Trenitalia ha comunicato ai propri clienti di aver «rilevato un incidente di sicurezza informatica causato da soggetti esterni non identificati» che ha determinato «un accesso non autorizzato ad alcuni dati personali legati ai titoli di viaggio».
I dati potenzialmente sottratti includono dati anagrafici e identificativi (nome, cognome, data e luogo di nascita), dati di contatto (email e numero di telefono), dati di viaggio (tratta, data, orario, numero del titolo), codice carta fedeltà, estremi del documento d’identità e dati connessi alla generazione del titolo di viaggio.
L’azienda rassicura che non sono stati coinvolti dati di accesso agli account, credenziali personali o informazioni relative ai pagamenti. Tuttavia, la quantità e la qualità dei dati personali trafugati sono sufficienti per esporre milioni di passeggeri a rischi seri e immediati.
Cosa devono fare i consumatori ora
Trenitalia stessa avverte che, considerata la tipologia di dati coinvolti, potrebbe esserci il rischio di ricevere comunicazioni fraudolente o tentativi di contatto ingannevoli che fanno riferimento ai propri viaggi. Consumerismo No Profit traduce questo avviso in indicazioni concrete:
- Diffidare di qualsiasi messaggio che citi i propri viaggi. Nei prossimi giorni e nelle prossime settimane potrebbero arrivare email, SMS o telefonate che riportano dettagli reali (tratta, data del viaggio, nome) per sembrare credibili. Proprio perché questi dati sono stati sottratti, la loro presenza in un messaggio non garantisce che sia autentico: è anzi un segnale di allarme.
- Non cliccare su alcun link ricevuto via email o SMS. I truffatori possono costruire messaggi che sembrano provenire da Trenitalia, da Ferrovie dello Stato o da istituti bancari, con link che rimandano a siti falsi progettati per rubare ulteriori dati o credenziali. Verificare sempre l’indirizzo completo del mittente e accedere ai servizi digitando direttamente l’indirizzo ufficiale nel browser.
- Non comunicare mai password, dati di pagamento o codici OTP. Trenitalia ha ricordato che non richiederà mai password o dati di pagamento ai propri clienti. Nessun operatore legittimo – ferroviario, bancario o appartenente alle forze dell’ordine – chiede questi dati per telefono o tramite messaggio.
- Cambiare la password dell’account Trenitalia. Anche se le credenziali non risultano formalmente compromesse, è buona norma procedere al rinnovo immediato della password, scegliendone una sicura e non utilizzata su altri servizi.
- Attivare un filtro anti-spam efficace. È consigliabile affidarsi a un sistema di filtraggio efficiente per le email e verificare sempre domini e indirizzi dei mittenti di eventuali messaggi sospetti.
- Segnalare i tentativi di truffa. Chiunque riceva comunicazioni sospette è invitato a segnalarle alla Polizia Postale (www.commissariatodips.it) e a Consumerismo No Profit attraverso gli sportelli +Tutela presenti su tutto il territorio nazionale.
Consumerismo No Profit annuncia l’accesso agli atti
Non basta l’avviso ai clienti. I consumatori hanno diritto di sapere con precisione cosa è accaduto, quanti passeggeri sono stati coinvolti, da quanto tempo i dati erano esposti e quali misure di sicurezza erano, o non erano, in essere al momento dell’attacco.
Per questo motivo Consumerismo No Profit annuncia che nelle prossime ore attiverà una formale procedura di accesso agli atti nei confronti di Trenitalia, al fine di conoscere la reale entità dell’incidente informatico: il numero esatto di utenti coinvolti, la tipologia precisa di dati esfiltrati, la cronologia dell’evento e delle notifiche alle autorità competenti, le misure correttive già adottate e le relative tempistiche di implementazione.
Trenitalia ha dichiarato di aver notificato l’accaduto al Garante per la Protezione dei Dati Personali e allo CSIRT Italia e di aver presentato denuncia alla Procura della Repubblica presso il Tribunale di Roma. È dunque corretto che anche i rappresentanti dei consumatori esercitino i propri diritti di trasparenza.
«Un’azienda pubblica che gestisce la mobilità di milioni di italiani non può limitarsi a un comunicato di rassicurazione – dichiara Luigi Gabriele, Presidente di Consumerismo No Profit. – I passeggeri meritano risposte precise, non formule burocratiche. Vogliamo sapere quanto era grande la falla, da quanto tempo esisteva e perché non è stata rilevata prima. La sicurezza dei dati personali non è un optional: è un diritto.»
