skip to content
Gravité élevée confirmée

Trenitalia : données de voyageurs exposées, notification huit mois après la détection

Trenitalia notifie fin juin 2026 une fuite de données de voyageurs (identité, coordonnées, trajets) détectée le 25 octobre 2025. Identifiants et données bancaires épargnés selon l'opérateur.

Organisation
Trenitalia (dont Trenitalia France), groupe Ferrovie dello Stato
Secteur
Transport
Pays
Italie
Date des faits
Attaque détectée le 25 octobre 2025 ; notification des clients italiens à partir du 26 juin 2026 et des clients français le 30 juin 2026 ; Garante privacy, CSIRT Italia et CNIL notifiés, plainte pénale déposée auprès du parquet de Rome
Ampleur
Aucun chiffre officiel communiqué par Trenitalia ; la presse italienne avance des estimations contradictoires et non sourcées, de quelques milliers à plusieurs millions de passagers, à traiter comme non vérifiées
Vecteur
Accès non autorisé aux systèmes associés à la billetterie par des acteurs externes non identifiés, constaté par Trenitalia elle-même ; la technique d'intrusion n'est précisée par aucune source et aucune revendication publique n'a été identifiée
Données exposées
Nom et prénom (voyageur et acheteur), Date de naissance (et lieu de naissance selon certaines sources italiennes), Adresse e-mail, Numéro de téléphone, Itinéraire, date et heure du trajet, Numéro du titre de transport, type d'offre et de service, Code de programme de fidélité, informations sur l'employeur et détails de document d'identité (le cas échéant, selon les sources italiennes)

Trenitalia, l’opérateur ferroviaire national italien (groupe Ferrovie dello Stato), a confirmé fin juin 2026 un accès non autorisé, par des acteurs externes non identifiés, à des données personnelles associées à des titres de transport. L’attaque avait été détectée le 25 octobre 2025 ; l’entreprise indique avoir immédiatement activé des mesures de sécurité, puis mené pendant plusieurs mois des vérifications techniques pour circonscrire le périmètre des données touchées. Les clients italiens n’ont été notifiés qu’à partir du 26 juin 2026, soit environ huit mois après la détection, et la filiale Trenitalia France a notifié ses propres clients le 30 juin, en informant la CNIL.

Les données potentiellement exposées comprennent l’état civil du voyageur et de l’acheteur (nom, prénom, date de naissance), les coordonnées (e-mail, téléphone) et des données de voyage détaillées : itinéraire, date et heure du trajet, numéro du titre de transport, type d’offre et de service. Selon certaines sources italiennes s’ajoutent, lorsque ces éléments figuraient dans les systèmes liés au billet, le code de programme de fidélité, des informations sur l’employeur et des détails de document d’identité. Trenitalia précise explicitement que les identifiants de compte, les mots de passe et les données de paiement (numéro de carte, date d’expiration, CVV) n’ont pas été compromis. L’entreprise a notifié l’autorité italienne de protection des données (Garante) et le CSIRT national, et a déposé plainte auprès du parquet de Rome contre des auteurs non identifiés.

Aucun chiffre officiel de personnes concernées n’a été communiqué : la presse italienne avance des estimations contradictoires et non sourcées, de quelques milliers à plusieurs millions de passagers, qu’il convient de traiter avec prudence. Le vecteur d’intrusion précis n’est détaillé par aucune source, et aucune revendication publique ni publication de données n’a été identifiée pour cet incident, dont le mobile reste inconnu.

Cet incident doit être distingué de deux autres affaires touchant le même groupe : d’une part la cyberattaque par rançongiciel de 2022, qui avait perturbé la vente de billets sans fuite de données comparable ; d’autre part la fuite Almaviva de novembre 2025, du nom d’un prestataire informatique du groupe Ferrovie dello Stato, au cours de laquelle un attaquant avait diffusé 2,3 To de données sur un site Tor (données de passagers, données bancaires, fiches de paie et documents internes touchant Trenitalia, RFI, Mercitalia ou Italferr). Trenitalia dément tout lien entre cette affaire Almaviva et l’incident notifié en juin 2026 ; c’est pourtant vraisemblablement cette confusion qui alimente les estimations en « millions » reprises par certains médias.