L’azienda ha spiegato in una email inviata agli utenti che l’attacco sarebbe stato causato da “soggetti esterni non identificati” e che, al termine di approfondite verifiche tecniche, è stato possibile individuare le persone potenzialmente interessate dalla violazione.

Trenitalia ha annunciato un incidente di sicurezza che ha comportato l’accesso non autorizzato ad alcuni dati personali relativi ai titoli di viaggio. L’azienda ha spiegato in una email inviata agli utenti che l’attacco sarebbe stato causato da “soggetti esterni non identificati” e che, al termine di approfondite verifiche tecniche, è stato possibile individuare le persone potenzialmente interessate dalla violazione.

Secondo quanto comunicato, non risultano compromessi i dati di accesso agli account, le credenziali personali né le informazioni di pagamento, come il numero della carta, la data di scadenza o il codice di sicurezza.

Quali dati sono stati coinvolti

La violazione potrebbe aver interessato, qualora presenti nei sistemi informatici associati al titolo di viaggio, diverse categorie di dati personali, tra cui:

• dati anagrafici e identificativi (nome, cognome, data e luogo di nascita del passeggero e dell’eventuale acquirente);
• recapiti di contatto, come indirizzo e-mail e numero di telefono;
• informazioni sul viaggio, tra cui tratta, data e orario, numero del titolo di viaggio;
• codice della carta fedeltà, se associata al biglietto;
• società o ente datore di lavoro;
• tipologia di offerta o servizio acquistato;
• estremi del documento d’identità;
• dati tecnici connessi alla generazione del titolo di viaggio.

Notifica al Garante Privacy e al CSIRT Italia

Trenitalia ha precisato di aver adottato immediatamente le misure necessarie per contenere l’incidente e di aver notificato l’accaduto al Garante per la protezione dei dati personali e al CSIRT Italia, come previsto dalla normativa vigente. È stata inoltre presentata una denuncia alla Procura della Repubblica presso il Tribunale di Roma.

L’azienda spiega che le attività di analisi hanno richiesto tempo per ricostruire con precisione gli eventuali accessi impropri ai dati e identificare i clienti coinvolti, in conformità con quanto previsto dall’articolo 34 del Regolamento (UE) 2016/679 (GDPR) e dalle linee guida dell’European Data Protection Board (EDPB).

Il rischio di phishing

Nella comunicazione Trenitalia avverte che, considerata la tipologia di informazioni coinvolte, esiste il rischio che i clienti possano ricevere messaggi fraudolenti o tentativi di phishing che facciano riferimento ai propri viaggi.

Per questo invita gli utenti a diffidare di e-mail, SMS o telefonate sospette, a non fornire dati personali o finanziari e a verificare sempre l’identità del mittente prima di cliccare su link o aprire allegati. La società ricorda inoltre che non contatterà mai i clienti per richiedere password o dati di pagamento.

Per eventuali chiarimenti è stato attivato un servizio di assistenza dedicato attraverso il webform “Privacy – Gestione dei dati personali”, utilizzando il codice di riferimento indicato nella comunicazione ricevuta.

Vai al sito di Cybersecurity Italia.

L'articolo Trenitalia vittima di data breach: notifiche al Garante e al CSIRT. L’azienda: “Rischio phishing” sembra essere il primo su CyberSecurity Italia.