Mps,gli hacker entrano nelle email aziendali della banca e scrivono ai clienti

Quando si riceve un'email apparentemente proveniente dalla banca, in cui viene fatto credere al malcapitato destinatario che il proprio conto corrente sarebbe stato bloccato con la richiesta di effettuare l'accesso al web banking digitando le proprie password o di cliccare su un link, la maggior parte delle volte si tratta in realtà di tentativi di frode ad opera di hacker che cercano di carpire le credenziali degli utenti mediante campagne di phishing. 

Tuttavia, se non ci si lascia prendere dall'emotività e si esamina attentamente il contenuto della comunicazione, spesso si riesce ad accorgersi che si tratta di una trappola e che il mittente non è veramente la banca, ma un impostore sotto mentite spoglie.

Molto più difficile è però distinguere un tentativo di truffa online se la casella di posta elettronica da cui proviene il messaggio è effettivamente quella di un funzionario dell'istituto bancario. E questo è proprio quello che è accaduto ai clienti del Monte dei Paschi di Siena.

Secondo quanto riferito dall'agenzia Reuters, gli hacker sono infatti riusciti ad intrufolarsi nei sistemi informatici della banca senese accedendo alle email aziendali di alcuni dipendenti e hanno poi inviato delle email ai clienti, facendo così credere loro che fosse l'istituto bancario a contattarli.

Già il mese scorso la Polizia Postale aveva segnalato che Mps era diventata bersaglio dei criminali informatici con una truffa online tramite sms ed email che sfruttavano ignobilmente l'emergenza Coronavirus, e il 30 marzo lo stesso Monte dei Paschi aveva avvertito i propri clienti che a seguito di un attacco informatico erano stati illecitamente inviate loro alcune comunicazioni con allegati messaggi vocali.

Tali dichiarazioni non facevano però menzione di alcuna violazione dei dati aziendali, e neanche la banca aveva specificato come comportarsi nell'eventualità che fosse stata richiesta qualche informazione personale da parte dei celati malintenzionati o se qualche cliente corresse il rischio di subire delle perdite a causa delle comunicazioni ingannevoli. 

Al momento la banca ha rifiutato di commentare l'accaduto, ma se come pare si tratta di un "data breach", sarà comunque tenuta ad informare il Garante per la Privacy tramite notifica formale che, secondo quanto previsto dall'art.33 del Gdpr, deve essere inviata all'Autorità senza ingiustificato ritardo entro 72 ore dal momento in cui è venuta a conoscenza della violazione. Starà quindi al Garante indagare sull'accaduto e valutare quali provvedimenti adottare nei confronti dell'istituto.

Approfittando dell'emergenza Coronavirus, gli hacker stanno purtroppo cercando di capitalizzare la preoccupazione per la pandemia che già affligge gli utenti, e i criminali sono anche avvantaggiati dal fatto che in questo periodo molti dipendenti delle banche non sono fisicamente in ufficio ma lavorano da casa in smart working, e in queste circostanze non è sempre facile mantenere inalterati i consueti standard di sicurezza che contraddistinguono il settore finanziario.

E proprio in questo periodo la Polizia Postale ha rilevato un aumento dei crimini informatici, avvertendo le persone di prestare attenzione a tutte le comunicazioni ricevute che fanno riferimento all'emergenza Covid-19, in particolare proprio quelle delle banche, perché, triste a dirsi, gli hacker non passano il loro tempo a fare scherzi di cattivo gusto agli utenti, ma mirano esclusivamente ad estorcere loro denaro.

Nicola Bernardi, presidente di Federprivacy - Twitter: Nicola_Bernardi