E’ ancora mistero su come siano finiti online i dati di circa 18mila persone che avrebbero avuto a che fare con Nexi, il colosso delle carte di credito da poco quotato in Borsa. Si tratta di dati personali – non di natura finanziaria – che, secondo le prime risultanze, risalirebbero all’epoca di Cartasì, cessata nel 2009. La questione però è come abbiano fatto ad essere pubblicati su Internet tanto più che l’azienda – la quale ha denunciato il fatto alle autorità competenti – non ha però rilevato alcuna violazione dei propri sistemi informatici.
COS’E’ SUCCESSO
La vicenda inizia la sera di lunedì 29 luglio quando sono apparsi su Pastebin, un forum per la condivisione di frammenti di codice sorgente, software, testi e tanto altro, circa sei liste con nome, cognome, data e luogo di nascita, indirizzo, codice fiscale e in alcuni casi pure il numero di cellulare di presunti clienti della società fintech: ogni file era preceduto dalla scritta “Dati personali clienti Nexi Spa. Un saluto a Paolo Bertoluzzo, Luca Biancardi, Alessandro Cocciolo. Un abbraccio dagli schiavetti di Montefeltro”. L’ironico saluto si riferisce rispettivamente al ceo, al responsabile della sicurezza e al capo della IT service management del gruppo.
CHI E’ NEXI
Peraltro colpisce la concomitanza tra la diffusione online dei dati e la pubblicazione dei risultati del primo semestre del colosso dei pagamenti che gestisce 41,3 milioni di carte in Italia attraverso i circa 150 istituti bancari partner che rappresentano l’80% del numero di sportelli dell’intero sistema. Nexi cura 1,4 milioni di terminali Pos e oltre 13.400 Atm.
E i dati dei primi sei mesi dell’anno evidenziano un gruppo in ottima salute: utile normalizzato di pertinenza di 95,7 milioni, in crescita del 13,3% rispetto al dato pro forma dello stesso periodo del 2018; ebitda a 232,9 milioni, +20% su anno grazie a ricavi in aumento del 6,9% a 467,3 milioni e a costi in calo del 3,7% a 234,5 milioni
Nexi ha definito i risultati “superiori alle aspettative per l’anno” e ha dunque rivisto “in miglioramento per il solo anno 2019 la guidance finanziaria precedentemente annunciata, con un ebitda attesa per il 2019 di circa 500 milioni (490 quelli previsti in precedenza)”.
LA NOTA DELL’AZIENDA
Come si diceva, la replica del gruppo dopo la diffusione dei dati dei presunti clienti non si è fatta attendere. “Nexi precisa che i propri servizi di sicurezza hanno rilevato la pubblicazione su un sito internet straniero di un post anonimo contenente una lista di circa 18 mila nominativi (nome, cognome, indirizzo, CF e solo in alcuni casi un contatto telefonico non verificato) che l’autore anonimo attribuiva a presunti clienti Nexi. Nessuno dei dati in questione afferiva, in ogni caso, a informazioni di natura finanziaria (es: numero carta, transazioni, codici identificativi, pin, password, etc, etc.)” si legge in una nota in cui però si precisa che la società non ha rilevato “alcuna violazione dei propri sistemi informatici e che nessun dato relativo alle carte di pagamento gestite da Nexi è stato in alcun modo compromesso. Peraltro, aggiunge il gruppo, “in molti casi i dati anagrafici non trovano corrispondenza con i dati contenuti sui nostri sistemi”. Nonostante questo Nexi ha “immediatamente denunciato il fatto alle autorità competenti riservandosi ogni azione volta a tutelare i propri interessi”.
L’INTERVENTO DEL GDPR
Da oltre un anno infatti è in vigore il Gdpr, ossia il nuovo regolamento europeo sui dati personali. Il Gdpr impone alle aziende che subiscono un attacco informatico, durante il quale vengono trafugati dati, di sporgere denuncia entro 72 ore dall’accaduto. Azione che sembra però contraddire l’assunto di Nexi che sostiene di non aver subito violazioni dei propri sistemi informatici.
HACKERAGGIO VERO O FALSO? L’ANALISI DEL GENERALE RAPETTO SUL CASO NEXI
Articoli correlati
De-escalation in corso fra Israele e Iran? Analisi e commenti
La sbandata di Cybertruck: cosa è successo al fuoristrada di Tesla
Ecco la carica degli abbonati di Netflix (celata dall’anno prossimo)
Cosa non va con Tsmc
