Target è un colosso statunitense del retail. Un sito e-commerce ma soprattutto – fin dalla prima apertura nel 1962 in Minnesota – grandi magazzini che vendono di tutto al dettaglio: dal vestiario agli utensili per la casa, fino all’elettronica.
Martedì scorso Target ha dovuto concordare con le autorità americane la più alta somma di compensation nella storia dei furti di dati personali. Una vicenda che deve allertare chiunque si avvalga di sistemi elettronici di pagamento – ossia un’infinità di operatori economici, in Italia e nel mondo – su un tema basico che però (ne abbiamo riscontri purtoppo quotidiani) alcuni faticano ancora ad assimilare: oggi non ci può esser alcun business solido e duraturo senza un’adeguato investimento sulle misure informatiche di sicurezza.
Veniamo alla storia. A fine 2013 alcuni cybercriminali rubano le credenziali di accesso al gateway di Target dai sistemi di un suo fornitore e, tramite esse, individuano le vulnerabilità di una infrastruttura informatica che si rivela scarsamente presidiata. Gli hacker installano, quindi, nel customer service database un maleware che cattura i dati dei clienti quali nominativi, indirizzi email, numeri di telefono, numeri di carte di credito con relativi codice di sicurezza, e altro ancora. Un furto massivo: 60 milioni di profili, di cui 41 con dettagli sui loro strumenti elettronici di pagamento.
Nel 2015, Target aveva già patteggiato $10 milioni in relazione ad una class action avanzata sulla medesima violazione, promettendo inoltre risarcimenti da $10.000 per ogni consumatore che fosse riuscito a provare danni derivanti dal furto dei dati della carta di credito.
Ora dovrà far fronte a questo ulteriore ed enorme esborso (corrispondente a circa 16,5 milioni di Euro) per porre fine ad una investigazione che prometteva sanzioni ancor più gravi. Ma ci sarà da prevedere altre uscite di cassa a brevissimo termine. L’accordo con le autorità, infatti, prevede che Target investa obbligatoriamente in risorse umane e soluzioni dedicate alla sicurezza secondo un piano ben delineato che comprenderà, tra le altre cose, la segregazione dei pagamenti elettronici dal resto dei dati.
