CYBERSECURITY

Dati personali di clienti Nexi finiscono online. Ma è mistero sull’origine

Diciottomila identità alla portata di tutti. Nomi, cognomi, indirizzo, codice fiscale e in alcuni casi anche i numeri di telefono. A pubblicarli, nel pomeriggio di lunedì 29 luglio, il sito Pastebin, un portale dove chiunque può caricare online file di testo. La provenienza dei dati, però, è di quelle rilevanti: Nexi, colosso italiano delle carte di credito

di Biagio Simonetta


default onloading pic

3' di lettura

Diciottomila identità alla portata di tutti. Nomi, cognomi, indirizzo, codice fiscale e in alcuni casi anche i numeri di telefono. A pubblicarli, nel pomeriggio di lunedì 29 luglio, il sito Pastebin, un portale dove chiunque può caricare online file di testo. La provenienza dei dati, però, è di quelle rilevanti: Nexi, colosso italiano delle carte di credito. Una Spa con un fatturato da quasi un miliardo di euro, che cura servizi e infrastrutture per il pagamento digitale di molte banche. E che può contare su oltre 40milioni di carte di pagamento attive.

LEGGI ANCHE / Hacker ruba i dati di 100 milioni di americani clienti di Capital One

Cosa è successo
Gli appassionati di data leak conoscono bene Pastebin. Il portale, grazie all’anonimato che riesce a garantire a chi carica un file, è spesso utilizzato per pubblicare elenchi di dati personali contenuti in semplici file di testo. E quello che è successo lunedì pomeriggio è proprio qualcosa del genere. Un utente ha caricato del testo contenente le informazioni personali di circa diciottomila persone. E l’upload in questione lo ha nominato in modo abbastanza eloquente: «Dati personali clienti Nexi Spa». Dentro, poi, qualche saluto ironico al Ceo di Nexi, Paolo Bertoluzzo. All’interno del testo, come detto, molte informazioni personali: da nome e cognome, fino al numero di telefono e all’indirizzo. Il file è rimasto online per alcune ore (stamattina era già sparito, dopo la diffida di Nexi a Pastebin), ma nel lasso di tempo in cui è stato in rete chiunque ha potuto scaricarlo sul proprio Pc. E difficilmente sapremo se qualcuno l'ha fatto.

LEGGI ANCHE / Consob: per la prima volta oscurati siti abusivi trading on line

Cosa dice Nexi
La posizione di Nexi non si è fatta attendere. La società milanese, del resto, è quotata in borsa (dall’aprile scorso), e ha diramato una nota nella quale esclude categoricamente un attacco ai suoi server e scongiura, inoltre, la presenza di dati finanziari. «Nexi – è scritto nella nota - precisa che i propri servizi di sicurezza hanno rilevato la pubblicazione su un sito internet straniero di un post anonimo contenente una lista di circa 18 mila nominativi (nome, cognome, indirizzo, CF e solo in alcuni casi un contatto telefonico non verificato) che l’autore anonimo attribuiva a presunti clienti Nexi. Nessuno dei dati in questione afferiva, in ogni caso, a informazioni di natura finanziaria (es: numero carta, transazioni, codici identificativi, pin, password, etc, etc.)».

La società meneghina ha inoltre sottolineato di non aver rilevato «alcuna violazione dei propri sistemi informatici e che nessun dato relativo alle carte di pagamento gestite da Nexi è stato in alcun modo compromesso». Secondo Nexi, «in molti casi i dati anagrafici non trovano corrispondenza con i dati contenuti sui nostri sistemi». Allo stesso tempo, la società ha «immediatamente denunciato il fatto alle autorità competenti riservandosi ogni azione volta a tutelare i propri interessi».

LEGGI ANCHE / Attenzione ai siti pirata. Ecco i pericoli per chi fa trading online

La prova del GDPR
Il mistero di questa storia è abbastanza fitto. Da una parte diciottomila identità (più o meno complete) finite online. Dall’altra la società proprietaria di quei dati (cioè Nexi) che esclude categoricamente un attacco ai suoi server. Un tempo, il sospetto che la società potesse nascondere l’accaduto sarebbe stato alto. Oggi, però, c’è una sorta di garanzia, cioè il GDPR. Da quanto il nuovo regolamento europeo sui dati personali è in vigore, le aziende che subiscono un data breach (cioè un attacco informatico durante il quale vengono trafugati dei dati) sono obbligate a renderlo noto e a sporgere denuncia entro 72 ore dall’accaduto. E se i server di Nexi non sono stati attaccati, da dove arrivano allora quei dati?  

loading...

Brand connect

Loading...

Newsletter

Notizie e approfondimenti sugli avvenimenti politici, economici e finanziari.

Iscriviti
Loading...