Attacco hacker a Unicredit: violati i dati di 400mila clienti

Rilevate due intrusioni tra l'autunno 2016 e pochi giorni fa nei prestiti personali. Accesso agli iban. Esposto in Procura

I dati di 400mila clienti italiani di Unicredit che avevano chiesto un prestito personale sono stati violati con un'intrusione informatica. Gli «hacker» sono riusciti a entrare «attraverso un partner commerciale esterno italiano», spiega l'istituto in un comunicato diffuso in mattinata per comunicare l'attacco. Una prima violazione sembra essere avvenuta nei mesi di settembre e ottobre 2016, mentre è stata appena individuata una seconda intrusione avvenuta nei mesi di giugno e luglio 2017.

Precisiamolo: non è stato acquisito nessun dato, come le password, che possa consentire l'accesso ai conti dei clienti o che permetta transazioni non autorizzate. «Potrebbe invece essere avvenuto l'accesso ad alcuni dati anagrafici e ai codici Iban», spiegano dalla banca di piazza Gae Aulenti che ha prontamente informato le autorità competenti ed ha avviato uno specifico audit sul tema. Ieri il gruppo ha anche presentato un esposto alla Procura della Repubblica di Milano (che ha già aperto un'inchiesta) e ha adottato tutte le azioni necessarie volte ad impedire il ripetersi dell'intrusione. A disposizione di tutti i clienti che vorranno avere maggiori informazioni è stato messo a disposizione il numero verde dedicato (800 323285) e i 400mila «violati» saranno contattati dalla banca «mediante canali di comunicazione specifici». Per ragioni di sicurezza, infatti, non verranno utilizzate la posta elettronica o le telefonate dirette. L'obiettivo è evitare il cosiddetto phishing perchè con i dati trafugati gli hacker potrebbero inviare ai clienti Unicredit email personalizzate, con il logo contraffatto dell'istituto di credito, invitandoli ad accedere al sito per motivi di sicurezza, prendendo a pretesto proprio il loro attacco. Idem per le telefonate: saranno le persone a dover contattare il numero verde per evitare di finire nella rete di sms o chiamate al numero di casa da soggetti non autorizzati.

Nel caso del gruppo guidato da Jean Pierre Mustier, va ribadito, l'intrusione informatica non si è tradotta in un furto di denaro o di accesso ai conti. In altri casi è andata diversamente: basti pensare ai 2,5 milioni di sterline sottratti lo scorso novembre dai pirati informatici ai clienti della britannica Tesco Bank, o agli 81 milioni di dollari rubati nel febbraio 2016 alla banca centrale del Bangladesh. Segno che il tema della cybersecurity non va sottovalutato e che in alcuni casi le «maglie» sono ancora troppo larghe: uno dei massimi esperti italiani del settore, in una conversazione privata, ha rivelato di essere stato contattato qualche tempo fa da un'importante banca italiana che gli aveva affidato un test sulla sicurezza informatica della sua rete. Ebbene, in un'ora l'esperto era riuscito a entrare nel sistema e a vedere in tempo reale l'attività dell'amministratore delegato sul pc del suo ufficio.

Intanto ieri mattina l'altra big del credito, Intesa Sanpaolo, ha avuto un problema tecnico generato da un errore sul server che ha impedito per circa un'ora l'accesso al sito Internet della banca guidata da Carlo Messina. Solo una coincidenza, hanno garantito in Intesa, e nessun allarme però, perchè il problema riguardava l'operatività. Non la sicurezza.