Nella gestione di un incidente informatico, la rapidità con cui un’azienda avverte chi ha subito il danno pesa spesso quanto la capacità di prevenire l’attacco stesso. È il nodo al centro del caso che ha coinvolto Trenitalia nelle scorse settimane, dopo la comunicazione inviata a milioni di clienti a proposito di una violazione dei propri sistemi informatici.
Secondo quanto reso noto dall’azienda, l’attacco ha esposto dati anagrafici e di contatto dei passeggeri, tra cui nome, cognome, data e luogo di nascita, indirizzo email, numero di telefono, dettagli dei viaggi prenotati, codici di prenotazione e della carta di fidelizzazione, oltre a informazioni sui documenti d’identità. Non risultano invece coinvolti dati di pagamento né le credenziali di accesso agli account, una distinzione che l’azienda ha voluto sottolineare fin dalla prima comunicazione per contenere l’allarme tra i viaggiatori.
Il punto più discusso non riguarda tanto la natura dei dati sottratti, quanto la tempistica: l’intrusione risale al 25 ottobre 2025, ma la comunicazione ai clienti è arrivata solo il 26 giugno 2026, a distanza di circa otto mesi. Trenitalia ha reso noto di aver notificato tempestivamente il Garante per la protezione dei dati personali e il CSIRT Italia, e di aver presentato una denuncia alla Procura di Roma.
Le associazioni dei consumatori non hanno atteso a lungo per far sentire la propria voce. L’Unione per la Difesa dei Consumatori ha criticato apertamente sia la solidità dei sistemi di sicurezza dell’azienda sia i tempi di reazione, invitando i passeggeri coinvolti alla massima cautela di fronte a possibili tentativi di phishing mirato che sfruttino i dettagli di viaggio sottratti.
Il Regolamento europeo sulla protezione dei dati impone al titolare del trattamento di notificare una violazione all’Autorità di controllo senza ingiustificato ritardo, di norma entro 72 ore dalla scoperta, e di informare gli interessati quando il rischio per i loro diritti è elevato. Uno scarto di mesi tra i due momenti, quando riguarda gli utenti finali, è il tipo di circostanza che le autorità di vigilanza tendono a valutare come profilo autonomo di responsabilità, a prescindere dalla gravità tecnica dell’attacco originario: il ritardo nella comunicazione, di per sé, può costituire una violazione del regolamento distinta e autonoma rispetto alla violazione di sicurezza che l’ha originata.
Per gli studi legali che assistono aziende esposte a incidenti analoghi, il caso Trenitalia offre un promemoria che va oltre la cronaca ferroviaria: il valore della compliance in materia di data breach si misura sempre più spesso nei tempi di reazione interna, prima ancora che nell’efficacia delle misure tecniche di prevenzione messe in campo.
LEGGI ANCHE
Data Act: dal 12 settembre scatta la rivoluzione dei dati
Il regolamento UE 2023/2854 entra in vigore. Le imprese dovranno garantire l’accesso ai dati generati dai prodotti connessi, anche se acquistati prima della nuova normativa.…
Milano, boom del mattone di lusso: +57% in tre anni. Ma è il paradiso solo per i milionari
Il capoluogo lombardo guida la corsa ai prezzi degli immobili di pregio grazie alla flat tax per i neo-residenti ad alto reddito. Il 40% delle…
La ricetta di Davigo per processi più brevi che ha suscitato polemiche
Il 15 gennaio 2020, la commissione Giustizia alla Camera ha approvato la soppressione della proposta di legge Costa che puntava a bloccare la riforma della…

