La televisione svizzera per l’Italia

Un informatico scopre una falla nel sistema e accede ai dati dei passeggeri

Una donna sale su un treno.
È stata avviata un'indagine interna per determinare la causa dell'errore. Keystone / Laurent Gillieron

A causa di una lacuna nella piattaforma di vendita dei trasporti pubblici, uno specialista informatico è riuscito in pochi giorni a consultare circa 1 milione dei dati privati dei passeggeri. Grazie alla sua segnalazione, il problema è stato immediatamente risolto, indicano oggi in una nota le FFS e Alliance SwissPass. I clienti non hanno subito alcun danno.

La potenziale fuga di dati è stata rilevata ad inizio 2022 nella piattaforma di distribuzione dei trasporti pubblici “NOVA” ed è dovuta a una vulnerabilità. Le Ferrovie federali svizzere e Alliance SwissPass, che riunisce 250 imprese di trasporto e 18 comunità tariffarie, si scusano per l’inconveniente.

Contenuto esterno

Accesso con il vecchio meccanismo

I contorni della vicenda sono stati resi noti oggi. A fine 2020, le FFS avevano aumentato la sicurezza nelle procedure di rinnovo degli abbonamenti tramite la piattaforma in questione. Poiché, in seguito, i clienti di diverse imprese di trasporti pubblici non erano più riusciti a rinnovare i propri abbonamenti con facilità, a dicembre 2021 le FFS hanno ripristinato la possibilità di accedere con il vecchio meccanismo. Questo si è rivelato un errore dal momento che ha creato una falla nella sicurezza, si legge nella nota.

Uno specialista informatico esterno si è infatti imbattuto in questa vulnerabilità e a inizio gennaio 2022, in pochi giorni, è riuscito a consultare lo 0,2% dei dati, pari a circa un milione.

Informazioni su biglietti e abbonamenti

I dati contenevano informazioni sui biglietti acquistati e/o sul periodo di validità degli abbonamenti. Circa la metà era collegata esclusivamente a nome, cognome e data di nascita dei clienti dei trasporti pubblici. I dati non contenevano invece informazioni su domicilio, mezzi di pagamento, password o indirizzi e-mail. L’altra metà comprendeva informazioni impersonali sui biglietti acquistati ai distributori, si legge ancora nella nota.

Lo specialista informatico esterno ha segnalato subito alle FFS la falla e ha cancellato definitivamente i dati che era riuscito a scaricare. Grazie a questa segnalazione, le FFS hanno risolto immediatamente la vulnerabilità. Il recupero non autorizzato e automatico dei dati non è più possibile. Per questo motivo, scrivono ancora l’ex regia federale e Alliance SwissPass, i clienti non hanno subito alcun danno.

Mister dati e imprese trasporti informati

Le FFS hanno subito informato l’Incaricato federale della protezione dei dati e della trasparenza e le imprese dei trasporti pubblici coinvolte. È stata inoltre avviata un’indagine interna per determinare la causa dell’errore.

“Le Ferrovie federali sono estremamente attive a livello di sicurezza informatica e compiono grandi sforzi soprattutto per quanto riguarda i dati dei clienti. I sistemi informatici sono costantemente analizzati per prevenire possibili attacchi”, conclude il comunicato.
 

In conformità con gli standard di JTI

Altri sviluppi: SWI swissinfo.ch certificato dalla Journalism Trust Initiative

Se volete segnalare errori fattuali, inviateci un’e-mail all’indirizzo tvsvizzera@swissinfo.ch.

SWI swissinfo.ch - succursale della Società svizzera di radiotelevisione SRG SSR

SWI swissinfo.ch - succursale della Società svizzera di radiotelevisione SRG SSR