PESCARA (23.01.2026) - Tua precisa sin da subito che non vi è alcun attacco informatico in corso e che non sono mai stati compromessi dati di pagamento o carte di credito degli utenti. In relazione all’articolo dal titolo “Dati sensibili rubati dall’app Tua. Il Pd: ‘Ecco i ritardi dell’azienda’”, pubblicato sull’edizione odierna de Il Centro, Tua ritiene opportuno fornire alcune precisazioni, nell’interesse di una corretta informazione dell’utenza. “Tua è un’azienda da sempre attenta alla tutela dei dati personali e alla sicurezza dei propri sistemi informativi. A tal fine si è dotata di un Data Protection Officer certificato e adotta procedure di prevenzione, gestione e comunicazione degli eventi rilevanti in materia di privacy, come avvenuto anche nel caso in esame” – hanno spiegato Carola Di Paolo, dirigente commerciale e Maria D’Angelo DPO di Tua. L’azienda comprende le preoccupazioni di utenti e cittadini e conferma che la protezione dei dati personali rappresenta una priorità assoluta. Proprio per questo, si rende necessario chiarire alcuni elementi che, così come dalle dichiarazioni rilasciate a mezzo stampa, risultano inesatti o incompleti. L’evento informatico richiamato nell’articolo, verificatosi nel marzo 2025, non ha riguardato un attacco mirato ai sistemi Tua, bensì a un’azienda terza che vende titoli di viaggio per conto di Tua e numerosi altri servizi a livello nazionale, coinvolgendo circa quaranta aziende di trasporto pubblico. L’episodio ha infatti assunto rilievo nazionale nell’aprile 2025, coinvolgendo anche operatori di grandi dimensioni. È importante comunque precisare che non sono stati in alcun modo violati i dati relativi a carte di credito o ad altri strumenti di pagamento, in quanto – come previsto dalla normativa – tali informazioni sono gestite da un’infrastruttura distinta, così come non sono stati coinvolti dati di localizzazione, bensì solamente dati comuni. Non sono stati inoltre coinvolti dati sensibili – oggi definiti “categorie particolari di dati” dal Regolamento UE 2016/679 – quali, ad esempio, quelli relativi alla salute o ad altri aspetti personali tutelati in modo rafforzato. “La comunicazione e-mail ricevuta nelle scorse ore da una parte dell’utenza non rappresenta una nuova segnalazione di incidente, bensì un recap informativo di quanto già accaduto, volto a riepilogare l’evento, spiegare nel dettaglio le misure adottate e fornire indicazioni utili per una maggiore consapevolezza digitale.
Si tratta, quindi, di un’ulteriore azione, proattiva, di trasparenza e tutela dell’utenza” hanno precisato Di Paolo e D’Angelo per conto di Tua Spa. Gli utenti i cui dati personali sono stati oggetto di esfiltrazione sono stati puntualmente informati tramite comunicazione diretta. Gli utenti che non hanno ricevuto alcuna e-mail non risultano coinvolti nell’incidente informatico. È utile ricordare che, al verificarsi dell’evento nel marzo 2025, Tua ha tempestivamente notificato l’accaduto al Garante per la protezione dei dati personali, nel pieno rispetto della normativa vigente, avviando contestualmente un’attività di cooperazione con l’Autorità e con i fornitori tecnologici per gli accertamenti tecnici e l’adozione di ulteriori misure di mitigazione. Peraltro, ad oggi Tua si trova in una fase meramente interlocutoria con l’Autorità e, diversamente da quanto riportato dalla stampa, non era tra i destinatari del provvedimento prescrittivo del 9 ottobre 2025. Fin dalle primissime fasi, l’utenza è stata informata tramite avvisi sul sito aziendale, pop-up sull’app Tuabruzzo nonché mediante affissioni nelle stazioni e a bordo dei mezzi. Inoltre, come già indicato nelle informative trasmesse, per gli utenti che non avessero provveduto autonomamente alla modifica della password dopo il 29 marzo 2025, dal 1° ottobre 2025 le credenziali di accesso all’app Tuabruzzo sono state definitivamente cancellate. Ne consegue che nessun accesso all’app è oggi possibile mediante password esfiltrate, anche nell’ipotesi – puramente teorica – che tali credenziali fossero state decrittografate. In un contesto di rischio settoriale crescente, Tua ha ulteriormente innalzato i propri livelli di protezione, sia sotto il profilo tecnologico sia organizzativo. Oltre alle attività di comunicazione e prevenzione, l’azienda ha sottoscritto un protocollo d’intesa con la Polizia Postale e aveva già avviato un ambizioso programma di trasformazione digitale, che prevede anche l’internalizzazione delle tecnologie legate ai servizi di vendita su app. È infatti già operativa la nuova applicazione TuaGo, attualmente utilizzata per le sole linee extraregionali (Roma) e per i servizi ferroviari; nei prossimi mesi la piattaforma sarà progressivamente estesa a tutti i servizi di trasporto regionale. Infine, Tua precisa che tutte le richieste di informazione pervenute all’azienda sono state prese in carico e saranno gestite nel più breve tempo possibile, con la massima attenzione e disponibilità verso l’utenza.
Mercoledì 18 Febbraio 2026
