Il team di sicurezza informatica di UniCredit ha identificato un caso di accesso non autorizzato a dati. Il caso riguarda un file generato nel 2015. Questo file conteneva circa 3 milioni di record riferiti al perimetro italiano, spiega la società.

Il file risultava composto da nomi, città, numeri di telefono ed e-mail. "Ciò significa che non sono stati compromessi altri dati personali, né coordinate bancarie in grado di consentire l'accesso ai conti dei clienti o l'effettuazione di transazioni non autorizzate", sottolinea Unicredit. Sono comunque informazioni sufficienti per azioni di phishing e, limitatamente, per tentativi di furti di account od identità.

L'istituto bancario sembra comunque abbastanza convinto della solidità del suo sistema di controllo degli accessi. Lo scorso giugno, spiega, è stato implementato "un nuovo processo di strong customer authentication" per l'accesso ai servizi web/mobile e per le operazioni di pagamento. Il processo "richiede una password unica o un'identificazione biometrica, rafforzando ulteriormente la sicurezza e la protezione dei clienti".

UniCredit ha avviato un'indagine interna sul data breach. E ha informato tutte le autorità competenti, compresa la Polizia. Questa indagine, insieme alla comunicazione al pubblico del data breach, rientra tra gli obblighi che le imprese hanno per effetto del GDPR.

La banca sta contattando, esclusivamente tramite posta tradizionale e notifiche via online banking, tutte le persone potenzialmente interessate. Dato che il data breach riguarda anche indirizzi di email, le comunicazioni via posta elettronica sono evidentemente considerate meno affidabili. "Per qualsiasi dubbio, i clienti possono contattare il servizio clienti di UniCredit o chiamare il numero verde 800 323285", invita comunque la banca.