Perché la violazione a Trenitalia preoccupa gli esperti cyber

I clienti di Trenitalia interessati da un accesso non autorizzato ai propri dati personali relativi ai titoli di viaggio hanno ricevuto una comunicazione diretta tramite email. L’azienda ha confermato che l’incidente non ha comportato danni a dati sensibili come credenziali di accesso e informazioni bancarie. Tuttavia, l’elenco delle informazioni esposte rivela rischi reali in termini di phishing e di identità compromessa.

L’attacco, scoperto solo ora, risale a ottobre. I dati personali compromessi includono nome, cognome, data e luogo di nascita dei passeggeri e degli acquirenti dei biglietti, email, numero di telefono, tratta, data e orario del viaggio, documento d’identità, datore di lavoro, codice di carta fedeltà e altro ancora. Singolarmente, tali dati sembrano inoffensivi, ma assemblati formano un quadro completo che permette agli hacker di creare messaggi di phishing estremamente realistici, utilizzando informazioni specifiche per colpire vittime selezionate.

“Trenitalia ha immediatamente attivato le misure appropriate e solo successivamente, al termine delle verifiche tecnico-operative, ha proceduto con le comunicazioni necessarie ai sensi della normativa vigente”, spiega l’azienda. Inoltre, Trenitalia ha formalmente segnalato l’evento all’Autorità Garante per la Protezione dei Dati Personali e agli organi competenti, in collaborazione con la Procura della Repubblica presso il Tribunale di Roma.

La notifica ai clienti, conforme all’art. 34 del GDPR, è chiara nel sottolineare che l’incidente presenta un rischio reale e grave per i diritti e le libertà della persona. Questo tipo di comunicazione obbligata non va confusa con una mossa volontaria, bensì è l’espressione di un obbligo normativo attivato solo quando il danno potenziale per gli utenti è concreto.

I dati compromessi non restano isolati: vengono spesso scambiati in ambienti come i forum o i mercati del dark web. Da lì, vengono incrociati con altre fughe di dati, permettendo agli hacker di orchestrare frodi credibili. Non si tratta di messaggi generici con errori di ortografia, ma di comunicazioni mirate che richiamano informazioni personali esatte, come orari di treni o dati del documento d’identità.

Il rischio non è astratto né temporaneo: il profilo del consumatore, una volta compromesso, non può essere modificato come una password. Rimane esposto a lungo, e può essere utilizzato per anni in diversi contesti criminali.

Il settore del trasporto ferroviario rientra tra quelli ad alta criticità ai sensi dell’Allegato I della Direttiva NIS2, recepita in Italia con il D.lgs. 138/2024. Trenitalia, di dimensioni così rilevanti, è considerata un operatore essenziale, soggetto dunque agli obblighi più rigorosi previsti dalla normativa. Fra le misure minime richieste figurano l’utilizzo di crittografia e procedure per il controllo degli accessi. Dal 1° gennaio 2026 sarà obbligatorio notificare gli incidenti entro 24 ore al CSIRT (Centro nazionale di riferimento sulla sicurezza cibernetica).

Con il contesto normativo delineato, si pone una domanda centrale: se l’attacco ha permesso agli hacker di leggere dati sensibili in chiaro, dove era finita la protezione del dato in quanto tale? L’errore ricorda un approccio troppo frequente nel settore: investire nell’isolamento esterno (firewall, segmentazione, autenticazione a più fattori) ma trascurare la gestione interna dei contenuti dati.

Il modello di sicurezza dominante assume che basta tenere “fuori” gli hacker. Una volta superata la falla, però, la gravità dell’incidente dipende da ciò che il dato esposto contiene. Se i dati sono in formato leggibile, la violazione può diventare un caso grave in ore; se criptati, invece, perdono valore immediatamente.

Il modello corretto di protezione dovrebbe basarsi non sull’isolamento esterno, bensì sulla proprietà interna del dato stesso. Se i dati sono crittografati fin dalla loro nascita e tale crittografia li accompagna indifferentemente che siano archiviati, copiati o esportati, allora l’accesso malintenzionato diventa inutilizzabile.

Questa logica – spiega l’esperto – è la differenza tra proteggere l’edificio e proteggere ciò che custodisce. Il primo è necessario, ma inadatto per dati mobili e interconnessi. Il secondo è indispensabile quando il confine viene superato.

L’incidente Trenitalia non è un caso isolato: rappresenta un ulteriore esempio che fa chiarezza su una questione cruciale. La domanda non deve limitarsi a “come teniamo fuori gli hacker”, ma dovrebbe spingersi su “che cosa rimane esposto il momento in cui entrano”.

Ispirati da casi come questi, gli esperti insistono sull’importanza di un investimento non soltanto tecnologico ma culturale verso la gestione e l’archiviazione sicura dei dati. Solo un cambiamento su queste basi permetterà di fronteggiare minacce sempre più sofisticate.