C’è una comunicazione urgente che sta comparendo nelle caselle di posta elettronica di numerosi passeggeri di Trenitalia. L’oggetto non lascia spazio a interpretazioni: “Comunicazione di violazione dei dati personali ai sensi dell’art. 34 del Regolamento UE 679/2016”. Dietro il freddo scudo della burocrazia europea si nasconde un pesante attacco hacker che ha violato i sistemi informatici della principale compagnia ferroviaria italiana, mettendo a nudo i dati sensibili, i contatti e i dettagli di viaggio di una fetta di clienti.
L’incidente di sicurezza informatica, come confermato dalla stessa Trenitalia nella notifica inviata ai clienti interessati, è stato causato da “soggetti esterni non identificati” che sono riusciti a ottenere un accesso non autorizzato ai database legati ai titoli di viaggio. Le strutture IT dell’azienda hanno dovuto avviare approfondite analisi tecniche per ricostruire nel dettaglio gli accessi impropri prima di far partire le comunicazioni di allerta.
La lista delle informazioni potenzialmente finite nelle mani dei pirati informatici è lunga e tocca la sfera privata dei viaggiatori. Rientrano nel perimetro del data breach:
- Dati anagrafici e identificativi: nome, cognome, data e luogo di nascita del passeggero, oltre al nome e cognome dell’eventuale acquirente del biglietto;
- Dati di contatto: indirizzo e-mail e numero di telefono;
- Dati di viaggio: tratta, data, orario e numero del titolo di viaggio;
- Estremi dei documenti d’identità e codici della carta fedeltà (ove associata);
- Informazioni sulla società o sull’ente datore di lavoro.
Sul fronte finanziario, l’azienda si è affrettata a inserire una rassicurazione fondamentale: non sono stati in alcun modo coinvolti i dati di accesso agli account, le credenziali personali o le informazioni relative ai pagamenti, come i numeri delle carte di credito, le scadenze o i codici di sicurezza (CVV).
