UniCredit: attacco informatico, violati dati di 3 milioni di clienti. Nessun accesso ai conti. Che fare adesso?
UniCredit ha scoperto una violazione della sicurezza informatica che coinvolge i dati, tra cui nome, numeri di telefono ed e-mail, di 3 milioni di clienti. La banca ha avviato un’indagine interna e ha informato la polizia e altre autorità competenti, oltre che i diretti interessati.
I dati rubati: nomi, telefoni ed e-mail. Nessuna coordinata bancaria
Il team di sicurezza informatica di UniCredit ha identificato un caso di accesso non autorizzato a dati relativo a un file generato nel 2015. Questo file conteneva circa 3 milioni di records, riferiti al solo perimetro italiano, quindi soltanto in Italia, e risultava composto da nomi, città, numeri di telefono ed e-mail. Non sono state invece compromesse le coordinate bancarie in grado di consentire l’accesso ai conti o l’effettuazione di transazioni non autorizzate.
UniCredit ha immediatamente avviato un’indagine interna e ha informato tutte le autorità competenti, compresa la polizia. L’istituto sta inoltre contattando, esclusivamente tramite posta tradizionale e/o notifiche via online banking, tutte le persone potenzialmente interessate. Per qualsiasi dubbio, i clienti possono contattare il servizio clienti di UniCredit o chiamare il numero verde dedicato 800 323285.
Quanto è alto il rischio di attacco informatico?
Non è la prima volta. Esattamente un anno fa, nell’ottobre 2018, un attacco informatico contro l’home banking del gruppo era stato sventato ma aveva comunque compromesso oltre 700mila account di clienti, raccogliendo informazioni personali come nome, codice fiscale, codice identificativo dei clienti e in alcuni casi anche le password. E andando ancora più indietro nel tempo, tra l’autunno del 2016 e l’estate del 2017 un altro attacco informatico a danno di UniCredit aveva violato i dati di circa 400mila clienti. Anche in questo caso, si trattava di dati sensibili ma nessun codice o password in grado di operare sui conti correnti.
Ma non solo UniCredit. Diverse banche hanno affrontato negli ultimi anni numerosi attacchi informatici che hanno interrotto le operazioni o compromesso le informazioni private dei clienti. Secondo quanto ricostruisce Bloomberg, solo a settembre un hacker russo ha eseguito il più grande attacco contro una banca americana, rubando dati su oltre 80 milioni di clienti di JPMorgan Chase & Co. e altre istituzioni.
“La sicurezza dei dati dei clienti è una priorità assoluta per UniCredit”, afferma la banca di Piazza Gae Aulenti. Dal lancio del piano strategico Transform 2019 nel 2016, il gruppo ha investito 2,4 miliardi di euro per l’aggiornamento e il rafforzamento dei sistemi IT e della sicurezza informatica. Nel giugno 2019, l’istituto ha implementato un nuovo processo di strong customer authentication, valido sia per l’accesso ai servizi web e mobile sia per le operazioni di pagamento. Questo nuovo processo richiede una password unica o un’identificazione biometrica, rafforzando ulteriormente la sicurezza e la protezione dei clienti.
Cosa fare adesso?
Sebbene non siano state rubate le coordinate bancarie che compromettono i conti correnti, i clienti coinvolti nella violazione dei dati devono comunque prestare maggiore attenzione. “I consumatori devono ora prestare molta attenzione e avere particolari cautele, seguendo speciali precauzioni nei prossimi mesi”, ha avvertito tempestivamente l’Unione Nazionale Consumatori. Potrebbe infatti esserci un aumento delle truffe informatiche, il cosiddetto phishing. Gli hacker potrebbero inviare ai clienti Unicredit e-mail personalizzate, con il logo contraffatto dell’istituto di credito, invitandoli ad accedere al sito per motivi di sicurezza, prendendo a pretesto proprio il loro attacco.
L’associazione dei consumatori ha quindi stilato un decalogo. Dieci consigli per evitare di essere truffati online a seguito di violazione dei dati:
1) Attenti al phishing. Non accedete a nessun sito, anche se noto, cliccando da un indirizzo elettronico ricevuto via email. Può essere un’email contraffatta con grafica e logo della ditta e/o banca che chiede di riassumere dati personali o rimanda ad una finta pagina web del tutto simile all’originale;
2) Non rispondere mai ad email senza aver prima verificato l’indirizzo di provenienza. Non basta, infatti, che il nome dell’utente corrisponda. Quello che conta è l’indirizzo email;
3) Mai aprire allegati senza aver prima accertato l’effettiva provenienza dell’email;
4) Dati riservati. Non dare mai online il proprio nome, indirizzo, telefono, età o altri dati personali a indirizzi email di persone ignote;
5) Dati segreti. Non dare mai online a nessuno, neanche a persone note, il proprio numero di codice fiscale, il luogo e la data di nascita o il numero della carta d’identità;
6) Verificare se il sito della propria banca è protetto. I siti delle banche, quando si accede al proprio conto, devono essere protetti da sistemi di sicurezza internazionali come SSL e SET: sono riconoscibili dal simbolo di un lucchetto chiuso nella barra di indirizzo.
7) Cambiare la password. Periodicamente è opportuno cambiarla, meglio ogni 3 mesi. Prima di effettuare il cambio, controllare se il sito è in connessione cifrata “Ssl”. Usare password con come minimo 10 caratteri, con combinazioni di numeri e lettere, maiuscole e minuscole e almeno un carattere speciale, tipo virgola, punto e virgola o due punti. Il proprio nome con l’aggiunta di un numero, magari la propria data di nascita, è decisamente da evitare. Mai password, insomma, con propri dati personali. Nemmeno le sequenze di tasti, tipo asdf, qwerty, 1234 sono sicure. Non utilizzare, infine, le stesse password per più account. Non lasciare la password scritta in posti raggiungibili da altri.
8) Estratto conto. Dopo aver fatto un acquisto non sarebbe male controllare i successivi estratti conto.
9) Utilizzare software e browser completi ed aggiornati: il primo passo per la sicurezza è avere un buon antivirus aggiornato. Per una maggiore sicurezza online, inoltre, è necessario aggiornare all’ultima versione disponibile il browser utilizzato per navigare.
10) Download. Non scaricare nulla e non installare programmi da siti che non siano sicuramente affidabili.