La società ha informato migliaia di clienti dopo un accesso non autorizzato ai dati personali legati ai titoli di viaggio. Esclusi pagamenti e credenziali, resta il rischio di truffe mirate
Caro viaggiatore, abbiamo subito un attacco informatico. Gli hacker ora sanno chi sei, dove abiti, il tuo numero di telefono e dove stavi andando qualche mese fa. In un linguaggio più formale e circostanziato, Trenitalia ha informato ieri migliaia di clienti che i suoi server sono stati vittime di un’aggressione informatica: non c’è da preoccuparsi per i dati bancari, i pirati non possono prendere direttamente soldi. Ma potranno indirizzare personalmente a voi dei messaggi fraudolenti, o cercare di truffarvi, ecco la sostanza.
La comunicazione ai clienti
È mattina quando la società manda il suo messaggio di posta elettronica, dopo aver verificato chi, potenzialmente, potesse essere stato incluso nel furto d’informazioni: “Gentile cliente”, scrivono: “La informiamo che, a seguito di alcune verifiche, abbiamo rilevato un incidente di sicurezza informatica causato da soggetti esterni non identificati. Questo evento ha determinato un accesso non autorizzato ad alcuni dati personali legati ai titoli di viaggio”.
I tempi dell’attacco
Quando? Non è specificato. Secondo alcune ricostruzioni l’evento risalirebbe addirittura a ottobre o novembre 2025. L’azienda non dà neanche dettagli sull’entità dell’evento, la sua durata né in quanto tempo se ne siano accorti. Come mai aspettare tanto? Questo è invece spiegato nel messaggio di posta elettronica: “Per individuare con precisione i soggetti interessati potenzialmente coinvolti è stato necessario svolgere approfondite analisi tecniche e di sicurezza da parte delle nostre strutture IT. Queste verifiche hanno richiesto tempo”.
LEGGI Donnarumma lascia Fs, Salvini apre la fase due dopo i disservizi sui treni
L’obbligo di avvisare
La comunicazione è piuttosto formale, come si vede, tranne sbilanciamenti sul piano colloquiale (quale verifica non richiede “tempo”?). Ma perché avvisare, a questo punto? La comunicazione, si legge ancora, dev’essere fatta per legge, “come previsto dall’art. 34 del Regolamento (Ue) 2016/679 e in conformità con le Linee guida Edbp” ecc. ecc. L’articolo cui si riferisce la comunicazione è il General Data Protection Regulation, regolamento generale sulla protezione dei dati, nel cui testo, attenzione, non si fa riferimento all’obbligo di comunicare la data di un certo incidente, né il numero complessivo dei soggetti coinvolti.
Il rischio truffe
Il fatto non è molto rassicurante: se negli ultimi mesi si sono moltiplicate le chiamate per segnalarci che è morto un prozio nell’America Latina lasciandoci una miniera (tanto per citare un’ardita trappola telefonica), gli autori della telefonata potrebbero aver usato proprio i dati trafugati a Trenitalia, ma per ora non abbiamo dettagli. Il nostro conto in banca invece dovrebbe essere salvo: i pagamenti sono custoditi da sistemi informatici più complessi e insomma gli autori di questa violazione non sarebbero in grado di svuotare il nostro conto in banca: “Ci teniamo a rassicurarla su un punto importante – si legge quindi in grassetto nel documento – Non sono stati coinvolti dati di accesso agli account, credenziali personali o informazioni relative ai pagamenti (come il numero della carta, la scadenza o il codice di sicurezza)”.
La denuncia e il caso politico
Un mese fa l’azienda ha presentato denuncia alla Procura della Repubblica di Roma. Chi ha ricevuto la comunicazione è invitato a diffidare da email, messaggi o telefonate sospette che facciano riferimento ai loro viaggi o richiedano dati personali di pagamento. Soltanto il giorno prima il ministro dei Trasporti, Matteo Salvini, aveva invitato alle dimissioni l’amministratore delegato di Ferrovie dello Stato, Stefano Donnarumma. E l’opposizione prende la parola: “Questo ministro dei Trasporti – scrive Nicola Fratoianni, di Alleanza Verdi-Sinistra – non è in grado di tutelare i cittadini che utilizzano i servizi pubblici di trasporto, da nessun punto di vista: se ne prenda atto e ci siano le dovute conseguenze”.
