BACO SULLA BANCA DATI DEI CLIENTI TRENITALIA

BACO SULLA BANCA DATI DEI CLIENTI TRENITALIA: L’AZIENDA ASSICURA CHE DOPO GLI INTERVENTI E’ TUTTO A POSTO. ALTALEX E PUNTO INFORMATICO ACCERTANO CHE COSI’ NON E’ ED ADUSBEF INOLTRA UNA DENUNCIA ALLA POLIZIA DELLE COMUNICAZIONI ED AL GARANTE DELLA PRIVACY.TRENITALIA,CHE HA DATO I NUMERI SULLE ADESIONI ALLO SCIOPERO, NON E’ CAPACE NEPPURE DI GARANTIRE LA PROTEZIONE INFORMATICA DEL SITO, FIGURIAMOCI SE PUO’ ASSICURARE LA SICUREZZA DEI VIAGGIATORI ! Trenitalia,che come al solito cerca di dare i numeri (dimenticando che il 53 sulla ruota di Venezia è stato finalmente estratto settimana scorsa !), sulle adesioni al sacrosanto e riuscitissimo sciopero sulla sicurezza indetto dalle organizzazioni sindacali, pienamente condiviso dall’Intesaconsumatori, non è neppure in grado di garantire la doverosa protezione del suo sito informatico,la cui banca dati può agevolmente essere saccheggiata da qualsiasi esperto informatico che abbia interesse ad acquisire dati sensibili degli iscritti alla carta fedeltà dell’azienda. Dopo l’allarme di Altalex e la richiesta di intervento del Garante privacy, Trenitalia aveva assicurato che sul suo sito internet, predisposto per il servizio di biglietteria on-line (e, come tale, fonte di raccolta completa dei dati personali degli utenti), il baco del sistema, che consentiva l’accesso alla banca dati da parte di altri utenti iscritti, era stato eliminato. Le potenziali vittime di questa fuga di dati erano i clienti più fedeli, gli iscritti di Intercity Card, la "carta-fedeltà" di Trenitalia. Come spiegava Altalex a Punto Informatico, che ha a sua volta verificato l’esistenza del bug, per trovarsi con informazioni di altri utenti era sufficiente accedere con il proprio login al sistema web. Dopodiché, tornando indietro con il browser e sostituendo il proprio username con un altro (o digitando magari impropriamente il proprio ID) si accedeva senza ulteriori verifiche alla scheda di altri utenti. “Nella scheda - scrive Altalex - erano disponibili tutti i dati personali inseriti, tra i quali e-mail, codice fiscale ed addirittura il numero del telefono cellulare". "Ciò è possibile per tutti gli utenti (che crediamo nell’ordine delle centinaia di migliaia) - scriveva Altalex a PI nel suo primo advisory - che si sono registrati al sito di Trenitalia S.p.A.: quasi ogni username digitata (nome proprio o di fantasia) consente di accedere ad una scheda personale, utilizzando una qualsiasi password". La prima segnalazione di Altalex a Trenitalia risaliva alle ore 12 del 7 novembre 2004 mentre il giorno successivo, avvertito il Garante della Privacy, questi ha spiegato di aver compiuto degli accertamenti e aver chiesto a Trenitalia quali misure intendesse prendere. Il giorno 9 febbraio, alle 10, sulla pagina di accesso al servizio appariva la scritta: "Causa intervento tecnico la funzionalità di autenticazione è disabilitata sino alle ore 12:00 del giorno 9/02/2005". Alle 12.30, TRENITALIA comunicava che la falla è stata definitivamente chiusa. Ad una prova di Punto informatico risultava che il baco era ancora lì più vivo che mai. ADUSBEF ha così inoltrato una denuncia alla Polizia delle Comunicazioni per violazione quantomeno dell’art. 169 del d.lgs 196/2003 (Codice in materia di protezione dei dati personali) che prevede l’arresto sino a due anni o con l’ammenda da diecimila euro a cinquantamila euro a carico di chiunque, essendovi tenuto, omette di adottare le misure minime di sicurezza in materia di trattamento dei dati personali. Con riserva di risarcimento dei danni, per tutte le violazioni di legge,compreso il diritto della privacy, eventualmente subite dai consumatori. Elio Lannutti-presidente Adusbef (Intesaconsumatori) Roma, 11 febbraio 2005

11/02/2005

Documento n.4451