Il caso ITA Airways in questo inizio 2026 è uno di quelli che spiegano meglio di tanti convegni perché cybersecurity e protezione dei dati non siano più un tema da ufficio legale o da reparto compliance, ma un pezzo centrale della reputazione industriale di un marchio. Nel giro di poche settimane, la compagnia si è ritrovata a gestire due crisi diverse ma comunicativamente convergenti: prima la sanzione del Garante Privacy del 4 marzo 2026 per il trattamento illecito dei dati dei lavoratori nel passaggio da Alitalia a ITA, poi il data breach che ha colpito il programma fedeltà Volare proprio alla vigilia dell’integrazione in Miles & More, partita dal 1° aprile 2026. È questa la vera “tempesta perfetta”: una multa che pesa sul passato e una violazione che ipoteca il futuro. Va chiarito subito un punto decisivo. Le due vicende non sono la stessa cosa. La sanzione del Garante riguarda i dati dei dipendenti e il modo in cui furono trattati nella fase di avvio operativo della nuova compagnia. Il caso Volare riguarda invece i dati dei clienti e il rischio che quelle informazioni possano essere usate per truffe, phishing e social engineering. Eppure, anche se giuridicamente i piani restano distinti, sul piano della percezione pubblica il messaggio è unico: il dato personale è diventato il punto più sensibile della credibilità del vettore nazionale.
Cosa leggere
Il passato che torna a bussare: la sanzione del Garante
Il provvedimento del Garante per la protezione dei dati personali non è stato un richiamo formale né una tirata d’orecchie simbolica. L’Autorità ha accertato che, nel contesto del passaggio tra la vecchia Alitalia e la neonata ITA Airways, venne utilizzata una cartella SharePoint condivisa contenente dati personali dei lavoratori del comparto Aviation. Il punto contestato non è soltanto l’esistenza di uno strumento condiviso, ma il fatto che i dati non riguardassero solo coloro che avevano realmente presentato candidatura tramite la piattaforma di recruiting, bensì l’intera platea dei dipendenti Aviation. Per il Garante ciò ha integrato violazioni dei principi di liceità, trasparenza e degli obblighi informativi previsti dal GDPR. La difesa di ITA, ricostruita nello stesso provvedimento, si fondava sul carattere eccezionale della fase di avvio. La compagnia sosteneva di aver dovuto organizzare il decollo operativo in appena cinque giorni dal via libera europeo e di aver agito in un contesto di stretta necessità industriale. Il Garante, però, non ha ritenuto quella fretta una giustificazione sufficiente. Il principio che emerge dal provvedimento è netto: l’emergenza organizzativa non sospende il GDPR. Se i dati vengono trattati senza una base adeguata o in modo eccedente rispetto alle finalità, la velocità del business non basta a coprire la violazione. Anche le cifre parlano da sole e spiegano perché il caso abbia avuto un impatto reputazionale immediato. Il Garante ha inflitto 1.000.000 di euro a ITA Airways e 250.000 euro ad Alitalia in amministrazione straordinaria. Non si tratta, quindi, di una questione marginale o di una semplice controversia tecnica: è un provvedimento che certifica pubblicamente una gestione illecita dei dati in una fase fondativa della compagnia. Quando un brand che vive di fiducia, continuità operativa e relazione con il pubblico viene sanzionato in modo così visibile, il danno non si misura solo nel pagamento della multa, ma nella traccia che resta nella memoria di mercato, regolatori e utenti.
Il presente che scotta: la violazione del programma Volare
Mentre ITA cercava di assorbire il colpo della sanzione, è arrivato il secondo fronte: quello del programma fedeltà Volare. Secondo le comunicazioni inviate agli utenti e le ricostruzioni pubblicate il 30 e 31 marzo 2026, la compagnia ha ammesso di essere stata vittima di un accesso non autorizzato a dati personali relativi agli iscritti al programma, con possibile copia delle informazioni. La segnalazione iniziale sarebbe arrivata il 23 febbraio 2026, ma la notifica pubblica ai clienti è giunta solo a fine marzo, una volta completate le verifiche tecniche interne. I dati coinvolti sono meno esplosivi di una carta di credito completa, ma molto più utili di quanto possa sembrare a prima vista. Le informazioni indicate nelle ricostruzioni comprendono nome, cognome, data di nascita, indirizzo email, indirizzo di residenza, oltre a dettagli del profilo loyalty come numero di membership, saldo punti, lingua e consensi marketing e profilazione. Per alcuni utenti, è stata indicata anche la tipologia di carta American Express associata, ma non risultano compromessi né dati di pagamento, né password, né credenziali di accesso. Dal punto di vista strettamente finanziario, questo riduce il rischio immediato. Dal punto di vista della manipolazione, invece, lascia aperto un fronte molto serio.
Il nodo del dark web e il rischio reale
Qui serve la massima precisione, perché è il punto in cui si scivola più facilmente dalla cronaca alla suggestione. Allo stato delle informazioni pubbliche disponibili al 1° aprile 2026, non ci sono prove che il database Volare sia stato pubblicato o messo in vendita sul dark web. Diverse ricostruzioni riportano che ITA Airways non ha rilevato evidenze di diffusione dei dati su Internet o sul dark web, né rivendicazioni pubbliche dell’attacco sui canali tipicamente usati dai gruppi criminali. Questo significa che trasformare il caso in una fuga di dati “già finita nel dark web” sarebbe, oggi, giornalisticamente improprio. Ma sarebbe altrettanto sbagliato usare quella formula come se fosse una rassicurazione sufficiente. L’assenza di evidenze di vendita nel dark web non equivale all’assenza di rischio ed infatti la società ha pubblicato delle FAQ. Anzi, nel caso di un programma loyalty a ridosso di una migrazione industriale, il valore dei dati sottratti non sta nel furto diretto di denaro ma nel phishing di precisione. Sapere che un utente è iscritto a Volare, conoscere il suo indirizzo email, il numero membership, il saldo punti e il contesto della migrazione a Miles & More significa poter costruire messaggi estremamente credibili: una falsa email di conversione punti, una finta procedura di aggiornamento account, un SMS che invita a confermare la carta associata o una telefonata che simula l’assistenza clienti. È questa la minaccia concreta.
Il tempismo che trasforma il danno in leva d’attacco
La violazione è esplosa nel peggior momento possibile. Volare si è chiuso il 30 marzo 2026 e dal 1° aprile 2026 ITA Airways è entrata come fully integrated partner in Miles & More, con una integrazione progressiva della user experience nel corso di aprile. In più, la documentazione ufficiale del programma prevedeva finestre temporali specifiche per l’uso o la conversione dei punti residui, inclusa la possibilità di trasformarli in Voucher Volare fino al 30 giugno 2026 e di utilizzarli per prodotti e servizi dei partner fino al 30 aprile 2026. In un simile contesto, l’utente si aspetta davvero email operative, notifiche di servizio, istruzioni su login, voucher, conversioni e scadenze. È esattamente il tipo di limbo comunicativo in cui il social engineering diventa più efficace. Questo è il vero punto che trasforma un incidente cyber in un caso reputazionale. Un dataset anche non recentissimo può diventare straordinariamente utile se usato nel momento giusto. Non serve che un attaccante possieda carte di credito o password. Gli basta presentarsi nel momento in cui il cliente è già predisposto a credere che una comunicazione da ITA o da Miles & More sia autentica. La confusione della migrazione diventa così l’arma perfetta dell’attaccante, e la transizione commerciale si trasforma in un moltiplicatore del rischio.
Il problema vero si chiama governance
Letti uno accanto all’altro, il provvedimento del Garante e il breach di Volare raccontano soprattutto un problema di governance del dato. Il primo episodio mostra una gestione dei dati dei dipendenti considerata troppo disinvolta nel momento di nascita della compagnia. Il secondo mostra che anche i dati dei clienti, specialmente durante una delicata transizione di programma fedeltà e integrazione societaria, possono diventare un punto di frattura. Non è corretto dire che esista una prova pubblica di un’unica causa tecnica o organizzativa dietro i due casi. Ma è corretto affermare che, nel loro insieme, i due episodi segnalano una stessa vulnerabilità strategica: la protezione del dato non appare ancora percepita come infrastruttura centrale del brand. Ed è qui che il dossier ITA Airways smette di essere un affare solo tecnico. Le compagnie aeree non vendono soltanto posti a bordo. Vendono continuità, fiducia, identità di servizio. Il passeggero non affida al vettore solo il proprio viaggio, ma anche i propri dati anagrafici, le proprie abitudini di acquisto, la propria cronologia di relazione con il marchio. Quando quel patrimonio entra due volte nello spazio pubblico, prima per una sanzione regolatoria e poi per un accesso non autorizzato, il danno reputazionale diventa strutturale. La fiducia del passeggero non vola solo sugli aerei: viaggia sui server. E in questo momento la rotta appare tutt’altro che stabile. Sulla domanda delle domande, la valutazione è netta:
no, la formula “non ci sono evidenze nel dark web” da sola non basta a rassicurare i passeggeri.
È una precisazione utile, ma troppo difensiva e troppo stretta sul piano tecnico. In una fase di migrazione come questa servirebbe una trasparenza più aggressiva e più operativa, centrata sui rischi reali di phishing: esempi concreti di truffe attese, indicazioni chiare su quali email ITA o Miles & More siano autentiche, avvisi ripetuti sui canali ufficiali, e una campagna preventiva che spieghi agli utenti che proprio la transizione è il terreno ideale per chi vuole impersonare il brand. Non basta dire dove i dati non sono finiti. Bisogna spiegare bene come potrebbero essere usati.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
