A fine ottobre si è verificato un attacco hacker al portale di biglietti online di Unicredit, Geticket.it, utilizzato soprattutto dall’Arena di Verona; la cui notizia è diventata cronaca solo a metà novembre. Il sito è stato posto in manutenzione e i clienti sono stati avvisati dal portale di un accesso abusivo ai loro dati.
Secondo quanto riferito dal sito specializzato Difesaesicurezza.com l’accesso abusivo ai dati delle persone si sarebbe verificato a fine ottobre. Anche se gestita dalla banca, la piattaforma è però di pubblico utilizzo e questo amplia la platea di persone colpite dall’evento a coloro che clienti dell’istituto. Anche per questo motivo — assicurano le fonti — non sono stati rubati dati bancari dei clienti né relativi alle carte di credito o di debito utilizzate.
Le informazioni compromesse
Il sito è stato bloccato per le verifiche di cybersecurity e per risolvere il problema della falla.
Fortunatamente, l’evento si è verificato in un contesto temporale in cui la stagione areniana è normalmente conclusa e, in ogni caso, gli eventi culturali sono bloccati dalle norme contro la diffusione del Covid-19; pertanto il sito non era oggetto di un traffico consistente.
Unicredit ha precisato che, «www.geticket.it è una piattaforma di servizi di biglietteria online gestita e ospitata da un fornitore terzo, è stata oggetto di una violazione di alcuni dati, come le e-mail e i numeri di telefono di alcuni suoi utenti. Non vi è alcuna evidenza di accesso a dati personali sensibili o riconducibili ai sistemi di pagamento. Tutte le autorità competenti sono state immediatamente contattate. I clienti della piattaforma di ticketing potenzialmente interessati sono stati informati.».
Infatti, come previsto dal GDPR i clienti del sito hanno ricevuto la seguente comunicazione via e-mail «Nessuno dei Suoi dati relativi agli strumenti di pagamento utilizzato per l’acquisto dei biglietti è stato oggetto del potenziale accesso. I dati in questione sono esclusivamente di carattere anagrafico ed in particolare riguardano nome e cognome, indirizzo e-mail. Potrebbero risultare interessati anche provincia, nazione di riferimento e numero di telefono cellulare inseriti nelle procedure di acquisto dei biglietti».
I precedenti Unicredit
Non è la prima volta che Unicredit subisce accessi illeciti ai suoi sistemi: un anno fa gli hacker riuscirono a penetrare in un elenco, relativo al 2015, di tre milioni di clienti. Nel 2017 un altro attacco informatico aveva portato alla violazione di alcuni dati, tra cui l’Iban, per 400 mila clienti ma anche quella volta nessun dato relativo ai conti correnti e ai soldi era stato violato o rubato. Lo scorso settembre invece Unicredit era rimasta vittima non di un attacco hacker ma di un malfunzionamento del sistema a causa del quale per due giorni non è stato possibile accedere alle app e al digital banking dell’istituto. Per fronteggiare queste minacce sempre più frequenti e migliorare i sistemi nel piano industriale Team23 dell’amministratore delegato Jean Pierre Mustier sono previsti investimenti in media di 900 milioni l’anno per il rafforzamento dei sistemi IT.
