L’App Roger, che gli utenti Tper usano per pagare il servizio, è stata colpita da un attacco cyber. “Non c’è stato nessun coinvolgimento dei dati relativi a carte di credito o altri strumenti di pagamento“, ha comunque precisato l’azienda.

“Tper Spa e myCicero Srl, in qualità di contitolari del trattamento, le comunicano che tra il 29 e il 30 marzo 2025 si è verificato un attacco cyber che ha colpito imprtanti sistemi tecnologici. Quelli sotto la gestione di myCicero Srl e dai fornitori di servizi IT, sui quali risiede anche l’App Roger“.

Comincia così una lunga mail che è arrivata a diversi cittadini e residenti di Reggio Emilia. “Precisiamo sin da ora che myCicero ha sporto formale denuncia alla Polizia Postale e sono state attivate tutte le procedure di sicurezza per la protezione dei dati personali“.

In questi termini, ha scritto la Gazzetta di Reggio, si è data la comunicazione dell’attacco hacker criminale contro l’app dei pagamenti di Tper, la società regionale del trasporto pubblico. Quest’applicazione è molto utilizzata, soprattutto dagli studenti locali.

Come funziona l’App Roger?

L’App Roger “è un’applicazione per cellulare di mobilità per l’Emilia-Romagna, sviluppata da Tper, che funziona come biglietteria digitale“.

Consente inoltre “di convalidare e comprare biglietti di bus e treni, pagare il parcheggio dell’auto sulle strisce blu per infomobilità in tempo reale e per combinare percorsi dei mezzi pubblici“. Perciò è molto usata da centinaia di studenti, possessori della card “Mi Muovo“.

Quali dati sono stati sottratti?

Nella nota si legge comunque: “Non sono stati coinvolti i dati relativi a carte di credito o altri strumenti di pagamento“. Tuttavia, “la violazione ha comportato l’esfiltrazione dei dati personali“. In altre parole, violando i server, gli hacker criminali hanno ottenuto varie informazioni sull’identità degli utenti. In particolare:

• nome e Cognome.
• Codice fiscale.
• Le credenziali di autenticazione (username e password) all’app. “In particolar modo, la sua password non era salvata in chiaro, ma trasformata, ‘offuscata’, tramite un sistema di protezione chiamato hash“.

I rischi, di fronte a questa tipologia di operazioni criminali è che, rispetto ai dati sottratti, ci potrebbero essere “tentativi di phishing, truffe o accessi non autorizzati“. Non sono comunque per il momento risultati loro impieghi illeciti, né campagne malevole organizzate “facendo leva sulle informazioni sottratte“.

Quali tutele per gli utenti?

I singoli cittadini hanno ricevuto l’invito a “cambiare la password di accesso, compresa quella di altre piattaforme qualora ci fosse stata la corrispondenza con l’App Roger fino ad agosto“.

“È tutto vero“, ha replicato la dirigenza Tper, alla Gazzetta di Reggio. “In realtà si tratta di un aggiornamento. C’è chi aveva già ricevuto la mail e chi, avendola usata di recente, è stato destinatario per la prima volta“.

Prese le necessarie “contromisure tecnologiche“

Sempre secondo la Gazzetta di Reggio, Tper e MyCicero hanno affermato “di aver già preso le necessarie contromisure tecnologiche per rafforzare il sistema“.

Se tutto ciò che ha una base informatica è esposto ad attacchi, in questo caso ha perfettamente funzionato la tutela dei dati più sensibili, ossia quelli bancari. “La raccomandazione“, fa sapere Tper, “è di cambiare la password“. Chi nella app “non ha mai inserito i propri dati e la usa solo come travelplanner, non deve fare nulla“, ha poi precisato.

Vai al sito di Cybersecurity Italia.

L'articolo Attacco cyber all’app Roger di Tper, sottratti dati personali ma pagamenti al sicuro sembra essere il primo su CyberSecurity Italia.