Roma, 26 lug. (askanews) – UniCredit ha subito un’intrusione informatica in Italia con accesso non autorizzato a dati di clienti italiani relativi solo a prestiti personali. L’accesso è avvenuto attraverso un partner commerciale esterno italiano. Secondo le risultanze della banca, che ha comunicato quanto accaduto con una nota, una prima violazione sembra essere avvenuta nei mesi di settembre e ottobre 2016, mentre è stata appena individuata una seconda intrusione avvenuta nei mesi di giugno e luglio 2017. La banca ritiene che nei due periodi siano stati violati i dati di circa 400mila clienti in Italia. La banca precisa che non è stato acquisito nessun dato, quali le password, che possa consentire l’accesso ai conti dei clienti o che permetta transazioni non autorizzate. Potrebbe invece essere avvenuto l’accesso ad alcuni dati anagrafici e ai codici Iban. UniCredit ha informato le autorità competenti, ha avviato uno specifico audit sul tema e in mattinata ha formalizzato un esposto presso la Procura della Repubblica di Milano. La banca ha inoltre comunicato di aver adottato “tutte le azioni necessarie volte ad impedire il ripetersi di tale intrusione informatica”.
Nell’ambito del recente piano industriale Transform 2019, spiega ancora la banca, il gruppo ha previsto l’investimento di 2,3 miliardi di euro per rafforzare i propri sistemi informatici.
L’ANALISI DI GIUSTOZZI “La dinamica dell’attacco hacker che ha coinvolto UniCredit – ha detto a Cyber Affairs Corrado Giustozzi, esperto di sicurezza cibernetica presso l’AgId – non è ancora chiara”. “Tuttavia, se fosse appurato che tra i dati sottratti ci sono solo informazioni anagrafiche, alcuni dati personali e Iban”, ha proseguito l’esperto, “si può dire che i conti dei clienti non corrono rischi.
Semmai”, aggiunge l’esperto, “il pericolo è che chi ora ha queste informazioni, rubate tra l’altro non alla banca ma a una terza parte della quale per il momento non si conosce il nome, le possa utilizzare per condurre truffe o attacchi mirati di phishing, che proprio in virtù dei dati acquisiti risulterebbero più credibili. Un’altra opzione è che queste informazioni, sottratte in un periodo medio-lungo e non in un colpo solo, vengano vendute – se non lo sono già state – nel dark web ad altri malintenzionati”.
LO SCENARIO DI ZAPPAROLI MANZONI Per Andrea Zapparoli Manzoni, esperto che da molti anni analizza le dinamiche del crimine cibernetico, l’attacco hacker che ha coinvolto UniCredit “potrebbe essere un’operazione di intelligence gathering, condotta molto probabilmente con finalità cyber criminali più che di spionaggio”.
“La disclosure fatta da UniCredit”, rileva Zapparoli Manzoni parlando a Cyber Affairs, “è senz’altro un fatto positivo. Tuttavia, il fatto che non siano state sottratte password, non vuol dire che non si corrano altri rischi. Disporre di alcuni dati anagrafici e dell’Iban di 400mila persone che hanno chiesto e ottenuto un prestito personale”, rimarca l’esperto, “può essere molto utile per dei malintenzionati, sia per costruire frodi ad-hoc veicolate tramite campagne di spear-phishing – le password si cambiano facilmente, gli altri dati sottratti no – sia per rivendere i dati a chi poi li potrà utilizzare per attività di business intelligence su larga scala, chiaramente illecite. Entrando nello specifico, a seguito di un data breach di questo tipo il rischio per gli utenti non è, ovviamente, quello di avere il conto corrente svuotato, almeno non direttamente, quanto piuttosto (ad esempio) quello di diventare vittime di attacchi di phishing mirati, realizzati grazie a quelle informazioni. Mentre per la Banca c’è il pericolo che qualcuno si metta a ‘dare la caccia’ ai suoi clienti, proponendo loro rifinanziamenti o condizioni migliori (reali o, peggio, truffaldine)”.
Infine, conclude Zapparoli Manzoni, “non va sottovalutato il fatto che i dati dei clienti non sono stati sottratti direttamente alla Banca, ma a una terza parte, fenomeno questo in crescita costante. E non sappiamo cos’altro ci fosse nei suoi database”.
(Fonte: Cyber Affairs)