Il data breach del 2018 costa caro a Unicredit: multa di 2,8 milioni di euro dal Garante per la privacy

ia phishing
Secondo il Garante per la privacy le banche devono adottare tutte le necessarie misure tecnico-organizzative e di sicurezza per evitare che i dati dei propri clienti possano essere sottratti illecitamente.
Francesco Destri

Collaboratore Francesco segue il mondo della tecnologia dal 1999, scrivendo per numerose testate online e cartacee. È specializzato soprattutto in tecnologia B2B, hardware e nuovi m... Leggi tutto

Nel sanzionare UniCredit con una multa di 2, 8 milioni di euro per una violazione di dati personali (data breach) avvenuta nel 2018 che ha coinvolto migliaia di clienti ed ex clienti, il Garante per la privacy ha affermato che le banche devono adottare tutte le necessarie misure tecnico-organizzative e di sicurezza per evitare che i dati dei propri clienti possano essere sottratti illecitamente.

Dalle verifiche effettuate dall’Autorità è emerso che la violazione era avvenuta a causa di un attacco informatico massivo al portale di mobile banking. L’attacco aveva causato l’acquisizione illecita del nome, cognome, codice fiscale e codice identificativo di circa 778.000 clienti ed ex clienti e, per oltre 6.800 dei clienti “attaccati”, aveva comportato anche l’individuazione del PIN di accesso al portale. I dati erano resi disponibili nella risposta HTTP fornita dai sistemi della banca al browser di chiunque provasse ad accedere, anche senza riuscirvi, al portale di mobile banking.

Nel corso della complessa attività istruttoria, il Garante ha rilevato diverse violazioni della normativa privacy. In particolare, l’Autorità ha accertato che la banca non aveva adottato misure tecniche e di sicurezza in grado di contrastare efficacemente eventuali attacchi informatici e di impedire ai propri clienti di utilizzare PIN deboli (come ad es. quelli composti da sequenze di numeri o coincidenti con la data di nascita).

garante privacy

Il Garante ha inoltre considerato ai fini dell’entità della sanzione l’elevato numero dei soggetti coinvolti dalla violazione dei dati personali, la gravità della stessa e la capacità economica della banca. Sono invece state considerate attenuanti la tempestiva adozione di misure correttive, le iniziative di informazione e supporto poste in essere nei confronti della clientela e la circostanza che la violazione non ha riguardato i dati bancari.

Con l’adozione di un secondo provvedimento, l’Autorità è intervenuta anche nei confronti di NTT Data Italia, sanzionando la società con una multa di 800.000 euro. Dalle verifiche effettuate dal Garante, in particolare è emerso che NTT Data Italia aveva comunicato ad UniCredit l’avvenuta violazione dei dati personali dei propri clienti oltre il termine previsto dal Regolamento e solo dopo che la banca ne era venuta a conoscenza tramite i propri sistemi di monitoraggio interno.

Inoltre, NTT Data Italia aveva affidato l’esecuzione delle attività di vulnerability assessment e penetration testing in subappalto a un’altra società, senza l’autorizzazione preventiva alla banca in qualità di titolare del trattamento, che invece aveva espressamente vietato l’affidamento a terze parti di tali attività.

data breachgarante privacysicurezza bancheUniCredit
// Data pubblicazione: 12.03.2024
Condividi:
 

Cybersecurity: l’Italia è ancora in balìa di attacchi DDoS da parte di attivisti

Cybersecurity: l’Italia è ancora in balìa di attacchi DDoS da parte di attivisti
In Italia gli attacchi informatici crescono a un ritmo sei volte più veloce che nel resto del mondo. Tornano a preoccupare gli attacchi DDoS, anche di media gravità, realizzati da hacktivisti. Segno forse di investimenti mirati solo alla protezione da malware e ransomware.
Andrea Grassi

Editor del network DigitalWorld ItaliaGiornalista professionista con una formazione tecnico-scientifica, dal 1995 ha lavorato per alcune delle più importanti testate di informatic... Leggi tutto

Continuano a crescere in numero e intensità gli attacchi informatici in tutto il mondo (+12%), e purtroppo l’Italia continua a distinguersi per una crescita molto superiore alla media globale (+65%). Sebbene il tasso di crescita appaia più basso rispetto al drammatico dato dello scorso anno (+169% in Italia contro un 21% globale), è bene ricordare che si tratta di valori incrementali, come ben rappresentato dall’immagine di apertura.

I dati del rapporto 2024, relativo a dati del 2023 e che il Clusit ha anticipato alla stampa, indicano sempre più che, nel panorama mondiale della cybersecurity, l’Italia rappresenta un’anomalia. Analizzando i fattori che contribuiscono a differenziare l’Italia dal resto del mondo, alcuni indicatori rivelano una verità dolce e amara.

A differenza dal resto del mondo, dove quattro attacchi su cinque sono condotti da criminali con finalità economica e comportano danni elevati o critici, in Italia è molto più forte la componente di hacktivismo (36%). Quasi la metà di tutti gli attacchi di hacktivismo a livello globale (47%) è stata messa a segno in Italia.

Due grafici a torta che indicano le differenze negli attacchi informatici globali e in italia

Gli attivisti conducono attacchi per lo più dimostrativi (la tecnica più usata in Italia, con il 36%, è stata il Distributed Denial of Service), che nel resto del mondo pesa solo per l’8 percento delle diverse utilizzate. Paragonabili l’utilizzo di malware e lo sfruttamento di vulnerabilità. Crescono dell’87 percento in Italia gli attacchi realizzati attraverso phishing e social engineering, che fanno leva sulle scarse competenze digitali per ingannare le vittime, trovando terreno fertile in Italia.

Due grafici a torta indicano le differenze tra le tecniche di attacco informatico globali e in italia

Questo tipo di attacchi, che mira a interrompere temporaneamente il servizio per un tempo limitato alla durata dell’attaco, ha quindi conseguenze meno severe, sottolinea Luca Bechelli del Comitato Scientifico del Clusit. In Italia il 43 percento degli attacchi è classificato di gravità media e l’1 percento bassa, mentre a livello globale gli attacchi di livello alto e quelli critici sono più dell’80 percento.

L’aumento nel numero e nell’intensità degli attacchi DDoS è stato rilevato anche dall’analisi che il SOC di Fastweb include nel rapporto Clusit, effettuata su 56 milioni di eventi riconducibili a rischio cyber e presentati da Gabriele Scialò, Product marketing manager dei servizi di cybersecurity. Cresce del 32 percento il numero di attacchi DDoS ad alto impatto, e cresce ancor di più la banda impiegata in questi attacchi: +72 percento.

Ci sono anche notizie positive nell’analisi di Fastweb: diminuiscono dell’8 percento i server che espongono servizi critici su internet (pur rimanendo 38.000), e calano del 3 percento le infezioni da malware e botnet.

CLusit 2024 severity

Non a caso, il settore più colpito in Italia è quello pubblico, che include il settore militare e delle forze di polizia, destinatari appunto di attacchi con motivazione di protesta politica.

Da un lato, quindi, possiamo consolarci con il fatto che sì, subiamo più attacchi degli altri, ma molti di questi non sono poi così gravi. Guardando l’altro lato della medaglia, però, possiamo dire che probabilmente in Italia abbiamo così tanti attacchi – e in particolare nel settore pubblico e nel manifatturiero – perché non siamo nemmeno in grado di difenderci da attacchi dimostrativi a bassa intensità che altri paesi riescono invece a respingere, tanto da non farli quasi rientrare nei radar.

Vaso di coccio tra vasi di ferro, l’Italia è un bersaglio facile anche per gli attacchi dimostrativi

In questo momento di turbolenza geopolitica, vaso di coccio tra vasi di ferro, l’Italia è un bersaglio facile anche per gli attacchi dimostrativi da parte di attivisti nell’orbita di organizzazioni straniere (ricordiamo gli attacchi DDoS di matrice russa alle banche della scorsa estate e, più di recente, a siti dell’esercito e della polizia).

Cosa possono fare le aziende italiane per difendersi?

Commentando le consuete raccomandazioni che il rapporto include, Silvio Pennasilico (Comitato Direttivo Clusit) sottolinea che anche nelle medie aziende la complessità è diventata enorme, con tantissimi sistemi intercorrelati che è difficile tenere aggiornati e protetti. “La governance non è più un aspetto formale, ma deve diventare attività sostanziale. Per farlo bisogna sviluppare una cultura della conoscenza e gestione dei rischi cyber, sia nelle organizzazioni che nella società. Oltre ad applicare velocemente le patch, sarebbe poi interessante sviluppare software con meno vulnerabilità in origine”, ha affermato.

Pennasilico ha anche aggiunto che secondo l’Osservatorio del Politecnico di Milano la spesa per la cybersecurity in Italia sta aumentando a doppia cifra ma – sottolinea Faggioli – la spesa rimane allo 0,12 percento del PIL, laddove altri paesi europei spendono più del doppio.

E probabilmente la spesa va a senso unico per protezione dalle minacce maggiormente percepite (il malware e il ransomware), e non in modo ottimizzato rispetto all’effettiva distribuzione degli attacchi, tralasciando per esempio la protezione della rete potrebbe respingere gli attacchi DDoS, commenta Sofia Scozzari del Comitato Direttivo.

Clusitcybersecurity
// Data pubblicazione: 08.03.2024
Condividi: