Trenitalia : données de voyageurs exposées, notification huit mois après la détection
Trenitalia notifie fin juin 2026 une fuite de données de voyageurs (identité, coordonnées, trajets) détectée le 25 octobre 2025. Identifiants et données bancaires épargnés selon l'opérateur.
- Organisation
- Trenitalia (dont Trenitalia France), groupe Ferrovie dello Stato
- Secteur
- Transport
- Pays
- Italie
- Date des faits
- Attaque détectée le 25 octobre 2025 ; notification des clients italiens à partir du 26 juin 2026 et des clients français le 30 juin 2026 ; Garante privacy, CSIRT Italia et CNIL notifiés, plainte pénale déposée auprès du parquet de Rome
- Ampleur
- Aucun chiffre officiel communiqué par Trenitalia ; la presse italienne avance des estimations contradictoires et non sourcées, de quelques milliers à plusieurs millions de passagers, à traiter comme non vérifiées
- Vecteur
- Accès non autorisé aux systèmes associés à la billetterie par des acteurs externes non identifiés, constaté par Trenitalia elle-même ; la technique d'intrusion n'est précisée par aucune source et aucune revendication publique n'a été identifiée
- Données exposées
- Nom et prénom (voyageur et acheteur), Date de naissance (et lieu de naissance selon certaines sources italiennes), Adresse e-mail, Numéro de téléphone, Itinéraire, date et heure du trajet, Numéro du titre de transport, type d'offre et de service, Code de programme de fidélité, informations sur l'employeur et détails de document d'identité (le cas échéant, selon les sources italiennes)
Trenitalia, l’opérateur ferroviaire national italien (groupe Ferrovie dello Stato), a confirmé fin juin 2026 un accès non autorisé, par des acteurs externes non identifiés, à des données personnelles associées à des titres de transport. L’attaque avait été détectée le 25 octobre 2025 ; l’entreprise indique avoir immédiatement activé des mesures de sécurité, puis mené pendant plusieurs mois des vérifications techniques pour circonscrire le périmètre des données touchées. Les clients italiens n’ont été notifiés qu’à partir du 26 juin 2026, soit environ huit mois après la détection, et la filiale Trenitalia France a notifié ses propres clients le 30 juin, en informant la CNIL.
Les données potentiellement exposées comprennent l’état civil du voyageur et de l’acheteur (nom, prénom, date de naissance), les coordonnées (e-mail, téléphone) et des données de voyage détaillées : itinéraire, date et heure du trajet, numéro du titre de transport, type d’offre et de service. Selon certaines sources italiennes s’ajoutent, lorsque ces éléments figuraient dans les systèmes liés au billet, le code de programme de fidélité, des informations sur l’employeur et des détails de document d’identité. Trenitalia précise explicitement que les identifiants de compte, les mots de passe et les données de paiement (numéro de carte, date d’expiration, CVV) n’ont pas été compromis. L’entreprise a notifié l’autorité italienne de protection des données (Garante) et le CSIRT national, et a déposé plainte auprès du parquet de Rome contre des auteurs non identifiés.
Aucun chiffre officiel de personnes concernées n’a été communiqué : la presse italienne avance des estimations contradictoires et non sourcées, de quelques milliers à plusieurs millions de passagers, qu’il convient de traiter avec prudence. Le vecteur d’intrusion précis n’est détaillé par aucune source, et aucune revendication publique ni publication de données n’a été identifiée pour cet incident, dont le mobile reste inconnu.
Cet incident doit être distingué de deux autres affaires touchant le même groupe : d’une part la cyberattaque par rançongiciel de 2022, qui avait perturbé la vente de billets sans fuite de données comparable ; d’autre part la fuite Almaviva de novembre 2025, du nom d’un prestataire informatique du groupe Ferrovie dello Stato, au cours de laquelle un attaquant avait diffusé 2,3 To de données sur un site Tor (données de passagers, données bancaires, fiches de paie et documents internes touchant Trenitalia, RFI, Mercitalia ou Italferr). Trenitalia dément tout lien entre cette affaire Almaviva et l’incident notifié en juin 2026 ; c’est pourtant vraisemblablement cette confusion qui alimente les estimations en « millions » reprises par certains médias.
Sources
- Attacco hacker su alcuni dati personali clienti di Trenitalia (ANSA)
- Trenitalia hit by hacker attack, some customer data compromised (Il Sole 24 Ore)
- Trenitalia France confirme un incident de sécurité ayant exposé des données personnelles de voyageurs (FrenchBreaches)
- Trenitalia : les données de voyageurs exposées après une cyberattaque (Cyberattaque.org)
- Attacco hacker Trenitalia: ecco tutto quel che sappiamo (Cyber Security 360)