A inizio 2022 le FFS hanno rilevato una potenziale fuga di dati dalla piattaforma di distribuzione dei trasporti pubblici «NOVA» dovuta a una vulnerabilità. Grazie a una segnalazione, il problema è stato immediatamente risolto. I clienti non hanno subito alcun danno. Alliance SwissPass e le FFS si scusano per l’inconveniente.
La piattaforma centrale di distribuzione «NOVA» dei trasporti pubblici (interfaccia TP su tutta la rete) è gestita dalle FFS per conto di Alliance SwissPass (v. riquadro). A fine 2020, le FFS hanno aumentato la sicurezza nelle procedure di rinnovo degli abbonamenti tramite questa piattaforma. Poiché, in seguito a ciò, i clienti di diverse imprese dei trasporti pubblici non riuscivano più a rinnovare i propri abbonamenti con facilità, a dicembre 2021 le FFS hanno ripristinato la possibilità di accedere con il vecchio meccanismo. Questo si è rivelato un errore dal momento che ha creato una falla nella sicurezza.
Uno specialista informatico esterno si è imbattuto in questa vulnerabilità e a inizio gennaio 2022, in pochi giorni, è riuscito a consultare automaticamente lo 0,2% dei record di dati, pari a circa un milione di record. I dati contenevano informazioni sui biglietti acquistati e/o sul periodo di validità degli abbonamenti. Circa la metà dei record era collegata esclusivamente a nome, cognome e data di nascita dei clienti dei trasporti pubblici. I record non contenevano informazioni su domicilio, mezzi di pagamento, password o indirizzi e-mail. L’altra metà conteneva informazioni impersonali sui biglietti acquistati ai distributori.
Lo specialista informatico esterno ha segnalato alle FFS la falla e ha cancellato definitivamente i dati che era riuscito a scaricare. Grazie a questa segnalazione, le FFS hanno risolto immediatamente la vulnerabilità. Il recupero non autorizzato e automatico dei dati non è più possibile. I clienti non hanno subito alcun danno.
Le FFS hanno subito informato l’Incaricato federale della protezione dei dati e della trasparenza e le imprese dei trasporti pubblici coinvolte. È stata inoltre avviata un’indagine interna per determinare la causa dell’errore. In qualità rispettivamente di committente e gestore della piattaforma, Alliance SwissPass e le FFS si scusano con i clienti dei trasporti pubblici. Le FFS sono estremamente attive a livello di sicurezza informatica e compiono grandi sforzi soprattutto per quanto riguarda i dati dei clienti. I sistemi informatici sono costantemente analizzati per prevenire possibili attacchi.
Le FFS gestiscono la piattaforma centrale di distribuzione dei trasporti pubblici su incarico di Alliance SwissPass. Nella banca dati sono salvate informazioni sui biglietti e sugli abbonamenti per la fatturazione. Il webshop delle FFS e le piattaforme di vendita di altre aziende dei trasporti pubblici sono collegati alla banca dati.
Per domande sul caso specifico:
Servizio stampa FFS, stampa@ffs.ch, +41 51 220 41 11
Per domande generali:
Comunicazione dell’Alliance SwissPass, comunicazione@allianceswisspass.ch, +41 76 553 82 81