Advertisement skip to Main Content

Credit Agricole

Chi ha bucato il Crédit Agricole?

Che cosa è successo al gruppo bancario Crédit Agricole. Il corsivo di Umberto Rapetto

Qualcuno dirà che è la solita storia. Forse ha pure ragione e probabilmente questo genere di notizie non appassionano più nessuno, ma la circostanza è grave e merita di essere presa sul serio.

In questi giorni alla clientela della Divisione Factoring dell’importante gruppo bancario Crédit Agricole sta arrivando una simpatica letterina (qui in versione pdf ovviamente ripulita dai riferimenti di chi l’ha ricevuta) avente come oggetto “Evento di sicurezza – Comunicazione ai sensi dell’art. 34 del regolamento (UE) 2016/679”.

La dizione “evento di sicurezza” è senza dubbio più elegante che scrivere “adesso sono fatti vostri”, magari accompagnato da una serie di punti esclamativi.

La colpa della violazione dei dati personali sarebbe da imputare al solito “nostro fornitore esterno” e il testo mira subito a tranquillizzare: “Dalle analisi svolte risulta che nessun dato di natura particolare/sensibile, giudiziaria o finanziaria è stato oggetto di violazione, ma c’è stato un accesso a dati personali identificativi di contatto, anagrafici e/o amministrativo-contrattuali a Lei riferibili e detenuti dalla nostra Società a fronte di rapporti con l’impresa od organizzazione di cui Lei è o è stato titolare, esponente, collaboratore, dipendente o comunque soggetto collegato”.

La banca vuole proteggere le persone coinvolte in questa disavventura, scrive “ci siamo prontamente attivati per rimediare alla violazione e attenuarne gli effetti negativi, implementando le seguenti misure” e indica come prima iniziativa la “Notifica della violazione al Garante Privacy e alle competenti autorità di vigilanza bancaria”. Non so quanto una segnalazione possa attenuare gli “effetti negativi”, ma se lo dicono loro…

La seconda delle azioni è stata la “Disattivazione delle connessioni in essere con il fornitore di servizi informatici oggetto dell’attacco”, distacco che arriva a cose fatte: anche questa non attenua un bel niente ma al limite evita ulteriori scorribande da chi ha preso il controllo degli apparati colpiti.

Ma un attimo… leggiamo bene… Chi è stato aggredito dagli hacker non è un fornitore di penne biro, carta da fotocopiatrice, arredi da ufficio, ma un “fornitore di servizi informatici” e sarebbe bello sapere quali fossero i servizi e la loro effettiva “influenza” sui sistemi di Credit Agricole.

Altre iniziative per attenuare gli effetti negativi sono state la “Attivazione di un comitato di gestione dell’evento” (un team di emergenza non si nega mai a nessuno) e la “Verifica di eventuali anomalie sulla nostra rete interna, dai quali si evince che non c’è stato alcun impatto sui nostri sistemi”. Quest’ultima è una piccola bugia, perché all’inizio della lettera l’impatto è stato dichiarato e tradotto nella esfiltrazione di dati personali…

Ultima mossa su questo traballante scacchiere è la “Richiesta al fornitore di servizi informatici oggetto dell’attacco di ulteriore intensificazione delle misure di sicurezza tecniche ed organizzative”. Non si tratta di una richiesta ma di una raccomandazione fin troppo ovvia. Sarebbe invece il caso di domandare l’analisi dell’incidente accaduto e confrontare gli eventi con quello che contrattualmente era stato garantito in termini di sicurezza dal fornitore. O il contratto non prevedeva il dettaglio di precauzioni dimostratesi fin troppo necessarie (e quindi ha toppato il committente), oppure le condizioni di fornitura non sono state rispettate (e allora ha sbagliato il fornitore).

La missiva suggerisce al destinatario di prestare la massima attenzione a possibili tentativi di frode o di phishing, facilitati dalla disponibilità – da parte dei banditi – delle informazioni personali sgraffignate.

Non è successo nulla davvero? Può darsi. Intanto si legge che “Inoltre, a sua maggior tutela, nel confermarle che nessuna delle sue credenziali è stata compromessa, le suggeriamo la modifica delle stesse qualora acceda ad aree riservate nell’ambito di servizi finanziari e/o creditizi”.

Cambiare la password è un consiglio sempre valido, ma in casi del genere sembra essere qualcosa di più del suggerimento di rito.

Come in un memorabile passaggio del film “C’eravamo tanto amati” in cui Manfredi – nel ruolo del portantino Antonio – declina romanamente il verbo “dispiacersi” e culmina con “essi se despiacciono”, la lettera va a chiudere con uno struggente “nel rammaricarci per la vicenda”.

Sapeste quanto “se so’ rammaricati” quelli che hanno ricevuto la comunicazione…

 

Articolo pubblicato su giano.news

Back To Top