menu
cerca
Truffe On Line, Banca Intesa accesso illegittimo a dati sensibili

Truffe On Line, Banca Intesa accesso illegittimo a dati sensibili

17 Dicembre 2024

Le principali notizie dal mondo della privacy – dicembre 2024

Truffe On Line

Le truffe on line sono un fenomeno criminoso molto diffuso, a molti di noi è sicuramente capitato di incappare in un tentativo di truffa perpetrato da un hacker.

Possiamo classificare le frodi on line in tre macrocategorie nelle quali ha un forte peso, rispetto ad altri fattori, l’identità assunta dal truffatore:

  • Frodi negli acquisti, vengono messi in vendita a prezzi notevolmente vantaggiosi oggetti che puntualmente non arriveranno a domicilio o si riveleranno, nella migliore delle ipotesi, di pessima qualità;
  • truffe romantiche la vittima viene spinta, attraverso una narrazione convincente, a prestare aiuto (quasi sempre economico) a persone che asseriscono di essere in forte difficoltà personali – ad esempio per un parente malato – facendo leva sul rapporto di fiducia precedentemente stabilito;
  • le finte lotterie, ormai poco frequenti, si riceve una email che annuncia la vincita di una somma ingente ad una lotteria e con la quale viene chiesto di pagare una piccola somma per “rilasciare” le vincite, da versare su un conto personale estero.

Le frodi on line vengono effettuate con diverse modalità, tra cui phishing, vishing, smishing, spoofing e quishing.

Phishing: il truffatore utilizzano un messaggio che, riferendo problemi di registrazione o sicurezza, invita a fornire i propri dati di accesso al servizio e altre informazioni sensibili di solito rimandando ad un sito web solo apparentemente dell’istituto bancario.

Vishing: il truffatore per indurre gli utenti a fare qualcosa convincendoli, tramite i servizi di telefonia, che è nel loro interesse, effettuano delle telefonate simulando l’esistenza di un call center (di una banca ad esempio) e chiedendo alla vittima di fornire i propri dati ad un operatore. Spesso il vishing inizia dove termina il phishing.

Smishing: la truffa consiste in un attacco alla sicurezza informatica basato sul phishing messo in atto con messaggi di testo inviati tramite cellulare, noto anche come phishing via SMS.

Spoofing: si tratta di un attacco informatico basato sulla falsificazione dell’identità. Il truffatore si impadronisce di una serie di dati col fine di impersonare qualcuno di attendibile e conosciuto dalla vittima.

Quishing: ultima modalità in ordine di tempo ma non meno pericolosa delle precedenti, e utilizza i QR code per ingannare gli utenti e sottrarre loro informazioni sensibili. L’allarme mondiale è stato lanciato da alcuni istituti bancari, dal National Cyber Security Centre e dalla Federal Trade Commission. In Italia, ad esempio, è stata segnalata una campagna di quishing ai danni dei clienti Unicredit.

https://www.federprivacy.org/informazione/societa/ora-anche-il-postino-vi-recapita-a-casa-il-virus-attenzione-alla-lettera-con-il-qr-code-che-vi-ruba-i-dati-sensibili

Per approfondire a seguire il link ad un interessante articolo pubblicato sul sito truffe.net

https://www.truffa.net/truffe-online

Banca Intesa – accesso illegittimo a dati sensibili (il saldo del conto corrente come ogni altra informazione rientra tra i dati sensibili) dei clienti

Nell’agosto di quest’anno un dipendente di Intesa Sanpaolo è stato licenziato dopo che il sistema di controllo interno della banca ha rilevato accessi abusivi ai rapporti in essere, in particolare ai saldi dei conti correnti, di diversi clienti, accessi avvenuti tra febbraio 2022 e aprile 2024. Questi accessi includevano dati di clienti di alto profilo, come il Presidente del Consiglio, Giorgia Meloni e il suo predecessore Mario Draghi, diversi politici, esponenti della finanza o comunque personaggi famosi. Le indagini hanno accertato circa 6.600 accessi illegittimi. Il numero di clienti interessati dagli accessi anomali è sensibilmente inferiore rispetto a tale numero, in pratica il dispendente accedeva ai dati del singolo cliente più volte nel tempo mettendo in atto una sorta di monitoraggio.

Al momento non è stato chiarito se il dipendente fosse mosso da semplice curiosità o se le informazioni venissero passate a terzi. La banca ha dichiarato che non ci sono prove che vi sia stata diffusione a terzi.

Le banche da diversi anni si debbono dotare di sistema di controllo interno progettato per rilevare gli accessi anomali, come l’accesso frequente a un singolo account, in particolare le banche debbono conservare per 24 mesi i log di accesso a tutti i rapporti accesi a nome di un soggetto privato, il sistema deve inoltre  prevedere una serie di alert, ad esempio la frequenza degli accessi per visionare il rapporto di un singolo cliente con rapporti accesi presso la filiale dove opera il dipendente o a rapporti accesi presso altre filiali, Banca Intesa dichiara che  tale sistema di controllo ha rilevato gli accessi con grande ritardo per il fatto che il dipendente li ha distribuito su 500 giorni lavorativi, rendendo difficile la rilevazione.

Il Garante Privacy con il provvedimento n. 286 del 22 giugno 2017 (doc. web n. 6629414) ha chiarito quando è lecito il trattamento dei dati personali da parte di un dipendente della Banca (che riveste il ruolo di incaricato), in particolare il Garante della Privacy ha dichiarato illecito il trattamento dei dati personali di una correntista da parte un Istituto di Credito per il tramite del proprio dipendente che ha posto in essere una serie di accessi al conto corrente della medesima, senza apparenti  motivazioni operative.

Il dipendente della Banca che accede ai dati personali senza motivazioni di carattere operative (motivazioni legate al ruolo svolto) effettua un trattamento illecito in quanto in contrasto con le disposizioni vigenti (artt. 4, comma 1, lett. h), 30, 167 e 169 del Codice Privacy) e con le prescrizioni impartite dal Garante al punto 3 del provvedimento del 25 ottobre 2007 concernente “Linee guida in materia di trattamento dei dati personali della clientela in ambito bancario” (doc. web n. 1457247) e con provvedimento del 12 maggio 2011 “in materia di  circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie” (doc. web n. 1813953).

Ma torniamo a Banca Intesa, il Garante Privacy a seguito degli accertamenti effettuati, dei chiarimenti inviati dall’Istituto bancario in risposta alla richiesta di informazioni dell’Autorità ha disposto, in data 5 novembre, che Banca Intesa informi i clienti coinvolti entro 20 giorno dalla data di pubblicazione del provvedimento.

Con ogni probabilità il Garante ordinerà all’Istituto di Credito l’adozione di ulteriori misure organizzative e l’implementazione di ulteriori controlli sulla legittimità degli accessi e gli chiederà di sensibilizzare i dipendenti al rispetto delle regole.

Il tutto per altro ha portato ad un enorme danno reputazionale per Banca Intesa.  

I clienti coinvolti con ogni probabilità si rivolgeranno alla magistratura civile per ottenere un ristoro del danno subito.

https://news.ilcaso.it/news_13920/06-11-24/Garante_privacy_a_Banca_Intesa-_20_giorni_per_informare_i_clienti_della_violazione_dei_dati

https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1813953

contattaci
Go to top