Un pesante e complesso attacco hacker ha colpito Trenitalia, il suo sito e soprattutto il database dei suoi clienti. L’azienda in questa ore sta informando alcuni clienti, tramite mail, di aver “rilevato un incidente di sicurezza informatica causato da soggetti esterni non identificati” che ha causato “un accesso non autorizzato ad alcuni dati personali legati ai titoli di viaggio”.
L’azienda fa sapere che, a seguito delle verifiche, ha potuto “identificare i clienti interessati” e inviare loro la comunicazione.
Trenitalia afferma comunque che “non sono stati coinvolti dati di accesso agli account, credenziali personali o informazioni relative ai pagamenti (come il numero della carta, la scadenza o il codice di sicurezza)” e aggiunga di avere “notificato l’accaduto all’Autorità Garante per la Protezione dei Dati Personali e allo Csirt Italia, in conformità alla normativa vigente, e presentato denuncia” alla Procura di Roma.
Il commento dell’avvocato esperto
Andrea Lisi, avvocato, tra le voci più autorevoli nel campo del diritto applicato all’informatica, titolare dello Studio Legale Lisi (Lecce), presidente di ANORC Professioni e direttore del progetto DIGEAT, interviene sul data breach che ha colpito Trenitalia.
“Il Data breach subito da Trenitalia è un Episodio gravissimo. Lo stiamo apprendendo in queste ore. Ancora una volta, un’infrastruttura critica per il nostro Sistema Paese è stata oggetto di un attacco che non può essere minimizzato né derubricato a semplice incidente informatico”.
“Si tratta di una violazione – spiega l’avvocato – che colpisce il cuore della nostra resilienza nazionale, con implicazioni che vanno ben oltre i dati compromessi. Questo caso dimostra, con evidenza drammatica, quanto sia urgente e non più rinviabile elevare a livelli altissimi l’attenzione sulla cyber protection e sulla security. Non si tratta di compartimenti stagni, ma di due discipline che devono necessariamente collaborare in modo sinergico, attraverso la costituzione di team interdisciplinari capaci di presidiare non solo la componente tecnologica – pur fondamentale – ma soprattutto il fattore umano, che resta l’anello più debole della catena della custodia dei dati”.
“Occorre comunque avere il coraggio della schiettezza. Noi viviamo in un paradosso tutto contemporaneo: mentre ci indigniamo giustamente per violazioni di sistemi “protetti”, quotidianamente pubblichiamo sui social network, in modo del tutto volontario e spesso spensierato, una mole enorme di dati personali – anche intimi – che meriterebbero ben altra riservatezza. Esponiamo abitudini, relazioni, luoghi, opinioni, foto, geolocalizzazioni e informazioni sensibili con una disinvoltura che, in altri contesti, troveremmo sconcertante. Questo è il paradosso dei nostri tempi: pretendiamo sicurezza dalle istituzioni e dalle infrastrutture, ma siamo i primi a indebolire collettivamente la nostra stessa resilienza digitale, e con essa anche le infrastrutture di cui facciamo parte. La vera cultura della sicurezza non può essere solo reattiva, né demandata esclusivamente a firewall e protocolli crittografici. Deve essere culturale, prima ancora che tecnica: deve partire dalla consapevolezza individuale e organizzativa, dalla formazione continua, dalla responsabilità condivisa. La protezione delle infrastrutture – a maggior ragione quelle critiche ed essenziali – e dei dati dei cittadini non è un costo: è un investimento strategico sulla sovranità e sulla sicurezza nazionale e riguarda tutte e tutti noi”.
