[doc. web n. 10193174]

Provvedimento del 9 ottobre 2025

Registro dei provvedimenti
n. 612 del 9 ottobre 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti, e il cons. Angelo Fanizza, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il decreto legislativo 30 giugno 2003, n. 196, recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE”, così come modificato dal decreto legislativo 10 agosto 2018, n. 101 (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Pasquale Stanzione;

PREMESSO

1. La violazione dei dati personali e il provvedimento correttivo adottato dal Garante

In data 4 aprile 2025 myCicero S.r.l. (di seguito “Società” o “myCicero”) ha notificato all’Autorità, ai sensi dell’art. 33 del Regolamento, una violazione dei dati personali che ha comportato, fra l’altro, la perdita di riservatezza dei dati personali degli utenti finali dell’app MooneyGo, trattati nell’ambito di sistemi informatici gestiti da PluService S.r.l. (di seguito “PluService”).

Nel corso dell’istruttoria avviata a seguito della notifica di violazione dei dati personali e degli accertamenti ispettivi effettuati, ai sensi dell’art. 58, par. 1, lett. a), e) e f), del Regolamento e degli artt. 157 e 158 del Codice, nei confronti di myCicero e di PluService nelle giornate del 3, 4 e 5 giugno 2025, è emerso che:

con riferimento agli utenti finali dell’app MooneyGo, la violazione ha riguardato, in particolare, le seguenti tipologie di dati (v. note di PluService del 18 aprile e del 7 maggio 2025):

dati del “Profilo Utente”: “dati relativi ai profili degli utenti” che comprendono “nome, cognome, mail, telefono (obbligatori)” e “P.IVA, codice fiscale (facoltativi a seconda del servizio attivo)”, per un totale di circa 2,8 milioni di registrazioni, tra le quali 613.778 codici fiscali e di 55.957 partite IVA;

dati relativi al servizio “Sosta”: “targhe, zone tariffarie in cui sono avvenute le soste, date e orari di inizio e fine sosta, posizione GPS delle soste (anonimizzata entro 64 ore dall’evento)”, per un totale di circa 765 mila registrazioni;

dati relativi al servizio “Sharing”: “data e ora inizio e fine noleggio, importo pagato, punto di inizio e fine della corsa, compagnia utilizzata”, per un totale di circa 1,2 mila registrazioni;

dati relativi al servizio “Taxi”: “data e ora inizio e fine corsa, luogo di partenza e arrivo, importo pagato, compagnia utilizzata e sigla taxi”, per un totale di circa mille registrazioni;

dati relativi al servizio “Biglietti TPL”: “data acquisto, importo pagato, zona tariffaria, tipologia e data validità del titolo”, per un totale di circa 215 mila registrazioni;

dati relativi al servizio “Abbonamenti TPL”: “data inizio e fine validità, zona tariffaria, importo pagato, tipologia titolo acquistato”, per un totale di circa 23 mila registrazioni;

dati relativi al servizio “Biglietti GT”: “data e ora del viaggio, luogo di partenza e arrivo, importo pagato, nomi di eventuali altri passeggeri”, per un totale di circa 6 mila registrazioni;

“tra i dati oggetto di esfiltrazione, rientrano anche le credenziali di autenticazione, costituite da username e password cifrata”; in particolare, le password oggetto di violazione erano conservate sotto forma di digest calcolato con la funzione di hashing MD5 (con l’utilizzo di un salt di 64 bit, uguale per tutte le password) oppure con la funzione di password hashing bcrypt2a (con l’utilizzo di un salt di 128 bit, uguale per tutte le password, e di un parametro di costo computazione pari a 11, ossia 2.048 iterazioni) (v. nota di PluService del 15 maggio 2025);

“l’accesso iniziale degli autori dell’attacco informatico è avvenuto sfruttando una vulnerabilità del server con hostname “XX” ospitato presso la sede legale di PluService; successivamente, attraverso una serie di movimenti laterali, gli autori dell’attacco sono riusciti ad esfiltrare una parte dei dati presenti nei server con hostname “XX”, “XX” e “XX” appartenenti al data center di WIIT (interconnesso con la sede legale di PluService con una VPN site-to-site). In particolare, al momento dell’attacco informatico, erano in corso alcune attività di tuning dei predetti sistemi informatici utilizzati per erogare servizi ad alcuni clienti […], nell’ambito delle quali erano state effettuate copie di backup (non protette da crittografia) dei dati presenti nei database da utilizzare in caso di eventuali malfunzionamenti. Nel corso delle attività di analisi svolte a seguito dell’attacco informatico, Cybertech ha individuato un bucket esterno (XX) nel quale erano memorizzati i dati esfiltrati, direttamente dal cloud di WIIT. […] Cybertech, su richiesta di PluService, ha acquisito l’elenco dei file presenti nel citato bucket e, successivamente, ha provveduto a cancellare tali dati” (v. verbale dell’accertamento ispettivo nei confronti di PluService del 3 giugno 2025, pagg. 3 e 4);

myCicero ha fornito un prospetto recante il numero di password degli utenti dell’app MooneyGo coinvolte nella violazione dei dati personali, che erano conservate nei sistemi oggetto di violazione sotto forma di digest calcolato con la funzione di hashing MD5 (circa 620 mila riferite a utenti dell’app MooneyGo) oppure con la funzione di password hashing bcrypt2a (circa 2,2 milioni riferite a utenti dell’app MooneyGo) (v. verbale dell’accertamento ispettivo nei confronti di myCicero del 4 giugno 2025, all. 1);

accedendo ad alcuni dei database – le cui copie di backup, effettuate negli anni 2024 e 2025, sono state rivenute “nel bucket esterno nel quale erano memorizzati i dati esfiltrati nel corso dell’attacco informatico” –, è stato constatato che:

“la tabella “XX” del database “XX” (copia di backup effettuata in data 15 aprile 2025), ospitato nel server “XX”, contiene dati personali (es. dati anagrafici e di contatto, password sotto forma di digest MD5 o BCRYPT2, codice identificativo GUID) relativi agli utenti finali dell’app MooneyGo e di tutte le app white label;

la tabella “XX” del citato database “XX” contiene dati personali (es. codice identificativo della tessera) relativi agli utenti finali dell’app MooneyGo e di tutte le app white label; […]

le tabelle “XX”, “XX”, “XX” e “XX” del database “XX” (attuale ambiente di produzione), ospitato nel server “XX”, contiene informazioni sulle soste effettuate dagli utenti finali dell’app MooneyGo e di tutte le app white label (es. codice identificativo della tessera, targa del veicolo, gestore del servizio, zona tariffaria, data e ora di inizio/fine della sosta, coordinate geografiche del luogo di sosta per un periodo limitato di tempo)” (v. verbale dell’accertamento ispettivo nei confronti di PluService del 4 giugno 2025, pagg. 4 e 5).

Nelle more dello svolgimento dell’istruttoria, il Garante ha ritenuto necessario valutare la conformità delle iniziative intraprese dalla Società a tutela dei diritti e delle libertà delle persone fisiche, con riferimento, fra l’altro, agli obblighi informativi nei confronti degli interessati coinvolti nella violazione dei dati personali (art. 34 del Regolamento).

In particolare, con il provvedimento n. 473 del 4 agosto 2025, notificato alla Società in data 12 agosto 2025, che qui si intende integralmente richiamato, il Garante – ritenendo che la violazione dei dati personali in esame presentasse un rischio elevato per i diritti e le libertà delle persone fisiche e che myCicero non avesse adempiuto gli obblighi di cui all’art. 34 del Regolamento – ha ingiunto, fra l’altro, alla stessa Società:

ai sensi degli artt. 34, par. 4, e 58, par. 2, lett. e), del Regolamento, di comunicare, senza ritardo e comunque entro dieci giorni, la violazione agli utenti finali dell’app MooneyGo;

ai sensi degli artt. 58, par. 1, lett. a), del Regolamento e 157 del Codice, di fornire all’Autorità, senza ritardo e comunque entro trenta giorni, un riscontro adeguatamente documentato in merito alle iniziative intraprese al fine di dare attuazione al medesimo provvedimento.

2.  Le iniziative intraprese da myCicero per dare attuazione al provvedimento del Garante

Con nota dell’11 settembre 2025, con particolare riferimento alle iniziative adottate per comunicare la violazione dei dati personali agli utenti finali dell’app MooneyGo, la Società ha rappresentato che:

“in data 15 agosto, è stata trasmessa [… all’] Autorità una prima bozza di comunicazione agli utenti finali, con richiesta di valutazione preventiva, al fine di garantire la piena conformità ai requisiti normativi e di evitare fraintendimenti”; al riguardo, si evidenzia che, nella nota del 15 agosto 2025, la Società aveva altresì specificato che avrebbe proceduto “ad inviare via email e a mettere a disposizione all’interno dell’App MooneyGo” detta comunicazione;

“in data 22 agosto, la Società ha condiviso con l’Autorità una versione integrata e articolata della comunicazione, suddivisa in cinque tipologie distinte, differenziate per profilo utente e algoritmo di hashing, come segue […]:

TIPO 1 – Utenti App myCicero non migrati ad attuale App MooneyGo (hashing MD5);

TIPO 1-bis – Utenti App myCicero con password aggiornata (hashing BCRYPT);

TIPO 1-tris – Utenti App myCicero con password NON aggiornata (hashing BCRYPT);

TIPO 2 – Utenti App MooneyGo con password aggiornata (hashing BCRYPT);

TIPO 3 – Utenti App MooneyGo con password NON aggiornata (hashing BCRYPT)”;

“la scelta di differenziare le comunicazioni è stata presa dalla Società al fine di garantire massima chiarezza, efficacia comunicativa e piena comprensione da parte degli utenti, in funzione della propria situazione tecnica e del livello di rischio potenziale. […] le comunicazioni sono state redatte in linguaggio semplice e chiaro, descrivendo:

la natura e le conseguenze della violazione;

le categorie di dati personali coinvolti, inclusa la versione crittografata della password;

le misure che gli interessati possono adottare, tra cui:

- non utilizzare più la password compromessa né una simile;

- modificare la password utilizzata per altri servizi online, qualora coincidente o simile”;

“la comunicazione è stata effettuata tramite l’invio di e-mail agli utenti interessati in data 22 agosto 2025”.

Inoltre, la Società ha fornito copia dei cinque diversi tipi di comunicazioni trasmesse agli utenti finali dell’app myCicero e dell’app MooneyGo (di seguito, congiuntamente, “app MooneyGo”) nelle quali viene evidenziato che “dalle analisi condotte, è emerso che gli autori dell’attacco potrebbero aver avuto accesso a dati personali associati al […] profilo utente […], tra cui:

Nome, cognome, indirizzo email e numero di telefono;

Eventuale Codice Fiscale o Partita IVA, se […] forniti;

La versione crittografata (tecnicamente definita «hash») della […] password”.

3. L’approfondimento istruttorio condotto dall’Autorità

In data 18 settembre 2025, l’Ufficio – avendo rilevato che nelle citate comunicazioni del 22 agosto 2025 non venivano menzionati, tra i dati oggetto di violazione, quelli relativi ai servizi di mobilità (quali i titoli di sosta, i titoli di viaggio TPL e GT, gli abbonamenti TPL o i dati relativi ad altri servizi erogati mediante l’app MooneyGo) – ha rivolto a myCicero una richiesta di informazioni, ai sensi dell’art. 157 del Codice, al fine di conoscere le ragioni per le quali la Società informato gli utenti finali dell’app MooneyGo, mediante le comunicazioni individuali del 22 agosto 2025, del fatto che, tra i dati personali oggetto di violazione, vi sono anche quelli relativi ai servizi di mobilità fruiti.

Con nota del 22 settembre 2025, myCicero ha fornito un riscontro alla citata richiesta di informazioni rappresentando, in particolare, che:

a) “Tale informazione è stata già resa pubblica agli interessati nella fase comunicativa antecedente l’invio del 22 agosto. […] myCicero ha comunicato la violazione dei dati personali agli utenti finali […] mediante un apposito avviso pubblicato nella homepage del proprio sito web nel periodo che va dal 9 aprile al 21 maggio 2025 [… nonché] mediante un apposito avviso pubblicato nel sito web MooneyGo nel periodo che va dal 9 aprile al 21 maggio 2025». In tali avvisi è riportato testualmente che «sulla base delle informazioni raccolte i dati potenzialmente esposti potrebbero includere nome, cognome, indirizzo e-mail, numeri di telefono ed eventuali titoli di mobilità, ove acquistati». […] Ne discende che l’esistenza di un possibile coinvolgimento di dati di mobilità è stata esplicitamente comunicata al pubblico tra il 9 aprile e il 21 maggio 2025 […]. Sul tema è bene ricordare […] come i titoli di mobilità offerti [… dalla] società includano i titoli di viaggio TPL e GT, gli abbonamenti TPL ed i titoli di sosta. Le informazioni relative alla targa del veicolo e alla presenza del veicolo all’interno di un parcheggio sono di norma inclusi nel titolo di mobilità classificabile come «titolo di sosta» […]. Si evidenzia, inoltre, che la comunicazione trasmessa in data 22 agosto specifica espressamente che i dati elencati sono «tra» quelli oggetto di esfiltrazione, indicando chiaramente che l’elenco fornito non ha carattere esaustivo né onnicomprensivo, ma rappresenta una selezione parziale dei dati coinvolti.

b) Il provvedimento notificato dall’Autorità Garante il 12 agosto 2025 nulla indicava in merito. […] non vi è nessun riferimento […] ai dati relativi ai servizi di mobilità fruiti, quali i titoli di sosta (incluse targhe e ubicazione dei veicoli), i titoli di viaggio TPL e GT, gli abbonamenti TPL o altri dati relativi a servizi offerti mediante le citate app, temi che dunque la […] società dava già per risolti.

c) La comunicazione individuale del 22 agosto 2025 è stata condivisa [(rectius, trasmessa)] preventivamente con l’Autorità Garante […]. In tale contesto, non sono state formulate indicazioni specifiche circa l’opportunità di integrare ulteriormente il contenuto della comunicazione da trasmettere agli interessati. La Società ha pertanto agito facendo legittimo affidamento sul comportamento e sulle indicazioni ottenute dall’Autorità Garante. Si evidenzia, inoltre, che anche in precedenti occasioni, di fronte a richieste potenzialmente contestabili, la Società ha sempre privilegiato gli strumenti dell'autotutela e del dialogo collaborativo con l'Autorità, [… al fine] di garantire una tempestiva tutela degli interessati, obiettivo prioritario che la Società intende perseguire attraverso un rapporto di trasparenza e collaborazione costruttiva con l'Autorità Garante. In proposito, si richiama il principio di buona fede e collaborazione, codificati nell'art. 1, co. 2-bis, della L. 241/1990, quale criterio guida nei rapporti tra l'amministrazione e i privati, da intendersi come un dovere reciproco.

d) Al fine di evitare di sovraccaricare una comunicazione di massa con dettagli non strettamente pertinenti e di ridurre il rischio di fraintendimenti, la Società ha ritenuto opportuno rinviare alle comunicazioni già trasmesse in precedenza, le quali riportavano informazioni più dettagliate in merito ai servizi di mobilità. Le linee guida dell’EDPB consentono sia l’uso di più canali per massimizzare l’efficacia informativa sia, ove necessario, la fornitura delle informazioni «per fasi»; Questo giustifica il modello «stratificato» adottato ed una comunicazione […] focalizzata prevalentemente sulle credenziali di autenticazione, facendo affidamento sulla valutazione del rischio espressa dall’Autorità e nel pieno interesse di intervenire nell’immediato a tutela degli interessati. Sul tema è bene ricordare come gli obblighi di cui all’articolo 34 del GDPR leghino l'obbligo di comunicazione all'esistenza di un «rischio elevato per i diritti e le libertà delle persone fisiche»; l’esfiltrazione di dati relativi a titoli di mobilità (ed eventuali dati quali numero di targhe e localizzazione in parcheggi di autovetture), anche alla luce della struttura del database, come descritta alla lettera g) […], non comporterebbe di per sé rischi gravi per i diritti e le libertà degli interessati, rischi che l’Autorità Garante ha valutato come tali unicamente con riferimento alla esfiltrazione di credenziali ed ai digest di password crittografate.

e) In relazione ai dati esfiltrati, […] uno dei rischi connessi alla esfiltrazione di Digest crittografici relativi a password consiste nel fatto che, qualora le password fossero «svelate» dall’attaccante, questi potrebbe riutilizzarle per accedere ai servizi offerti dalla Società, ovvero nel caso gli utenti avessero utilizzato medesima combinazione per altri servizi, l’attaccante avrebbe potuto utilizzarle per tali servizi. Considerata la difficoltà di spiegare a un pubblico eterogeneo la nozione di digest/hash e i rischi connessi, la comunicazione e-mail, rivolta all’intera base utenti, ha privilegiato un messaggio semplice e immediato con riferimento ai soli dati delle credenziali: nome, cognome, e-mail e password, numero di cellulare, CF e P.IVA che nella pratica dei servizi online costituiscono, come noto, la combinazione tipica di credenziali di autenticazione ed autorizzazione. Tale scelta è coerente con gli orientamenti EDPB sui casi di violazioni che coinvolgono direttamente password.

f) I testi tipizzati, che rinviavano alla precedente informativa, hanno esplicitato che «a seguito di ulteriori indagini tecniche e contrariamente a quanto comunicatoLe in precedenza, anche le password, dunque, sebbene in versione crittografata, sono state coinvolte nell’incidente» e hanno fornito istruzioni operative chiare e coerenti con il dispositivo del Provvedimento. Pertanto, […] la comunicazione inviata a mezzo mail era da considerarsi integrativa di quella precedente.

g) […] la struttura architetturale dei sistemi […] presenta essa stessa una separazione funzionale e logica tra anagrafica centrale (PU – Profilo Utente) ed i database riconducibili agli applicativi dei singoli servizi, base dati distinte e prive di una chiave esterna condivisa idonea a consentire un matching automatico su larga scala; le eventuali corrispondenze risultano «parziali e non deterministiche», con valutazione di «probabilità estremamente bassa» di correlazione su vasta scala. […] appare quantomeno del tutto improbabile anche solo che i singoli dati che compongono i titoli di mobilità possano essere tra di loro collegati al fine di ricostruire il titolo di mobilità stesso, [… e] che, una volta ricostruito tale titolo di mobilità, questo possa essere ricondotto a un utente. L’attaccante, infatti, per poter ricollegare anche solo una targa a una persona fisica, dovrebbe ricostruire un sistema complesso di database e replicare l’intera struttura del sistema. Tale operazione […] appare ai limiti dell’impossibilità tecnica, risultando difficilmente realizzabile in pratica, perché comporterebbe uno sforzo del tutto sproporzionato in termini di tempo, costo e lavoro, senza considerare inoltre che – sulla base degli elementi finora emersi – l’intento dell’attaccante sembrerebbe essere stato principalmente quello di arrecare significativi disagi alla mobilità, piuttosto che perseguire la violazione dei dati personali di persone fisiche. In ragione di ciò, sebbene i dati di mobilità siano dati personali per la Società, il rischio che possano essere utilizzati dall'attaccante come dati personali degli utenti è pressoché nullo. Questa bassa probabilità di re-identificazione da parte di terzi giustifica la loro classificazione come dati a rischio inferiore rispetto alle password e i dati di login e, di conseguenza, la loro esclusione dalla comunicazione prioritaria e urgente del 22 agosto. Questa impostazione […] appare coerente con il principio relativistico del concetto di dato personale sancito, anche recentemente, dalle Corti Europee. In applicazione del [… quale] si dubita fortemente che un dato quale la targa o l'ubicazione di un veicolo, tra l'altro esfiltrato da un database logicamente e funzionalmente separato da quello anagrafico, possa costituire dato personale nelle mani dell'attaccante. Quest'ultimo, infatti, non dispone dei «mezzi ragionevolmente utilizzabili» per effettuare la re-identificazione. […] l'impiego di mezzi per la re-identificazione – quali un ulteriore attacco informatico ad alto rischio verso registri pubblici con l'accesso a pagamento (e tracciato) a pubblici registri automobilistici – risulterebbe nettamente sproporzionato e irrazionale rispetto alle finalità, rendendo tale possibilità meramente teorica. Di conseguenza, la comunicazione dell'infiltrazione agli interessati non deriva da un obbligo di notifica di data breach ai sensi dell'art. 34 GDPR, ma rappresenta una misura di massima trasparenza adottata dalla Società, sebbene non dovuta”.

4. La segnalazione pervenuta all’Autorità

In data 1° settembre 2025, è pervenuta all’Autorità la segnalazione di un utente finale dell’app MooneyGo che ha lamentato la presenza, all’interno del messaggio di posta elettronica con il quale è stata effettuata la comunicazione della violazione dei dati personali, di un “pixel di tracciamento (inserito come immagine trasparente con URL esterno), potenzialmente idoneo a raccogliere informazioni circa l’apertura della comunicazione e l’interazione dell’utente, senza che ciò fosse stato in alcun modo segnalato o giustificato”.

OSSERVA

Nelle more dello svolgimento dell’istruttoria tuttora in corso, finalizzata ad approfondire quanto sopra illustrato e a definire le responsabilità in merito all’accaduto, risulta necessario valutare la conformità delle iniziative intraprese dalla Società al fine di dare attuazione al citato provvedimento n. 473 del 4 agosto 2025, con particolare riferimento all’adempimento degli obblighi informativi nei confronti degli interessati coinvolti nella violazione dei dati personali (artt. 34 e 58, par. 2, lett. e), del Regolamento).

5. La comunicazione della violazione dei dati personali agli utenti dell’app MooneyGo

L’art. 34 del Regolamento stabilisce che “quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo” (par. 1) e che detta comunicazione non è richiesta, in particolare, se “il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura” (par. 3, lett. a)).

Il Regolamento prevede, inoltre, che “nel caso in cui il titolare del trattamento non abbia ancora comunicato all'interessato la violazione dei dati personali, l'autorità di controllo può richiedere, dopo aver valutato la probabilità che la violazione dei dati personali presenti un rischio elevato, che vi provveda o può decidere che una delle condizioni di cui al paragrafo 3 è soddisfatta” (art. 34, par. 4) e che l’autorità di controllo ha il potere di “ingiungere al titolare del trattamento di comunicare all’interessato una violazione dei dati personali” (art. 58, par. 2, lett. e)).

Con il provvedimento n. 473 del 4 agosto 2025, il Garante ha ingiunto alla Società, ai sensi degli artt. 34, par. 4, e 58, par. 2, lett. e), del Regolamento, di comunicare la violazione dei dati personali agli utenti finali dell’app MooneyGo in modo adeguato (punto 1) del dispositivo):

1) nel contenuto, descrivendo con un linguaggio semplice e chiaro la natura e le possibili conseguenze della violazione, nonché fornendo indicazioni specifiche sulle misure che gli stessi interessati possono adottare per proteggersi da eventuali conseguenze negative della violazione, quale quella di non utilizzare più la password compromessa né una simile nonché di modificare la password utilizzata per l'accesso ad altri sistemi informatici o servizi online qualora coincidente o simile a quella oggetto di violazione;

2) nelle modalità, utilizzando più canali di comunicazione al fine di massimizzare la possibilità di informare tutti gli interessati coinvolti, quali, ad esempio, l'invio di un messaggio all’indirizzo di posta elettronica, l’invio di una notifica push e la pubblicazione di un avviso all’interno dell’app MooneyGo.

Al fine di dare attuazione al predetto provvedimento, la Società, in data 22 agosto 2025, ha inviato agli utenti finali dell’app MooneyGo un messaggio di posta elettronica, avente ad oggetto “Comunicazione Importante sulla Sicurezza del Suo Account MooneyGo”, nel quale viene evidenziato che “gli autori dell’attacco potrebbero aver avuto accesso a dati personali” e vengono indicate solo parzialmente le tipologie di dati personali oggetto di violazione. In particolare, la comunicazione resa agli utenti dell’app MooneyGo:

è stata veicolata tramite un unico canale (messaggio di posta elettronica), anziché ricorrere a più canali di comunicazione come esplicitamente ingiunto con il provvedimento del Garante;

anche a fronte dell’accertata esfiltrazione dei dati personali, è formulata utilizzando un modo verbale (condizionale) che lascia intendere che la violazione dei dati personali sia solo ipotetica;

non evidenzia, come invece accertato, che la violazione ha riguardato anche i dati relativi ai servizi di mobilità fruiti nell’ambito dell’app MooneyGo, quali i titoli di sosta, i titoli di viaggio TPL e GT, gli abbonamenti TPL o i dati relativi ad altri servizi erogati mediante la medesima app.

In relazione a tale ultimo aspetto, la Società ha formulato una serie di argomentazioni sulle quali occorre svolgere le considerazioni di seguito riportate.

5.1. Sulle argomentazioni di cui alle lett. a) e f) della nota del 22 settembre 2025

La Società ha evidenziato come gli interessati sarebbero stati già informati del fatto che la violazione dei dati personali avrebbe riguardato anche dati relativi ai servizi di mobilità fruiti nell’ambito dell’app MooneyGo, ritenendo che la citata comunicazione del 22 agosto 2025 sia qualificabile come integrativa della comunicazione pubblica effettuata sui siti web della Società nel periodo che va dal 9 aprile al 21 maggio 2025. Inoltre, la stessa Società ha rappresentato che la comunicazione inviata via e-mail in data 22 agosto 2025 “specifica espressamente che i dati elencati sono «tra» quelli oggetto di esfiltrazione, indicando chiaramente che l’elenco fornito non ha carattere esaustivo né onnicomprensivo, ma rappresenta una selezione parziale dei dati coinvolti”.

Al riguardo, si osserva che l’Autorità, con il citato provvedimento n. 473 del 4 agosto 2025, si è già espressa negativamente sull’adeguatezza della comunicazione pubblica effettuata sui siti web MooneyGo e myCicero, ritenendo che la stessa non avesse soddisfatto i requisiti di efficacia e trasparenza previsti dalla normativa in materia dei dati personali, tenuto conto, fra l’altro, che non ha raggiunto gli utenti finali dell’app MooneyGo (che, anche in caso di frequente utilizzo dei servizi ivi offerti, non sono abituati a consultare i predetti siti web).

Inoltre, non risulta possibile accogliere l’interpretazione del Regolamento proposta dalla Società secondo cui un titolare del trattamento potrebbe limitarsi a indicare, nella comunicazione di una violazione dei dati personali agli interessati, un elenco parziale delle tipologie di dati coinvolti, non consentendo agli stessi di valutare compiutamente le possibili conseguenze della violazione e vanificando così l’effetto della tutela offerto dall’istituto ai soggetti coinvolti.

5.2. Sulle argomentazioni di cui alla lett. b) della nota del 22 settembre 2025

La Società ha affermato che nel provvedimento correttivo adottato dal Garante non vi è alcun riferimento alla violazione dei dati relativi ai servizi di mobilità fruiti dagli utenti finali dell’app MooneyGo.

In proposito, si osserva che, diversamente da quanto asserito dalla Società, il provvedimento n. 473 del 4 agosto 2025 fa esplicito riferimento a tale tipologia di dati personali nella parte in cui vengono valutati i rischi per i diritti e le libertà degli interessati derivanti dalla violazione e viene evidenziato che si deve tener conto anche della “natura della violazione dei dati personali, che si è verificata nell’ambito di un attacco informatico finalizzato ad acquisire dati personali, tra i quali dati anagrafici e di contatto (nome, cognome, indirizzo di posta elettronica e/o numero di cellulare), credenziali di autenticazione (username e password, sotto forma di stringa di testo, detta anche digest) e altri dati personali (tra i quali, biglietti o abbonamenti TPL, soste a pagamento)”.

5.3. Sulle argomentazioni di cui alla lett. c) della nota del 22 settembre 2025

La Società ha rappresentato che – avendo trasmesso preventivamente all’Autorità, venerdì 15 agosto 2025, alle ore 15:04, il testo della comunicazione della violazione agli interessati, con l’invito a verificare “entro 48 ore […] il testo della comunicazione che la società procederà ad inviare via email e a mettere a disposizione all’interno dell’App MooneyGo” – l’assenza di un riscontro del Garante nei termini prospettati avrebbe fatto insorgere un “legittimo affidamento” sull’adeguatezza del predetto testo.

In disparte ogni valutazione sulla singolare pretesa della Società, in base alla quale l’Autorità, entro stringenti termini stabiliti da un titolare, sarebbe tenuta a fornire un riscontro preventivo in ordine all’adeguatezza delle azioni da intraprendere, si osserva che, in ossequio al principio di responsabilizzazione di cui agli artt. 5, par. 2, e 24 del Regolamento, ricade in capo al titolare del trattamento l’obbligo di garantire ed essere in grado di dimostrare che il trattamento è effettuato conformemente al Regolamento e nel rispetto dei principi ivi previsti. Il predetto principio di responsabilizzazione richiede pertanto l’adozione di comportamenti proattivi e consapevoli da parte del titolare del trattamento e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l'applicazione del Regolamento, tenendo conto del contesto complessivo ove il trattamento si colloca e dei rischi per i diritti e le libertà degli interessati.

Peraltro, nel corso dell’istruttoria, anche al fine di sensibilizzare la Società in ordine agli specifici obblighi in materia di violazione dei dati personali e di stimolarne l’adempimento, l’Autorità ha più volte fornito indicazioni sulla necessità di comunicare la violazione agli interessati coinvolti, richiamando le disposizioni rilevanti e gli orientamenti del Comitato europeo per la protezione dei dati e del Garante; da ultimo, con il provvedimento n. 473 del 4 agosto 2025, il Garante ha fornito indicazioni sul contenuto della comunicazione, evidenziando – dopo aver riepilogato in maniera compiuta le diverse tipologie di dati personali oggetto di violazione, anche al fine di valutare i rischi derivanti dalla violazione (cfr. parr. 2 e 6 del citato provvedimento) – come fosse necessario descrivere “con un linguaggio semplice e chiaro la natura e le possibili conseguenze della violazione”.

5.4. Sulle argomentazioni di cui alle lett. d) ed e) della nota del 22 settembre 2025

La Società ha dichiarato di aver ritenuto opportuno rinviare alla comunicazione pubblica della violazione dei dati personali – che indicava, tra i dati oggetto di violazione, anche quelli relativi ai servizi di mobilità – “al fine di evitare di sovraccaricare una comunicazione di massa con dettagli non strettamente pertinenti e di ridurre il rischio di fraintendimenti”, evidenziando che tale approccio sarebbe in linea con gli orientamenti del Comitato europeo per la protezione dei dati in merito all’utilizzo di più canali per massimizzare l’efficacia informativa e alla fornitura di informazioni “per fasi”.

La stessa Società ha, poi, rappresentato di aver privilegiato un “messaggio semplice e immediato con riferimento ai soli dati delle credenziali”, evidenziando che anche tale scelta sarebbe coerente con gli orientamenti forniti dal Comitato europeo per la protezione dei dati in caso di violazione dei dati personali che coinvolgono password.

In via preliminare, si evidenzia che le “Linee guida 9/2022 sulla notifica delle violazioni dei dati personali ai sensi del regolamento generale sulla protezione dei dati (GDPR)”, adottate dal Comitato europeo per la protezione dei dati il 28 marzo 2023, nel raccomandare l’utilizzo di più canali di comunicazione, chiariscono anche che l'obiettivo principale della comunicazione di cui all’art. 34 del Regolamento è aiutare gli interessati a comprendere la natura della violazione. Tale obiettivo non può di certo ritenersi raggiunto qualora, come nel caso in esame, le comunicazioni effettuate con canali diversi contengano informazioni tra loro discordanti e, quindi, non comprensibili agli interessati a cui le stesse sono dirette, oppure una delle comunicazioni non sia facilmente accessibile e richieda una ricerca specifica da parte degli interessati. Al riguardo, si rappresenta infatti che, nell’ambito della comunicazione trasmessa mediante posta elettronica, la Società ha effettuato un generico rinvio all’avviso pubblicato sui siti web MooneyGo e myCicero, parzialmente discostandosi dal contenuto dello stesso, come di seguito descritto, senza tuttavia provvedere a trasmettere una copia di tale avviso o un link diretto allo stesso, che, peraltro, come dichiarato dalla stessa Società, è rimasto accessibile dalle home page dei due siti web solo fino al 21 maggio 2025.

Peraltro che le citate linee guida non contengono espressamente, come invece evidenziato dalla Società, indicazioni sulla fornitura di informazioni “per fasi” agli interessati, ma contemplano tale facoltà, solo per la notifica di una violazione dei dati personali all’autorità di controllo. In ogni caso, se si volesse utilizzare un approccio “per fasi” anche nel contesto della comunicazione di una violazione dei dati personali agli interessati, ciò andrebbe effettuato in ossequio alla ratio sottesa alla stessa. In tale ottica, la comunicazione per fasi agli interessati potrebbe essere ammissibile esclusivamente nei casi in cui, sulla base delle preliminari informazioni disponibili, sia necessario procedere senza indugio a rendere edotti gli interessati dei rischi elevati derivanti da una violazione occorsa (ad esempio, se esiste una minaccia immediata di furto o usurpazione d'identità oppure se categorie particolari di dati personali vengono diffuse o comunicate a terzi), riservandosi di far pervenire successivamente agli stessi, mediante ulteriori comunicazioni, informazioni complete ed esaustive in merito alla violazione occorsa, incluse quelle preliminarmente comunicate.

Analogamente, risulta impropria l’affermazione della Società, secondo cui l’indicazione, tra i dati personali oggetto di violazione, dei dati relativi ai servizi di mobilità avrebbe rappresentato un dettaglio non strettamente pertinente. Ciò in quanto l’indicazione di tutte le tipologie di dati personali oggetto di violazione è necessaria al fine di informare in maniera esaustiva gli interessati sull’effettiva natura della violazione occorsa e di renderli consapevoli delle possibili conseguenze della stessa, nonché strumentale per un’efficace individuazione delle forme di tutela più opportune, in ossequio al principio e agli obblighi di trasparenza di cui agli artt. 5, par. 1, lett. a), 12, par. 1, e 34 del Regolamento.

La predetta affermazione risulta, altresì, ancor più inconferente considerando che le “Linee guida 01/2020 sul trattamento dei dati personali nel contesto dei veicoli connessi e delle applicazioni legate alla mobilità”, adottate dal Comitato europeo per la protezione dei dati il 9 marzo 2021, ricordano che i dati relativi all’ubicazione – ricompresi, per quanto rileva nel caso di specie, tra i dati relativi ai servizi di mobilità fruiti nell’ambito dell’app MooneyGo – “sono particolarmente atti a fornire indicazioni sulle abitudini di vita degli interessati. I viaggi effettuati hanno la particolare caratteristica di permettere di risalire al luogo di lavoro e di residenza, nonché ai centri di interesse (svago) del conducente e possono eventualmente rivelare informazioni sensibili quali il credo religioso (attraverso il luogo di culto) oppure l'orientamento sessuale (sulla base dei luoghi visitati)” (punto 63).

Infine, non può ritenersi condivisibile quanto rappresentato dalla Società in merito al fatto che gli utenti finali dell’app MooneyGo siano stati messi nelle condizioni di comprendere in modo semplice e chiaro quali siano stati i dati personali oggetto di violazione. Infatti, la Società, nella comunicazione inviata in data 22 agosto 2025, ha fornito agli interessati informazioni contraddittorie. Da un lato, ha menzionato l’avviso pubblicato sui propri siti web, senza peraltro fornirne i link; dall’altro, ha preso le distanze da tale avviso, rappresentando all’interessato che “a seguito di ulteriori indagini tecniche e contrariamente a quanto comunicatoLe in precedenza anche le password, dunque, sebbene in versione crittografata, sono state coinvolte nell’incidente […]”.

5.5. Sulle argomentazioni di cui alla lett. g) della nota del 22 settembre 2025

La Società – nel rappresentare che i dati personali oggetto di violazione erano conservati all’interno di sistemi informatici che presenterebbero “una separazione funzionale e logica tra anagrafica centrale […] ed i database riconducibili agli applicativi dei singoli servizi, base dati distinte e prive di una chiave esterna condivisa idonea a consentire un matching automatico su larga scala” e che tale impostazione avrebbe un certo “effetto pseudonimizzante” – ha ritenuto improbabile che i dati relativi ai servizi di mobilità possano essere ricondotti a uno specifico utente finale, essendo tale operazione “ai limiti dell’impossibilità tecnica”, e che la bassa probabilità di re identificazione degli utenti finali da parte di terzi giustifichi l’esclusione di tale tipologia di dati dalla comunicazione agli interessati.

La Società, poi, ha richiamato il “principio relativistico del dato personale, consolidato dalla Corte di Giustizia Europea, [… dubitando] fortemente che un dato quale la targa o l’ubicazione di un veicolo possa costituire dato personale nelle mani dell’attaccante” e sostenendo che questi non disponga di “mezzi ragionevolmente utilizzabili” per effettuare l’operazione di re identificazione.

Sul punto, si evidenzia, innanzitutto, che le citate modalità di conservazione dei dati personali degli utenti dell’app MooneyGo, più che frutto dell’applicazione di tecniche di pseudonimizzazione, costituiscono l’ordinario funzionamento di sistemi informatici basati sull’utilizzo di database relazionali, nell’ambito dei quali i dati sono organizzati in modo strutturato e memorizzati in più tabelle tra loro collegate tramite degli identificatori univoci (c.d. chiavi). Ne consegue che la mera separazione logica tra i diversi insiemi di dati non integra di per sé una misura idonea a determinare una reale pseudonimizzazione, ai sensi dell’art. 4, punto 5), del Regolamento, né comporta una riduzione sostanziale del rischio di re identificazione, ove i dati, anche indirettamente, restino associabili a un interessato.

Con particolare riferimento ai dati relativi al servizio di sosta, nel corso degli accertamenti ispettivi è stato verificato che:

nella tabella “XX” del database “XX” sono presenti i dati delle soste effettuata da ciascun utente finale dell’app MooneyGo (in alcuni casi con l’indicazione delle coordinate geografiche), un codice identificativo (c.d. codice tessera) e la targa del veicolo;

nella tabella “XX” del database “XX” sono presenti, fra l’altro, i dati anagrafici e di contatto e il codice identificativo (c.d. codice GUID) di ciascun utente finale dell’app MooneyGo;

nella tabella “XX” del database “XX” sono presenti, fra l’altro, le relazioni tra i predetti codici identificativi (codice tessera e codice GUID).

Al riguardo, si evidenzia che, anche per effetto della possibilità per chiunque di consultare il pubblico registro automobilistico (PRA), la targa di un veicolo rappresenta, già di per sé, un dato personale che consente l’identificazione indiretta di un interessato. Tale interpretazione trova conferma anche nella giurisprudenza della Corte di Cassazione, che ha affermato che “è indubbio che l'informazione di cui si discute - la targa di un autoveicolo, in quanto riferita a soggetto identificato o identificabile - deve considerarsi "dato personale". Lo era giusta l'art. 4, lett. b), del d.lgs. n. 196/2003 [… e] lo è tuttora, ai sensi del Regolamento (UE) 2016/679” (Cass. civ., Sez. I, ord. del 18 dicembre 2023, n. 35256) e che “particolarmente importanti sono i dati che permettono […] l’identificazione indiretta, come un numero di identificazione (ad esempio, […] il numero di targa)” (Cass. civ., Sez. I, ord. del 7 luglio 2021, n. 19270).

In ogni caso, l’operazione di associazione dei dati di ciascuna sosta ai dati anagrafici dell’utente finale dell’app MooneyGo che l’ha effettuata può avvenire ad opera di chiunque sia possesso dei dati presenti nelle citate tabelle (tutte e tre oggetto di esfiltrazione) e l’utilizzo di due chiavi (facilmente individuabili dal nome del campo). Pertanto, diversamente da quanto asserito da myCicero, l’effettuazione di tale operazione non richiede “uno sforzo del tutto sproporzionato in termini di tempo, costo e lavoro”, ma è alla portata non solo di studenti universitari in discipline tecnologiche o ingegneristiche o di programmatori, ma di qualsiasi soggetto con basilari competenze nel campo dei database relazionali.

5.6. Sull’utilizzo di un pixel di tracciamento all’interno dei messaggi di posta elettronica utilizzati per la comunicazione della violazione agli interessati

Nel corso dell’istruttoria, è stata verificata la presenza di un’immagine della dimensione di 1x1 pixel (c.d. pixel di tracciamento) che, all’atto della visualizzazione del messaggio di posta elettronica, viene scaricata dal client di posta elettronica oppure, in caso di accesso tramite webmail, dal browser dell'utente. L’operazione di download di tale immagine da un URL del tipo “https://email.mooneygo.it/tr/p.gif?uid=xxxx&mid=xxxx&msd=xxxx&s=xxxx&st=xxxx” (ove i parametri GET denominati “uid” e “mid” rappresentano identificatori univoci dell’utente e del messaggio), se tracciata dai sistemi informatici del fornitore del servizio di invio di posta elettronica, consente alla Società di acquisire informazioni relative alle visualizzazioni del messaggio (es. data e ora) e sul dispositivo utilizzato dal destinatario dello stesso (es. indirizzo IP, user agent).

Al riguardo, si ricorda che l’utilizzo di strumenti di tracciamento, quale il predetto pixel, deve avvenire in conformità all’art. 122 del Codice che prevede che “l'accesso a informazioni già archiviate [in un apparecchio terminale] sono consentiti unicamente a condizione che […] l'utente abbia espresso il proprio consenso dopo essere stato informato con modalità semplificate. Ciò non vieta […] l'accesso alle informazioni già archiviate se finalizzati unicamente ad effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell'informazione esplicitamente richiesto […] dall'utente a erogare tale servizio”.

Ferme restando le valutazioni dell’Autorità sull’utilizzo del pixel di tracciamento nell’ambito della comunicazione della violazione dei dati personali effettuata dalla Società in data 22 agosto 2025, si ritiene che, nel caso in esame, il ricorso a tale strumento di tracciamento non sia strettamente necessario ai fini dell’adempimento degli obblighi di cui all’art. 34 del Regolamento e, pertanto, possa essere effettuato solo in presenza di un consenso validamente espresso dall’utente.

* * *

In conclusione, alla luce di quanto sopra esposto, si ritiene che la comunicazione della violazione dei dati personali agli utenti finali dell’app MooneyGo effettuata dalla Società in data 22 agosto 2025 – quale iniziativa assunta per dare attuazione a quanto disposto al punto 1) del provvedimento n. 473 del 4 agosto 2025 – non consenta di assolvere gli obblighi informativi nei confronti degli interessati, in quanto:

diversamente da quanto richiesto dall’Autorità, è stata inviata mediante un solo canale di comunicazione, con ricadute sulla possibilità di raggiungere tutti gli interessati coinvolti;

anche a fronte dell’accertata esfiltrazione dei dati personali, lascia intendere che la violazione dei dati personali sia solo ipotetica e non indica tutte le tipologie di dati personali oggetto di violazione (quali i dati relativi ai servizi di mobilità), non rendendo gli interessati pienamente consapevoli dei rischi derivanti dalla violazione e delle eventuali precauzioni da adottare.

Per tali ragioni, la condotta sopra descritta pone in essere una violazione degli artt. 34 e 58, par. 2, lett. e), del Regolamento.

RITENUTO

Alla luce dell’esame delle circostanze portate all’attenzione dell’Autorità e delle considerazioni svolte, si ravvisano la necessità e l’urgenza di ingiungere alla Società, ai sensi degli artt. 34, par. 4, e 58, par. 2, lett. e), del Regolamento, di adempiere gli obblighi informativi di cui all’art. 34 del Regolamento, effettuando una nuova comunicazione della violazione dei dati personali in esame agli utenti finali dell’app MooneyGo, in modo adeguato:

1) nel contenuto, descrivendo con un linguaggio semplice e chiaro la natura e le possibili conseguenze della violazione, fornendo indicazioni specifiche sulle misure che gli stessi interessati possono adottare per proteggersi da eventuali conseguenze negative della violazione, nonché specificando che la violazione ha comportato l’esfiltrazione di dati personali e ha riguardato anche i dati relativi ai servizi di mobilità fruiti;

2) nelle modalità, utilizzando più canali di comunicazione al fine di massimizzare la possibilità di informare tutti gli interessati coinvolti, quali, ad esempio, l'invio di un messaggio all’indirizzo di posta elettronica, l’invio di una notifica push e la pubblicazione di un avviso all’interno dell’app MooneyGo.

Si ritiene, pertanto, necessario disporre – senza la previa notifica di cui all’art. 166, comma 5, del Codice, in relazione alla violazione degli artt. 34 e 58, par. 2, lett. e), del Regolamento, essendo tale notifica incompatibile con la natura e le finalità del presente provvedimento, tenuto conto che l’assenza di un’adeguata comunicazione della violazione dei dati personali agli interessati arreca un effettivo, concreto, attuale e rilevante pregiudizio agli interessati coinvolti – che la nuova comunicazione della violazione dei dati personali agli utenti finali dell’app MooneyGo coinvolti sia effettuata senza ritardo e comunque entro sette giorni dalla data di ricezione del presente provvedimento.

Tutto ciò, con riserva di ogni altra determinazione, anche sanzionatoria, all’esito della definizione dell’istruttoria avviata sul caso.

Si ricorda che, ai sensi dell’art. 83, par. 6, del Regolamento, “l'inosservanza di un ordine da parte dell’autorità di controllo ai sensi dell'articolo 58, paragrafo 2, è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore”.

Si ritiene, altresì, necessario ingiungere alla Società, ai sensi degli artt. 58, par. 1, lett. a), del Regolamento e 157 del Codice, di fornire all’Autorità, senza ritardo e comunque entro dieci giorni dalla data di ricezione del presente provvedimento, un riscontro adeguatamente documentato in merito alle iniziative intraprese al fine di comunicare la violazione dei dati personali agli interessati coinvolti.

Si ricorda che, ai sensi dell’art. 166, comma 2, del Codice, la violazione dell’art. 157 del medesimo Codice è soggetta all’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

Si ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO, IL GARANTE

1) ai sensi degli artt. 34, par. 4, e 58, par. 2, lett. e), del Regolamento, ingiunge a myCicero S.r.l. (C.F./P.I. 02770200422) di comunicare, senza ritardo e comunque entro sette giorni dalla data di ricezione del presente provvedimento, la violazione dei dati personali in esame agli utenti finali dell’app MooneyGo, nei termini di cui in premessa;

2) ai sensi degli artt. 58, par. 1, lett. a), del Regolamento e 157 del Codice, ingiunge a myCicero S.r.l. di fornire all’Autorità, senza ritardo e comunque entro dieci giorni dalla data di ricezione del presente provvedimento, un riscontro adeguatamente documentato in merito alle iniziative intraprese al fine di dare attuazione a quanto disposto al punto 1);

3) ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, dispone l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento, delle violazioni e delle misure adottate in conformità all'art. 58, par. 2, del Regolamento.

Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso.

Roma, 9 ottobre 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Fanizza