In questi giorni numerosi clienti stanno ricevendo una comunicazione dalla compagnia ferroviaria nazionale. Si tratta di un messaggio dal tono formale che informa di un incidente informatico che ha esposto informazioni personali associate ai biglietti ferroviari. La società ha spiegato che persone non identificate hanno ottenuto accesso non autorizzato ai propri sistemi.
Le informazioni potenzialmente compromesse includono generalità complete come nome e cognome, data e luogo di nascita sia del viaggiatore che di chi ha eventualmente acquistato il titolo di viaggio, oltre a recapiti quali email e numero telefonico, dettagli del percorso con tratta e orario, numero identificativo del biglietto, codice della tessera fedeltà, estremi del documento di riconoscimento, nome del datore di lavoro e informazioni tecniche relative alla creazione del titolo, laddove presenti nei database collegati al tragitto. Rimangono invece al sicuro, secondo quanto dichiarato dalla compagnia, le credenziali di accesso ai profili personali e tutti i dati relativi ai metodi di pagamento, inclusi numeri delle carte, date di scadenza e codici CVV. L’azienda ha assicurato di aver immediatamente implementato tutti i protocolli di sicurezza del caso.
Ora il pericolo sono le frodi personalizzate
La vera minaccia si sposta ora dalla breccia informatica alla possibile ondata successiva: messaggi fraudolenti via email, SMS o chiamate telefoniche costruiti sfruttando informazioni autentiche sui percorsi effettuati. Una comunicazione che menziona una tratta realmente percorsa o un titolo effettivamente acquistato può apparire molto più attendibile rispetto ai comuni tentativi di frode digitale. Per questa ragione è consigliabile non cliccare su collegamenti ricevuti tramite posta elettronica o messaggi di testo, accedere esclusivamente attraverso i canali ufficiali di Trenitalia e non fornire mai password, codici di accesso, informazioni bancarie o documenti in risposta a richieste improvvise.
La compagnia ferroviaria ha reso noto di aver messo in atto misure per limitare le conseguenze dell’incidente, segnalando l’accaduto al Garante per la protezione dei dati personali e al CSIRT Italia, oltre ad aver sporto denuncia presso la Procura della Repubblica di Roma. In presenza di incertezze, il riferimento più sicuro rimane il canale dedicato alla privacy indicato dalla società, accessibile anche tramite il Responsabile della Protezione dei Dati contattabile dalla sezione Protezione dei dati personali.