Trenitalia ha inviato il 26 giugno 2026 ai propri clienti una comunicazione relativa a un incidente di sicurezza informatica che ha determinato un accesso non autorizzato ad alcuni dati personali legati ai titoli di viaggio. Nel testo, l'azienda riferisce di aver rilevato l'evento a seguito di verifiche interne e di averlo attribuito a "soggetti esterni non identificati". Secondo quanto si legge nella comunicazione, "per individuare con precisione i soggetti interessati potenzialmente coinvolti è stato necessario svolgere approfondite analisi tecniche e di sicurezza da parte delle nostre strutture IT", un'attività che avrebbe richiesto tempo perché si è trattato di "ricostruire nel dettaglio eventuali accessi impropri ai dati". Solo al termine di queste verifiche, prosegue il testo, l'azienda è stata in grado di identificare i clienti coinvolti e di inviare la notifica, come previsto dall'articolo 34 del regolamento UE 2016/679 (Gdpr) e in conformità con le linee guida dell'European Data Protection Board (Edpb) n. 9/2022, versione 2.0 del 28 marzo 2023.
Trenitalia precisa che "non sono stati coinvolti dati di accesso agli account, credenziali personali o informazioni relative ai pagamenti, come il numero della carta, la scadenza o il codice di sicurezza". Le categorie di dati personali che, se presenti sui sistemi informatici in relazione al titolo di viaggio, potrebbero essere state oggetto di accesso non autorizzato comprendono dati anagrafici e identificativi del passeggero e dell'eventuale acquirente, dati di contatto come e-mail e numero di telefono, dati di viaggio quali tratta, data e orario del viaggio e numero del titolo di viaggio, il codice della carta fedeltà ove associato al titolo, la società o l'ente datore di lavoro, la tipologia di offerta o servizio associata al titolo e i dati necessari a fruirne, gli estremi del documento d'identità e i dati connessi alla generazione del titolo di viaggio.
Nella comunicazione l'azienda afferma di aver adottato, non appena rilevato l'evento, "tutte le misure necessarie per interrompere l'anomalia, mettere in sicurezza i sistemi e rafforzare ulteriormente i controlli". Trenitalia dichiara inoltre di aver notificato l'incidente al Garante per la protezione dei dati personali e allo Csirt Italia, in conformità alla normativa vigente, e di aver presentato denuncia alla procura della Repubblica presso il tribunale di Roma.
Nel testo l'azienda segnala ai clienti coinvolti il rischio di ricevere "comunicazioni fraudolente o tentativi di contatto ingannevoli che fanno riferimento ai suoi viaggi", alla luce della tipologia di dati coinvolti, e raccomanda attenzione verso messaggi sospetti che richiedano dati personali o finanziari o che contengano link o allegati inattesi, ricordando che Trenitalia non contatta mai i clienti per chiedere password o dati di pagamento. Per chiarimenti, l'azienda ha attivato un servizio di assistenza dedicato, raggiungibile tramite l'opzione "Privacy – Gestione dei dati personali" sul proprio webform.
La comunicazione s’inserisce in un contesto più ampio che coinvolge l'intero ecosistema informatico del gruppo Ferrovie dello Stato. Tra fine novembre e dicembre 2025 era emerso un attacco informatico ai sistemi di Almaviva, fornitore di servizi It del gruppo FS, con la sottrazione di circa 2,3 terabyte di dati successivamente comparsi su un forum della rete Tor. Il materiale, secondo le ricostruzioni circolate in quei mesi, comprendeva documentazione relativa a diverse società del gruppo. Anche Trenitalia Tper aveva inviato nelle settimane scorse comunicazioni analoghe a clienti e dipendenti della rete ferroviaria emiliano-romagnola, con lo stesso impianto: accesso abusivo da parte di un soggetto esterno, nessun coinvolgimento di credenziali o dati di pagamento, invito alla prudenza verso comunicazioni sospette.
