Foto di Nico Ruge.

Trenitalia ha comunicato di aver subito un incidente di sicurezza informatica che ha comportato un accesso non autorizzato a dati personali collegati ai biglietti. La violazione riguarda informazioni anagrafiche e di viaggio ma non includerebbe credenziali di accesso né dati di pagamento, come numeri di carta di credito o codici di sicurezza. Secondo quanto riportato nelle comunicazioni inviate via email agli utenti, l'incidente sarebbe stato causato da "soggetti esterni non identificati che hanno ottenuto accesso improprio ai sistemi informatici legati alla gestione dei titoli di viaggio".

Le informazioni potenzialmente oggetto di accesso non autorizzato riguardano diverse categorie di dati personali, come i dati anagrafici e identificativi (quali nome, cognome, data e luogo di nascita del passeggero, oltre al nome e cognome dell'eventuale acquirente del biglietto). Sono inclusi anche i dati di contatto, come indirizzo email e numero di telefono. Tra i dati di viaggio indicati da Trenitalia figurano la tratta, la data e l'orario del viaggio, il numero del titolo di viaggio e altre informazioni associate al biglietto. Possono inoltre essere coinvolti il codice della carta fedeltà, se associato al titolo, l'eventuale società o ente datore di lavoro, la tipologia di offerta o servizio collegata al biglietto e i dati necessari a fruire di tali offerte. Nell'elenco rientrano anche gli estremi del documento d'identità e i dati connessi alla generazione del titolo di viaggio.

Trenitalia ha dichiarato di aver adottato, non appena rilevato l'evento, le misure necessarie per interrompere l'anomalia, mettere in sicurezza i sistemi e rafforzare ulteriormente i controlli. Ha inoltre notificato l'accaduto al Garante per la Protezione dei Dati Personali e allo CSIRT Italia, in conformità alla normativa vigente, e ha presentato denuncia alla Procura della Repubblica presso il Tribunale di Roma. Nelle comunicazioni ai clienti, Trenitalia avverte che, considerata la tipologia di dati coinvolti, esiste il rischio di ricevere comunicazioni fraudolente o tentativi di contatto ingannevoli che fanno riferimento ai viaggi effettuati. La società invita a prestare particolare attenzione a eventuali messaggi sospetti, soprattutto se richiedono dati personali o finanziari o contengono link o allegati inattesi.

La formulazione utilizzata nelle email parla esplicitamente di «comunicazioni fraudolente o tentativi di contatto ingannevoli che fanno riferimento ai suoi viaggi», richiamando il rischio di campagne di phishing costruite sulla base delle informazioni di viaggio. I clienti vengono invitati a diffidare di richieste di password, codici di sicurezza o dati di pagamento, ricordando che Trenitalia non chiede tali informazioni via email.

Per approfondire:

I numeri e l'IPO di SpaceX

Bucato l'Internet Archive, sottratti i dati di 31 milioni di utenti

Il caso delle telecamere di sicurezza che lasciano sbirciare nelle case altrui

LastPass, la violazione è molto più grave del previsto

L'incidente non è recente: risale addirittura al 30 ottobre 2025, ma la complessità dell'attacco ha richiesto un periodo prolungato di analisi per ricostruire gli accessi impropri e identificare i soggetti interessati. Solo al termine di queste attività Trenitalia ha inviato le comunicazioni previste dall'articolo 34 del Regolamento UE 679/2016 ai clienti coinvolti. Le comunicazioni sono state inviate esclusivamente agli indirizzi email associati ai titoli di viaggio per i quali Trenitalia ha potuto verificare una violazione. Chi non ha ricevuto alcuna email non risulta tra i soggetti interessati dall'incidente, secondo quanto riportato nelle note diffuse dalla società.

Per eventuali chiarimenti, Trenitalia invita a rivolgersi al proprio sito, dove è stata attivata una procedura che consente di inviare richieste sulla gestione dei dati personali selezionando l'opzione relativa alla privacy e inserendo il codice riportato in grassetto nella comunicazione ricevuta.

Ti raccomandiamo anche:

LastPass violato di nuovo, sottratti i dati degli utenti

Gli orari dei treni arrivano su Google Maps

A processo il fondatore del gruppo Facebook contro Trenitalia

Internet per i Frecciarossa, niente per i pendolari