Roma, 26 maggio 2026 – Saranno stati in tantissimi, questa mattina, gli utenti di Trenitalia che hanno ricevuto, nella propria casella di posta elettronica, una mail urgente dall’oggetto piuttosto inquietante: “Comunicazione di violazione dei dati personali ai sensi dell’art. 34 del Regolamento UE 679/2016”. La principale compagnia ferroviaria italiana avrebbe subito, in pratica, un attacco hacker ai propri sistemi informatici, il cosiddetto “data breach” (letteralmente, una violazione della sicurezza che comporta la distruzione, la perdita, la modifica o l’accesso non autorizzato ai dati personali degli utenti), perpetrato – si legge nella notifica inviata ai clienti interessati – “da soggetti esterni non identificati”.
Come hanno agito i pirati informatici
Secondo quanto comunicato da Trenitalia, i pirati informatici sono riusciti a ottenere un accesso non autorizzato ai database legati ai titoli di viaggio. L’incidente di sicurezza informatica risale – ha chiarito l’azienda, da noi contattata – allo scorso ottobre, ma i tecnici informatici hanno dovuto compiere verifiche approfondite per ricostruire nel dettaglio gli accessi impropri prima di far partire le comunicazioni di allerta. La compagnia ha assicurato che non risultano compromessi i dati di accesso agli account, le credenziali personali né le informazioni di pagamento, come il numero della carta di credito, la data di scadenza o il codice di sicurezza (il cosiddetto Cvv).
Quali dati sono stati coinvolti
La violazione potrebbe aver interessato, tuttavia, diverse categorie di dati personali associati al titolo di viaggio, tra cui i dati anagrafici e identificativi (nome, cognome, data e luogo di nascita del passeggero e dell’eventuale acquirente); recapiti di contatto, come indirizzo e-mail e numero di telefono; informazioni sul viaggio, tra cui tratta, data e orario, numero del titolo di viaggio; codice della carta fedeltà, se associata al biglietto; società o ente datore di lavoro; tipo di offerta o servizio acquistato; estremi del documento d’identità; dati tecnici connessi alla generazione del titolo di viaggio.
Notifica al Garante della privacy e al Csirt Italia
Trenitalia ha riferito di aver adottato immediatamente le misure necessarie per contenere l’incidente e di aver notificato l’accaduto al Garante per la protezione dei dati personali e al Csirt Italia (Agenzia per la cybersicurezza nazionale), come previsto dalla normativa vigente. È stata presentata, inoltre, una denuncia alla Procura della repubblica presso il Tribunale di Roma.
Il rischio di phishing
Nella comunicazione trasmessa questa mattina agli utenti interessati, Trenitalia ha avvertito che, considerata la tipologia di informazioni coinvolte, esiste il rischio che i clienti possano ricevere messaggi fraudolenti o tentativi di ‘phishing’ che facciano riferimento ai propri viaggi. Il phishing, è bene ricordarlo, è quel tipo di truffa – proliferato grazie al web e ai social media – attraverso cui un malintenzionato cerca di ingannare la vittima e convincerla a fornire informazioni personali, dati finanziari o codici di accesso, fingendosi un ente affidabile.
Come possiamo difenderci
La compagnia ferroviaria ha invitato gli utenti a diffidare di e-mail, sms o telefonate sospette, a non fornire dati personali o finanziari e a verificare sempre l’identità del mittente prima di cliccare su link o aprire allegati. La società ha ribadito che non contatterà mai i clienti per richiedere password o dati di pagamento. Per eventuali chiarimenti è stato attivato un servizio di assistenza dedicato attraverso il webform “Privacy – Gestione dei dati personali”, cui si può ricorrere utilizzando il codice di riferimento indicato nella comunicazione ricevuta. Non è necessario cambiare la propria password di accesso all’area riservata, ma il consiglio è tenere alta la guardia, adottando i consueti accorgimenti dettati dal buon senso: diffidare, dunque, di qualsiasi messaggio che richieda, appunto, cambi password, dati bancari o pagamenti sospetti.