Adempiendo all’obbligo di avviso emergenziale agli interessati imposto dall’art. 34 del GDPR, ITA Airways ha comunicato di aver subito a fine marzo un attacco hacker che ha compromesso il proprio programma fedeltà Volare. Secondo l’email che la compagnia ha inviato agli iscritti, la violazione ha comportato un accesso non autorizzato a “dati anagrafici, dati di contatto e informazioni relative al profilo Volare”. ITA non specifica, ma tra le “informazioni relative al profilo” dovrebbero rientrare le prenotazioni, i punti accumulati, i premi riscossi, i servizi extra, le preferenze e, per alcuni utenti, richieste che possono rivelare dati sensibili come quelle di assistenza aeroportuale o di pasti speciali. Non ci sarebbero, invece, evidenze che siano stati esposti dati di pagamento e credenziali di accesso al profilo personale.

L’episodio mette a repentaglio migliaia di persone che da ora potranno essere vittime di ulteriori attacchi malevoli, questa volta mirati e magari molto sofisticate grazie alle nuove tecniche di social engineering basate sull’intelligenza artificiale. Informazioni personali quali nomi, date di nascita, recapiti fisici e e-mail, numeri telefonici e codici di loyalty membership è un capitale su cui qualsiasi scammer può fondare campagne di ricontatto tanto ingannevoli quanto persuasive. Il contatto malevolo può avvenire in vari modi: non solo tramite e-mail (phishing), ma anche tramite telefonate (vishing), messaggi di testo (smishing), abboccamenti social network o persino di persona. Il tutto perpetrabile per frodare gli interessati inducendoli a rilasciare altri dati personali (in specie, password e codici d’accesso) o a effettuare pagamenti, senza parlare della possibile usurpazione di identità.

Se i dati – come probabile – fossero finiti nel dark web l’esposizione al pericolo sarebbe ancor più eterogenea e di lungo periodo. I cyber-criminali sanno essere pazienti e meticolosi: possono cercare di combinare un dump di dati con informazioni provenienti da altre violazioni per costruire nel tempo dettagliati profili identitari su cui imperniare ruberie e truffe ancor più sofisticate e suadenti ai danni dei malcapitati.

L’accadimento è particolarmente grave anche perché si è verificato – con tutta probabilità, non a caso – in un momento critico. Dal 1 aprile 2026, con l’entrata di ITA Airways nel gruppo Star Alliance guidato da Lufthansa, gli iscritti a Volare saranno forzatamente trasferiti nel programma Miles & More. Un tipo di transizione che solitamente comporta anche una pioggia di comunicazioni verso i membri in cui gli scammer non vedono l’ora di infilarsi: messaggi di benvenuto, informative, richieste di conferma dati e identità, procedure per convertire punti, presentazione di nuovi benefici e promozioni. Avendo già ottenuto i dati degli utenti, approntare con credibilità un contatto dal contenuto ingannevole non solo è un gioco da ragazzi ma è anche una perfomance criminale a baso rischio e ad alta probabilità di successo.

Ai poveri utenti del programma Volare non resta che resettare la password del proprio account e prestare d’ora in poi massima attenzione a qualsiasi forma di contatto e ricontatto che, facendo riferimento alla membership, chieda di cliccare link, conferire dati e inserire codici.

Quello che ha colpito la compagnia di bandiera italiana è solo l’ultimo di una nutrita serie di data breach che ha colpito i passeggeri delle linee aeree a diverse latitudini; evidentemente trattasi di un comparto molto remunerativo per la cyber criminalità. Tra i principali colpi messi a segno, si ricordano:

  • nell’ottobre 2025, a seguito di un attacco vishing ai danni di un call center filippino, i dati personali di quasi 6 milioni di clienti di Qantas Airways sono stati pubblicati nel dark web e, così, messi a disposizione di qualunque lestofante vorrà aggredire i malcapitati. Il medesimo attacco ha compromesso anche un’ingente quantità di i dati di clienti di Vietnam Airlines e Aeromexico, compagnie aeree usufruivano del medesimo service di Manila;
  • nel 2020 un cyberattacco contro EasyJet ha permesso il furto d i dati di 9 milioni di passeggeri (con compromissione di oltre 2.000 carte di credito);
  • nel 20218 sono stati 9,4 i milioni di clienti esposti da una violazione dei sistemi informativi di Cathay Nello stesso anno furono più di mezzo milione le vittime di un attacco a British Airways (con relativa multa da oltre 200 milioni di Euro comminata dall’ICO al vettore per mancata adozione di adeguate misure di sicurezza), stessa sorte per 20.000 utenti dell’app di Air Canada.