(Ai sensi dell’art. 34 del Regolamento UE 2016/679, c.d. “GDPR)

Facendo seguito alle precedenti comunicazioni del 07 aprile e del 7 maggio 2025 [vai sulle url], la presente ha lo scopo di aggiornare gli utenti dei servizi di trasporto di AIR CAMPANIA S.p.a. in relazione a nuovi e rilevanti sviluppi riguardanti la medesima violazione di dati personali che ha interessato la propria App/applicazione, gestita dall’azienda MyCicero s.r.l. (MooneyGo), quale Responsabile del trattamento.

Nello specifico, con nota ricevuta in data 20 agosto 2025 MyCicero ha confermato che: “Tra il 21 e il 30 marzo 2025, come a Voi noto, la nostra infrastruttura tecnologica è stata oggetto di un attacco informatico complesso, perpetrato da attori esterni non autorizzati. L’attacco ha comportato un accesso illecito a diversi sistemi e la conseguente esfiltrazione di dati personali relativi agli utenti finali dei servizi di mobilità da Voi erogati tramite la nostra piattaforma.”

Inoltre, MyCicero ha informato AIR CAMPANIA che: “Le analisi forensi successive hanno confermato che la violazione ha interessato le seguenti categorie di dati personali relativi ai Vostri utenti:

• Dati del Profilo Utente: nome, cognome, indirizzo e-mail, numero di telefono e, ove forniti dall’utente, codice fiscale e/o partita IVA.
• Credenziali di Autenticazione: username (coincidente con l’indirizzo e-mail e/o il numero di telefono) e la password dell’utente, quest’ultima conservata sotto forma di digest crittografico.
• Dati relativi ai Servizi di Mobilità: la violazione ha interessato, a seconda del servizio fruito, dati concernenti le soste a pagamento (incluse targhe e dati di localizzazione temporanei), i titoli di viaggio TPL e GT, gli abbonamenti, e ogni altro servizio fruito dall’utente tramite la piattaforma.”

Con particolare riferimento alle “Credenziali di Autenticazione”, MyCicero ha evidenziato che “L’esfiltrazione così rappresentata ha riguardato i digest crittografici (hash) delle password, generati mediante funzioni di hashing […]. Come noto, pur non trattandosi di password in chiaro, tali hash, ove associati a credenziali deboli, potrebbero essere sottoposti a tecniche di cracking (forza bruta, dizionario, rainbow tables) che ne consentano la ricostruzione.” Pertanto, vi è la “necessità di procedere ad operazioni atte a forzare il cambio password” poiché “In questo contesto, pur non potendo affermare che le password siano state compromesse, la disponibilità degli hash costituisce un rischio concreto, soprattutto nei casi in cui le password siano deboli, circostanza che ridurrebbe significativamente il tempo e le risorse necessarie per la loro ricostruzione.”

Le probabili conseguenze della violazione per gli interessati riguardano la potenziale perdita di riservatezza (possibilità che i dati siano divulgati al di fuori di quanto previsto dall’informativa ovvero dalla disciplina di riferimento) e perdita di disponibilità (mancato accesso a servizi, malfunzionamento e difficoltà nell’utilizzo di servizi), frodi (furto d’identità, phishing, spam e, in particolare, accessi non autorizzati ad altri servizi online qualora gli utenti avessero riutilizzato la stessa password o una simile ed il digest crittografico fosse scoperto).

Tutte le Aziende coinvolte si sono immediatamente attivate per analizzare quanto accaduto e per mettere in atto tutte le misure possibili per scongiurare le conseguenze negative di tale attacco verso i propri Utenti. Tali attività stanno proseguendo. La società MyCicero “conferma di aver proceduto ad adottare il piano di rimedio”, “Con particolare riferimento ai digest crittografici” e ad “algoritmi crittografici ancora più sicuri”.

Nel caso in cui non si sia ancora provveduto – come consigliato con le comunicazioni precedenti – AIR CAMPANIA rinnova l’invito agli utenti a cambiare quanto prima le password utilizzate sull’App di AIR CAMPANIA, oltre che su quella del Consorzio UnicoCampania, entrambe oggetto di violazione. Inoltre, se è stata utilizzata la stessa password anche su altri servizi, si raccomanda di modificarla anche sulle altre piattaforme.

È buona norma sostituire le password periodicamente e, in ogni caso, diffidare dal fornire i propri dati personali tramite e-mail, SMS, chat e social media, in quanto potrebbero avere finalità fraudolente.

Per saperne di più e proteggersi dalle truffe informatiche, si consiglia la lettura dei vademecum tematici del Garante della Privacy disponibili sul sito web istituzionale:

• I suggerimenti del Garante per proteggersi dal phishing: https://www.garanteprivacy.it/temi/cybersecurity/phishing;
• Suggerimenti per creare e gestire password a prova di privacy: https://www.garanteprivacy.it/temi/cybersecurity/password

Per ulteriori informazioni in ordine alla violazione in argomento, le richieste possono essere presentate direttamente ai contatti istituzionali dell’AIR CAMPANIA di seguito indicati:

• e-mail: privacy@aircampania.it
• e-mail: urp@aircampania.it
• pec: air@pec.aircampania.it.

Si informa che gli utenti potranno rivolgersi anche a Coppola Avv. Salvatore, incaricato da AIR CAMPANIA quale Responsabile della protezione dei dati (“RPD”, meglio conosciuto con l’acronimo inglese “DPO”) alla seguente e-mail: dpo@aircampania.it.

Infine, si desidera rassicurare gli utenti che AIR CAMPANIA è impegnata a proteggere e a salvaguardare qualsiasi dato personale e, anche in questa circostanza, agirà nell’interesse e per la tutela dei diritti dei propri utenti, riservandosi ogni opportuna azione a difesa dell’Azienda e degli utenti stessi.

L’Amministratore Unico

Dott. Anthony Acconcia