La Voce Digitale
Mail Trenitalia sull'attacco hacker: come riconoscere quella vera

Mail Trenitalia sull'attacco hacker: come riconoscere quella vera

L'intrusione risale a ottobre 2025, la notifica ai clienti è arrivata otto mesi dopo. Password e pagamenti salvi, ma i dati di viaggio rubati sono l'esca perfetta per truffe su misura.

4 min di lettura

di Lorenzo Baccini

#trenitalia#data breach#phishing#cybersicurezza#privacy#gdpr#gruppo fs
0:000:00

Se hai ricevuto una mail da Trenitalia con oggetto "Comunicazione di violazione dei dati personali ai sensi dell'art. 34 del Regolamento UE 679/2016", non è una truffa: è la notifica ufficiale di un attacco informatico subito dall'azienda. L'intrusione risale a ottobre 2025, ma i clienti lo hanno saputo solo dal 26 giugno, otto mesi dopo. La buona notizia è che password e dati di pagamento non sono stati toccati. Quella cattiva è che ciò che è stato rubato, tratte, biglietti e documenti, è l'ingrediente ideale per truffe cucite su misura. E il paradosso è tutto qui: l'unico messaggio "Trenitalia" di cui fidarti è proprio quello che non ti chiede niente.

Cosa è stato rubato (e cosa no)

Nella comunicazione l'azienda parla di un "incidente di sicurezza informatica causato da soggetti esterni non identificati" con accesso non autorizzato ai dati legati ai titoli di viaggio. L'elenco dei dati potenzialmente compromessi è lungo: nome, cognome, data e luogo di nascita del passeggero e dell'eventuale acquirente, email e telefono, tratta, data, ora e numero del biglietto, codice della carta fedeltà, datore di lavoro indicato per le convenzioni e perfino gli estremi del documento d'identità.

Restano fuori, per esplicita conferma dell'azienda, le password degli account e i dati di pagamento: numeri di carta, scadenze e codici di sicurezza non risultano coinvolti. Nessun gruppo criminale ha rivendicato l'attacco e, a differenza del ransomware che nel 2022 bloccò le biglietterie, questa è stata un'esfiltrazione silenziosa. Sul numero dei coinvolti l'azienda non ha dato cifre: le stime circolate vanno dalle migliaia ai milioni di clienti, e nessuna è confermata.

Otto mesi di silenzio: la cronologia

Mettiamo in fila le date, perché raccontano più dei comunicati. Fine ottobre 2025: l'intrusione viene rilevata e, tra ottobre e novembre, i tecnici dell'Agenzia per la Cybersicurezza Nazionale intervengono per bonificare i sistemi. Trenitalia notifica il Garante Privacy e il CSIRT, e presenta denuncia alla Procura di Roma, che indaga con la Polizia Postale. Nel frattempo, tra novembre e dicembre, il gruppo FS incassa un secondo colpo: dal fornitore informatico Almaviva vengono esfiltrati 2,3 terabyte di dati riconducibili anche a Trenitalia e RFI, poi pubblicati su un forum del dark web. Due incidenti nella stessa filiera in due mesi.

La mail ai clienti, però, parte solo il 26 giugno 2026. Il GDPR impone di avvisare il Garante entro 72 ore, ma per gli interessati chiede una comunicazione "senza ingiustificato ritardo": l'azienda sostiene che gli otto mesi siano serviti a ricostruire gli accessi e identificare con precisione i coinvolti. Sarà il Garante a valutare se la giustificazione regge. Per chi ha viaggiato in quei mesi, intanto, i propri dati sono rimasti in mani ignote senza saperlo.

La regola: la mail vera non ti chiede niente

Chat Control fino al 2028: più contrari che favorevoli, ma passa

Il rischio concreto, adesso, si chiama phishing mirato. Chi ha quei dati può scriverti citando la tua tratta esatta, la data e il numero del biglietto: "Gentile cliente, per il ritardo del suo treno del 12 marzo ha diritto a un rimborso, clicchi qui". È credibile proprio perché è vero tutto tranne il link. Valgono anche le varianti via SMS e le telefonate di finti operatori che "verificano i documenti dopo l'attacco".

La difesa sta in una regola sola: la notifica autentica è puramente informativa. Non contiene richieste di dati, non chiede pagamenti, non sollecita clic; per l'assistenza rimanda al webform "Privacy - Gestione dei dati personali" sul sito ufficiale, da usare con il codice indicato nella comunicazione. Qualsiasi messaggio a nome Trenitalia che chieda credenziali, codici OTP o un clic urgente è una truffa per definizione. Il cambio della password dell'area riservata non è tecnicamente necessario, ma è consigliato, e diventa urgente se riusi la stessa password altrove; l'autenticazione a due fattori chiude il cerchio. I tentativi di frode si segnalano alla Polizia Postale su commissariatodips.it.

Resta la lezione di fondo: per la seconda volta in tre anni la filiera ferroviaria italiana si scopre bersaglio, e per la seconda volta i clienti lo scoprono a cose fatte. I dati di viaggio sembrano innocui finché qualcuno non li usa per bussare alla tua porta con il tuo itinerario in mano. La trasparenza sui tempi, più della tecnica, è il test che il gruppo FS non può più permettersi di fallire.

Fonti

Condividi:

Articoli correlati