Alcuni dati relativi a circa 400mila clienti Unicredit sono stati violati nel corso di due attacchi hacker che si sono verificati a distanza di quasi un anno. Il primo tra settembre e ottobre 2016, il secondo tra giugno e luglio 2017. È stato colpito un vasto numero di clienti, che però appartiene a una specifica categoria: quelli che hanno richiesto prestiti personali. In una nota ufficiale, la banca precisa che "non è stato acquisito nessun dato, quali le password, che possa consentire l'accesso ai conti dei clienti o che permetta transazioni non autorizzate. Potrebbe invece essere avvenuto l'accesso ad alcuni dati anagrafici e ai codici IBAN". Sono salvi, secondo quanto emerge, i soldi dei correntisti: le informazioni sottratte non sono sufficienti per entrare nei conti correnti bancari e svuotarli, ma potrebbero essere usate in altri modi: per esempio per attacchi mirati di phishing, ovvero mail inviate ai clienti con il logo contraffatto della banca. Nella nota diffusa, Unicredit spiega anche che l’intrusione non è avvenuta direttamente sul sistema informativo della banca, ma attraverso un partner esterno italiano. Di che tipo di partner si tratti, al momento, non è dato sapere. Per affrontare l’emergenza, la banca ha informato le autorità competenti e ha avviato uno specifico audit sul tema. Ha inoltre presentato un esposto alla procura di Milano. Il pm Alberto Nobili, che coordina il pool Reati informatici, ha aperto un fascicolo d’indagine, ipotizzando i reati di accesso abusivo al sistema informatico e di violazione della privacy. La polizia postale è al lavoro per effettuare i primi accertamenti. La banca assicura inoltre di aver adottato"tutte le azioni necessarie volte a impedire il ripetersi di tale intrusione informatica". Nell'ambito del recente piano industriale Transform 2019,"il gruppo sta investendo 2,3 miliardi di euro per rafforzare e rendere sempre più efficaci i propri sistemi informatici".
Che tipo di attacco è stato commesso?
Al momento non è chiaro che tipo di attacco informatico sia stato posto in essere e quale sia stato il tempo di permanenza nei sistemi informativi del partner della banca. Le informazioni trapelate ufficialmente sono pochissime. "Dai pochi elementi resi noti, non possiamo dire nulla sul tipo di attacco – spiega Paolo Dal Checco, consulente informatico forense ed esperto di cyber security -. Possiamo solo fare ipotesi: può essere che gli hacker fossero nella rete del partner, magari hanno bucato un sito o un database, o semplicemente una casella di posta elettronica che conteneva alcune informazioni. Per ora lo scenario è ampio: può andare dall’attacco mirato alla semicasualità".
Quali sono i rischi per i correntisti?
"Se fosse appurato che tra i dati sottratti ci sono solo informazioni anagrafiche, alcuni dati personali e Iban – dichiara in un’intervista all’agenzia Cyber Affairs Corrado Giustozzi, esperto di sicurezza cibernetica presso l'AgID (Agenzia per l’Italia digitale) - si può dire che i conti dei clienti non corrono rischi. Semmai, il pericolo è che chi ora ha queste informazioni (…) le possa utilizzare per condurre truffe o attacchi mirati di phishing, che proprio in virtù dei dati acquisiti risulterebbero più credibili". Oggi sappiamo che quando arriva una mail dal nostro istituto di credito c'è da stare attenti che sia vera e non un tentativo da parte dei criminali di accreditarsi per farsi dare direttamente dall'utente ulteriori informazioni riservate. Se la mail contiene una maggiore quantità di nostri dati personali, ad esempio l'Iban, aumenta il rischio di sembrare autentica e farci cadere nel tranello. La soluzione è fare ancora più attenzione.
Cosa possono farne dell’Iban i criminali informatici?
"Un'altra opzione – aggiunge Giustozzi - è che queste informazioni, sottratte in un periodo medio-lungo e non in un colpo solo, vengano vendute, se non lo sono già state, nel dark web ad altri malintenzionati". Anche senza avere le password, Iban e dati anagrafici hanno un valore. "C'è un mercato nero interessato a queste informazioni - spiega al Sole 24 Ore Morten Lehn, general manager Italy di Kaspersky Lab -.Possono essere l'Iban, il numero di conto corrente, dati anagrafici, mail oppure le abitudini dei clienti. Anche perché il mercato nero è fatto a puzzle: ognuno possiede un pezzetto ed è interessato a comprare gli altri per completare il suo disegno".
Ci sono stati precedenti di questo tipo in Italia?
Non si conoscono precedenti di un attacco di questo tipo, mirato a una singola banca in Italia, ma non è detto che non si siano mai verificati. Quello che è certo è che Unicredit è stata la prima banca a fare disclosure, cioè a renderlo pubblico. Una pratica che non è ancora obbligatoria, ma lo diventerà con l’entrata in vigore della Direttiva Nis dell’Unione Europea.
Quali sono gli attacchi più diffusi in Italia?
Secondo un report di Kaspersky Lab si tratta proprio di attacchi di phishing finanziario: lo scorso anno il loro numero è aumentato del 13,14% rispetto al 2015, rappresentando il 47,48% di tutti gli attacchi di phishing.
Anche il budget destinato alla spesa in sicurezza informatica da parte delle banche è in forte ascesa, in uno scenario di continua rincorsa. Tra tutti i tipi di phishing finanziario, quello bancario è il più diffuso. Un attacco su quattro (25,76%) ha usato false informazioni per l'online banking.- dal lunedì al venerdì dalle ore 10:00 alle ore 20:00
- sabato, domenica e festivi dalle ore 10:00 alle ore 18:00.