27 Luglio 2017

Il furto di dati a Unicredit e la sicurezza informatica in Banca

La Banca Unicredit ha appena reso noto che alcuni archivi informatici con dei data base clientela, affidati alla responsabilità di un fornitore, sono stati forzati. I file conterrebbero alcune informazioni riferibili a parecchie migliaia di piccoli prenditori. Nello specifico si citano l’anagrafica e l’IBAN. Per le grandi banche l’esternalizzazione di uno step operativo, lungo la filiera di specifici prodotti/servizi, è molto frequente e il collaboratore designato deve dimostrare la capacità di eseguire correttamente, di interfacciare i clienti e di proteggere la riservatezza e l’integrità dei dati. La catena della comunicazione, e la stessa organizzazione aziendale, possono presentare delle falle o delle opportunità per i pirati esperti, ma non dimentichiamo il ruolo del privato (dipendente o altro che sia) nel fornire al ladro un passaggio verso l’obiettivo. Perché i nostri riferimenti personali, sparsi qua e là sul web e in decine di archivi, fanno gola a un mercato nero che tratta e valuta di tutto, dirottando frotte di byte a chi ha bisogno di promuovere, al marketing legale e ai truffatori. Ritorno alle ammissioni di Unicredit per alcune considerazioni. L’anagrafica potrebbe essere limitata al nome/cognome + l’indirizzo. L’IBAN è, come sappiamo, quel numero lunghissimo che identifica il nostro rapporto bancario, comprendendo i codici ABI e CAB, la residenza della banca, il tipo e il numero del conto corrente. Questo recapito viene in genere utilizzato per indirizzare dei bonifici attivi o domiciliare degli addebiti ricorrenti. Riallacciandomi agli aspetti di cui sopra, sono portato a pensare che il fornitore derubato possa essere stato incaricato di riscuotere le rate, giusto quindi conoscere il debitore, l’indirizzo, l’IBAN, l’importo e la scadenza. Non è poco perché dall’IBAN si può ricostruire Banca, Filiale e conto corrente. Per l’accesso ai nostri soldi mancherebbe la chiave: i codici internet o la firma (digitale o materiale), ma è comunque qualcosa che ci costringe, quanto meno, a cambiare il conto. Consoliamoci, sarebbe stato ben peggiore se si fossero appropriati degli elementi di istruttoria, comprensivi di situazione patrimoniale e reddituale, dichiarazione imposte e cedolino paga, stato di famiglia, visure ipotecarie e catastali, destinazione del prestito, rapporti alimentati dal risparmio, eccetera. In tal caso l’utente si sarebbe trovato completamente nudo e non avrebbe potuto nascondere anche il più piccolo segreto confidato alla banca. Ricordiamoci comunque che tutti i contatti informatici, dalla posta elettronica, ai social, ai messaggini sullo smartphone, alla navigazione internet (compreso l’e-commerce) generano dei rischi per la nostra identità, i nostri soldi e la nostra quiete. Consigli ne abbiamo ascoltato tanti: dalla complessità delle password alla loro frequente modifica, dalla identificazione del mittente nella posta ricevuta, alla non apertura di allegati sconosciuti (o, peggio ancora, di link suggeriti), all’immediata cancellazione di e-mail con mittente apparente Poste o Banche, appese alle motivazioni più strane (blocco del conto o della carta, cambio dei codici di accesso, invalidazione di una transazione). Questi Enti non ci contatterebbero mai con una e-mail per argomenti così delicati, il dialogo via web avviene sempre su linee sicure, criptate e affidabili. E quando siamo tentati dagli acquisti on line non respingiamo l’idea pensando alla clonazione della nostra Carta di Credito, scegliamo una ricaricabile nominativa alimentandola solo al bisogno, possono clonarla, ma il danno sarà limitato. Ora rispondo a quell’incallito acquirente sui siti che vanno per la maggiore; si sta lamentando perché al suo indirizzo e-mail giungono offerte e comunicazione di tutti i tipi. Normale, com’è normale sentirsi chiamare dai call center sul numero del cellulare comunicato al venditore per il contatto eventuale col vettore, nel caso in cui…

Tutti i numeri e le sigle che ci circondano (e dei quali siamo succubi) possono essere oggetto di scambio e chi possiede un archivio può fare dei soldi, vale lo stesso principio dei like, delle visite ai siti web, degli afflussi alle città mercato e delle copie stampate e distribuite (ai lettori e ai cestini dei rifiuti). Più dati e più consumatori ci sono, meglio è; ben vengano quindi le amicizie su Facebook e sugli altri social, qualcuno le interpreta come una facilitazione per scalare la piramide dei dati carnierabili.

Sergio Martini