Unicredit, violati dati 400mila clienti: attacco hacker dall’interno?

27 luglio 2017, di Alessandra Caparello

MILANO (WSI) – Unicredit sotto attacco hacker per ben due volte nell’ultimo anno. Ad annunciarlo è stato lo stesso gruppo bancario guidato da Jean Pierre Mustier secondo cui sono stati violati i dati di ben 400mila clienti italiani, un record per il nostro paese. Nelle ultime ore si è sparsa persino la voce che l’attacco hacker potrebbe provenire dall’interno della banca.

Si tratta di un rumor che sta circolando a Piazza Affari da giovedì, il giorno dopo le rivelazioni sul maxi attacco informatico. Il titolo Unicredit cede l0 0,44% a 16,88 euro in mattinata, in controtendenza rispetto all’andamento del listino in generale che al momento è positivo.

Nello specifico, gli accessi indesiderati degli hacker sono avvenuti uno nei mesi di settembre e ottobre 2016 e un altro proprio a  giugno e luglio 2017. Come spiega l’istituto di piazza Gae Aulenti in una nota:

“Si ritiene che nei due periodi siano stati violati i dati di circa 400.000 clienti in Italia ma non è stato acquisito nessun dato, quali le password, che possa consentire l’accesso ai conti dei clienti o che permetta transazioni non autorizzate. Potrebbe invece essere avvenuto l’accesso ad alcuni dati anagrafici e ai codici IBAN“.

I dati violati sono quelli riguardanti i prestiti personali e, precisa la banca, l’intrusione informatica è avvenuta attraverso un partner commerciale esterno italiano.

La banca ha reso noto di aver immediatamente adottato tutte le azioni necessarie volte ad impedire il ripetersi di tale intrusione informatica, anche in considerazione del fatto che nel piano Transform 2019 sono stati scritti investimenti per 2,3 miliardi proprio alla voce dei sistemi informatici e queste falle aprono interrogativi pericolosi.

Inoltre l’istituto bancario ha messo a disposizione il numero verde dedicato 800 323285 per i clienti che desiderino ulteriori informazioni e ha fatto sapere anche che la banca contatterà i clienti interessati mediante canali di comunicazione specifici. Per ragion di sicurezza sono bandite comunicazione tramite email e telefonate dirette.

In merito al ripetuto attacco ad Unicredit, Cyber Alliance riporta alcune considerazioni sia da parte del responsabile del CyberLab dell’Università Bicocca che alcune riflessioni del portavoce dell’Alliance. Il professor Andrea Rossetti, al vertice del Security Lab dell’Università Bicocca, uno dei pochi che abbina ICT con la Giurisprudenza, in merito all’attacco dell’Istituto Bancario afferma che è “la prima volta in Italia che una banca dichiara pubblicamente e tempestivamente di essere stata vittima di un attacco informatico”.

Primo attacco hacker in Italia a coinvolgere tanti clienti

L’attacco degli hacker arriva dopo due grandi episodi di hacheraggio internazionale, tra maggio e giugno, e mostra come tutti i nostri dati siano sempre più esposti al rischio. “È anche probabilmente la prima volta che un attacco coinvolge un così grande numero di clienti”.

Sembra che, per questa volta e per fortuna, non siano stati sottratti dati che permettano di operare con l’account dei clienti. Non si sa ancora nulla di certo sulle modalità tecniche dell’attacco hacker (e forse non lo sapremo mai), ma sembra – aggiunge il professore – che “l’attacco sia partito sfruttando una vulnerabilità esterna al sistema della banca, attraverso un partner commerciale esterno italiano”.

“La fragilità di un sistema che dovrebbe essere tra i più sicuri è l’ennesima dimostrazione che il problema della sicurezza è un tema che va affrontato a livello sistemico: non basta avere un sistema con cui lavoro sicuro, è necessario che tutti gli accessi al mio sistema siano sicuri! Se ricordate, anche l’hacking dei fratelli Occhionero era partito dalle vulnerabilità esterne al sistema che avevano attaccato”.

È un’ulteriore dimostrazione che la sicurezza non dipende solo dall’aver un sistema sicuro: il comportamento degli utenti che in vari modo accedono al sistema è fondamentale per la sicurezza. PEBKAC dicono gli americani con un acronimo: “Problem Exists Between Keyboard And Chair”, il problema si trova tra la tastiera e la sedia. Già l’anno scorso la Banca centrale europea preannunciava la creazione di un database per registrare e classificare episodi di criminalità informatica presso le banche dell’euro zona. Ma, nonostante tutti sostengano che lo scambio di informazioni sia essenziale per contrastare il problema, la procedura è ancora ai rudimenti, va attivato uno scambio di informazioni tra diversi soggetti, ivi incluse le autorità nazionali”.

Enea Nepentini della Cyber Alliance spiega quanto l’attacco informatico degli hacker minacci l’intero sistema bancario nazionale, partendo dal presupposto che “Unicredit ha un politica sulla sicurezza attenta, attiva e trasparente”. Ma allora “se succede questo fatto di ripetuta violazione a questo nostro prestigioso Istituto Bancario, figuriamoci il resto del settore economico e finanziario“.

La differenza sta nel fatto che “Unicredit ha una policy trasparente, già in linea con quelle che saranno le norme dal 2018, gli altri per nulla. Gli attacchi andati a buon segno sul nostro sistema bancario ci sono, di alcuni si è persa traccia. Si può affermare che quel 36% di danno di immagine per ogni attacco alle informazioni e ai sistemi determina purtroppo la motivazione nel non comunicare, questo però porta ad una contaminazione che va fermata. Gli episodi seri sono molti e a volte non vengono neppure rilevati dagli stessi istituti! Come annunciato dal Professor Rossetti, l’unica risposta valida è quella della circolazione delle informazioni”.

Nepentini spiega come andrebbe aumentata la sicurezza informatica per poter contrastare meglio gli attacchi di hacker del genere. “Con il prezioso e qualitativo aiuto delle Istituzioni Preposte – dice l’esperto – bisogna arrivare ad un programma e un network capace, in tempo reale, di allertare e contrastare! Un circolo di informazioni costanti e immediate possono far salire la sicurezza concentrando anche i vari versanti della sicurezza cyber sul problema mirato. Questo sistema sarebbe così in grado di dare aggiornamenti al momento giusto in modo da contrastare soprattutto i fenomeni più gravi. Su questa proposizione ci si aspetta un ruolo attivo di tutti, istituzioni, società regolamentate e strategiche, società italiane della cyber security che abbiamo e sono tra le prime al mondo”.

Hai dimenticato la password?