Trenitalia ha avvisato i passeggeri coinvolti di un incidente informatico con accesso non autorizzato ad alcune informazioni correlate ai titoli di viaggio. L’azienda precisa che non risultano compromessi dati di pagamento né credenziali di accesso ma la natura dei dati esposti crea un concreto rischio di attacchi mirati contro gli utenti.
Secondo la comunicazione inviata ai clienti, l’evento è stato individuato retrospettivamente e riferito ufficialmente il 26 giu 2026. L’episodio, avvenuto a ottobre ha richiesto tempo per identificare le persone interessate e predisporre le notifiche previste dal Regolamento UE /679.
Notifica dell’incidente e interventi istituzionali
La segnalazione della violazione è stata effettuata ai sensi dell’articolo 34 del Regolamento UE /679 che impone la comunicazione agli interessati quando esiste un rischio elevato per i diritti e le libertà delle persone. Trenitalia ha inoltre informato il Garante per la protezione dei dati personali e il Csirt Italia e ha presentato una denuncia alla Procura della Repubblica presso il Tribunale di Roma.
Il coinvolgimento del Csirt Italia segnala l’attivazione del circuito nazionale di risposta agli incidenti: la normativa sui servizi essenziali richiede procedure rapide di pre-notifica e notifica per consentire azioni di contenimento e analisi forense. Le autorità, insieme all’azienda, dovranno chiarire tecnicamente vettore d’attacco, durata dell’accesso illecito e numero effettivo di interessati.
Dati esposti e rischi pratici per i passeggeri
Secondo quanto comunicato, l’accesso illecito ha riguardato informazioni anagrafiche, recapiti e dettagli del viaggio associati ai biglietti. Tra i dati potenzialmente coinvolti possono esserci nome e cognomeemailnumero di telefono tratta, data e orario del viaggio e altri elementi eventualmente collegati al titolo acquistato.
Perché questi dati facilitano il phishing
I dati di viaggio rappresentano un valore elevato per campagne di social engineering perché permettono a un attaccante di costruire messaggi credibili che citano luoghi, orari o numeri di biglietto reali. Un avviso di rimborso o un falso problema sul viaggio contenente dettagli veri supera più facilmente la diffidenza dell’utente e favorisce aperture di link malevoli o la comunicazione di informazioni sensibili.
L’analista Pierluigi Paganini Ceo di Cybhorus sottolinea che “Questo tipo di attacco” è tipico di campagne che trasformano elenchi di contatti in strumenti per frodi successive e ricorda che “Non si tratta quindi necessariamente di attori statali o APT” bensì spesso di reti criminali che rivendono dataset per operazioni di phishing. Il pericolo principale non è
Indicazioni operative e responsabilità aziendale
Trenitalia ha informato i clienti coinvolti e ha dichiarato di aver seguito le procedure previste dalla normativa sulla protezione dei dati. Sul piano pratico, le raccomandazioni agli utenti sono di adottare comportamenti di prudenza: evitare di cliccare link ricevuti per email o sms, aprire l’app o il sito digitando l’indirizzo nel browser e non fornire codici, password o dati di pagamento a interlocutori non verificati.
L’intervento efficace richiede anche coordinamento interno: monitoraggio post-incidente, comunicazioni chiare agli utenti e controlli antifrode sui canali digitali. L’avviso tempestivo agli interessati riduce la finestra di sfruttamento dei dati e permette agli utenti di riconoscere eventuali messaggi ingannevoli più rapidamente.
Sul versante pubblico e normativo, la vicenda evidenzia la necessità di trasparenza e di rapidità nelle notifiche: il titolare del trattamento deve valutare e comunicare i rischi senza ritardi ingiustificati, rispettando le scadenze e le modalità previste dal Regolamento UE /679. La collaborazione con il Csirt Italia e la segnalazione all’autorità giudiziaria costituiscono passaggi formali fondamentali per l’analisi forense e l’eventuale azione investigativa.
La notizia è al centro di attenzione pubblica: oltre alle autorità, professionisti e operatori del settore richiamano l’importanza di elevare la protezione informatica delle infrastrutture di trasporto, dove la combinazione di dati transazionali e servizi critici può trasformare una violazione in un moltiplicatore di rischi.
