Treni italiani, trenitalia comunica otto mesi dopo un attacco informatico: ritardo

• Pubblicato il • 4 min
Treni italiani, trenitalia comunica otto mesi dopo un attacco informatico: ritardo

Un ritardo nelle comunicazioni può trasformarsi in un problema ancora più serio quando riguarda la protezione dei dati personali. Nel caso che coinvolge Trenitalia, l’attenzione si concentra su tempi di informazione giudicati discutibili rispetto a quanto previsto dal GDPR, con conseguenze che, secondo la ricostruzione dei fatti, emergono in modo particolarmente critico per gli interessati.

violazione dati Trenitalia e comunicazione GDPR: nodo centrale dei tempi

Trenitalia ha informato i propri clienti di essere stata vittima di un attacco informatico che avrebbe comportato la violazione di dati personali. Nella comunicazione è stato specificato che non sarebbero stati compromessi dati bancaricredenziali di accesso.

Il punto, però, riguarda la durata tra l’evento e l’avviso agli interessati. L’attacco, secondo quanto emerge, risalirebbe al 25 ottobre 2025, mentre la comunicazione prevista dall’articolo 34 del GDPR sarebbe stata inviata il 26 giugno 2026, cioè circa otto mesi dopo.

obblighi GDPR distinti: autorità entro 72 ore e interessati senza ingiustificato ritardo

Il GDPR delinea due obblighi che devono seguire binari differenti. Da un lato impone la notifica della violazione all’autorità di controllo entro 72 ore dalla conoscenza dell’incidente. Dall’altro stabilisce, quando il data breach è suscettibile di determinare un rischio elevato per diritti e libertà delle persone, l’obbligo di informare anche gli interessatisenza ingiustificato ritardo”.

analisi forensi e rischio elevato: perché il ritardo pesa sulle valutazioni

Nel quadro della vicenda, Trenitalia ha indicato che le analisi forensi sarebbero state completate solo successivamente. L’azienda afferma di aver ricostruito con precisione la dinamica dell’attacco per poter informare i clienti effettivamente coinvolti.

La spiegazione richiamerebbe le Linee guida del Comitato europeo per la protezione dei dati, secondo cui il titolare può impiegare il tempo strettamente necessario per comprendere l’estensione dell’incidente prima di inviare comunicazioni che rischierebbero di risultare incomplete o inesatte.

articolo 34: comunicare quando l’informazione serve davvero

Le stesse indicazioni richiamate poggiano su un principio essenziale: la comunicazione agli interessati deve arrivare quando può ancora essere utile. L’articolo 34 non nasce come formalità, ma come strumento per consentire alle persone di attivare misure concrete di tutela.

In particolare, l’avviso serve a promuovere attenzione su e-mail, sms e telefonate sospette, a diffidare di comunicazioni che possano apparire provenienti dal titolare, a monitorare tentativi di phishing o di furto d’identità, oltre a modificare abitudini digitali nel tempo utile a limitare le conseguenze della violazione.

ritardo di otto mesi e possibili effetti: attenzione puntata sul Garante

Quando l’intervallo tra l’incidente e l’informazione è così esteso, l’efficacia delle contromisure perde terreno, poiché l’attacco avrebbe potuto consentire agli aggressori di utilizzare le informazioni sottratte per scopi criminali già nei mesi precedenti. La valutazione diventa quindi centrale per l’autorità competente.

A questo punto l’attenzione si sposta inevitabilmente sul Garante, chiamato a stabilire se, nel caso specifico, le circostanze tecniche fossero davvero tali da giustificare un’attesa di tale durata prima di informare gli interessati.

come cambia la percezione della vicenda: la comunicazione incide sulla tutela privacy

In questa prospettiva, il ritardo potrebbe risultare più rilevante dell’episodio di intrusione in sé, poiché un avviso tardivo rischia di sottrarre alle persone l’unico momento in cui avrebbero potuto difendere la propria privacy con tempestività. La questione si lega direttamente all’obiettivo dell’articolo 34: fornire informazioni capaci di attivare comportamenti di protezione ancora efficaci.

contesto editoriale del blog “sostenitore”

Nel materiale di contesto presente nel testo è indicato che il blog ospita post scritti dai lettori che hanno scelto di contribuire alla crescita della testata sottoscrivendo l’offerta Sostenitore. La selezione e la pubblicazione dei contenuti tra i post inviati avverrebbero tramite Peter Gomez e la redazione. Il blog viene descritto come uno spazio nato da un’idea dei lettori e orientato a renderlo un luogo di contributo continuativo.

Risulta inoltre che aderire a Sostenitore comporterebbe un coinvolgimento più diretto, con la possibilità di partecipare a iniziative e campagne. È citato un prezzo associato e viene indicata la possibilità di seguire in diretta streaming la riunione di redazione del giovedì, con invio di suggerimenti, notizie e idee in tempo reale, oltre all’accesso a un forum riservato per discutere e interagire con la redazione.

persone menzionate nel testo

  • Peter Gomez
Trenitalia comunica otto mesi dopo di aver subito un attacco informatico: un altro ritardo
Categorie: NewsCronacaTecnologia
Tag: #phishing#Garante privacy#data breach#Trenitalia#GDPR#attacco informatico#violazione dati#articolo 34 GDPR

Per te