Nexi ha denunciato un attacco hacker: nomi e indirizzi dei suoi clienti online, ma i dati finanziari sono al sicuro
Nexi S.p.A. è un’azienda italiana fondata nel 10 novembre 2017 dalla fusione tra ICBPI e CartaSi per creare una realtà incentrata sui pagamenti digitali. L’azienda si occupa quindi di servizi e infrastrutture per il pagamento digitale per banche, aziende, istituzioni e pubblica amministrazioni. Con la gestione di carte di credito, punti vendita convenzionati, terminali POS e ATM su tutto il territorio nazionale, dal 2019 è quotata dalla Borsa di Milano.
Nexi attaccata dagli hacker: cosa è successo
Lunedì 29 luglio su Pastebin, piattaforma di condivisione di frammenti di codice sono stati pubblicati nominativi, codici fiscali, indirizzi di residenza e numeri di cellulare. Il numero di dati condivisi è di circa 18.000 e l’intestazione non lasciava margine di dubbio: “Dati personali clienti Nexi“.
Patesbin è un portale in cui si può caricare qualsiasi file di testo in modo anonimo. Molti lo conoscono caricare file con codici sorgente, per la visualizzazione pubblica. Tuttavia, l’anonimato con cui si possono caricare i file è stata spesso utilizzata per pubblicare elenchi di dati personali in totale sicurezza. È quello che è successo lunedì pomeriggio quando l’utente ha caricato il file “Dati Personali di Nexi” in cui ha inserito anche saluti ironici indirizzati a Paolo Bertoluzzo, CEO dell’azienda.
Il file è rimasto online solo per poche ore, grazie alla tempestiva diffida di Nexi a Patesbin, tuttavia non si sa se qualcuno in quel breve lasso di tempo ha scaricato il file.
Dati finanziari al sicuro, nessun attacco informatico: è un giallo
Nexi ha reso nota sin da subito la sua posizione. L’azienda esclude un attacco ai suoi server ed esclude categoricamente la presenza di dati finanziari.
Nexi precisa che i propri servizi di sicurezza hanno rilevato la pubblicazione su un sito internet straniero di un post anonimo contenente una lista di circa 18 mila nominativi (nome, cognome, indirizzo, CF e solo in alcuni casi un contatto telefonico non verificato) che l’autore anonimo attribuiva a presunti clienti Nexi. Nessuno dei dati in questione afferiva, in ogni caso, a informazioni di natura finanziaria (es: numero carta, transazioni, codici identificativi, pin, password, etc, etc.)
Nexi prosegue, sottolineando il fatto che non è stata rilevata nessuna violazione nei sistemi informatici e che i dati sensibili non sono compromessi. Inoltre, molti dati pubblicati non hanno una corrispondenza effettiva con i dati dei clienti.
Il mistero di questo attacco si infittisce dopo le dichiarazioni di Nexi. Se non c’è stato un attacco informatico, come ha fatto l’utente a trovare quei dati? E se molti non hanno corrispondenza con i dati di Nexi, da dove vengono?
La trasparenza grazie alla GDPR
Fino a qualche anno fa, il sospetto che una società potesse nascondere un fatto del genere era piuttosto alto. Tuttavia da quando è stato istituito il General Data Protection Regulation (GDPR) le aziende che subiscono un attacco informatico e un furto di dati sono obbligate e sporgere denuncia entro 72h dall’accaduto.