Nella gestione di un incidente informatico, la rapidità con cui un’azienda avverte chi ha subito il danno pesa spesso quanto la capacità di prevenire l’attacco stesso. È il nodo al centro del caso che ha coinvolto Trenitalia nelle scorse settimane, dopo la comunicazione inviata a milioni di clienti a proposito di una violazione dei propri sistemi informatici.
Secondo quanto reso noto dall’azienda, l’attacco ha esposto dati anagrafici e di contatto dei passeggeri, tra cui nome, cognome, data e luogo di nascita, indirizzo email, numero di telefono, dettagli dei viaggi prenotati, codici di prenotazione e della carta di fidelizzazione, oltre a informazioni sui documenti d’identità. Non risultano invece coinvolti dati di pagamento né le credenziali di accesso agli account, una distinzione che l’azienda ha voluto sottolineare fin dalla prima comunicazione per contenere l’allarme tra i viaggiatori.
Il punto più discusso non riguarda tanto la natura dei dati sottratti, quanto la tempistica: l’intrusione risale al 25 ottobre 2025, ma la comunicazione ai clienti è arrivata solo il 26 giugno 2026, a distanza di circa otto mesi. Trenitalia ha reso noto di aver notificato tempestivamente il Garante per la protezione dei dati personali e il CSIRT Italia, e di aver presentato una denuncia alla Procura di Roma.
Le associazioni dei consumatori non hanno atteso a lungo per far sentire la propria voce. L’Unione per la Difesa dei Consumatori ha criticato apertamente sia la solidità dei sistemi di sicurezza dell’azienda sia i tempi di reazione, invitando i passeggeri coinvolti alla massima cautela di fronte a possibili tentativi di phishing mirato che sfruttino i dettagli di viaggio sottratti.
Il Regolamento europeo sulla protezione dei dati impone al titolare del trattamento di notificare una violazione all’Autorità di controllo senza ingiustificato ritardo, di norma entro 72 ore dalla scoperta, e di informare gli interessati quando il rischio per i loro diritti è elevato. Uno scarto di mesi tra i due momenti, quando riguarda gli utenti finali, è il tipo di circostanza che le autorità di vigilanza tendono a valutare come profilo autonomo di responsabilità, a prescindere dalla gravità tecnica dell’attacco originario: il ritardo nella comunicazione, di per sé, può costituire una violazione del regolamento distinta e autonoma rispetto alla violazione di sicurezza che l’ha originata.
Per gli studi legali che assistono aziende esposte a incidenti analoghi, il caso Trenitalia offre un promemoria che va oltre la cronaca ferroviaria: il valore della compliance in materia di data breach si misura sempre più spesso nei tempi di reazione interna, prima ancora che nell’efficacia delle misure tecniche di prevenzione messe in campo.
Iscriviti al canale Telegram di Servicematica
Notizie, aggiornamenti ed interruzioni. Tutto in tempo reale.
LEGGI ANCHE
Parità di genere negli ordini professionali
TAR sottolinea che non si può scaricare solo sul legislatore la responsabilità di garantire la pari opportunità nelle cariche Ordini professionali: votazione membri nulla se…
Dark web: Contatti di quasi quattromila manager italiani venduti, rischio “ceo-fraud” L’organizzazione per la sicurezza informatica Yoroi scopre che nel deep web venivano venduti oltre…
Cybersicurezza: imprese e PA alle prese con nuovi obblighi dal 2025
Nuove regole: parte il conto alla rovescia per le imprese e le pubbliche amministrazioni italiane

