Hack & Sec
17 Gennaio Gen 2019 2356 17 gennaio 2019

Unicredit vittima di un nuovo data breach?

  • ...

Devo dire che quando l’ho letta, giusto ieri sera, il primo pensiero è stato quello di uno “scherzo” da tanto mi sembrava insolita una comunicazione di questo tipo, saltata fuori dalla casella delle lettere, quelle fisica non virtuale, ovvero recapitata da un postino in carne e ossa. L’esordio della missiva datata 10 gennaio 2019 non lasciava adito a dubbi: Gentile Cliente, la informiamo che abbiamo intercettato e sventato un tentativo di intrusione informatica sui nostri sistemi”. Da un lato spaventava, dall’altro rassicurava: un attacco c’è stato, ma ci siamo difesi. Tutto bene allora? Non proprio perché la comunicazione proseguiva: “Le uniche informazioni a cui è stato possibile accedere sono state: nome, cognome, codice fiscale, NDG (codice identificativo cliente) e REb (codice identificativo per l’accesso al servizio di Banca Multicanale)”. Questo è un po’ più inquietante. Qualcuno quindi ha realmente violato i sistemi. Il dubbio che l’attacco non sia stato completamente “intercettato e sventato” sorgeva spontaneo. Comunque il testo aggiungeva tranquillizzante: “Desideriamo rassicurarla sul fatto che non sono state acquisite informazioni – quali ad esempio PIN, password o numero di carta – che possano consentire l’accesso al suo conto corrente e/o al deposito titoli visualizzando il relativo saldo o che permettano la disposizione di transazioni non autorizzate sul conto corrente, sul deposito titoli e sulle carte di pagamento (carte di credito, debito e prepagate)”. Quindi eravamo in salvo? Si ma meglio essere prudenti e allora ci veniva suggerito : “Al fine di garantire la più ampia sicurezza e poiché spesso i dati anagrafici vengono utilizzati per costruire codici facilmente memorizzabili, le consigliamo, anche qualora questo non fosse il suo caso e comunque in via prudenziale, di provvedere al cambio delle password e dei codici segreti utilizzati per l’accesso alla Banca Multicanale e agli altri siti internet”. Infine tornavamo a preoccuparci. In realtà il passaggio non era chiarissimo, ma se lo “traduciamo” significa: dato che molti utenti hanno l’abitudine di creare password che contengono parte dei loro dati personali per non dimenticarle, sarebbe meglio cambiarle perché qualche delinquente potrebbe ricostruirle utilizzando le informazioni a cui ha avuto accesso. La lettera si concludeva con qualche altro consiglio, le scuse per l’accaduto, la comunicazione dell’avvenuta segnalazione all’Autorità Garante per la Protezione dei Dati, e l’avviso che era stata sporta denuncia. Con questo ecco un primo effetto collaterale della recente normativa europea in materia, che vincola chiunque tratti e gestisca dati personali di persone fisiche a informare gli interessati (diciamo semplificando i cittadini) se è avvenuto un incidente per cui potrebbero essere stati compromessi i loro dati. Ecco qualcuno che oltre al dovere ha avuto il coraggio di farlo, ma Unicredit si era già esposta nel luglio 2017 con un comunicato stampa in cui annunciava la violazione dei dati di 400 mila clienti. Chissà magari questa volta sono meno se ha pensato di scrivere giusto una lettera. La conoscenza non è una bellissima condizione, non a caso esiste il detto “beata ignoranza”, però almeno ci rende un po’ più liberi di fare considerazioni, pensare e alla fine di scegliere. In un prossimo futuro di comunicazioni di questo tipo potremmo riceverne con una certa frequenza, la cosa più importante sarà non “abituarci” altrimenti finiremo per accettare che si tratta di situazioni “inevitabili” e questo sarebbe sbagliato e pericoloso, come penso chiunque possa intuire. Detto questo veniamo a qualche suggerimento che non troverete nella lettera. In primo luogo se siete un cliente Unicredit diffidate da messaggi (email, sms, whatsapp) che vi invitano a nome della banca a fare azioni che potrebbero completare il quadro magari con un link in cui dovreste inserire le vostre password per sbloccare il conto o carte bloccate a seguito di accessi abusivi. Ugualmente guardate con sospetto messaggio che vi sollecitano ad aprire con urgenza file allegati. Insomma diventate leggermente più diffidenti e se proprio avete dubbi rivolgetevi a interlocutori o riferimenti noti della banca.

Quali altre considerazioni si possono fare. Probabilmente una grande quantità, ma chi da tempo si occupa di sicurezza informatica potrebbe dirvi due cose. Se vuole fare il saputello vi dirà: “Cosa ti dicevo anni fa?”. Se invece è più simpatico si limiterà a un mezzo e vi sussurrerà: “Benvenuto nel mio mondo”.

Oppure possiamo sempre pensare che si tratti di uno scherzo... forse di cattivo gusto

Correlati