Trenitalia ha subito un attacco informatico che ha comportato l’accesso non autorizzato ad alcuni dati personali dei clienti collegati ai titoli di viaggio. L’incidente, attribuito a soggetti esterni non ancora identificati, è stato rilevato dai sistemi di sicurezza dell’azienda, che ha avviato le verifiche interne e sta informando via e-mail gli utenti potenzialmente coinvolti. Secondo quanto comunicato dalla società, la violazione riguarda esclusivamente dati associati ai biglietti ferroviari e non ha interessato le credenziali di accesso agli account né le informazioni di pagamento, come numeri di carta di credito, data di scadenza o codice di sicurezza.
I dati sottratti
Tra le informazioni che potrebbero essere state esposte figurano dati anagrafici e identificativi (nome, cognome, data e luogo di nascita del passeggero), recapiti come indirizzo e-mail e numero di telefono, dettagli relativi al viaggio (tratta, data, orario e numero del titolo di viaggio), l’eventuale codice della carta fedeltà, la tipologia di offerta acquistata, gli estremi del documento d’identità e altri dati necessari all’emissione del biglietto.
Avvisate procura e garante privacy
Trenitalia ha precisato di aver già notificato l’accaduto all’Autorità Garante per la Protezione dei Dati Personali e allo Csirt Italia, come previsto dalla normativa vigente, oltre ad aver presentato denuncia alla Procura di Roma.
Rischio attacchi sulle mail e telefoni
Pur escludendo la compromissione dei dati di pagamento, l’episodio non è privo di conseguenze per gli utenti coinvolti. Le informazioni sottratte potrebbero infatti essere utilizzate per campagne di phishing mirato: e-mail o sms apparentemente provenienti da Trenitalia, costruiti con dati reali del destinatario, potrebbero indurre le vittime a cliccare su link fraudolenti o a fornire spontaneamente credenziali e dati bancari.
Prestare attenzioni alle truffe
Gli esperti di cybersicurezza raccomandano pertanto di prestare particolare attenzione a messaggi inattesi che richiedano la verifica di dati personali o pagamenti, evitando di aprire collegamenti sospetti e, a titolo precauzionale, valutando anche la modifica delle password dei propri account.
