A fine ottobre, la banca Unicredit è stata vittima di un accesso non autorizzato ai dati di circa 3 milioni di clienti contenuti in un file, che risale al 2015, con nomi, città, numeri di telefono ed e-mail. Tra i clienti colpiti anche molti ignari di Latina che, proprio in questi giorni (causa Poste non proprio veloci quanto Usain Bolt), stanno ricevendo una lettera dalla sede centrale di Milano che li informa di quanto accaduto.
Per la stragrande maggioranza dei clienti, la banca ha individuato un accesso non autorizzato ad alcuni dati specifici quali nome e cognome, comune e provincia di residenza, numero di telefono cellulare, indirizzo e-mail. Fortunatamente, precisano da Unicredit, non sono stati compromessi dati personali ancor più sensibili come le coordinate bancarie in grado di consentire l’accesso ai conti dei clienti o l’effettuazione di transazioni non autorizzate. In particolare – spiega la banca – non sono state coinvolte credenziali d’accesso o dati di carte di credito, debito o altri strumenti di pagamento come codici segreti, Pin, password o numero carta. Scongiurato, quindi, l’accesso più temuto: quello al conto corrente del cliente.
Oltre alle spiegazioni fornite da Unicredit ai suoi clienti, è la stessa banca a mettere a disposizione, tramite la missiva spedita, ad una sorta di vademecum con una serie di regole di comportamento (password, pin, codici, download sospetti ecc.) per rendere la navigazione su Internet e l’utilizzo dei canali digitali sempre più sicuri. Segno che Unicredit ritiene che una delle possibili cause di questo maxi-accesso abusivo sia riconducibile anche alle condotte “virtuali” dei singoli clienti.
Secondo le prime indiscrezioni, però, gli hacker responsabili della mega-infiltrazione sarebbero riusciti a spostare i dati trafugati sul darkweb, tanto è che la questione ha portato ad avviare un’indagine interna informando tutte le autorità competenti, dal Cnaipic, il Centro nazionale della Polizia postale che si occupa del contrasto al cybercrime, al Garante della Privacy. Anche la Polizia postale sta indagando.
Un fatto inquietante che ha colpito il secondo istituto bancario italiano e che impone, ancora una volta, una riflessione seria sugli strumenti della cybersecurity – deboli a fronte dell’oceano chiamato Internet – e sul business più ambito degli ultimi: i nostri dati di cui vanno ghiotte le piccole, medie e grandi compagnie che tentano, ogni giorno, di profilarci e vendere qualcosa.
