Il team di sicurezza informatica di
UniCredit ha identificato un caso di accesso non autorizzato a dati. Il caso riguarda un file generato nel 2015. Questo file conteneva circa
3 milioni di record riferiti al perimetro italiano, spiega la società.
Il file risultava composto da
nomi, città, numeri di telefono ed e-mail. "Ciò significa che non sono stati compromessi altri dati personali, né coordinate bancarie in grado di consentire l'accesso ai conti dei clienti o l'effettuazione di transazioni non autorizzate", sottolinea Unicredit. Sono comunque informazioni
sufficienti per
azioni di phishing e, limitatamente, per tentativi di furti di account od identità.
L'istituto bancario sembra comunque abbastanza convinto della solidità del suo
sistema di controllo degli accessi. Lo scorso giugno, spiega, è stato implementato "un nuovo processo di strong customer authentication" per l'accesso ai servizi web/mobile e per le operazioni di pagamento. Il processo "richiede una password unica o
un'identificazione biometrica, rafforzando ulteriormente la sicurezza e la protezione dei clienti".
UniCredit ha avviato
un'indagine interna sul data breach. E ha informato tutte le autorità competenti, compresa la Polizia. Questa indagine, insieme alla comunicazione al pubblico del data breach, rientra tra gli
obblighi che le imprese hanno per effetto del
GDPR.
La banca sta contattando, esclusivamente tramite
posta tradizionale e notifiche via online banking, tutte le persone potenzialmente interessate. Dato che il data breach riguarda anche indirizzi di email, le comunicazioni via posta elettronica sono evidentemente considerate meno affidabili. "Per qualsiasi dubbio, i clienti possono contattare il servizio clienti di UniCredit o chiamare il numero verde 800 323285", invita comunque la banca.