Unicredit è stata colpita il 21 ottobre 2018 da un tentativo di Data Breach per forzare il sistema di online banking, notificato al Garante Privacy il giorno successivo, che ha interessato i dati personali di ben 731.519 REB (codice identificativo per l’accesso ai servizi di banca multicanale) dei suoi correntisti. Un tentativo di intrusione che secondo la banca è stato sventato e che, sempre secondo quanto comunicato da Unicredit ai clienti interessati, avrebbe potuto carpire nome, cognome, codice fiscale, NDG (codice identificativo cliente) e appunto REB.
Dei 731.519 clienti oggetto dell’attacco, sono stati bloccati 6.859 quelli bloccati subito dalla banca perché era stata individuata la password (vale a dire il PIN), mentre per i restanti non era stata ravvisato un rischio elevato.
Ma il Garante Privacy ha ingiunto a Unicredit di contattare tutti i 731.519 correntisti coinvolti, visto che l’acquisizione dei “citati dati personali è da ritenere già di per sé fonte di potenziale grave pregiudizio per gli interessati, in considerazione dell’abitudine diffusa tra gli utenti dei servizi online di utilizzare password e PIN facilmente memorizzabili e, dunque, della concreta possibilità che diversi interessati, ancorché Unicredit fornisca ai propri clienti ‘indicazioni utili su come creare e aggiornare il PIN’, non abbiano tenuto conto di tali consigli”.
Il provvedimento del Garante Privacy è stato firmato il 13 dicembre scorso e, considerati i 30 giorni di tempo concessi a Unicredit per contattare tutti i correntisti coinvolti, il periodo di comunicazione massiccia di quanto avvenuto a tutti gli interessati dovrebbe terminare entro gennaio.
I dati potenzialmente trafugabili dagli attaccanti “possono essere utilizzati come chiavi di ricerca per individuare in rete l’interessato e conseguentemente accedere anche ad altre informazioni allo stesso riferibili – si legge nel provvedimento del Garante – (quali, ad esempio, un recapito telefonico o un indirizzo di posta elettronica); tali informazioni potrebbero essere utilizzate per rivolgere agli interessati comunicazioni telefoniche o messaggi di phishing a scopo fraudolento, grazie alla conoscenza di dati personali da parte dei soggetti terzi che hanno condotto l’attacco fraudolento”.
Il mancato riscontro è passibile di sanzione amministrativa ai sensi del combinato disposto di cui agli articoli 83, par. 5, lett. e), del Regolamento e 166 del Codice.
Non è la prima volta che Unicredit subisce un Data Breach. Il 26 luglio scorso Gruppo Unicredit ha diffuso un comunicato relativo ad una serie di attacchi informatici subiti dall’istituto bancario nell’autunno del 2016. Parliamo dei mesi di settembre e ottobre dello scorso anno, a cui però si sono aggiunte nuove intrusioni scoperte a giugno e luglio 2017. Complessivamente, in tutti gli episodi individuati, sono stati violati i dati personali di oltre 400 mila clienti Unicredit.
Nel comunicato ufficiale della Banca, si legge: “non è stato acquisito nessun dato, quali le password, che possa consentire l’accesso ai conti dei clienti o che permetta transazioni non autorizzate. Potrebbe invece essere avvenuto l’accesso ad alcuni dati anagrafici e ai codici IBAN”.
Fonte: Key4Biz