servizi ad alcuni clienti […], nell’ambito delle quali erano state effettuate copie di backup (non protette da crittografia) dei dati presenti nei database da utilizzare in caso di eventuali malfunzionamenti. Nel corso delle attività di analisi svolte a seguito dell’attacco informatico, Cybertech ha individuato un bucket esterno (XX) nel quale erano memorizzati i dati esfiltrati, direttamente dal cloud di WIIT. […] nessuna esfiltrazione è avvenuta direttamente dai dispositivi della sede legale di PluService. Cybertech, su richiesta di PluService, ha acquisito l’elenco dei file presenti nel citato bucket e, successivamente, ha provveduto a cancellare tali dati” (v. verbale del 3 giugno 2025, pagg. 3 e 4);

PluService ha fornito “tre elenchi di file presenti nel bucket esterno nel quale erano memorizzati i dati esfiltrati nel corso dell’attacco informatico”, rappresentando che tali file si riferiscono a copie di backup – effettuate negli anni 2024 e 2025 – di diversi database, tra i quali il database ““XX”, relativo all’applicativo di backoffice messo a disposizione dei clienti committenti per l’emissione o la verifica di titoli di viaggio o abbonamenti TPL (es. dati relativi a operatori dei clienti committenti e al profilo di autorizzazione ad essi attribuito) (v. verbale del 4 giugno 2025, pag. 4);

in particolare, accedendo ad alcuni dei predetti database, è stato constatato che “la tabella “XX” del database XX, ospitato nel server “XX”, contiene dati personali (es. username, password sotto forma di digest, e-mail, nome e cognome) relativi a operatori di clienti committenti abilitati a utilizzare l’applicativo di backoffice per l’emissione o la verifica di titoli di viaggio o abbonamenti TPL” (v. verbale del 4 giugno 2025, pag. 5);

“PluService sta valutando di adottare talune iniziative al fine di informare i titolari del trattamento coinvolti nella violazione dei dati personali (contenuto e modalità della comunicazione in corso di definizione), nonché di offrire supporto agli stessi titolari per obbligare gli operatori a modificare la propria password. Tale ultima iniziativa consentirà a PluService di memorizzare la nuova password degli operatori sotto forma di digest calcolato con un algoritmo di password hashing allo stato dell’arte” (v. verbale del 4 giugno 2025, pag. 5);

con riferimento ai dati memorizzati nel database “XX”:

“le password di alcuni operatori sono conservate sotto forma di digest calcolato con l’algoritmo BCRYPT2A (previa applicazione di un salt di 16 bit variabile), mentre le password di altri operatori sono forma di digest calcolato con la funzione SHA-256 (senza applicazione di un salt)” (v. verbale del 5 giugno 2025, pag. 2);

PluService ha fornito un prospetto recante il numero di password di operatori di clienti committenti abilitati a utilizzare l’applicativo di backoffice per l’emissione o la verifica di titoli di viaggio o abbonamenti del trasporto pubblico locale, che erano conservate nei sistemi oggetto di violazione sotto forma di digest calcolato con la funzione di hashing SHA-256 (circa 1.600) oppure con la funzione di password hashing bcrypt2a (circa 3.600);

“il citato prospetto contiene al suo interno anche informazioni su utenze in uso agli operatori del customer care di myCicero (primo livello gestito dal fornitore esterno 4U Italia S.r.l. e secondo livello gestito da myCicero), nonché utenze in uso a dipendenti di RAI Radiotelevisione Italiana S.p.a. per l’accesso a un applicativo di car sharing (utilizzato per la prenotazione di auto aziendali)” (v. verbale del 5 giugno 2025, pag. 2).

In seguito, con nota del 30 giugno 2025, PluService ha trasmesso all’Autorità documentazione e informazioni oggetto di riserva nel corso degli accertamenti ispettivi svolti nelle giornate del 4 e 5 giugno 2025, rappresentando, in particolare, che:

“a seguito degli approfondimenti condotti in virtù di quanto emerso in sede ispettiva, è stata confermata la presenza effettiva di nomi e cognomi di impiegati dei clienti della Società, nonché dei relativi indirizzi e-mail istituzionali di contatto. Si tratta, in larga parte, di indirizzi e-mail già pubblicamente accessibili, o comunque conoscibili, relativi a soggetti incaricati di attività di controllo nell’ambito del trasporto pubblico” (pag. 2);

nella comunicazione inviata ai titolari del trattamento coinvolti nella violazione dei dati personali PluService ha evidenziato, fra l’altro, che “nell’ambito della breccia già segnalata, sono stati anche esfiltrati nome, cognome e indirizzo e-mail aziendale di alcuni vostri controllori di mobilità. Non sono state esfiltrate le relative password, che vi invitiamo comunque a cambiare periodicamente con nuove alfanumeriche complesse non riconducibili al controllore” (pag. 2).

4. Gli ulteriori approfondimenti svolti dall’Ufficio

In data 21 luglio 2025 l’Ufficio ha rivolto a PluService un’ulteriore richiesta di informazioni, ai sensi dell’art. 157 del Codice, al fine di acquisire chiarimenti e precisazioni in merito a quanto emerso nel corso degli accertamenti ispettivi e all’adempimento degli obblighi in materia di violazione dei dati personali.

Con nota del 28 luglio 2025, PluService ha fornito riscontro alla citata richiesta di informazioni, rappresentando, in particolare, che:

i titolari del trattamento coinvolti nella violazione dei dati personali sono Adriabus S.c. a r.l. (C.F./P.I. 02108480415), Autoguidovie S.p.a. (C.F. 00103400339 / P.I. 11907120155), KYMA Mobilità S.p.a. (C.F./P.I. 00146330733), ATAP S.p.a. (C.F./P.I. 00188590939), Busitalia Veneto S.p.a. (C.F./P.I. 04874020284), Fly Bus S.r.l. (C.F./P.I. 01903921201), Ente Autonomo Volturno S.r.l. (C.F./P.I. 00292210630), Mobilità di Marca S.p.a. (C.F./P.I. 04498000266), Start Romagna S.p.a. (C.F./P.I. 03836450407), Tirreno Azienda Mobilità S.r.l. (C.F./P.I. 04294421005), TPL Linea S.r.l. (C.F./P.I. 01556040093), Trasfer S.c. a r.l. (C.F./P.I. 01933270447), Tiemme S.p.a. (C.F./P.I. 02046440513) e RAI Radiotelevisione Italiana S.p.a. (C.F./P.I. 06382641006);

PluService ha trasmesso “le comunicazioni formali inviate [in data 30 giugno e 25 luglio 2025] ai titolari del trattamento coinvolti, redatte ai sensi dell’art. 33, par. 2, del Regolamento (UE) 2016/679, a seguito delle risultanze emerse nel corso delle attività ispettive svolte nei giorni 3, 4 e 5 giugno 2025 e successivi approfondimenti” (pag. 2).

OSSERVA

Nelle more dello svolgimento dell’istruttoria tuttora in corso, finalizzata ad approfondire quanto sopra illustrato e a definire le responsabilità in merito all’accaduto, risulta necessario valutare la conformità delle iniziative fin qui intraprese dalla Società a tutela dei diritti e delle libertà delle persone fisiche, con riferimento agli obblighi informativi nei confronti dei titolari del trattamento coinvolti nella violazione dei dati personali (art. 33, par. 2, del Regolamento), nonché agli obblighi di sicurezza in relazione alle misure adottate per attenuare i possibili effetti negativi della violazione (art. 32 del Regolamento).

Occorre, tuttavia, svolgere preliminarmente alcune considerazioni in merito al ruolo assunto dalla Società nei trattamenti dei dati personali oggetto di violazione.

5. Il ruolo assunto da PluService nei trattamenti di dati personali oggetto di violazione

Ai sensi dell’art. 4 del Regolamento il titolare del trattamento è “la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali” (punto 7), mentre il responsabile del trattamento è “la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento” (punto 8).

Le “Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR”, adottate dal Comitato europeo per la protezione dei dati il 7 luglio 2021, ricordano che “quando un soggetto determina chiaramente le finalità e i mezzi, affidando a un diverso soggetto attività di trattamento che consistono nell’esecuzione delle sue istruzioni dettagliate, la situazione è chiara e non vi sono dubbi che tale diverso soggetto debba essere considerato responsabile del trattamento, mentre il primo è il titolare del trattamento” (punto 38) e che la titolarità non è esclusa anche nel caso in cui vi siano ”[…] decisioni […] che possono essere lasciate a discrezione del responsabile del trattamento [… quali] i mezzi non essenziali [che] possono essere determinati anche dal responsabile del trattamento [… e che] riguardano aspetti più pratici legati all’esecuzione del trattamento, quali la scelta di un particolare tipo di hardware o di software o le misure di sicurezza specifiche in merito alle quali può decidere il responsabile del trattamento” (punti 39 e 40).

Nel corso dell’istruttoria, è emerso che PluService assume il ruolo di responsabile del trattamento in relazione ai dati personali degli operatori di clienti committenti abilitati a utilizzare un applicativo di backoffice per l’emissione o la verifica di titoli di viaggio o abbonamenti del trasporto pubblico locale ovvero un applicativo per la prenotazione di auto aziendali (di seguito “operatori”).

Alla luce di quanto sopra esposto, fatta salva qualsiasi ulteriore e diversa valutazione dell’Autorità in merito ai ruoli assunti dai diversi soggetti coinvolti nel trattamento, anche sulla base di ulteriori elementi che verranno acquisiti nell’istruttoria ancora in corso, si ritiene, in questa fase caratterizzata dalla necessità e dall’urgenza di adottare misure correttive a tutela dei diritti e delle libertà delle persone fisiche, di considerare PluService quale responsabile  per conto dei clienti committenti in relazione ai trattamenti di dati personali degli operatori.

6.  La comunicazione della violazione dei dati personali ai titolari del trattamento

Il Regolamento stabilisce che “il responsabile del trattamento informa il titolare del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza della violazione” (art. 33, par. 2) e che il contratto o altro atto giuridico che disciplina il trattamento da parte del responsabile del trattamento preveda che quest’ultimo “assista il titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile trattamento” (art. 28, par. 3, lett. f)).

Le “Linee guida 9/2022 sulla notifica delle violazioni dei dati personali ai sensi del regolamento generale sulla protezione dei dati (GDPR)”, adottate dal Comitato europeo per la protezione dei dati il 28 marzo 2023, chiariscono che “se il titolare del trattamento ricorre a un responsabile del trattamento e quest’ultimo viene a conoscenza di una violazione dei dati personali che sta trattando per conto del titolare del trattamento, il responsabile del trattamento deve notificarla al titolare del trattamento “senza ingiustificato ritardo” [… senza] valutare la probabilità di rischio derivante dalla violazione prima di notificarla al titolare del trattamento […]. Il responsabile del trattamento deve soltanto stabilire se si è verificata una violazione e quindi notificarla al titolare del trattamento [… per consentire a quest’ultimo] di far fronte alla violazione e di stabilire se deve notificarla all’autorità di controllo ai sensi dell’articolo 33, paragrafo 1, e alle persone fisiche interessate ai sensi dell’articolo 34, paragrafo 1”. Anche se “il regolamento non fissa un termine esplicito entro il quale il responsabile del trattamento deve avvertire il titolare del trattamento, salvo specificare che deve farlo “senza ingiustificato ritardo”” le predette Linee guida raccomandano al responsabile del trattamento di “effettuare la notifica al titolare del trattamento tempestivamente, fornendo successivamente le eventuali ulteriori informazioni sulla violazione di cui venga a conoscenza. Ciò è importante al fine di aiutare il titolare del trattamento a soddisfare l’obbligo di notifica all’autorità di controllo entro 72 ore” e specificano che “qualora fornisca servizi a più titolari del trattamento tutti interessati dal medesimo incidente, il responsabile del trattamento dovrà segnalare i dettagli dell’incidente a ciascun titolare del trattamento” (punti da 43 a 48);

Il Regolamento prevede, inoltre, che l’autorità di controllo ha il potere di “ingiungere al titolare del trattamento o al responsabile del trattamento di conformare i trattamenti alle disposizioni del […] regolamento, se del caso, in una determinata maniera ed entro un determinato termine” (art. 58, par. 2, lett. d)).

Nel caso in esame, la Società ha rappresentato di essere venuta a conoscenza della violazione dei dati personali in data 4 giugno 2025 nel momento in cui, durante gli accertamenti ispettivi dell’Autorità, è stato accertato che “la tabella “XX” del database “XX” […], ospitato nel server “XX”, contiene dati personali (es. username, password sotto forma di digest, e-mail, nome e cognome) relativi a operatori di clienti committenti abilitati a utilizzare l’applicativo di backoffice per l’emissione o la verifica di titoli di viaggio o abbonamenti TPL” e a “dipendenti di RAI Radiotelevisione Italiana S.p.a. [… abilitati a utilizzare] un applicativo di car sharing (utilizzato per la prenotazione di auto aziendali)”.

In data 30 giugno e 25 luglio 2025, la Società ha trasmesso ai titolari del trattamento coinvolti nella violazione una comunicazione nella quale è stato rappresentato che “nell’ambito della breccia già segnalata, sono stati anche esfiltrati nome, cognome e indirizzo e-mail aziendale di alcuni vostri controllori di mobilità”, evidenziando che “non sono state esfiltrate le relative password, che vi invitiamo comunque a cambiare periodicamente con nuove alfanumeriche complesse non riconducibili al controllore”.

Al riguardo, si rileva che, nelle predette comunicazioni inviate ai titolari del trattamento, la Società:

non ha indicato, tra i dati personali oggetto di violazione, le credenziali di autenticazione (username e password sotto forma di digest) degli operatori (al contrario, vengono fornite rassicurazioni sul fatto che “non sono state esfiltrate le relative password”);

non ha fornito informazioni sulle misure tecniche che erano adottate per proteggere le password degli operatori (che, in caso di utilizzo della funzione di hashing SHA-256, risultano deboli e, pertanto, inefficaci);

non ha fornito informazioni di dettaglio in merito ai sistemi di trattamento ai quali le predette credenziali di autenticazione (username e password) consentivano l’accesso;

non ha fornito informazioni sul numero di interessati coinvolti dalla violazione;

ha fornito indicazioni fuorvianti in merito ai rischi per i diritti e le libertà delle persone fisiche presentati dalla violazione dei dati personali – la cui valutazione spetta peraltro unicamente al titolare del trattamento sulla base degli elementi complessivamente acquisiti – che non tengono conto degli orientamenti dell’Autorità che, in casi analoghi, ha evidenziato la sussistenza di un rischio elevato per i diritti e le libertà delle persone fisiche in ragione della gravità e della persistenza delle possibili conseguenze che potrebbero derivare dall’utilizzo delle credenziali di autenticazione oggetto di esfiltrazione per accedere illecitamente a sistemi informatici o servizi online e consultare, o acquisire, dati personali degli interessati a cui sono riferite o di altre categorie di interessati (v. provvedimenti n. 594 del 7 dicembre 2023, doc. web. n. 9962283, n. 198 dell’11 aprile 2024, doc. web n. 10013321, n. 293 del 9 maggio 2024, doc. web n. 10070917, e n. 759 del 13 novembre 2024, doc. web n. 10109352). Ciò, anche in considerazione dell’abitudine degli utenti di utilizzare la medesima password, anche a distanza di tempo, per lo stesso o per altri sistemi informatici o servizi online o, comunque, di utilizzare password simili tra loro cambiando solo alcuni caratteri.

Alla luce di quanto sopra esposto, si ritiene che le comunicazioni finora inviate dalla Società ai titolari del trattamento coinvolti nella violazione dei dati personali non costituiscano uno strumento idoneo all’assolvimento degli obblighi informativi nei confronti dei titolari, in quanto, non contenendo informazioni chiare e dettagliate sulla violazione, non consentono a questi ultimi di valutare compiutamente i rischi per i diritti e le libertà delle persone fisiche derivanti dalla violazione e di adempiere gli obblighi di cui agli artt. 33 e 34 del Regolamento. Per tali ragioni, la condotta sopra descritta pone in essere una violazione dell’art. 33, par. 2, del Regolamento.

7. Le misure di sicurezza adottate per attenuare i possibili effetti negativi della violazione dei dati personali

L’art. 32 del Regolamento stabilisce che “tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: […] b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento […]” (par. 1) e che “nel valutare l'adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati” (par. 2).

Le citate “Linee guida 9/2022 sulla notifica delle violazioni dei dati personali ai sensi del regolamento generale sulla protezione dei dati (GDPR)” ricordano che “l'articolo 32 GDPR chiarisce che il titolare del trattamento e il responsabile del trattamento devono mettere in atto misure tecniche e organizzative adeguate per garantire un livello adeguato di sicurezza dei dati personali: la capacità di individuare, trattare e segnalare tempestivamente una violazione deve essere considerata un aspetto essenziale di queste misure” (punto 41) e tra le misure da adottare a seguito di una violazione dei dati personali che ha coinvolto anche credenziali di autenticazione (username e password) indica anche quella di “forzare il ripristino delle password degli account interessati”.

Il Regolamento prevede, inoltre, che l’autorità di controllo ha il potere di “ingiungere al titolare del trattamento o al responsabile del trattamento di conformare i trattamenti alle disposizioni del […] regolamento, se del caso, in una determinata maniera ed entro un determinato termine” (art. 58, par. 2, lett. d)).

Nel caso in esame, è emerso che la Società, dopo essere venuta a conoscenza della violazione, si è limitata unicamente a invitare i titolari del trattamento a “cambiare periodicamente con nuove alfanumeriche complesse non riconducibili al controllore, senza tuttavia metterli a conoscenza della violazione delle credenziali di autenticazione (username e password) degli operatori.

Al riguardo, si osserva che tale misura non consente di attenuare efficacemente le possibili conseguenze per le persone fisiche che potrebbero derivare dall’utilizzo delle credenziali di autenticazione oggetto di esfiltrazione. Tali credenziali, infatti, potrebbero essere utilizzate per accedere illecitamente ai sistemi gestiti dalla Società, con la conseguente possibilità di consultare o acquisire dati personali degli operatori a cui le stesse sono riferite o di altri interessati.

Alla luce di quanto sopra esposto, si ritiene che le misure adottate dalla Società a seguito della violazione dei dati personali non siano adeguate in quanto non consentono di attenuare i possibili effetti negativi della violazione. Per tali ragioni, la condotta sopra descritta pone in essere una violazione dell’art. 32 del Regolamento.

RITENUTO

Alla luce dell’esame delle circostanze portate all’attenzione dell’Autorità e delle considerazioni svolte, si ravvisano la necessità e l’urgenza di ingiungere alla Società, ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, di adempiere:

a) gli obblighi informativi di cui all’art. 33, par. 2, del Regolamento, comunicando adeguatamente la violazione dei dati personali in esame ai titolari del trattamento, fornendo informazioni di dettaglio sulla violazione dei dati personali, con l’indicazione esatta e puntuale delle tipologie di dati personali oggetto di violazione, delle misure tecniche di protezione adottate al momento della violazione, dei sistemi e del numero degli interessati coinvolti, nonché di ulteriori informazioni necessarie per l’adempimento, da parte dei titolari del trattamento, degli obblighi di cui agli artt. 33 e 34 del Regolamento;

b) gli obblighi di sicurezza di cui all’art. 32 del Regolamento, adottando adeguate misure per attenuare i possibili effetti negativi della violazione dei dati personali in esame, imponendo la modifica delle password oggetto di violazione e, in caso di inerzia degli operatori, inibendone l’utilizzo per l’accesso ai sistemi di trattamento coinvolti nella violazione.

Si ritiene, pertanto, necessario disporre – senza la previa notifica di cui all’art. 166, comma 5, del Codice, in relazione alla violazione degli artt. 32 e 33, par. 2, del Regolamento, essendo tale notifica incompatibile con la natura e le finalità del presente provvedimento, tenuto conto che l’assenza di un’adeguata comunicazione della violazione dei dati personali ai titolari del trattamento e la mancata adozione delle predette misure di sicurezza arrecano un effettivo, concreto, attuale e rilevante pregiudizio agli interessati coinvolti in quanto le credenziali di autenticazione oggetto di violazione potrebbero essere sfruttate da soggetti non autorizzati per accedere illecitamente a sistemi informatici o servizi online – che:

a) la comunicazione della violazione dei dati personali ai titolari del trattamento coinvolti sia effettuata senza ritardo e comunque entro sette giorni dalla data di ricezione del presente provvedimento;

b) le misure di sicurezza per attenuare i possibili effetti negativi della violazione dei dati personali siano adottate senza ritardo e comunque entro venti giorni dalla data di ricezione del presente provvedimento.

Tutto ciò, con riserva di ogni altra determinazione, anche sanzionatoria, all’esito della definizione dell’istruttoria avviata sul caso.

Si ricorda che, ai sensi dell’art. 83, par. 6, del Regolamento, “l'inosservanza di un ordine da parte dell’autorità di controllo ai sensi dell'articolo 58, paragrafo 2, è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore”.

Si rammenta, inoltre, che la Società, in qualità di responsabile del trattamento, è chiamata ad assistere i titolari coinvolti nella violazione dei dati personali nell’adempimento degli obblighi di cui agli artt. 33 e 34 del Regolamento, e, in particolare, a:

fornire ai titolari elementi utili e completi ai fini dell’effettiva e corretta valutazione, da parte degli stessi, del rischio per i diritti e le libertà delle persone fisiche derivante dalla violazione dei dati personali (ad esempio, evidenziando che, nel contesto in esame, sussiste un rischio elevato in ragione, in particolare, della gravità e della persistenza delle possibili conseguenze che potrebbero derivare dall’utilizzo illecito dei dati oggetto di violazione, che includono password non adeguatamente protette);

prestare collaborazione ai titolari ai fini della comunicazione della violazione dei dati personali agli operatori (ad esempio, mettendo a disposizione dei titolari l’elenco degli interessati coinvolti e dei relativi dati di contatto, nonché effettuando, ove richiesto dai titolari, l’invio delle comunicazioni agli interessati mediante gli strumenti tecnologici nella disponibilità della Società).

Si ritiene, altresì, necessario ingiungere alla Società, ai sensi degli artt. 58, par. 1, lett. a), del Regolamento e 157 del Codice, di fornire all’Autorità, senza ritardo e comunque entro trenta giorni dalla data di ricezione del presente provvedimento, un riscontro adeguatamente documentato in merito alle iniziative intraprese al fine di comunicare la violazione dei dati personali ai titolari del trattamento coinvolti e di attenuarne i possibili effetti negativi.

Si ricorda che, ai sensi dell’art. 166, comma 2, del Codice, la violazione dell’art. 157 del medesimo Codice è soggetta all’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

Si ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO, IL GARANTE

1) ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, ingiunge a PluService S.r.l. (C.F./P.I. 01140590421) di adempiere gli obblighi informativi di cui all’art. 33, par. 2, del medesimo Regolamento, comunicando, senza ritardo e comunque entro sette giorni dalla data di ricezione del presente provvedimento, la violazione dei dati personali in esame ai titolari del trattamento coinvolti, nei termini di cui in premessa;

2) ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, ingiunge a PluService S.r.l. di adempiere gli obblighi di sicurezza di cui all’art. 32 del medesimo Regolamento, adottando, senza ritardo e comunque entro venti giorni dalla data di ricezione del presente provvedimento, adeguate misure per attenuare i possibili effetti negativi della violazione dei dati personali in esame, nei termini di cui in premessa;

3) ai sensi degli artt. 58, par. 1, lett. a), del Regolamento e 157 del Codice, ingiunge a PluService S.r.l. di fornire all’Autorità, senza ritardo e comunque entro trenta giorni dalla data di ricezione del presente provvedimento, un riscontro adeguatamente documentato in merito alle iniziative intraprese al fine di dare attuazione a quanto disposto ai punti 1) e 2);

4) dispone l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento, delle violazioni e delle misure adottate in conformità all'art. 58, par. 2, del Regolamento.

Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso.

Roma, 4 agosto 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Fanizza