L’attacco informatico che ha colpito i dati degli utenti dell’app ATM Milano e di altre piattaforme di trasporto pubblico ha acceso i riflettori su chi è davvero responsabile della sicurezza dei dati digitali? La risposta, tutt’altro che semplice, è sepolta tra i contratti, le deleghe e le architetture a strati delle infrastrutture informatiche moderne. La vicenda coinvolge Mooney, Pluservice/MyCicero e WIIT. Non si tratta solo di un caso di cronaca. Evidenzia anche le fragilità sistemiche del modello con cui molti servizi digitali, anche pubblici, vengono progettati, realizzati e gestiti.
Cosa è accaduto con Mooney e le altre piattaforme?
Nello specifico, ATM Milano ha confermato che i dati sensibili dei suoi utenti sono stati al centro di una violazione. Le autorità sono intervenute, ma la questione rimane nebulosa. L’app utilizzata da migliaia di utenti per acquistare biglietti e gestire abbonamenti, è il punto di contatto di una filiera complessa. Da una parte c’è Mooney, azienda fintech che ha ereditato la gestione della piattaforma MyCicero dopo aver acquisito Pluservice. Dall’altra c’è WIIT, il fornitore dell’infrastruttura cloud, che dichiara di avere un ruolo tecnico e nessuna responsabilità sulla sicurezza della piattaforma ospitata.
In tale scenario, in molti si chiedono chi garantisce la protezione dei dati. Il problema non è solo giuridico, ma culturale e strutturale. La frammentazione dei ruoli nella gestione dei sistemi informativi pubblici produce una pericolosa opacità. Qui gli utenti si trovano vulnerabili senza sapere a chi rivolgersi. In tale contesto, persino le autorità, come il Garante per la Privacy o l’Agenzia per la Cybersicurezza, devono navigare tra dichiarazioni contraddittorie per ricostruire la verità.
La trasparenza, in questi contesti, dovrebbe essere una priorità assoluta. Eppure, spesso viene sacrificata. Il risultato è un ecosistema in cui le responsabilità vengono spezzettate in clausole contrattuali che tutelano i fornitori, ma non gli utenti. Considerando ciò, è evidente che la cybersicurezza non può essere più considerata un optional, ma una componente fondamentale di qualsiasi sistema digitale che gestisce dati sensibili. Solo in tal modo è possibile evitare che incidenti come quello con Mooney mettano a rischio i dati sensibili degli utenti.
