Cyberattacco a Trenitalia, violati alcuni dati dei passeggeri: nessun rischio per carte di pagamento e account
Trenitalia ha avviato una comunicazione diretta con alcuni clienti per informarli di un incidente informatico che ha comportato l’accesso non autorizzato a una parte dei dati personali collegati ai titoli di viaggio. L’episodio, attribuito ad autori esterni al momento non identificati, è stato rilevato dall’azienda nell’ambito delle attività di monitoraggio dei propri sistemi.
Dopo aver completato le verifiche tecniche, la società ha individuato gli utenti potenzialmente coinvolti e ha inviato loro una comunicazione via e-mail, come previsto dalla normativa in materia di protezione dei dati personali.
L’azienda ha precisato che la violazione non ha interessato le credenziali di accesso agli account degli utenti né le informazioni relative ai pagamenti. Restano quindi esclusi dalla compromissione i numeri delle carte di credito o di debito, le date di scadenza, i codici di sicurezza e qualsiasi dato utile per effettuare transazioni.
Secondo quanto spiegato nella comunicazione inviata ai clienti, i dati che potrebbero essere stati consultati senza autorizzazione riguardano esclusivamente le informazioni associate ai biglietti ferroviari. Tra queste figurano i dati anagrafici del passeggero e dell’eventuale acquirente, i recapiti come indirizzo e-mail e numero di telefono, le informazioni sul viaggio – comprese tratta, data, orario e numero del titolo di trasporto – oltre al codice della carta fedeltà, se collegata alla prenotazione.
L’elenco comprende inoltre eventuali riferimenti al datore di lavoro, la tipologia di tariffa o di servizio acquistato, gli estremi del documento d’identità, quando richiesti, e altri dati tecnici necessari all’emissione del titolo di viaggio.
Trenitalia ha spiegato di essere intervenuta tempestivamente adottando tutte le misure di sicurezza previste per contenere l’incidente e limitarne gli effetti. Solo dopo aver concluso gli approfondimenti tecnici è stato possibile identificare con precisione i soggetti coinvolti e procedere alle comunicazioni individuali.
La società ha inoltre confermato di aver notificato l’accaduto all’Autorità Garante per la Protezione dei Dati Personali e allo Csirt Italia, l’organismo nazionale che si occupa della gestione degli incidenti di sicurezza informatica, oltre ad aver presentato denuncia alla Procura di Roma.
L’attacco informatico, rilevato nell’ottobre 2025, avrebbe riguardato esclusivamente alcune informazioni legate ai titoli di viaggio, senza compromettere i sistemi di pagamento né l’accesso agli account dei clienti.