Sentiremo parlare sempre più spesso di questi casi grazie all’obbligo di denuncia previsto dalla nuova normativa EU.

L’annuncio arriva direttamente dalla banca Unicredit di Milano che, con una nota, denuncia di “di aver subito un’intrusione informatica in Italia con accesso non autorizzato ai dati di clienti italiani relativi solo a prestiti personali”.

Gli hacker, nel corso di due attacchi pervenuti nell’autunno 2016 e nei mesi di giugno e luglio 2017, avrebbero violato i dati di circa 400.000 correntisti nel segmento dei prestiti personali. Fortunatamente, come precisano i portavoce, non sono stati acquisiti elementi sensibili, quali password, che possano consentire l’accesso ai conti dei clienti, permettendo transazioni non autorizzate.

L’attacco è avvenuto tramite un bug presente nei sistemi di un partner commerciale esterno italiano.

La banca ha prontamente adottato tutte le azioni necessarie volte ad impedire il ripetersi di tali intrusioni, anche in considerazione del fatto che, nel piano industriale Transform 2019, il Gruppo ha investito circa 2,3 miliardi di euro, proprio alla voce della sicurezza IT.

Nei prossimi giorni la banca si premurerà di contattare tutti i propri clienti ma non via mail o telefonicamente, per motivi di riservatezza. Un numero verde (800 323285) è stato comunque attivato per dare maggiori informazioni in merito.

Unicredit ha subito reagito all’attacco, preparando un esposto alla Procura di Milano e avviando un’indagine interna. Ieri è stata aperta un’indagine, per ora carico di ignoti, per accesso abusivo al sistema informatico e violazione della privacy.

Notizie come questa diventeranno sempre più comuni nei prossimi anni e non perché prima questi attacchi non avvenissero ma per l’applicabilità del Regolamento Europeo 679/16 in materia di protezione dei dati, entrato in vigore a maggio 2016, che sarà però operativo a partire dal 25 maggio 2018. All’articolo 33 della norma si specifica il vincolo per l’impresa a denunciare violazioni “senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuta a conoscenza”.

La legge, che prevede sanzioni molto forti in merito (fino al 4% dei ricavi annui dell’impresa), permetterà di avere più trasparenza circa l’affidabilità della sicurezza dei sistemi informatici che le aziende utilizzano per proteggere i dati dei loro clienti. Niente più insabbiamenti per salvare la reputazione di grandi marchi quindi, l’Autorità Garante avrà l’obbligo di verificare il livello di sicurezza dell’azienda, che dovrà attenersi a un regolamento molto rigido.

La scelta dei partner con cui si lavora dipenderà sempre più dall’attendibilità e dalle garanzie di sicurezza adottate per poter capire il livello di protezione adoperato sui dati che gli verranno affidati.

La tutela dei dati è stata considerata per anni quasi “opzionale”, con l’approvazione di questa legge invece le imprese non dovranno solo implementare le proprie misure di sicurezza ma anche dimostrare costantemente l’idoneità dei propri sistemi.

Visto il grande numero di dispositivi da controllare e i numerosi canali di accesso, nonché la possibilità di “cavalli di Troia” pervenuti da indirizzi “amici”, pare che la vera sfida non sarà tanto impedire gli attacchi ma rilevarli in tempo.