Si informano gli utenti dei servizi di trasporto di Kyma Mobilità S.p.A. che, in data 4 aprile 2025, la scrivente Azienda ha ricevuto notizia da parte del proprio fornitore di servizi digitali MyCicero S.r.l., di una violazione di dati personali (data breach) che ha interessato una parte degli utenti dei servizi di mobilità.
Descrizione degli eventi
In data 1° aprile 2025, il fornitore di MyCicero per i servizi di data center, Pluservice s.r.l., ha rilevato una violazione di dati personali originatasi da attività malevole condotte da attori esterni non identificati, attuata tra il 29 e il 30 marzo 2025.
A seguito di un’analisi forense svolta nel pomeriggio del 1° aprile, è stata confermata l’esfiltrazione non autorizzata di dati da database ubicati presso il data center del fornitore, subresponsabile di Pluservice s.r.l.
Il 3 aprile 2025, alle ore 17:30 circa, MyCicero è stata formalmente edotta dell’incidente mediante trasmissione di un report tecnico contenente la ricostruzione degli eventi e le prime evidenze oggettive acquisite.
Successivamente Kyma Mobilità S.p.A. è stata informata degli eventi occorsi mediante comunicazione formale.
Descrizione dei sistemi, software, servizi e infrastrutture IT coinvolti nella violazione, con indicazione della loro ubicazione
I sistemi coinvolti sono riconducibili ai server in hosting presso il Data Center fornitore di Pluservice s.r.l., ubicati presso la sede di quest’ultima a Milano.
Categorie di interessati coinvolti nella violazione
Clienti, Abbonati e Utenti dei servizi erogati a mezzo delle App “Kyma Mobilità” e “MooneyGo”
Tipo di dati oggetto di violazione
Alcuni dei sistemi compromessi trattavano le seguenti tipologie di informazioni: dati anagrafici (nome, cognome, sesso, data di nascita, luogo di nascita, codice fiscale) e dati di contatto (indirizzo postale o di posta elettronica, numero di telefono fisso o mobile, identificativi utente).
Non sono stati coinvolti dati riconducibili a categorie particolari, quali: bancari, sanitari, biometrici o giudiziari.
Probabili conseguenze della violazione per gli interessati
Perdita di riservatezza dei dati, in quanto divulgati al di fuori di quanto previsto dall’informativa ovvero dalla disciplina di riferimento.
Al momento non risultano evidenze di utilizzo illecito dei dati, ma non si può escludere un potenziale rischio di accesso non autorizzato o contatti indesiderati.
Misure di protezione suggerite
Al fine di mitigare eventuali impatti dell’evento occorso, l’Azienda suggerisce di adottare le seguenti condotte:
-
aggiornamento delle password di accesso alle app dei servizi di mobilità;
-
prudenza nei confronti di contatti non precedentemente noti alla data della presente comunicazione.
Ulteriori azioni adottate da Kyma Mobilità S.p.A.
Al fine di tutelare i diritti dei propri clienti, l’Azienda ha ritenuto doveroso adottare le seguenti azioni:
-
notifica all’Autorità Garante per la protezione dei dati personali;
-
richiesta di chiarimenti al Responsabile ed ai sub-Responsabili del trattamento dei dati, ai sensi dell’art. 28 del Reg. UE 679/2016
Per ulteriori informazioni in ordine alla violazione in argomento, le richieste possono essere presentanti direttamente ai contatti istituzionali di Kyma Mobilità S.p.A. di seguito indicati:
-
email: kymamobilita@kymamobilita.it
-
pec: kymamobilita@pec.kymamobilita.it
Si informa altresì che gli utenti potranno in ogni caso rivolgersi al Responsabile della protezione dei dati incaricato, Avv. Ernesto Barbone, contattabile alla seguente email: ernesto@studioconsulenzabarbone.it
Infine, si desidera rassicurare gli utenti che Kyma Mobilità S.p.A è impegnata a proteggere e a salvaguardare qualsiasi dato personale e, anche in questa circostanza, agirà nell’interesse e per la tutela dei diritti dei propri utenti.
Taranto, 15 aprile 2025 Il legale rappresentante
Avv. Daniele D’Ambrosio
