Roma, 26 maggio 2026 – Oggi, numerosi utenti di Trenitalia hanno ricevuto un’email urgente con un oggetto inquietante: “Comunicazione di violazione dei dati personali ai sensi dell’art. 34 del Regolamento UE 679/2016”. La principale compagnia ferroviaria italiana ha subito un attacco hacker ai propri sistemi informatici, noto come “data breach”, secondo quanto indicato nella notifica inviata ai clienti interessati da soggetti esterni non identificati, riporta Attuale.
Come hanno agito i pirati informatici
Secondo quanto comunicato da Trenitalia, i pirati informatici hanno ottenuto un accesso non autorizzato ai database legati ai titoli di viaggio. L’incidente di sicurezza informatica, avvenuto lo scorso ottobre, ha richiesto approfondite verifiche da parte dei tecnici informatici per chiarire i dettagli degli accessi impropri prima di inviare le comunicazioni di allerta. La compagnia ha assicurato che non risultano compromessi i dati di accesso agli account, le credenziali personali né le informazioni di pagamento, come il numero della carta di credito, la data di scadenza o il codice di sicurezza (Cvv).
Quali dati sono stati coinvolti
Nonostante la sicurezza di alcune informazioni, la violazione ha potuto coinvolgere diverse categorie di dati personali associati al titolo di viaggio, inclusi dati anagrafici e identificativi (nome, cognome, data e luogo di nascita del passeggero e dell’eventuale acquirente); recapiti di contatto come indirizzo e-mail e numero di telefono; dettagli di viaggio, tra cui tratta, data e orario, numero del titolo di viaggio; codice della carta fedeltà, se associata al biglietto; azienda o ente datore di lavoro; tipo di offerta o servizio acquistato; estremi del documento d’identità; dati tecnici per la generazione del titolo di viaggio.
Notifica al Garante della privacy e al Csirt Italia
Trenitalia ha prontamente adottato misure per contenere l’incidente e ha notificato l’accaduto al Garante per la protezione dei dati personali e al Csirt Italia (Agenzia per la cybersicurezza nazionale), in conformità con le normative vigenti. È stata presentata anche una denuncia presso la Procura della Repubblica al Tribunale di Roma. La compagnia ha avvisato i clienti del rischio di phishing, considerando la tipologia di informazioni coinvolte. L’email inviata ha sottolineato che i clienti potrebbero ricevere tentativi di frode o phishing riguardanti i propri viaggi. Il phishing è una pratica ingannevole mediante la quale i malintenzionati tentano di raccogliere informazioni personali fingendosi enti affidabili.
Come possiamo difenderci
La compagnia ferroviaria ha esortato gli utenti a diffidare di e-mail, sms o telefonate sospette, a non fornire dati personali o finanziari e a verificare sempre l’identità del mittente prima di cliccare su link o aprire allegati. Trenitalia ha ribadito che non contatterà mai i clienti per richiedere password o dati di pagamento. È stato attivato un servizio di assistenza dedicato tramite il webform “Privacy – Gestione dei dati personali”, utilizzabile con il codice di riferimento fornito nella comunicazione ricevuta. Non è obbligatorio cambiare la propria password d’accesso all’area riservata, ma è consigliabile rimanere vigili, seguendo le precauzioni consigliate: diffidare di messaggi che richiedano cambi di password o dati bancari sospetti.
