E’ la stessa società Trenitalia a dare notizia della violazione informatica subita, informando mediante una comunicazione inviata via mail i propri clienti coinvolti con la quale, scrivendo che “a seguito di alcune verifiche, abbiamo rilevato un incidente di sicurezza informatica causato da soggetti esterni non identificati. Questo evento ha determinato un accesso non autorizzato ad alcuni dati personali legati ai titoli di viaggio”. Un attacco hacker ai sistemi informatici dell’azienda, avvenuto il 30 ottobre 2025, e di cui si da notizia incredibilmente soltanto dopo 9 mesi !
La complessità dell’attacco informatico reso possibile da una struttura di protezione inadeguata, ha richiesto diversi mesi di analisi da parte di Trenitalia, che sostiene che “si è trattato di ricostruire nel dettaglio eventuali accessi impropri ai dati. Solo al termine di queste attività siamo stati in grado di identificare i clienti interessati e inviare questa comunicazione”. I dati che potrebbero essere stati violati ad acquisiti fraudolentemente sono: dati anagrafici e identificativi (nome, cognome, data e luogo di nascita del passeggero; nome e cognome dell’eventuale acquirente); dati di contatto (e-mail, numero di telefono); dati di viaggio (informazioni associate al titolo di viaggio, quali, a titolo esemplificativo, tratta, data e orario del viaggio, numero del titolo di viaggio); codice carta fedeltà, ove associato al titolo di viaggio; società/ente datore di lavoro; tipologia di offerta o servizio associata al titolo di viaggio e dati necessari a fruire di dette offerte; estremi documento d’identità; dati connessi alla generazione del titolo di viaggio.
Trenitalia sostiene che non sono stati coinvolti, i “dati di accesso agli account, credenziali personali o informazioni relative ai pagamenti (come il numero della carta, la scadenza o il codice di sicurezza)”. La comunicazione è stata inviata solo ai clienti (fra i quali la nostra società editrice ed il nostro Direttore n.d.r. ) per i quali Trenitalia ha potuto verificare una violazione hanno ricevuto tramite la mail associata all’indirizzo, quindi nel caso di mancato ricevimento di questa comunicazione non è necessario allarmarsi. Chi invece come noi l’ha ricevuta, sottolinea Trenitalia, deve fare attenzione sostanzialmente ai messaggi truffa. A tal proposito Trenitalia fa una raccomandazione: “Considerata la tipologia di dati coinvolti, potrebbe esserci il rischio che Lei riceva comunicazioni fraudolente o tentativi di contatto ingannevoli che fanno riferimento ai suoi viaggi. Per questo Le consigliamo di prestare particolare attenzione a eventuali messaggi sospetti, soprattutto se richiedono dati personali o finanziari o contengono link o allegati inattesi. In caso di dubbio, verifichi sempre l’affidabilità del mittente”. Per qualsiasi chiarimento, Trenitalia ha attivato “un servizio di assistenza dedicato” tramite webform, il cui link è stato inserito nella comunicazione. Ogni cliente è associato a uno specifico codice identificativo, che va comunicato nel momento della richiesta di delucidazioni.
La società Trenitalia ha reso noto di aver “notificato l’accaduto all’Autorità Garante per la Protezione dei Dati Personali e allo CSIRT Italia, in conformità alla normativa vigente, e presentato denuncia alla Procura della Repubblica presso il Tribunale di Roma” ma, soprattutto, non appena è stato rilevato l’accesso sospetto ai sistemi, Trenitalia ha “immediatamente adottato tutte le misure necessarie per interrompere” l’anomalia, “mettere in sicurezza i sistemi e rafforzare ulteriormente i controlli, così da ridurre il rischio che situazioni simili possano ripetersi”. Una comunicazione che però fra le proprie righe non esclude che possa accadere di nuovo !
Va ricordato che già nel marzo 2022 Ferrovie dello Stato/Trenitalia furono colpite da un attacco ransomware/cryptolocker che bloccò biglietterie fisiche e self service, senza interrompere la circolazione ferroviaria. Quello era soprattutto un caso di continuità operativa; l’incidente attuale è più centrato su riservatezza dei dati e rischio phishing mirato.
Quanto accaduto ha una doppio risvolto da valutare: la protezione dei dati personali e sicurezza dei servizi digitali. Sul primo fronte, il Garante della Privacy ricorda che il titolare del trattamento deve notificare una violazione senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne viene a conoscenza, salvo i casi in cui sia improbabile un rischio per i diritti e le libertà delle persone. Quando la violazione comporta un rischio elevato, il titolare deve comunicarla anche agli interessati. Quindi come mai la comunicazione di Trenitalia è arrivata dolo 9 mesi dalla violazione informatica ?
Sul fronte cyber, il trasporto ferroviario rientra tra i settori ad alta criticità previsti dal D.Lgs. 138/2024, che recepisce la direttiva Nis2. L’allegato I include gestori dell’infrastruttura e imprese ferroviarie; l’articolo 25 prevede, per soggetti essenziali e importanti, la notifica al Csirt Italia degli incidenti significativi, con pre-notifica entro 24 ore e notifica entro 72 ore dalla conoscenza dell’incidente. La dichiarazione di Trenitalia sulla notifica al Csirt Italia indica quindi una gestione dell’evento anche nel circuito nazionale di risposta agli incidenti. Resta da chiarire, sul piano tecnico, il vettore d’attacco, il tempo di permanenza dell’accesso improprio, il numero di interessati, l’eventuale esfiltrazione effettiva dei dati e le misure di contenimento adottate. Tutte informazioni che Trenitalia non rivela.
“Adesso il pericolo maggiore è che i dati rubati dal sistema informatico della biglietteria di Trenitalia vengano utilizzati per commettere tentativi di phishing: truffe informatiche sempre più sofisticate che si basano proprio sul possesso di mail e numeri di telefono di ignare persone. E, vista la mole di informazioni sottratte, possono essere raggiri molto precisi, direi su misura” spiega Ivano Gabrielli, direttore del Servizio di polizia postale e delle comunicazioni, che non solo sta dando la caccia agli hacker che hanno violato il programma di ticketing, ma è preoccupato anche per le conseguenze che un’azione del genere potrebbe avere in futuro, ed aggiunge che “Alle vittime potrebbe accadere di rimanere coinvolte, loro malgrado, in campagne organizzate da truffatori che potrebbero usare i dati personali in loro possesso per inviare messaggi, anche sms e link, per farle cadere in trappola. Hanno anche i loro numeri di telefono e gli indirizzi elettronici. Per questo bisogna stare molto attenti alle notifiche in arrivo, i clienti coinvolti sono abbastanza esposti a questo rischio“, Gabrielli conclude spiegando che “Sono dati che continueranno a circolare, la soglia di attenzione di chi ritiene di essere stato coinvolto in questo furto di informazioni — che tecnicamente si chiama leak di dati, tanto è vero che potremmo trovarli sotto la voce leak Fs — deve essere molto alta. Nessuno di noi è al sicuro. Queste perdite di dati avvengono di continuo, basta che gli hacker sfruttino un buco nel sistema informatico di un albergo o di un portale per le prenotazioni, o ancora una piattaforma social. Esiste un’ampia letteratura al riguardo. È anche questo il motivo delle telefonate e dei messaggi molesti che riceviamo di continuo. C’è gente che ha in mano miliardi di informazioni personali che ormai ha messo a sistema“.
“Si tratta di una notizia che desta forte preoccupazione e che richiede immediati chiarimenti”, scrive Andrea Casu, vicepresidente della commissione Trasporti della Camera e deputato del Partito democratico. “Dopo ritardi, disservizi e una gestione che continua a penalizzare quotidianamente milioni di passeggeri, ora emerge anche un grave problema sul fronte della tutela dei dati personali”. ed aggiunge “Presenteremo immediatamente un’interrogazione parlamentare per chiedere al ministro delle Infrastrutture e dei Trasporti, Matteo Salvini, di riferire su quanto accaduto, chiarendo quali dati siano stati coinvolti, quante persone siano interessate, quali misure di sicurezza fossero adottate e quali iniziative urgenti il Governo intenda assumere per garantire la piena tutela degli utenti”.
