HACKER CON POCA FANTASIA: SEMPRE ALL'ATTACCO DI UNICREDIT! - INTRUSIONE IN 3 MILIONI DI PROFILI - I PIRATI HANNO POTUTO ESTRARRE NOMI, INDIRIZZI, EMAIL E CELLULARI. MA NON PASSWORD E CODICI, QUINDI NESSUNA OPERAZIONE FINANZIARIA - IL GENERALE RAPETTO: ''È IL QUARTO ATTACCO IN POCHI ANNI. A MUSTIER, CHE È MOLTO CONCENTRATO SUI LICENZIAMENTI, SUGGERISCO…''
1. ATTACCO AI CLIENTI DI UNICREDIT: GLI HACKER IN 3 MILIONI DI PROFILI
Gian Maria De Francesco per “il Giornale”
Unicredit è stata oggetto di un attacco hacker. Ieri l' istituto guidato da Jean Pierre Mustier ha segnalato un caso di «accesso non autorizzato a dati relativo a un file generato nel 2015» contenente circa 3 milioni di profili italiani relativi a nomi, città, numeri di telefono ed e-mail. La banca ha precisato che «non sono stati compromessi altri dati personali, né coordinate bancarie in grado di consentire l' accesso ai conti dei clienti o l' effettuazione di transazioni non autorizzate».
Occorre, infatti, ricordare che ormai tutti i sistemi di digital banking prevedono la doppia autenticazione o con chiave di accesso inviata sullo smartphone o direttamente con i parametri biometrici se si usano le App.
Unicredit ha immediatamente avviato un' indagine interna e ha informato tutte le autorità competenti, compresi l' unità Cnalpic della polizia postale e il Garante della privacy. Piazza Gae Aulenti sta inoltre contattando, esclusivamente tramite posta tradizionale e/o notifiche via online banking, tutte le persone potenzialmente interessate (attivato il numero verde 800323285).
Poiché l' attacco si è verificato nel 2015, non dovrebbero esserci sanzioni da parte del Garante in base alla normativa Gdpr, entrata completamente in vigore l' anno scorso, che prevede l' erogazione di multe alle aziende che subiscono attacchi cyber perdendo dati dei propri clienti. Le associazioni dei consumatori, tuttavia, hanno invitato tutti gli utenti a prestare la massima attenzione in quanto l' indirizzo mail e i numeri di cellulare (per quanto a volte recuperabili anche dai social network) potrebbero essere oggetto di phishing.
L' istituto ha poi ricordato che il piano strategico «Transform», che si conclude quest' anno, ha previsto investimenti per 2,4 miliardi di euro nei sistemi di Information technology. «Abbiamo un approccio di continuo investimento per rafforzare la sicurezza dei nostri clienti», ha dichiarato il co-Chief operating officer di Unicredit, Ranieri De Marchis.
Nonostante l' attenzione e le risorse dedicate alla cyber security, Unicredit - come altri grandi banche italiane - è stata «vittima» negli anni scorsi di attacchi hacker.
jean pierre mustier con elkette versione disegno
Come è possibile che in istituzioni così grandi si possano aprire delle «falle» (leaks, in inglese)? «Le multinazionali moderne, ad alto grado di complessità continuano a seguire modelli organizzativi a compartimenti stagni, spesso trascurando che la trasversalità dei processi It», spiega Genséric Cantournet, ceo e fondatore di Kelony, agenzia di valutazione del rischio e già advisor di Unicredit, sottolineando che «questa separazione, basata su prassi standard di risk management, non consente di certificare la validità di servizi, funzioni e applicazioni ancor prima che si verifichi un incidente».
Ieri in Borsa Unicredit ha guadagnato lo 0,42% a 11,58 euro.
2. SIGNORI HACKER, SMETTETELA DI INFIERIRE SU UNICREDIT. L’ARTICOLO DI RAPETTO
Umberto Rapetto per www.startmag.it
Non credevo che gli hacker fossero così monotoni, tanto da giocare sempre la stessa partita e da far rimbombare lo sgradevole slogan “ti piace vincere facile” di un noto spot pubblicitario.
UNICREDIT - LE TORRI DI CESAR PELLI
Non credevo nemmeno che un istituto di credito “di primaria importanza”, come si diceva una volta, potesse trasformarsi in una palestra in cui giovani ed irrequieti virgulti della pirateria digitale hanno modo di addestrarsi nel più rocambolesco free-climbing.
Il 26 luglio 2017 i dati di 400mila persone, che si erano rivolte a Unicredit per ottenere crediti personali, sono finiti nelle mani sbagliate e chi vuol sapere cosa è successo può leggere direttamente il comunicato stampa di chi si è visto saccheggiare gli archivi elettronici.
Un anno fa, il 21 ottobre 2018 secondo il comunicato di Unicredit, qualche “mattacchione” (è così che si immagina benevolmente chi attacca i sistemi informatici) ha sgraffignato nomi, cognomi, codici fiscali e codici identificativi di 731.519 clienti di Unicredit (così come si legge in un provvedimento del Garante della privacy), acquisendo anche le password di 6.859 utenti, cui è poi stato fortunatamente bloccato l’accesso una volta scoperta l’intrusione.
Nella seconda metà di gennaio 2019, parecchi correntisti della medesima banca si sono visti recapitare per posta una lettera che li informava di un tentativo di violazione dei loro dati (il cui esito non è noto ma legittimamente immaginabile).
Adesso salta fuori la storia dei tre milioni di utenti – naturalmente sempre di Unicredit – che, inclusi in un vecchio elenco del 2015, hanno avuto modo di vedere i propri dati nelle voraci fauci di qualcuno che mai avrebbero autorizzato ad acquisirne copia.
Unicredit getta – comprensibilmente – acqua sul fuoco e spara un comunicato in cui cerca di tranquillizzare i malcapitati. Se è difficile capire cosa sia effettivamente accaduto, è l’altrettanto improbabile che ogni volta intrusioni e furti di dati non abbiano alcun peso come si vuol far credere.
Resta un fatto inequivocabile. Qualcuno ha le doppie chiavi dei forzieri digitali oppure le serrature virtuali sono davvero facili da scassinare.
L’impenitente curiosità di chi si occupa da troppi anni di queste cose induce a pretendere di sapere come sia andata a finire nelle precedenti non meno imbarazzanti situazioni divenute di pubblico dominio.
Sarebbe carino che “il team di sicurezza informatica di Unicredit” (come si legge nell’incipit di ogni comunicazione online della banca) raccontasse cosa e come si è verificato in questa occasione e in quelle passate.
Sarebbe simpatico scoprire cosa non ha funzionato a tutela dei dati della clientela, così da sapere se le misure di sicurezza non sono idonee oppure se qualche comportamento umano ha inficiato la regolarità delle procedure.
Sarebbe, infine, rilevante conoscere i correttivi adottati per rimediare a falle e vulnerabilità e le iniziative volte a risarcire chi ha assistito alla indesiderata diffusione di dati che lo riguardano (a prescindere dalla loro sensibilità).
A questo punto sento il dovere di fare due appelli, il primo a Jean Pierre Mustier e l’altro all’orda barbarica che ha scambiato Unicredit per Gardaland o Mirabilandia.
All’amministratore delegato – fortemente impegnato sul fronte dell’ottimizzazione delle risorse umane e su ipotesi di ridimensionamento del suo esercito – mi permetto di suggerire solo qualche licenziamento mirato. L’evidenza della cronaca può dare qualche spunto perché simili incidenti hanno una riverberazione negativa sotto il profilo commerciale tale da vanificare l’impegno e la professionalità del resto dell’azienda.
Agli hacker vorrei chiedere un atto di clemenza nei confronti di questa banca. Se continuano nonostante questa mia accorata preghiera, la storia assume i connotati di un brutto sequel di cyberbullismo. E non è affatto bello.
