L’attacco informatico di cui è stata vittima Unicredit getta pesanti ombre sulla sicurezza delle banche italiane che custodiscono i nostri soldi. Prima di provare a spiegare il motivo, la cronaca: la mattina del 26 luglio, la banca milanese di piazza Gae Aulenti ha comunicato di avere subìto un’intrusione informatica ai dati di 400 mila clienti italiani. L’hackeraggio, come ha spiegato Unicredit, sarebbe stato, tuttavia, limitato ai clienti con prestiti personali e sarebbe avvenuto “attraverso un partner commerciale esterno italiano”. L’istituto di credito guidato da Jean Pierre Mustier, che ha anche annunciato un esposto sulla vicenda alla Procura di Milano, ha perciò precisato che non è stato acquisito nessun dato, come per esempio le password, che possa consentire l’accesso ai conti dei clienti o che permetta transazioni non autorizzate. Al contrario, potrebbe invece essere avvenuto l’accesso ad alcuni dati anagrafici e ai codici iban, quelli cioè necessari per effettuare bonifici su un conto. Riassumendo, quindi, nessuno sembra essersi introdotto nei conti correnti dei clienti di Unicredit, proprio perché la violazione ha avuto luogo tramite un partner commerciale esterno, di cui non viene rivelato il nome.
Il problema degli accessi al sistema
E’ proprio su questo aspetto che si concentra Andrea Rossetti, al vertice del Security Lab dell’Università Bicocca, che osserva: “La fragilità di un sistema che dovrebbe essere tra i più sicuri (quello di Unicredit appunto, ndr) è l’ennesima dimostrazione che il problema della sicurezza è un tema che va affrontato a livello sistemico: non basta avere un sistema con cui lavoro sicuro, è necessario che tutti gli accessi al mio sistema siano sicuri! Se ricordate, anche l’hacking dei fratelli Occhionero era partito dalle vulnerabilità esterne al sistema che avevano attaccato. Ed è un’ulteriore dimostrazione che la sicurezza non dipende solo dall’aver un sistema sicuro: il comportamento degli utenti che in vari modo accedono al sistema è fondamentale per la sicurezza. Pebkac dicono gli americani con un acronimo: ‘Problem exists between keyboard and chair’, il problema si trova tra la tastiera e la sedia”. In altri termini, una banca o più in generale una società può anche essere dotata di un sistema informatico interno all’avanguardia e a prova di hacker, magari messo a punto da Elliot Alderson in persona, il tecnico informatico super esperto protagonista della serie tv “Mr Robot”, ma può servire a poco se poi a essere vulnerabili sono partner esterni.
La questione della trasparenza
C’è poi un’altra questione, quella della trasparenza. “Unicredit – nota Enea Nepentini, portavoce di Cyber Alliance – ha un politica sulla sicurezza attenta, attiva e trasparente. Se succede questo fatto di ripetuta violazione a questo nostro prestigioso istituto bancario, figuriamoci il resto del settore economico e finanziario. La differenza è nel fatto che Unicredit ha una policy trasparente, già in linea con quelle che saranno le norme dal 2018, gli altri per nulla. Gli attacchi andati a buon segno sul nostro sistema bancario ci sono, di alcuni si è persa traccia. Si può affermare – aggiunge Nepentini – che quel 36% di danno di immagine per ogni attacco alle informazioni e ai sistemi determina purtroppo la motivazione nel non comunicare, questo però porta ad una contaminazione che va fermata. Gli episodi seri sono molti e a volte non vengono neppure rilevati dagli stessi istituti!”.
In altre parole, chissà quante altre intrusioni informatiche ci sono state nelle banche italiane, che però non lo hanno fatto sapere (ammesso e non concesso che se ne siano accorte, naturalmente). Da ricordare che Unicredit, nel piano industriale al 2019, ha inserito investimenti in sistemi informatici pari a 2,3 miliardi di euro.
La necessità di uno scambio di informazioni
Come fare, quindi? A detta di Nepentini, “l’unica risposta valida è quella della circolazione delle informazioni. Con il prezioso e qualitativo aiuto delle istituzioni preposte, bisogna arrivare ad un programma e un network capace, in tempo reale, di allertare e contrastare. Un circolo di informazioni costanti e immediate può far salire la sicurezza concentrando anche i vari versanti della sicurezza cyber sul problema mirato. Questo sistema sarebbe così in grado di dare aggiornamenti al momento giusto in modo da contrastare soprattutto i fenomeni più gravi. Su questa proposizione ci si aspetta un ruolo attivo di tutti, istituzioni, società regolamentate e strategiche, società italiane della cyber security che abbiamo e sono tra le prime al mondo”.
Sulla stessa lunghezza d’onda Rossetti, che fa notare che “già l’anno scorso la Banca centrale europea preannunciava la creazione di un database per registrare e classificare episodi di criminalità informatica presso le banche dell’Eurozona. Ma, nonostante tutti sostengano che lo scambio di informazioni sia essenziale per contrastare il problema, la procedura è ancora ai rudimenti. Va attivato uno scambio di informazioni tra diversi soggetti, ivi incluse le autorità nazionali”.
Source: https://it.businessinsider.com
