Trenitalia sotto attacco hacker: dati di alcuni clienti esposti

A ottobre 2025 Trenitalia ha rilevato un tentativo di attacco informatico originato da soggetti esterni non identificati che ha comportato l’accesso ad alcuni dati personali relativi a una parte dei passeggeri.

Trenitalia ha dichiarato:

“È stato registrato un accesso ad alcuni dati personali di una parte dei propri passeggeri.”

Trenitalia ha aggiunto:

“L’evento ha interessato esclusivamente alcuni dati associati ai titoli di viaggio. Non risultano compromessi i dati di pagamento, le credenziali di accesso agli account o le informazioni delle carte di credito o di debito (numero della carta, data di scadenza e codice di sicurezza).”

L’azienda ha comunicato di aver attivato immediatamente le misure di sicurezza necessarie e di aver svolto verifiche tecniche approfondite prima di inviare le comunicazioni individuali richieste dalla normativa vigente.

In ottemperanza agli obblighi di legge, Trenitalia ha notificato l’accaduto all’Autorità Garante per la Protezione dei Dati Personali e agli organi competenti e ha presentato denuncia alla Procura della Repubblica presso il Tribunale di Roma, dichiarando inoltre piena collaborazione con le autorità incaricate delle indagini.

Per “dati associati ai titoli di viaggio” si intendono tipicamente informazioni come nome e cognome del passeggero, data e orario del viaggio, luogo di partenza e destinazione, classe di viaggio e, in alcuni casi, dati di contatto utilizzati per l’emissione del biglietto. Questi elementi, pur non essendo sensibili come i dati di pagamento, restano comunque informazioni personali tutelate dalla normativa sulla privacy.

L’assenza di compromissione di credenziali e dati di pagamento riduce il rischio immediato di frodi economiche dirette, ma non elimina la possibilità di tentativi di phishing o di usi impropri delle informazioni esposte. Per questo motivo le autorità e la stessa azienda invitano i passeggeri interessati a mantenere elevata attenzione rispetto a comunicazioni sospette e a segnalare tempestivamente eventuali anomalie.

Dal punto di vista regolatorio, la notifica all’Autorità Garante per la Protezione dei Dati Personali e la denuncia alla procura sono passi previsti dal Regolamento generale sulla protezione dei dati (GDPR) e dalle norme nazionali. Le verifiche potranno portare a controlli sulla gestione della sicurezza informatica e, se saranno riscontrate violazioni procedurali, a possibili sanzioni amministrative.

A livello settoriale l’episodio sottolinea la crescente esposizione delle infrastrutture di trasporto ai rischi cyber e la necessità, per gli operatori del settore, di rafforzare investimenti in sicurezza informatica, monitoraggio proattivo e piani di resilienza operativa.

Per gli utenti, oltre alla vigilanza sulle proprie comunicazioni, è consigliabile verificare le notifiche ricevute da Trenitalia e utilizzare i canali ufficiali per ogni chiarimento; per gli investitori e gli operatori del mercato, l’accaduto può rappresentare un fattore da valutare nella valutazione della gestione del rischio e nella pianificazione degli investimenti tecnologici nel comparto dei trasporti.

In sintesi

• Il settore dei trasporti deve accelerare la spesa in cybersecurity: attacchi anche limitati possono erodere la fiducia degli utenti e generare costi legali e di compliance.
• Per gli investitori, la resilienza IT delle aziende di mobilità è oggi un fattore materiale di rischio operativo da integrare nelle valutazioni finanziarie e nei processi di due diligence.
• Il rispetto delle procedure di notifica e la collaborazione con le autorità sono cruciali per contenere impatti reputazionali e sanzionatori; potenziali accertamenti potrebbero influire sui bilanci se emergessero responsabilità gestionali.