{/* Extracted from Header.astro - Use appropriate classes/styles if animations needed */}
Tecnologia

Attacco hacker a Trenitalia, otto mesi per avvisare i viaggiatori

Trenitalia ha notificato il data breach dopo 8 mesi: ecco quali dati sono stati esposti e come proteggersi dal rischio phishing.

Indice: In breve | Quali dati personali sono stati esposti | Cronologia: dall'intrusione di ottobre alle mail di giugno | Cosa fare se hai ricevuto la mail di Trenitalia | Errori comuni dopo un data breach | Le indagini della Procura e della Polizia Postale | Domande frequenti

In breve

* L'attacco ai sistemi di Trenitalia risale al 24 ottobre 2025: la notifica ai viaggiatori è partita a giugno 2026.

* I dati esposti riguardano anagrafica, contatti, tratta, data e orario del treno.

* Trenitalia esclude il coinvolgimento di credenziali account e dati di pagamento.

* La Procura di Roma ha aperto un fascicolo, la Polizia Postale indaga sull'origine dell'intrusione.

* Il rischio principale per i passeggeri è il phishing mirato con riferimenti ai viaggi acquistati.

Il 24 ottobre 2025 l'attacco hacker Trenitalia ha colpito i sistemi informatici della società ferroviaria, che ha rilevato un accesso non autorizzato ad alcuni dati personali legati ai titoli di viaggio dei passeggeri. La notifica individuale ai viaggiatori coinvolti è partita solo a giugno 2026, otto mesi dopo i fatti, al termine delle verifiche tecniche delle strutture IT del gruppo. Sul caso indagano la Polizia Postale e la Procura di Roma, mentre l'Agenzia per la cybersicurezza nazionale è intervenuta insieme ai tecnici dell'azienda per individuare la falla e bonificare i sistemi.

##

Quali dati personali sono stati esposti

La comunicazione inviata da Trenitalia agli interessati elenca con precisione le categorie di informazioni potenzialmente compromesse. Rientrano nel perimetro i dati anagrafici e identificativi (nome, cognome, data e luogo di nascita del passeggero, oltre a nome e cognome dell'eventuale acquirente del biglietto) e i dati di contatto: indirizzo email e numero di telefono. Sono coinvolti anche i dati di viaggio, cioè tratta, data e orario del viaggio e numero del titolo di viaggio.

A questi si aggiungono il codice carta fedeltà, la società o l'ente datore di lavoro associato al biglietto, gli estremi del documento d'identità e i dati tecnici connessi alla generazione del titolo di viaggio. Restano invece esclusi, secondo l'azienda, le credenziali di accesso agli account dei clienti e tutte le informazioni relative ai pagamenti: numero della carta, data di scadenza, codice di sicurezza. Questo limite riduce il rischio di frodi dirette sui conti, ma non quello di tentativi di truffa basati sull'identità del viaggiatore e su dettagli specifici dei suoi spostamenti.

Cronologia: dall'intrusione di ottobre alle mail di giugno

1. 24 ottobre 2025: i sistemi di Trenitalia subiscono l'intrusione e l'azienda rileva l'incidente di sicurezza informatica causato da soggetti esterni non identificati.

1. Ottobre e novembre 2025: l'Agenzia per la cybersicurezza nazionale interviene insieme ai tecnici interni per individuare la falla e bonificare l'infrastruttura colpita.

1. Da novembre 2025 a maggio 2026: le strutture IT del gruppo conducono le analisi tecniche per ricostruire gli accessi impropri e identificare con precisione i passeggeri coinvolti.

1. Giugno 2026: partono le comunicazioni individuali via email ai viaggiatori interessati, con il dettaglio dei dati potenzialmente esposti e le indicazioni sui rischi.

Cosa fare se hai ricevuto la mail di Trenitalia

Il primo passo, per chi riceve la notifica, è verificare che il messaggio provenga effettivamente da Trenitalia, controllando l'indirizzo mittente e l'assenza di link sospetti. La comunicazione ufficiale non chiede l'inserimento di credenziali o dati di pagamento: qualsiasi email che lo richieda va trattata come potenziale phishing.

Nei mesi successivi alla violazione è utile rafforzare l'attenzione sulle email che citano viaggi reali, prenotazioni o rimborsi, perché gli aggressori potrebbero usare i dati sottratti per costruire messaggi credibili. È opportuno abilitare l'autenticazione a due fattori sull'account dell'area personale, anche se le credenziali non risultano coinvolte, e diffidare di telefonate o SMS che chiedono conferme su dati anagrafici o documenti d'identità. Chi ritiene di aver subito conseguenze concrete può segnalare l'episodio alla Sezione Data Breach del Garante per la protezione dei dati personali e sporgere denuncia alla Polizia Postale.

Errori comuni dopo un data breach

Aprire allegati o link in messaggi non richiesti: il rischio principale segnalato è il phishing. Anche un'email apparentemente coerente con un viaggio recente può nascondere malware o pagine clone che catturano dati ulteriori.

Fornire codici o credenziali al telefono: Trenitalia non richiede password, PIN o numeri di carta tramite telefonate o messaggi. Chiunque insista su questi dati va considerato un tentativo di frode.

Ignorare l'email pensando che sia spam: la comunicazione del gruppo non è promozionale e contiene informazioni utili a capire il perimetro della violazione. Cancellarla senza leggerla impedisce di attivare le contromisure.

Cambiare la password solo se richiesto: anche se le credenziali non sono state esposte, aggiornare la password e usare un gestore di chiavi resta una buona pratica generale dopo qualsiasi incidente che coinvolga i propri dati.

Le indagini della Procura e della Polizia Postale

La Procura di Roma ha aperto un fascicolo dopo aver ricevuto l'informativa della Polizia Postale, che sta lavorando per ricostruire da dove sia partito l'attacco e identificare i responsabili. Gli inquirenti analizzano i log di sistema e le tracce lasciate dagli aggressori, mentre l'Agenzia per la cybersicurezza nazionale ha già collaborato alla fase di bonifica dei sistemi colpiti. Trenitalia, parte del gruppo Ferrovie dello Stato, ha confermato che la violazione ha riguardato esclusivamente i dati legati ai titoli di viaggio e ha avviato un piano di rafforzamento delle proprie infrastrutture di sicurezza.

Domande frequenti

Quando è avvenuto l'attacco a Trenitalia?

L'intrusione è stata rilevata il 24 ottobre 2025. Le comunicazioni individuali ai passeggeri coinvolti sono partite solo a giugno 2026, dopo le verifiche tecniche necessarie per identificare con precisione gli utenti interessati.

Quali dati sono stati esposti nel data breach?

Sono stati coinvolti dati anagrafici, di contatto e di viaggio: nome, cognome, data e luogo di nascita, email, numero di telefono, tratta, data e orario del treno, numero del titolo di viaggio, codice carta fedeltà ed estremi del documento d'identità.

I dati di pagamento sono stati rubati?

No. Trenitalia ha confermato che non sono state coinvolte credenziali di accesso agli account né dati relativi ai pagamenti: numero della carta, scadenza e codice di sicurezza restano fuori dal perimetro della violazione.

Perché Trenitalia ha avvisato i passeggeri dopo otto mesi?

L'azienda spiega che le verifiche tecniche per ricostruire gli accessi impropri e individuare con precisione gli utenti interessati hanno richiesto mesi di lavoro delle strutture IT. Solo dopo queste analisi è stato possibile inviare le comunicazioni individuali previste dalla normativa vigente.

Il caso Trenitalia mostra quanto sia lungo il percorso tra l'individuazione di un incidente informatico e la notifica concreta agli utenti. Per i passeggeri il rischio non è finito con la comunicazione di giugno: i dati restano potenzialmente in circolazione e diventeranno carburante per campagne di phishing che richiederanno attenzione nei prossimi mesi.

Pubblicato il: 30 giugno 2026 alle ore 07:45

Articoli Correlati