Un archivio digitale di proporzioni colossali, stimato in circa 2,3 terabyte, è apparso nelle pieghe più oscure del web. A sostenerne il possesso, chiaramente tutto da dimostrare, è un attore malevolo che punta il dito contro Almaviva e un ampio ventaglio di società del Gruppo Ferrovie dello Stato Italiane.

Il presunto bottino, reso pubblico su una piattaforma nascosta nella rete Tor, viene offerto come trofeo di una compromissione di successo.

Proviamo a capire cosa è successo e quali impatti potrebbe avere questa presunta violazione di dati.

L’incidente e la comunicazione di Almaviva SpA

In un primo momento, si è pensato a una rivendita dei dati estrapolati in seguito all’attacco del 2022 ai danni di RFI a opera del ransomware Hive, in cui Almaviva risultava coinvolta.

Questa ipotesi è stata però smentita oltre cha dalle prime analisi tecniche anche dalla stessa società Almaviva che, intervistata da Cybersecurity360, ha rilasciato una comunicazione ufficiale sulla vicenda che riportiamo per intero: “Nelle settimane scorse i servizi dedicati al monitoraggio della sicurezza hanno individuato e successivamente isolato un attacco informatico che ha coinvolto i nostri sistemi corporate comportando la sottrazione di alcuni dati. Almaviva ha immediatamente attivato le procedure di sicurezza e di contrasto attraverso il proprio team specializzato per questa tipologia di incidenti garantendo la salvaguardia e la piena operatività dei servizi critici. Contestualmente, sono state informate le Autorità preposte – Procura della Repubblica, Polizia Postale, Agenzia Nazionale per la Cybersecurity e Garante della Privacy – e con le stesse, i partner e gli altri soggetti competenti è in corso una stretta collaborazione, al fine di garantire il massimo coordinamento nelle attività di monitoraggio, investigazione e risposta”, afferma Almaviva.

“Le funzionalità e i servizi dei sistemi coinvolti sono rimasti regolarmente attivi, grazie alle misure e alle procedure di continuità operativa specificamente predisposte per questo tipo di scenario. La sicurezza dei dati e la protezione dei nostri clienti, partner e collaboratori rimangono la nostra massima priorità e sarà nostra cura, fatta salva la riservatezza delle indagini in corso, comunicare tempestivamente ogni sviluppo rilevante nel rispetto dei principi di responsabilità e trasparenza”, conclude Almaviva nel suo comunicato ufficiale.

Cosa sappiamo della violazione di dati

Esaminando l’albero delle directory e la nomenclatura dei file resi pubblici dal threat actor si può osservare una precisa cronologia che confermerebbe una fuga di dati più recenti, con documenti operativi, fiscali e amministrativi aggiornati al mese di ottobre 2025.

Nella sua rivendicazione, inoltre, il criminale descrive un archivio di dati composto da repository aziendali condivisi e documentazione tecnica riservata.

Sempre da quanto affermato dalla rivendicazione, nell’archivio di dati rubati sarebbero presenti contratti e accordi di riservatezza (NDA) e altri documenti riservati.

Il leak conterrebbe, inoltre, anche dati personali di passeggeri e informazioni sul personale di quasi tutte le società del gruppo FS, da Mercitalia a Rete Ferrovia Italiana, da Trenitalia a Italferr.

È bene ricordare, comunque, che le attività di monitoraggio, investigazione e risposta all’incidente sono già in corso, così come confermato dalla stessa Almaviva, per cui è opportuno attendere la conclusione delle indagini per avere conferma o meno sull’attendibilità della rivendicazione criminale.