Trenitalia, accesso ai dati dei biglietti: carte escluse

Il caso Trenitalia non riguarda un blocco dei treni né un disservizio di vendita: riguarda l’accesso non autorizzato a informazioni personali collegate alla produzione e alla gestione dei biglietti. La distinzione pesa nella vita dei passeggeri, perché un dato di viaggio collega identità, orario, tratta e canale di contatto.

Sommario dei contenuti

La mail ai clienti del 26 giugno

La comunicazione inviata il 26 giugno 2026 usa la forma prevista per la violazione dei dati personali e richiama l’articolo 34 del Regolamento UE 2016/679. Il messaggio attribuisce l’accesso non autorizzato a soggetti esterni non identificati e spiega che l’invio ai singoli clienti è arrivato dopo accertamenti interni sulle tracce di accesso.

Il contenuto dell’avviso distingue due piani. Da una parte ci sono i dati collegati al titolo di viaggio. Dall’altra ci sono credenziali e pagamenti, che la società dichiara fuori dal perimetro compromesso. Questa separazione è la base per leggere il caso senza confondere una violazione privacy con un furto di carte.

I campi personali citati nell’avviso

La mail indica un insieme di campi più esteso del solo nome del passeggero. Rientrano nome, cognome, data e luogo di nascita del viaggiatore e dell’eventuale acquirente, recapiti come e-mail e telefono, informazioni di viaggio, numero del titolo e dati connessi alla sua generazione.

Altri campi entrano in gioco quando sono associati al biglietto: codice carta fedeltà, società o ente datore di lavoro, tipologia dell’offerta o del servizio acquistato, dati necessari a fruire di offerte e estremi del documento d’identità. La formula aziendale non dice che ogni cliente abbia tutti questi campi esposti. Dice che quelle categorie rientrano nel perimetro quando risultano presenti nei sistemi in relazione al titolo di viaggio.

Carte, password e credenziali escluse

La parte finanziaria viene separata dal caso. Trenitalia dichiara non coinvolti i dati di accesso agli account, le credenziali personali e le informazioni di pagamento, compresi numero della carta, data di scadenza e codice di sicurezza. La stessa comunicazione esclude anche le informazioni delle carte di credito o di debito.

Sul fronte privacy, l’esclusione delle carte restringe il tipo di abuso da temere: il problema centrale diventa l’uso di dati autentici per costruire messaggi plausibili. Una falsa richiesta di rimborso che contiene una tratta reale o un orario corretto ha una capacità di inganno maggiore rispetto a un messaggio generico.

Il valore criminale di una tratta reale

Un dato di viaggio ha valore perché racconta un comportamento, non soltanto un’identità. Una tratta, una data, un orario e un numero di titolo consentono a chi prepara una frode di costruire un messaggio su una circostanza già avvenuta o attesa dal destinatario.

Il phishing più credibile nasce da un frammento vero. Un falso avviso su un rimborso, su un cambio biglietto, su un abbonamento o su una carta fedeltà sfrutta proprio quella porzione di realtà. L’utente riconosce il viaggio e abbassa la soglia di diffidenza. Anche senza carta bancaria, il dato ferroviario resta materiale appetibile per campagne mirate.

Ottobre 2025 e avviso di giugno 2026

La nota societaria colloca a ottobre 2025 la rilevazione del tentativo di attacco informatico. La mail individuale arriva il 26 giugno 2026. Fra i due momenti Trenitalia colloca gli accertamenti necessari a ricostruire gli accessi impropri e ad associare l’evento ai clienti coinvolti.

La distanza temporale separa comunicazione e accertamenti. Nel lessico privacy, l’avviso al singolo interessato richiede l’individuazione della persona coinvolta e della categoria di dati legata al suo record. Senza tale associazione, una comunicazione individuale finirebbe per allarmare utenti estranei al perimetro oppure per lasciare senza destinatario chi deve riceverla.

Garante Privacy, CSIRT Italia e Procura di Roma

Trenitalia dichiara di avere notificato l’accaduto al Garante per la protezione dei dati personali e al CSIRT Italia, oltre ad avere presentato denuncia alla Procura della Repubblica presso il Tribunale di Roma. Sono canali distinti: autorità privacy, presidio nazionale per gli incidenti informatici e sede giudiziaria.

L’articolo 33 GDPR disciplina la notifica all’autorità di controllo entro il termine ordinario di 72 ore dal momento in cui il titolare viene a conoscenza della violazione, salvo i casi in cui la violazione non presenta rischio per diritti e libertà delle persone. L’articolo 34 riguarda invece la comunicazione agli interessati quando il rischio è elevato. La mail ai clienti si colloca nel secondo binario.

Le frodi costruite sui dettagli del biglietto

Il profilo di rischio più immediato riguarda messaggi che imitano Trenitalia o servizi collegati alla prenotazione. Il contenuto fraudolento non ha bisogno di conoscere la carta: gli basta usare una tratta vera, un numero titolo o il riferimento a una carta fedeltà per sembrare interno alla relazione con il cliente.

Chi ha ricevuto l’avviso deve trattare come estranea alla procedura originaria ogni richiesta di login, carta, codice ricevuto via SMS o documento tramite collegamento inserito in mail, messaggio o chat. L’accesso al proprio profilo va fatto digitando l’indirizzo del sito o aprendo l’app già installata, senza passare da collegamenti arrivati dopo l’avviso.

Quando il biglietto contiene il datore di lavoro

Il riferimento a società o ente datore di lavoro merita una riga propria. Una trasferta collega persona, impresa, tratta e fascia oraria. In una campagna fraudolenta consente di costruire un sollecito che sembra arrivare da un ufficio viaggi, da una segreteria amministrativa o da un presunto referente aziendale.

Gli estremi del documento d’identità, quando compaiono nel record del titolo, aggiungono un aggancio personale difficile da ricavare da archivi pubblici. L’abuso non passa solo dal pagamento: passa dalla capacità di convincere il destinatario che chi scrive conosca davvero il suo viaggio.