Violati i dati di 400.000 clienti Unicredit. L’attacco ha colpito i sistemi di un fornitore

Il 26 luglio scorso Unicredit ha emesso un comunicato stampa per avvisare il pubblico “di aver subito una intrusione informatica in Italia con accesso non autorizzato a dati di clienti italiani relativi solo a prestiti personali. Tale accesso è avvenuto attraverso un partner commerciale esterno italiano”.

La violazione ha riguardato i dati di circa 400.000 clienti Italia. La banca precisa che “non è stato acquisito nessun dato, quali le password, che possa consentire l’accesso ai conti dei clienti o che permetta transazioni non autorizzate. Potrebbe invece essere avvenuto l’accesso ad alcuni dati anagrafici e ai codici IBAN”.

Il data breach – stando all’agenzia Reuters – sarebbe stato scoperto grazie ad un controllo di routine nella notte tra il 24 e il 25 luglio, e il CEO di UBIS (la legal entity che si occupa dei sistemi IT del Gruppo) ha avviato immediatamente un’investigazione. Secondo le iniziali ricostruzioni, “una prima violazione sembra essere avvenuta nei mesi di settembre e ottobre 2016, mentre è stata appena individuata una seconda intrusione avvenuta nei mesi di giugno e luglio 2017”.

UniCredit ha immediatamente informato le autorità competenti e formalizzato un esposto alla Procura di Milano. Il Gruppo ha avviato uno specifico audit sul tema ed “immediatamente adottato tutte le azioni necessarie volte ad impedire il ripetersi di tale intrusione informatica”.

Contestualmente, Unicredit ha subito attivato le procedure per portare l’evento a conoscenza degli interessati e per fornire loro tutte le informazioni utili. Lo ha fatto:

tramite il summenzionato comunicato stampa;
mettendo a disposizione il numero verde dedicato 800 323285 per i clienti che desiderino ulteriori informazioni;
avvisando che il “personale della propria filiale di riferimento è naturalmente a disposizione per qualsiasi ulteriore informazione”;
precisando che la banca “contatterà i clienti interessati mediante canali di comunicazione specifici. Per ragioni di sicurezza non verranno utilizzate la posta elettronica o le telefonate dirette”.

Considerata la tipologia di dati violati (solo anagrafici e IBAN, nessuna credenziale di autenticazione), dal punto di vista del rischio per i clienti, è praticamente impossibile che essi vedano svuotato il proprio conto tramite uso illecito di queste sole informazioni. Il pericolo è, più che altro, di natura indiretta. I dati potrebbero essere venduti nel “dark web” e finire in mano a malintenzionati interessati a raccogliere tutte quelle informazioni utili a sviluppare forme di raggiro. I malviventi digitali potrebbero infatti utilizzare tali dati per ben qualificarsi agli occhi degli interessati, guadagnando così la loro fiducia: potrebbero innestarsi attività di phishing, e-mail e telefonate finalizzate al compimento di frodi.

Anche Unicredit potrebbe subire danni da un utilizzo malizioso delle informazioni rubate: i clienti del comparto prestiti potrebbero essere contattati da terzi concorrenti ed invitati alla sottoscrizione di “offerte più vantaggiose”. Tutto questo, al netto del danno d’immagine che l’azienda sta già cercando di tamponare.

Quanto accaduto rappresenta il più rilevante data breach in ambito creditizio del 2017 in Europa e il primo vero attacco informatico ad un istituto bancario italiano.

Alcuni analisti lo sostengono da tempo: benché rappresenti uno dei comparti digitalmente più avanzati, il sistema creditizio nazionale deve produrre ancora molti sforzi per elevare il livello di sicurezza dell’informazione. Unicredit è una di quelle entità che gli sforzi li sta producendo e non può essere tacciata di inerzia sul punto.

Il Gruppo ha, fin dal 2016, avviato un piano industriale su base triennale (denominato Transform 2019) che prevede, tra le altre cose, l’investimento di 2,3 miliardi di euro sul versante della sicurezza informatica. Per motivi professionali, Privacy.it ha potuto toccare con mano come e quanto questi investimenti si stiano effettivamente traducendo in molteplici attività di upgrade delle misure fisiche, procedurali, tecnologiche ed organizzative finalizzate al rafforzamento della tutela delle informazioni digitali. Una strategia di innovazione del data management che, ovviamente, prevede un serio piano di adeguamento ed allineamento alle disposizioni del GDPR che saranno operative dal maggio 2018 ed a cui sappiamo il Gruppo sta già concretamente lavorando. Tali sforzi sembrano aver anticipatamente prodotto alcuni effetti apprezzabili a fronte dell’inauspicato “crash test” della settimana scorsa: con riguardo alla gestione del post data breach, Unicredit ha dimostrato di possedere – quanto a tempestività ed organizzazione della risposta – modalità e tempi di reazione richiesti dalla prossima normativa.

Sono molte le sfide che attendono le aziende italiane con l’entrata in vigore del nuovo Regolamento europeo. Tra queste, ci sono sicuramente il rafforzamento delle misure di sicurezza, l’investimento su strumenti di incident detection, lo sviluppo di procedure reattive di data breach notification & communication, e – su tutto – la strutturazione di un sistema di data governance che veda pienamente coinvolti i referenti privacy. L’insieme delle azioni deve confluire in un piano organico che permetta di dimostrare (anche presso le Autorità o in giudizio) che l’azienda ha fatto tutto il possibile per prevenire o mitigare gli effetti di simili attacchi.

Ma il caso in questione accende, a nostro avviso, i riflettori su un ulteriore elemento di criticità: la vulnerabilità del fornitore o del partner commerciale. Benché non siano disponibili dettagli sull’accaduto e non si conoscano ruolo e identità del fornitore, appare evidente come i sistemi di quest’ultimo siano stati individuati dagli hacker quale anello debole della filiera e, quindi, come target idoneo per un’incursione.

Quello della data security & data privacy del fornitore è, tornando ad osservazioni di ordine generale, un item troppo spesso sottovalutato, tanto più in uno scenario di business in cui l’affidamento verso l’esterno è pratica largamente invalsa. Con l’entrata in vigore del GDPR, l’azienda che esternalizza servizi “ad impatto privacy” dovrà selezionare (ai sensi dell’art. 28) ancor più scrupolosamente i propri partner, ottenendo anticipatamente da questi tangibili garanzie in tema di sicurezza e compliance, e stendendo con attenzione la contrattualistica di outsourcing: una scelta, quella relativa al fornitore, di cui l’azienda potrebbe essere chiamata a rispondere e che – se dovesse rivelarsi inadeguata – renderebbe il Titolare sanzionabile secondo i durissimi parametri edittali della nuova normativa (fino a 20 milioni di euro o 4% del fatturato).

Dal canto suo, il fornitore – oltre che osservare le specifiche istruzioni del Titolare – dovrà adeguarsi minuziosamente al GDPR se non vuole che un incidente (un domani giudicato evitabile) lo possa esporre sia a responsabilità contrattuali verso il committente che alle pesantissime sanzioni del Regolamento. Il GDPR, come accennato, innescherà meccanismi molto selettivi: le aziende committenti – per proteggersi – diverranno parecchio rigorose nella scelta dei partner e l’outsourcer che si facesse trovare impreparato all’appuntamento del maggio 2018 rischierà di essere giudicato inaffidabile e, pertanto, di essere rapidamente tagliato fuori dal mercato.

Le aziende diverranno sempre più selettive nella scelta dei data processor esterni non solo per tutelarsi dai profili sanzionatori del GDPR, ma anche per evitare che un affidamento inadeguato possa un giorno produrre pesanti ricadute sull’immagine e sulla reputazione aziendale. Il quotidiano “bollettino di guerra” dei data breach finirà presto per disseminare una nuova consapevolezza nei vertici aziendali: per quanto si possano profondere immani sforzi ed investimenti per irrobustire il proprio perimetro di sicurezza, e per quanto si possano elaborare strategie di comunicazione per rendere percepibile al pubblico il proprio impegno nella tutela dell’informazione, la fragilità di un service provider potrà vanificare tutto in un attimo. I titoli dei media, nella loro concisione, non faranno tante distinzioni. E l’attacco ai dati dei clienti Unicredit (reso possibile dalla vulnerabilità di un fornitore), lo dimostra: la notizia del data breach ha guadagnato titoli sulle principali testate nazionali ed internazionali. Titoli che, se passati in rapida rassegna, lasciano una sola sensazione: la banca s’è fatta rubare i dati dei clienti.

Sezioni

Categorie

Artificial Intelligence

Big Data

Biometria

Cloud

Data Transfer

Droni

E-commerce

Finance & Insurance

GDPR

Internet of Things

Lavoro

Localization

Marketing

Minori

News

Oblio

P.A.

Salute & E-health

Search Engine

Security & Cybercrime

Smart City & Life

Smart Device

Social Media

Sorveglianza Governativa

Varie

Videosorveglianza