Gli oltre due miliardi di euro di investimento (tanto avrebbe intenzione di spendere Unicredit in tema di cybersecurity) lasciano immaginare i preparativi per affrontare una guerra. Purtroppo di guerra si tratta, anche se più silenziosa di quelle caratterizzate da lanci di bombe o colpi di cannone: le 400mila vittime godono, fortunatamente, di ottima salute e probabilmente stavolta gli è andata bene.

Parliamo del clamoroso “outing” che Unicredit ha fatto stamane raccontando di una sgradita visita di hacker all’interno dei sistemi informatici che costituiscono il tessuto connettivo della banca [qui il comunicato ufficiale].

Un’intrusione avvenuta negli ultimi due mesi ha portato ad acquisire un quantitativo non trascurabile di dati e notizie riguardanti clienti che hanno chiesto e ottenuto prestiti personali. L’arrembaggio, però, è soltanto una sorta di “bis” in una brigantesca jam-session le cui prime performance risalirebbero addirittura all’autunno dello scorso anno. I banditi, in pratica, sono ritornati sul luogo del delitto, quasi avessero dimenticato di portar via qualcosa oppure soltanto perché la strada era rimasta incredibilmente aperta.

Questa tipologia di aggressione cibernetica non è affatto nuova, ma in precedenza (fatto salvo il caso delle caselle di posta @libero.it dell’estate 2016) l’abbiamo sempre guardata da lontano fino ad immaginare che un rischio del genere non dovesse mai riguardarci. Si chiama “data breach” e ricorda i bersaglieri di La Marmora alle prese con la cinta muraria nei pressi di Porta Pia. La breccia, stavolta, ha portato a sfondare il perimetro degli archivi elettronici in cui sono custoditi elementi informativi magari non nevralgici ma comunque importanti.

Sono episodi che toccano in sorte solo alle realtà di maggiore imponenza, quelle che – in pratica – dispongono di un importante quantitativo di interlocutori tra clienti, fornitori, dipendenti. Nulla di cui stupirci, quindi, anche se il ritardo nella scoperta non depone bene e lo sforzo finanziario pianificato suoni più come un’aggravante che come un’esimente.

Il comunicato stampa parla di un “assalto avvenuto attraverso un partner commerciale esterno italiano”. Non c’è il nome del colpevole (l’intruso) o del responsabile (chi non ha protetto i sistemi di Unicredit), ma viene indicata la strada percorsa dai banditi. Non trattandosi di toponomastica, la mancanza del nome può disorientare gli aficionados dell’immaginario Google Maps utilizzato da birichini e criminali per raggiungere la propria destinazione illecita. Certo è che l’evento ha potuto verificarsi grazie ad un tallone d’Achille lasciato esposto da qualche fornitore o collaboratore incauto o incompetente.

La clientela è stata rassicurata con la pubblicazione di un comunicato stampa, l’attivazione di un numero verde, la messa a disposizione del personale di filiale, ma la tensione – nella fattispecie di questo genere – è difficile da contenere. Chi vuole “rasserenarsi” (se si scoprisse che Enrico Letta è correntista, la preoccupazione è legittima) deve attendere l’esito della revisione interna che è stata tempestivamente (almeno quella) avviata per far luce sull’accaduto.

La fragilità delle architetture tecnologiche è testimoniata, ancora una volta, da casi concreti. Le chiacchiere dei convegni – come si vede – non blindano i bersagli individuati dalla criminalità, dalle organizzazioni concorrenti, dai Paesi ostili, dal terrorismo.

Preso atto di quanto la banca ha coraggiosamente dichiarato, si è costretti a constatare che sono aria fritta anche certi protocolli d’intesa (forse la parola “intesa” trae in inganno i malpensanti…) stipulati con le istituzioni. Leggere online che “Il Dipartimento della pubblica sicurezza del ministero dell’Interno e UniCredit Spa hanno concluso un accordo per la prevenzione e il contrasto degli attacchi informatici diretti ai sistemi informativi critici e ai servizi di home banking e monetica del gruppo bancario” ci fa domandare cosa non abbia funzionato a fronte di un così massiccio schieramento.

Ancora una volta si scopre che la sicurezza informatica non è un gioco, un tema di conversazione conviviale o una brillante opportunità per richiamare l’attenzione. E’ una cosa seria, e lo si dovrebbe sapere senza aspettare il solito noioso commento sull’ennesima disavventura.

@Umberto_Rapetto

close

Prima di continuare

Se sei qui è evidente che apprezzi il nostro giornalismo. Come sai un numero sempre più grande di persone legge Ilfattoquotidiano.it senza dover pagare nulla. L’abbiamo deciso perché siamo convinti che tutti i cittadini debbano poter ricevere un’informazione libera ed indipendente.

Purtroppo il tipo di giornalismo che cerchiamo di offrirti richiede tempo e molto denaro. I ricavi della pubblicità ci aiutano a pagare tutti i collaboratori necessari per garantire sempre lo standard di informazione che amiamo, ma non sono sufficienti per coprire i costi de ilfattoquotidiano.it.

Se ci leggi e ti piace quello che leggi puoi aiutarci a continuare il nostro lavoro per il prezzo di un cappuccino alla settimana.

Grazie,
Peter Gomez

Articolo Precedente

Dal talent con Favij al Red Bull Factions, passando per FIFA e Dorna: gli esports puntano a conquistare tutti

prev
Articolo Successivo

The Sims 4 disponibile su Play Station 4 e Xbox One a partire dal 17 Novembre – FOTO

next