Con la presente comunicazione informiamo, ai sensi dell’art. 34 del Regolamento UE 2016/679 (GDPR), di una violazione dei dati personali che ha interessato i sistemi informatici di Zona Ovest di Torino srl e che potrebbe aver coinvolto dati personali dell’utenza (es. beneficiari dei servizi, utenti del Patto Territoriale, controparti contrattuali).
Che cosa è successo
Tra il 31 marzo e il 1° aprile 2026, i sistemi informatici di Zona Ovest di Torino srl sono stati colpiti da un attacco informatico di tipo ransomware (un tipo di virus che cripta i file dei sistemi infettati). L’attacco è stato condotto da un gruppo cybercriminale noto come «SafePay», che ha avuto accesso ai nostri sistemi sfruttando le credenziali del servizio VPN.
I sistemi compromessi includevano il server principale e alcune postazioni di lavoro dell’azienda.
In data 5 maggio 2026 siamo stati informati da CERT-AGID (l’agenzia italiana per la cybersicurezza) che il gruppo SafePay ha pubblicato online la rivendicazione dell’attacco, con indicazione del nome della nostra organizzazione. Non è stato possibile confermare con certezza quanti e quali dati siano stati effettivamente copiati e portati fuori dalla nostra rete, ma questa possibilità non può essere esclusa.
Quali dati potrebbero essere stati coinvolti
I dati personali potenzialmente coinvolti riguardano le persone (dipendenti, collaboratori, utenti dei nostri
servizi, fornitori e partner) i cui dati erano presenti nei sistemi al momento dell’attacco. Le categorie di dati potenzialmente coinvolti sono:
• dati anagrafici e di contatto (nome, cognome, indirizzo, e-mail, telefono);
• dati relativi al rapporto di lavoro o di collaborazione;
• dati relativi a situazione occupazionale e curriculum (per gli utenti dei servizi per il lavoro);
• dati di pagamento o coordinate bancarie;
• copie di documenti di identità.
Non risultano coinvolti dati sensibili come dati sanitari, dati sull’origine etnica o sull’orientamento sessuale.
Quali rischi potrebbe comportare
La possibile divulgazione di questi dati potrebbe esporre gli interessati ai seguenti rischi:
– tentativi di frode o phishing (e-mail o messaggi ingannevoli che fingono di provenire da fonti affidabili);
– furto di identità o utilizzo non autorizzato dei dati;
– accesso non autorizzato agli account online se le credenziali risultassero coinvolte.
Cosa abbiamo fatto
Non appena rilevato l’attacco, abbiamo immediatamente adottato le seguenti misure:
• isolamento e disabilitazione dei sistemi compromessi;
• modifica di tutte le password di accesso ai sistemi;
• ripristino dei sistemi da backup sicuro;
• introduzione dell’autenticazione a due fattori (MFA) per tutti gli accessi da remoto;
• presentazione di formale denuncia alla Polizia Postale (13 aprile 2026);
• notifica dell’incidente al Garante per la protezione dei dati personali (entro le 72 ore dalla scoperta);
• pianificazione di ulteriori misure di sicurezza (nuovo firewall, sistema di monitoraggio avanzato,
formazione del personale).
Cosa si può fare per proteggersi
Raccomandiamo di adottare le seguenti precauzioni:
– cambiare le password degli account online che potrebbero essere collegati ai dati trattati da Zona
Ovest di Torino srl, in particolare quelle di posta elettronica e dei portali di lavoro;
– fare attenzione a e-mail, messaggi o telefonate insolite che invitano a fornire dati personali o che si presentano come provenienti da enti, banche o istituzioni — in caso di dubbio, non cliccare sui link e non fornire dati;
– attivare, ove possibile, l’autenticazione a due fattori per gli account online;
– controllare periodicamente gli estratti conto e segnali immediatamente alla propria banca eventuali movimenti non autorizzati.
Come contattarci
Per qualsiasi domanda, per esercitare i diritti ai sensi degli artt. 15-22 GDPR (accesso, rettifica, cancellazione, portabilità, opposizione), o per segnalare eventuali problemi, è possibile contattare il nostro Responsabile della Protezione dei Dati (RPD), Avv. Pietro Calorio, e-mail: rpd@zonaovest.to.it
L’interessato ha inoltre il diritto di presentare un reclamo al Garante per la protezione dei dati personali (www.garanteprivacy.it).
Ci scusiamo per il disagio causato dall’incidente e ringraziamo per la comprensione.
