Brutte notizie per chi viaggia in treno. Trenitalia ha comunicato ai propri utenti di aver subito un incidente di sicurezza che ha comportato l’accesso non autorizzato ad alcuni dati personali relativi ai titoli di viaggio, attribuendolo a “soggetti esterni non identificati”. La notifica è arrivata direttamente via email agli utenti potenzialmente coinvolti, e ha innescato una serie di adempimenti previsti dalla normativa europea sulla privacy e protezione dei dati.

L’azienda ha precisato di aver notificato l’accaduto al Garante per la protezione dei dati personali e al CSIRT Italia, come previsto dalla normativa vigente, e di aver presentato una denuncia alla Procura della Repubblica presso il Tribunale di Roma. L’iter è quello previsto dal GDPR per le violazioni di dati personali, e la sua attivazione dimostra che Trenitalia ha riconosciuto la gravità dell’episodio. L’azienda spiega che le attività di analisi hanno richiesto tempo per ricostruire con precisione gli eventuali accessi impropri ai dati e identificare i clienti coinvolti.

Segui TuttoTech.net su Google Discover

Cosa è stato esposto e cosa no

Secondo quanto comunicato, non risultano compromessi i dati di accesso agli account, le credenziali personali né le informazioni di pagamento, come il numero della carta, la data di scadenza o il codice di sicurezza. Una buona notizia parziale, che riduce il rischio di frodi finanziarie dirette, ma che non elimina le preoccupazioni per i dati che invece potrebbero essere stati trafugati.

La violazione potrebbe aver interessato diverse categorie di informazioni, tra cui dati anagrafici e identificativi come nome, cognome, data e luogo di nascita del passeggero e dell’eventuale acquirente, recapiti di contatto come indirizzo email e numero di telefono, informazioni sul viaggio tra cui tratta, data, orario e numero del titolo, il codice della carta fedeltà se associata al biglietto, la società o ente datore di lavoro, la tipologia di offerta o servizio acquistato, gli estremi del documento d’identità e dati tecnici connessi alla generazione del titolo.

È un insieme di informazioni che, prese singolarmente, possono sembrare innocue. Messe insieme, però, forniscono un profilo piuttosto dettagliato di una persona: chi è, dove lavora, dove si sposta, quando viaggia. Esattamente il tipo di dati che chi vuole condurre attacchi mirati trova preziosi.

Il rischio concreto, il phishing personalizzato

Trenitalia avverte che, considerata la tipologia di informazioni coinvolte, esiste il rischio che i clienti possano ricevere messaggi fraudolenti o tentativi di phishing che facciano riferimento ai propri viaggi. È l’aspetto che più dovrebbe preoccupare gli utenti interessati. Un’email che cita il vostro nome, la tratta che avete acquistato e la data esatta del viaggio ha molte più probabilità di sembrare legittima rispetto a un tentativo di truffa generico, e proprio per questo è più pericolosa.

Per questo Trenitalia invita gli utenti a diffidare di email, SMS o telefonate sospette, a non fornire dati personali o finanziari e a verificare sempre l’identità del mittente prima di cliccare su link o aprire allegati. La società ricorda inoltre che non contatterà mai i clienti per richiedere password o dati di pagamento.

Il consiglio che aggiungiamo è di prestare particolare attenzione nei prossimi mesi a qualsiasi comunicazione che faccia riferimento a un viaggio specifico, anche se il tono sembra ufficiale e i dettagli sembrano corretti. Chiamate di presunte assistenze clienti, email con rimborsi da richiedere, avvisi di modifica orario: sono tutti pretesti classici che, arricchiti dai dati sottratti, possono risultare convincenti. Per eventuali chiarimenti è stato attivato un servizio di assistenza dedicato attraverso il webform “Privacy – Gestione dei dati personali”, utilizzando il codice di riferimento indicato nella comunicazione ricevuta da Trenitalia.

Non è la prima volta che Trenitalia finisce nel mirino: nel 2022 un attacco ransomware del gruppo Hive aveva colpito i sistemi della società, causando disservizi alle biglietterie fisiche. Allora si era trattato di un attacco diverso, orientato alla paralisi dei sistemi. Questo episodio ha una natura differente, focalizzata sull’esfiltrazione silenziosa di dati, e per questo è in un certo senso più insidioso: non blocca nulla, non si vede, ma mette in mano a chi ha attaccato informazioni che possono essere usate mesi dopo.