(Ai sensi dell’art. 34 del Regolamento UE 2016/679, c.d. “GDPR)

Facendo seguito alla precedente comunicazione del 07 aprile 2025 che trovate qui, si informano nuovamente gli utenti dei servizi di trasporto di AIR CAMPANIA SPA che la propria App/applicazione gestita dall’azienda MyCicero s.r.l. (MooneyGo), quale Responsabile del trattamento, ha subito una violazione dei dati personali.

Nello specifico, MyCicero s.r.l. ha comunicato che Pluservice s.r.l., incaricata a sua volta dei servizi di data center, in data 1° aprile 2025, ha riscontrato una violazione dei dati personali causata da attività malevole di attori esterni non identificati, avvenuta tra il 29 e il 30 marzo 2025.

L’effettiva compromissione è stata confermata nel pomeriggio del 1° aprile, a seguito di un’analisi forense che ha evidenziato l’esfiltrazione non autorizzata di dati da database ubicati presso il data center del fornitore WIIT S.p.a., quest’ultimo sub-responsabile di Pluservice s.r.l., tramite l’utilizzo di un cloud remoto di destinazione esterna.

Il 3 aprile 2025, alle ore 17:30 circa, MyCicero s.r.l. è stata ufficialmente informata da Pluservice s.r.l. del data breach tramite l’invio di un report tecnico contenente la ricostruzione degli eventi e le prime evidenze oggettive raccolte.

Di tali fatti, AIR CAMPANIA SPA, quale Titolare del trattamento dei dati personali in argomento, è stata informata con una formale comunicazione in data venerdì 04.04.2025.

Le categorie di interessati coinvolte sono: Utenti/Contraenti/Abbonati/Clienti attuali o potenziali.

Le categorie di dati personali oggetto della violazione riguardano il Profilo Utente (nome, cognome, mail, telefono (obbligatori); foto del profilo, P.IVA, Codice Fiscale (facoltativi a seconda del servizio attivo), nonché i dati relativi all’ubicazione. Non sono state coinvolte categorie di dati particolari e giudiziari, nonché dati di pagamento (es. carte di credito).

Le possibili conseguenze della violazione per gli interessati riguardano la potenziale perdita di riservatezza (possibilità che i dati siano divulgati al di fuori di quanto previsto dall’informativa ovvero dalla disciplina di riferimento) e perdita di disponibilità (mancato accesso a servizi, malfunzionamento e difficoltà nell’utilizzo di servizi), frodi (tentativi di phishing).

Non appena rilevata la violazione, il sistema è stato reso inaccessibile per un periodo di tempo limitato al fine di consentire le opportune verifiche ed azioni di sicurezza.

Tutte le Aziende coinvolte si sono immediatamente attivate per analizzare quanto accaduto e per mettere in atto tutte le misure possibili per scongiurare le conseguenze negative di tale attacco verso i propri Utenti. Tali attività stanno proseguendo.

Il Data Breach Team Management di AIR CAMPANIA, in data 05.04.2025, tra le altre cose, oltre al presente comunicato, ha ritenuto di effettuare:

• la notifica all’Autorità Garante per la protezione dei dati personali;
• la richiesta di informazioni al Responsabile e ai Sub-responsabili del trattamento, ai sensi dell’art. 28, par. 3, lettere f) e h), del GDPR affinché assistano AIR CAMPANIA nel garantire il rispetto degli artt. da 32 a 36, con particolare riferimento alla gestione della violazione dei dati personali e alle misure di sicurezza implementate a seguito della stessa.

AIR CAMPANIA invita gli utenti a diffidare dal fornire i propri dati personali tramite e-mail, SMS, chat e social media, in quanto potrebbero avere finalità fraudolente (phishing). È buona norma, inoltre, procedere periodicamente al cambiamento delle password utilizzate sull’App di AIR CAMPANIA, oltre che su quella del Consorzio UnicoCampania, entrambe oggetto di violazione.

Per saperne di più e proteggersi dalle truffe informatiche, si consiglia la lettura dei vademecum tematici del Garante della Privacy disponibili sul sito web istituzionale:

• I suggerimenti del Garante per proteggersi dal phishing: https://www.garanteprivacy.it/temi/cybersecurity/phishing;
• I suggerimenti per creare e gestire password a prova di privacy: https://www.garanteprivacy.it/temi/cybersecurity/password

Per ulteriori informazioni in ordine alla violazione in argomento, le richieste possono essere presentante direttamente ai contatti istituzionali dell’AIR CAMPANIA. di seguito indicati:

• e-mail: privacy@aircampania.it
• e-mail: urp@aircampania.it
• pec: air@pec.aircampania.it.

Si informa che gli utenti potranno rivolgersi anche all’Avv. Salvatore Coppola, incaricato da AIR CAMPANIA quale Responsabile della protezione dei dati (“RPD”, meglio conosciuto con l’acronimo inglese “DPO”) alla seguente e-mail: dpo@aircampania.it.

Infine, si desidera rassicurare gli utenti che AIR CAMPANIA è impegnata a proteggere e a salvaguardare qualsiasi dato personale e, anche in questa circostanza, agirà nell’interesse e per la tutela dei diritti dei propri utenti.

Comunicazione prot. nr. AIRCA-0023475-2025