Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Home
L'immagine è un fotomontaggio a tema cyber-sicurezza, suddiviso visivamente in due sezioni principali sovrapposte. Nella parte superiore, a fare da sfondo, campeggia la bandiera d'Italia con le sue tre bande verticali verde, bianca e rossa, caratterizzata da una texture che ricorda la carta ruvida o il tessuto vissuto. Al centro esatto della bandiera è posizionato il logo ufficiale di Trenitalia, composto dalla tipica "f" stilizzata con i colori verde e rosso e, subito a destra, dalla scritta in stampato maiuscolo "TRENITALIA" in colore verde petrolio. Sotto il nome principale compare la dicitura, più piccola e sempre in maiuscolo, "GRUPPO FERROVIE DELLO STATO ITALIANE". La metà inferiore dell'immagine è parzialmente coperta da uno screenshot inclinato proveniente da un noto forum di hacking o di compravendita di database sul dark web. L'interfaccia del forum ha uno sfondo grigio scuro con dettagli rossi e bianchi. Il titolo del post all'interno dello screenshot recita "[~492k] Italy www.gruppoferrovieitaliane.it - Contact and personal data of Italian railway customers", indicando una presunta violazione di dati che coinvolgerebbe circa 492.000 clienti delle ferrovie italiane. Sotto il titolo è visibile il nome dell'utente che ha pubblicato il post, contrassegnato dal nickname "Databasehooligan" e dal rango "[Citizen]", con una data di pubblicazione che riporta il 26 maggio 2026. Sulla sinistra, il profilo dell'utente mostra un avatar con l'immagine di un personaggio anime dai capelli rossi. Il corpo del messaggio inizia con un saluto e prosegue descrivendo il contenuto del leak, spiegando che si tratta di un dataset proveniente dal sito indicato, utile per scopi di ricerca e analisi, strutturato in tre sezioni principali che includono contatti e dati sul supporto di biglietteria. Più in basso, il testo si interrompe mostrando l'inizio dell'elenco delle intestazioni e della struttura dei dati rubati.

Data Breach Trenitalia: La notifica di oggi è il “colpo di coda” dell’attacco di Maggio?

26 Giugno 2026 16:32
In sintesi

Trenitalia ha notificato a migliaia di utenti una violazione dei dati personali, probabilmente collegata ad un attacco informatico di maggio del 2026. Sono risultati esposti dati anagrafici, contatti e informazioni di viaggio, ma non password o carte di pagamento. Cresce il rischio di campagne di phishing mirato.

Hai aperto la tua casella di posta e trovato una lettera da Trenitalia?

Non sei solo. Ci sono migliaia di persone che stanno ricevendo la stessa notifica in queste ore. La notifica (pubblicata anche nella sezione “incident” del sito trenitalia) parla di una violazione dei dati personali, come previsto dalla legge europea sulla protezione dei dati.

Ma questa notifica potrebbe essere un colpo di coda di un incidente avvenuto a maggio del 2026.

Advertising

Cosa c’è scritto nell’email inviata oggi da Trenitalia?

L’email inviata in queste (a questo link la notifica) ore si presenta come una comunicazione formale di sicurezza. L’oggetto o l’intestazione richiamano esplicitamente l’Articolo 34 del regolamento GDPR, che obbliga le aziende a notificare tempestivamente gli interessati quando una violazione dei dati rappresenta un rischio elevato per i loro diritti e le loro libertà.

Nel testo, Trenitalia adotta un tono trasparente ma rassicurante, strutturato in questo modo:

  1. L’annuncio dell’incidente: L’azienda informa il cliente che, a seguito di verifiche interne svolte, è stato rilevato un incidente di sicurezza informatica causato da soggetti esterni non identificati, il quale ha comportato un accesso non autorizzato ai sistemi.
  2. La giustificazione del ritardo: Viene spiegato che per individuare con precisione i soggetti coinvolti è stato necessario svolgere approfondite e complesse analisi tecniche e di sicurezza informatica per ricostruire i dettagli degli accessi impropri.
  3. Le rassicurazioni fondamentali: Trenitalia ci tiene a sottolineare un punto cruciale per la tranquillità economica degli utenti: non sono stati coinvolti i dati di accesso agli account, le credenziali personali o le informazioni relative ai pagamenti (come numeri di carte di credito, scadenze o codici di sicurezza CCV).
  4. I passi intrapresi: L’azienda alla fine conclude informando di aver adottato tempestivamente tutte le misure per mitigare l’impatto, mettere in sicurezza i sistemi, rafforzare le difese e di aver regolarmente notificato l’accaduto al Garante per la Protezione dei Dati Personali e allo CSIRT Italia.

L’elenco completo dei dati esfiltrati

Nonostante le rassicurazioni sulle carte di credito, la quantità di informazioni personali a cui gli attaccanti hanno avuto accesso appare significativa. Se hai ricevuto la mail, significa che i tuoi dati rientrano, in tutto o in parte, in questo elenco ufficiale di informazioni esfiltrate:

  • Dati anagrafici e identificativi: Nome, cognome, data e luogo di nascita del passeggero e anche dell’eventuale acquirente del biglietto.
  • Recapiti di contatto: Indirizzo e-mail e numero di telefono cellulare.
  • Informazioni sul viaggio: Dettagli precisi sugli spostamenti, tra cui la tratta percorsa, la data, l’orario e il numero identificativo del titolo di viaggio.
  • Codice della carta fedeltà: Il codice identificativo del programma di fidelizzazione (se associato al biglietto al momento dell’acquisto).
  • Informazioni professionali: Società o ente datore di lavoro.
  • Dettagli commerciali: Tipologia di offerta o servizio acquistato.
  • Documenti: Estremi del documento d’identità.
  • Dati tecnici: Informazioni connesse alla generazione digitale del titolo di viaggio.

Il legame con il mercato nero del Dark Web

Per capire cosa potrebbe essere successo, dobbiamo tornare indietro di qualche mese e vedere come si sono svolti i fatti, sia sui canali ufficiali che su quelli meno ufficiali, come il Dark Web.

Nei forum underground attorno ad Ottobre/Novembre del 2025 sono apparsi una serie di post, che ai molti sono passati inosservati che riportavano l’esfiltrazione di dati da Trenitalia. Un utente sul forum underground Exploit avevano messo in vendita presunti database sottratti proprio dai sistemi legati al dominio di Ferrovie dello Stato Italiane.

Advertising

Ma successivamente a maggio del 2026, sono apparsi altri post nei forum underground che riportavano altri set di dati. Su Breach Forums l’utente “rupert” riportò che erano stati esfiltrati 492.000 record dal gruppo ferrovie dello stato.

Nel post di rivendicazione mostrava la struttura del database rubato, divise in tre sezioni: Contacts (contatti), Ticketing Support Requests (richieste di supporto) e Order History (storico ordini).

Post su Breach Forums dell’utnete “rupert” del 26 maggio 2026

Andando a confrontare lo schema del database pirata con l’elenco dei dati ufficializzato oggi da Trenitalia, la corrispondenza è pressoché totale, confermando che l’email odierna potrebbe essere la diretta conseguenza di un attacco svolto dai criminali informatici diversi mesi fa.

Non sappiamo ufficialmente se le notifiche di oggi siano il frutto di questo precedente attacco (di maggio 2026), ma non avendo ulteriori informazioni in merito e avendo analizzato le underground criminali senza rilevare tracce di incidenti recenti, il tutto fa ricondurre le notifiche a tale incidente.

Post pubblicato su Breached da “citizen” a maggio del 26 maggio 2026

Cosa rischiano adesso i viaggiatori e come difendersi

Anche se le carte di credito e le password sono al sicuro, il furto di questi dati espongono gli utenti a un pericolo concreto: lo Spear Phishing (o truffe mirate via SMS ed email).

Avendo a disposizione il nome, la mail, il tuo numero di telefono e sapendo persino quali tratte ferroviarie frequenti e per lavoro, i truffatori possono confezionare messaggi ingannevoli estremamente personalizzati e credibili. Ad esempio, potresti ricevere un finto SMS da Trenitalia che fa riferimento a un ritardo o a un rimborso su una tratta che hai realmente percorso, inserendo un link malevolo per rubarti i dati bancari.

I consigli per proteggersi:

  1. Diffida dei link urgenti: Non cliccare su link ricevuti via SMS (Smishing) o email che richiedono l’inserimento di password, dati bancari o codici OTP.
  2. Verifica le fonti: In caso di dubbi su rimborsi, sanzioni o comunicazioni commerciali, non usare i link della mail. Altresì accedi autonomamente all’app ufficiale di Trenitalia o al sito web digitando l’indirizzo nel browser.
  3. Attenzione alle anomalie: Qualsiasi messaggio che utilizzi i tuoi dati di viaggio per chiederti azioni insolite o dati finanziari va considerato una potenziale truffa.

📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su 🔔 Google News.
Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram.
Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici


Luca Stivali 300x300
Cyber Security Enthusiast e imprenditore nel settore IT da 25 anni, esperto nella progettazione di reti e gestione di sistemi IT complessi. Passione per un approccio proattivo alla sicurezza informatica: capire come e da cosa proteggersi è fondamentale.
Aree di competenza: Cyber Threat Intelligence, Architectural Design, Divulgazione