Individuata e corretta falla nella piattaforma dei trasporti pubblici

Cosa è successo esattamente?

Uno specialista informatico esterno ha scoperto una vulnerabilità nella piattaforma centrale di distribuzione dei trasporti pubblici «NOVA» (interfaccia TP su tutta la rete), gestita dalle FFS per conto di Alliance SwissPass (v. riquadro). A inizio gennaio 2022, in pochi giorni, lo specialista informatico è riuscito a consultare automaticamente lo 0,2 percento dei record di dati, pari a circa un milione di record. I dati contenevano informazioni sui biglietti acquistati e/o sul periodo di validità degli abbonamenti. Circa la metà dei record era collegata a nome, cognome e data di nascita dei clienti dei trasporti pubblici. I record non contenevano informazioni su domicilio, mezzi di pagamento, password o indirizzi e-mail. L’altra metà conteneva informazioni tecnici sui biglietti acquistati ai distributori.  

Cosa hanno fatto le FFS?

Il recupero automatico dei dati è stato scoperto e bloccato dagli analisti delle FFS all'inizio di gennaio. Le FFS hanno subito informato l’Incaricato federale della protezione dei dati e della trasparenza e le imprese dei trasporti pubblici coinvolte. In seguito, anche i media e i clienti sono stati informati. Nel frattempo, uno specialista informatico esterno si è fatto avanti per rivendicare la responsabilità di questa intercettazione di dati.

Cosa è successo ai dati recuperati?

Lo specialista informatico esterno ha confermato alle FFS di aver cancellato irrevocabilmente i dati personali scaricati. Il recupero non autorizzato e automatico dei dati non è più possibile. I clienti non hanno subito alcun danno.  

Come possono le FFS essere sicure che non sia stato fatto alcun danno?

Le FFS hanno individuato e bloccato la fuga di dati. In seguito, è stato possibile chiarire come tutti i dati fuoriusciti fossero quelli recuperati dello specialista informatico esterno e tutti i dati sono stati cancellati in maniera definitiva.

Perché si è creata questa falla?

A fine 2020, le FFS hanno introdotto un nuovo meccanismo di sicurezza. Poiché, in seguito a ciò, i clienti di diverse imprese dei trasporti pubblici non riuscivano più a rinnovare i propri abbonamenti con facilità, a dicembre 2021 le FFS hanno ripristinato la possibilità di accedere con il vecchio meccanismo. Questo si è rivelato un errore dal momento che ha creato una falla nella sicurezza.  In qualità, rispettivamente di committente e gestore della piattaforma, Alliance SwissPass e le FFS si scusano con i clienti dei trasporti pubblici. 

E’ possibile che anche i miei dati siano stati coinvolti?

Se vuoi sapere se i dati del tuo biglietto o abbonamento sono stati coinvolti, puoi contattare datenschutz@sbb.ch.

Cosa fanno le FFS per evitare questi errori?

Le FFS hanno avviato un'indagine interna per determinare la causa dell'errore. Gli esperti delle FFS hanno esaminato attentamente la piattaforma di distribuzione e la stanno facendo esaminare anche da esperti indipendenti.

Perché ci sono così tanti dati dei clienti sulla piattaforma di vendita?

Le FFS devono conservare questi dati per la fatturazione. A dipendenza del tipo di dati, per legge il periodo di conservazione è anche di diversi anni. I dati sono conservati e immagazzinati solo e unicamente per la fatturazione.

Cosa stanno facendo le FFS per la protezione dei dati?

Le FFS fanno grandi sforzi in termini di sicurezza informatica e protezione dei dati, soprattutto quando riguarda i dati dei clienti. Le FFS investono decine di milioni per la sicurezza informatica ogni anno. I sistemi informatici sono costantemente analizzati per prevenire possibili attacchi.  Gli oltre 30.000 dipendenti sono regolarmente informati e sensibilizzati sul tema della sicurezza informatica e della protezione dei dati.

Puoi trovare maggiori informazioni sul tema della protezione dei dati alle FFS.