Trenitalia ha individuato un accesso non autorizzato ad alcuni dati personali dei clienti legati ai titoli di viaggio, frutto di un incidente informatico provocato da soggetti esterni. L'azienda esclude il coinvolgimento di credenziali e dati di pagamento e ha già allertato il Garante della privacy e la Procura di Roma
Trenitalia sta avvisando via mail una parte dei propri clienti di aver subìto un attacco informatico. La società ha rilevato un incidente di sicurezza, causato da soggetti esterni non ancora identificati, che ha portato a un accesso non autorizzato ad alcuni dati personali collegati ai titoli di viaggio acquistati. Dopo le verifiche interne, l'azienda ha individuato gli utenti interessati e ha inviato loro una comunicazione diretta.
La mail di Trenitalia
Nella mail inviata ai clienti, Trenitalia scrive che le informazioni che potrebbero essere state oggetto di accesso non autorizzato, "qualora presenti sui nostri sistemi informatici in relazione al titolo di viaggio", rientrano nelle seguenti categorie di dati personali: "dati anagrafici e identificativi (nome, cognome, data e luogo di nascita del passeggero; nome e cognome dell'eventuale acquirente); dati di contatto (e-mail, numero di telefono); dati di viaggio (informazioni associate al titolo di viaggio, quali, a titolo esemplificativo, tratta, data e orario del viaggio, numero del titolo di viaggio); codice carta fedeltà, ove associato al titolo di viaggio; società/ ente datore di lavoro; tipologia di offerta o servizio associata al titolo di viaggio e dati necessari a fruire di dette offerte; estremi documento d'identità; dati connessi alla generazione del titolo di viaggio".
I dati coinvolti
Secondo quanto reso noto dalla società, la violazione ha riguardato esclusivamente informazioni connesse ai biglietti. Trenitalia precisa che non sono finiti nelle mani degli aggressori i dati di accesso agli account, le credenziali personali né le informazioni sui pagamenti, come il numero della carta, la data di scadenza o il codice di sicurezza.
Le segnalazioni alle autorità
L'azienda ha riferito di aver notificato l'accaduto all'Autorità Garante per la Protezione dei Dati Personali e allo Csirt Italia, in conformità con la normativa vigente. Trenitalia ha inoltre presentato denuncia alla Procura di Roma.
Approfondimento
Fs, l'ad Donnarumma verso le dimissioni dopo l'incontro con Salvini
I rischi anche senza i dati delle carte
L'esclusione del furto dei dati di pagamento non azzera i rischi per gli utenti coinvolti. Anche le sole informazioni legate ai titoli di viaggio (nome, indirizzo email, dettagli di un biglietto) possono essere sfruttate dai cybercriminali per costruire campagne di phishing mirato: messaggi che, fingendosi comunicazioni ufficiali di Trenitalia, risultano credibili proprio perché contengono dati reali del destinatario e possono indurlo a cliccare link fraudolenti o a fornire spontaneamente credenziali e numeri di carta. Lo stesso patrimonio di dati può alimentare tentativi di furto d'identità o frode. Per questo la raccomandazione degli esperti, in casi simili, è diffidare di email o sms inattesi che chiedono di confermare dati o pagamenti, evitare di cliccare su link sospetti e modificare le password per prudenza.
)
)
)
)
)