Per due volte nell’ultimo anno hacker sono entrati nei sistemi informatici di Unicredit violando i dati di 400 mila clienti in Italia. Ecco cosa è accaduto, e cosa rischiano i clienti dell’istituto guidato da Jean Pierre Mustier che hanno subito, secondo quanto comunicato ieri mattina dalla società, l’attacco hacker.
COSA È SUCCESSO
Tra l’autunno del 2016 e i mesi di giugno e luglio 2017, UniCredit ha comunicato di aver subito un’intrusione informatica ai dati di 400 mila clienti italiani relativi solo a prestiti personali. L’accesso ai dati sarebbe avvenuto attraverso un partner commerciale esterno italiano.
LA RICOSTRUZIONE DEL CORRIERE DELLA SERA
Circa 400 mila dati anagrafici, codici fiscali e Iban sono stati rubati dai sistemi del gruppo milanese attraverso – scrive il Corriere della Sera – “alcune piattaforme collocate presso un partner commerciale esterno della banca, con il quale Unicredit colloca prestiti personali e cessioni del quinto”. Da un controllo di routine del gruppo creditizio guidato dall’ad, Jean Pierre Mustier, “è emerso che sfruttando una falla nel sistema esterno collocato presso la società partner, gli hacker abbiano scoperto un varco nella schermata iniziale del programma che consente l’accesso al sistema informativo di Unicredit per i clienti che hanno acquistato prodotti di credito al consumo”, aggiunge il Corriere: “Da lì sono passati, riuscendo ad accedere alle schede iniziali delle schede di altri clienti e di rubarle («esfiltrarle», in gergo). A sottrarre i dati di 400 mila persone sarebbe stato utilizzato un «automa», cioè un software che scansiona automaticamente le schede e ne memorizza i dati. Che siano stati rubati emerge dalle varie tracce informatiche («log») lasciate dai vari accessi”.
LE PRECISAZIONI DI UNICREDIT
L’istituto di credito ha precisato che non sono state acquisite password e credenziali di accesso che possano consentire l’accesso ai conti dei clienti o che permettano transazioni non autorizzate e che non sono stati violati dati sensibili relativi a saldo e movimenti del conto corrente e/o deposito titoli, quelli relativi ad eventuali carte di credito/debito, mentre potrebbe essere avvenuto l’accesso ad alcuni dati anagrafici e codici Iban.
Unicredit ha informato le autorità competenti e comunicato di aver avviato uno specifico audit sul tema e che in mattinata, avrebbe formalizzato anche un esposto presso la Procura della Repubblica di Milano. La banca ha inoltre fatto sapere di aver già adottato “tutte le azioni necessarie volte ad impedire il ripetersi di tale intrusione informatica”, in linea con il recente piano industriale Transform 2019 varato da Mustier lo scorso dicembre, con cui il gruppo sta investendo 2,3 miliardi di euro per rendere più efficaci i propri sistemi informatici.
I RISCHI
Cosa ne sarà dei dati anagrafici e dei codici Iban trafugati?
“Il fatto che non siano state sottratte password, non vuol dire che non si corrano altri rischi – ha detto a Cyber Affairs Andrea Zapparoli Manzoni, esperto che da molti anni analizza le dinamiche del crimine cibernetico -. Disporre di alcuni dati anagrafici e dell’Iban di 400mila persone che hanno chiesto e ottenuto un prestito personale può essere molto utile per dei malintenzionati, sia per costruire frodi ad-hoc veicolate tramite campagne di spear-phishing – le password si cambiano facilmente, gli altri dati sottratti no – sia per rivendere i dati a chi poi li potrà utilizzare per attività di business intelligence su larga scala, chiaramente illecite”. Nello specifico l’esperto ha spiegato che “il rischio per gli utenti non è, ovviamente, quello di avere il conto corrente svuotato, almeno non direttamente, quanto piuttosto (ad esempio) quello di diventare vittime di attacchi di phishing mirati, realizzati grazie a quelle informazioni. Mentre per la Banca c’è il pericolo che qualcuno si metta a ‘dare la caccia’ ai suoi clienti, proponendo loro rifinanziamenti o condizioni migliori (reali o, peggio, truffaldine)”.
I PERICOLI PER I CORRENTISTI
Con queste informazioni “l’accesso ai conti correnti non è possibile – ha spiegato ad AdnKronos Claudio Telmon, membro del direttivo e del comitato tecnico scientifico del Clusit (Associazione Italiana per la Sicurezza Informatica) – Anche perché si tratta di informazioni disponibili in tantissimi contesti”. Telmon ha sottolineato che “la violazione non è avvenuta sui sistemi di Unicredit ma su quelli della società partner. Vuol dire che è improbabile che vengano scoperte altre cose più gravi nei prossimi giorni”.
Ecco invece quello che potrebbe verificarsi secondo l’esperto: Quello che può succedere, invece, spiega Telmon, “rientra nel campo delle frodi tradizionali. Qualcuno infatti potrebbe utilizzare le informazioni per contattare le persone via mail o via telefono, presentandosi come la banca, e chiedergli di accedere a un sito inserendo le proprie credenziali. È quello che si chiama phishing”.
Che i conti dei clienti non corrono rischi è stato confermato anche a Cyber Affairs da Corrado Giustozzi, esperto di sicurezza cibernetica presso l’Agid: “La dinamica dell’attacco hacker che ha coinvolto UniCredit – ha detto – non è ancora chiara”. “Tuttavia, se fosse appurato che tra i dati sottratti ci sono solo informazioni anagrafiche, alcuni dati personali e Iban”, ha proseguito l’esperto, “si può dire che i conti dei clienti non corrono rischi”.
A COSA SERVIRANNO I DATI
Ai pericoli legati a truffe o attacchi mirati di phishing, Giustozzi ha aggiunto anche l’opzione che “queste informazioni, sottratte in un periodo medio-lungo e non in un colpo solo, vengano vendute – se non lo sono già state – nel dark web ad altri malintenzionati”.
“Chi usa questo genere di attacchi via email – ha specificato all’AdnKronos Luca Sambucci, operations manager di Eset Italia – per essere efficace, ha bisogno di maggiori informazioni possibili, così da far abbassare la guardia dell’utente che riceve il messaggio”. Anche per Sambucci è molto probabile che chi ha perpetrato l’attacco non userà direttamente questi dati, ma li venderà.
LA TIPOLOGIA DI ATTACCO
L’attacco è stato effettuato attraverso un partner di Unicredit: “Si tratta di una metodologia usata di frequente”, ha commentato all’Adnkronos Antonio Forzieri, esperto di sicurezza di Symantec. “La banca è strutturata, investe in sicurezza informatica. Compromettere un anello debole della catena è molto più semplice, soprattutto se si tratta di un partner piccolo, che spesso non ha un focus specifico sulla cybersecurity”, ha aggiunto Forzieri.
A CHI RIVOLGERSI
Unicredit ha messo a disposizione il numero verde dedicato 800 323285 per i clienti che desiderino ulteriori informazioni. Inoltre la banca contatterà i clienti interessati mediante canali di comunicazione specifici. Per ragioni di sicurezza – hanno specificato – non verranno utilizzate la posta elettronica o le telefonate dirette.
