10 Luglio 2026 - Protezione dati

Data breach Trenitalia, notifica ai passeggeri con otto mesi di ritardo: si riapre il nodo dei tempi imposti dal GDPR

Trenitalia ha comunicato ai clienti una violazione dei sistemi informatici risalente all'ottobre 2025, con dati anagrafici e di viaggio esposti per milioni di passeggeri. Nessun dato di pagamento coinvolto, ma il forte scarto temporale tra scoperta e comunicazione riaccende il dibattito sugli obblighi di notifica del Regolamento europeo.

Nella gestione di un incidente informatico, la rapidità con cui un’azienda avverte chi ha subito il danno pesa spesso quanto la capacità di prevenire l’attacco stesso. È il nodo al centro del caso che ha coinvolto Trenitalia nelle scorse settimane, dopo la comunicazione inviata a milioni di clienti a proposito di una violazione dei propri sistemi informatici.

Secondo quanto reso noto dall’azienda, l’attacco ha esposto dati anagrafici e di contatto dei passeggeri, tra cui nome, cognome, data e luogo di nascita, indirizzo email, numero di telefono, dettagli dei viaggi prenotati, codici di prenotazione e della carta di fidelizzazione, oltre a informazioni sui documenti d’identità. Non risultano invece coinvolti dati di pagamento né le credenziali di accesso agli account, una distinzione che l’azienda ha voluto sottolineare fin dalla prima comunicazione per contenere l’allarme tra i viaggiatori.

Il punto più discusso non riguarda tanto la natura dei dati sottratti, quanto la tempistica: l’intrusione risale al 25 ottobre 2025, ma la comunicazione ai clienti è arrivata solo il 26 giugno 2026, a distanza di circa otto mesi. Trenitalia ha reso noto di aver notificato tempestivamente il Garante per la protezione dei dati personali e il CSIRT Italia, e di aver presentato una denuncia alla Procura di Roma.

Le associazioni dei consumatori non hanno atteso a lungo per far sentire la propria voce. L’Unione per la Difesa dei Consumatori ha criticato apertamente sia la solidità dei sistemi di sicurezza dell’azienda sia i tempi di reazione, invitando i passeggeri coinvolti alla massima cautela di fronte a possibili tentativi di phishing mirato che sfruttino i dettagli di viaggio sottratti.

Il Regolamento europeo sulla protezione dei dati impone al titolare del trattamento di notificare una violazione all’Autorità di controllo senza ingiustificato ritardo, di norma entro 72 ore dalla scoperta, e di informare gli interessati quando il rischio per i loro diritti è elevato. Uno scarto di mesi tra i due momenti, quando riguarda gli utenti finali, è il tipo di circostanza che le autorità di vigilanza tendono a valutare come profilo autonomo di responsabilità, a prescindere dalla gravità tecnica dell’attacco originario: il ritardo nella comunicazione, di per sé, può costituire una violazione del regolamento distinta e autonoma rispetto alla violazione di sicurezza che l’ha originata.

Per gli studi legali che assistono aziende esposte a incidenti analoghi, il caso Trenitalia offre un promemoria che va oltre la cronaca ferroviaria: il valore della compliance in materia di data breach si misura sempre più spesso nei tempi di reazione interna, prima ancora che nell’efficacia delle misure tecniche di prevenzione messe in campo.


LEGGI ANCHE

L’Unione europea rafforza lo scudo digitale: l’Ucraina entra nella riserva europea di cybersicurezza

Via libera del Consiglio UE all’accesso di Kiev al meccanismo di risposta alle emergenze informatiche gestito da ENISA. Un passo che conferma il ruolo strategico…

Referendum giustizia, Del Noce (UNCC): “Il risultato va rispettato. Ora serve un confronto serio sulla fiducia dei cittadini”

Il presidente dell’Unione Nazionale Camere Civili: “Le criticità del sistema sono riconosciute da più parti. L’obiettivo deve essere una giustizia più credibile, trasparente ed efficiente”

beatles intelligenza artificiale

Grazie all’intelligenza artificiale ascolteremo una nuova canzone dei Beatles

I Beatles, con 12 album in studio, centinaia di milioni di dischi venduti e decine di singoli, sono stati una delle band con maggior successo…

TORNA ALLE NOTIZIE

Iso 27017
Iso 27018
Iso 9001
Iso 27001
Iso 27003
Acn
RDP DPO
CSA STAR Registry
PPPAS
Microsoft
Apple
vmvare
Linux
veeam
0
    Prodotti nel carrello
    Il tuo carrello è vuoto