Cosa sappiamo dell'attacco hacker a Unicredit

Hacker in azione sui clienti di Unicredit: negli scorsi mesi hanno prelevato i dati di 400mila persone, ma secondo quanto riporta Repubblica nessun codice o password che permetta di operare senza autorizzazione sui conti correnti. A comunicare l'incursione informatica è stata la stessa banca, che in una nota denuncia "di aver subito una intrusione informatica in Italia con accesso non autorizzato a dati di clienti italiani relativi solo a prestiti personali" e precisa che la falla si è aperta "attraverso un partner commerciale esterno italiano".

La banca ricostruisce la cronologia degli attacchi

1. Settembre-ottobre 2016
2. Giugno-luglio 2017

"Si ritiene che nei due periodi siano stati violati i dati di circa 400.000 clienti in Italia", aggiunge la banca che poi rassicura i suoi correntisti precisando che "non è stato acquisito nessun dato, quali le password, che possa consentire l'accesso ai conti dei clienti o che permetta transazioni non autorizzate. Potrebbe invece essere avvenuto l’accesso ad alcuni dati anagrafici e ai codici IBAN".

La prima volta che una banca ammette un attacco

“E' la prima volta in Italia che una banca dichiara pubblicamente e tempestivamente di essere stata vittima di un attacco informatico" dice Il professor Andrea Rossetti, al vertice del Security Lab dell’Università Bicocca, "questo attacco arriva dopo due grandi episodi di hackeraggio internazionale, tra maggio e giugno, e mostra come tutti i nostri dati siano sempre più esposti al rischio".

"Il problema è tra la tastiera e la sedia"

"Sembra che l'attacco sia partito sfruttando una vulnerabilità esterna al sistema della banca, attraverso un partner commerciale esterno italiano. La fragilità di un sistema che dovrebbe essere tra i più sicuri è l'ennesima dimostrazione che il problema della sicurezza è un tema che va affrontato a livello sistemico: non basta avere un sistema con cui lavoro sicuro, Anche l'hacking dei fratelli Occhionero era partito dalle vulnerabilità esterne al sistema che avevano attaccato. Ed è un'ulteriore dimostrazione che la sicurezza non dipende solo dall'aver un sistema sicuro: il comportamento degli utenti che in vari modo accedono al sistema è fondamentale per la sicurezza. PEBKAC dicono gli americani con un acronimo: "Problem Exists Between Keyboard And Chair", il problema si trova tra la tastiera e la sedia".

Serve un database di crimini & attacchi

Già l’anno scorso la Banca centrale europea preannunciava la creazione di un database per registrare e classificare episodi di criminalità informatica presso le banche dell'eurozona. "Ma, nonostante tutti sostengano che lo scambio di informazioni sia essenziale per contrastare il problema, la procedura è ancora ai rudimenti" dce Rossetti, "va attivato uno scambio di informazioni tra diversi soggetti, ivi incluse le autorità nazionali.”

“Gli attacchi andati a buon segno sul nostro sistema bancario ci sono, di alcuni si è persa traccia. Si può affermare che quel 36% di danno di immagine per ogni attacco alle informazioni e ai sistemi determina purtroppo la motivazione nel non comunicare, questo però porta ad una contaminazione che va fermata" dice Enea Nepentini della Cyber Alliance "gli episodi seri sono molti e a volte non vengono neppure rilevati dagli stessi istituti. L’unica risposta valida è quella della circolazione delle informazioni. Bisogna arrivare a un programma e un network capace, in tempo reale, di allertare e contrastare. Un circolo di informazioni costanti e immediate possono far salire la sicurezza concentrando anche i vari versanti della sicurezza cyber sul problema mirato. Questo sistema sarebbe così in grado di dare aggiornamenti al momento giusto in modo da contrastare soprattutto i fenomeni più gravi. Su questa proposizione ci si aspetta un ruolo attivo di tutti, istituzioni, società regolamentate e strategiche, società italiane della cyber security che abbiamo e sono tra le prime al mondo”.