Cybersecurity Nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

data breach

Attacco hacker Trenitalia: ecco tutto quel che sappiamo

Home Attacchi hacker e Malware: le ultime news in tempo reale e gli approfondimenti
Partecipa al dibattito
Indirizzo copiato

Trenitalia ha comunicato ai clienti coinvolti un accesso non autorizzato a dati personali legati ai titoli di viaggio. Esclusi credenziali e pagamenti, resta il rischio di e-mail, SMS e chiamate fraudolente costruite su tratte reali

Pubblicato il 26 giu 2026
Aggiungi tra i preferiti su Google
Attacco hacker Trenitalia
AI Questions Icon
Chiedi all'AI
Riassumi questo articolo
Approfondisci con altre fonti

Trenitalia ha comunicato ai passeggeri coinvolti un incidente di sicurezza informatica causato da soggetti esterni non identificati, con accesso non autorizzato ad alcuni dati personali legati ai titoli di viaggio.

L’azienda afferma che dall’attacco hacker non risultano coinvolti dati di accesso agli account, credenziali personali o informazioni di pagamento, come numero della carta, scadenza o codice di sicurezza. Il rischio principale, però, si sposta ora sulle comunicazioni fraudolente: email, sms o chiamate che potrebbero usare dettagli reali dei viaggi per apparire attendibili.

Trenitalia specifica che l’attacco è avvenuto a ottobre ma la procedura per risalire agli utenti coinvolti è stata lunga e complessa.

La comunicazione inviata ai clienti è formulata ai sensi dell’articolo 34 del Regolamento Ue 2016/679, relativo alla comunicazione della violazione agli interessati quando il data breach può presentare un rischio elevato per i diritti e le libertà delle persone. Trenitalia ha inoltre dichiarato di aver notificato l’accaduto al Garante per la protezione dei dati personali e al Csirt Italia, presentando denuncia alla Procura della Repubblica presso il Tribunale di Roma.

“Il caso dell’incidente informatico che ha coinvolto Trenitalia va letto non solo come una sottrazione di indirizzi email, ma come un tipico episodio di data exposure funzionale a campagne di social engineering”, commenta Pierluigi Paganini, analista di cyber security e Ceo Cybhorus, che aggiunge: “Le evidenze riportate indicano che i dati sottratti non sembrano essere altamente sensibili (es. password o carte), ma sufficienti per costruire attacchi di phishing mirati, coerenti con pattern già osservati contro infrastrutture del trasporto e grandi utility”.

“Questo tipo di attacco”, continua ancora Paganini, “è generalmente attribuibile a gruppi di cybercrime opportunistici o initial access broker, che monetizzano dataset di clienti rivendendoli per campagne successive. Non si tratta quindi necessariamente di attori statali o APT, ma di ecosistemi criminali specializzati in frodi: phishing “brandizzato”, truffe su rimborsi, finti avvisi di pagamento o disservizi”.

Attacco hacker Trenitalia, Andrea Lisi: “Episodio gravissimo”

“Il data breach di Trenitalia rappresenta un episodio gravissimo. Lo stiamo apprendendo in queste ore. Ancora una volta, un’infrastruttura critica per il nostro Sistema Paese è stata oggetto di un attacco che non può essere minimizzato né derubricato a semplice incidente informatico. Si tratta di una violazione che colpisce il cuore della nostra resilienza nazionale, con implicazioni che vanno ben oltre i dati compromessi”, è il commento di Andrea Lisi, tra le voci più autorevoli nel campo del diritto applicato all’informatica, presidente di ANORC Professioni e direttore del progetto DIGEAT.

Andrea Lisi osserva anche che “questo caso dimostra, con evidenza drammatica, quanto sia urgente e non più rinviabile elevare a livelli altissimi l’attenzione sulla cyber protection e sulla security. Non si tratta di compartimenti stagni, ma di due discipline che devono necessariamente collaborare in modo sinergico, attraverso la costituzione di team interdisciplinari capaci di presidiare non solo la componente tecnologica – pur fondamentale – ma soprattutto il fattore umano, che resta l’anello più debole della catena della custodia dei dati”.

Sul piano della protezione dei dati personali, Andrea Lisi sottolinea che “È bene che oggi si stia procedendo con la massima trasparenza nel comunicare l’accaduto e nell’allertare tutti i soggetti coinvolti nel data breach. Si tratta di un dovere ex artt. 33-34 GDPR, ma anche istituzionale e deontologico: cittadini, imprese e professionisti devono essere messi nelle condizioni di difendersi da prevedibili e già in corso tentativi di phishing e di social engineering che sfrutteranno questa breccia”.

Ma l’esperto di diritto applicato all’informatica osserva anche che “a livello di completezza e trasparenza della comunicazione inoltrata, ci sarebbe tuttavia qualcosa da migliorare: ad esempio, sarebbe un diritto degli interessati poter contattare agevolmente il DPO o conoscere con precisione la data dell’evento”.

Attacco hacker Trenitalia: quali dati risultano coinvolti

Secondo la comunicazione inviata ai passeggeri, l’accesso non autorizzato riguarda dati associati ai titoli di viaggio. Il perimetro indicato include informazioni anagrafiche, recapiti e dettagli del viaggio, qualora presenti nei sistemi in relazione al biglietto acquistato.

Categoria di datiInformazioni potenzialmente coinvolteRischio principale
Dati anagraficiNome, cognome, data e luogo di nascita del passeggero; nome e cognome dell’eventuale acquirenteIdentificazione della persona e costruzione di messaggi credibili
Dati di contattoEmail e numero di telefonoPhishing, smishing e chiamate fraudolente
Dati di viaggioTratta, data, orario, numero del titolo di viaggioTruffe personalizzate su rimborsi, ritardi, cambi biglietto o assistenza
Dati commercialiTipologia di offerta o servizio associata al titoloMessaggi falsi coerenti con il servizio acquistato
Altri dati collegatiCodice carta fedeltà, datore di lavoro, estremi del documento d’identità se presentiProfilazione più accurata e possibili tentativi di impersonificazione

L’assenza dichiarata di credenziali e dati di pagamento riduce il rischio immediato di compromissione degli account o di frodi dirette sulle carte. Non elimina però il problema: i dati di viaggio sono informazioni contestuali ad alto valore per l’ingegneria sociale, perché permettono a un aggressore di citare luoghi, orari e servizi realmente usati dal passeggero.

Perché i dati di viaggio aumentano il rischio di spear phishing

Un messaggio generico su un presunto rimborso ferroviario è più facile da riconoscere. Un messaggio che cita una tratta, una data o un numero di biglietto reale può invece superare la normale diffidenza dell’utente. È questo il passaggio più delicato del caso Trenitalia: il furto o l’accesso illecito a dati non finanziari può comunque generare campagne di spear phishing molto efficaci.

Gli scenari più probabili riguardano finte comunicazioni su rimborsi, cambi di prenotazione, ritardi, bonus, aggiornamenti dell’app, problemi sul pagamento o verifiche dell’identità. In questi casi l’obiettivo dell’attaccante può essere ottenere credenziali, convincere l’utente a inserire dati bancari su una pagina falsa, indurlo ad aprire allegati malevoli o spingerlo a contattare un falso servizio clienti.

La raccomandazione operativa per i passeggeri è usare canali indipendenti: aprire l’app o il sito digitando l’indirizzo nel browser, evitare link ricevuti via email o sms, non comunicare codici, password, dati di pagamento o documenti a interlocutori non verificati. La presenza di dettagli corretti sul viaggio non deve essere considerata prova di autenticità del messaggio.

Data breach Trenitalia tra Gdpr, Garante privacy e Csirt Italia

Il caso ha una doppia dimensione: protezione dei dati personali e sicurezza dei servizi digitali. Sul primo fronte, il Garante privacy ricorda che il titolare del trattamento deve notificare una violazione senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne viene a conoscenza, salvo i casi in cui sia improbabile un rischio per i diritti e le libertà delle persone. Quando la violazione comporta un rischio elevato, il titolare deve comunicarla anche agli interessati.

Sul fronte cyber, il trasporto ferroviario rientra tra i settori ad alta criticità previsti dal D.Lgs. 138/2024, che recepisce la direttiva Nis2. L’allegato I include gestori dell’infrastruttura e imprese ferroviarie; l’articolo 25 prevede, per soggetti essenziali e importanti, la notifica al Csirt Italia degli incidenti significativi, con pre-notifica entro 24 ore e notifica entro 72 ore dalla conoscenza dell’incidente.

La dichiarazione di Trenitalia sulla notifica al Csirt Italia indica quindi una gestione dell’evento anche nel circuito nazionale di risposta agli incidenti. Resta da chiarire, sul piano tecnico, il vettore d’attacco, il tempo di permanenza dell’accesso improprio, il numero di interessati, l’eventuale esfiltrazione effettiva dei dati e le misure di contenimento adottate.

Cosa devono fare passeggeri e aziende dopo attacco hacker Trenitalia

Continueremo a seguire la vicenda man mano che emergono dettagli.

Intanto, per i passeggeri coinvolti, la misura più concreta è trattare con cautela ogni comunicazione che faccia riferimento a viaggi recenti o futuri. Le richieste di pagamento, rimborso, verifica dell’account, aggiornamento dei dati personali o invio di documenti devono essere controllate solo attraverso canali ufficiali raggiunti autonomamente.

Per le aziende, il caso segnala un rischio spesso sottovalutato nei programmi di sicurezza: i dati transazionali e di servizio possono diventare un moltiplicatore di attacchi sociali. Non servono sempre password o carte per produrre danni. Una base dati con nomi, recapiti, tratte e orari può bastare per costruire campagne credibili contro clienti, dipendenti e uffici amministrativi.

“Il rischio per gli utenti non è tanto immediato quanto progressivo: le email reali aumentano drasticamente la credibilità dei messaggi malevoli, permettendo attacchi di spear phishing ad alta precisione, dove nome, contesto di viaggio e comunicazioni aziendali vengono sfruttati per indurre urgenza e fiducia”, mette in guardia Pierluigi Paganini.

L’analista osserva, inoltre, che “la vittima principale resta il passeggero, che diventa bersaglio di una catena di abusi informativi. Per questo la trasparenza dell’azienda e la rapidità nel notificare l’incidente sono elementi cruciali: riducono la finestra temporale in cui i dati possono essere sfruttati e aumentano la consapevolezza degli utenti rispetto a comunicazioni potenzialmente ingannevoli”.

La risposta all’incidente, ovviamente, non si esaurisce nella chiusura dell’anomalia tecnica. Servono monitoraggio post-incidente, comunicazioni chiare agli utenti, indicatori di compromissione condivisi con i team di sicurezza, controlli antifrode sui canali digitali e procedure coordinate tra sicurezza informatica, privacy, legale, customer care e comunicazione.

Nei servizi essenziali, la qualità della risposta diventa parte della fiducia nel servizio tanto quanto la prevenzione dell’attacco.

Casu (PD): faremo interrogazione parlamentare

“Si tratta di una notizia che desta forte preoccupazione e che richiede immediati chiarimenti”, scrive Andrea Casu, vicepresidente della commissione Trasporti della Camera e deputato del Partito democratico. “Dopo ritardi, disservizi e una gestione che continua a penalizzare quotidianamente milioni di passeggeri, ora emerge anche un grave problema sul fronte della tutela dei dati personali”.

“Presenteremo immediatamente un’interrogazione parlamentare per chiedere al ministro delle Infrastrutture e dei Trasporti, Matteo Salvini, di riferire su quanto accaduto, chiarendo quali dati siano stati coinvolti, quante persone siano interessate, quali misure di sicurezza fossero adottate e quali iniziative urgenti il Governo intenda assumere per garantire la piena tutela degli utenti”.

Il precedente Almaviva e il rischio supply chain

L’incidente arriva dopo un altro caso rilevante nel perimetro ferroviario italiano. Il 20 novembre 2025 Almaviva ha confermato di aver individuato e isolato un attacco ai propri sistemi corporate, con sottrazione di alcuni dati, precisando di aver informato Procura della Repubblica, Polizia Postale, Agenzia nazionale per la cybersicurezza e Garante privacy e di aver mantenuto operativi i servizi critici.

Trenitalia specifica a Cybersecurity360.it che l’ultimo attacco non è collegato a quello Almaviva.

Attacco Almaviva, effetti su Gruppo Ferrovie: cosa sappiamo sul data leak

Secondo ricostruzioni di settore, un threat actor avrebbe rivendicato la pubblicazione di 2,3 terabyte di dati riconducibili anche al Gruppo Ferrovie dello Stato, con documentazione interna, contratti, dati amministrativi e, secondo la rivendicazione criminale, anche informazioni riferibili a passeggeri e personale di diverse società del gruppo. Cybersecurity360 segnalava allora la necessità di attendere gli esiti delle indagini per confermare l’attendibilità e il perimetro effettivo del leak.

Nei servizi essenziali, piattaforme di ticketing, Crm, customer care, gestione documentale e integrazioni applicative possono concentrare dati molto sensibili anche quando non incidono direttamente sulla circolazione ferroviaria.

Un data breach che coinvolge dati di viaggio non va letto solo come evento privacy, ma come indicatore della superficie d’attacco estesa della mobilità digitale.

Ricordiamo poi che nel marzo 2022 Ferrovie dello Stato/Trenitalia furono colpite da un attacco ransomware/cryptolocker che bloccò biglietterie fisiche e self service, senza interrompere la circolazione ferroviaria. Quello era soprattutto un caso di continuità operativa; l’incidente attuale è più centrato su riservatezza dei dati e rischio phishing mirato.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Alessandro Longo
Direttore
Giornalista professionista, scrive da 16 anni per le principali testate italiane su temi del digitale, soprattutto telecomunicazioni, agenda digitale, pubblica amministrazione digitale. Collaborazione storica e settimanale per Sole24Ore, Repubblica (pagine di Economia nazionale, oltre mille articoli pubblicati, di cui un centinaio in prima pagina).
Seguimi su

Leggi anche:

Partecipa alla community

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

SPAZIO CISO

Vedi tutti gli approfondimenti >

Articoli correlati

  • Come usare legalmente una VPN per Netflix

  • LA GUIDA

    Migliori VPN per Netflix: ecco quando è legale

    29 Giu 2025

    di Redazione Cybersecurity360.it

    Condividi
  • Cyber security evoluzione

  • l'approfondimento

    Cyber security: com’è cambiata e cosa aspettarsi per il futuro, con uno sguardo all’AI

    22 Dic 2025

    di Michelangelo Stillante

    Condividi
  • Cloudflare in down, il problema è la fragilità delle infrastrutture critiche: ecco le soluzioni da adottare

  • cyber resilienza

    Cloudflare down, il problema è la fragilità delle infrastrutture critiche: ecco le soluzioni da adottare

    19 Nov 2025

    di Mirella Castigli

    Condividi
  • Pig butchering: come funziona la filiera delle truffe online; Maxi truffe di investimento si travestono da informazione finanziaria sulle piattaforme advertising di Meta: come proteggersi

  • la ricerca

    Truffe travestite da informazioni finanziarie sfruttano l'advertising di Meta: come proteggersi

    18 Mar 2026

    di Mirella Castigli

    Condividi
0
Lascia un commento, la tua opinione conta.x