Unicredit, i "pirati" tornano all'attacco

Unicredit torna nel mirino degli hacker. I clienti attaccati dai pirati informatici lo hanno scoperto a metà gennaio, quando si sono visti recapitare per posta una lettera della banca: «Gentile cliente, la informiamo che abbiamo intercettato e sventato un tentativo di intrusione informatica sui nostri sistemi».

Le uniche informazioni a cui è stato possibile accedere, viene assicurato nell'avviso, sono state: nome, cognome, codice fiscale, NDG (codice identificativo cliente) e REB (codice identificativo per l'accesso al servizio di Banca Multicanale). Non sono state dunque acquisite informazioni come PIN, password o numero di carta, «che possano consentire l'accesso al conto corrente e/o al deposito titoli visualizzando il relativo saldo o che permettano la disposizione di transazioni non autorizzate sul conto corrente, sul deposito titoli e sulle carte di pagamento (carte di credito, debito e prepagate)», si legge ancora nella lettera. Unicredit ha comunque consigliato ai clienti («poiché spesso i dati anagrafici vengono utilizzati per costruire codici facilmente memorizzabili») di provvedere al cambio delle password e dei codici segreti utilizzati per l'accesso alla Banca Multicanale e agli altri siti internet.

L'attacco è partito il 21 ottobre ai servizi di home banking del gruppo in Italia. Ma il tentativo doloso, spiegano dalla banca, è stato prontamente intercettato e bloccato e l'incidente è stato chiuso e risolto sia relativamente ai clienti che relativamente ai rapporti con le autorità competenti. «A seguito di questo episodio è stato quindi chiesto ad alcuni clienti di modificare le loro password come misura precauzionale». Anche sul sito internet dell'istituto di piazza Gae Aulenti, nella sezione «notizie», è stato pubblicato un avviso, specificando che «nessun dato bancario è stato compromesso» ma per motivi di sicurezza «le credenziali di circa 10.000 clienti sono state bloccate; che Unicredit «si sta occupando di contattare i clienti interessati per procedere con il reset delle password» e che «nell'ambito di Transform 2019, il gruppo sta investendo 2,4 miliardi per rafforzare e rendere sempre più efficaci i propri sistemi informatici».

L'istituto guidato da Jean Pierre Mustier ha inoltre notificato la tentata violazione all'autorità Garante, che ha chiesto di informare tutti gli oltre 700mila utenti coinvolti. Le informazioni sottratte, si legge nel provvedimento, «potrebbero essere utilizzate per rivolgere agli interessati comunicazioni telefoniche o messaggi di phishing a scopo fraudolento, grazie alla conoscenza dei dati personali da parte dei soggetti terzi che hanno condotto l'attacco informatico». I 6.859 utenti a cui è stata anche sottratta la chiave d'accesso forse avevano password più deboli che gli intrusi hanno potuto indovinare, probabilmente utilizzando lo stesso metodo. A questo proposito, la banca assicura che «è in corso di implementazione un meccanismo per forzare l'utilizzo di password complesse».

L'attacco di ottobre è diverso da quello spontaneamente comunicato al mercato nel luglio 2017 che aveva portato all'accesso non autorizzato dei dati relativi a prestiti personali di 400mila clienti italiani. L'intrusione era infatti avvenuta «attraverso un partner commerciale esterno», una prima volta nei mesi di settembre e ottobre 2016 e una seconda volta a giugno e luglio 2017. La banca aveva sporto denuncia alla Procura di Milano, rassicurando comunque la clientela: non erano state rubate password o altri dati che potessero consentire l'accesso ai conti dei clienti o dare seguito a transazioni non autorizzate, ma solo dati anagrafici e codici iban.

La Bce aveva avviato a ottobre 2017 un'ispezione (conclusa a dicembre 2017) presso Unicredit proprio per i rischi informatici evidenziando otto «aree di miglioramento».