I data leak servono anche quando sono falsi? Il caso Nexi insegna.

Il data leak con i dati di 18 mila clienti Nexi è probabilmente un falso. Ma insegna che bisogna comunque essere capaci di reagire con immediatezza.

Autore: f.p.

Per qualche ora si è sospettato che Nexi fosse stata oggetto di un data leak. All'azienda che fornisce servizi a supporto dei pagamenti digitali, che molti italiani conoscono come "sostituta" di CartaSi, sembrava fossero stati sottratte informazioni personali su 18 mila clienti. Come per altri data leak, queste informazioni sono state pubblicate in chiaro su Pastebin. Con un preambolo significativo: "Un saluto a Paolo Bertoluzzo, Luca Biancardi, Alessandro Cocciolo. Un abbraccio dagli schiavetti di Montefeltro".

I nomi citati sono di tre manager di una delle due realtà che fondendosi hanno creato Nexi, ossia il Gruppo ICBPI (Istituto Centrale delle Banche Popolari Italiane). Paolo Bertoluzzo è l'ex CEO ed ora Group Chief Executive Officer di Nexi. Luca Biancardi è IT Security Architecture and Cybersecurity Manager. Alessandro Cocciolo è Responsabile Service Management. Il riferimento a Montefeltro rimanda a una delle sedi del gruppo.

Insomma, chi ha caricato il presunto data leak aveva una chiara intenzione di colpire la società. Neanche troppo casualmente, in contemporanea con la pubblicazione dei suoi risultati finanziari. Un messaggio sin troppo esplicito, che ha fatto porre una logica domanda. I dati contenuti nei documenti di Pastebin - ora rimossi - sono veri?

Uno dei documenti caricati su Pastebin (fonte: D3lab)
Con le cautele del caso, l'ipotesi più accreditata è che possano essere veri ma non necessariamente di Nexi. La società lo esclude nettamente. Spiegando in una nota che "non ha rilevato alcuna violazione dei propri sistemi informatici e che nessun dato relativo alle carte di pagamento gestite da Nexi è stato in alcun modo compromesso". Niente data leak quindi, secondo Nexi. E in tempi di GDPR negare decisamente una perdita di dati senza esserne sicuri è un bel rischio.

C'è da dire che i dati personali pubblicati sono sufficienti per un furto di identità - nome, cognome, indirizzo, codice fiscale e in alcuni casi un numero telefonico - e quindi fonte di preoccupazione. Ma non ci sono dati sensibili legati a conti bancari o a carte di credito. Un elemento che lascia aperte due ipotesi. O chi ha effettuato il presunto data leak quei dati li ha, ma non li ha pubblicati. E intende farne un uso ulteriore. O quei dati non li ha e le informazioni personali pubblicate vengono da chissà dove.


In questo senso Nexi sottolinea che "in molti casi i dati anagrafici non trovano corrispondenza con i dati contenuti sui sistemi Nexi". Inoltre l'azienda gestisce una quarantina di milioni di carte, quindi essere in questo elenco è significativo fino a un certo punto. I dati potrebbero comunque venire da un data leak bancario, magari di qualche tempo fa ed emerso solo ora.

Nexi ha "immediatamente denunciato il fatto alle autorità competenti riservandosi ogni azione volta a tutelare i propri interessi". Sposando evidentemente l'ipotesi del finto data leak creato ad arte per danneggiare la società. Sul data leak in sé bisogna comunque indagare, ma il caso è già un precedente interessante.

Basta far trapelare l'ipotesi di un data leak per far mettere in dubbio l'affidabilità di un'azienda. E magari colpirne la quotazione in Borsa. Meglio quindi essere preparati e ben consci della propria "security posture" e di che dati si conservano, come predica il GDPR. Altrimenti qualsiasi accusa di data leak può avere impatti seri. Quasi come un vero data leak.

Visualizza la versione completa sul sito

Informativa
Questo sito o gli strumenti terzi da questo utilizzati si avvalgono di cookie necessari al funzionamento ed utili alle finalità illustrate nella cookie policy. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie, consulta la cookie policy. Chiudendo questo banner, acconsenti all’uso dei cookie.