Trenitalia, incidente informatico: dati dei clienti a rischio e allerta phishing

Trenitalia ha avvisato i clienti di un incidente informatico che ha portato all'accesso non autorizzato a dati personali legati ai biglietti. Non risultano coinvolti credenziali e dati di pagamento. L'azienda ha segnalato il caso al Garante Privacy e al CSIRT e mette in guardia dal rischio di truffe via email e SMS.

Cosa è successo

Trenitalia ha comunicato ai propri clienti di aver subìto un incidente di sicurezza informatica che ha comportato l'accesso non autorizzato, da parte di soggetti esterni, a dati personali legati ai titoli di viaggio. La notifica, riportata dalle testate specializzate, è stata inviata direttamente agli utenti potenzialmente coinvolti, come previsto dal Regolamento europeo sulla protezione dei dati (GDPR) quando una violazione può comportare un rischio elevato per gli interessati.

Quali dati sono coinvolti

Secondo quanto dichiarato dall'azienda, i dati potenzialmente esposti riguardano informazioni anagrafiche e di contatto (nome, cognome, email, telefono), i dettagli del viaggio (tratta, data, numero del titolo) e altri elementi legati all'acquisto, come il codice della carta fedeltà e gli estremi del documento. Trenitalia ha però precisato che non sono stati compromessi le credenziali di accesso agli account né i dati di pagamento (numeri di carta, scadenze, codici di sicurezza), come confermano le ricostruzioni di settore. L'esposizione, dunque, non è finanziaria — ma resta delicata.

Il rischio principale: il phishing

Proprio la natura dei dati sottratti è l'aspetto più insidioso: chi vi ha avuto accesso può costruire messaggi di phishing molto personalizzati, citando viaggi reali per apparire credibile e spingere le vittime a fornire password o dati bancari. Trenitalia ha avvertito che nei prossimi giorni i clienti potrebbero ricevere comunicazioni fraudolente via email o SMS, ricordando di non comunicare mai password o dati di pagamento in risposta a contatti non sollecitati, di diffidare dei link e di verificare sempre il mittente.

Le segnalazioni alle autorità

L'azienda ha notificato l'incidente al Garante per la protezione dei dati personali e al CSIRT Italia, la squadra nazionale di risposta agli incidenti informatici, procedendo anche sul piano giudiziario. È la prassi prevista per gli eventi che coinvolgono infrastrutture di rilievo nazionale. Sul fronte del contesto, alcune testate hanno richiamato il grave attacco subìto a fine 2025 da un importante fornitore IT del gruppo Ferrovie dello Stato: un eventuale collegamento con l'episodio odierno, però, non è stato confermato ufficialmente ed è da verificare.

Cosa fare

Chi ha ricevuto la notifica non deve compiere azioni urgenti su account o carte (i dati finanziari non risultano esposti), ma deve alzare l'attenzione nelle prossime settimane: massima prudenza con email e messaggi che si presentano come comunicazioni di Trenitalia o di altri enti. Nel dubbio, meglio non cliccare e verificare attraverso i canali ufficiali.