Tra il mese di giugno e il mese di agosto del 2025 sono state colpite quattro compagnie aeree. L’ultima in ordine di tempo è Air France – KLM, costole del medesimo gruppo che – rispettivamente – sulle fusoliere sfoggiano le bandiere francese e olandese.

In precedenza è stato il turno di Qantas Airways e, poco prima, di WestJet (Canada) e della compagnia aerea americana Hawaiian Airlines.

Non si tratta quindi di casi isolati e non si tratta di fulmini a ciel sereno tant’è che l’FBI, lo scorso mese di luglio, ha diramato un allarme per sensibilizzare le compagnie, individuate come vittime preferenziali durante il periodo in cui le persone tendono a viaggiare di più.

C’è ancora un certo disallineamento nell’attuazione di alcune imposizioni della direttiva NIS2, soprattutto relativamente all’obbligo delle organizzazioni di supervisionare la resilienza delle imprese partner.

Le lezioni che questa ennesima violazione consente di trarre sono due e lapidarie: c’è ancora tanto lavoro da fare e, considerando le recenti violazioni che hanno coinvolto alberghi e hotel, i rischi a cui sono esposti i turisti cambiano volto.

Il data breach di Air France e KLM

Un copione già visto. Il problema ha coinvolto un fornitore esterno utilizzato per la gestione del servizio clienti. I criminali hanno avuto accesso a una quantità di dati imprecisati dei clienti e le informazioni sono ancora frammentarie tant’è che, al momento in cui scriviamo, sul sito web della compagnia, non è stato pubblicato un comunicato ufficiale.

Diverse fonti terze dichiarano che sono stati trafugati:

• nomi e cognomi dei clienti;
• contatti (email e numeri di telefono);
• dati del programma fedeltà Flying Blue;
• l’oggetto delle email di richieste inviate al servizio clienti.

Le medesime fonti insistono sul fatto che non sarebbero stati violati dati sensibili quali documenti di identità, password e carte di credito.

Informazione inutile e pericolosa: non sono stati trafugati perché non disponibili sulle piattaforme gestite dal fornitore di Air France KLM e, non di meno, fino a quando si continuerà a sostenere che ci sono dati meno sensibili di altri, si creeranno condizioni prolifiche per i cyber criminali.

Se è vero che l’entità dei dati andrebbe prioritizzata per ordine di sensibilità, la loro protezione non dovrebbe renderli seppure parzialmente sacrificabili.

Le autorità francesi e olandesi sono state allertate e i clienti coinvolti sono stati contattati. Le norme attuali sono così state rispettate, anche se le relazioni con il pubblico appaiono perfettibili.

Il precedente

A gennaio del 2023 le due compagnie aeree hanno subito un attacco non dissimile, questa volta mirato al database del programma Flying Blue che consente l’accumulo di miglia.

Anche in quest’occasione il vettore aereo ha allertato le autorità competenti e ha contattato i clienti i cui dati sono stati violati.

Non è rarissimo che un’organizzazione cada più volte nelle mire dei criminal hacker anche perché, come abbiamo spiegato parlando del data breach subita da ACEA, gestire e mettere in sicurezza architetture e software eterogenei rappresenta una difficoltà oggettiva che fa il gioco dei malfattori.

La capacità dei criminal hacker di ritornare a delinquere sul luogo del delitto è una realtà con la quale consumatori e utenti devono prendere le misure: è già accaduto e accadrà ancora.

Il parere dell’esperto

Lo scenario delle minacce cambia a velocità sostenuta e in modo repentino. Orientarsi in un caos simile è compito non sempre facile.

Per comprendere meglio cosa sta succedendo e con quale cura alcune aziende trattano i dati dei clienti, abbiamo chiesto il supporto di Michele Pinassi, responsabile della Sicurezza Informatica all’Università di Siena.

Perché vengono prese di mira le compagnie aeree?

“Temo che la domanda debba essere diversa, ovvero ‘perché vengono prese di mira anche le compagnie aeree‘: analogamente a tutte le altre realtà aziendali e istituzionali bersaglio degli attacchi da parte delle gang cybercriminali, anche quest’ultime trattano preziosi dati personali che vengono utilizzati come vero e proprio prodotto in vendita sui forum. A cui si aggiunge, in questi casi, anche il forte aumento di viaggiatori degli ultimi anni, che hanno arricchito le banche dati delle compagnie aeree delle informazioni personali dei loro clienti.

Tuttavia, gli attacchi sono svolti in modo del tutto opportunistico: ovunque venga individuata una falla, che nel caso di KLM e Air France è stata individuata sulla piattaforma di un fornitore terzo, i cyber criminali ne approfittano per perpetrare i loro attacchi, dal furto di dati ad attacchi ransomware, a seconda sia del contesto che della specializzazione della gang che compie l’attacco.

Dobbiamo infatti considerare che la Rete è continuamente scandagliata da sistemi automatizzati (bot) che individuano potenziali vulnerabilità in poche decine di secondi (alcuni studi indicano che i primi ‘probe’ arrivano entro 60 secondi dalla messa in Rete di un server). Anche laddove non vi siano vulnerabilità evidenti, la complessità di molte piattaforme oggi è talmente alta che, talvolta, è sufficiente un banale errore di programmazione o uno 0-day in una libreria di terze parti (ricordiamo bene il caso Log4J) perché un attacco possa andare a buon fine”.

Cosa possono fare gli utenti per proteggere i propri dati?

“Purtroppo, il mercato dei dati personali è ancora molto forte, complice anche la debolezza intrinseca delle nostre società sul tema dell’identificazione online: ricordo, tanto per fare un esempio, che un documento di identità non prevede meccanismi di revoca.

Una carta di identità certifica l’identità del possessore fino alla data di scadenza lì indicata, senza possibilità di revoca anticipata. Pochi ne sono a conoscenza ma il ministero dell’Interno mette a disposizione una piattaforma online per la ricerca di documenti rubati o smarriti (qui il link), dove inserendo il numero del documento si ha la possibilità di verificare se è stata sporta denuncia di furto o smarrimento.

Chiaramente, andrebbe usata ogni qualvolta si presenta la necessità di verificare una identità, soprattutto attraverso le piattaforme online o da remoto, così che il verificatore possa respingere richieste basate su documenti rubati o smarriti.

A questo si aggiunge un altro aspetto squisitamente procedurale, ovvero che un documento di identità ha validità solamente se presentato in originale (teoricamente, fotocopie o fotografie non dovrebbero mai essere usate per certificare l’identità) entro, appunto, la data di scadenza: siamo però abituati, anche per comodità, ad espletare svariate pratiche che includono l’identificazione inviando la foto del documento, magari allegata ad una mail o via chat: oltre a non essere del tutto valida, come modalità, inconsapevolmente si immettono in Rete svariate copie del documento di cui si perde anche il controllo.

Per ridurre la possibilità di usi indebiti di queste copie, sarebbe buona norma applicare un watermark sulla foto del documento (esistono anche strumenti online) indicandone lo scopo o il destinatario ufficiale, prima dell’invio a terzi”.

Ha davvero senso, per le aziende violate, aggrapparsi al fatto che tra i dati esfiltrati non ce ne sono di “sensibili”? Va da sé che un indirizzo email è meno sensibile di un numero di carta di credito, ma le conseguenze della violazione in sé cambiano molto a seconda dell’entità dei dati sottratti?

“Comprendendo l’esigenza strategica delle aziende colpite di minimizzare l’accaduto, anche a fronte delle sanzioni previste dalle normative europee, Regolamento UE 2016/679 GDPR in primis, sappiamo bene quanto non sia solamente il dato in sé ad essere prezioso (soprattutto quando parliamo di dati personali non particolari) quanto la correlazione di più dati relativi a un individuo, che ne possano evidenziare aspetti invece particolari, come ad esempio l’essere un frequent flyer, magari verso certe mete o in certi periodi, oppure privilegiare certi orari rispetto ad altri o puntare su voli economici e via dicendo.

Insomma, quello che il GDPR prevede all’articolo 9 quando parla di “categorie particolari di dati”, che sono tutte quelle informazioni ‘personali idonee a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale’. La valutazione sul potenziale rischio per l’utente, quindi, non dovrebbe essere fatta esclusivamente valutando la singola violazione ma l’insieme di dati diffusi illecitamente in Rete come conseguenza di multiple violazioni. Esistono piattaforme online dove, inserendo l’indirizzo e-mail, è possibile ricavare un elenco dei data breach nei quali tale indirizzo è presente: banalmente, già dall’elenco dei servizi violati nel quale esiste una certa mail è potenzialmente possibile ricavare informazioni utili sulle abitudini del proprietario.

È evidente, quindi, come la protezione dei dati personali rappresenti una sfida urgente e prioritaria per tutte le realtà che effettuano trattamenti delle informazioni dei clienti, dai dati più comuni a quelli particolari, come già previsto dalla normativa. Oltre a questo, però, è altresì necessaria una sensibilizzazione dell’utenza per arrivare sia ad avere strumenti legali di tutela maggiormente efficaci, che un uso delle tecnologie più attento e coerente con il mondo contemporaneo. Ad esempio, superando gli attuali paradigmi di identificazione personale basati sul possesso fisico di tessere di plastica che, come purtroppo abbiamo visto, non offrono più adeguate tutele in caso di furto o smarrimento”.