Trenitalia, Eataly, Consiglio d'Europa: una settimana di attacchi e cosa insegna alle aziende
In pochi giorni tre organizzazioni molto diverse tra loro, i treni, la grande distribuzione alimentare e un'istituzione europea per i diritti umani, hanno comunicato di aver subito una violazione dei propri sistemi. Nessun settore è al riparo, e la vera differenza tra chi limita il danno e chi lo subisce fino in fondo si gioca prima dell'attacco, non dopo.
Tempo di lettura: 7 minuti · Trenitalia · Eataly · Consiglio d'Europa · Cosa hanno in comune · Come possiamo aiutarti · FAQ
Trenitalia: violati i dati di viaggio di alcuni passeggeri
Trenitalia ha comunicato ai clienti coinvolti un incidente di sicurezza informatica che ha portato a un accesso non autorizzato ad alcuni dati personali legati ai titoli di viaggio, causato secondo l'azienda da soggetti esterni non identificati. Tra le informazioni potenzialmente esposte figurano dati anagrafici, recapiti, dettagli del viaggio come tratta e orario, codice della carta fedeltà ed estremi del documento d'identità, mentre l'azienda ha escluso il coinvolgimento di credenziali di accesso e dati di pagamento. Trenitalia ha notificato l'accaduto al Garante per la Protezione dei Dati Personali e al CSIRT Italia, e ha presentato denuncia alla Procura della Repubblica di Roma.
Il punto critico: mesi tra l'attacco e la comunicazione
L'intrusione risalirebbe a ottobre 2025, mentre la comunicazione ai clienti è arrivata solo il 26 giugno 2026: un divario di diversi mesi che l'azienda attribuisce alla complessità delle verifiche tecniche necessarie per ricostruire con precisione gli accessi e identificare le persone coinvolte. Il rischio principale segnalato riguarda ora comunicazioni fraudolente e tentativi di spear phishing costruiti su dati di viaggio reali, che risultano più credibili proprio perché corretti.
Fonte: CyberSecItalia
Eataly: attacco all'e-commerce, dati anagrafici a rischio
Eataly ha subito un attacco informatico alla propria piattaforma e-commerce, notificando l'incidente sia al Garante che al CSIRT Italia ai sensi di GDPR e NIS2. Tra i dati potenzialmente esposti figurano dati anagrafici, codici fiscali, recapiti e storico degli acquisti, mentre le password sono risultate cifrate correttamente e non risulta un download effettivo dei dati. Ne avevamo già parlato in modo approfondito, con la timeline completa della risposta e le scadenze NIS2 2026 da tenere d'occhio, nell'articolo L'attacco a Eataly e la NIS2: cosa cambia per le aziende italiane.
Consiglio d'Europa: 297 GB di dati sottratti da ShinyHunters
Il gruppo estorsivo ShinyHunters ha rivendicato la violazione dei sistemi del Consiglio d'Europa, l'organizzazione con sede in Francia che riunisce 46 Stati membri, dichiarando di aver sottratto oltre 429.000 file per circa 297 gigabyte provenienti da risorse umane, Segretariato e Assemblea Parlamentare. Tra il materiale rivendicato figurerebbero quindici anni di buste paga di oltre diecimila dipendenti, curriculum, fascicoli personali e dati bancari, fiscali e sanitari. Il Consiglio d'Europa ha dichiarato di essere al lavoro per verificare l'accaduto, senza confermare pubblicamente l'entità del danno al momento della rivendicazione.
Il punto critico: uno zero-day che ha colpito oltre cento organizzazioni
Diversi esperti collegano l'attacco a una vulnerabilità zero-day nel software gestionale Oracle PeopleSoft, già sfruttata dallo stesso gruppo, secondo Mandiant identificato anche come UNC6240, per compromettere circa 300 istanze appartenenti a oltre cento organizzazioni nel mondo, in gran parte università. È un esempio diretto di come un singolo punto debole in una piattaforma enterprise molto diffusa possa trasformarsi in una campagna su larga scala prima ancora che il fornitore rilasci una patch ufficiale.
Fonte: Byte.it
I tre casi a colpo d'occhio
| Organizzazione | Cosa è stato colpito | Notifica |
|---|---|---|
| Trenitalia | Dati di viaggio e anagrafici dei passeggeri | Garante Privacy e CSIRT Italia, denuncia in Procura |
| Eataly | Piattaforma e-commerce, dati anagrafici e acquisti | Garante Privacy e CSIRT Italia ai sensi di GDPR e NIS2 |
| Consiglio d'Europa | Sistemi HR e paghe, dati bancari e sanitari | Indagine interna in corso, nessuna conferma pubblica al momento della rivendicazione |
Cosa hanno in comune questi tre casi
Al di là del settore e della gravità, i tre episodi condividono un filo conduttore utile per qualunque azienda. Il primo è che i dati apparentemente secondari, come una tratta ferroviaria, uno storico di acquisti o una busta paga, sono in realtà tra i più preziosi per chi organizza truffe mirate, perché rendono credibile un messaggio fraudolento molto più di una password rubata. Il secondo è che la velocità della comunicazione fa la differenza tra un incidente gestito e uno che si trascina: Eataly ha comunicato entro pochi giorni, Trenitalia dopo mesi di verifiche tecniche, e proprio quel divario temporale è oggi al centro delle critiche più severe. Il terzo è che la catena di fornitura tecnologica resta un punto debole strutturale, come dimostra il caso del Consiglio d'Europa: una singola vulnerabilità su una piattaforma enterprise diffusa può trasformarsi in un incidente per oltre cento organizzazioni contemporaneamente, indipendentemente da quanto siano solide le loro difese interne.
Il risultato pratico è che NIS2 e GDPR non vanno più trattati come due adempimenti paralleli gestiti da uffici diversi, ma come un unico processo coordinato tra team tecnico, legale e privacy, capace di rispettare contemporaneamente i tempi di notifica al CSIRT Italia, entro 24 ore per la pre-notifica e 72 per la notifica completa, e quelli verso il Garante quando è coinvolta una violazione di dati personali.
Come possiamo aiutarti
La domanda utile, dopo aver letto tre casi come questi, non è se un incidente possa capitare, ma se la tua azienda saprebbe gestirlo con la stessa rapidità e trasparenza viste nei casi meglio gestiti. Un buon punto di partenza è il nostro Self-Assessment NIS2 gratuito, che restituisce un report preliminare con priorità di intervento senza salvare alcun dato sul server. Per chi ha bisogno di una valutazione più approfondita, inclusa la mappatura dei fornitori critici che, come nel caso PeopleSoft, possono trasformare un problema altrui nel proprio problema, c'è l'Audit NIS2 Preliminare, con analisi delle vulnerabilità, monitoraggio OSINT e Dark Web e un report finale con azioni correttive puntuali.
Domande frequenti
Perché aziende di settori così diversi vengono colpite nello stesso periodo?
Perché tutte gestiscono grandi volumi di dati personali facilmente monetizzabili, e gli attaccanti seguono le vulnerabilità disponibili più che un settore specifico: una piattaforma enterprise diffusa o un e-commerce mal protetto sono bersagli concreti indipendentemente dal comparto in cui opera l'azienda.
Perché i dati di viaggio o di acquisto sono pericolosi anche senza password rubate?
Perché permettono di costruire messaggi fraudolenti estremamente credibili facendo riferimento a eventi reali, come un viaggio effettivamente prenotato o un acquisto realmente effettuato, ed è proprio questa credibilità a rendere efficace lo spear phishing.
Quanto tempo può passare tra un attacco e la sua comunicazione ai clienti?
La normativa richiede di notificare senza ingiustificato ritardo, ma le verifiche tecniche per ricostruire con certezza chi sia stato coinvolto possono richiedere tempo: il caso Trenitalia mostra però che un divario di mesi tra l'evento e la comunicazione può diventare oggetto di critiche pubbliche e istituzionali, anche quando la normativa lo consente in casi di reale complessità accertativa.
Cosa può fare un'azienda per ridurre il rischio legato ai fornitori tecnologici?
Mappare i fornitori critici e le piattaforme enterprise utilizzate, verificarne gli standard di sicurezza e includere nei contratti obblighi chiari su notifica degli incidenti e diritto di audit, perché una vulnerabilità del fornitore può diventare un incidente proprio nel giro di poche ore.
Approfondisci su Alchimie Digitali
Fonti ufficiali della notizia: CyberSecItalia per il caso Trenitalia, Cybersecurity360 per il caso Eataly, e Byte.it per il caso Consiglio d'Europa.
