Oggetto: Comunicazione riservata agli utenti dell’APP SVT e del portale web SVT registrati prima dell’attacco informatico, subito dal fornitore MyCicero, avvenuto tra il 29 e il 30 marzo 2025

Gentile Utente,

facciamo seguito alla precedente comunicazione e a quanto già pubblicato nel sito www.svt.vi.it riguardante l’attacco informatico che ha colpito i sistemi myCicero tra il 29 e il 30 marzo 2025, sistemi che la SVT srl utilizza per la vendita di titoli di viaggio con la APP SVT Vicenza o, attraverso il nostro sito istituzionale, rimandando ai link esterni: 

https://www.mycicero.it/svt-vi/TPWebPortal

https://www.autobus.it/svt-vi/TPLWebPortal

maggiori dettagli sull’accaduto su: [myCicero]

Ti scriviamo per fornirti informazioni importanti relative alla sicurezza dei tuoi dati personali, ivi incluse le credenziali di accesso all’App SVT e ai siti SVT srl e per indicare le azioni necessarie che devi mettere in atto qualora non le avessi già intraprese.

La presente comunicazione è stata redatta in linguaggio semplice e chiaro, evitando tecnicismi, per facilitare la lettura da parte di ogni utente.

Cosa è successo:

Tra il 29 e il 30 marzo l’infrastruttura informatica utilizzata da myCicero, sui quali risiede anche l’App SVT e i siti esterni (sopra indicati) fruibili attraverso il sito SVT srl sono stati oggetto di un attacco informatico sofisticato che ha comportato l’esfiltrazione (cioè, l’estrazione non autorizzata) di alcuni dati personali degli utenti.

L’azienda myCicero ha:

•    informato le Autorità competenti,

•    avviato le procedure di sicurezza di rimedio,

•    collaborato con Polizia Postale, ACN ed il Garante Privacy.

Quali dati sono stati coinvolti:

L’incidente riguarda solo gli utenti registrati, su tali sistemi (APP e SITO) prima del 29 marzo 2025.

La violazione ha comportato l’esfiltrazione dei dati personali incluse le credenziali di autenticazione all’App SVT e ai siti esterni fruibili attraverso il nostro sito (come semplici link)

Dalle analisi condotte, è emerso che gli autori dell’attacco hanno esfiltrato dati personali , propri del “Profilo Utente” che potrebbero essere a te riconducibili. 

I  dati che potrebbero essere stati sottratti riguardano:

Dati del profilo

•    nome e cognome

•    indirizzo e mail

•    numero di telefono

•    eventuale codice fiscale o partita IVA (se forniti)

Credenziali dell’account creato per l’acquisto del titolo di viaggio

•    username

•    password 

Non sono stati coinvolti dati di carte di credito o altri metodi di pagamento.

Qualora desiderasse ulteriori informazioni tecniche relative all’algoritmo utilizzato per hashare le password, nonché chiarimenti sulle risorse necessarie alla relativa decodifica, il fornitore myCicero resta a disposizione per qualsiasi necessità di approfondimento agli indirizzi indicati in calce alla presente.

Cosa rischiano gli utenti registrati prima del 29 marzo 2025?

La divulgazione di queste informazioni potrebbe esporti, a partire da quella data, a rischi quali la ricezione di e-mail o messaggi di spam e tentativi di truffa (phishing). Inoltre, se utilizzavi o utilizzi tuttora la stessa password o una simile per altri servizi online, esiste il rischio che soggetti non autorizzati possano tentare di accedere anche ad altri applicativi o servizi impossessandosi delle informazioni ivi ospitate.

Più precisamente, la seguente tabella collega ogni tipo di dato sottratto a un esempio di rischio concreto. Questo ti permetterà di comprendere meglio la tua personale esposizione e di agire di conseguenza.

Categoria di Dati
 		Dati Specifici Sottratti
 		Esempio di Rischio Concreto Associato
 
Dati del Profilo e ContattiSolo se registrati in APP prima del 29 marzo 2025.
Nome, cognome, indirizzo e-mail, numero di telefono, ed eventuale Codice Fiscale o Partita IVA da Lei forniti.
 		Ricezione di e-mail o SMS di phishing molto credibili (truffe informatiche), tentativi di furto d'identità o di iscrizione a servizi non richiesti. Prestare attenzione a e-mail apparentemente provenienti da vostri fornitori usuali.
Credenziali di AutenticazioneSolo se in uso prima del 29 marzo 2025.
Username e password, sotto forma di stringa di testo «hashed», detta anche «digest hashed» della password.		Decifrazione della password e accesso non autorizzato.
In caso di uso della stessa password per altri servizi (e-mail, social media, altro), anche quegli account sono a rischio di accesso non autorizzato.
 

Cosa abbiamo chiesto ed ottenuto e i fornitori di servizio esterno hanno fatto?

SVT srl ha richiesto la pubblicazione di una informativa sulla APP e sui loro siti e noi, sul portale SVT srl, con cui ti abbiamo informato dell’accaduto.

MyCicero srl ha  implementato un articolato piano di rafforzamento di tutte le infrastrutture di sicurezza impiegate, anche dai subfornitori di tecnologia, per proteggere i Tuoi dati. Sono state revisionate e rafforzate le misure tecniche, compreso il miglioramento degli algoritmi di crittografia e l’implementazione di sistemi di monitoraggio più avanzati per prevenire accessi non autorizzati in futuro. 

A maggior cautela, per gli utenti eventualmente non raggiunti dall’informativa, in data 01 ottobre 2025 sono state cancellate definitivamente la Tua password di accesso all’App SVT e i siti esterni (sopra indicati) linkati in SVT srl, qualora la stessa non fosse da Te stata già modificata dal 29 marzo 2025 in poi. Tale procedura si è resa necessaria per:

  • facilitare la migrazione ad algoritmo più evoluto;
  • forzare la totalità dell’utenza dell’APP SVT a modificare la password.

Cosa devi fare tu ora per la sicurezza dei Tuoi dati personali (nel caso ti fosse sfuggita la notizia)?

 

1.   Cambia subito le password degli altri servizi online nel caso fossero, per abitudine, uguali o simili a quella usata su APP SVT e i siti esterni (sopra indicati) SVT.

2.    Usa password complesse, lunghe e diverse per ogni servizio (caratterizzate da simboli, numeri, lettere maiuscole e minuscole, di lunghezza particolarmente elevata) e modifica periodicamente le password utilizzate. La password non dovrebbe coincidere con parole e termini noti, e non dovrebbe contenere elementi a te riconducibili (non usare password contenenti il tuo nome e cognome associati alla tua data di nascita)

3.    Attiva l’autenticazione a più fattori (MFA) dove possibile.

4.    Fai attenzione a e-mail o SMS sospetti che citano dati reali (tratte, orari, importi) e non fornire mai password o codici via messaggio.

5.    Verifica sempre l’identità del mittente tramite canali ufficiali.

L’azienda SVT srl non richiede mai password, codici o dati sensibili tramite telefono, SMS o e-mail.

Cordiali saluti,

Il Team di SVT srl 

***

Per ogni ulteriore informazione in merito ad ogni aspetto di questa vicenda, può contattare il servizio di assistenza specifica del fornitore myCicero ai seguenti indirizzi:

Per assistenza dedicata al corretto utilizzo dell’applicativo: servizioclienti@mycicero.it

Per maggiori informazioni riguardo l’evento: incident-svt@mycicero.it