Presentato dal deputato Francesca Ghirra (Alleanza Verdi e Sinistra)
"Al presidente del Consiglio dei ministri, al ministro delle Infrastrutture e dei trasporti, al ministro dell'Economia e delle finanze.
Per sapere, premesso che:
il 26 giugno 2026 Trenitalia ha comunicato ai passeggeri coinvolti di aver subito un incidente di sicurezza informatica causato da soggetti esterni non identificati, con accesso non autorizzato ad alcuni dati personali legati ai titoli di viaggio;
l'azienda ha chiarito che non risultano compromessi dati di pagamento né credenziali di accesso ma l'incidente avrebbe riguardato dati anagrafici e identificativi, recapiti, informazioni relative ai viaggi, codici delle carte fedeltà e, in alcuni casi, estremi di documenti di identità;
si tratta di una distinzione rilevante sul piano tecnico, ma che non riduce il cosiddetto rischio operativo in quanto con tali dati, come confermato da diversi esperti del settore, si costruiscono truffe sofisticate e difficili da riconoscere;
gli strumenti di protezione perimetrale tradizionali sono stati progettati per un modello basato sulla distinzione tra interno ed esterno della rete aziendale, una configurazione che oggi non riflette più la realtà operativa caratterizzata da cloud ibrido, smart working, applicazioni SaaS e identità distribuite;
allo stesso modo, antivirus e firewall tradizionali risultano spesso insufficienti contro minacce avanzate che sfruttano tecniche di evasione, credenziali compromesse e movimenti laterali difficili da individuare;
una protezione efficace richiede capacità di rilevare e rispondere rapidamente ai comportamenti anomali su endpoint, server e identità digitali;
secondo quanto riportato da plurime fonti di stampa l'attacco risalirebbe addirittura al 25 ottobre 2025, mentre la comunicazione agli interessati prevista dall'articolo 34 del Gdpr è stata inviata soltanto il 26 giugno 2026, vale a dire circa otto mesi dopo;
il Gdpr impone al titolare del trattamento di notificare la violazione dei dati all'autorità entro 72 ore dal momento in cui ne viene a conoscenza nonché ove il data breach sia suscettibile di comportare un rischio elevato per i diritti e le libertà delle persone, il titolare è tenuto a informare direttamente anche gli interessati «senza ingiustificato ritardo», affinché possano adottare tempestivamente le misure necessarie per limitare le conseguenze della violazione;
sono ancora nelle more i dovuti e necessari accertamenti sulla dinamica dell'attacco e sulla sua effettiva entità–:
se, per quanto di competenza, abbiano provveduto, ovvero intendano provvedere, ad acquisire con urgenza le necessarie informazioni in merito all'incidente informatico di cui nelle premesse, con particolare riferimento al numero degli utenti coinvolti, alla tipologia dei dati sottratti e alle misure adottate dall'azienda per limitarne gli effetti, anche con riguardo al rischio di attività di phishing e di truffe online;
se il Governo non ritenga necessario adottare iniziative di competenza volte a promuovere l'adozione di strumenti di protezione digitale adeguati e aggiornati, al fine di prevenire il verificarsi di ulteriori incidenti e garantire la tutela dei dati sensibili degli utenti". (4-08386)