Le banche spingono per una digitalizzazione sempre più massiccia e diffusa, i mezzi di
pagamento elettronici si diffondono sempre di più, il commercio elettronico è in crescita, il
mondo si muove, anche sul versante dei pagamenti, sempre più velocemente. Ma, in manier direttamente proporzionale, aumenta vertiginosamente il rischio di furto dei dati sensibili.
La FABI di Palermo ha lanciato l’allarme per focalizzare l’attenzione sul fenomeno definito
tecnicamente “data breach”, un “incidente di sicurezza” in cui dati sensibili, protetti o riservati
vengono consultati, copiati, trasmessi, rubati o utilizzati da un soggetto non autorizzato. Il
fenomeno ha registrato, nel 2018, un aumento del 133% e nessuno può ritenersi al sicuro,
soprattutto banche e assicurazioni.
I dati violati con un “data breach” rappresentano un problema gravissimo per il Settore creditizio
– secondo un recente studio effettuato dall’Osservatorio Salute e Sicurezza della FABI di Palermo
– ad esempio con crimini portati a termine a danno di dati di carte di credito e/o conti correnti.
Infatti, correlato al fenomeno del “data breach”, è quello delle frodi creditizie con furto di identità
basate sull’utilizzo illecito dei dati personali e finanziari altrui per ottenere credito o acquisire
beni con l’intenzione premeditata di non rimborsare il finanziamento e non pagare il bene.
Purtroppo, la Sicilia è tra le regioni più insicure d’Italia, con dieci truffe creditizie al giorno
perpetrate attraverso furti di identità. Le statistiche elaborate da CRIF, un’azienda specializzata
in sistemi di informazioni creditizie e di business information, relative al primo semestre del
2019, vedono ben 575 casi in provincia di Palermo (contro i 345 dei primi 6 mesi del 2018), che
collocano la provincia palermitana al 5° posto nel ranking nazionale, davanti a Catania (433 casi
contro i 271 del 2018) che occupa il 6° posto in Italia. Seguono Siracusa (205 casi), Messina (199
casi), Trapani (176 casi) e Agrigento (108 casi), con un boom di episodi tra gli under 40.
Sono numeri preoccupanti: le banche e le assicurazioni devono pianificare, con maggiore
efficacia, strategie di sicurezza e valutare come proteggere al meglio i dati sensibili del business e
dei clienti. Le banche non possono da un lato spingere sul versante della digitalizzazione e,
dall’altro, non aumentare gli investimenti su questo versante. E non si salvano nemmeno le App
bancarie che hanno problemi di privacy e di sicurezza. Secondo un recente studio (Immuniweb)
sulle prime 100 banche mondiali è emerso che l’85% delle app non supera il test del GDPR
(General Data Protection Regulation).”
La cronaca è ricca di casi anche eclatanti.
A maggio del 2018 i Carabinieri di Messina sgominarono una banda, che operava in tutta Italia,
con una operazione cyber criminale denominata “Man in the middle” che ha coinvolto centinaia
di clienti e conti correnti bancari. I malviventi, attraverso il loro operato sul web, riuscirono
a modificare gli indirizzi PEC di diversi istituti bancari italiani, cambiandoli anche sui grandi siti
istituzionali consultati dai clienti e sostituendoli con alcuni indirizzi PEC di provider comuni e
facilmente reperibili, quali Legalmail, Aruba e diversi altri.
Ad essere truffati sono stati diversi gruppi bancari. Nel dettaglio, i malviventi presero di mira:
Barclays Bank, Banca Fineco, Iw Banck, CheBanca!, Banca Mediolanum e Ing Bank. Una volta
inseritesi nel sistema, i malviventi si impossessarono dei dati e del denaro sui conti correnti,
eseguendo transazioni verso rapporti bancari creati appositamente per incassare il denaro
sottratto.
Nel 2017 gli Hacker colpiscono i server Unicredit. Secondo quanto ricostruito dalla stessa Banca,
alcuni criminali del web prelevarono i dati di 400.000 persone. Unicredit denunciò” di aver
subito una intrusione informatica in Italia con accesso non autorizzato a dati di clienti italiani
relativi solo a prestiti personali” e che la falla si era aperta “attraverso un partner commerciale
esterno italiano”.
E qui sorge l’ulteriore grave problema dell’affidamento “in service” e all’esterno di delicati
servizi della banca.
Ad ottobre del 2019, di nuovo una intrusione nei sistemi di Unicredit: i dati di tre milioni di
clienti sono stati violati. Si tratta di tre milioni di record che contenevano nomi, cognomi, città,
numeri di telefono, mail di utenti registrati in filiali italiane.
La FABI di Palermo ha elaborato un decalogo di azioni da mettere in atto per tutelarsi dai
fenomeni criminosi sopra descritti. Esistono delle regole, anche abbastanza semplici, per
tutelarsi dalle frodi online in genere. Intanto è bene sapere che le informazioni e gli strumenti
con cui accediamo ai servizi della banca sono strettamente personali e vanno custoditi con cura e
che la banca ma non ci chiederà mai di fornirle direttamente i nostri codici di accesso ai servizi
quando ci contatta.
Occorre poi:
- controllare regolarmente e frequentemente gli estratti conto dei nostri rapporti bancari e, nei casi
in cui riscontriamo anomalie, rivolgersi immediatamente alla banca. - tenere sempre a portata di mano i numeri di riferimento della banca (numero verde del call center
e dell’assistenza); - avvalersi dei servizi di “notifica movimenti” offerti dalle banche in modo da essere “avvisati” ogni
volta che effettuiamo operazioni online o usiamo il bancomat e la carta di credito tramite SMS o e-
mail; - installare adeguati software di protezione (antivirus e antispyware) sui dispositivi che utilizziamo
per accedere al Mobile o Internet Banking e aggiornarli periodicamente; - effettuare spesso una scansione antivirus nei dispositivi che utilizziamo per gli accessi, soprattutto
se ne notiamo un rallentamento; - modificare frequentemente le password di accesso al servizio di internet banking;
- non rendere pubbliche, sui social network, le informazioni più “sensibili” che ci riguardano;
- non rendere pubblici indirizzi, password o codici;
- valutare con attenzione le richieste di dati personali da parte di chi non conosciamo, soprattutto
quelle connesse a socializzazione/fornitura/modifica degli stessi, a offerte di lavoro, a proposte di
“remunerativi” investimenti o alla vincita di un premio “sicuro”; - tenere costantemente aggiornate le informazioni personali comunicate alla banca.
Insomma, occhi aperti.”
A cura di Gabriele Urzì, Responsabile Salute e Sicurezza SAB FABI Palermo