UNICREDIT data breach: dai media ed “esperti” le solite “puttanate”.

Data Breach Unicredit

UNICREDIT data breach: dai media ed “esperti” le solite “puttanate”.

La Sicurezza informatica è una roba seria, non credete al primo cyber esperto che incontrate!

Questa storia, come nel caso Unicredit,  che ogni volta che accade un data beach o un problema di natura informatica i media, soprattutto la vecchia e cara  TV, si popola di esperti di cyber security, giornalisti e chi più ne ha più ne metta, che spiegano alla popolazione cose di cui, perlopiù san poco e nulla è veramente buffa.
Onestamente non so, e poco m’importa, se sia un fenomeno tutto italiano, ma qui da noi  è un fatto. Innanzitutto capiamo cosa è successo: Come si evince da Nota ufficiale Unicredit si evince che:

UniCredit comunica di aver subito una intrusione informatica in Italia con accesso non autorizzato a dati di clienti italiani relativi solo a prestiti personali. Tale accesso è avvenuto attraverso un partner commerciale esterno italiano.

Quindi: NO i sistemi UNICREDIT non sono stati Hackerati direttamente, ma l’intrusione è avvenuta tramite un partner commerciale esterno italiano. Ricordiamo questo puno che parrebbe ininfluente ma nno lo è, per cme è stata data la News da varie testate.

Da stamattina presto – 27/7 – ad arrivare ad ora ho sentito in vari media differenti notizie. date in maniera che definire “guascona” è il minimo. Passatemi il termine: ho sentito, come spesso mi capita, emerite puttanate.

Informazione “sbilenca” numero 1:

stamattina prestissimo, seguo un intervento dove chi parla ha scritto come qualifica, sotto al proprio nome  “esperto in cyber security” ed intervistato su Rai News 24 ci tende a precisare che UNICREDIT ha comunicato (agli interessati) di aver subito un data beach, e di quanto siano stati corretti,visto che non lo fa quasi nessuno, testuali parole dell’intervistato.

Trasecolo e penso: hanno fatto solo il loro dovere,  questo il GDPR non lo ha manco letto. Eh sì perché l’art. 34 del General Data Protection Regulation – che è già in vigore dal 25/6/2016 e a cui ci si dovrà adeguare entro e non oltre il 25/6/2018, ma è solo la data ultima per applicarlo, stabilisce che


  1. Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo.

Quindi  il mio famoso “collega”, non me ne abbia, parrebbe non aver mai letto il GDPR, ma comunque dà alle persone una informazione non corretta.
Il Regolamento Europeo sul Trattamento dei dati obbliga a comunicare il data beach agli interessati. Unicredit ha deciso, in maniera corretta, di applicare un criterio che vale e varrà obbligatoriamente per qualsiasi Banca e non solo.

Informazione “sbilenca” numero 2:

In un servizio video, montato sulla notizia e trasmesso a metà mattinata sempre da rete di all-news italiana,  la giornalista che parla dell’accaduto avverte con livore che i propri dati possono essere in pericolo sempre, cosa corretta per l’amor di Dio, com’è anche vero che circolando per strada siamo tutti potenzialmente soggetti ad essere coinvolti in un sinistro, ma la ciliegina arriva alla fine del servizio, infatti ella lo chiude con questa frase: “Hacker sempre più sofisticati riescono a bucare i più efficienti sistemi informatici.” – Il video QUI

Detta così, e contestualizzando il servizio il messaggio che arriva parrebbe essere che sia stata penetrata direttamente le banca e che i nostri dati siano sempre alla mercé di chiunque, cosa che a mia mamma, ad esempio, ma anche a mia cognata e probabilmente anche a un buon 50% dei mie clienti farebbe tremare i polsi.

Anche in questo caso la notizia è comunicata per creare sensazionalismo, per essere “venduta”, e non per informare: come abbiamo visto i sistemi della banca non sono stati attaccati e bypassati direttamente, ma chi è entrato è entrato tramite partner commerciale esterno italiano.

Il che non vuol dire il sottoscritto stia sostenendo che la Banca ha fatto tutto e bene,  sottolineo quello che è accaduto: si è penetrati  nei database cercando e “sfondando” un anello debole e non attaccando direttamente i sistemi della banca, stando a l comunicato di Unicredit.

Veniamo così alla terza e ultima considerazione:

in Italia IT e Cyber Security, che van a braccetto con la Privacy che va progettata “by Design e by Default” come recita il GDPR, sono considerate poco, ma soprattutto male.

A prescindere da quanto abbia investito UNICREDIT in infrastrutture di protezione informatica , che mi risulta essere molto ed anche in modo appropriato, anche qui si è fatto, a mio modesto parere, un errore, non me ne vogliano i responsabili Unicredit: e non si è imparato dai Case Study più citati in qualsiasi corso sulla sicurezza informatica.

Ne cito uno che non più tardi del 17/01 di quest’anno ho sentito usare per l’ennesima volta: quello del  2013 relativo a TARGET che è il secondo più grande retailer dopo WALMART ha subito un data breach di:

  • 40 milioni di carte di credito rubate
  • Dati personali relativi a 70 milioni di persone
  • 162 M$ di spese riportate a bilancio nel 2013 e 2014

TARGET era certificata PCI-DSS e dotata delle migliori tecnologie, una situazione quindi probabilmente molto simile a quella di UNICREDIT. E, cosa buffa, sapete qual’è stato il vettore dell’attacco? E’ stata una piccola società fornitrice di TARGET per la manutenzione degli impianti di condizionamento in una regione USA che era stata violata.
Sapete cosa ha fatto poi TARGET? Oltre che proteggere se stessa? Ha aiutato i propri fornitori, che non potevano avere le sue stesse competenze e risorse, a proteggersi dal punto di vista IT per eliminare i “punti deboli”. Ed era il 2013.

Vi ricorda qualcosa? Bene questo Case Hystory che potete leggervi qui è noto a chi, come ad esempio il sottoscritto frequenta diligentemente i vari corsi sulla Sicurezza Informatica e sul GDPR, non foss’anche solo per mantenere la propria qualifica di DPO. L’ultima volta che l’ho visto citato è stato, appunto come scrivevo poc’anzi,  da parte del valente  Sergio Fumagalli di Europrivacy ad un corso sul GDPR tenutosi al Politecnico di Milano il 17/1/2017.

E’ presumibile quindi, secondo voi, che questo stesso Case Hystory fosse noto anche agli esperti che ho visto parlare in tv? E ancora di più al management IT della Unicredit? Probabile. Ma secondo voi lo hanno applicato? A voi la risposta.

Concludendo, come dico spesso, perché l’ho imparato sulla mia pelle e da persone che lavorano sul campo tutti i giorni:  il problema della riservatezza e tutela dei dati è reale e va tenuto sotto controllo sia in azienda sia nella PA, ma deve essere fatto a livello di sistema e trattato da persone competenti.

Viene invece affrontato, spesso, come “elemento di terrore” per la massa, sbraitato da giornalisti poco informati per vendere la news e visto come “protezione del fortino”  – la propria infrastruttura – senza curarsi di tutto ciò che interagisce giornalmente con essa – tutte le infrastrutture di fornitori e collaboratori, o addirittura clienti.

Ricordate: l’assistenza informatica è quella pratica a cui le aziende, anche quelle di notevoli dimensione, ricorrono quando la sicurezza informatica, e la relativa privacy dei dati, sono state compromesse. Più Sistema, meno assistenza postuma.

Quando lo impareremo, quando ve lo diranno anche in TV, allora avremo raggiunto un ottimo punto di partenza.

Condividi questo post

Commento (1)

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *