Trenitalia comunica otto mesi dopo di aver subito un attacco informatico: un altro ritardo
Commentidi Nicola Bernardi
Se i ritardi di Trenitalia sono notoriamente oggetto di polemiche da anni, stavolta il ritardo non riguarda un Frecciarossa, ma una comunicazione quantomeno intempestiva che il Gdpr prescrive di inviare a chi ha subìto una grave violazione dei propri dati, così da potergli permettere di avere il tempo per correre ai ripari.
E se il quadro di quanto accaduto sarà effettivamente quello che emerge da un’attenta ricostruzione dei fatti, sarà poi alquanto difficile trovare una giustificazione che possa convincere il Garante per la protezione dei dati personali a chiudere un occhio su un temporaggiamento che si è protratto oltre ogni ragionevole comprensione.
Nei giorni scorsi Trenitalia ha infatti comunicato ai propri clienti di essere stata vittima di un attacco informatico che avrebbe comportato la violazione di dati personali, precisando che non sarebbero stati compromessi dati bancari né credenziali di accesso. A parte la magra consolazione della bassa sensibilità delle informazioni compromesse, il problema è però che l’attacco risalirebbe addirittura al 25 ottobre 2025, mentre la comunicazione agli interessati prevista dall’articolo 34 del Gdpr è stata inviata soltanto il 26 giugno 2026, vale a dire circa otto mesi dopo.
Il Gdpr prevede infatti due obblighi ben distinti: da una parte impone al titolare del trattamento di notificare la violazione dei dati all’autorità entro 72 ore dal momento in cui ne viene a conoscenza. Dall’altra stabilisce che, quando il data breach è suscettibile di comportare un rischio elevato per i diritti e le libertà delle persone, il titolare debba informare direttamente anche gli interessati “senza ingiustificato ritardo”, affinché possano adottare tempestivamente le misure necessarie per limitare le conseguenze della violazione.
Ed è proprio quest’ultimo obbligo a sollevare oggi gli interrogativi più delicati nella vicenda che riguarda Trenitalia, che nella propria comunicazione ha spiegato di avere completato solo adesso le analisi forensi, e ricostruito con precisione la dinamica dell’attacco, così da essere in grado di informare i clienti effettivamente coinvolti. Una giustificazione che richiama le Linee guida del Comitato europeo per la protezione dei dati, secondo cui il titolare può impiegare il tempo strettamente necessario per comprendere l’estensione dell’incidente prima di inviare comunicazioni che potrebbero risultare incomplete o inesatte.
Ma le stesse Linee guida si fondano su un principio molto semplice: la comunicazione agli interessati deve arrivare quando è ancora utile.
Perché il senso dell’articolo 34 non è quello di soddisfare un adempimento burocratico, ma di consentire alle persone di difendersi per prestare particolare attenzione a e-mail, sms e telefonate sospette, diffidare di comunicazioni apparentemente provenienti dal titolare del trattamento, monitorare possibili tentativi di phishing o di furto d’identità, modificare le proprie abitudini digitali: tutte contromisure che hanno efficacia solo se adottate tempestivamente.
In un arco di tempo invece così lungo, è chiaro che gli hacker avrebbero infatti già avuto tutto il tempo necessario per sfruttare le informazioni sottratte per i propri scopi criminali. Serve quindi a poco chiudere la stalla quando i buoi sono ormai scappati da otto mesi.
A questo punto, l’attenzione si sposta inevitabilmente sul Garante, a cui spetta il compito di valutare se le circostanze tecniche del caso fossero realmente tali da giustificare un’attesa così lunga prima di informare gli interessati.
Paradossalmente, questa volta il ritardo potrebbe far discutere più dell’attacco informatico, con la differenza che mentre un treno che tarda può far perdere una coincidenza, invece un avviso che arriva otto mesi dopo rischia di far perdere agli interessati l’unica possibilità che avrebbero avuto di proteggere la propria privacy.
