Un accesso non autorizzato a tre milioni di dati di clienti italiani Unicredit. Lo stesso istituto di credito ha segnalato l’incidente, che riguarda riguarda un file creato nel 2015: la banca sta provvedendo a informare gli interessati, dopo aver avvertito le autorità. I dati compromessi comprendono nomi, numeri di telefono, città ed email, ma non gli accessi al contro corrente.
Il rischio per gli utenti quindi al momento non è una diretta violazione del proprio conto ma “l’essere soggetti a truffe da parte chi, utilizzando i dati sottratti, si finge Unicredit per contattare i clienti. Bisogna quindi fare attenzione a email e messaggi particolari, la banca avvisa solo via posta cartacea o via home banking”, precisa Alessio Pennasilico, partner P4I.
Indice degli argomenti
L’incidente Unicredit
I dati compromessi risalgono al 2015, ma il momento preciso in cui è avvenuto l’incidente non è chiaro. Bisogna considerare che il tempo medio in Europa per accorgersi di una violazione supera i duecento giorni (fonte Ponemon). In corso un’indagine interna, oltre a quella avviata dalle autorità, per capire cosa sia successo. Secondo una prima ricostruzione dell’accaduto, i criminali informatici avrebbero avuto accesso ai dati e li avrebbero diffusi sul dark web: arrivata questa informazione a Unicredit, sarebbe stata scoperta anche la manomissione.
Gabriele Faggioli, AD di P4I e presidente di Clusit, sottolinea come “il caso di accesso non autorizzati a dati di tre milioni di clienti che vede coinvolta Unicredit, che peraltro non è il primo portato alle cronache, è preoccupante perché rende chiaro come ancora oggi sia possibile accedere illegittimamente a file con milioni di persone presenti all’interno”.
La banca tempestivamente ha informato le autorità (il Cnaipic, cioè il centro della Polizia postale che si occupa del contrasto ai crimini informatici e alla protezione delle infrastrutture critiche, e il Garante per la privacy) e sta procedendo a comunicare la situazione anche ai clienti, solo via notifiche online sul proprio home banking o tramite lettere cartacee. Un atteggiamento che dimostra “come Unicredit anche questa volta come nel precedente del 2017 si sia mostrata molto preparata – specifica Pennasilico -. Lo rivela un gesto importante e corretto, quello di informare sull’accaduto dicendo quante e quali informazioni hanno perso riservatezza”.
Quanto è accaduto “può succedere. La grande sfida che le aziende oggi devono affrontare è quella della complessità. Fare in modo che tutto sia sempre perfetto, in un contesto come quello attuale è una prova importante”, aggiunge Pennasilico. Unicredit da parte sua “ha il compito di abbassare la frequenza di questi episodi e fare in modo che abbiano il minor impatto possibile. Ma dire che non accadranno mai è impossibile, la pressione degli attacchi è davvero tanta”.
I rischi per gli interessati: come proteggersi
I rischi per gli utenti è di subire phishing e raggiri. Faggioli precisa: “Bisogna prestare attenzione al fatto che, come dichiarato ufficialmente, oltre al nome del cliente sono stati compromessi e-mail, indirizzo e telefono il che potrebbe permettere tentativi di phishing o comunque di frodi particolarmente credibili. Tutti i clienti della Banca devono quindi prestare attenzione a qualunque tipo di comunicazione dovesse giungere nei prossimi mesi procedendo alla verifica della autenticità dei messaggi in ogni caso anche solo sospetto”.
I criminali quindi con i dati sottratti non potranno accedere ai conti direttamente, ma hanno le informazioni necessarie per contattare gli interessati e simulare comunicazioni da parte della banca: “Bisogna fare attenzione. Unicredit comunica solo per posta cartacea o tramite online banking. Non bisogna cliccare sui link presenti in eventuali email che sembrano provenire dalla banca”, consiglia Pennasilico.
Il rischio è di venir truffati e a quel punto perdere davvero i propri soldi. L’attenzione da porre sul tema va considerata sempre: “Bisogna anche ricordare che quando si danno i propri dati c’è sempre il rischio che qualcuno li manipoli“. Ovviamente, sottolinea Faggioli, “ci si augura che le banche prendano poi ogni precauzione per evitare che fatti di questa entità si possano ripetere in futuro”.
