Attacco informatico ai danni del Monte dei Paschi di Siena: gli indirizzi email nel mirino degli hacker

L'inferno di cyber attacchi che quotidianamente mette a rischio società e istituzioni europee ha colpito, seppur apparentemente senza gravi conseguenze, i sistemi di Mps. È la stessa banca senese a darne notizia, attraverso una email inviata a un numero imprecisato di clienti coinvolti. La comunicazione, inviata nella serata del 17 giugno, informa di una violazione dei dati personali, così come previsto dall'articolo 34 del Gdpr.

Hacker attaccano MPS: La notizia arriva direttamente da una comunicazione della banca ai suoi clienti. Nessuna infiltrazione nei conti correnti che funzionano normalmente

E tutto lascia presumere che l'attacco informatico risalga alle 72 ore precedenti. Il regolamento europeo, infatti, impone che il soggetto attaccato ne dia comunicazione ai suoi clienti «senza ingiustificato ritardo», e non oltre le 72 ore.

Indirizzi email nel mirino - I dettagli sul data breach non sono molti, ma dalle prime informazioni pare che gli hacker siano venuti in possesso di dati riguardanti gli indirizzi email di alcuni clienti.

«Nei giorni scorsi - è scritto nella lettera di Mps ai clienti interessati - la nostra Banca è stata oggetto di un episodio che ha consentito a terzi non legittimati, a fronte della elevatissima numerosità di tentativi di intrusione tipica di questi attacchi, di verificare in alcuni casi se indirizzi email già in loro possesso fossero riconoscibili dai nostri sistemi. Tale circostanza quindi, pur senza dare la possibilità di un effettivo accesso, ha determinato la conferma a terzi dell’esistenza della sua email nei nostri sistemi».

Come nella maggior parte dei data breach ai danni di un istituto di credito, il gruppo cybercriminale pare dunque esser riuscito a prelevare una quantità di dati personali pur senza riuscire a bucare i sistemi più solidi, cioè quelli che proteggono l'operatività dei conti correnti.

Sempre in ottemperanza a quanto previsto dal Gdpr, Mps ha inoltrato una comunicazione sull'accaduto al Garante per la Protezione dei Dati Personali. E nella comunicazione inviata ai clienti, ha scritto: «Le confermiamo che non è stato registrato alcun accesso anomalo ai suoi rapporti con la Banca e che abbiamo assunto le iniziative necessarie per continuare a monitorare l’evoluzione della situazione con grande attenzione e con l’obiettivo che quanto accaduto non si ripeta».

Phishing sospetto - Come suggerito dalla stessa banca. è preferibile - in casi del genere - che l'utente coinvolto nell'attacco provveda a cambiare il suo indirizzo email nell'area personale, anche attraverso l'home banking.

Attacchi come quello ai danni di Mps sono spesso finalizzati alla raccolta di indirizzi email allo scopo di successive campagne di phishing. Ed è per questo che è utile ricordare che le banche non utilizzano mai strumenti come email, telefono, sms e social network per chiedere ai clienti i loro dati (codice utente, password, codice Otp).

Problemi per i correntisti di Intesa Sanpaolo - Sempre sul fronte bancario, segnaliamo che è stata una giornata difficile per i correntisti di Intesa Sanpaolo, alle prese con numerosi disservizi soprattutto nelle prime ore della giornata.

Fonte: Il Sole 24 Ore

Note Autore

FederPrivacy

Federprivacy è la principale associazione di riferimento in Italia dei professionisti della privacy e della protezione dei dati personali, iscritta presso il Ministero dello Sviluppo Economico ai sensi della Legge 4/2013. Email: [email protected]