Attacco a Trenitalia: data breach sui dati dei passeggeri, scatta l’allarme phishing per chi viaggia

🛡️ Executive Summary

• Un attacco informatico ha consentito l’accesso non autorizzato a dati anagrafici, contatti e informazioni di viaggio di clienti Trenitalia.
• Non risultano compromessi credenziali di accesso, password, dati delle carte di pagamento o altre informazioni finanziarie.
• Trenitalia ha notificato il data breach a utenti, Garante Privacy, CSIRT Italia e Procura di Roma, avvertendo del rischio di campagne di phishing mirato.

Trenitalia ha confermato di aver subito una violazione dei dati personali che ha consentito ad attori esterni non autorizzati di accedere a informazioni anagrafiche, recapiti e dettagli relativi ai viaggi di numerosi passeggeri. L’azienda ha comunicato l’incidente ai soggetti potenzialmente coinvolti il 26 giugno 2026, al termine delle verifiche tecniche condotte dalle proprie strutture di sicurezza informatica. Secondo quanto reso noto, gli aggressori hanno avuto accesso a dati personali utilizzati per la gestione dei titoli di viaggio, mentre non risultano compromessi né gli account degli utenti né le informazioni relative ai pagamenti elettronici. La società ha dichiarato di aver già contenuto l’incidente, rafforzato le misure di sicurezza e notificato la violazione alle autorità competenti nel rispetto del Regolamento generale sulla protezione dei dati (GDPR). Il rischio principale derivante dall’episodio riguarda ora possibili campagne di phishing, smishing e altre forme di ingegneria sociale costruite sfruttando informazioni di viaggio estremamente credibili.

L’attacco ha esposto dati anagrafici, contatti e informazioni di viaggio

Le verifiche svolte da Trenitalia hanno accertato che l’accesso abusivo ha interessato un insieme articolato di dati personali utilizzati durante l’acquisto e la gestione dei biglietti ferroviari. Tra le informazioni coinvolte figurano nome e cognome del passeggero e dell’eventuale acquirente, data e luogo di nascita, indirizzi email, numeri di telefono, tratta percorsa, data e orario del viaggio, numero del titolo di trasporto, codice della carta fedeltà quando associata alla prenotazione, dati relativi al datore di lavoro qualora presenti, estremi del documento di identità e ulteriori elementi necessari all’emissione del biglietto. La combinazione di questi dati permette di ricostruire con precisione le abitudini di viaggio di una persona e costituisce un patrimonio informativo particolarmente prezioso per chi intenda realizzare campagne di ingegneria sociale altamente personalizzate. L’azienda ha precisato che le analisi tecniche hanno consentito di individuare i clienti potenzialmente coinvolti, ai quali è stata inviata una comunicazione dedicata contenente le principali indicazioni di sicurezza.

Password e dati di pagamento non risultano compromessi

Uno degli aspetti più rilevanti della comunicazione riguarda la tipologia di dati rimasti esclusi dalla violazione. Trenitalia ha chiarito che non sono stati sottratti i dati di autenticazione agli account personali, comprese password e credenziali di accesso, né le informazioni relative ai metodi di pagamento utilizzati durante gli acquisti. Numeri delle carte bancarie, date di scadenza, codici di sicurezza e altri dati finanziari risultano quindi estranei all’incidente secondo quanto comunicato dalla società. Questa circostanza riduce sensibilmente il rischio di frodi economiche dirette sui sistemi di pagamento, ma non elimina la possibilità che le informazioni anagrafiche e i dettagli dei viaggi vengano sfruttati per costruire comunicazioni fraudolente estremamente credibili. Un aggressore che conosce destinazione, data del viaggio, recapiti e informazioni personali della vittima può infatti simulare richieste di rimborso, modifiche di prenotazione o verifiche amministrative inducendo il destinatario a fornire ulteriori dati sensibili.

La comunicazione ai clienti e gli obblighi previsti dal GDPR

L’azienda ha inviato ai soggetti interessati una comunicazione via email nella quale descrive la natura della violazione e invita i destinatari a prestare particolare attenzione a messaggi sospetti che facciano riferimento ai propri viaggi ferroviari. Trenitalia ricorda di non richiedere mai password, codici di autenticazione o dati delle carte di pagamento tramite posta elettronica, invitando gli utenti a verificare sempre il mittente delle comunicazioni prima di aprire allegati o seguire collegamenti ipertestuali. Per eventuali richieste di chiarimento è stato predisposto un canale dedicato attraverso il webform aziendale nella sezione “Privacy – Gestione dei dati personali”.

Parallelamente la società ha notificato l’incidente al Garante per la protezione dei dati personali, al CSIRT Italia e ha presentato denuncia presso la Procura della Repubblica di Roma, adempiendo agli obblighi previsti dagli articoli 33 e 34 del Regolamento UE 2016/679, che disciplinano la notifica delle violazioni dei dati personali alle autorità competenti e agli interessati quando esiste un rischio elevato per i loro diritti e le loro libertà.

Le reazioni politiche e il dibattito sulla trasparenza

L’episodio ha suscitato immediate reazioni anche sul piano istituzionale. Andrea Casu, vicepresidente della Commissione Trasporti della Camera dei deputati, ha espresso forte preoccupazione per la possibile esposizione dei dati personali di un numero molto elevato di utenti e ha annunciato la presentazione di un’interrogazione parlamentare al Ministro delle Infrastrutture e dei Trasporti Matteo Salvini. Tra i quesiti posti figurano l’entità effettiva della violazione, il numero delle persone coinvolte, le misure di sicurezza adottate prima dell’attacco e le iniziative che il Governo intende promuovere per rafforzare la tutela dei cittadini. Parallelamente diversi esperti di protezione dei dati hanno analizzato la comunicazione inviata da Trenitalia ai clienti. Andrea Lisi ha evidenziato l’importanza di fornire informazioni tempestive e trasparenti affinché gli utenti possano difendersi efficacemente da campagne di phishing e social engineering. Altri professionisti del settore hanno invece osservato come alcuni destinatari abbiano ricevuto l’email nella cartella spam e abbiano rilevato criticità nella formulazione del messaggio, ritenuto da alcuni poco chiaro e caratterizzato da un linguaggio particolarmente perentorio. Le osservazioni riguardano soprattutto il rispetto dell’obbligo di utilizzare comunicazioni semplici e comprensibili previsto dal GDPR, elemento considerato essenziale affinché gli interessati possano valutare correttamente i rischi derivanti dalla violazione.

Un nuovo episodio dopo il precedente incidente del gruppo Ferrovie dello Stato

Il data breach si inserisce in un contesto più ampio che negli ultimi anni ha interessato anche il gruppo Ferrovie dello Stato Italiane. Nel corso del 2025, infatti, un attacco informatico contro Almaviva, fornitore di servizi IT del gruppo ferroviario, aveva portato alla sottrazione di circa 2,3 terabyte di dati contenenti informazioni sensibili, documenti amministrativi, dati bancari e buste paga successivamente comparsi su forum della rete Tor. Anche Trenitalia Tper, operatore ferroviario attivo in Emilia-Romagna, aveva dovuto comunicare violazioni analoghe a clienti e dipendenti. Sebbene i due episodi siano distinti, la loro successione evidenzia come il settore dei trasporti rappresenti oggi uno dei bersagli più interessanti per i gruppi cybercriminali, che possono ottenere enormi quantità di dati personali e logistici utili sia per finalità estorsive sia per campagne di compromissione mirata.

Il rischio principale è rappresentato dal phishing altamente personalizzato

L’assenza di dati finanziari tra le informazioni sottratte non elimina il rischio derivante dalla violazione. La disponibilità di nomi, indirizzi email, numeri di telefono, itinerari ferroviari e dettagli relativi ai biglietti consente infatti ai criminali di predisporre campagne di phishing, smishing e vishing estremamente credibili. Un messaggio che richiami un viaggio realmente effettuato, un presunto rimborso, una modifica dell’orario di partenza o una verifica amministrativa ha probabilità molto più elevate di convincere la vittima ad aprire allegati, cliccare collegamenti fraudolenti o comunicare ulteriori informazioni riservate. Per questo motivo Trenitalia invita tutti gli utenti interessati a diffidare di qualsiasi comunicazione inattesa relativa ai propri viaggi, a non fornire mai dati personali o bancari attraverso email o SMS e a utilizzare esclusivamente i canali ufficiali dell’azienda per verificare eventuali richieste ricevute. L’episodio conferma come, nelle moderne violazioni informatiche, anche dati apparentemente meno sensibili possano trasformarsi in strumenti estremamente efficaci per realizzare sofisticate operazioni di ingegneria sociale, rendendo fondamentale una comunicazione tempestiva, trasparente e facilmente comprensibile da parte delle organizzazioni coinvolte.