Nelle scorse ore un attacco informatico ha colpito, sembra senza gravi conseguenze, i sistemi di Mps. Come riporta Il Sole 24 Ore, è stata la stessa banca senese a darne notizia, attraverso una email inviata a un numero imprecisato di clienti coinvolti.
La comunicazione, inviata nella serata del 17 giugno, informava di una violazione dei dati personali, così come previsto dall’articolo 34 del Gdpr. E tutto lascia presumere che l’attacco informatico risalga alle 72 ore precedenti. Il regolamento europeo, infatti, impone che il soggetto attaccato ne dia comunicazione ai suoi clienti “senza ingiustificato ritardo”, non oltre le 72 ore.
I dettagli sul data breach non sono molti, ma dalle prime informazioni pare che gli hacker siano venuti in possesso di dati riguardanti gli indirizzi email di alcuni clienti. “Nei giorni scorsi – è scritto nella lettera di Mps ai clienti interessati – la nostra Banca è stata oggetto di un episodio che ha consentito a terzi non legittimati, a fronte della elevatissima numerosità di tentativi di intrusione tipica di questi attacchi, di verificare in alcuni casi se indirizzi email già in loro possesso fossero riconoscibili dai nostri sistemi. Tale circostanza quindi, pur senza dare la possibilità di un effettivo accesso, ha determinato la conferma a terzi dell’esistenza della sua email nei nostri sistemi”.
Come nella maggior parte dei data breach ai danni di un istituto di credito, il gruppo cybercriminale pare dunque esser riuscito a prelevare una quantità di dati personali pur senza riuscire a bucare i sistemi più solidi, cioè quelli che proteggono l’operatività dei conti correnti. Sempre in ottemperanza a quanto previsto dal Gdpr, Mps ha inoltrato una comunicazione sull’accaduto al Garante per la Protezione dei Dati Personali. E nella comunicazione inviata ai clienti, ha scritto: “Le confermiamo che non è stato registrato alcun accesso anomalo ai suoi rapporti con la Banca e che abbiamo assunto le iniziative necessarie per continuare a monitorare l’evoluzione della situazione con grande attenzione e con l’obiettivo che quanto accaduto non si ripeta”.
Come suggerito dalla stessa banca, in casi simili è preferibile che l’utente coinvolto nell’attacco provveda a cambiare il suo indirizzo email nell’area personale, anche attraverso l’home banking. Attacchi come quello ai danni di Mps sono spesso finalizzati alla raccolta di indirizzi email allo scopo di successive campagne di phishing, ed è per questo che è utile ricordare che le banche non utilizzano mai strumenti come email, telefono, sms e social network per chiedere ai clienti i loro dati (codice utente, password, codice Otp).