L’attacco informatico ha interessato i dati di 400 mila clienti della banca. Come proteggere la cybersicurezza delle banche italiane?
L’attacco informatico di cui è stata vittima Unicredit getta pesanti ombre sulla sicurezza delle banche italiane che custodiscono i nostri soldi. Prima di provare a spiegare il motivo, la cronaca: la mattina del 26 luglio, la banca milanese di piazza Gae Aulenti ha comunicato di avere subìto un’intrusione informatica ai dati di 400 mila clienti italiani. L’hackeraggio, come ha spiegato Unicredit, sarebbe stato, tuttavia, limitato ai clienti con prestiti personali e sarebbe avvenuto “attraverso un partner commerciale esterno italiano”. L’istituto di credito guidato da Jean Pierre Mustier, che ha anche annunciato un esposto sulla vicenda alla Procura di Milano, ha perciò precisato che non è stato acquisito nessun dato, come per esempio le password, che possa consentire l’accesso ai conti dei clienti o che permetta transazioni non autorizzate. Al contrario, potrebbe invece essere avvenuto l’accesso ad alcuni dati anagrafici e ai codici iban, quelli cioè necessari per effettuare bonifici su un conto. Riassumendo, quindi, nessuno sembra essersi introdotto nei conti correnti dei clienti di Unicredit, proprio perché la violazione ha avuto luogo tramite un partner commerciale esterno, di cui non viene rivelato il nome.
Il problema degli accessi al sistema
E’ proprio su questo aspetto che si concentra Andrea Rossetti, al vertice del Security Lab dell’Università Bicocca, che osserva: “La fragilità di un sistema che dovrebbe essere tra i più sicuri (quello di Unicredit appunto, ndr) è l’ennesima dimostrazione che il problema della sicurezza è un tema che va affrontato a livello sistemico: non basta avere un sistema con cui lavoro sicuro, è necessario che tutti gli accessi al mio sistema siano sicuri! Se ricordate, anche l’hacking dei fratelli Occhionero era partito dalle vulnerabilità esterne al sistema che avevano attaccato. Ed è un’ulteriore dimostrazione che la sicurezza non dipende solo dall’aver un sistema sicuro: il comportamento degli utenti che in vari modo accedono al sistema è fondamentale per la sicurezza. Pebkac dicono gli americani con un acronimo: ‘Problem exists between keyboard and chair’, il problema si trova tra la tastiera e la sedia”. In altri termini, una banca o più in generale una società può anche essere dotata di un sistema informatico interno all’avanguardia e a prova di hacker, magari messo a punto da Elliot Alderson in persona, il tecnico informatico super esperto protagonista della serie tv “Mr Robot”, ma può servire a poco se poi a essere vulnerabili sono partner esterni.