// MACITYNET — CYBERSECURITY
Attacco hacker Trenitalia, dopo Booking e Eataly ancora una volta accesso ai dati anagrafici in chiaro
Questo sito contiene link di affiliazione per cui può essere compensato
Booking, Eataly e ora Trenitalia. Un accesso non autorizzato da parte di soggetti esterni ha esposto i dati personali legati ai titoli di viaggio di un numero ancora non comunicato di clienti: nome, cognome, data e luogo di nascita, contatti, tratte, estremi dei documenti d’identità, datore di lavoro. Trenitalia rassicura che credenziali e dati di pagamento non sono stati toccati.
Valerio Pastore, Founder di CyberGrant, parla delll’incidente di sicurezza che ha colpito i sistemi di Trenitalia: «Si protegge bene ciò che la norma impone di cifrare, le password, il dato di pagamento, e si lascia in chiaro tutto il resto».
«Il resto, in questo caso, è un profilo completo. Un nome associato a un documento d’identità, a una tratta percorsa, a un’azienda per cui si lavora non è un dato neutro. È la materia prima del phishing su misura. Chi compra quei record sul dark web non li rivende per esercizio: li usa per costruire messaggi che citano il viaggio reale del destinatario, il treno preso davvero, la data esatta. Trenitalia stessa lo scrive nella comunicazione ai clienti, quando avverte di diffidare da contatti che fanno riferimento ai propri viaggi. È l’ammissione precisa di quello che sta per succedere: i dati rubati diventano lo script di una frode credibile, e la vittima non ha modo di distinguerla da una comunicazione vera».
Vale la pena fermarsi sulla formula esatta della comunicazione: “Un accesso non autorizzato ad alcuni dati personali”. Tre parole che dicono molto. Quando un attaccante entra e raggiunge un archivio di dati anagrafici, vuol dire che dentro al sistema quei dati erano accessibili a chi non avrebbe dovuto vederli. Il controllo degli accessi serve esattamente a questo: a fare in modo che le informazioni siano leggibili solo da chi ne ha titolo, e che un account compromesso non apra l’intero database. Se chi entra con una credenziale rubata o sfruttando una falla si ritrova davanti i record di migliaia di clienti in chiaro, il problema non è solo come è entrato. È che, una volta dentro, non ha trovato nessuna seconda barriera: né permessi granulari sul singolo dato, né cifratura che rendesse inutile ciò che riusciva a leggere.
«C’è un livello in più, qui, che con Booking e Eataly non c’era» spiega Pastore, «Il trasporto ferroviario rientra tra i settori ad alta criticità dell’Allegato I della NIS2 (D.lgs. 138/2024), e un operatore delle dimensioni di Trenitalia è un soggetto essenziale. Significa obblighi rafforzati sulla gestione del rischio, sul controllo degli accessi, sull’uso della cifratura, sulla notifica degli incidenti, e responsabilità diretta dei vertici. La notifica al Garante e allo CSIRT Italia è stata fatta. Resta la domanda che la NIS2 pone esattamente su questo punto: se cifratura e gestione degli accessi sono requisiti espliciti della direttiva, perché i dati anagrafici dei clienti erano leggibili senza alcun passaggio intermedio una volta superato il confine?».
«Perché continua a valere l’assunto sbagliato. Si cifra il dato che la compliance segnala come critico e si considera il resto a basso rischio, fino al giorno in cui qualcuno entra e dimostra che a basso rischio non era. Il danno non è solo del cliente che riceverà la truffa. È dell’azienda, che dopo settimane di analisi tecniche per ricostruire l’accaduto si trova a comunicare un evento già propagato, con un costo reputazionale che pesa più della sanzione».
«Un dato non cifrato alla nascita non si protegge dopo. Quando l’attaccante è dentro, il perimetro non esiste più, e l’unica cosa che decide la gravità dell’incidente è lo stato in cui trova i dati: se sono leggibili da chiunque sia riuscito a entrare, o se restano protetti e inaccessibili anche a chi ha superato il confine. Booking, Eataly, Trenitalia: tre infrastrutture diverse, tre attacchi diversi, una sola causa che si ripete. Non sono casi limite. Sono il default».
Per tutte le notizie sulla sicure