Trenitalia ha comunicato ai passeggeri coinvolti un incidente di sicurezza informatica causato da soggetti esterni non identificati, con accesso non autorizzato ad alcuni dati personali legati ai titoli di viaggio.
L’azienda afferma che dall’attacco hacker non risultano coinvolti dati di accesso agli account, credenziali personali o informazioni di pagamento, come numero della carta, scadenza o codice di sicurezza. Il rischio principale, però, si sposta ora sulle comunicazioni fraudolente: email, sms o chiamate che potrebbero usare dettagli reali dei viaggi per apparire attendibili.
La comunicazione inviata ai clienti è formulata ai sensi dell’articolo 34 del Regolamento Ue 2016/679, relativo alla comunicazione della violazione agli interessati quando il data breach può presentare un rischio elevato per i diritti e le libertà delle persone. Trenitalia ha inoltre dichiarato di aver notificato l’accaduto al Garante per la protezione dei dati personali e al Csirt Italia, presentando denuncia alla Procura della Repubblica presso il Tribunale di Roma.
Attacco hacker Trenitalia: quali dati risultano coinvolti
Secondo la comunicazione inviata ai passeggeri, l’accesso non autorizzato riguarda dati associati ai titoli di viaggio. Il perimetro indicato include informazioni anagrafiche, recapiti e dettagli del viaggio, qualora presenti nei sistemi in relazione al biglietto acquistato.
| Categoria di dati | Informazioni potenzialmente coinvolte | Rischio principale |
|---|---|---|
| Dati anagrafici | Nome, cognome, data e luogo di nascita del passeggero; nome e cognome dell’eventuale acquirente | Identificazione della persona e costruzione di messaggi credibili |
| Dati di contatto | Email e numero di telefono | Phishing, smishing e chiamate fraudolente |
| Dati di viaggio | Tratta, data, orario, numero del titolo di viaggio | Truffe personalizzate su rimborsi, ritardi, cambi biglietto o assistenza |
| Dati commerciali | Tipologia di offerta o servizio associata al titolo | Messaggi falsi coerenti con il servizio acquistato |
| Altri dati collegati | Codice carta fedeltà, datore di lavoro, estremi del documento d’identità se presenti | Profilazione più accurata e possibili tentativi di impersonificazione |
L’assenza dichiarata di credenziali e dati di pagamento riduce il rischio immediato di compromissione degli account o di frodi dirette sulle carte. Non elimina però il problema: i dati di viaggio sono informazioni contestuali ad alto valore per l’ingegneria sociale, perché permettono a un aggressore di citare luoghi, orari e servizi realmente usati dal passeggero.
Perché i dati di viaggio aumentano il rischio di spear phishing
Un messaggio generico su un presunto rimborso ferroviario è più facile da riconoscere. Un messaggio che cita una tratta, una data o un numero di biglietto reale può invece superare la normale diffidenza dell’utente. È questo il passaggio più delicato del caso Trenitalia: il furto o l’accesso illecito a dati non finanziari può comunque generare campagne di spear phishing molto efficaci.
Gli scenari più probabili riguardano finte comunicazioni su rimborsi, cambi di prenotazione, ritardi, bonus, aggiornamenti dell’app, problemi sul pagamento o verifiche dell’identità. In questi casi l’obiettivo dell’attaccante può essere ottenere credenziali, convincere l’utente a inserire dati bancari su una pagina falsa, indurlo ad aprire allegati malevoli o spingerlo a contattare un falso servizio clienti.
La raccomandazione operativa per i passeggeri è usare canali indipendenti: aprire l’app o il sito digitando l’indirizzo nel browser, evitare link ricevuti via email o sms, non comunicare codici, password, dati di pagamento o documenti a interlocutori non verificati. La presenza di dettagli corretti sul viaggio non deve essere considerata prova di autenticità del messaggio.
Data breach Trenitalia tra Gdpr, Garante privacy e Csirt Italia
Il caso ha una doppia dimensione: protezione dei dati personali e sicurezza dei servizi digitali. Sul primo fronte, il Garante privacy ricorda che il titolare del trattamento deve notificare una violazione senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne viene a conoscenza, salvo i casi in cui sia improbabile un rischio per i diritti e le libertà delle persone. Quando la violazione comporta un rischio elevato, il titolare deve comunicarla anche agli interessati.
Sul fronte cyber, il trasporto ferroviario rientra tra i settori ad alta criticità previsti dal D.Lgs. 138/2024, che recepisce la direttiva Nis2. L’allegato I include gestori dell’infrastruttura e imprese ferroviarie; l’articolo 25 prevede, per soggetti essenziali e importanti, la notifica al Csirt Italia degli incidenti significativi, con pre-notifica entro 24 ore e notifica entro 72 ore dalla conoscenza dell’incidente.
La dichiarazione di Trenitalia sulla notifica al Csirt Italia indica quindi una gestione dell’evento anche nel circuito nazionale di risposta agli incidenti. Resta da chiarire, sul piano tecnico, il vettore d’attacco, il tempo di permanenza dell’accesso improprio, il numero di interessati, l’eventuale esfiltrazione effettiva dei dati e le misure di contenimento adottate.
Cosa devono fare passeggeri e aziende dopo attacco hacker Trenitalia
Continueremo a seguire la vicenda man mano che emergono dettagli.
Intanto, per i passeggeri coinvolti, la misura più concreta è trattare con cautela ogni comunicazione che faccia riferimento a viaggi recenti o futuri. Le richieste di pagamento, rimborso, verifica dell’account, aggiornamento dei dati personali o invio di documenti devono essere controllate solo attraverso canali ufficiali raggiunti autonomamente.
Per le aziende, il caso segnala un rischio spesso sottovalutato nei programmi di sicurezza: i dati transazionali e di servizio possono diventare un moltiplicatore di attacchi sociali. Non servono sempre password o carte per produrre danni. Una base dati con nomi, recapiti, tratte e orari può bastare per costruire campagne credibili contro clienti, dipendenti e uffici amministrativi.
La risposta non si esaurisce nella chiusura dell’anomalia tecnica. Servono monitoraggio post-incidente, comunicazioni chiare agli utenti, indicatori di compromissione condivisi con i team di sicurezza, controlli antifrode sui canali digitali e procedure coordinate tra sicurezza informatica, privacy, legale, customer care e comunicazione. Nei servizi essenziali, la qualità della risposta diventa parte della fiducia nel servizio tanto quanto la prevenzione dell’attacco.
Casu (PD): faremo interrogazione parlamentare
“Si tratta di una notizia che desta forte preoccupazione e che richiede immediati chiarimenti”, scrive Andrea Casu, vicepresidente della commissione Trasporti della Camera e deputato del Partito democratico. “Dopo ritardi, disservizi e una gestione che continua a penalizzare quotidianamente milioni di passeggeri, ora emerge anche un grave problema sul fronte della tutela dei dati personali”.
“Presenteremo immediatamente un’interrogazione parlamentare per chiedere al ministro delle Infrastrutture e dei Trasporti, Matteo Salvini, di riferire su quanto accaduto, chiarendo quali dati siano stati coinvolti, quante persone siano interessate, quali misure di sicurezza fossero adottate e quali iniziative urgenti il Governo intenda assumere per garantire la piena tutela degli utenti”.
Il precedente Almaviva e il rischio supply chain
L’incidente arriva dopo un altro caso rilevante nel perimetro ferroviario italiano. Il 20 novembre 2025 Almaviva ha confermato di aver individuato e isolato un attacco ai propri sistemi corporate, con sottrazione di alcuni dati, precisando di aver informato Procura della Repubblica, Polizia Postale, Agenzia nazionale per la cybersicurezza e Garante privacy e di aver mantenuto operativi i servizi critici.
Secondo ricostruzioni di settore, un threat actor avrebbe rivendicato la pubblicazione di 2,3 terabyte di dati riconducibili anche al Gruppo Ferrovie dello Stato, con documentazione interna, contratti, dati amministrativi e, secondo la rivendicazione criminale, anche informazioni riferibili a passeggeri e personale di diverse società del gruppo. Cybersecurity360 segnalava allora la necessità di attendere gli esiti delle indagini per confermare l’attendibilità e il perimetro effettivo del leak.
Nei servizi essenziali, piattaforme di ticketing, Crm, customer care, gestione documentale e integrazioni applicative possono concentrare dati molto sensibili anche quando non incidono direttamente sulla circolazione ferroviaria.
Un data breach che coinvolge dati di viaggio non va letto solo come evento privacy, ma come indicatore della superficie d’attacco estesa della mobilità digitale.
Ricordiamo poi che nel marzo 2022 Ferrovie dello Stato/Trenitalia furono colpite da un attacco ransomware/cryptolocker che bloccò biglietterie fisiche e self service, senza interrompere la circolazione ferroviaria. Quello era soprattutto un caso di continuità operativa; l’incidente attuale è più centrato su riservatezza dei dati e rischio phishing mirato.
#Adessonews seleziona nella rete articoli di particolare interesse.
Se vuoi leggere l’articolo completo clicca sul seguente link
Alessandro Longo
Source link
