Nexi è al centro della tempesta al momento. Gli oltre 21 mila nominativi apparsi su Pastebin, il più celebre forum per la condivisione di frammenti di codice sorgente, software, testi, database e altre informazioni sparse, sono stati attribuiti all’ex Istituto Centrale delle Banche Popolari Italiane, ma nessuno sa da dove arrivano e – crucialmente – se questi appartengono veramente all’azienda.

Ovviamente la situazione è in divenire, ma la genericità degli archivi pubblicati ha fatto nascere qualche sospetto.

Ipoteticamente, nel caso in cui volessi arrecare danno – in particolar modo a una società quotata in Borsa – economico e d’immagine, cosa c’è di più semplice del pubblicare una lista non descrittiva di nomi e cognomi (e partita Iva in qualche caso) attribuendola al mio target.

È veramente fattibile? Di certo, come accennato prima, la genericità (e ancora nessuno è stato in grado di risalire alla fonte di questi dati) può indurci a speculare che in realtà non sia mai avvenuto nessun data leak né tantomeno data breach.

Potremmo essere di fronte alla più grande fake news in ambito Cyber Security dell’anno.

Questo perché, a prescindere dalle evidenze del caso Nexi, i dati pubblicati potrebbero essere stati usati per arrecare danno a qualsiasi tipo di azienda: da una Rai del caso a un supermercato che rilascia carte fedeltà o addirittura a una struttura sanitaria.

Concretamente, la frase riportata a inizio leak “Dati personali clienti Nexi Spa Un saluto a Paolo Bertoluzzo, Luca Biancardi, Alessandro Cocciolo Un abbraccio dagli schiavetti di Montefeltro” è l’unica evidenza di un tenue collegamento tra la società italiana e il data breach.

Scollegando queste due righe, a dir poco sospette, e sostituendole con nomi e cognomi dei vertici di una qualsiasi altra azienda è facile immaginare come il database pubblicato possa essere riciclato per arrecare danno a una qualsiasi altra organizzazione.

Paure e domande

Dubbi o no, il colpo è stato avvertito e al momento il titolo Nexi a Piazza Affari è in ribasso. Ma mentre i consumatori e gli investitori si agitano al pensiero di poter essere vittime di truffe o furto di credenziali, dal lato Cyber Security la community si trova a discutere su cause, motivazioni e rimedi.

Ma per capire la peculiarità di questo caso dobbiamo prima mettere a fuoco il concetto di data breach.

In breve, si tratta di un incidente informatico in cui le informazioni e i dati sensibili di un ente (aziende o pubblica amministrazione) vengono rubate o prelevate dal sistema senza l'autorizzazione del proprietario.

I dati sottratti possono riguardare, appunto, informazioni sensibili, ma anche proprietarie o riservate come numeri di carte di credito, dati dei clienti, segreti industriali o questioni di sicurezza nazionale.

Sfortunatamente la criminalità informatica è un settore sempre più redditizio per gli aggressori e continua a crescere. I criminal hacker cercano informazioni personali per rubare denaro, compromettere l'identità o vendere informazioni sul dark web.

Le violazioni dei dati possono verificarsi per una serie di motivi, anche accidentali, ma gli attacchi mirati sono generalmente effettuati in questi quattro modi:

Utilizzando le vulnerabilità di sistema: Un software obsoleto può creare una falla che consente all'aggressore di introdurre malware sulla rete aziendale per sottrarre dati.

Password deboli: Le password utente deboli e insicure sono più facili da indovinare per i criminal hacker, soprattutto se contengono intere parole o frasi.

Download drive-by: È possibile scaricare involontariamente un virus o un malware semplicemente visitando una pagina web compromessa. Un download drive-by in genere sfrutta un browser, un'applicazione o un sistema operativo che non è aggiornato o ha una falla di sicurezza.

Attacchi malware mirati: Gli aggressori utilizzano le tattiche di spam e phishing per cercare di indurre l'utente a rivelare le credenziali dell'utente, scaricare allegati di malware o indirizzare gli utenti verso siti web vulnerabili. L'e-mail è un modo comune per far sì che il malware finisca sul computer.

Una questione di fiducia

Questa descrizione sommaria dovrebbe far comprendere meglio il perché di tanta titubanza da parte del lato consumer.

Il problema creatosi con Nexi ha intaccato fortemente la fiducia dell’utente finale.

Anche se chi è il presunto bersaglio rassicura il mondo negando serenamente che sia mai accaduto qualcosa, chi non è atto a cimentarsi nel mondo della cyber security, naturalmente, stenta a credere a chi è sotto i riflettori.

Il pericolo è che questo sia solo il primo esempio di una nuova strategia diffamatoria che potrebbe diventare standard: utilizzare dati non descrittivi per screditare i propri competitor o, perché no, i propri avversari politici agli occhi del pubblico.

Il caso ha però aperto anche un altro filone di criticità, se vogliamo più ‘alto’, ovvero la mancanza di azione e autorevolezza da parte di quegli organismi che dovrebbero tutelare le parti coinvolte – sia consumer sia azienda – in casi come questo.

Il silenzio totale, o quasi, dell’Autorità di garanzia (sia per la protezione dei dati sensibili sia per la tutela della concorrenza) e della Consob (La commissione nazionale per le società e la borsa) è stato assordante e ha sicuramente ulteriormente peggiorato la situazione.

Le autorità preposte citate dovrebbero inserirsi e adoperarsi, per ruolo istituzionale, a fare chiarezza, a sedare gli animi comprensibilmente irrequieti e ad evitare le inevitabili ripercussioni che una simile notizia – anche infondata – sono destinate a manifestarsi sui mercati finanziari, sull’economia e tra la popolazione.

È auspicabile che questi debbano immediatamente sincerarsi dell’accaduto. Se il data breach c’è stato, non mancano gli strumenti – GDPR docet – per sanzionare adeguatamente chi non ha adottato le misure di sicurezza e per attivare ogni utile procedura di emergenza a salvaguardia dei cittadini le cui informazioni personali indebitamente fuoriuscite dagli archivi elettronici possono essere adoperate in modo illegale.

In caso contrario, se la news si rivelasse priva di qualsiasi frammento di verità il compito del garante e della Consob dovrebbe essere quello di comunicare urbi et orbi la falsità della notizia e del conseguente allarme.

Il risultato, mancando queste garanzie, l’abbiamo già visto con Nexi – stante che la notizia è ancora in divenire – e le conseguenze sulla brand reputation e sul titolo si sono già fatte sentire.