"Dati personali clienti Nexi Spa", recitava l'intestazione. E c'erano anche saluti ironici all'amminsitratore delegato, Paolo Bertoluzzo, e ad altri manager, con persino un riferimento all'ufficio di via Montefeltro, a Milano. È accaduto nel pomeriggio di ieri, quando decine di migliaia di nominativi con codice fiscale, indirizzo di residenza e qualche numero di cellulare sono stati pubblicati su Pastebin, una piattaforma di condivisione di pezzi di codice. Il tutto ai danni di Nexi, società di pagamento che gestisce 41,3 milioni di carte e 1,4 milioni di Pos.
Secondo quanto riportato dal Corriere della sera, infatti, si sarebbe trattato di una data leak o un data breach, che significa rubare e pubblicare, senza alcuna autorizzazione, alcuni dati che dovrebbero rimanere riservati. La società si è quotata in Borsa poco più di tre mesi fa e proprio ieri aveva chiuso il primo semestre dell'anno ben oltre le attese degli analisti, con ricavi da 467,3 milioni di euro. La modalità e la tempistica con cui si è consumato l'evento di ieri ha fatto subito emergere l'ipotesi di un tentativo di mettere in difficoltà il titolo. Subito dopo, infatti, l'azienda ha contattato la Polizia postale per verificare la corrispondenza fra il materiale pubblicato, le informazioni dei suoi clienti e quanto presente nei suoi database.
In queste ore, i dati sono stati tutti rimossi da Pastebin e, secondo quanto comunicato da Nexi al quotidiano milanese non sarebbe stata rilevata alcuna violazione dei sistemi informatici o compromissione dei dati relativi alle carte gestite dal marchio. Inoltre, spiega la societò, in molti casi le informazioni anagrafiche pubblicate non avrebbero trovato corrispondenza con quelle presenti sui sistemi Nexi. Stando a quanto dichiarato dalla società, che ha sottolineato come non sia trapelata alcuna informazione di natura finanziaria, non ci sarebbe stata alcuna violazione dei suoi sistemi.
608px;"> Per ora, però, non è escluso che la lista risalga a un elenco, per esempio, di qualche anno fa. Se nelle prossime ore la società dovesse rendersi conto di qualsiasi tipo di attacco o di fuga di dati reali sarebbe obbligata ad avvertire, entro 72 ore, il Garante per la privacy e gli utenti coinvolti.- dal lunedì al venerdì dalle ore 10:00 alle ore 20:00
- sabato, domenica e festivi dalle ore 10:00 alle ore 18:00.