Furto di dati da Trenitalia: quali sono i rischi reali?

Il 26 giugno 2026 milioni di clienti Trenitalia hanno trovato in arrivo un’email con un oggetto freddo e burocratico: “Comunicazione di violazione dei dati personali ai sensi dell’art. 34 del Regolamento UE 679/2016”. Dietro quella formulazione da ufficio legale si nasconde una storia che merita di essere raccontata per quello che è davvero: non solo un furto di dati, ma l’apertura di una finestra di vulnerabilità che potrebbe restare aperta per mesi e colpire persone che non si aspettano di essere nel mirino.
Partiamo dai fatti

 

Questo articolo si basa sulla comunicazione ufficiale di Trenitalia del 26 giugno 2026, sulle notifiche al Garante Privacy e al CSIRT Italia, e sull’analisi di fonti specializzate in cybersicurezza. Sarà aggiornato con gli sviluppi delle indagini.

Stefano Massari

Cosa è successo, quando e chi lo ha scoperto
L’attacco non è di ieri. Trenitalia ha confermato che l’origine dell’incidente risale all’ottobre 2025 — quasi nove mesi fa.
Fermi tutti. Blocchiamo il filmato, come farebbe Alessandro Borghese quando in cucina succede qualcosa di incomprensibile: l’unico a muoversi è lui, che guarda in camera e sottolinea l’assurdità di ciò che è appena accaduto davanti agli occhi increduli del pubblico.
Avete capito bene: nove mesi fa.
Nel tempo in cui Trenitalia ricostruiva “con precisione gli accessi impropri ai dati”, le informazioni rubate avrebbero potuto già fare il giro dei principali marketplace del dark web, essere acquistate da chi sa come usarle, e magari essere già state usate. Chi era nel mirino dell’attacco avrebbe potuto essere contattato dai malintenzionati mesi prima di ricevere l’avviso dall’azienda. Senza saperlo.
Il tempo intercorso tra la violazione e la comunicazione ai clienti non è necessariamente negligenza — la forensic analysis, ovvero la ricostruzione tecnica di ogni singolo accesso improprio ai database, richiede davvero mesi in casi complessi come questo. Ma nove mesi restano un tempo che fa riflettere, e su cui il Garante per la Protezione dei Dati Personali avrà certamente qualcosa da dire.

L’azienda, comunque, ha precisato di aver adottato “immediatamente” le misure necessarie per contenere l’incidente e di aver notificato l’accaduto al Garante per la protezione dei dati personali e al CSIRT Italia, come previsto dalla normativa vigente, presentando inoltre una denuncia alla Procura della Repubblica presso il Tribunale di Roma.

Quali dati sono stati rubati — la lista completa
Trenitalia ha comunicato i dati coinvolti con sufficiente precisione. Rientrano nel perimetro del data breach: dati anagrafici e identificativi come nome, cognome, data e luogo di nascita del passeggero e dell’eventuale acquirente del biglietto; dati di contatto come indirizzo email e numero di telefono; dati di viaggio ovvero tratta, data, orario e numero del titolo di viaggio; estremi dei documenti d’identità e codici della carta fedeltà ove associata; informazioni sulla società o sull’ente datore di lavoro.
Non risultano invece compromessi i dati di accesso agli account, le credenziali personali né le informazioni di pagamento, come il numero della carta, la data di scadenza o il codice di sicurezza.
Questa distinzione è reale e importante ma, come vedremo tra poco, non è sufficiente a escludere rischi seri.
Un dettaglio che molti articoli hanno trascurato: tra i dati rubati figurano anche gli estremi dei documenti d’identità e i dati del datore di lavoro. Non sono informazioni di serie B. Sono esattamente le informazioni che servono a costruire una truffa credibile o, in alcuni casi, a tentare operazioni di furto d’identità su piattaforme che richiedono verifica documentale.

Il rischio vero: non il bancomat, ma la truffa su misura
Qui la maggior parte dei giornali si è fermata. Noi no.
Il fatto che non siano stati rubati dati di pagamento è una buona notizia. Ma è una notizia che rischia di far abbassare la guardia nel momento sbagliato.
Chi ha rubato questi dati non è interessato a svuotarvi il conto corrente in modo diretto — per quello esistono metodi molto più efficaci che non implicano hackerare Trenitalia. Ciò che interessa ai criminali informatici, in casi come questo, è qualcosa di molto più prezioso sul mercato nero: informazioni contestuali verificabili.
Pensate a cosa può fare chi ha in mano il vostro nome, il vostro numero di cellulare, l’email, la tratta che avete percorso, la data del vostro viaggio e il numero del biglietto. Può costruire questo messaggio:

“Gentile [Nome Cognome], in riferimento al suo viaggio del [data reale] sulla tratta [tratta reale], le comunichiamo che è stato disposto un rimborso di €47,50 per il ritardo registrato. Per ricevere l’accredito, clicchi qui entro 48 ore.”

Questo si chiama spear phishing — phishing su misura, costruito su dati reali. Un attacco di phishing generico lo riconoscono ormai in molti. Il problema dei data breach come quello di Trenitalia è che alimentano una categoria diversa e molto più insidiosa: lo spear phishing, cioè il phishing costruito su misura usando i dati reali della vittima. La presenza di informazioni autentiche abbassa la guardia in modo radicale: il messaggio non sembra una truffa perché contiene dettagli che solo Trenitalia dovrebbe conoscere.
È esattamente il motivo per cui questo tipo di archivi — dati di viaggio + contatti + dati anagrafici — vale moltissimo sul mercato nero, spesso molto più di un database di sole password.
Ma il rischio non si ferma all’email. Chi ha il vostro numero di telefono può chiamarvi fingendo di essere un operatore Trenitalia, citare il vostro ultimo viaggio, e chiedervi di “verificare” i dati della carta di pagamento per completare un rimborso. È una tecnica che funziona, specialmente su fasce di utenza meno avvezze agli strumenti digitali.

Perché questo attacco è diverso dai soliti
C’è un elemento di contesto che quasi nessun articolo ha menzionato. Si ripete la storia dopo la violazione della privacy che l’anno scorso aveva colpito passeggeri e dipendenti di Trenitalia, con un durissimo attacco ai sistemi di Almaviva in cui gli hacker avevano rivendicato il furto di 2,3 terabyte di dati sensibili. 
Questo significa che il Gruppo Ferrovie dello Stato è già stato colpito in precedenza, e che evidentemente le lezioni del primo attacco non sono state sufficienti a impedire il secondo. È un segnale di maturità organizzativa in materia di cybersecurity che non pare all’altezza della responsabilità che un’infrastruttura critica nazionale dovrebbe avere.

 

I grandi data breach in Italia: una storia che si ripete

Dieci casi documentati che hanno colpito organizzazioni italiane o milioni di cittadini. Nessun settore è immune: banche, infrastrutture, sanità, pubblica amministrazione, aziende IT, trasporti.

Pubblica amministrazione
Banche e finanza
Infrastrutture critiche
Sanità
IT e tech
Trasporti
2018
UniCredit Banca
Tentativo di accesso forzato al sistema di online banking: dati personali di 731.519 correntisti a rischio — nome, cognome, codice fiscale e credenziali. La banca blocca l'attacco, ma migliaia di account risultano già compromessi. È uno dei primi grandi casi bancari italiani post-GDPR.
731.519 clienti esposti Notificato al Garante entro 24h
2020
INPS Pubblica amministrazione
In piena emergenza Covid-19, un bug nel portale per i bonus rende accessibili i dati personali di centinaia di migliaia di contribuenti. Non un attacco esterno: un errore interno espone nome, codice fiscale e IBAN di chi aveva fatto domanda di sussidio. Un caso che dimostra come la minaccia venga anche dall'interno.
Centinaia di migliaia di contribuenti Causa: errore tecnico interno
2021
Regione Lazio — LAZIOcrea Sanità / PA
Ransomware entra dal laptop di un dipendente e si propaga ai sistemi sanitari regionali. Blocco di prenotazioni, pagamenti, ritiro referti e registrazioni vaccinali per giorni. Dati di milioni di assistiti del Lazio a rischio. Il Garante accerta sistemi obsoleti e assenza di adeguate misure di sicurezza.
Milioni di assistiti SSR Ransomware da laptop dipendente Multa: 391.000 €
2022
Almaviva — 1° attacco IT e tech
Il gigante italiano dei servizi IT (41.000 dipendenti, fornitore dello Stato) subisce un primo attacco significativo con esposizione di dati di clienti istituzionali. Il caso anticipa il breach ben più grave del 2025 e dimostra che la vulnerabilità era sistemica e non risolta.
Clienti istituzionali coinvolti Primo di due attacchi documentati
2022
Intesa Sanpaolo — inizio accessi illeciti Banca
Un dipendente inizia ad accedere abusivamente ai conti bancari di oltre 3.500 clienti — inclusi personaggi pubblici classificati "ad alto rischio". Nessun sistema interno lo rileva. L'attività durerà oltre due anni con più di 6.600 consultazioni non autorizzate.
3.573 clienti spiati 6.600+ accessi illeciti Non rilevato per oltre 2 anni
2023
Università di Pisa — ALPHV/BlackCat Istruzione / IT
Il gruppo ransomware ALPHV/BlackCat viola i sistemi dell'ateneo e pubblica i dati rubati direttamente sul web emerso — non solo sul dark web. Un'escalation nella tattica: l'esposizione pubblica come strumento di pressione e ricatto verso istituzioni accademiche.
Dati pubblicati online Gruppo ALPHV/BlackCat
2024
Intesa Sanpaolo — notifica al Garante Banca
La banca notifica il breach al Garante, ma la notifica è incompleta e tardiva. Serve un provvedimento specifico del Garante per obbligarla a informare i clienti coinvolti. Il caso diventa emblema della "doppia violazione": dei dati prima, della trasparenza poi.
Notifica incompleta e tardiva Garante interviene d'ufficio
2025
Almaviva — 2° attacco & Ferrovie dello Stato IT / Infrastrutture critiche
Il breach più grave per la sicurezza nazionale italiana: 2,3 terabyte di dati sottratti comprendono piani industriali FS 2017–2035, contratti con Ministero della Difesa e Aeronautica Militare, dati di Guardia di Finanza e Carabinieri. Il paradosso: Almaviva offriva servizi di cybersecurity al settore Difesa.
2,3 TB di dati sottratti Dati difesa e sicurezza nazionale Rischio geopolitico
2026
Trenitalia — violazione database viaggi Trasporti
Attacco diretto ai database dei titoli di viaggio, con origine nell'ottobre 2025. Esposti: nomi, contatti, tratte, date, estremi di documenti d'identità e dati del datore di lavoro. La notifica arriva 9 mesi dopo l'attacco. Alto rischio di spear phishing per i passeggeri coinvolti.
Dati viaggio + anagrafici + doc. identità Notifica dopo 9 mesi Indagini in corso
2026
Intesa Sanpaolo — sanzione record Garante Banca
Il Garante commina la sanzione GDPR più alta mai inflitta in Italia a un istituto bancario. Il caso dimostra che il costo reale di un data breach non è solo tecnico: è legale, reputazionale e, alla fine, molto economico.
Multa: 31,8 milioni € Record GDPR in Italia Giudizio di opposizione pendente
Fonti: Garante per la Protezione dei Dati Personali, CSIRT Italia, Federprivacy, comunicati ufficiali aziendali, Federprivacy.org, Il Sole 24 Ore, ANSA. Alcuni procedimenti sono ancora in corso.

Cosa fare adesso se hai ricevuto la mail
Se sei tra i destinatari della comunicazione di Trenitalia, ecco le azioni concrete che devi mettere in atto — non domani, adesso.

1. Alzare il livello di attenzione su qualsiasi comunicazione che sembri provenire da Trenitalia. Email, SMS, telefonate. Se qualcuno cita il tuo viaggio reale, non abbassare la guardia: anzi, quella precisione è il primo segnale che potrebbe trattarsi di una truffa costruita proprio con i tuoi dati rubati.

2. Non cliccare su nessun link relativo a rimborsi o promozioni Trenitalia nei prossimi mesi, anche se il messaggio sembra legittimo. Per qualsiasi operazione, accedi direttamente al sito ufficiale digitando l’indirizzo nel browser.

3. Monitora i tuoi account online. Se usi la stessa email di Trenitalia su altri servizi, verifica se ci sono tentativi di accesso anomali. Usa strumenti come Have I Been Pwned per controllare se la tua email è comparsa in altri breach.

4. Attenzione al vishing — le truffe telefoniche. Se ricevi una chiamata da presunti operatori Trenitalia, non fornire mai dati di pagamento o codici OTP. Riattacca e richiama tu il numero ufficiale.

5. Se usi la Carta Freccia, monitora la tua posizione punti e segnala qualsiasi utilizzo anomalo. I dati della carta fedeltà sono tra quelli esposti.

La responsabilità di Trenitalia e il quadro normativo

Dal punto di vista legale, Trenitalia ha fatto ciò che il GDPR impone: ha notificato la violazione al Garante, ha informato i clienti, ha sporto denuncia. Ma il rispetto della procedura non equivale all’assenza di responsabilità.

Alcuni esperti di protezione dei dati hanno osservato come alcuni destinatari abbiano ricevuto l’email nella cartella spam e abbiano rilevato criticità nella formulazione del messaggio, ritenuto da alcuni poco chiaro e caratterizzato da un linguaggio particolarmente perentorio, con osservazioni riguardanti soprattutto il rispetto dell’obbligo di utilizzare comunicazioni semplici e comprensibili previsto dal GDPR. 
In altre parole: Trenitalia ha rispettato la forma, ma non necessariamente la sostanza di una comunicazione di crisi efficace. Una mail con oggetto burocratico, finita nello spam di molti destinatari, non è il massimo quando stai cercando di avvisare persone di un rischio concreto.
Il Garante per la Protezione dei Dati Personali ha ricevuto la notifica e presumibilmente aprirà un’istruttoria. Le sanzioni previste dal GDPR per violazioni di questo tipo possono arrivare fino al 4% del fatturato globale annuo — una cifra che nel caso di un gruppo delle dimensioni di FS sarebbe tutt’altro che simbolica.

FAQ: data breach Trenitalia — domande e risposte

Tutto quello che devi sapere sul furto di dati di giugno 2026: cosa è stato rubato, quali rischi corri davvero e cosa puoi fare adesso per proteggerti.

Ho ricevuto l'email di Trenitalia ma non ricordo viaggi recenti. Sono comunque a rischio?

Sì. L'attacco ha avuto origine nell'ottobre 2025, quasi nove mesi fa. Qualsiasi viaggio effettuato nei mesi precedenti potrebbe essere stato coinvolto.

I dati di vecchi acquisti restano nei database delle aziende anche molto tempo dopo la conclusione del viaggio — e sono stati esposti tanto quanto quelli più recenti.

Se non ho ricevuto l'email, i miei dati sono al sicuro?

Non necessariamente. Trenitalia ha inviato le notifiche solo al termine delle verifiche tecniche e soltanto ai clienti identificati come potenzialmente coinvolti. L'analisi potrebbe non essere completa, e alcune comunicazioni potrebbero essere finite in spam.

Se usi Trenitalia abitualmente, mantieni la guardia alta indipendentemente da quanto ricevuto nella casella di posta.

I miei dati bancari sono davvero al sicuro?

Secondo quanto comunicato da Trenitalia, sì: numeri di carta, date di scadenza e codici CVV non sono stati compromessi.

Questo non significa però che non possiate essere vittime di frodi. Significa solo che quelle frodi arriveranno attraverso altri canali — phishing via email, truffe telefoniche — e non prelevando direttamente dal conto.

Come riconosco una truffa costruita con i miei dati rubati?

Paradossalmente, il segnale più chiaro è proprio la precisione del messaggio. Se una email o un SMS cita la tratta esatta di un tuo viaggio, la data corretta, il numero del biglietto o l'orario — non abbassare la guardia.

Quei dettagli non provano che il mittente sia Trenitalia: provano che ha accesso ai dati rubati. Non cliccare su link, non fornire dati di pagamento, non comunicare codici OTP. Regola d'oro: più un messaggio sembra sapere di te, più devi diffidarne.

Come faccio a capire se qualcuno sta usando i miei dati?

Alcune azioni concrete che puoi mettere in atto subito:

  • Monitora la tua email su haveibeenpwned.com per sapere se è comparsa in altri breach
  • Imposta avvisi su Google per il tuo nome e cognome
  • Controlla la tua Carta Freccia per movimenti o utilizzi anomali dei punti
  • Sii scettico su qualsiasi comunicazione che cita un tuo viaggio con dettagli precisi
Devo cambiare la password del mio account Trenitalia?

Trenitalia dichiara che le credenziali di accesso non sono state compromesse. Cambiare la password è comunque una buona prassi generale, soprattutto se utilizzi la stessa password su più servizi — cosa che non dovresti mai fare.

Considera anche di attivare l'autenticazione a due fattori dove disponibile: è il modo più efficace per proteggere un account anche se le credenziali finissero in mani sbagliate.

Posso chiedere un risarcimento a Trenitalia?

È una domanda a cui risponderà nei prossimi mesi l'istruttoria del Garante per la Protezione dei Dati Personali. Il GDPR prevede il diritto al risarcimento del danno per i soggetti colpiti da una violazione.

In casi simili in Europa sono stati ottenuti risarcimenti, ma i tempi processuali sono generalmente lunghi. Alcune associazioni di consumatori — tra cui il Codacons — hanno già annunciato iniziative in tal senso.

Trenitalia mi ha avvisato con mesi di ritardo. È legale?

Il GDPR impone di notificare il Garante entro 72 ore dalla scoperta della violazione. La notifica agli interessati può invece avvenire "senza ingiustificato ritardo" solo dopo aver completato l'analisi necessaria a identificarli — il che, in attacchi complessi, può richiedere tempo.

Nove mesi restano però un arco temporale significativo. L'istruttoria del Garante valuterà se ci sia stata la diligenza necessaria nel rilevare e contenere l'attacco sin dall'inizio, e se i tempi fossero davvero giustificati dalla complessità tecnica.

>> Truffe deepfake: le protezioni di Android