L’Associazione per la Difesa dei Consumatori e degli Utenti (ADICU) rende noto di aver avviato un’azione di tutela collettiva a seguito della grave violazione di sicurezza informatica che ha interessato l’applicazione “TuaAbruzzo”, gestita da TUA S.p.A., società pubblica operante nel settore del trasporto regionale.

Secondo quanto ricostruito nel parere legale e nell’analisi tecnica dell’incidente, tra il 29 e il 30 marzo 2025 si è verificato un attacco informatico che ha determinato l’esfiltrazione di dati personali degli utenti registrati alla piattaforma digitale, tra cui informazioni anagrafiche, codici fiscali, recapiti e credenziali di accesso.

La compromissione di tali dati espone gli interessati a rischi concreti di furto d’identità, utilizzo fraudolento delle informazioni personali e accessi abusivi ai servizi digitali collegati.

Richieste di risarcimento e iniziativa degli utenti tramite ADICU

Attraverso l’associazione dei consumatori ADICU, numerosi utenti hanno già richiesto il risarcimento dei danni subiti a causa del furto di informazioni sensibili, inclusi codici fiscali e credenziali di autenticazione. Le richieste riguardano sia i danni già subiti sia quelli potenzialmente derivanti dall’esposizione prolungata dei dati personali nel tempo.

L’azione legale intrapresa mira in particolare a:

• accertare le responsabilità nella gestione della sicurezza informatica;

• ottenere chiarimenti sulle misure tecniche e organizzative adottate per la protezione dei dati;

• garantire una tutela effettiva della privacy e dei diritti fondamentali delle persone coinvolte.

La principale criticità: il ritardo nella comunicazione agli utenti

Uno degli aspetti più controversi della vicenda riguarda il significativo ritardo nelle notifiche ufficiali agli interessati. Le comunicazioni individuali sarebbero infatti avvenute quasi un anno dopo l’evento informatico, circostanza che potrebbe configurare una violazione degli obblighi previsti dal Regolamento (UE) 2016/679 (GDPR), il quale impone la comunicazione delle violazioni dei dati personali “senza ingiustificato ritardo” quando sussiste un rischio elevato per gli utenti.

Secondo ADICU, tale ritardo avrebbe impedito agli utenti di adottare tempestivamente misure di protezione, aumentando l’esposizione a possibili frodi digitali e utilizzi impropri delle informazioni personali.

Coinvolgimento delle Autorità nazionali

Alla luce della gravità dei fatti emersi, l’Autorità Garante per la Protezione dei Dati Personali e l’Agenzia per la Cybersicurezza Nazionale sono state formalmente sollecitate a monitorare l’evoluzione della vicenda, verificare la conformità delle procedure adottate e accertare eventuali responsabilità della società coinvolta.

Tutela dei cittadini e sicurezza digitale

La vicenda solleva questioni di rilievo nazionale sulla sicurezza dei servizi digitali pubblici e sulla protezione dei dati personali degli utenti, evidenziando come la cybersecurity rappresenti oggi un elemento essenziale di fiducia tra cittadini e operatori di servizi pubblici.

ADICU continuerà a fornire assistenza legale agli utenti coinvolti e invita tutti i soggetti potenzialmente interessati a verificare la propria posizione e a segnalare eventuali anomalie o utilizzi sospetti dei propri dati personali.

RASSEGNA STAMPA