L’azienda ha informato i clienti via mail: sottratti nomi, contatti e itinerari di viaggio, salvi i dati delle carte di credito. Denuncia alla Procura di Roma, il Pd chiede a Salvini di riferire in Parlamento.
Roma – Chi ha comprato un biglietto su Trenitalia potrebbe ritrovarsi, da oggi, con i propri dati personali nelle mani di sconosciuti. L’azienda del gruppo Ferrovie dello Stato ha iniziato a inviare ai clienti una comunicazione che ha il sapore amaro dell’ammissione: un attacco informatico, sferrato da soggetti esterni ancora non identificati, ha violato i sistemi e permesso l’accesso non autorizzato a un vasto patrimonio di informazioni personali legate ai titoli di viaggio.
I dati finiti nel mirino dei pirati informatici sono tutt’altro che marginali: nomi e cognomi, date e luoghi di nascita, indirizzi e-mail, numeri di telefono, tratte e orari dei viaggi, codici delle carte fedeltà, estremi dei documenti d’identità e persino il nome del datore di lavoro. Un bottino prezioso per chi volesse costruire truffe su misura. L’unica nota positiva, se così si può chiamare, è che le credenziali di accesso agli account e i dati di pagamento – numeri di carte, scadenze e codici di sicurezza – non risultano coinvolti.
Trenitalia ha dichiarato di aver notificato l’accaduto all’Autorità Garante per la Protezione dei Dati Personali e allo Csirt Italia, l’organo nazionale per la risposta agli incidenti informatici, e di aver presentato denuncia alla Procura di Roma. Nella mail inviata ai passeggeri, l’azienda avverte di prestare la massima attenzione a messaggi sospetti che facciano riferimento ai propri viaggi: “Non contattiamo mai i clienti per chiedere password o dati di pagamento“, precisa la società, che ha attivato un canale di assistenza dedicato.
Il pericolo, spiegano gli esperti di cybersicurezza, è concreto anche senza il furto dei dati bancari. Informazioni come la tratta di un viaggio, l’orario e il nome del passeggero permettono ai criminali di confezionare email e sms truffaldini straordinariamente credibili: finti rimborsi, falsi aggiornamenti dell’app, comunicazioni su presunti ritardi con link che puntano a siti fraudolenti. Una tecnica nota come spear phishing, tanto più efficace quanto più i dettagli contenuti nel messaggio corrispondono alla realtà.
Il caso fa ancora più rumore perché non è un fulmine a ciel sereno. Secondo quanto riportato da Il Corriere della Sera, l’attacco sarebbe stato rilevato già a ottobre 2025, e le analisi tecniche avrebbero richiesto mesi per stabilire il perimetro della violazione. L’incidente si inserisce in un quadro preoccupante: tra novembre e dicembre 2025, i sistemi di Almaviva, fornitore informatico del gruppo FS, erano già stati bucati da un altro attacco. Gli hacker avevano rivendicato il furto di 2,3 terabyte di dati sensibili, tra cui buste paga, informazioni bancarie e documentazione interna, poi comparsi sul dark web.
La notizia ha scatenato immediate reazioni politiche. Andrea Casu, vicepresidente della commissione Trasporti della Camera e deputato del Partito democratico, ha annunciato la presentazione di un’interrogazione parlamentare al ministro delle Infrastrutture e dei Trasporti, Matteo Salvini: “L’incidente potrebbe aver esposto a terzi i dati personali di milioni di utenti. Dopo ritardi, disservizi e una gestione che continua a penalizzare quotidianamente i passeggeri, ora emerge anche un grave problema sul fronte della tutela della privacy“, ha dichiarato il deputato dem. Un’ennesima tegola per il gruppo FS, già nell’occhio del ciclone per le dimissioni dell’ad Stefano Donnarumma, costretto al passo indietro proprio da Salvini a causa dei continui disagi sulla rete ferroviaria.