Sociale

Trenitalia, attacco informatico ai dati dei clienti: esposti anagrafiche, contatti e dettagli di viaggio

Una nuova falla nei sistemi informatici del trasporto ferroviario è avvenuta nella giornata di ieri, venerdì 26 giugno. Trenitalia ha avviato l’invio di comunicazioni via posta elettronica a una parte della propria clientela, segnalando un incidente di sicurezza che ha permesso a soggetti esterni, al momento non identificati, di accedere senza autorizzazione ad alcune informazioni personali collegate ai titoli di viaggio.

Come è emersa la violazione

La società del gruppo Ferrovie dello Stato spiega di aver scoperto l’anomalia nel corso di verifiche interne. Per circoscrivere l’episodio e capire quali utenti fossero stati realmente toccati dal problema, le strutture tecniche hanno dovuto ricostruire gli accessi impropri ai sistemi, un lavoro lungo e delicato. Solo al termine di queste analisi l’azienda ha potuto individuare i clienti coinvolti e recapitare la notifica prevista dall’articolo 34 del regolamento europeo sulla protezione dei dati personali, il Gdpr.

Trenitalia ha tenuto a precisare che l’intrusione non ha riguardato le credenziali di accesso agli account né i dati delle carte usate per i pagamenti, dunque numeri, scadenze e codici di sicurezza restano fuori dalla portata degli aggressori. La violazione – secondo la ricostruzione aziendale – ha interessato esclusivamente le informazioni legate all’acquisto e alla gestione dei biglietti.

Trenitalia: quali dati sono a rischio

L’elenco dei dati potenzialmente esposti è comunque ampio. Possono rientrarvi nome, cognome, data e luogo di nascita del passeggero, oltre ai riferimenti di chi ha materialmente comprato il titolo di viaggio. A questi si aggiungono i recapiti, come indirizzo di posta elettronica e numero di telefono, e i dettagli del viaggio: tratta percorsa, data e orario, codice del biglietto. Tra le voci citate dall’azienda figurano anche il codice della carta fedeltà, quando collegato al titolo, l’eventuale ente o datore di lavoro associato a tariffe agevolate, gli estremi di un documento d’identità e i dati tecnici prodotti al momento dell’emissione del biglietto stesso.

La compagnia afferma, inoltre, di aver agito con tempestività non appena rilevata l’anomalia, interrompendo ogni attività sospetta, mettendo in sicurezza i sistemi e rafforzando i controlli per evitare nuovi possibili episodi. L’azienda ha poi segnalato la violazione all’Autorità garante per la protezione dei dati personali e al Csirt Italia, la struttura nazionale che coordina la risposta agli incidenti informatici, presentando anche una denuncia alla Procura della Repubblica presso il Tribunale di Roma.

Il pericolo si chiama phishing

Se l’infrastruttura risulta ormai protetta, il pericolo per i passeggeri si sposta su un altro “vagone”. Avere nomi, contatti e tragitti permette ai criminali informatici di confezionare messaggi truffaldini credibili, costruiti su misura sulle abitudini di viaggio della vittima. È la tecnica nota come phishing mirato, in cui una mail o un sms apparentemente legittimi spingono il destinatario a fornire informazioni riservate o a cliccare su collegamenti pericolosi.

Proprio per questo Trenitalia invita alla massima prudenza verso comunicazioni inattese che richiamino i propri spostamenti, ricordando di non chiedere mai ai clienti password o estremi di pagamento e di diffidare di link o allegati sospetti. Per chiarimenti la società ha attivato un canale di assistenza dedicato, raggiungibile dalla sezione del proprio sito riservata alla gestione dei dati personali.

Un problema che non sarebbe isolato

L’episodio si inserisce in una catena di problemi che da tempo investe l’ecosistema digitale del gruppo Ferrovie dello Stato. Tra la fine di novembre e dicembre 2025 era emerso un attacco ai sistemi di Almaviva, fornitore di servizi informatici del gruppo, con la sottrazione di circa 2,3 terabyte di dati poi comparsi su un forum della rete “Tor”. Nelle settimane scorse, inoltre, anche Trenitalia Tper aveva avvisato clienti e dipendenti del sistema ferroviario emiliano-romagnolo di un analogo accesso abusivo, con la medesima rassicurazione sull’esclusione di credenziali e dati di pagamento.