Unicredit: sistemi violati. Rubati i dati di 3 milioni di clienti

È stata la banca stessa ad annunciare, con questa nota, il gravissimo leak che risalirebbe al 2015: un leak grave per dimensioni e per sensibilità dei dati rubati. Il comunicato di Unicredit è piuttosto spartano, privo di dettagli tecnici. Parla di un “incidente” che ha coinvolto un file risalente al 2015 e contenente informazioni sensibili di clienti dell’istituto. La buona notizia è che non paiono essere stati sottratti, così afferma Unicredit, le credenziali di accesso dei servizi di home banking, quindi l’Istituto esclude ripercussioni dirette sui conti dei clienti vittime del furto dei propri dati.

Cosa si sa per adesso

Come detto, i dettagli tecnici sono pochissimi: quel che è certo è che un attaccante sconosciuto è riuscito ad accedere ai server di Unicredit e compromettere un file, creato nel 2015, contenente 3 milioni di record appartenenti esclusivamente a clienti italiani della banca.

Tra le informazioni sottratte si trovano:

nome e cognome
città di residenza
numero di telefono
indirizzo email

Unicredit Bank ha escluso categoricamente la compromissione non solo delle credenziali di accesso all’home banking, ma anche di altri tipi di dettagli finanziari e personali: nessuno dei dati rubati cioè può mettere l’attaccante in condizione di accedere ai conti dei clienti e/o effettuare transazioni non autorizzate.

Non sono state diffuse informazioni sul come sia avvenuto tale attacco, ma anche sul quando Unicredit è parca di dettagli: si può supporre, leggendo la nota sopra menzionata, che l’attacco sia avvenuto proprio nel 2015, quindi che la violazione risalga a 4 anni fa. Ed è verosimile pensarlo anche perchè, anche se non ci sono riscontri ufficiali, alcuni organi di stampa esteri (la notizia è rimbalzata un pò in tutta Europa e non solo) riportano che la scoperta della violazione sia avvenuta proprio in conseguenza del ritrovamento del database in questione nel Dark Web.

Unicredit ha annunciato di aver avviato immediatamente una indagine sull’accaduto, segnalando la violazione alle autorità italiane e al Garante per la Privacy, secondo gli obblighi previsti dal GDPR. Nel frattempo l’Istituto si sta occupando di contattare e avvisare individualmente i clienti riguardanti dal furto dei propri dati, anche tramite notifiche via banking online.

Ci pare corretto però ricordare, sopratutto se si è clienti Unicredit, che ad indagini in corso, è assai arduo, forse eccessivamente avventato, escludere categoricamente che non siano stati trafugati altri dati oltre a quelli indicati sopra e che, comunque, anche i dati il cui furto è stato accertato non sono comunque dati meno importanti o sensibili di altri. Consigliamo, da questo punto di vista, la lettura di questa breve riflessione di Alessandro Papini, presidente di Accademia Italiana Privacy.

I precedenti

Non è la prima volta che Unicredit è vittima di un incidente di questo tipo: i tecnici della banca avevano scoperto due data breach molto simili, avvenuti uno tra Settembre e Ottobre 2016 e l’altro da Giugno e Luglio 2017. I due data breach avevano compromesso la sicurezza dei dati di oltre 400.000 clienti.

Nell’Ottobre 2018 invece sempre Unicredit è stata vittima di un tentativo di intrusione ai servizi di banking online, notificato il giorno dopo al Garante per la Privacy: 731.000 circa i clienti che potevano essere riguardati dalla violazione. I sistemi di sicurezza IT e il team di cyber esperti di Unicredit sventarono il tentativo di intrusione che avrebbe potuto compromettere dati come nome, cognome, codice fiscale, il codice identificativo del cliente e il REB (ovvero un codice identificativo per l’accesso ai servizi bancari). I tecnici di Unicredit bloccarono in quell’occasione 6.856 account, compromessi dall’individuazione del PIN prima che l’intrusione fosse bloccata e gli attaccanti esclusi dalla rete.

Dati i precedenti quindi, Unicredit ha concluso la nota con la quale denuncia il data breach odierno dettagliando le risorse e gli sforzi spesi negli ultimi 3 anni per aumentare la sicurezza dei propri sistemi e dei dati: si parla di oltre 2.4 miliardi di euro investiti in aggiornamento e rafforzamento dei sistemi IT e dell’introduzione di sistemi di autenticazione più sicuri della mera password, come la password usa e getta o l’identificazione biometrica.