Trenitalia ha inviato il 26 giugno 2026 una comunicazione ad alcuni clienti informandoli di un incidente di sicurezza informatica che ha comportato un accesso non autorizzato ad alcuni dati personali collegati ai titoli di viaggio. 

La società precisa che l'evento è stato individuato a seguito di verifiche interne e attribuito a soggetti esterni non identificati.

L'azienda sottolinea che non sono stati coinvolti dati di accesso agli account, credenziali personali o informazioni relative ai pagamenti. Dopo aver completato le verifiche tecniche necessarie per individuare con precisione i soggetti interessati, Trenitalia ha avviato l'invio delle comunicazioni previste dall'articolo 34 del Regolamento europeo GDPR.

Quali dati potrebbero essere stati coinvolti

Secondo quanto riportato nella comunicazione inviata ai clienti, le analisi condotte dalle strutture IT hanno richiesto un approfondito lavoro di ricostruzione degli eventuali accessi impropri ai dati. Solo al termine di tali verifiche è stato possibile identificare le persone potenzialmente interessate e procedere con la notifica individuale, in conformità al Regolamento UE 2016/679 e alle linee guida dell'European Data Protection Board.

I dati che potrebbero essere stati oggetto di accesso non autorizzato comprendono, se presenti nei sistemi informatici in relazione al titolo di viaggio, i dati anagrafici e identificativi del passeggero e dell'eventuale acquirente, gli indirizzi e-mail e i numeri di telefono, le informazioni relative al viaggio (tratta, data, orario e numero del titolo di viaggio), l'eventuale codice della carta fedeltà associato, la società o l'ente datore di lavoro, la tipologia di offerta acquistata e gli estremi del documento di identità necessari all'emissione del titolo.

Trenitalia ribadisce invece che non risultano coinvolti i dati di accesso agli account, le password, le credenziali personali né le informazioni relative agli strumenti di pagamento, come numero della carta, data di scadenza o codice di sicurezza.

LEGGI ANCHE: Ferrovie: Cyberattacco ad Almaviva, il sistema ferroviario italiano finisce nel mirino

Le misure adottate e le raccomandazioni ai clienti

La società riferisce di aver adottato, non appena rilevato l'evento, tutte le misure necessarie per interrompere l'anomalia, mettere in sicurezza i sistemi e rafforzare ulteriormente i controlli informatici. Contestualmente sono state effettuate le notifiche al Garante per la protezione dei dati personali e allo CSIRT Italia, oltre alla presentazione di una denuncia alla Procura della Repubblica presso il Tribunale di Roma.

Trenitalia invita inoltre i clienti interessati a prestare particolare attenzione a possibili comunicazioni fraudolente o tentativi di phishing che potrebbero fare riferimento ai propri viaggi. L'azienda raccomanda di diffidare di e-mail, SMS o telefonate che richiedano dati personali o finanziari oppure invitino ad aprire link e allegati inattesi, ricordando che Trenitalia non richiede mai password o dati di pagamento tramite questi canali.

Un episodio che si inserisce nel caso Almaviva

La comunicazione si inserisce in un contesto più ampio che coinvolge l'ecosistema informatico del Gruppo Ferrovie dello Stato. Tra la fine del 2025 e l'inizio del 2026 era infatti emerso l'attacco informatico ai sistemi di Almaviva, fornitore di servizi IT del Gruppo FS, con la sottrazione di circa 2,3 terabyte di dati successivamente comparsi su un forum della rete Tor.

Secondo le ricostruzioni diffuse nei mesi successivi, il materiale sottratto comprendeva documentazione riferibile a diverse società del Gruppo. Nelle scorse settimane anche Trenitalia Tper aveva inviato comunicazioni analoghe a clienti e dipendenti, spiegando che un accesso abusivo aveva interessato alcuni dati personali ma senza coinvolgere credenziali di accesso o informazioni relative ai pagamenti, invitando anche in quel caso gli utenti a prestare la massima attenzione a eventuali tentativi di truffa.