Tramite una email inviata ai passeggeri, Trenitalia ha reso noto di aver subito un pesante attacco hacker da parte di «soggetti esterni non identificati», che sono riusciti a violare i sistemi informatici della principale compagnia ferroviaria italiana, ottenendo un accesso non autorizzato ai database legati ai titoli di viaggio. Come spiega Trenitalia, la lista delle informazioni potenzialmente finite nelle mani dei pirati informatici comprende dati anagrafici e identificativi, indirizzo e-mail e numero di telefono, dati di viaggio, estremi dei documenti d’identità. La comunicazione arriva all’indomani dopo le dimissioni di Stefano Donnarumma dal ruolo di amministratore delegato di Ferrovie dello Stato e, va detto, non è esattamente il migliore dei biglietti da visita per l’attuale ceo di Trenitalia Gianpiero Strisciuglio, dato favorito per prendere il suo posto.
L’email inviata da Trenitalia
Questo il contenuto della email “Comunicazione di violazione dei dati personali ai sensi dell’art. 34 del Regolamento UE 679/2016”.
La informiamo che, a seguito di alcune verifiche, abbiamo rilevato un incidente di sicurezza informatica causato da soggetti esterni non identificati. Questo evento ha determinato un accesso non autorizzato ad alcuni dati personali legati ai titoli di viaggio.
Per individuare con precisione i soggetti interessati potenzialmente coinvolti è stato necessario svolgere approfondite analisi tecniche e di sicurezza da parte delle nostre strutture IT. Queste verifiche hanno richiesto tempo, perché si è trattato di ricostruire nel dettaglio eventuali accessi impropri ai dati. Solo al termine di queste attività siamo stati in grado di identificare i clienti interessati e inviare questa comunicazione, come previsto dall’art. 34 del Regolamento (UE) 2016/679 e in conformità con le Linee guida EDPB n. 9/2022 versione 2.0 del 28 marzo 2023 (punti 86 e ss.).
Ci teniamo a rassicurarla su un punto importante: non sono stati coinvolti dati di accesso agli account, credenziali personali o informazioni relative ai pagamenti (come il numero della carta, la scadenza o il codice di sicurezza).
Le informazioni che La riguardano e che potrebbero essere state oggetto di accesso non autorizzato, qualora presenti sui nostri sistemi informatici in relazione al titolo di viaggio, rientrano nelle seguenti categorie di dati personali:
- Dati anagrafici e identificativi (nome, cognome, data e luogo di nascita del passeggero; nome e cognome dell’eventuale acquirente);
- Dati di contatto (e-mail, numero di telefono);
- Dati di viaggio (informazioni associate al titolo di viaggio, quali, a titolo esemplificativo, tratta, data e orario del viaggio, numero del titolo di viaggio);
- Codice carta fedeltà, ove associato al titolo di viaggio;
- Società/ Ente datore di lavoro;
- Tipologia di offerta o servizio associata al titolo di viaggio e dati necessari a fruire di dette offerte;
- Estremi documento d’identità;
- Dati connessi alla generazione del titolo di viaggio.Non appena rilevato l’evento, abbiamo immediatamente adottato tutte le misure necessarie per interrompere l’anomalia, mettere in sicurezza i sistemi e rafforzare ulteriormente i controlli, così da ridurre il rischio che situazioni simili possano ripetersi.
Non appena rilevato l’evento, abbiamo immediatamente adottato tutte le misure necessarie per interrompere l’anomalia, mettere in sicurezza i sistemi e rafforzare ulteriormente i controlli, così da ridurre il rischio che situazioni simili possano ripetersi.
Abbiamo inoltre notificato l’accaduto all’Autorità Garante per la Protezione dei Dati Personali e allo CSIRT Italia, in conformità alla normativa vigente, e presentato denuncia alla Procura della Repubblica presso il Tribunale di Roma. Considerata la tipologia di dati coinvolti, potrebbe esserci il rischio che Lei riceva comunicazioni fraudolente o tentativi di contatto ingannevoli che fanno riferimento ai suoi viaggi. Per questo Le consigliamo di prestare particolare attenzione a eventuali messaggi sospetti, soprattutto se richiedono dati personali o finanziari o contengono link o allegati inattesi. In caso di dubbio, verifichi sempre l’affidabilità del mittente. Le ricordiamo inoltre che Trenitalia non la contatterà mai per chiederLe password o dati di pagamento. Per qualsiasi chiarimento, abbiamo attivato un servizio di assistenza dedicato: – può inviare una richiesta tramite il webform opzione “Privacy – Gestione dei dati personali”. La preghiamo di inserire nell’apposito campo il seguente codice di riferimento: C68NE#.