"Hanno sfruttato l'anello debole: il fornitore"

«I nostri clienti possono stare tranquilli, nessuna password è stata trafugata. Non è stato acquisito alcun dato che consenta spostamenti di denaro o transazioni non autorizzate». Ci tiene a chiarirlo subito, Daniele Tonella, amministratore delegato di Ubis, la società che gestisce la parte IT del gruppo Unicredit.

Come è avvenuta l'intrusione?

«A seguito della rilevazione di un'anomalia nella notte tra il 24 e il 25 luglio la banca ha fatto un'indagine a ritroso sui mesi passati da cui è emersa la prima violazione avvenuta in settembre-ottobre 2016. Dopo un'attenta analisi è affiorata quella che tecnicamente si chiama esfiltrazione di dati».

Quanto investe il gruppo in sicurezza?

«Nell'ambito del recente piano industriale Transform 2019 il gruppo sta investendo 2,3 miliardi per rafforzare e rendere sempre più efficaci i sistemi informatici. In concreto si tratta di adottare le tecnologie più avanzate, aggiornare le analisi di controllo e prevenzione e rinnovare anche il parco tecnologico per ridurre al minimo l'esposizione al rischio».

La banca è strutturata, investe in sicurezza informatica. Per questo gli hacker sono entrati dalla «finestra», ovvero attraverso quello che avete definito un partner commerciale esterno?

«In generale posso dire che i canali di vendita possono avere taglie piccole e risorse più limitate da destinare agli investimenti in cybersecurity. Nel nostro caso, l'intrusione ha riguardato solo dati di persone che hanno chiesto prestiti proprio perchè l'accesso non autorizzato è avvenuto attraverso un partner con cui abbiamo un contratto di distribuzione per dei particolari prodotti sul mercato del credito al consumo».

Quale può essere stato l'obiettivo degli hacker?

«Non lo conosciamo. Sono però sicuro che in banca con quei dati non si può fare nulla, nè vedere i conti nè tantomeno fare operazioni».

Un nuovo regolamento europeo dal 2018 imporrà a tutte le società a rivelare i casi di violazione dei dati entro 72 ore dalla scoperta. Voi avete anticipato la norma.

«Si tratta di una scelta di trasparenza da parte della banca che aiuta tutti ad aumentare la consapevolezza».

Commenti

accanove

Gio, 27/07/2017 - 09:20

..se ne sono accorti 10 mesi dopo......

agosvac

Gio, 27/07/2017 - 12:12

Io ho un conto presso Unicredit in quanto pensionato. Sul mio conto posso agire solo io perché ogni disposizione richiede una password che, tramite una macchinetta che posseggo solo io, cambia ogni qual volta la si usa. In pratica la password dura pochi secondi dopo di che cambia. Un eventuale hacker può tuttalpiù visualizzare il mio conto ma mai agire su di esso senza questa password.