Trenitalia ha confermato un attacco informatico ai database dei titoli di viaggio: violati dati anagrafici, contatti e dettagli degli spostamenti di una parte dei passeggeri, mentre restano al sicuro credenziali e dati di pagamento. La compagnia ha avvisato il Garante, il CSIRT Italia e la Procura di Roma, e raccomanda massima prudenza: il rischio più concreto ora sono le truffe di phishing costruite su viaggi reali.
Trenitalia ha subìto un attacco informatico ai sistemi che gestiscono i titoli di viaggio. A confermarlo è la stessa compagnia, che il 26 giugno 2026 ha iniziato a inviare ai clienti coinvolti una mail dall'oggetto inequivocabile: "Comunicazione di violazione dei dati personali ai sensi dell'art. 34 del Regolamento UE 679/2016". Dietro il linguaggio burocratico c'è un accesso non autorizzato ai database aziendali, attribuito a "soggetti esterni non identificati".
Quali dati sono finiti a rischio
La buona notizia, per quanto possibile, è che non risultano coinvolti dati di accesso agli account, credenziali o informazioni di pagamento: numeri di carta, scadenze e codici di sicurezza non erano conservati in quegli archivi. La cattiva è che l'elenco delle informazioni potenzialmente esposte resta ampio e personale: dati anagrafici e identificativi (nome, cognome, data e luogo di nascita del passeggero e dell'eventuale acquirente), recapiti come email e numero di telefono, dettagli del viaggio (tratta, data, orario e numero del titolo), codice della carta fedeltà, società o ente datore di lavoro, tipo di offerta acquistata ed estremi del documento d'identità.
Cosa ha fatto la compagnia
Trenitalia spiega di aver bloccato l'anomalia non appena rilevata e di aver messo in sicurezza i sistemi. L'individuazione dei clienti coinvolti, precisa l'azienda, ha richiesto tempo perché è stato necessario ricostruire con analisi tecniche eventuali accessi impropri ai dati: solo al termine delle verifiche è stato possibile inviare le notifiche individuali previste dal GDPR. L'evento è stato segnalato al Garante per la Protezione dei Dati Personali e al CSIRT Italia, mentre una denuncia è stata depositata alla Procura della Repubblica di Roma.
Il vero rischio adesso: le truffe "su misura"
Anche se l'intrusione è stata fermata, il pericolo per i passeggeri si sposta ora su telefono e posta elettronica. Avendo a disposizione tratte reali, nomi e contatti, i criminali informatici hanno il materiale ideale per confezionare tentativi di spear phishing: messaggi fraudolenti che citano viaggi davvero effettuati, e per questo molto più credibili. La compagnia invita a diffidare di email, SMS o telefonate sospette, a non comunicare mai dati personali o finanziari e a non cliccare su link o allegati inattesi, ricordando che Trenitalia non chiede mai password o dati di pagamento.
Le richieste di chiarezza
Sul caso è intervenuto anche il deputato Andrea Casu, vicepresidente della commissione Trasporti della Camera, che chiede chiarimenti immediati sulla reale portata della violazione. L'associazione Consumerismo No Profit ha annunciato una procedura di accesso agli atti per conoscere il numero esatto degli utenti coinvolti, le tipologie di dati sottratti e le misure di sicurezza in essere al momento dell'attacco.
Fonti: Il Fatto Quotidiano, Cybersecurity 360, Federprivacy, Consumerismo. Comunicazione ufficiale Trenitalia ai clienti del 26/06/2026.