Il 17 e 18 febbraio 2026 la Deutsche Bahn è stata colpita da un attacco informatico di tipo DDoS che ha interessato i sistemi IT centrali dell’operatore ferroviario nazionale tedesco. L’offensiva ha preso di mira in particolare il sito bahn.de e l’app DB Navigator, utilizzati per la ricerca dei collegamenti, l’acquisto dei biglietti e la gestione delle prenotazioni. Il traffico anomalo ha sovraccaricato le piattaforme digitali, provocando rallentamenti, malfunzionamenti e blocchi parziali per diverse ore in due ondate successive.
Le prime anomalie sono state registrate nel pomeriggio di martedì 17 febbraio, con difficoltà sporadiche nell’accesso ai servizi online. La fase più critica si è sviluppata tra la tarda mattinata e il pomeriggio del 17 febbraio, con ripercussioni protrattesi fino alla mattina di mercoledì 18 febbraio, in coincidenza con una delle fasce di punta del traffico pendolare. In serata i sistemi risultavano “in gran parte stabilizzati”, ma nuove ondate di traffico malevolo hanno determinato ulteriori disservizi il giorno successivo.
L’attacco ha avuto impatto nazionale, poiché ha colpito l’infrastruttura IT centrale della Deutsche Bahn e non una singola area regionale. Oltre ai servizi rivolti ai passeggeri, sono stati segnalati problemi anche su alcune componenti interne, tra cui strumenti d’ufficio e rete Wi Fi aziendale, con ricadute sull’operatività amministrativa. Tuttavia, non risultano compromessi i sistemi di controllo della circolazione dei treni né le infrastrutture di segnalamento. La sicurezza dell’esercizio ferroviario non è stata interessata e la marcia dei convogli è proseguita regolarmente.
Deutsche Bahn ha confermato che si è trattato di un attacco DDoS su larga scala. In base alle ricostruzioni riportate da Security Affairs e Morgenpost, una rete di dispositivi compromessi avrebbe generato picchi di traffico dell’ordine di circa 100 Gbit/s, saturando la capacità dei sistemi di rispondere alle richieste legittime. Gli effetti tecnici principali hanno riguardato l’aumento della latenza, il mancato completamento delle richieste ai servizi web e alle interfacce applicative e l’impossibilità di portare a termine le procedure di pagamento e prenotazione.
Per contenere l’attacco, la società ha attivato filtri sul traffico in ingresso, procedure di instradamento verso infrastrutture alternative e una stretta collaborazione con fornitori di connettività e specialisti di sicurezza. Tali contromisure hanno consentito di ridurre la durata e l’estensione dei disservizi, ma in alcune fasi hanno contribuito a rallentare anche il traffico legittimo. L’azienda ha inoltre sottolineato che non vi sono indicazioni di sottrazione o compromissione di dati personali dei clienti.
Sul piano delle attribuzioni, non sono state fornite indicazioni ufficiali sugli autori. Deutsche Bahn ha dichiarato di non voler commentare le speculazioni relative a motivazioni o responsabili dell’attacco. L’azienda è in contatto con il Bsi e con le autorità federali competenti per la sicurezza informatica, che da tempo considerano il settore dei trasporti tra le infrastrutture critiche maggiormente esposte.
Il contesto in cui si inserisce l’episodio è quello di una crescita degli attacchi DDoS contro infrastrutture europee, in particolare nei comparti trasporti, energia e pubblica amministrazione. Analisi e rapporti tecnici sul sistema ferroviario tedesco evidenziano un aumento negli ultimi anni dei tentativi d’intrusione, delle campagne di phishing rivolte al personale e degli attacchi di saturazione, spesso intercettati prima di produrre effetti visibili. In diversi casi europei gruppi di hacktivisti filorussi, come Killnet e NoName057, hanno rivendicato azioni contro operatori pubblici e di trasporto, ma nel caso specifico di febbraio 2026 non risulta una rivendicazione confermata.
L’episodio si colloca in una traiettoria che vede Deutsche Bahn già colpita in passato da eventi rilevanti sul piano digitale. Nel 2017 il ransomware WannaCry aveva interessato anche sistemi della società, con numerose paline informative e biglietterie automatiche fuori servizio o bloccate da schermate di riscatto. In quel caso l’impatto aveva riguardato soprattutto la disponibilità dei servizi ai passeggeri e l’immagine aziendale, senza effetti diretti sulla sicurezza ferroviaria.
Nel 2022 un grave sabotaggio fisico aveva invece interrotto per ore il traffico ferroviario in ampie aree del Nord della Germania, a seguito del taglio mirato di cavi di comunicazione di Deutsche Bahn. Pur trattandosi formalmente di un atto materiale, l’episodio ha evidenziato la dipendenza delle operazioni ferroviarie dalle reti di comunicazione e controllo. Gli esperti lo citano come esempio di rischio ibrido, in cui componenti fisiche e digitali si intrecciano nella vulnerabilità delle infrastrutture.
Rispetto a questi precedenti, l’attacco DDoS del febbraio 2026 appare orientato non alla distruzione o cifratura dei dati, ma alla compromissione della disponibilità dei servizi digitali rivolti all’utenza. Colpire sito e applicazione in fasce di elevata domanda significa incidere sulla percezione di affidabilità del servizio e generare disagi diffusi, pur senza intaccare la sicurezza operativa. In un contesto di crescente digitalizzazione della vendita, dell’informazione in tempo reale e della gestione dei flussi, la superficie esposta agli attacchi risulta ampliata, come evidenziato dai documenti tecnici di Dzsf Bund.
Resta aperto il tema delle possibili ricadute in termini di investimenti e architetture IT. Anche se il ripristino è avvenuto in tempi relativamente brevi, l’episodio potrebbe accelerare ulteriori interventi sulla resilienza delle piattaforme centrali, sull’adozione di soluzioni di mitigazione avanzata per attacchi DDoS e sul coordinamento con le autorità federali e con altri operatori europei. L’attacco arriva infatti in una fase in cui più reti ferroviarie europee hanno segnalato criticità analoghe, riaprendo il dossier di una strategia europea più integrata per la protezione digitale delle infrastrutture critiche di trasporto.
M.L.
