Unicredit è stata colpita da data breach più di tre mesi orsono. Tuttavia solo da pochi giorni è apprezzabile la reale portata dell’attacco.

Il 21 ottobre 2018 Unicredit ha subito una attacco hacker che ha violato i dati dei clienti aderenti ai servizi di on-line banking. Nelle immediatezze dell’accaduto, la più grande banca italiana aveva tempestivamente notificato la violazione dei dati personali, ai sensi dell’art. 33 del GDPR, trasmettendola al Garante il 22 ottobre 2018. Il medesimo giorno nella sezione News della sito Unicredit appariva il seguente breve comunicato:

UniCredit ha intercettato un tentativo illecito, nelle ultime 24 ore, di accedere via mobile alle posizioni di home banking dei propri clienti in Italia. Nessun dato bancario è stato compromesso. Per motivi di sicurezza le credenziali di circa 10.000 clienti sono state bloccate. UniCredit si sta occupando di contattare i clienti interessati per procedere con il reset delle password. La Banca ha 7 milioni di clienti retail in Italia. La sicurezza dei dati dei clienti è una assoluta priorità per UniCredit e, nell’ambito di Transform 2019, il Gruppo sta investendo 2,3 miliardi di euro per rafforzare e rendere sempre più efficaci i propri sistemi informatici.

Sembrava dunque un incursione riguardante “solo” 10 mila clienti, ma in realtà ne ha coinvolti 731.519. La cifra emerge con chiarezza dal Provvedimento del 13 dicembre 2018 del Garante Privacy (reso pubblico sul sito dell’Autorità solo settimana scorsa) da cui si apprendono ulteriori dettagli.

L’attacco – scaturente da rete anonimizzata (TOR) e rilevato il 21 ottobre dai sistemi di monitoraggio che – è stato attuato tramite attraverso l’utilizzo massivo di codici sequenziali per individuare quali di essi corrispondessero a REB code (codice identificativo personale per l’accesso al sistema di on-line banking) effettivamente esistenti.

In pratica, l’interrogazione massiva ed automatizzata dei sistemi cercava di indovinare i codici REB corretti. Una particolare condizione applicativa faceva sì che fossero restituite informazioni anche in caso di autenticazione fallita, “e quindi quando il REB Code inserito corrispondeva ad un cliente, indipendentemente dal fatto che la password fosse quella corretta” il sistema riferiva informazioni riguardanti l’intestatario del REB Code.

Su 731.519 codici REB violati, 6.859 sono stati bloccati immediatamente dalla banca perché di essi era stata individuata anche la password. Gli interessati la cui password era stata violata venivano prontamente e direttamente avvisati con comunicazione effettuata nei termini di cui all’art. 34 del GDPR e contenente invito a modificare prontamente la propria parola chiave. Medesime modalità di avviso non erano tuttavia osservate per le altre centinaia di migliaia di clienti (la cui password non era stata individuata) sia in considerazione dell’elevato numero di interessati sia perché con riguardo ad essi la banca non ravvisava vi fosse il “rischio elevato per i diritti e le libertà delle persone fisiche” di cui all’art. 34, par. 1 del GDPR. Per questo, Unicredit si limitava al sintetico comunicato web del 22 ottobre.

Nel provvedimento del 13 dicembre, il Garante smentisce l’interpretazione resa da Unicredit in relazione l’assenza di rischio elevato per i clienti cui non sia stata violata anche al password ed ingiunge alla banca di “comunicare, senza ritardo e comunque entro trenta giorni dalla data di ricezione del presente provvedimento, la violazione dei dati personali a tutti gli interessati che non siano già stati destinatari della comunicazione di avvenuta violazione (…)”.

Ad avviso dell’Autorità, infatti, ed anche con riferimento ai clienti le cui password non siano state carpite, “la violazione è da ritenere già di per sé fonte di potenziale grave pregiudizio per gli interessati, in considerazione dell’abitudine diffusa tra gli utenti dei servizi online di utilizzare password o PIN facilmente memorizzabili (…)”. E, questo, a prescindere da eventuali suggerimenti resi all’utenza affinché si ricorra a parole chiave di una certa complessità.

Inoltre il Garante nota che le informazioni aggredite “costituiscono dati direttamente e univocamente identificativi che, alla luce delle tecnologie disponibili, possono essere utilizzati come chiavi di ricerca per individuare in rete l´interessato e conseguentemente accedere anche ad altre informazioni allo stesso riferibili (quali, a esempio, un recapito telefonico o un indirizzo di posta elettronica); tali informazioni potrebbero essere utilizzate per rivolgere agli interessati comunicazioni telefoniche o messaggi di phishing a scopo fraudolento, grazie alla conoscenza dei dati personali da parte dei soggetti terzi che hanno condotto l’attacco informatico”.

Le preoccupazioni del Garante in merito a una probabile volontà di utilizzo illecito dei dati si fondano altresì sulla considerazione che:

  • la indagini interne di Unicredit successivi alla scoperta del data breach hanno evidenziato la sussistenza di una “fase preliminare, volta verosimilmente a mettere a punto la tecnica di attacco, e condotta attraverso alcuni tentativi di accesso, a partire dal giorno 11 ottobre”;
  • gli hacker non dovrebbero faticare molto per identificare gli intestatari degli account dal momento che “l’elevato numero di persone fisiche a cui si riferiscono i dati personali oggetto di violazione, caratterizzati peraltro da particolare qualità ed esattezza in quanto acquisiti a seguito di identificazione certa del cliente secondo le procedure tipiche del settore bancario”. L’Autorità ha infatti evidenziato nel contesto di specie “la facilità con cui è possibile identificare specifiche persone fisiche direttamente dai dati personali oggetto di violazione, senza che sia necessaria alcuna speciale ricerca per scoprire l’identità degli interessati”;
  • il particolare contesto nel quale il titolare del trattamento, tra i maggiori gruppi bancari operanti a livello europeo, effettua il trattamento di dati personali” non può essere ignorato quanto ad appetibilità per i malviventi del dark web.

Per questo, il Garante ha stabilito che Unicredit dovesse procedere a comunicazione immediata a tutti gli oltre 700 mila clienti interessati dalla violazione entro massimo 30 giorni dalla ricezione del Provvedimento del 13 dicembre. La banca ha provveduto, tanto che l’esperto di cyber security della testata Lettera 43 (nonché cliente della banca) Alessandro Curioni ha dato conto in un recente articolo della apposita missiva datata 10 gennaio inviatagli da Unicredit.

Infine, il Garante – oltre a ricordare le sanzioni in caso di inosservanza di quanto prescritto – ha ingiunto che gli fossero comunicate entro 7 giorni le eventuali ulteriori misure adottate per attenuare i possibili effetti negativi della violazione nei confronti degli interessati. Tra queste, di certo, Unicredit considererà l’opzione di forzare gli utenti – tramite appositi automatismi – all’adozione di password maggiormente complesse.

Per Unicredit non è la prima violazione subita negli ultimi tempi. Nell’estate 2017, l’istituto rendeva noto di aver scoperto un data breach plurimo che aveva riguardato i dati di 400.000 clienti Italia: sfruttando le vulnerabilità di un fornitore del gruppo, furono carpiti dati anagrafici e IBAN (ma non dati utili ad eseguire transazioni non autorizzate).