Due attacchi informatici in poco meno di un anno, di cui uno nell’ultimo mese. A rischio i dati di 400mila clienti. Quelli di Unicredit, che mercoledì 26 luglio ha diffuso un comunicato in cui denuncia di aver subito “un’intrusione informatica in Italia con accesso non autorizzato a dati e clienti italiani relativi solo a prestiti personali”. Tale accesso – continua la nota – è avvenuto attraverso un partner commerciale esterno. Tuttavia nonostante l’incursione, tengono a precisare da Piazza Gae Aulenti, non è stato acquisito nessun dato, quali ad esempio le password, che possa consentire l’accesso ai conti dei clienti o che permetta transazioni non autorizzate. Al contrario potrebbe essere avvenuto l’accesso ad alcuni dati anagrafici e ai codici IBAN.
Fin da subito la banca si è mossa per metter in atto tutte le misure di sicurezza necessarie volta a impedire il ripetersi di queste intrusioni. Inoltre il gruppo guidato da Jean Pierre Mustier ha informato le autorità competenti e avviato uno specifico audit sul tema. Il prossimo passo sarà formalizzare un esposto alla Procura della Repubblica di Milano.
Eppure il tema della cybersecurity non sembra essere marginale nei piani della banca, la dimostrazione sta nel fatto che di recente Unicredit ha varato un piano industriale denominato “Transform 2019” che punta a investire 2,3 miliardi di euro entro il 2019 appunto, utili a rafforzare e rendere sempre più efficaci i propri sistemi informatici.
Con l’attacco informatico subìto da Unicredit, torna d’attualità il problema legato al cybersecurity in ambito bancario. Su questo tema sembra che la percezione di cosa sia sicuro e cosa no possa cambiare a seconda che a valutarla sia un cliente o un manager di una banca. Da un recente report realizzato da Capgemini – dal titolo The currency of trust: why banks and insurers must make customer data safer and more secure – risulta che per l’83% dei consumatori il settore bancario sia sinonimo di alti livelli di sicurezza. Dato che però precipita quando l’attenzione si sposta all’interno degli stessi istituti, dove soltanto il 21% degli executive è fiducioso nella propria capacità di rilevare violazione o di neutralizzarla.
Eppure secondo un’indagine condotta Kaspersky Lab e B2B international – citata in questo articolo dal Sole24Ore – il settore finance è quello che spende tre volte di più degli altri nel settore della sicurezza. E la tendenza in prospettiva è quella di un incremento degli investimenti in questo settore, considerato che il 64% delle banche coinvolte nell’indagine, prevede di effettuare nuovi investimenti in cybersecurity nei prossimi anni.
A dire il vero, per combattere il fenomeno delle violazioni informatiche, gli investimenti in sicurezza sono sì importanti ma possono non essere sufficienti. Come spiega Gabriele Faggioli – presidente del Clusit e responsabile scientifico dell’Osservatorio Security&Privacy dell’Osservatorio del Politecnico di Milano – in una video-intervista a EconomyUp, quel che serve più di tutto è la consapevolezza, il prendere coscienza di poter essere vittima in qualunque momento di attacchi informatici, ma anche la formazione aziendale. «Gli investimenti sono importanti perché è rilevante la necessità di avere fondi per poter fare investimenti in tecnologia e sistemi di sicurezza sempre più efficaci. Tuttavia c’è la necessità da un lato di una consapevolezza maggiore – sia da parte delle aziende che della pubblica amministrazione – dei rischi che si corrono; ma anche dall’altra parte c’è un esigenza di formazione relativa all’utilizzo delle strumentazioni adatte».
Per capire la portata del fenomeno basta dare uno sguardo agli ultimi numeri sulla protezione dei dati personali presenti in un’analisi dall’Osservatorio Security&Privacy del Politecnico di Milano, secondo cui solo il 27% delle imprese conosce gli obblighi della nuova normativa sulla protezione dei dati personali (GDPR), mentre appena il 9% ha già avviato un progetto per adeguarsi.
E proprio il General Data Protection Regulation (GDPR), che entrerà in vigore a maggiio 2018, potrebbe mettere ordine nel mondo della sicurezza informatica, dato che costringerà le aziende a rivelare i casi di violazione dei dati entro 72 ore dalla scoperta per non incorrere in sanzioni. Questo regolamento si applicherà a qualsiasi azienda (con sede nell’Unione Europea o meno) che tratti dati personali di cittadini europei, e come tale si prevede che riguarderà anche banche e assicurazioni di Stati Uniti, Regno Unito e Asia. Insomma la partita sulla sicurezza informatica è ancora tutta da giocare.
