Uno specialista informatico esterno si è imbattuto in questa vulnerabilità e a inizio gennaio 2022, in pochi giorni, è riuscito a consultare automaticamente lo 0,2% dei record di dati, pari a circa un milione di record. I dati contenevano informazioni sui biglietti acquistati e/o sul periodo di validità degli abbonamenti. Circa la metà dei record era collegata esclusivamente a nome, cognome e data di nascita dei clienti dei trasporti pubblici. I record non contenevano informazioni su domicilio, mezzi di pagamento, password o indirizzi e-mail. L’altra metà conteneva informazioni impersonali sui biglietti acquistati ai distributori.

Lo specialista informatico esterno ha segnalato alle FFS la falla e ha cancellato definitivamente i dati che era riuscito a scaricare. Grazie a questa segnalazione, le FFS hanno risolto immediatamente la vulnerabilità. Il recupero non autorizzato e automatico dei dati non è più possibile. I clienti non hanno subito alcun danno.

Le FFS hanno subito informato l’Incaricato federale della protezione dei dati e della trasparenza e le imprese dei trasporti pubblici coinvolte. È stata inoltre avviata un’indagine interna per determinare la causa dell’errore. In qualità rispettivamente di committente e gestore della piattaforma, Alliance SwissPass e le FFS si scusano con i clienti dei trasporti pubblici.

Le FFS sono estremamente attive a livello di sicurezza informatica e compiono grandi sforzi soprattutto per quanto riguarda i dati dei clienti. I sistemi informatici sono costantemente analizzati per prevenire possibili attacchi.

Le FFS gestiscono la piattaforma centrale di distribuzione dei trasporti pubblici su incarico di Alliance SwissPass. Nella banca dati sono salvate informazioni sui biglietti e sugli abbonamenti per la fatturazione. Il webshop delle FFS e le piattaforme di vendita di altre aziende dei trasporti pubblici sono collegati alla banca dati.