Ita Airways ha comunicato ai clienti del programma fedeltà Volare di aver subito, “nei giorni scorsi”, unattacco informatico con accesso non autorizzato ai dati personali e possibile copia delle informazioni.

Attacco a Ita Airways, violati dati Volare

Secondo il testo inviato agli iscritti, la violazione ha riguardato dati anagrafici, dati di contatto e informazioni relative al profilo Volare. La compagnia precisa invece che non risultano compromessi dati di pagamento, password o credenziali di accesso.

La comunicazione arriva a ridosso della chiusura operativa di Volare, prevista per il 30 marzo 2026, e a pochi giorni dall’ingresso di Ita Airways nel programma Miles & More del gruppo Lufthansa, annunciato dalla società il 20 marzo con decorrenza dal 1° aprile 2026. Evento che aumenta il rischio phishing per gli utenti Volare.

Perché Ita ha scritto direttamente agli iscritti

Il riferimento normativo richiamato nella mail è l’articolo 34 del regolamento ue 2016/679 GDPR. Quella disposizione prevede che il titolare del trattamento comunichi una violazione dei dati personali agli interessati “senza ingiustificato ritardo” quando il data breach è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche. Il Garante privacy italiano, nella sua sezione dedicata ai data breach, ricorda a sua volta che la comunicazione diretta agli utenti scatta proprio nei casi in cui l’incidente possa avere un impatto significativo sulle persone coinvolte

Nel caso Volare, il rischio indicato da Ita non è l’accesso agli account tramite password sottratte, almeno sulla base delle evidenze oggi disponibili, ma l’aumento di tentativi di phishing, smishing e furto d’identità. È una distinzione importante: chi dispone di nome, cognome, recapiti e dettagli di profilo può costruire messaggi molto credibili, anche senza possedere le credenziali di accesso. L’Agenzia per la cybersicurezza nazionale richiama da tempo l’attenzione proprio su questo schema: email, sms e telefonate costruiti per indurre l’utente a consegnare password, codici o altri dati personali.

Quali dati risultano coinvolti nell’attacco Ita-Volare

La formulazione usata da Ita Airways delimita il perimetro, ma non chiarisce ancora il numero degli interessati né il volume delle informazioni eventualmente copiate. La compagnia parla di dati anagrafici e di contatto e di “informazioni relative al profilo Volare”. Non è un dettaglio secondario, perché il profilo fedeltà può contenere elementi utili a profilare il cliente, ricostruire abitudini di viaggio o rendere più persuasive le frodi mirate.

Sul sito Ita, inoltre, le condizioni del sistema Travel id spiegano che l’ecosistema digitale della compagnia può includere dati di profilo, storico di acquisti e prenotazioni, richieste di assistenza e altre informazioni usate per personalizzare i servizi. Non ci sono elementi pubblici, finora, per dire che tutte queste categorie siano state effettivamente coinvolte nel breach notificato agli iscritti Volare, ma il contesto fa capire perché la società abbia invitato gli utenti a un surplus di cautela.

“La notifica lascia alcune domande aperte: non vengono indicati né il vettore d’attacco né la natura dell’attacco (motivazione finanziaria o politica). Non è chiaro se siano state adottate misure proattive come il reset forzato delle password o il monitoraggio attivo di eventuali abusi successivi”, dice l’esperto cyber Pierluigi Paganini.

Il nodo del tempismo, tra fine di Volare e passaggio a Miles & More: cosa rischia l’utente

Il tempismo dell’attacco è significativo. “Mi fa pensare che il data breach è arrivato a pochi giorni dalla chiusura del programma fedeltà Volare. Se si tratta di una casualità è veramente straordinaria. Se non lo è sarebbe l’ennesima dimostrazione della notevole capacità di analisi delle opportunità da parte dei criminali”. “Quale momento migliore di effettuare una campagna di phishing mirato sugli utenti di Volare se non quando devono migrare a un altro programma e migrare i loro account”, spiega l’esperto cyber Alessandro Curioni.

Il 20 marzo 2026 Ita Airways ha annunciato ufficialmente che dal 1° aprile entrerà in Miles & More come partner pienamente integrato del gruppo Lufthansa. Il regolamento di Volare, pubblicato sul sito del programma, stabilisce che fino al 30 marzo 2026 incluso i membri possono ancora accumulare e usare punti secondo le regole del periodo di estensione. Questo passaggio crea un contesto perfetto per campagne fraudolente costruite ad hoc: notifiche sul trasferimento dei programmi, richieste di aggiornamento account, finte verifiche di identità, false procedure per conservare punti o benefici.

“Sebbene sulla base delle evidenze attuali non risultano compromessi dati finanziari o credenziali di accesso il rischio per gli utenti non è trascurabile”, dice Paganini. “Come spesso accade in questi casi, la natura “limitata” dei dati esposti (anagrafica e contatti) non deve essere sottovalutata: tali informazioni possono essere sfruttate da attaccanti per campagne di phishing mirato o attacchi di social engineering”.

Al momento non ci sono elementi pubblici che colleghino l’attacco al processo di integrazione industriale, e sarebbe improprio suggerirlo. C’è però una coincidenza temporale che aumenta la superficie di rischio per gli utenti dal punto di vista del social engineering.

Le contromisure annunciate da Ita Airways

Nella comunicazione agli iscritti, Ita afferma di avere rafforzato le misure di protezione già esistenti, di avere avviato indagini e verifiche tecniche e di avere informato “tempestivamente” il Garante per la protezione dei dati personali e le autorità competenti.

Al momento non risultano pubblicati, nelle fonti aperte consultate, ulteriori dettagli tecnici sulla dinamica dell’attacco, sul vettore iniziale di compromissione o su eventuali sistemi isolati. Questo lascia aperte tre domande sostanziali: quando è avvenuto esattamente l’accesso non autorizzato, per quanto tempo gli attaccanti sono rimasti nei sistemi e quanti iscritti siano stati coinvolti. Sono i dati che servono per misurare davvero la gravità dell’incidente.

Che cosa cambia per i clienti, che devono fare

Il primo effetto è operativo. Gli utenti Volare dovranno considerare sospetta qualsiasi comunicazione che chieda di cliccare su link, inserire credenziali, dettare codici o confermare dati personali, soprattutto se fa leva sull’urgenza del passaggio a Miles & More o sulla presunta necessità di salvare punti e status. Ita, nella mail, invita in via precauzionale anche ad aggiornare la password dell’account Volare.

È una misura prudenziale coerente con le raccomandazioni generali di sicurezza, benché la compagnia precisi che password e credenziali non risultano compromesse. Le linee del Travel id pubblicate da Ita ricordano inoltre che l’utente è tenuto a proteggere i propri dati di accesso e a cambiare immediatamente la password in caso di sospetto abuso.

Concorda Paganini, che offre i seguenti consigli:

• Cambiare immediatamente la password dell’account Volare, di altri servizi dove si usa la medesima password.
• Attivare, se disponibile, l’autenticazione a due fattori (2FA).
• Prestare particolare attenzione a email, SMS o telefonate che fanno riferimento a ITA Airways o al programma Volare: anche comunicazioni apparentemente legittime potrebbero essere fraudolente.
• Non cliccare su link sospetti e verificare sempre il dominio del mittente.
• Monitorare eventuali accessi anomali ai propri account e segnalare subito attività sospette.
• Utilizzare password uniche e complesse.

In sintesi, pur non trattandosi di una violazione con impatti immediatamente critici, il rischio indiretto per gli utenti è concreto e richiede un atteggiamento prudente e consapevole nei giorni e nelle settimane successive alla notifica.

Un incidente che riporta al centro la filiera della loyalty

I programmi fedeltà sono da anni un bersaglio appetibile: concentrano dati personali, cronologia relazionale con il brand e, spesso, un valore economico collegato a punti, premi e vantaggi. Nel caso di Ita Airways il danno, per come è stato descritto finora, sembra collocarsi soprattutto sul terreno della fiducia e dell’esposizione a frodi successive più che su quello dell’accesso diretto agli account o della sottrazione di carte di pagamento.

Ma è proprio questa la lezione più concreta del caso Volare: anche quando non vengono toccate password e dati finanziari, un set di informazioni personali e di contatto può bastare per aprire una seconda fase molto più insidiosa, quella degli attacchi mirati contro gli utenti.

La prossima verifica non riguarda solo l’origine tecnica dell’incidente. Riguarda la capacità di Ita Airways di chiarire rapidamente ampiezza, impatto e tempi del breach, mentre accompagna i clienti fuori da Volare e dentro il nuovo ecosistema Miles & More. È lì che si misurerà la tenuta della risposta, prima ancora del danno già subito.