Sanzioni al data breach di UniCredit: un quadro completo

data breach unicredit

Il Garante Privacy ha emesso una sanzione di 2,8 milioni di euro nei confronti di UniCredit per il data breach avvenuto del 2018, che ha coinvolto migliaia di clienti. La novità è che è stata sancita anche una multa di 800.000 euro alla società informatica incaricata dei test di sicurezza.

Questo fatto sottolinea che sia il titolare che il responsabile del trattamento sono chiamati a rispondere e a pagare. La responsabilità, infatti, si estende anche a chi fornisce servizi di sicurezza informatica.

Il Data Breach di UniCredit: fatti e conseguenze

Nel 2018, UniCredit è stata vittima di un massiccio attacco informatico al portale di mobile banking, coinvolgendo circa 778.000 clienti ed ex clienti. I dati personali come nome, cognome, codice fiscale e PIN di accesso al portale, sono stati compromessi.

Il Garante, nel corso dell’istruttoria, ha rilevato diverse violazioni in materia di privacy da parte della banca, che non aveva adottato misure tecniche sufficienti per contrastare gli attacchi informatici e impedito l’uso di PIN deboli. La violazione ha portato alla disponibilità non autorizzata di dati personali tramite la risposta HTTP fornita ai browser degli utenti.

Analisi dell’Istruttoria e delle responsabilità

L’istituto bancario aveva implementato alcune misure di sicurezza come il blocco quantitativo delle connessioni e un meccanismo di identificazione umana, ma queste non sono state sufficienti.

Anche la società incaricata dei test di sicurezza è stata oggetto di istruttoria. Si è scoperto che, nonostante l’effettuazione dei test, erano state individuate diverse vulnerabilità, alcune delle quali con gravità elevata, a cui non è seguita l’implementazione di misure di salvaguardia adeguate.

Le misure di sicurezza adottate

UniCredit ha fornito ulteriori dettagli sulle misure di sicurezza implementate, come il login protetto da username e password separate, il blocco dell’account dopo tre password errate e il monitoraggio delle transazioni per individuare eventuali frodi.

Il Garante ha tuttavia ritenuto che queste misure non fossero sufficienti a proteggere adeguatamente i dati personali.

Le sanzioni e le implicazioni del data breach di UniCredit

La sanzione di 2,8 milioni di euro a UniCredit si è basata sull’elevato numero di persone coinvolte, la gravità della violazione e la capacità economica della banca, mentre la società informatica incaricata dei test di sicurezza è stata multata con 800.000 euro.

Le motivazioni del Garante riguardavano l’illiceità del trattamento dei dati, evidenziando una responsabilità generale del titolare del trattamento nei confronti delle violazioni commesse.

UniCredit ha già annunciato che impugnerà la decisione davanti al Tribunale competente, evidenziando la complessità delle questioni legali e tecnologiche coinvolte.

Conclusioni e Riflessioni

Il data breach di UniCredit mette in evidenza la necessità di misure di sicurezza adeguate che possano proteggere nel modo corretto i dati personali.

Un’azione che risulta fondamentale per molte ragioni, inclusi rispetto della privacy, obblighi legali, sicurezza aziendale, competitività e reputazione. Le aziende, soprattutto le banche, dovrebbero implementare politiche e misure più robuste di cybersecurity per proteggere questi dati preziosi e mantenere la fiducia dei propri clienti.

Vuoi mantenere i tuoi dati aziendali al sicuro? Affidati a dei professionisti con oltre vent’anni di esperienza: scegli Assitech per la sicurezza dei tuoi sistemi.

Hybrid Cloud: come garantire la sicurezza informatica

hybrid cloud

Negli ultimi anni la migrazione al cloud è stata accelerata, creando ambienti ibridi diversificati e spesso privi di adeguate misure di protezione. Le aziende hanno affrontato rapidamente la sfida di rimanere operative nonostante le difficoltà derivate dalla pandemia, adottando servizi cloud in fretta per garantire la continuità del business.

Questa rapida transizione ha però portato alla creazione di ambienti poco protetti, con il 92% delle aziende che hanno adottato una strategia multi-cloud nel 2021, secondo il report State of the Cloud di Flexera. L’80% ha anche implementato soluzioni di hybrid cloud, portando ad una crescente complessità.

La superficialità nell’adottare adeguate misure di cybersecurity è stata resa evidente dai picchi di attacchi agli ambienti cloud e ai dipendenti in smart working. Dei dati particolarmente rilevanti riportati nei numerosi cloud threat report usciti dal 2020 in poi.

Cos’è l’hybrid cloud

Chiamato anche cloud ibrido, è un’architettura flessibile e scalabile che combina due o più tipi di cloud, solitamente un cloud pubblico e uno privato, integrandoli in un’unica infrastruttura.

In un ambiente hybrid cloud, le organizzazioni possono mantenere alcune applicazioni e dati sul proprio cloud privato interno, mentre altre applicazioni e dati sono ospitati sul cloud pubblico.

Le aziende adottano l’hybrid cloud per diversi motivi, tra cui:

  • Flessibilità: Consente di utilizzare al meglio le risorse sia del cloud pubblico che del cloud privato. Le applicazioni più sensibili o critiche possono essere mantenute nel cloud privato per un maggiore controllo e sicurezza, mentre le applicazioni meno sensibili possono essere ospitate sul cloud pubblico per una maggiore adattabilità.
  • Scalabilità: L’hybrid cloud consente di scalare rapidamente risorse aggiuntive quando necessario, utilizzando le risorse del cloud pubblico senza dover investire in nuove infrastrutture nel cloud privato.
  • Sicurezza: Per le aziende che trattano dati sensibili o che devono rispettare normative rigorose sulla privacy, l’hybrid cloud offre un livello aggiuntivo di sicurezza. I dati più critici possono essere conservati sul cloud privato, che offre un controllo più diretto e una maggiore sicurezza, mentre i dati meno sensibili possono essere gestiti sul cloud pubblico.
  • Efficienza dei costi: L’hybrid cloud consente di ottimizzare i costi. Si utilizza infatti il cloud pubblico per i carichi di lavoro più variabili e il cloud privato per quelli più costanti e prevedibili.

Come affrontare la sicurezza negli ambienti cloud ibridi?

Il cloud ibrido è adottato dall’89% delle aziende secondo l’Osservatorio Cloud Transformation (OCT). Tuttavia, gestire i rischi in contesti cross-cloud è diventato sempre più complesso.

La gestione del rischio in cloud ibrido è influenzata da diversi fattori, come la sovranità dei dati, il modello Zero Trust e quello di responsabilità condivisa.

Le sfide di sicurezza principali negli ambienti di cloud ibrido si concentrano su:

  • Errate configurazioni: Gli amministratori spesso rendono visibile l’infrastruttura del cloud su Internet, facilitando gli attacchi.
  • Poca visibilità: Gli ambienti multicloud sono frammentati, con una mancanza di visione centralizzata della situazione di rischio.
  • Violazione degli account: Senza autenticazione multi-fattore, gli account di amministrazione sono più esposti.
  • Vulnerabilità: I codici degli ambienti cloud possono avere delle patch mancanti o codifiche non sicure, sfruttabili dai cybercriminali.

Per affrontare queste sfide, è essenziale:

  • Assicurarsi di avere un processo unificato per misurare il rischio e gestire le minacce in ambienti ibridi.
  • Monitorare e aggiornare regolarmente le patch di sicurezza.
  • Implementare l’autenticazione multi-fattore per prevenire le violazioni degli account.
  • Utilizzare soluzioni di sicurezza cloud per una visione centralizzata della situazione di rischio.
  • Collaborare con i fornitori di servizi cloud e i partner per proteggere la supply chain e garantire la cybesecurity.

È importante prestare attenzione agli obblighi di aggiornamento delle patch, sostituire i protocolli di gestione legacy e automatizzare la sicurezza delle macchine virtuali.

I tuoi dati aziendali sono davvero al sicuro? Contattaci per proteggere al meglio i tuoi sistemi ed evitare situazioni di rischio, anche in ambienti cloud ibridi.

Cybersecurity: i trend del 2024

cybersecurity 2024

I maggiori trend del 2024 nello scenario della cybersecurity prevedono il crescente uso criminale dell’AI generativa e l’impatto dell’applicazione di normative come la NIS2: ecco cosa aspettarci.

Nel 2024, la cybersecurity assumerà un’importanza maggiore per diverse ragioni. Con il continuo avanzamento della tecnologia e l’ampia diffusione delle reti digitali, le minacce cyber diventano sempre più sofisticate e diffuse. Con sempre più dati e processi aziendali trasferiti online, la necessità di proteggere tali risorse diventa prioritaria per garantire la continuità operativa e la fiducia dei clienti.

Anche le normative sulla protezione dei dati personali e sulla sicurezza informatica saranno più rigorose. A livello europeo, l’introduzione della Direttiva NIS2 e altre leggi mirate alla cybersecurity impone alle aziende di adottare misure preventive e di conformarsi a standard più elevati, onde evitare rischi elevati e gravi sanzioni.

Per questi motivi, investire in cybersecurity diventa un elemento cruciale per la sostenibilità e la competitività.


Prospettive sul fronte della Cybersecurity nel 2024

Conoscere i trend emergenti è essenziale per mitigare e affrontare le sfide in arrivo nel panorama cyber in continua evoluzione.

Aumento del Cybercrime

Il 2024 sarà caratterizzato da un ulteriore aumento del cybercrime, alimentato dalla continua digitalizzazione in vari settori. Questo amplificherà gli ambiti e i metodi con cui i cybercriminali mireranno ad attaccare aziende e istituzioni pubbliche.

Tuttavia, i rischi associati alla digitalizzazione non devono scoraggiare l’adozione di tecnologie innovative, ma piuttosto spingere all’implementazione di misure efficaci per mitigare i pericoli, seguendo il principio di security by design. Si tratta di un approccio proattivo basato sull’integrazione della sicurezza dei sistemi informatici e dei prodotti digitali fin dalla fase di progettazione e sviluppo, anziché trattarla come un’aggiunta successiva o come una reazione ad una minaccia.

Questo implica una valutazione sistematica dei rischi, l’identificazione delle potenziali vulnerabilità e l’implementazione di contromisure adeguate.

L’adozione del principio della “security by design” aiuta a ridurre il rischio di violazioni della sicurezza e di compromissione dei dati, migliorando la resistenza complessiva dei sistemi alle minacce informatiche. Questo approccio è particolarmente importante in un contesto in cui gli attacchi cyber diventano sempre più sofisticati.

Applicazione della Direttiva NIS2

Per rafforzare le misure di cyber security è entrata in vigore il 17 gennaio 2023 e dovrà essere recepita dagli Stati membri UE entro il 18 ottobre 2024, la Direttiva NIS 2.

La nuova direttiva modifica la precedente NIS ed ha quale obiettivo quello di andare a creare una strategia comune e più forte tra gli Stati membri nell’ambito della cyber security. I vari stati dovranno impegnarsi nello sviluppo di piani nazionali per la sicurezza e di team specializzati nella materia.

Si tratta di una normativa che va ad aggiungersi ed integrarsi alle normative già presenti: GDPR, Regolamento DORA, Direttiva CER, Cyber Resilience Act, ed a livello nazionale al Perimetro di Sicurezza Nazionale Cibernetica.

In base alle nuove previsioni, verrà richiesto alle aziende di adottare delle misure di sicurezza più rigorose, nonché di adottare un sistema di segnalazioni più rapido. I fornitori di servizi digitali dovranno infatti notificare alle autorità gli incidenti entro 24 ore da quando ne sono venuti a conoscenza, contro le 72 ore attualmente previste dal GDPR.

Cosa comporta la violazione della normativa in termini di sanzioni?

La NIS 2 non prevede in modo specifico le sanzioni comminabili, ma fissa un massimo che corrisponde a 10 milioni di euro o il 2% del fatturato mondiale globale per i soggetti qualificati “essenziali” e 7 milioni o il 1,4% del fatturato mondiale globale per i soggetti “importanti”.

Non solo NIS 2

Il 30 novembre 2023 è stato raggiunto a livello europeo anche un accordo provvisorio sul Cyber Resilience Act relativamente alle nuove regole per proteggere i prodotti digitali nel territorio UE.

L’obiettivo del CRA è garantire che i dispositivi con funzionalità e componenti digitali siano sicuri nel loro utilizzo, resistenti alle minacce cyber e forniscano informazioni sufficienti sulle loro proprietà di sicurezza.

Ruolo dell’Intelligenza Artificiale (AI)

Il 2023 ha segnato l’inizio dell’interesse su larga scala per gli strumenti di AI generativa, trend destinato a consolidarsi nel 2024. L’utilizzo comune di tali strumenti diventerà la norma non solo nell’ambito lavorativo, ma anche nelle attività criminali. Questo implicherà una maggiore protezione da rischi e forme di attacco sia più specifici, che da quelli più tradizionali.

Sebbene le azioni automatizzate siano già impiegate per difendere i sistemi, soprattutto nei SOC, si prevede che gli attacchi basati sull’impersonificazione come i deep fake diventeranno più diffusi nel 2024.

L’AI ACT e la regolamentazione dell’intelligenza artificiale

Dallo sviluppo dell’intelligenza artificiale, non può che derivare la creazione della relativa normativa. L’idea fondamentale su cui si basa l’AI Act – approvato all’unanimità lo scorso 21 gennaio – è quello di regolamentare questa nuova tecnologia seguendo un approccio basato sul rischio.

Sostanzialmente, maggiori saranno i rischi legati al suo utilizzo, più le regole saranno rigorose e stringenti. Per esempio, per garantire una migliore protezione dei dati verrà previsto un obbligo a carico degli operatori di sistemi di AI ad alto rischio di effettuare una valutazione di impatto sui diritti fondamentali prima di utilizzare un sistema di AI.

Gli obiettivi specifici di detta normativa saranno:

  • assicurare che i sistemi di IA immessi sul mercato dell’Unione e utilizzati siano sicuri e rispettino la normativa vigente in materia di diritti fondamentali e i valori dell’Unione;
  • assicurare la certezza del diritto per facilitare gli investimenti e l’innovazione nell’intelligenza artificiale;
  • migliorare la governance e l’applicazione effettiva della normativa esistente in materia di diritti fondamentali e requisiti di sicurezza applicabili ai sistemi di IA;
  • facilitare lo sviluppo di un mercato unico per applicazioni di IA lecite, sicure e affidabili nonché prevenire la frammentazione del mercato.

Esternalizzazione dell’IT

Nel 2024 si assisterà a una maggiore esternalizzazione dell’IT e della gestione della sicurezza, data la crescente complessità tecnologica e la carenza di competenze interne. Questo comporterà un’adozione più diffusa dei servizi cloud, richiedendo una valutazione accurata e una gestione efficace per garantire la sicurezza dei dati e dei sistemi.

Nuove tecnologie di sicurezza

Il 2024 potrebbe segnare una svolta nell’abbandono dell’autenticazione basata solo su password a favore di metodi 2FA. Inoltre, il concetto di “zero trust” sarà sempre più discusso, sebbene molte aziende non abbiano ancora implementato adeguatamente le misure di sicurezza di base.

Il 2024 sarà un anno cruciale per la cybersecurity, con nuove sfide e opportunità che richiederanno una risposta innovativa e collaborativa da parte delle aziende. L’adozione di tecnologie avanzate e l’attenzione ai requisiti normativi saranno fondamentali per garantire una protezione efficace contro le crescenti minacce informatiche.

I tuoi dati aziendali sono davvero al sicuro? Contattaci per proteggere i tuoi sistemi.

Articolo realizzato in collaborazione con Orbyta Tax&Legal