L’attacco ha compromesso dati demografici, di contatto e lo storico dei viaggi di un numero ancora non precisato di iscritti al programma, alimentando il timore di truffe mirate e furto d’identità.
[In pillole] La sintesi per chi va di fretta:
Il programma fedeltà Volare di ITA Airways ha subito un attacco informatico che ha esposto i dati personali di un numero non definito di clienti. La compagnia aerea ha confermato un accesso non autorizzato al database contenente nomi, contatti e storico dei viaggi, avvisando gli iscritti via email. Si temono rischi di phishing e truffe sofisticate.
Che cosa è successo, esattamente?
Stando alla notifica ufficiale inviata da ITA Airways, l’attacco ha permesso a soggetti non autorizzati di accedere ai dati personali associati agli account Volare. La compagnia ha ammesso che esistono prove di una possibile copia delle informazioni dall’ambiente compromesso.
Sebbene i dettagli sulla data esatta dell’intrusione e della sua scoperta non siano stati resi pubblici, l’evento si è verificato nei giorni scorsi. L’accesso ha riguardato un insieme di dati piuttosto dettagliato: informazioni demografiche e di contatto, come nomi, indirizzi email, numeri di telefono, date di nascita e indirizzi postali, insieme a dati specifici del profilo Volare, quali il numero del conto fedeltà e lo storico dei viaggi.
Nonostante le rassicurazioni della compagnia, secondo cui i dati delle carte di pagamento e le credenziali di accesso come le password non sarebbero state compromesse, il quadro che emerge è tutt’altro che tranquillizzante.
Gli esperti di sicurezza informatica, infatti, avvertono da tempo che il valore dei dati non si misura solo in termini finanziari diretti.
La combinazione di dettagli anagrafici e abitudini di viaggio, come descritto da The Traveler, costituisce un materiale prezioso per orchestrare truffe sofisticate. Con queste informazioni, è possibile creare messaggi di phishing estremamente convincenti, tentativi di ingegneria sociale o attacchi volti a prendere il controllo di altri account appartenenti alla stessa persona.
Un’email che menziona l’ultimo viaggio effettuato, il saldo punti aggiornato o un’offerta esclusiva legata a una destinazione frequente ha una probabilità molto più alta di ingannare un utente rispetto a un tentativo generico.
Inoltre, gli stessi punti fedeltà sono diventati una sorta di valuta alternativa, che può essere utilizzata per acquistare voli o venduta a prezzi scontati su forum illegali nel dark web.
La natura stessa dei programmi fedeltà li rende un obiettivo attraente. Essi raccolgono e aggregano una quantità enorme di informazioni su un segmento di clientela particolarmente prezioso per l’azienda: i viaggiatori frequenti. L’attacco a Volare, un programma che secondo le dichiarazioni della compagnia conta milioni di iscritti dal suo lancio nel 2022, ha quindi colpito il cuore della base clienti più leale di ITA Airways, persone che hanno fornito volontariamente una mole considerevole di dati personali in cambio di benefici e riconoscimenti.
Tutelare un patrimonio informativo simile richiede infrastrutture impeccabili. Spesso, infatti, il vero bersaglio di queste intrusioni è il Customer Relationship Management (CRM) aziendale, il motore tecnologico dove risiedono centralizzate tutte le anagrafiche e le storicità degli utenti
La risposta di ITA Airways e il contesto normativo
Di fronte a un incidente di questa portata, la reazione di una compagnia che opera in Europa è in gran parte dettata da un preciso quadro normativo. ITA Airways, avendo sede in Italia, è soggetta al Regolamento Generale sulla Protezione dei Dati (GDPR) dell’Unione Europea, che impone obblighi stringenti in caso di violazione dei dati.
Tra questi, vi è la notifica all’autorità di controllo competente, in questo caso il Garante per la protezione dei dati personali, e agli individui interessati entro 72 ore dalla scoperta della violazione. La comunicazione inviata via email ai membri Volare rientra in questa procedura obbligatoria.
La compagnia ha dichiarato di aver avviato un’indagine formale e di aver rafforzato le misure di sicurezza esistenti “attivando ulteriori presidi”, una formulazione che, seppur standard, lascia aperti interrogativi sullo stato delle protezioni prima dell’attacco.
Sono state implementate anche misure tecniche immediate, come il reset forzato delle password per gli account e un potenziamento del monitoraggio per rilevare attività sospette.
Tuttavia, il rischio principale per i clienti, come ammesso dalla stessa ITA nella sua comunicazione, si concentra ora sul phishing e sul furto di identità, come spiegato in dettaglio da DDay.it.
– Leggi anche: Intelligenza artificiale: come un algoritmo di Weill Cornell Medicine riconosce l’insufficienza cardiaca
Persone malintenzionate, armate di nomi, indirizzi, numeri di telefono e cronologia dei viaggi reali, possono facilmente impersonare la compagnia aerea, marchi partner o servizi di assistenza per sollecitare ulteriori informazioni sensibili o per autorizzare transazioni fraudolente.
L’efficacia di queste truffe si basa proprio sulla verosimiglianza delle comunicazioni, resa possibile dalla ricchezza di dettagli ottenuti con la violazione.
La gestione della crisi da parte della compagnia sarà fondamentale non solo per mitigare i danni immediati, ma anche per mantenere la fiducia dei suoi clienti più importanti.
Un attacco di questo tipo non è solo un problema tecnico, ma incide profondamente sul rapporto tra un’azienda e il suo pubblico, un rapporto basato sulla presunzione che le informazioni personali affidate siano custodite con la massima cura.
Ogni incidente simile erode questa fiducia, e recuperarla è un processo lungo e complesso.
Un problema più grande del singolo attacco
L’attacco a ITA Airways non è un fulmine isolato, ma l’ennesima conferma di una tendenza preoccupante che riguarda l’intero settore dell’aviazione e delle infrastrutture critiche.
Queste industrie sono diventate bersagli privilegiati per i criminali informatici per una serie di ragioni: gestiscono un volume immenso di dati personali, operano attraverso sistemi informatici complessi e spesso interconnessi con partner terzi, e rappresentano un punto di accesso a informazioni di grande valore economico e strategico. I vettori di attacco più comuni, in questi casi, sfruttano vulnerabilità nelle applicazioni web, credenziali di accesso compromesse trovate altrove o debolezze nei sistemi di autenticazione. Ciò significa che la blindatura dei canali diretti con i passeggeri non ammette leggerezze. Integrare standard di sicurezza nativi fin dalle prime fasi di sviluppo di applicazioni mobile e piattaforme web rappresenta l’unica vera barriera contro le esfiltrazioni su larga scala.
Il 2025, ad esempio, è stato un anno particolarmente difficile per il settore. A ottobre, Vietnam Airlines ha rivelato che i dati di 7 milioni di clienti erano stati messi in vendita su forum clandestini, a seguito di una violazione originata da una piattaforma di terze parti. A febbraio, è stata la volta della compagnia di bandiera della Costa d’Avorio, Air Côte d’Ivoire, che ha subito un attacco da parte del gruppo ransomware INC, il quale ha rivendicato il furto di circa 208 GB di dati, come documentato da BlackFog nel suo report sullo stato del ransomware.
La vulnerabilità si estende anche oltre le compagnie aeree: Conpet, l’operatore nazionale degli oleodotti rumeni, ha confermato un attacco che ha interrotto i suoi sistemi informatici, con il gruppo ransomware Qilin che ha affermato di aver sottratto quasi 1 TB di documenti interni, inclusi dati finanziari e scansioni di passaporti.
Questi episodi dimostrano come sia le infrastrutture critiche sia i servizi rivolti direttamente ai consumatori siano costantemente sotto pressione. La sfida per aziende come ITA Airways non è solo quella di rispondere efficacemente a un incidente una volta che si è verificato, ma di costruire un’architettura di sicurezza resiliente in grado di prevenire, o almeno contenere, attacchi sempre più sofisticati.
Per i clienti, resta la consapevolezza che la propria identità digitale è frammentata in innumerevoli database, la cui sicurezza è una responsabilità delegata a terzi.
La compagnia ha indicato ai membri di Volare alcune pratiche di prudenza, come cambiare la password del programma, evitare di riutilizzare le stesse credenziali su più servizi e verificare l’autenticità delle comunicazioni prima di rispondere, specialmente se menzionano i dettagli della propria iscrizione o dei propri viaggi.
Consigli ragionevoli, che tuttavia scaricano una parte significativa dell’onere della sicurezza sull’utente finale.
