Trenitalia sta informando alcuni clienti, tramite mail, di aver "rilevato un incidente di sicurezza informatica causato da soggetti esterni non identificati" che ha causato "un accesso non autorizzato ad alcuni dati personali legati ai titoli di viaggio". L'azienda fa sapere che, a seguito delle verifiche, ha potuto "identificare i clienti interessati" e inviare loro la comunicazione.
Trenitalia afferma comunque che "non sono stati coinvolti dati di accesso agli account, credenziali personali o informazioni relative ai pagamenti (come il numero della carta, la scadenza o il codice di sicurezza)" e aggiunge di avere "notificato l'accaduto all'Autorità Garante per la Protezione dei Dati Personali e allo Csirt Italia, in conformità alla normativa vigente, e presentato denuncia" alla Procura di Roma.
Ecco il testo integrale della mail
"Gentile Cliente, la informiamo che, a seguito di alcune verifiche, abbiamo rilevato un incidente di sicurezza informatica causato da soggetti esterni non identificati. Questo evento ha determinato un accesso non autorizzato ad alcuni dati personali legati ai titoli di viaggio.
Per individuare con precisione i soggetti interessati potenzialmente coinvolti è stato necessario svolgere approfondite analisi tecniche e di sicurezza da parte delle nostre strutture IT. Queste verifiche hanno richiesto tempo, perché si è trattato di ricostruire nel dettaglio eventuali accessi impropri ai dati. Solo al termine di queste attività siamo stati in grado di identificare i clienti interessati e inviare questa comunicazione, come previsto dall’art. 34 del Regolamento (UE) 2016/679 e in conformità con le Linee guida EDPB n. 9/2022 versione 2.0 del 28 marzo 2023 (punti 86 e ss.).
Ci teniamo a rassicurarla su un punto importante: non sono stati coinvolti dati di accesso agli account, credenziali personali o informazioni relative ai pagamenti (come il numero della carta, la scadenza o il codice di sicurezza).
Le informazioni che La riguardano e che potrebbero essere state oggetto di accesso non autorizzato, qualora presenti sui nostri sistemi informatici in relazione al titolo di viaggio, rientrano nelle seguenti categorie di dati personali: Dati anagrafici e identificativi (nome, cognome, data e luogo di nascita del passeggero; nome e cognome dell’eventuale acquirente); Dati di contatto (e-mail, numero di telefono); Dati di viaggio (informazioni associate al titolo di viaggio, quali, a titolo esemplificativo, tratta, data e orario del viaggio, numero del titolo di viaggio); Codice carta fedeltà, ove associato al titolo di viaggio; Società/ Ente datore di lavoro; Tipologia di offerta o servizio associata al titolo di viaggio e dati necessari a fruire di dette offerte; Estremi documento d'identità; Dati connessi alla generazione del titolo di viaggio.
Non appena rilevato l'evento, abbiamo immediatamente adottato tutte le misure necessarie per interrompere l'anomalia, mettere in sicurezza i sistemi e rafforzare ulteriormente i controlli, così da ridurre il rischio che situazioni simili possano ripetersi.
Abbiamo inoltre notificato l'accaduto all'Autorità Garante per la Protezione dei Dati Personali e allo Csirt Italia, in conformità alla normativa vigente, e presentato denuncia alla Procura della Repubblica presso il Tribunale di Roma. Considerata la tipologia di dati coinvolti, potrebbe esserci il rischio che Lei riceva comunicazioni fraudolente o tentativi di contatto ingannevoli che fanno riferimento ai suoi viaggi. Per questo Le consigliamo di prestare particolare attenzione a eventuali messaggi sospetti, soprattutto se richiedono dati personali o finanziari o contengono link o allegati inattesi. In caso di dubbio, verifichi sempre l'affidabilità del mittente.
Le ricordiamo inoltre che Trenitalia non la contatterà mai per chiederLe password o dati di pagamento. Per qualsiasi chiarimento, abbiamo attivato un servizio di assistenza dedicato (...). Ci scusiamo per quanto accaduto e desideriamo rassicurarLa che la protezione dei dati personali dei nostri clienti è per noi una priorità e continuiamo a lavorare per garantire la massima sicurezza dei nostri sistemi".
