Con il comunicato stampa diffuso alle ore 08:56 del 26 luglio 2017, Unicredit rende noto di essere stata oggetto di un attacco hacker che ha determinato l’accesso non autorizzato ai dati personali di circa 400.000 clienti dell’istituto di credito, con possibili esiti negativi in termini di violazione della privacy.

Il security breach sarebbe stato realizzato in due tempi, il primo tra settembre e ottobre 2016, e il secondo tra giugno e luglio del 2017.

Da quanto emerge, sembrerebbe che il data breach non abbia riguardato le credenziali di accesso bancarie degli utenti, nè codici di autorizzazione per l’effettuazione di operazioni bancarie.

Tuttavia, tra i dati personali trafugati potrebbero esserci, oltre ai dati anagrafici, anche i codici IBAN dei clienti.

Unicredit comunica inoltre di aver denunciato il fatto alla Procura della Repubblica di Milano.

Ad oggi, il data breach che ha riguardato Unicredit, risulta essere il maggior security breach che abbia riguardato una banca italiana.

Le possibili conseguenze del Data Breach

Se l’accesso non autorizzato fosse avvenuto tra qualche mese, vale a dire dopo il 25 maggio 2018, data di entrata in vigore del Regolamento EU sulla Data Protection, anche noto come GDPR, General Data Protection Regulation, le conseguenze in termini sanzionatorie sarebbero potute essere non trascurabili per l’istituto di credito.

La nuova normativa europea sulla Data Protection prevede, infatti, sanzioni fino al 4% del fatturato totale annuo, qualora il Data Breach non venga reso noto nell’arco di 72 ore dalla scoperta (ai sensi art. 34 GDPR).

Perchè la normativa europea prevede un trattamento sanzionatorio così rilevante associato all’obbligo generalizzato di comunicazione dei data breach?

La risposta risiede nell’importanza crescente, anche ai fini di sicurezza, che il trattamento dei dati personali (non solo sensibili, ma anche di tipo comune, quali dati anagrafici, ecc.) va assumendo in un contesto data driven come quello attuale.

Si stima che le posizioni anagrafiche dei comuni cittadini siano quotate sul “mercato nero” in un range compreso tra i $15-30 per singola posizione (per non parlare poi dei dati personali afferenti soggetti che ricoprono particolari posizioni all’interno degli organigrammi aziendali, quali dirigenti, amministratori, ecc. che possano essere oggetto di ritorsioni verso l’azienda stessa).

Il mercato clandestino dei dati personali, quindi, è particolarmente fiorente, ed è importante che tutti siano consapevoli dei possibili utilizzi illeciti che è possibile farne.

Le conseguenze per gli Utenti

Uno degli aspetti più preoccupanti del trafugamento di dati personali è il loro utilizzo subdolo, effettuato perdipiù a distanza di tempo dalla compromissione.

E’ infatti probabile che a distanza di qualche tempo gli utenti vittime del trafugamento di dati personali, possano ricevere delle email fasulle di phishing, provenienti apparentemente da Unicredit, con la richiesta fraudolenta di verificare la validità delle proprie credenziali di accesso bancarie, che inducono l’utente ignaro a connettersi a siti pirata utilizzando link contraffatti presenti all’interno delle email (magari sfruttando proprio la notizia del recente data breach per convincere gli utenti a visitare tali siti malevoli).

Allo stesso modo, i dati personali potrebbero essere rivenduti a terzi ed utilizzati per effettuare furti di identità, produzione di documenti falsi, sottoscrizione di contratti finanziari utilizzando generalità altrui (incluse polizze RCA), ecc.