Gli oltre due miliardi di euro di investimento (tanto avrebbe intenzione di spendere Unicredit in tema di cybersecurity) lasciano immaginare i preparativi per affrontare una guerra. Purtroppo di guerra si tratta, anche se più silenziosa di quelle caratterizzate da lanci di bombe o colpi di cannone: le 400mila vittime godono, fortunatamente, di ottima salute e probabilmente stavolta gli è andata bene.

Parliamo del clamoroso “outing” che Unicredit ha fatto stamane raccontando di una sgradita visita di hacker all’interno dei sistemi informatici che costituiscono il tessuto connettivo della banca [qui il comunicato ufficiale].

Un’intrusione avvenuta negli ultimi due mesi ha portato ad acquisire un quantitativo non trascurabile di dati e notizie riguardanti clienti che hanno chiesto e ottenuto prestiti personali. L’arrembaggio, però, è soltanto una sorta di “bis” in una brigantesca jam-session le cui prime performance risalirebbero addirittura all’autunno dello scorso anno. I banditi, in pratica, sono ritornati sul luogo del delitto, quasi avessero dimenticato di portar via qualcosa oppure soltanto perché la strada era rimasta incredibilmente aperta.

Questa tipologia di aggressione cibernetica non è affatto nuova, ma in precedenza (fatto salvo il caso delle caselle di posta @libero.it dell’estate 2016) l’abbiamo sempre guardata da lontano fino ad immaginare che un rischio del genere non dovesse mai riguardarci. Si chiama “data breach” e ricorda i bersaglieri di La Marmora alle prese con la cinta muraria nei pressi di Porta Pia. La breccia, stavolta, ha portato a sfondare il perimetro degli archivi elettronici in cui sono custoditi elementi informativi magari non nevralgici ma comunque importanti.

Sono episodi che toccano in sorte solo alle realtà di maggiore imponenza, quelle che – in pratica – dispongono di un importante quantitativo di interlocutori tra clienti, fornitori, dipendenti. Nulla di cui stupirci, quindi, anche se il ritardo nella scoperta non depone bene e lo sforzo finanziario pianificato suoni più come un’aggravante che come un’esimente.

Il comunicato stampa parla di un “assalto avvenuto attraverso un partner commerciale esterno italiano”. Non c’è il nome del colpevole (l’intruso) o del responsabile (chi non ha protetto i sistemi di Unicredit), ma viene indicata la strada percorsa dai banditi. Non trattandosi di toponomastica, la mancanza del nome può disorientare gli aficionados dell’immaginario Google Maps utilizzato da birichini e criminali per raggiungere la propria destinazione illecita. Certo è che l’evento ha potuto verificarsi grazie ad un tallone d’Achille lasciato esposto da qualche fornitore o collaboratore incauto o incompetente.

La clientela è stata rassicurata con la pubblicazione di un comunicato stampa, l’attivazione di un numero verde, la messa a disposizione del personale di filiale, ma la tensione – nella fattispecie di questo genere – è difficile da contenere. Chi vuole “rasserenarsi” (se si scoprisse che Enrico Letta è correntista, la preoccupazione è legittima) deve attendere l’esito della revisione interna che è stata tempestivamente (almeno quella) avviata per far luce sull’accaduto.

La fragilità delle architetture tecnologiche è testimoniata, ancora una volta, da casi concreti. Le chiacchiere dei convegni – come si vede – non blindano i bersagli individuati dalla criminalità, dalle organizzazioni concorrenti, dai Paesi ostili, dal terrorismo.

Preso atto di quanto la banca ha coraggiosamente dichiarato, si è costretti a constatare che sono aria fritta anche certi protocolli d’intesa (forse la parola “intesa” trae in inganno i malpensanti…) stipulati con le istituzioni. Leggere online che “Il Dipartimento della pubblica sicurezza del ministero dell’Interno e UniCredit Spa hanno concluso un accordo per la prevenzione e il contrasto degli attacchi informatici diretti ai sistemi informativi critici e ai servizi di home banking e monetica del gruppo bancario” ci fa domandare cosa non abbia funzionato a fronte di un così massiccio schieramento.

Ancora una volta si scopre che la sicurezza informatica non è un gioco, un tema di conversazione conviviale o una brillante opportunità per richiamare l’attenzione. E’ una cosa seria, e lo si dovrebbe sapere senza aspettare il solito noioso commento sull’ennesima disavventura.

@Umberto_Rapetto